FMEA在铁路信号安全产品配置数据安全分析中的应用

戴成岩，邱兆阳

(1．中国铁路通信信号股份有限公司，北京 100070；2．北京全路通信信号研究设计院集团有限公司，北京 100070)

1 概述

国内铁路信号经历了快速发展，信号控制系统已逐渐向全系统基于微电子处理器的电子控制方式转变，尤其是随着高速铁路C3列车运行控制系统的推广，计算机联锁系统（CBI）、列控中心系统（TCC）、无线闭塞中心系统（RBC）、临时限速服务器系统（TSRS）、列车自动保护系统（ATP）、轨道电路及应答器等安全相关产品，全部采用了计算机控制为主的微电子控制技术。

信号控制系统采用计算机技术，不可避免地涉及安全软件技术，近十年来，随着欧标EN 50128等安全软件设计标准的应用，软件安全开发、设计、测试、验证和确认技术的应用日趋成熟，安全软件的重要性也得到了足够的重视。但作为软件一部分的数据，包括数据生成、测试、发布等过程，在安全性方面仍有改进和提升的空间。

近年来，基于应用数据配置的CBI、TCC等信号安全产品，由于数据配置错误引起问题时有发生，针对信号安全产品配置数据失效安全分析工作尤为重要，应采用适当的数据失效安全分析方法，根据配置数据生成、测试、工具等各环节，分析其风险，采取合适的风险降低措施。

2 基于数据配置的应用

2.1 背景描述

基于应用数据配置的信号安全产品使用批准的、可复用的通用软件，相应的信号安全产品的特定需求（工程项目）则应定义为应用数据。应用数据通常表现为外部对象的参数值或描述（特性、类型、位置等）的形式，以列表或图表格式表达，这些格式通常在通过特定语言（有语法和语义）处理转换为源代码后，可以解释或编译为可执行代码。

当信号安全产品采用通用软件+配置数据方式时，除需要通过设计、验证、测试等保证通用软件的正确性外，也应有措施保证配置数据的正确性，以从整体上使整个软件的安全完整性、可靠性得到保障。

在铁路信号领域，对于通用软件，近年来随着IRIS管理体系实施，变更控制程序的完善，以及第三方安全认证的引入，软件的开发、设计、验证、测试、确认、评估流程完善，软件通过静态测试、动态测试、集成测试、功能测试、性能测试等环节，使通用软件的正确性得到了较大的提升和保障。

但是从信号安全产品的角度看，软件完成完整的功能，必须结合配置数据，当配置数据有错误时，整个软件的功能、安全也得不到保证。对所有配置数据，其设计、配置、验证、测试的流程，应与软件设计开发具有同等的安全完善度等级，才能使信号安全产品从整体上具有规定的安全性、可靠性。

本文就如何保证配置数据的安全性、可靠性，提出采用FMEA开展配置数据失效安全分析。

2.2 FMEA简介

失效模式与影响分析（简称FMEA），是在设计阶段/更改设计阶段，对产品/零件/制造过程进行分析，找出潜在失效模式，分析其可能的后果，评估其风险，预先采取措施，减少失效模式的严重程度，降低发生的概率，有效提高可靠性，确保顾客满意的系统化活动过程。FMEA的过程如图1所示。

图1 FMEA过程示意图Fig.1 FMEA process diagram

将信号安全产品数据配置作为生产制造的一部分，可以借鉴FMEA的思想和理念，进行数据配置的失效影响分析，找出数据可能存在的各种失效模式，并制订相应的措施，以保证数据配置的正确性。

2.3 分析方法

根据欧标EN 50128中基于应用数据配置的软件要求，采用FMEA给出数据失效影响分析方法，以保证配置数据的正确性为出发点，分析所有配置数据可能的失效模式，根据失效模式，列出既有的测试验证手段，并分析测试验证手段对所分析失效模式的覆盖充分性，对于不充分的给出改进建议。配置数据失效影响分析流程如图2所示。

采用该分析方法，可以针对每一项数据的每一种可能的有害故障，有针对性的设计相应的控制措施，确保每一项数据引起的风险可控。

3 应用实践

3.1 产品背景

计算机联锁系统（CBI）是负责行车进路建立的铁路行车核心控制设备。计算机联锁系统在信号操作员或者上层系统命令操作下实现站内道岔、信号机、轨道电路之间联锁控制，是铁路安全高效行车不可缺少的保障装备。下面以计算机联锁产品为例来进行配置数据失效影响分析。致命的。

图2 配置数据失效模式分析流程图Fig.2 Configuration data failure mode analysis flowchart

3.2 分析内容

针对联锁应用，根据2.3节提到的分析方法，详述配置数据失效影响分析内容如下。

1）数据项：包括所用数据结构体的名称，或独立参数名称，类型。

2）功能描述：该数据项承担的主要功能。

3）风险分析：对数据的各种可能的失效模式进行风险分析，包括3个子项：

a.引导词：用于在分析时候指导思考，避免问题遗漏，如表1所示。

表1 引导词表Tab.1 Guide words list

计算机联锁软件能够采用层次化的结构便于软件功能的拓展，同时使得通用软件只根据配置的不同而应用于不同规模、不同需求的车站，即对于不同的车站，保持通用软件不变，只需要通过工程数据软件生成不同的配置数据，即可以适应不同站场图形的车站。计算机联锁系统配置数据包括站场数据，站场数据是参与联锁运算和站场图形显示的基础数据。数据结构设计综合了各种站场情况，保证联锁程序具有通用性。站场数据由专门开发的计算机辅助设计软件能够自动生成。

如前所述，目前大家对于安全软件的设计、开发、测试等环节，已经普遍建立了安全意识，但对于配置数据，并没有得到足够的重视。在已发布的《铁路车站计算机联锁安全原则》（TB/T 3482）10.1中要求：计算机联锁的配置数据应经过完整的测试和确认，配置数据的检查流程应与系统的安全完整性等级要求相适应，对数据的重要性提出了要求，数据作为软件的一部分，其出错的后果同样是

b.后果：所分析数据在指定失效模式时可能的后果。如联锁进路中包含的道岔应与联锁表中一致，当道岔少配置一个时，则该条进路信号开放时，可能不再检查少配置道岔的位置，也不对该道岔进行锁闭处理，该道岔失去表示时，信号错误保持开放，有安全影响。

c.是否涉安：将后果分为安全相关和非安全相关两类。

4）既有控制：对于所分析数据项的各种失效模式，既有控制措施是否存在，如果有既有控制措施，对其进行说明：比如数据审核，数据测试，功能测试等。

5）充分性：针对所分析数据项的各种失效模式，既有控制措施（如果有）是否充分，是否足以覆盖该数据项的各种失效模式，控制措施的可信度是否足够。

6）建议措施：如果该数据项既有控制措施不存在或不充分，列出建议增加的控制措施，如额外的数据审核，增加针对性的测试案例，采用工具辅助进行检查等。

7）剩余风险：针对部分数据数据项的各种失效模式，在既有措施+建议措施采取后，剩余风险是否可以接受。

3.3 分析举例

以计算机联锁的两项数据配置为例，按3.2节的内容进行分析，分析情况如表2、3所示。说明：本文未涉及风险评估的相关内容，根据失效所产生的影响，应参考欧标EN 50126中所定义的风险评估方法开展相关风险评估工作。

表2 联锁表中所包含的进路区段数据Tab.2 Route section data contained in the interlocking table

表3 无岔区段的采集位置数据Tab.3 Acquisition location data in switchless section

4 总结和建议

数据配置过程是基于数据配置的信号安全产品生命周期重要环节之一，同设计阶段的风险分析一样，也应对数据配置阶段可能引入的风险，来制订相应的风险防范措施，采用系统化的方法来保证数据配置环节的安全性。

建议在信号安全产品设计开发时，同步进行配置数据的失效分析，将数据测试与软件设计在设计阶段综合考虑，并针对数据配置的特点、风险，有针对性的制订每项配置数据的测试方法，使配置数据测试的全面性得到有效保障，从而确保信号安全产品数据配置失效产生危害造成的风险降到可接受水平。