軌道交通信號系統安全評估與認證體系研究
【摘 要】:軌道交通信號系統是保證列車運行安全,提高運輸效率的安全相關系統,為了使該系統規范化、標準化、國際化, 迫切需要建立一套軌道交通信號系統的安全評估與認證體系。本文首先介紹了軌道交通信號系統的功能和對其進行安全評估的迫切性,然后對相關的安全國際標準和國外安全認證體系進行了介紹和分析,最后結合我國軌道交通行業的實際情況探討了在我國進行安全評估和認證的可行方法。
【關鍵詞】:軌道交通 信號系統 安全認證 安全相關系統
1.概述
隨著社會進步、城市規模不斷擴大、人口密度迅速增加,交通擁堵日趨嚴重已成為制約城市經濟發展的一大障礙。由于城市軌道交通具有運量大、安全正點、快捷舒適及污染小等特點,建立以城市軌道交通為主的城市交通系統是解決城市交通擁堵問題的重要途徑。人們對于城市軌道交通的要求越來越高,如何實現列車安全、快速、高效的運行是目前軌道交通領域亟待解決的根本性問題,作為保證行車安全、提高運營效率的軌道交通信號系統在提高運輸效率、保證行車安全及旅客舒適度等方面具有決定性作用。
軌道交通信號系統是運用技術手段保證行車安全。它包括車站信號控制系統(車站聯鎖系統)和區間信號系統以及機車信號系統幾個部分。信號系統的主要功能是保證行車安全、提高運營效率。信號系統雖然在工程投資中并不占很高的比重,但是由于信號系統擔任著指揮列車安全運行的任務,關系到成千上萬乘客的生命和財產安全,為此,需要專門考慮在系統出現故障,或操作人員不慎進行錯誤操作的情況下,系統仍能最大限度地維護乘客安全。目前無論是國產軌道交通信號系統還是國外設備國產化的推廣應用所遇到的共同問題就是:國內開發的軌道交通信號系統缺乏權威的安全認證機構進行認證。而國際通行的方法都要求有安全認證這一步,這樣國內開發的信號系統就難以參加相關項目的招投標。通過安全評估可以系統地從計劃、設計、制造、運行等全過程中考慮信號系統的安全技術和安全管理問題,發現系統開發過程中固有的或潛在的危險因素,搞清引起系統災害的工程技術現狀,論證由設計、工藝、材料和設備更新等方面的技術措施的合理性學習。研究國際安全標準和相關的安全評估和認證體系,并結合中國軌道交通發展的實際情況建立軌道交通信號系統的安全評估和認證體系勢在必行!
2.相關的國際標準
世界發達國家的城市軌道交通系統已經有了百余年的發展歷史,他們不斷總結經驗教訓,完善管理,已經形成了一整套科學的安全評估、認證、管理體系,制定了一系列切實可行的安全評估的技術標準。
IEC61508是國際電子電工委員會(IEC)制定的《電氣/電子/可編程電子安全相關系統的功能安全》國際標準,是進行軌道交通安全評估和論證重要的參考標準。
在鐵路運輸領域里,人們對安全相關系統的研究主要集中于鐵路信號控制系統中,首先于1963-1965年在日本由信號保安協會開展起來,所進行的研究是以“電子技術信號設備的研究”為主體展開的,提出了相應的報告。
國際鐵路聯盟研究實驗所(ORE)A118課題在1969年至1977年期間共出版了13個報告和2個技術文件,系統地考證了“電子技術在鐵路信號系統中的應用”, A155課題在1982年至1988年期間發表了“在鐵路信號設備中電子元器件的應用”報告,在A155課題的基礎上,1990年1月,國際鐵路聯盟(UIC)發布了738R規程,給出了安全信息的處理和傳輸的一系列建議。
歐洲國家在宣傳和介紹IEC61508國際標準的同時,以IEC61508國際標準為基礎,吸收該標準的精髓,制訂行業標準。歐洲電氣化標準委員會(CENELEC)下屬SC9XA委員會,制定了以計算機控制的信號系統作為對象的鐵道信號標準,它包括以下4個部分。
(1)EN-50126鐵路應用:可靠性、可用性、可維護性和安全性(RAMS)規范和說明。
(2)EN-50129 鐵路應用:安全相關電子系統。
(3)EN-50128 鐵路應用:鐵路控制和防護系統的軟件。
(4)EN-50159.1鐵路應用:通信、信號和處理系統。
它們的相互關系和涉及到的具體信號領域見圖2-1。
2.1 IEC61508標準
IEC61508國際標準規范了電氣/電子/可編程電子安全相關系統軟硬件生存周期的各個階段的任務和目標,提供一個制定安全需求規范的方法。它由7個部分組成:
第1部分 總的要求
第2部分 電氣/電子/可編程電子系統的需求
第3部分 軟件需求
第4部分 定義和縮略語
第5部分 決定安全完整性級別的方法實例
第6部分 應用IEC61508-2和IEC61508-3指南
第7部分 技術和方法總論
其主要目標:
1)對所有的包括軟、硬件在內的安全相關系統的元器件生命周期范圍提供一個安全監督的系統方法。
2)提供一個確定安全相關系統安全功能要求的方法。
3)建立一個基礎標準,使其可直接應用于所有工業領域,同時,亦可指導其他領域的標準,使這些標準的起草具有一致性(如基本概念、技術術語、對規定安全功能的要求等)。
4)讓使用者和維護者放心使用以計算機為基礎的技術。
5)建立一個概念統一、協調一致的標準。
在IEC61508中有個重要的概念:安全生命周期。安全生命周期是指從方案的確定階段開始到所有的電氣/電子/可編程電子安全相關系統、其它技術的安全相關系統、外部風險降低設備不再可用時為止,這個時間周期內發生為實現安全相關系統所必需的活動。圖2-2是IEC61508描述的系統安全生命周期流程圖。
2.2 EN標準
2.2.1 EN50126
該標準定義了系統的RAMS(reliability、availability、maintainability和safety),即可靠性、可用性、可維護性和安全性,并且規定了安全生命周期內各個階段對RAMS的管理和要求。但是在該標準中,未定義RAMS的具體的定量目標。此處的生命周期和IEC61508中安全生命周期是一個概念。
RAMS作為系統服務質量衡量的一個重要特征,是在整個系統安全生命周期內的各個階段通過設計理念、技術方法而得到的。為了達到規定的RAMS,必須針對前面的RAMS影響因素,在整個系統的生命周期內有效控制RAMS的影響因素,即系統的隨機故障和系統故障。EN50126要求在整個安全生命周期進行RAMS管理,針對每個階段給出應需要完成的RAMS任務,同時給出相關的具體文檔和要求。
2.2.2 EN50128
由于在信號系統中采用計算機(包括微機、單片機)越來越廣泛,由軟件來承擔安全性需求的比重越來越大,因此軟件安全性問題變得更加突出。為此EN50128針對軟件的安全保證提出了相關的規范和設計標準。在該標準中,對鐵路控制和防護系統的軟件進行了安全完善度等級的劃分,針對不同的安全要求制訂了相應的標準,按不同等級對整個軟件開發、檢查、評估、檢測過程包括對軟件需求規格書、測試規格書、軟件結構、軟件設計開發、軟件檢驗和測試、軟硬件集成、軟件確認評估、質量保證、生命周期、文檔等提出相應的程序與規范的要求。
2.2.3 EN50129
這個標準定義了為了保證安全相關的鐵路信號電子系統/子系統/設備安全所必須滿足的條件。這些條件包括:
1)質量管理措施
2)安全管理措施
3)功能和技術安全措施
4)安全接受和論證
作為一個安全相關系統要作到系統的安全能夠得到接受和論證,必須經過前三個步驟。 EN 50129就是針對一個安全事例來指導系統研究開發人員在整個系統
研制開發生命周期內所要完成的質量管理、安全管理和相關的技術安全措施的實施。對于安全管理,引入IEC61508提出的安全生命周期概念,就是說對于安全相關系統的安全部分,在設計時按照該步驟進行設計,并且需要進行全程的安全評估和驗證,目的是進一步減少和安全相關的人為失誤,進而減少系統故障風險。圖2-3將系統各個層次的開發和評估論證對應起來,描述的是“V”字型系統安全生命周期。
2.2.4 EN50159.1EN-50159.1
鐵路應用:通信、信號和過程控制系統在鐵路中應用第一部分:封閉傳輸系統中安全相關通信。這個標準適用于采用封閉傳輸系統實現通信目的的安全相關系統。對安全相關設備和傳輸系統的通信接口信息傳輸提出安全要求。
3. 國外的安全評估體系
歐美國家開展軌道交通信號系統的安全研究比較早,目前已經形成了比較完善的安全評估體系,如英國CASS安全評估框架,德國TUV評估體系等,它們主要以EN鐵路標準為基準,依托第三方評估機構,對已有線路和在建項目的信號系統進行安全性論證。下面以英國CASS安全評估框架為例進行詳細說明。
3.1 英國CASS 安全評估框架
CASS是英國工商部(Department of Trade & Industry)和健康安全部門(Health & Safety Executive)制定的一個安全評估認證框架項目,為此還成立了CASS策劃公司,它的任務和目標是為基于IEC61508標準的安全相關系統開發一個標準的認證框架。
在CASS框架中,評估員由權威部門考核和認證,并要求獨立于運營商和系統制造商。評估員對認證機構負責,認證機構對客戶負責。政府相關監督部門由具有安全認證經驗的專家組成,CASS也有自己的技術委員會,確保滿足技術發展的需要,CASS相關的標準和規范會根據IEC61508的修訂進行修改。在英國UKAS是唯一授權安全論證
的機構,進行CASS框架認證的機構都要向UKAS申請授權。系統制造商再向這些UKAS承認認證機構申請評估。CASS公司會對評估員進行考核,監督評估過程[12]。
3.2 英國鐵路工程安全評估原則和方法
目前英國在鐵路安全管理中普遍應用ALARP原則(As Low As Reasonable Practicable)[13],它是將安全相關系統的風險分成以下三類:
1) 足夠大的風險,我們不能接收;
2) 足夠小的風險,我們可以忽略;
3) 介于以上兩種風險之間的風險,我們必須采取適當的、可行的、合理成本下的方法將其降到可以接收的最低程度。
對于第三種風險,我們采用ALARP(As Low As Reasonably Practicable)原則進行風險的減低,該原則的含義是采用盡可能低的成本、合理的、可行的方法進行風險降低。我們將以上三種風險在圖3-2中進行描述。
在圖3-2的最上層,即高于不可接收風險等級,該部分的風險被認為是不可接收的風險,在任何情況下都不能,必須拒絕;
在不可接收風險等級以下,我們采用ALARP原則進行風險的減低,在該階段,必須對風險減低而花費的代價進行評估,在風險和代價
之間進行平衡。在可接收區域邊緣以下,該區域的風險有些微不足道,可以忽略。我們不需要采用任何方式或方法去減低它,當然我們必須將該區域的風險始終保持在該等級水平上。
在Railtrack鐵路咨詢公司出版的工程安全管理黃頁[13]中把安全評估過程分為兩部分:安全審核和安全認證。
安全審核是要檢查工程的安全管理是否完善,能否和安全計劃保持一致。評估員應該檢查一下安全計劃里說明的標準和步驟是不是被正確的執行了,看一下工程行為和安全計劃是不是具有繼承性。安全審核最后要有一個安全審核報告,這個報告應該包括:對項目和安全計劃一致性的評價、認為安全計劃可行的評價和計劃相符或是有所改進的建議。
安全認證是一個判斷和系統相關的風險擴大或者減小到一定等級的過程。系統的安全要求是安全認證的核心。評估員應該根據產品制造商提供的安全事例(Safety Case)回顧一下安全需求規范以評價它對控制系統風險是不是已經足夠,以及系統能不能滿足安全需求規范。進行安全認證的目的就是收集足夠的信息來證明系統的風險是可以接受的。
4.我國軌道交通信號系統安全評估與認證體系框架設想
我們設想中的軌道交通安全評估與認證體系參照的是CASS框架,由軌道交通主管部門牽頭,組織專家組制定安全認證標準和方法,相關單位可以據此申請成為第三方認證機構,聘請評估員對于安全相關系統進行安全認證,包括安全認證機構、安全標準、安全認證方法以及相關各方(政府、設備生產企業、運營單位、認證機構)之間的制約關系、權利和義務等等。如圖4-1所示。
可以概括為以下四個層次:
第一層次:在體系建立初期,政府主管單位集中安全、質量、科技、生產等管理部門成立軌道交通信號系統安全評估體系領導小組;
第二層次:安全評估體系領導小組組織權威專家和相關技術人員成立權威機構,進行安全評估相應標準和規范的制訂工作;
第三層次:進行安全評估者的資格論證,考核獨立的個人或機構進行安全評估的資格,這些個人或機構應獨立與軌道交通信號系統的研制開發、生產、銷售等業務;可以批準多個評估機構,但每年論證機構必須對這些評估機構或個人進行資格審查或評估;
第四層次:對參與信號系統設計、生產、維護、測試的主要人員進行安全設計、安全管理、安全測試和安全生產方面的培訓和評估,保證在整個體系中,安全意識得到整體體現。
5.結論
借鑒國外先進方法建立我國軌道交通信號系統安全評估與認證體系具有重大意
圖4-1 我國軌道交通安全評估與認證體系設想
義,可以迅速縮小和國際先進水平的差距,同時軌道交通信號系統的研制開發和應用也可以逐步走向規范化、系統化,切實保障軌道交通的運行安全。
參 考 文 獻
【1】.CENELEC prEN50129,Railway Applications:Safety related electronic system for signaling,1999
【2】.CENELEC prEN50159-1,Railway Applications:,Signaling and processing systems, Part 1:Safety related Communication in closed transmission systems,2001
【3】.Stuart R. Nunns, Conformity assessment of safety related systems to IEC 61508-the CASS initiative, Computing & Control Engineering Journal, Feb.2000: 33~39.
【4】.Engineering Safety Management Issue 3 Yellow book 3, Railtrack on behalf of the UK rail industry.
