轨道交通信号系统安全评估综述

邵玉华

（吉林铁道职业技术学院铁道运输系，132001，吉林//副教授）

安全评估已成为许多先进国家轨道交通安全管理计划的一个十分重要的内容。欧洲、美国提出了信号系统定性和定量的接收准则和安全评估体系，以最大限度保证所接收的信号系统的安全性、可靠性、可维护性和可操作性（RAMS）。从运营组织上看，这些国家均采用授权的独立第三方机构论证和评估。诸如英国劳氏、TUV（德国莱茵技术监护顾问股份有限公司）等专业从事安全评估的企业，对保障轨道交通信号系统安全起到了十分重要的作用。

我国对安全评估的研究和实践还在起步阶段。文献［1－2］对安全评估标准的概念、组织框架等有比较明确的认知，在安全评估的体系和方法以及安全完整度等级的分配方面也有一定的研究，提出了基于VGES（灰色可拓空间）的安全评估方法，分析了ATP（列车自动保护）系统的安全完整度等级分配。文献［3－5］对安全评估体系、评估所采用的理论和方法进行研究，提出了基于模糊集合理论的安全评估方法和基于混沌控制理论的安全评估方法。文献［6］对安全相关系统的硬件故障分析进行研究，将灰色灾变预测方法运用在轨道交通的设备检修阶段。安全评估问题也引起了铁道部的重视，提出了要建立安全评估中心［6］。文献［7］针对铁道部高速铁路运营过程的实际问题，应用安全系统工程理论，提出了我国高速铁路系统生命周期内实施安全评估的体系框架。

到目前为止，我国尚未建立起完整的安全评估理论和方法，形成独立承担安全评估的工作能力。本文针对轨道交通安全评估的标准、评估内容和方法进行研究和讨论。

1 轨道交通信号安全及相关标准

美国、澳大利亚、日本等国家以及欧洲已建立了比较完善的安全评估和安全管理体系，制定了一系列切实可行的安全评估技术标准。如英国工商部和健康安全部门提出了CASS（与安全系统相关的一次性评估）安全评估框架，并建立了CASS公司，负责对评估员进行考核，监督评估过程。此外，国际标准化组织制定了一系列标准，如IEC 61508标准簇、EN 标准系列、IEEE 1474.1— 1999［8］、ERTMS/ETCS02S1266［9］等。

IEC 61508［10］是国际电子电工委员会（IEC）制定的《电气/电子/可编程电子安全相关系统的功能安全》国际标准，是进行轨道交通安全评估和论证重要的参考标准。目前欧洲各国铁路主要以EN（欧洲标准）为基准，依托第三方评估机构，对既有线和在建的项目进行安全性论证。我国台湾高速铁路尽管部分采用了日本设备，但也按EN系列标准进行独立验证与确认［8］。

欧洲电气化标准委员会（CENELEC）［11］下属的SC9XA委员会制定了以计算机控制的信号系统作为对象的铁道信号标准，包括4个部分：①EN 50126铁路应用，可靠性、可用性、可维护性和安全性（RAMS）规范及说明；②EN 50129铁路应用，安全相关电子系统；③EN 50128铁路应用，铁路控制和防护系统的软件；④EN 50159.1铁路应用，通信、信号和处理系统。其相互关系如图1所示。

图1 欧洲轨道交通领域标准间的相互关系

EN 50126标准［12］定义了轨道交通运输一般系统的RAMS，给出了系统生命周期内各个阶段RAMS的管理和要求。RAMS是衡量系统服务质量的一个重要特征。如果系统的可靠性和可维护性在系统给定的时间内能够满足要求，则系统的安全性和可用性将得到保证。为达到规定的RAMS，必须在整个系统的生命周期内有效控制RAMS的影响因素，即在系统设计和实现阶段要考虑系统的随机故障和系统故障。

EN 50129标准［13］适用于铁路信号应用中与安全相关的电子系统（包括子系统和设备）。标准建议对所有铁路信号系统、子系统或设备进行EN 50126和本标准中定义的危险分析和风险评估。该标准定义了质量管理措施、安全管理措施、功能和技术安全措施以及安全接受和论证四个方面，适用于完整的信号系统的规范、设计、构建、安装、接受、运行、维护和修改（扩展）阶段，也适用于系统中子系统和设备。安全案例是系统研究开发人员按照标准在整个系统生命周期内所要完成的质量管理、安全管理和相关技术安全措施的实施。在安全管理方面需要进行全程的安全评估和验证，以减少与安全相关的人为失误，减少系统故障风险。

EN 50128标准［14］关注软件安全完整性等级方法，并利用这些方法来提供满足安全完整性要求的软件。安全完整性通过在软件上加载广泛的安全考虑而达到安全的目的。标准包含5个软件完整性等级，软件失效所产生的后果越严重，那么对软件安全完整性等级的要求就越高。

EN 50159.1标准［15］适用于采用封闭传输系统实现通信目的的安全相关系统，对安全相关设备和传输系统的通信接口信息传输提出安全要求。

2000年，欧洲轨道交通联盟与欧洲委员会针对欧洲轨道交通运输管理系统（European Rail Traffic Management System，简为ERTMS）中欧洲列车控制系统 （European Train Control System，简为ETCS）的信号技术制定了系统RAM需求规范02S1266。

CBTC（基于通信的列车控制）是采用高效列车定位技术，不依赖于轨道电路，采用连续、大容量、双向车地数据通信技术的列车自动控制系统，即移动闭塞。IEEE提出了CBTC需求规范IEEE 1474.1—1999［8］。

2 轨道交通信号系统的生命周期及安全评估内容

2.1 信号系统的生命周期

系统生命周期是指一个系统从初始概念形成到退役的整个过程以及各阶段完成的任务，如图2所示。整个过程包括安全相关系统的计划、管理、控制和监督等多个阶段。

图2 系统的生命周期

对于安全相关系统，各阶段完成的具体任务不同。在概念阶段主要考虑项目的安全性含义。系统定义及应用环境阶段应建立全面的安全计划，并对风险容忍度标准进行定义。风险评估需要在风险分析阶段执行。在系统功能和要求阶段应确定整体的系统安全需求和安全接受标准，以及与安全相关的功能系统，并在系统需求分配阶段进行分配。由系统校验阶段准备特定应用安全案例，经系统接受阶段评定后，整个系统才能开始运行。修改与升级阶段中需考虑系统修改与升级的安全问题。在退役与废弃阶段建立安全计划、进行危险分析和风险评估，以及实施安全计划。

2.2 安全评估内容

目前，各国遵守的安全标准间的差异以及对信号系统安全的认知不同，导致其对系统安全的描述和评估内容也有所差异。例如，IEC 61505提出了安全完整性等级的概念［16］，利用安全完整性等级来评价系统的安全，而有些方法（如风险评估、可靠性评估、具体保障评估等）是从其他方面考虑进行评估的。

所谓安全完整性是在规定的时间周期内所有规定的条件下，安全相关系统成功地完成所需安全功能的能力。表1是完善性等级分级标准，SIL（安全完整性等级）表征了系统风险的等级。

表1 安全等级划分标准

进行SIL评估，应根据评估要达到的目标确定SIL。等级选择过高，尽管可降低风险，但对系统各方面的要求也会提高，花费的人力、物力会增加；等级选择太低，系统就不能达到安全目标，存在潜在的危险。因此，在评估系统时，需要通过严格的过程及方法来确定SIL。首先分析所有不期望事件的后果，并估计其发生的可能性，将初始事件和用于防止事故的设备的故障综合起来考虑；再结合风险状况确定事故对人员、财产、环境和效益的影响；然后选择所需的风险降低程度，即基准风险与可承受的风险底线之间的差别，进而得到合适的SIL。SIL评估方法包括风险树分析法［16－17］及CCA（因果分析）等。

3 安全评估模式及内容

不同国家和地区所遵守的安全评估模式、评估过程和程序，以及采用的手段和方法，都存在一定的差异；但安全评估的目标是一致的，都是要通过评估并对安全性不足的部分采取一定的技术、管理等措施，尽可能地降低安全风险，保证系统的可用性、可靠性、可维护性，以达到安全的目的。

3.1 安全评估模式

目前，安全评估主要包括全面独立的安全验证和确认、独立安全评估、授权机构、产品认证、ISO9001、IRIS以及ISO14001等。这些安全评估的作用不同。如：全面独立的安全验证和确认主要针对政府和银行的需求；独立安全评估主要验证系统或产品对国际标准的满足程度等。轨道交通系统比较适用的安全评估有独立的第三方评估和机构内的评估小组评估两种模式。

欧美国家开展轨道交通信号系统的安全研究比较早，目前已形成了比较完善的安全评估体系。如英国的CASS安全评估框架［3］、德国的TUV评估体系等，主要以EN 铁路标准为基础［12－13］，依托第三方评估机构，对已有线路和在建项目的信号系统进行安全性论证。而在欧洲铁路安全评估中，各项评估都针对生命周期各个阶段进行。其评估工作分为两类：

（1）验证，生命周期每个阶段完成后都必须实施的安全性评价。只有通过验证才能进入下一阶段。其目的在于证明每个阶段可交付使用的项目全面符合该阶段的要求。

（2）确认，在系统验收前进行，主要针对系统需求进行试验验证和独立第三方评估。其目的在于证明系统在开发的所有步骤上及安装后全面符合系统最初的需求。

系统的安全评估以系统安全分析为依据，通过分析系统中存在的潜在危险和薄弱环节、发生事故的概率和可能的严重程度等，确定系统能否满足安全要求并达到设定的安全目标。安全评估过程如图3所示［18］。

图3 安全评估过程

3.2 安全评估的关键证据

安全系统的评估过程基于安全计划和安全案例，按照一定的安全评估方法对系统进行测试和评估，最后形成安全评估报告，以决定系统能否通过安全评估。

3.2.1 安全要求

包括与安全无关的要求、与安全相关的要求。后者称为安全要求，包含在一个独立的安全要求规格中。安全要求又分为安全功能性要求和安全完整性要求两种。功能性要求指实际的与安全相关的各种功能。这些功能的实现需要系统、子系统或设备的参与。完整性要求定义了每一个安全相关功能需要的安全完整性等级。

3.2.2 安全计划

为达到系统安全需求规范而制定的文件，是衡量系统安全认证的重要标准。在设计和制造过程中必须按照安全计划执行。安全计划的框架主要包括背景和要求，具体包括：系统概要，项目框架，安全规范，风险评估标准，安全管理（即在管理中指出项目经理、项目安全经理、安全评估者、安全审核者、安全权威机构的角色和责任），安全控制（包括危险日志、危险分析和风险评估），安全文件（包括初步危险分析、风险评估报告、危险日志、安全需求规范、安全审核和安全评估报告、安全事例、设计和测试说明书、评审报告、测试、接受记录和培训记录），外部相关系统的论证。

3.2.3 安全案例

欧洲电气化标准委员会（CENELEC）制定的EN 50129标准定义了保证铁路信号电子系统、子系统和设备的安全所必须满足的条件和措施，包括质量管理、安全管理、功能和技术安全、安全接受和安全认证。要使轨道交通安全相关系统能得到接受和论证，须完成前3个步骤。EN 50129提出用安全案例来指导研发人员在系统生命周期内实施的质量管理、安全管理和相关技术安全措施。

安全案例是表明产品在设计和制造过程中符合系统安全要求，系统风险已减小到足够小，提供信息（证据）使评估者对于系统的可靠性和安全性有信心。安全案例是进行安全评估的依据。详细的安全案例包括系统定义、质量管理报告、安全管理报告、技术安全报告、安全相关案例及总结等6个部分。

安全案例中的核心是安全证据。在质量管理报告、安全管理报告、技术安全报告等部分中必须提供安全相关的证据，以证明安全相关系统的安全性能。评估过程实际上是由安全证据演绎安全完整性等级的过程和方法。安全评估依赖于安全证据。两者间的关系为：安全案例包含系统、子系统或设备的有文件记录的安全证据，而安全案例又是证据文档的一部分。

3.2.4 安全证据

当面临安全管理责任的时候，一般都需要提供相关的证据。在英国，安全证据主要包括铁路安全案例、工程安全案例和技术文档等3个文件。

铁路安全案例是在轨道交通运营之前编写的，内容包括：基层管理者和操作者需要在安全案例中表明他们所承担部分的安全可被控制；多个组织合作控制风险的协同安排、安全策略，以及安全管理的安排、风险的评估、安全监视、安全策略、确保员工能够胜任安全相关工作等［19］。运营过程中必须遵守安全案例。

在发生会严重影响铁路安全的变化时，需要提交工程安全案例。这些变化包括铁路系统的改造、采用新的设备或旧设备被替代。工程安全文档需要说明：能将风险控制在可接受的等级，采用了系统的管理安全方法，并能证明风险评估的有效性。

4 主要的安全评估方法

安全评估是指确定系统或产品是否符合规定的安全要求的分析过程。常用的评估方法有风险分析、专家评估法、致命度分析（CA）、预先危险性分析（PHA）、故障类型和影响分析（FMEA）、事件树分析（ETA）、故障树分析（FTA）、概率安全评估法（PSA）、目标结构化符号（GSN）等10多种。本文讨论一些主要的方法。

（1）专家评估法［20］：是安全系统工程领域最为基础的方法，迄今仍广泛应用。在高速铁路安全评估中，尤其是人员因素和管理体制对运输安全影响的分析，安全隐患难以从书面材料中识别，因此专家质询评估方法是必不可少的。专家评估法包含评分法、表决法和安全检查表（SCL）法等。其中使用较为普遍的是SCL法。SCL法事先将检查对象加以分解，将大系统分割成若干小的子系统，以提问或打分的形式，将检查项目列表逐项检查，以查找系统中各种元件、部件、设备、设施、物料、工件、操作、人员、管理和组织措施中的危险及有害因素，并逐项进行分析，对存在安全隐患的部分提出整改意见和措施。

（2）预先危险性分析（PHA）：项目实施之前，包括设计、型式试验、生产或施工前，为实现系统安全而对系统进行的初步或初始的分析。首先对系统中存在的危险性类别、出现条件，导致故障（或事故）的后果进行分析，其目的是识别系统中的潜在危险，确定其危险等级，防止危险发展成故障（或事故）。预先危险性分析可大体识别与系统有关的主要危险，鉴别产生危险的原因，预测故障（或事故）发生对人员和系统的影响，判别危险等级，并提出消除或控制危险性的对策措施［21］。该方法通常用于对潜在危险了解较少和无法凭经验觉察的项目初期阶段，如用于高速铁路可行性论证、初步设计，或设备装置的研究和开发阶段。

（3）故障类型和影响分析（FMEA）：根据铁路系统可划分为子系统、设备和元件等评估单元的特点，按实际需要将系统进行分割，然后分析各自可能发生的故障类型及其产生的影响，以便采取相应的对策，提高系统的安全可靠性。FMEA可直接导出故障（事故）或对故障（事故）有重要影响的单一故障类型，辨识单一设备和系统的故障类型，以及每种故障类型对系统或装置造成的影响。评估人员通常提出提高设备可靠性的建议，进而提出安全对策［22］。

（4）事件树分析（ETA）［23］：采用归纳法来分析普通设备故障或过程波动（称为初始事件）导致故障（事故）发生的可能性。故障（事故）是典型设备出现非正常状态或操作异常引发的结果。事件树可提供记录故障（事故）后果的系统性的方法，并能确定导致事件后果与初始事件的关系。事件树分析适用于分析那些产生不同后果的初始事件。事件树强调的是故障（事故）可能发生的初始原因以及初始事件对事件后果的影响。事件树的每一个分支都表示一个独立的故障（事故）序列。对一个初始事件而言，每一个独立故障（事故）序列都清楚地界定了安全功能之间的关系。

（5）故障树分析（FTA）：能对各种系统的危险性进行识别评价，既适用于定性分析，又能进行定量分析。FTA是一种简明、形象化方法，采用系统工程方法研究安全问题，具有系统性、准确性和预测性。FTA作为安全分析、评价和故障（事故）预测的一种先进的科学方法［12］，不仅能分析出故障（事故）的直接原因，而且能进一步提示故障（事故）的潜在原因。在工程或设备的设计阶段、在故障（事故）查询或编制新的操作方法时，都可采用FTA对系统的安全性做出评价。故障树分析使用演绎法。

（6）模糊集合和灰色聚类法：因为复杂系统安全的模糊性和不确定性，当危险因素分布过于离散时，由于白化函数（隶属函数）包含的因素范围窄，可能导致评价错误。可采用等斜率灰色聚类法进行分析评价。它在灰色聚类的基础上加以改进，以等斜率方式构造白化函数，较大地拓宽了白化函数的范围；并用修正系数对白化函数进行修正，保证在分级标准值处相邻两级白化函数相同，避免了边界值附近的误判现象，使评价结果更为合理。

（7）概率安全评估法（PSA）：是一种设计辅助及审计工具，向公众提供风险的数值化测量。该方法标识潜在的事件，计算其发生的概率及结果；产生假设性事件的频率，给出了风险的估计；并基于配置、设备可靠性、操作人员的错误概率、操作实践、响应以及系统的能力等因素，开发与风险相关的数学模型。

（8）GSN方法：是一种图形化的论证方法，可清楚地表示任何安全论证的各个元素（需求、声明、证据和内容），以及元素间的关系（如论证中特殊声明如何支持各自的需求，证据和假设的内容如何支持声明）。在欧洲，GSN已经被大量安全苛求产业（如航空、铁路和国防）用来表示安全案例中的安全论证［24］。

（9）Vague灰色可拓空间法：是以Vague Set为基础，提出的专门针对复杂系统的评价方法。它既考虑了事物本身的正负因素，也考虑了与其相关的质和量。其中定义的灰色优度、灰色劣度、白色优劣比、灰色优劣比、远近效益和政策系数等，反映了系统的全面性以及依据策略调整的灵活性。这些特征非常适合对轨道交通系统进行分析评价。

（10）基于贝叶斯网络的复杂系统FMEA模型法：传统的FMEA方法对故障间因果关系表达不明确、结构性差，不适合复杂系统。基于贝叶斯网络的FMEA可将复杂系统的故障模式、故障概率和严酷度统一到一个框架结构中，充分利用零部件信息和部件之间的因果关系，并将这些信息与系统信息进行融合，适合于研究复杂大系统；可利用先验信息完成知识的积累发挥自学习功能，减少FMEA的试验样本量，节约研制费用和缩短研制周期［25］。

此外，还有一些安全评估的方法，如安全检查表法、原因－后果分析（CCA）、蒙特卡罗模拟法等，也用于生命周期不同阶段的安全评估。这些分析方法各有特点和一定的适用范围。应用时，首先要进行初步的、定性的综合分析，得出定性的概念；再根据危险性大小进行详细的分析；最后根据分析对象和要求的不同，选用适当的安全评估方法。

5 结语

本文综述了国内外轨道交通安全评估领域的评估理论与方法，给出了轨道交通安全评估的模式、内容以及评估方法。我国轨道交通信号系统的安全评估工作，需进一步系统地研究安全评估的理论和方法，建立信号系统安全评估的流程及规范，并开展工程实践。在此基础上，应建立我国自己的第三方轨道交通信号系统安全评估机构，并严格按程序和流程进行评估。

［1］史宪铭，王华伟.基于贝叶斯网络的复杂系统FME模型［J］.兵工自动化，2004，23（2）：27.

［2］赵一彪，林华、贺仲雄.VGES在轨道交通安全评价中的应用［J］.交通企业管理，2006，21（12）：74.

［3］杨晋辉，郦萌.安全苛求软件的安全性混沌分析［J］.计算机工程与应用，2005（21）：1.

［4］王铁江，郦萌，徐翥.安全苛求软件的模糊风险评价［J］，计算机应用，2003（Z2）：39.

［5］王铁江，郦萌.一种安全软件安全性评估的模糊模型［J］，计算机工程，2003（6）：24.

［6］张文晰，李亚辉，王慈光.灰色灾变预测方法在城市轨道交通安全中的应用［J］，上海铁道科技，2006（6）：22.

［7］禹志阳.我国铁路安全管理模式的研究［J］，安全管理，2004（3）：19.

［8］IEEE Std.1474.1—1999IEEE Standard for Communications Based Train Control （CBTC）Performance and Functional Requirements［S］.1999.

［9］RETMS/ETCS.RAMS Requirements Specification 02S1266［S］.1999.

［10］IEC 61508Functional safety of electrical/electronic/programmable electronic safety－related［S］.1998.

［11］CENELEC.Railway applications：Systematic allocation of safety integrity requirements.prR009－004［S］.1999.

［12］EN 50126Railway Applications－The Specification and Demonstration of Dependability，Reliability，Availability，Maintainability and Safety（RAMS）［S］.1999.

［13］EN 50129Railway Application：Safety related electronic system for signaling［S］.1999.

［14］EN 50128Railway applications：Communications，signaling and processing system－Software for railway control and protection systems［S］.2001.

［15］CENELEC prEN50159.1Railway applications：signaling and processing systems，part 1：safety related communication in closed transmission systems［S］.2001.

［16］EC 61508—2000Functional Safety of Electrical/electronic/programmable Electronic Safety－related Systems［S］.

［17］CENELEC.Railway applications：Systematic Allocation of Safety Integrity Requirements［R］. UIC： Brussels，1999.prR0092004.

［18］燕飞，郜春海，唐涛.轨道交通安全相关系统评估方法［J］.中南工业大学学报，2003（Z1）：230.

［19］Engineering Safety Management volumes1and 2 Fundamentals and Guidance［S］.London：Rail Safety and Standards Board，2007.

［20］国家安全生产监督管理总局.安监管技装字［2003］37号，安全评价通则［S］.北京：国家安全生产监督管理总局，2003.

［21］李发荣.预先危险性分析在安全评价中的应用研究［J］.劳动保护科学技术，1999（5）：56.

［22］王小群，张兴容.工业企业常用安全评价方法概述［J］.铁道劳动安全卫生与环保，2003，30（2）：39.

［23］陈开岩，郑贤斌，张永生.企业安全评价方法及软件开发［J］.工业安全与环保，2003，29（2）：74.

［24］Son G Tong，Zhou Yan.Automatic synthesis of fault tree for cont rol systems based on system analysis［J］.Systems Engineering Theory：Methodology ·Applications，2005，14（6）：514.

［25］Pan Yanrong，Qu Changxu，Zhu Shunying.An evaluation of the road traffic safety based on the grey cluster and neural network［J］.Journal of Chongqing Jiaotong University，2005（2）：101.