适应CTCS-3系统集成的安全保障体系研究

陈 磊

（北京全路通信信号研究设计院有限公司，北京 100073）

1 概述

CTCS-3级列车运行控制系统是中国铁路时速300～350 km客运专线的重要技术装备，是中国铁路技术体系和装备现代化的重要组成部分，是保证高速列车运行安全、可靠、高效的核心技术之一。安全性、可靠性和高效运行是高速客运专线列控系统的关键要求，其中，列控系统自身和系统集成过程的安全性是确保系统可靠、高效运行的前提。因此，CTCS-3级列控体系在对运营规则、列控系统主要装备和技术进行规范的同时，还提出针对CTCS-3级列控系统的系统评估概念，旨在通过引入外部评估，促使设备供应商和系统集成商完善系统安全保障，降低运营的安全风险。

站在CTCS-3级列控系统产品研发和系统集成的前沿，北京全路通信信号研究设计院（现北京全路通信信号研究设计院有限公司）一直致力于将“安全是企业的生命，安全是企业的承诺”作为企业的安全方针。CTCS-3级列控系统集成项目由于其创新性和复杂性，给项目安全保障提出了巨大挑战。

本文将欧洲成熟安全保障理念、最佳实践与CTCS-3列控系统系统集成项目实际相结合，以构建适应CTCS-3系统集成的安全保障体系为核心，从项目安全组织结构、项目安全保障工作流程、安全监视工作流程和安全里程碑几个层面，对构建安全保障体系的关键要素进行总结与描述。

2 项目安全组织与人员独立性

由于系统集成项目的技术复杂性和管理复杂性，存在大量的项目安全技术和安全管理工作；同时把CTCS-3级列控系统引入系统评估，并将系统评估结论作为项目开通运营的重要指标，系统集成商需要向评估方提供足够的安全证据，证明已经采取了足够的质量、安全管理措施和技术安全措施，将风险控制在业主可接受的程度。因此，需要设立专门的项目安全组织，完成以下工作。

（1）项目安全保障工作。主要包括针对系统、子系统等各个层面和项目不同阶段的危险分析；危险日志、安全需求、安全相关应用条件的管理；不同系统层次、不同分包商的安全协调等。

（2）项目安全监视工作。主要包括定期、不定期的安全审核；对项目验证与测试工作的见证与抽检；系统层面的安全确认；企业内部的独立安全评估与安全里程碑管控等。

根据以上安全工作的要求，安全保障体系规定CTCS-3系统集成项目安全组织设置需要遵循如图1所示的原则（图1用于说明项目安全组织，其他项目组织仅供参考）。

项目安全组织包括安全工程师小组、安全咨询工程师、独立安全确认工程师和内部安全评估工程师。

安全工程师小组主要负责组织与协调系统集成项目相关人员进行安全保障活动，在不同子系统之间进行安全协调，收集安全相关证据，并与分包商进行协调，监视分包商安全保障活动。值得注意的是，安全工程师只有与项目人员紧密合作，才能有效开展安全保障活动，因此不存在与项目的独立性要求。

由于系统集成项目的特点，项目安全组织一般会配备安全保障方面的专家作为安全咨询工程师，为安全工程师小组的活动提供必要的指导。

独立安全确认工程师主要负责对项目的阶段验证、测试活动输出进行确认，并对相关过程进行监视，确保项目验证/测试活动与设计/实施活动的独立性；同时依赖CTCS-3列控实验室仿真测试、实验线测试、现场联调联试、试运行等结论对整个项目进行系统确认。确认工程师独立于项目，直接向院技术管理机构进行汇报，当项目出现严重安全隐患时，有权要求技术管理机构暂停项目进行整改。

内部安全评估工程师主要工作包括通过安全审核、见证安全保障活动等方式，对项目安全保障活动进行监视；在安全里程碑处通过审核与评估安全工程师小组提交的项目安全证据，给出允许项目进入下一阶段的安全许可；与系统评估方接口，为系统评估方提供项目安全证据。评估工程师独立于项目，直接向院安全管理机构进行汇报，并通过安全里程碑处是否出具安全许可的方式，对项目安全保障工作进行控制。

3 项目主要安全保障活动

安全保障活动是项目活动的重要组成部分，不需要保持与项目活动的任何独立性。安全工程师小组是安全保障活动的组织、协调者和信息收集者，而安全保障活动的执行者，还需要依赖项目人员和相关专家。

安全保障活动需要根据项目安全计划和安全保障体系的要求进行实施。安全计划在项目初期依据项目计划、项目合同、系统评估要求和安全保障体系要求制定，并在项目执行中，根据实际情况进行修正与更新。

安全保障活动可以根据活动开展的时间点和时间跨度不同，分为离散的安全活动和连续的安全活动两大类，这两类活动相互关联、相互依赖，最终组成项目完整的安全活动，并被记录在项目安全例证报告中。

3.1 离散安全保障活动

离散安全保障活动是指那些在项目不同阶段，根据项目特征进行的安全保障活动，这些活动根据项目实际情况在时间跨度和方法上各有不同。

在系统集成项目中，安全工程师小组需要根据安全计划，在项目不同阶段，针对不同层次的系统集成活动，有针对性地进行危险分析、控制措施识别与实施等工作。危险分析包括针对系统高层结构的初步危险分析（PHA），针对系统总体的系统危险分析（SHA），针对系统内部子系统的危险分析（SSHA），针对系统外部和内部接口的接口危险分析（IHA）、针对人机接口和工程化流程的运营安全危险分析（O&SHA）等。

安全工程师在对系统层面或子系统/分包商层面进行危险分析时，采用的危险分析类型有所不同，表1给出一般CTCS-3系统集成项目中需要进行的危险分析类型。

表1 系统集成项目中危险分析类型选择示意

需要注意的是，系统层次的SHA一般基于PHA结果，在子系统/分包商层面的危险分析结果基础上进行。由于系统集成项目的特殊性，应充分重视项目进行过程中由于人的参与或工程化流程引起的危险，即通过O&SHA对人为因素进行分析。

一般情况，每类危险分析均包括危险识别、原因分析、后果分析和损失分析等工作。危险识别在于集中关注、识别未发生的、潜在的事故；原因分析用于确定并识别产生危险的因素及其组合，以便得到控制危险发生的安全需求；后果分析用于评价如果危险真的发生所带来的影响和结局；损失分析在于得到可信的损失程度的估计，以便评估新识别的危险是否可以被接受。

在系统集成项目中，危险分析根据具体情况，主要使用危险和可操作性研究（HAZOP）、故障树分析（FTA）、事件树分析（ETA）等方法。

安全工程师所作的离散安全保障活动可以概括为：在适当的项目阶段，根据被分析对象的特点，选用适当的危险分析类型，组织项目人员和相关专家，采用适当的危险分析方法，对相关危险进行识别，分析危险产生的原因和可能造成的后果，对损失进行估计。

3.2 连续安全保障活动

连续安全保障活动是指那些贯穿于项目主要生命周期的安全保障活动，主要包括危险日志的维护、安全需求与安全相关应用条件的传递与跟踪等。

考虑到CTCS-3系统集成工作的复杂性，安全工程师小组依据系统结构，设置不同专业或子系统的安全工程师，分别维护子系统的危险日志和系统层次的危险日志。每个系统/子系统危险日志中记录的危险，主要来源包括合同、规范中已知的危险，危险分析中识别出的危险，由外部引入的危险或安全相关应用条件，系统/子系统在一般产品或一般应用层面发现的危险或安全相关应用条件等。安全工程师小组负责对各种渠道得到的危险进行整理，并定期或不定期的组织相关负责人和技术人员进行评审，对危险进行决策与评估，通过评审的方式决定是否将新危险录入危险日志。

一旦危险被录入危险日志，安全工程师就需要组织项目相关人员对危险进行分析，识别降低危险发生概率或引发后果严重度的危险控制措施。若危险或外部传递来的安全相关应用条件可以被控制在危险所属的系统/子系统内，则需要产生相应的安全需求，用于要求项目设计与工程实施团队将风险控制在可接受的范围内；若危险无法被本系统/子系统进行有效缓解，如需要其他子系统进行处理或需要用户完善操作规程，则需要产生安全相关应用条件，并由安全工程师以书面、可追踪的形式传递给危险的责任方，并跟踪责任方对危险的处理。

安全工程师与项目人员紧密沟通，不断跟踪安全需求和安全相关应用条件的实现情况，当相关责任方认为需求或应用条件已经得到有效实现，危险被有效控制或缓解时，安全工程师必须通过测试或组织评审的方式，确认相应危险是否关闭，并变更危险日志中的危险状态。

在整个CTCS-3级列控系统正式交付之前，危险日志中记录的所有危险均应关闭，以确保系统风险被控制在可接受程度。

4 项目主要安全监视活动

考虑到CTCS-3系统集成项目安全保障工作的复杂性，除科技运（2008）160号《CTCS-3级列控系统系统评估实施办法》规定的独立系统评估以外，安全保障体系还规定了项目内、确认和内部独立安全评估3类监视活动，完成以下任务。

（1）证实项目具有实现项目安全目标要求的能力。

（2）确保安全保障体系、系统评估办法在项目中能够有效实施。

（3）确保CTCS-3系统集成项目与安全保障体系和系统评估办法的持续符合性。

图2给出安全保障监视与CTCS-3系统集成项目的关系。

项目内监视主要方式包括安全评审和验证/测试活动。安全评审是一种特殊的验证活动，安全工程师根据项目安全计划，在项目关键阶段组织相关负责人、涉及到项目安全的关键人员和相关领域专家，通过会议、讨论等形式，对项目关键阶段的文档、工作进行评审，而评审主要关注会影响到项目安全的方面。验证是指在生命周期的每个阶段，通过测试和分析手段，确定所考虑阶段的需求是否满足前一阶段的输出以及本阶段的输出是否实现了本阶段的需求的一种活动，验证活动由独立于被验证工作的有资质人员进行。

确认监视即独立安全确认，由独立安全确认工程师执行。确认是通过测试和分析，表明产品在各个方面符合规定要求的一种证明行为。在系统集成项目中，主要包括对项目阶段成果和最终成果的确认和对项目执行过程的确认两部分。

内部独立安全评估监视包括安全审核与安全评估两类工作，由独立安全评估工程师完成。安全审核是对安全保障工作所提供的遵循安全计划的证据进行审核；安全评估是指对项目中存在的风险进行评估，即对安全保障工作使得项目能够满足安全需求的证据进行审核。内部独立安全评估监视主要采用审核项目文档、项目组面谈、见证/参与项目活动、独立进行风险评估等手段。

5 安全里程碑

安全里程碑是项目安全管理不可忽视的一部分，安全里程碑是项目中与安全有关的重大事件，在项目进行过程中一般不占用资源，是一个时间点，通常与一个可支付成果的完成相关联。

针对CTCS-3系统集成项目特点，并结合《CTCS-3级列控系统系统评估实施办法》中“验收确认”阶段的工作划分，安全保障体系设置了如下3个安全里程碑，用于对项目安全成果进行控制。

（1）安全里程碑1：允许现场联调联试；

（2）安全里程碑2：允许试运行；

（3）安全里程碑3：允许正式运营。

设置这3个安全里程碑的目的是在整个CTCS-3级列控系统进入现场联调联试、试运行或正式运营阶段之前，通过对相关安全证据的审核与评估，确认整个列控系统具备进行后续工作的条件。同时在相应安全里程碑出具的安全许可内，安全评估工程师还需要根据前期工作结果明确进行后续工作的各种安全限制条件，如系统运行中功能的限制、特殊的操作流程、特定的检查手段与流程等，以确保后续活动不会由于现场操作引发事故或人员伤亡。

在安全里程碑处，若安全评估工程师认为项目不具备进入下一阶段的条件，需要在阶段评估报告中明确说明评估结论，并有权拒绝出具相应的安全许可。安全管理机构根据评估工程师意见决定是否允许项目进入下一阶段。

6 结论

本文从项目安全组织的构建、项目离散安全保障活动与连续安全保障活动、不同层面的项目安全监视活动和作为项目安全控制点的安全里程碑的设置等方面，对构建能够满足CTCS-3系统集成项目安全管理要求和系统评估要求的安全保障体系关键要素进行了论述。安全保障体系已经应用于武广客运专线的安全管理，随着武广客专的顺利开通，更进一步验证了本安全保障体系对CTCS-3系统集成项目的适用性和有效性。