燕 飞 郜春海 唐 涛
(1.北京交通大学电子信息工程学院 北京 100044;2.北京交通大学轨道交通控制与安全国家重点实验室 北京 100044)
随着世界范围轨道交通的蓬勃发展,为确保轨道交通列车运行安全和提高运输效率,迫切需要装备性能先进、安全可靠的列车运行控制系统。CBTC(communication-based train control)系统是当今世界最先进的列车运行控制系统的发展方向,它与传统的基于轨道电路的列车运行控制系统相比,具有如下特点:大容量、连续的双向车-地通信;地面设备及车载设备均采用安全计算机,实时处理列车状态、控制命令,实现连续的间隔控制、进路控制、速度防护、自动驾驶等;高精度列车定位;列车运行控制的可维修性,减少了全寿命周期成本;CBTC信息可以叠加在既有信号系统上,便于既有线改造,可实现城市轨道交通的互连互通[1]。近年来,北京市下大力气加快轨道交通网线建设,到2015年,总长561 km的轨道交通网络将正式形成,到那时北京市民出行,四环以内平均步行1 km,即可到达地铁站。其中,作为保证行车安全、提高运输效率的信号控制系统,一直依靠国外引进,核心技术掌握在外国人手里,安全评估与安全认证的标准也是由国外制定的,具体的安全评估与认证流程更是一片空白,因此对于信号系统新产品开发和新工程项目建设的安全评估和安全认证,只能摸着石头过河。
CBTC系统包括地面区域控制中心、列车的车载设备、地-车双向的信息传输系统和列车定位系统(见图1)。地面区域控制中心(ZC)是CBTC系统中地面部分的核心,它根据前车的位置信息和线路障碍物的状态信息以及联锁状况,为后车计算移动授权(movement authority,MA),即限制速度值。MA是列车安全行驶至下一个停车位置所需的,是正式授权的,它实现列车的安全间隔控制。列车安全间隔距离根据最大允许车速、当前停车点位置、线路等信息计算得出,其信息被动态循环刷新。CBTC系统的车载控制设备实时比较列车的实际速度与接收到的MA,当列车实际速度超过MA的限制速度,将自动实施常用制动或紧急制动,保证列车安全停在安全点前。CBTC系统的地-车信息传输系统通常可采用无线通信、地面交叉感应环线、波导管等媒体向车载控制设备传递信息。为确保安全,CBTC系统中列车必须对自身位置和运行方向进行精确判定。为判定位置,列车的车载计算机与转速计/速度传感器/加速度计(用于测量距离、速度和加速度)及轨旁定位应答器共同合作,实现列车的准确定位。
图1 CBTC系统框图
到目前为止,由北京交通大学自主创新的CBTC系统历经新开发的通用产品安全认证及示范工程项目的安全认证等阶段,已经正式投入到北京轨道交通亦庄线进行载客试运营。借鉴国外先进的安全标准,结合国内轨道交通工程实施的实际情况,开展安全管理和认证活动的方式,在实践中得到了很好的检验。
世界上城市轨道交通系统的发展已有百余年的历史,通过不断总结城市轨道交通建设和运营的经验和教训,已经形成了一套完整的安全管理和安全认证体系,并制定了一系列切实可行的安全技术标准。IEC 61508—《电子/电气/可编程电子安全相关系统的安全功能》是国际电工委员会(IEC)制定的国际标准,是进行轨道交通系统安全管理和安全认证的重要参考标准。
以IEC 61508为基础,欧洲电气委员会(CENELEC)下属的SC9XA委员会,制定了以轨道交通作为对象的系列标准[2-3],主要包括:
1)EN 50126—1999《铁路应用:可靠性、可用性、可维护性和安全性(RAMS)的规格及论证》,明确了轨道交通系统的可靠性、可用性、可维护性和安全性(RAMS)的概念及其相关关系,并规范了可信性系统的全生命周期,以及在每一个生命周期阶段为了保障系统的RAM和安全性所需完成的工作。
2)EN 50128—2001《铁路应用:通信、信号和处理系统(用于铁路控制和防护系统的软件)》,针对轨道交通系统安全相关软件的设计标准,规定了不同安全完善度等级的软件设计所需使用的技术和措施。
3)EN 50129—2003《铁路应用:通信、信号和处理系统(用于信号的安全相关电子系统)》,针对轨道交通信号系统的安全案例、安全完善度等级等方面进行规范。
早在项目建设初期,北京轨道交通建设管理有限公司(业主)就与英国劳氏铁路公司签订了北京地铁亦庄线信号系统独立第三方安全评估(ISA)服务合同,以在项目的整个生命周期内对项目开发、实施和测试过程中进行独立安全评估和项目安全认证工作。安全认证过程中采用英国的ALARP原则。
ALARP(as low as reasonable practicable)原则将风险划分为几个区域,包括不被接受的区域(intolerable region)、可容忍的区域(tolerable region)、一般能被接受的可接受区域(acceptable region)和可忽略的区域(negligible region),如图2所示。
图2 ALARP原则
标准将风险定义为:导致伤害的危险发生的概率和损害的严重等级。危险源的风险由危险源发生的概率和危险源严重性的乘积而定。
最上层的风险是不能接受的,必须采取一定的控制措施,使得风险能够降低到中间可容忍的区域;除非在非常特殊的情况下不得不接受这样的风险,但是仍然需要详细说明风险的性质和接受的原因。在可容忍区域内的风险,必须采取合理可行的措施减少这样的风险,使其降低到可接受的区域。在可接受区域内的风险,不需要采取进一步的措施降低风险,但是需要确保风险保持在此区域内。
ALARP原则强调整体上对系统相关的风险进行最终判断,使得每一个风险评估在可以接受或可以忍受的同时,也要注意系统总体的风险不能处于较高的等级。另外,总体风险应该尽可能降低到最低。
在北京轨道交通亦庄线项目建设的初期,所有参建单位都根据CENELEC标准的要求开展安全计划、分析和安全保证工作。根据EN50129标准的要求,结合北京地铁亦庄线项目工程的实际特点,决定自主研发CBTC产品,并制定了针对亦庄线示范工程项目的安全生命周期模型,具体内容如图3所示。
图3 自主研发CBTC产品生命周期
本部分应对系统/子系统/设备设计进行总体概述,并要有足够的深度,以便相关人员能清晰地理解系统所用的原则和技术,并描述系统的主要功能以及内外部接口。
安全管理过程是由一些阶段和活动组成的,将这些阶段和活动关联起来就形成了安全生命周期。安全生命周期应参照EN 50126标准中的系统周期定义,并与产品或项目中定义的系统生命周期相一致。系统生命周期中的设计和确认部分可看作一个“自上而下”阶段并伴随一个“自下而上”阶段(如V型)。
安全管理过程应在一个适合的安全组织的控制下执行,让能胜任相关工作的人员担当相关角色。根据相关系统的安全完善度等级要求,不同角色之间应有适当的独立性。
在系统生命周期执行的初期就应制订一个安全计划。该计划中应确定安全管理的组织架构,贯穿整个生命周期中的安全相关活动和里程碑,并应包含在适当间隔内对安全计划进行回顾。当对原系统/子系统/设备进行变更和扩展后,应对安全计划进行更新并评审。如果做了变更,那么应在生命周期的适当阶段对安全的影响进行评估。
安全计划应涉及系统/子系统/设备的所有方面,包括软硬件两部分。安全计划应包括一个“安全证明文件”的计划,以识别出最终“安全证明文件”的预期结构和主要组成部分。
在系统设计的初期应根据危险源分析(包括PHA、SHA、SSHA、IHA和OSHA等)的结果创建一个危险源日志,并在整个安全生命周期内维护危险源日志。危险源日志中应包括一个已识别危险源,以及与每个危险源的风险等级、风险控制信息和危险源的状态。在对系统/子系统/设备进行变更时也应更新危险源日志。
系统(或子系统/设备)需求说明书中与安全相关的需求通常称为安全需求。安全需求可以从功能安全需求和安全完善度需求两个方面考虑。
功能安全需求就是系统、子系统或设备应具备的与安全性相关的实际功能,而安全完善度需求定义了每一安全相关功能的安全完善度等级。
每个系统/子系统/设备的特定安全需求,包括安全相关功能和安全完善度等级,应在安全需求说明书中予以确定并形成文档,通过危险源识别和分析、风险评估和分类、安全完善度等级分配的方法予以实现。
在系统生命周期的设计阶段要进行一个满足规定运营和安全需求的设计。设计人员应使用“自上而下”、结构化的设计方法,实施严格的控制和评审,并文档化。特别是在软件需求说明书中所规定的软硬件的关系以及软硬件集成方面,应严格管理并遵循EN 50128标准的要求。系统/子系统/设备设计的详细过程详见相关系统设计、架构设计、子系统设计,以及硬件、软件概要设计和详细设计流程。
在系统生命周期的适当阶段,应进行安全审核,以监控安全管理过程是否按照安全计划及相关标准的要求实施。在安全计划中应明确安全审核的过程,审核结果应文档化。系统/子系统/设备的任何变更和扩展也应进行审核。
在安全计划中应定义:用于验证生命周期的每个阶段的内容,应满足前一阶段所规定的安全需求计划,以及确认所完成的系统/子系统/设备满足初始的安全需求计划,或给出这些验证或确认计划的参考索引。
安全验证和确认工作,包括适当测试和安全分析在内的活动,都应被执行并书面描述。如后续工作中对系统/子系统/设备做出变更和扩展,应充分重复执行这些活动。
系统/子系统/设备满足安全验收条件的证据应在一个称之为“安全证明文件”的结构化文档中予以列出。在此节中应描述满足质量管理、安全管理以及功能和技术安全的证据索引。
系统/子系统/设备在向地铁公司交付之前,应满足安全验收和安全批准的条件,包括提交“安全证明文件”和“安全评估报告”。
系统交付投入运行之后,应符合在安全计划和技术安全报告中所定义的过程、支持系统和安全监控的要求。在系统的运行生命过程中,由于种种原因做出变更需求,这些变更并非都与安全相关。每一变更需求对安全的影响都应依据安全文档的相关部分进行评估。在变更导致影响系统/关联系统/环境的安全时,安全生命周期的相应部分要重复操作以保证不影响安全完善度等级。
北京轨道交通亦庄线示范工程确定分5个阶段颁发证书,如表1所示。在进行独立评价之前,需要针对用户需求和相关标准制订一个检查表。检查表可以提供一个系统方法记录独立评价结果和证据,作为评价方的文档保存,以备追溯。
表1 亦庄分5个阶段颁发证书
从项目建设初期开始,独立安全评估人员(ISA)就对项目计划、安全计划、质量计划、配置管理计划和测试计划,以及系统需求说明书等文件进行评审,并以书面形式提出相关的改进意见。
在系统设计、实现和室内测试阶段,ISA对所有的安全文件进行全面的评审,也抽取一定数量的设计文件进行评审,并以书面形式提出相关的改进意见。
在集成商和各分包商完成相关子系统的开发工作后,ISA对各子系统的集成测试和系统测试的测试规格书、测试计划和测试报告进行全面的评审,并提出书面的改进意见。
所有由ISA提出的改进意见,待文件修订并经ISA评审合格后方可关闭。
ISA根据EN 50128、EN 50129等标准的要求,从系统保证、安全保证、软件保证和质量管理等方面,在系统需求、系统设计和实现、系统测试等主要阶段,对系统集成商和核心技术供货商进行现场审核,并提出书面的审核报告。系统集成商和核心技术供货商需要对ISA提出的审核意见进行回复,并提供相关的证据后ISA才可关闭其意见。
此外,ISA也在试验室仿真测试和现场测试过程中进行见证测试,并设计适当的测试用例进行测试,特别是针对安全需求的测试用例,以确保能够满足相关的安全要求。
对于审核过程中存在的问题,业主、独立安全评估人员、系统集成商与核心技术供货商一同,每周召开安全例会,对安全审核和评估过程中存在的问题及时进行沟通及跟进解决。
为确保信号系统在测试调试和投入运营后的安全,ISA对北京地铁亦庄线的单车动车调试、多车动车调试、试运行、载客运营等阶段进行了特别的监控。在这些阶段,系统集成商和核心技术供货商提供相关的设计文件、测试报告和安全证明文件,ISA根据EN50128、EN50129的要求通过文件评审、现场审核和见证测试等手段进行安全评估,然后提供安全评估报告并发布安全证书,然后方可开展这些阶段的测试调试和系统投入运营等工作。
此处需特别说明的是,在北京地铁亦庄线项目安全评估工作时,ISA会特别地查看各供货商所提供的安全苛求系统的产品是否已经获得了产品的安全认证证书。在用于北京地铁亦庄线的信号系统产品中,车载ATP子系统和区域控制器(ZC)子系统已获得英国劳氏铁路的SIL4级通用产品安全认证,联锁(CI)子系统已获得德国莱茵SIL4级产品安全认证。若有安全苛求系统的产品未获得安全认证证书,则不具备对项目颁发安全认证证书的条件。
安全认证工作涉及项目的整个生命周期。
1)产品设计和开发:产品的设计和开发由设计团队执行。在系统设计和开发的过程中,设计对每个阶段所完成的工作予以详细记录,如系统和子系统需求说明书、系统架构说明书、概要设计和详细说明书等,直至硬件元器件、图纸和软件代码的实现。
2)系统测试:系统、子系统、组件和模块等的实现都需要通过测试予以验证[4],在CBTC系统开发的每个阶段,都需要编制相应的测试规格书,用于对系统各阶段的测试验证工作。
3)验证和确认(V&V):此工作由内部独立于项目团队的V&V人员担当。在项目生命周期内的每一个阶段,都由V&V人员对其进行验证,以确保每个阶段所完成的工作针对于上一阶段的工作是正确的,并在每个阶段产生验证报告。系统的开发和测试工作完成后,由V&V人员对其进行确认,以确保开发出正确的产品,也即满足用户的要求。另外V&V人员需要对系统中采用的COTS(成熟商用产品)产品进行安全确认[5]。
经过艰苦的努力,国内首套完全自主创新的产品已获得SIL4级独立第三方安全认证证书的CBTC系统,目前已在北京地铁亦庄线示范工程中得到了应用。期间共颁发了9个安全授权书,涵盖试车线、单车调试、多车调试、试运行和载客试运营等各个阶段。回顾整个过程,深刻感受到:从风险的角度衡量和评价一个产品或系统的安全性,在系统的整个生命周期内,每一个阶段利用国际上先进且切实可行的标准和科学的方法进行安全保证和质量管理,并聘请独立第三方评估团队对每个过程进行安全审核及评估,是保证具有自主知识产权的CBTC系统能安全、可靠地投入到国内城市轨道交通中应用的关键。
[1]燕飞,唐涛.轨道交通信号系统安全技术的发展和国外的研究现状[J].中国安全科学学报,2005,15(6):94-99.
[2]CENELEC EN 50129—1999.Railway applications:safety related electronic systems for signalling[S],2003.
[3]CENELEC EN 50126—1999.Railwayapplications:the specification and demonstration of reliability,availability,maintainability and safety(RAMS)[S],1999.
[4]郜春海,燕飞,唐涛.轨道交通信号系统安全评估方法研究[J].中国安全科学学报,2005,15(10):74-79.
[5]Maurizio Morisio.Commercial-off-the-shelf(COTS):A Survey a DACS state-of-the-art report[R],2000.