鐵路通信信號系統(tǒng)安全評估方法探討

曹雪鳳

（北京全路通信信號研究設(shè)計院有限公司, 北京 100073）

曹雪鳳，女，碩士畢業(yè)于北京交通大學，工程師,質(zhì)量安全部副經(jīng)理。主要研究方向包括科研項目管理、質(zhì)量管理、安全管理,曾參與C3實驗室建設(shè)項目、國家科技支撐計劃項目。

當今社會，高速鐵路迅速發(fā)展，速度已高達300 km/h，安全性、可靠性、可用性和可維護性是高速鐵路通信信號系統(tǒng)的關(guān)鍵要求。其中，鐵路通信信號系統(tǒng)自身的安全性是系統(tǒng)可靠、高效運行的前提。因此，在對鐵路通信信號系統(tǒng)的運營規(guī)則、主要設(shè)備和技術(shù)進行規(guī)范的同時，還提出了系統(tǒng)安全評估的概念。旨在通過安全評估過程，完善系統(tǒng)安全保障流程，降低系統(tǒng)的安全風險。

1 安全評估

由于鐵路通信信號系統(tǒng)的技術(shù)復雜性和管理復雜性，項目存在大量的安全技術(shù)和安全管理工作。因此，在鐵路通信信號系統(tǒng)引入安全評估，并將系統(tǒng)評估結(jié)論作為判斷是否具備開通運營條件的重要依據(jù)。在評估過程中，系統(tǒng)集成商需要向系統(tǒng)評估方提供足夠的安全證據(jù)，證明已經(jīng)采取了足夠的質(zhì)量、安全管理措施及技術(shù)安全措施，并提供了充分的安全證據(jù)，系統(tǒng)風險已經(jīng)被控制在業(yè)主的可接受范圍內(nèi)。

2 安全評估方法

目前國際上通行的做法是通過獨立安全評估保障鐵路通信信號系統(tǒng)的安全性。安全評估要求在鐵路通信信號系統(tǒng)方案、設(shè)計、制造、運行安全過程中進行安全管理和監(jiān)督，對鐵路通信信號系統(tǒng)的技術(shù)安全證據(jù)審查，分析系統(tǒng)開發(fā)過程中固有的或潛在的危險因素，論證技術(shù)措施的合理性，安全措施的充分性，最后向業(yè)主出具安全評估報告。

2.1 內(nèi)部安全評估

2.1.1 內(nèi)部評估的目的

當項目未設(shè)置外部獨立安全評估機制時，內(nèi)部獨立安全評估作為替代外部獨立安全評估的機制，完成外部獨立安全評估的功能；當項目設(shè)置外部獨立安全評估機制時，內(nèi)部獨立安全評估作為項目承擔單位安全機構(gòu)管理項目安全的重要手段。內(nèi)部獨立安全評估的目的是，通過對項目承擔單位對項目的執(zhí)行進行安全審核與安全評估，以保障安全相關(guān)項目所含有的風險降低到法律法規(guī)規(guī)定的和/或合同規(guī)定的可以接受的程度。

2.1.2 與外部評估的關(guān)系

內(nèi)部獨立安全評估活動是項目承擔單位內(nèi)部承擔項目的安全保障措施，評估的目的、手段、方法等都應(yīng)遵循鐵路行業(yè)第三方獨立安全評估的一般慣例。評估團隊由于來自項目承擔單位內(nèi)部，不具備公司級別的獨立性，但評估工程師在執(zhí)行評估工作時應(yīng)當按照獨立性的要求進行工作。

2.1.3 獨立評估活動

內(nèi)部獨立安全評估應(yīng)是基于風險的評估和過程符合性的審核的結(jié)合。安全評估的活動包括審核項目安全計劃，審核項目活動，檢查項目安全記錄，見證/參與項目活動等。安全評估工程師應(yīng)通過這些活動來確認項目是否確立了足夠的/正確的安全目標；是否按照行業(yè)慣例/標準的要求執(zhí)行項目；是否按照組織質(zhì)量安全體系的要求執(zhí)行項目；是否存在影響安全的因素，并將這些因素及時告知項目和相應(yīng)的安全機構(gòu)，使得項目可以按照合乎要求的方式執(zhí)行；從而項目成果能夠達到要求的安全目標。

內(nèi)部安全評估需要設(shè)置專門的項目安全保障組織，完成下面的工作。

1）項目安全保障工作。主要針對系統(tǒng)、子系統(tǒng)等各個層面不同階段的危險分析、危險日志、安全需求、安全相關(guān)應(yīng)用條件的管理；不同系統(tǒng)層次、不同分包商的安全協(xié)調(diào)。

2）項目安全監(jiān)視工作。主要包括定期不定期的安全審核；對項目驗證與測試工作的見證與抽檢；系統(tǒng)層面的安全確認；企業(yè)內(nèi)部安全評估和安全里程碑管控。

2.2 外部安全評估

2.2.1 外部安全評估原則

外部安全評估是項目承擔單位以外的獨立第三方評估機構(gòu)對系統(tǒng)進行的基于風險的評估和過程符合性審核。外部安全評估應(yīng)遵循以下幾個原則。

1）獨立性原則：系統(tǒng)評估工作由相對獨立于其生產(chǎn)和設(shè)計單位的第三方評估機構(gòu)牽頭，可聯(lián)合國內(nèi)科研院校及相關(guān)單位，適當引入國外有資質(zhì)的評估機構(gòu)及專家進行技術(shù)咨詢，以保證評估結(jié)果的客觀性、公正性和權(quán)威性。

2）系統(tǒng)性原則：系統(tǒng)評估涵蓋從系統(tǒng)設(shè)計開發(fā)到系統(tǒng)應(yīng)用的全過程，增強系統(tǒng)生命周期內(nèi)的安全保障。

3）整體性原則：對系統(tǒng)具體應(yīng)用的安全案例（包括所有核心部件、設(shè)備、子系統(tǒng)的必要信息和安全證據(jù)）進行整體評估。

4）結(jié)合性原則：系統(tǒng)評估不僅對系統(tǒng)需求、安全需求和安全案例等關(guān)鍵證據(jù)進行審查，還應(yīng)在系統(tǒng)開發(fā)過程中，對室內(nèi)仿真測試、試驗線實車運行試驗以及聯(lián)調(diào)聯(lián)試等不同階段的驗證、確認活動進行同步檢查和審核，以確定CTCS-3級鐵路通信信號系統(tǒng)的功能及技術(shù)性能是否符合需求。

5）互認性原則：已獲得安全認證或許可的產(chǎn)品，不重復評估。

2.2.2 外部安全評估機構(gòu)要求

鐵路通信信號系統(tǒng)是一個極其復雜的系統(tǒng)，對其的安全評估存在一定的難度，因此對外部安全評估機構(gòu)的要求也非常高。系統(tǒng)評估機構(gòu)應(yīng)具備的條件包括：1）具有獨立的法律地位；2）按照ISO導則65（EN45011）《產(chǎn)品認證機構(gòu)通用要求》或ISO17020《檢查機構(gòu)能力的通用要求》建立系統(tǒng)評估管理體系；3）具有系統(tǒng)評估相關(guān)的各類專業(yè)人員，并建立完善的系統(tǒng)評估人員評價注冊管理制度；4）具備與系統(tǒng)評估相適應(yīng)的風險保障機制。

3 安全評估步驟

3.1 內(nèi)部安全評估

安全評估的活動包括審核項目安全計劃，審核項目活動，檢查項目安全記錄，見證/參與項目活動等。安全評估工程師應(yīng)通過這些活動來確認項目是否確立了足夠的/正確的安全目標；是否按照行業(yè)慣例/標準的要求執(zhí)行項目；是否存在影響安全的因素，并將這些因素及時告知項目和相應(yīng)的安全機構(gòu)，使得項目可以按照合乎要求的方式執(zhí)行；從而項目成果能夠達到要求的安全目標。內(nèi)部獨立安全評估應(yīng)是基于風險的評估和過程符合性的審核的結(jié)合。

3.1.1 評估流程

內(nèi)部評估流程主要包括制定計劃，執(zhí)行階段評估、審核，報告等幾個主要活動，如圖1所示。

圖1顯示的是一般內(nèi)部評估流程，根據(jù)被評估的項目，評估工作可以被劃分為一個或多個評估階段。而一個評估階段又可以劃分為一個或幾個審核階段。評估和審核階段的劃分應(yīng)該隨被評估項目的安全生命周期確定。

3.1.2 內(nèi)部評估與項目關(guān)系

內(nèi)部評估與被評估項目同步進行，評估階段與項目階段同步，如圖2所示。內(nèi)部獨立安全評估流程應(yīng)隨項目的開展而進行，評估應(yīng)基本與項目同時開始，如圖2所示。

圖2顯示了內(nèi)部獨立安全評估工作與被評估項目的關(guān)系，左側(cè)為被評估項目，項目評估階段應(yīng)按照項目階段進行，分為若干階段，有的項目還有里程碑。圖右側(cè)顯示內(nèi)部獨立安全評估活動及輸出。評估活動隨著項目進展而開展，通過評估活動評估項目是否按照評估標準的要求開展。在每個階段產(chǎn)生并提交評估報告，報告中對不符合評估標準的事項進行說明，供項目組調(diào)整修改。

3.1.3 評估活動

內(nèi)部評估活動主要包括以下內(nèi)容。

1）制定評估計劃（包含審核計劃）；

2）審核項目安全保障文檔；

3）分階段審核項目執(zhí)行情況，包括階段審核，告知項目審核結(jié)果，監(jiān)測項目改正情況，編寫階段安全審核報告等工作；

4）進行階段評估工作，編寫階段評估報告；

5）進行安全評估，并編寫最終評估報告。

3.2 外部安全評估

一般對于業(yè)主要求的必須由獨立第三方評估機構(gòu)評估的項目必須有第三方評估。第三方評估流程如下。

1）系統(tǒng)評估機構(gòu)會同系統(tǒng)承包商（集成商）、供應(yīng)商或其他委托方確定評估需求、評估范圍，簽訂評估協(xié)議；

2）系統(tǒng)評估機構(gòu)提出評估計劃；

3）被評估單位建立安全組織與質(zhì)量管理組織，準備相應(yīng)的安全案例和試驗驗證報告；

4）系統(tǒng)評估機構(gòu)對系統(tǒng)的安全性和功能/性能的符合性進行審核、見證與評估；

5）系統(tǒng)評估機構(gòu)向委托方出具系統(tǒng)評估報告。

目前，我國的鐵路通信信號系統(tǒng)安全評估工作剛剛起步，直接選用國外獨立的安全評估機構(gòu)，評估周期長，費用高，也不適合我國復雜的鐵路運輸要求。因此在發(fā)揮我國既有的安全管理經(jīng)驗的基礎(chǔ)上，借鑒國外安全評估的成熟經(jīng)驗，選擇國外的獨立安全評估機構(gòu)進行咨詢，開展評估工作是切實可行的。這樣既為我國鐵路通信信號系統(tǒng)的安全評估工作積累經(jīng)驗，也為我國鐵路安全評估工作在國際上得到認可打下基礎(chǔ)。

4 結(jié)論

本文從內(nèi)部/外部角度對鐵路通信信號系統(tǒng)的評估過程進行分類，分別對二者的概念、原則與流程進行了解釋，并針對如何提高安全評估手段的有效性、實用性等問題進行了探討。目前，內(nèi)部安全評估和外部安全評估都已經(jīng)應(yīng)用于已上線鐵路通信信號系統(tǒng)的安全管理中。

[1] BS EN 50128 Railway applications —Communication, signalling and processing systems —Software for railway control and protection systems[S].2011.