铁路信号系统集成项目安全风险链的管理

吴炳昊

我国产品进行欧洲CENELEC标准 （EN 50126、EN 50128、EN 50129等）的认证已经多年，也颁布了相应的国标 （GB／T 21562－2008、GB／T 28808－2012、GB／T 28809－2012）。在城市轨道交通领域，已有多条线路进行了基于欧标的系统集成项目安全评估。在我国，轨道交通信号系统集成项目的独立第三方安全评估已经成为趋势。

在实施信号系统集成项目独立第三方安全评估时，遇到了一些疑问。例如：信号系统集成项目与信号产品科研安全分析的差别是什么，如何进行；我国信号系统集成项目有其自身特点，如何处理；系统安全性是一个系统工程，如何进行安全风险链的管理等。本文就实际工作遇到的疑问，结合在信号系统集成项目中的经验，对信号系统集成的安全风险链管理进行探讨。

1 欧标安全分析理念

欧标中安全分析的基础是嵌套式的系统结构划分和危险传递。嵌套式的系统构成，即系统由子系统构成，子系统又细分为子子系统，系统结构可一直进行迭代细分；危险传递是指系统／子系统将自身未进行处理的危险事件输出给外部环境 （上层系统或外部环境），由上层系统或用户对这些危险事件进行安全防护。这个思想可以用图1来表示。

图1 嵌套式系统构成及危险传递

多层 “嵌套式”系统的安全分析，通常要考虑3层相关的系统／子系统。以子系统D为例：需考虑子系统D包含的内部子系统X、Y、Z，需考虑子系统D本身以及与其接口的同层面的子系统A、B、C，以及子系统D的运行环境 （即整体铁路信号系统）。

系统／子系统通过安全相关应用条件进行危险传递，这些安全相关应用条件是对外部 （上层系统或用户）的限制或要求。这些条件，其来源可能为其他系统／子系统的安全相关应用条件或是自身新增。各系统／子系统的安全相关应用条件传递给上层系统或用户，由上层系统或用户对这些安全相关应用条件进行处理；上层系统或用户应对其使用的所有系统／子系统的安全相关应用条件进行处理。每个层面的安全相关应用条件的处理，也是一个迭代往复的过程。

对于铁路信号系统集成项目，需要整合并处理集成的所有系统／子系统的安全相关应用条件，对于集成项目未能完全解决的，和由于集成项目自身活动新增的安全相关应用条件，应输出给信号系统的用户 （通常是业主）。

2 铁路信号系统集成项目的安全风险链

根据铁路信号系统安全的系统性特性，其安全性与人员、设备、环境、管理等因素相关。安全风险的相关要素包含：成因、危险事件演变过程和风险的可能后果，这些要素构成了安全风险相关的链条。因此，对于铁路信号系统集成项目，应关注其安全风险链，应涵盖危险源识别、危险源处理、危险源相关安全风险的评价。

2．1 安全分析基础

铁路信号系统集成项目采用的系统／子系统应为合格且安全性可信的产品。这些产品在其研制阶段，已进行了研制阶段的安全分析，其结果是集成项目安全分析的基础，无需在集成阶段重复分析。

具体的说，铁路信号集成项目采用的产品可能为：经过第三方独立安全评估的产品、经过权威机构检验授权的产品、已进行广泛应用证明其安全性的产品等。这些产品，会提出它们对安全的限制及要求，同时会提出数据配置、生产、安装、维护的要求。这些要求就是工程集成时安全分析基础，集成项目应遵循这些要求和限制；需要时，将部分要求与限制传递给其他系统或用户。

2．2 危险源的来源和处理

铁路信号系统集成项目危险源来源可能有：

1．选用产品的安全相关应用条件，这类危险源源自于项目的使用产品。

2．集成项目自身的活动 （如数据配置、生产、安装、调试等）新产生的危险源，这类危险源源自于集成项目活动自身。

3．工程设计、牵引计算等传统铁路专业引入的危险源，其来源可归入集成项目自身。

源自项目选用产品的安全相关应用条件的危险源，需要在系统集成项目中，对这些安全相关应用条件进行满足性分析，这类分析通常结合项目的技术方案一同进行。对于不能在集成项目内消化的安全相关应用条件，应转移输出至其他系统或用户。

集成项目自身的活动所产生的危险源，通常是指集成项目是否按照其选用产品提出的数据配置、生产、安装、调试等要求进行了相关活动，如果相关要求在实际操作中难以实施，则应采取与原要求相当的其他方法进行替代，以进行安全风险控制。

工程设计和牵引计算为传统铁路专业，其质量审核方式 （如三级审核）经长时间实践证明，可保证其质量良好并控制其安全风险。因此，在铁路信号集成项目中，按照其既有的质量过程控制其安全风险即可，不需要新增其他质量环节。

2．3 安全证据链及安全风险评价

进行集成项目所提供产品及服务的安全性证明时，需要形成相应的证据。与安全风险链对应，需要提供安全证据链，用以证明集成项目的安全性。安全风险链包含危险源识别、危险源分析及控制、安全风险评价。安全证据链也对应这3方面的证据。安全证据应为正式文件，其形式可以是项目正式文档、评审记录单、发布的会议纪要等。

以上对集成项目危险源的来源进行了阐述，危险源的识别过程应得到记录，识别出的危险源应记录进项目的危险源日志。危险源识别过程记录和危险源日志即为危险源识别的安全证据。

对于源自选用产品的安全相关应用条件的危险源对应的安全分析证据，其分析记录 （可以是分析报告、会议记录等形式）本身就是这些危险源的安全分析证据。对于集成项目自身的活动所产生的危险源，项目本身的安全分析活动大多与系统设计一同进行，安全分析内容也会融合在项目的系统设计方案、系统升级／倒切方案等文档中，这些文档就是项目的安全分析证据；如果需要，也可以出具专门的安全分析报告作为安全证据。项目设计、数据配置、生产、安装、调试等，需要通过验证得到，验证报告即为相关安全证据。工程设计、牵引计算等传统铁路专业的安全证据是它们的审核记录。

需要注意的是集成项目安全活动的策划，该策划通常以项目安全计划的形式体现。安全计划是在对项目充分了解的基础上，进行项目安全活动的方案策划；该方案应在保证项目安全风险可控的前提下，做到尽可能的低成本。也就是说，安全计划是安全活动有效性的重要保证。所以，安全计划同样会项目安全性产生影响，其审核记录应作为安全证据得到保留。

安全风险评价是对集成项目危险源相关风险是否可接受的判断，以危险源识别、分析、控制的证据为基础。危险源风险是否可被接受的判断，通常由危险控制委员会 （HCB）进行授权，该授权记录即为安全风险评价证据。

2．4 安全论据

对于进行独立第三方安全评估的项目，一般会被要求出具安全论据 （通常也称为安全例证），仅需将上述安全证据和项目其他安全证据整理并按照规定格式纳入或引用即可。安全论据是对项目安全证据的收集和整理，并不新增安全证据。

3 集成项目中常见问题处理

3．1 产品变更控制

在集成项目实施中，可能由于特殊场景、特殊接口、特殊需求等导致集成项目产品的变更。对于集成项目，需要保证项目产生的需要被准确地传导至产品提供方；产品变更完成后，集成项目应对变更完成的产品进行确认，确保产品变更符合预期。集成项目通常可按照下列步骤进行产品变更管理：

1．根据集成项目需要，整理出所需的需求条款 （如系统集成方案），并与产品提供方进行沟通。

2．产品提供方完成产品需求规范 （产品系统需求）变更后，集成项目与产品提供方沟通变更后的产品需求规范，确保与预期相符。

3．产品变更结束后，集成项目对完成变更的产品进行确认，确保符合变更预期。

3．2 产品要求的理解

集成项目选用的产品会对集成项目提出安全相关应用条件以及数据配置、安装、生产、调试等要求。虽然集成项目选用的产品应为合格、可信产品，但这些要求通常通过简短的文字条款进行描述，一些安全相关应用条件的描述可能并不明确或过于苛刻，造成实施上的困难。此时，集成项目应与产品提供方进行沟通，得到存疑内容的解释 （应为正式的记录，如发布的会议纪要）或更新的要求，工程项目可按照解释或更新后的要求进行相关工作。

3．3 安全相关应用条件的输出

对于集成项目而言，其对外输出的安全相关应用条件，接收方为最终业主，需要重视安全相关应用条件条款的描述。

安全风险相关防范措施只将安全风险控制住即可，不应扩大风险防范措施，以免增加不必要的风险控制成本；安全相关应用条件的描述应具体、可操作。如 “定期维护列控设备”是不好的描述方式，而 “日检内容包含应答器天线的安装检查”是比较好的描述方式。

4 结论

集成项目安全分析工作，应立足于产品科研的安全分析基础，无需进行重复工作，关注工程方面的安全风险点，执行可对集成活动安全性增值的安全分析活动，并保持良好的记录作为证据。集成项目应正确理解选用产品提出的要求，在需要时应与产品提供方进行沟通，确保理解正确。

安全证据链的完整是对铁路信号集成项目安全性评价的重要依据，应记录包含危险源识别、危险源分析及控制、安全风险评价在内的安全风险链的证据进行收集。

［1］ European Committee for Electrotechnical Standardization．Railway applications－The specification and demonstration of Reliability，Availability，Maintainability and Safety（RAMS）－Part 2：Guide to the application of EN 50126－1for safety［S］．2007．

［2］ 闵鑫颖．风险链在安全管理中的建立与运用［J］．安全，2013（11）：31－33．

［3］ 吴炳昊．安全相关项目中的危险源管理［J］．铁路通信信号工程技术，2013（S1）：92－94．

［4］ 中国国家标准化管理委员会．轨道交通 通信、信号和处理系统信号用安全相关电子系统［S］．2007．

［5］ 肖贵平，朱晓宁．交通安全工程［M］（第二版）．北京：中国铁道出版社，2013．