温州市域铁路S1 线信号系统独立安全评估应用

刘宏伟

独立安全评估（ISA）理念源于国外城轨行业对系统安全保障实施的常用管理方法，后来形成通用的法规指令，如IEC 61508［1］等国际通用的一系列标准。作为国内轨道交通工程独立安全评估的依据，除以上法规指令外，还有等同的国家标 准，EN 50126［2］、EN 50128［3］、EN 50129［4］、EN 50159［5］等 欧 洲 标 准，指 导 性 文 件iESM［6］、ESM［7］等，以及合同、用户需求书和技术规格书等文件。

伴随着我国城市轨道交通行业新设备/系统不断涌现，ISA 业务逐渐形成了我国城轨行业“自发式”的管理手段。自交运规［2019］ 1 号文［8］发布后，是否经过第三方独立安全评估，成为轨道交通核心系统——信号系统能否开通运营的一票否决项，ISA 活动及所产生的安全授权文件、独立安全评估报告已成为初期运营前通过评估的必要项。本文将对温州市域铁路S1 线（简称温州S1 线）初期运营前的评估策略确定过程、实施过程等进行论述。

1 独立安全评估

1.1 评估对象

ISA 评估对象分为产品层评估和系统层评估，主要包含通用产品、通用应用和特定应用3 个层次。

1）产品层ISA 包含通用产品安全评估和通用应用安全评估。

2）系统层ISA 指特定应用安全评估（工程安全评估），评估时需要有产品层ISA 评估结果作为输入，可交叉认可产品层的评估结果。

1.2 评估目的

开展工程安全评估的目的是确保系统工程的整体风险已被控制，并已经降低到可以接受的程度，为系统相关的安全结论提供足够的信心，包含：

1）确保系统在全生命周期内，能够持续满足设计安全需求。

2）确认系统工程的所有技术和接口危害已经被识别和记录。

3）确认系统拥有充分、恰当的安全证据，证明系统所有安全控制措施已恰当实施和记录。

4）确认系统、设备应用的风险都已经切实可行地降低到剩余风险可以接受的等级。

5）随着各项工作的进展，逐步增加各方信心，确信系统达到设计安全目标。

6）为系统在工程应用颁发特定应用安全授权，出具安全评估报告。

1.3 ISA 与项目执行关系

从安全管理角度来看，某一个工程项目可以分为工程实施团队、安全保障团队和独立安全评估团队［9］。

对于国内城轨项目，通常工程实施团队和安全保障团队均来自系统集成商，且安全保障团队独立于工程实施团队，第三方独立安全评估团队独立于集成商的工程实施团队和安全保障团队。三者既相互沟通又保持相对独立，三者之间的关系见图1。

工程实施团队主要负责项目生命周期内，从设计至调试阶段的工程实施活动；安全评估团队负责执行项目的安全保障活动，如风险识别、危害管理和安全证明等。ISA 团队主要是对安全保障团队和工程实施团队在项目层的安全相关保障活动、中间过程证据及安全结论进行评估，并基于以上双方的安全相关活动、过程证据和结论，以及ISA 团队的评估过程和评估结果，给出整个项目的工程安全评估结论。

图1 3 个团队之间的关系

2 温州S1 线信号系统

2.1 系统概况

温州S1 线信号系统采用点式ATC 系统，即ERATO 系统，它是基于ETCS-1 架构，支持区域无线通信加强防护，以及ATO 功能的ATC 系统。正线配置完整的ATC 系统，该系统提供点式ATO（iATO）的最高运行模式和无人自动折返（ATB）功能；在站台接近区域及站台区域提供站台紧急停车、站台门的连续安全防护及车门和站台门联动控制等功能。温州S1 线信号系统框图见图2。

图2 温州S1 线信号系统框图

2.2 系统特点

温州S1 线信号系统投入运营前，尚未在其他线路有应用经验，评估前期通过对技术规格书的评审，发现相比于传统的CBTC 项目，该信号系统具有如下主要特点。

1）为全新的信号系统，规则和联锁逻辑不同于传统的CBTC 系统信号。

2）系统设计在近期运营过程中存在4、6 编组列车混跑运营场景，对于信号系统和屏蔽门的接口需要特殊设计。

3）由于ERATO 系统仅在站台及其运行接近区域、自动折返区域、转换轨及存车线覆盖车地无线通信网络，其他正线区域没有无线通信网络，车辆进出无线覆盖区时，系统控车需要特殊设计。

4）系统由集成商和核心设备供应商提供，两家设备间的系统集成、兼容性、接口需要重点关注。

5） 温州S1 线将采用核心设备供应商的全新V6 平台，在应用中存在很高的修改风险。

3 评估策略

对于在其他地铁线路上有成熟应用经验的系统，评估方通常采用通用策略，并采取与参考系统应用环境相比较的方式进行工程安全评估。通用策略形成通用的ISA 评估和审计标准，并包含在ISA计划中，评估方依据ISA 计划开展工程安全评估工作。一般采用伴随生命周期的基于风险和抽样技术的评估方法，通过文档评估、现场审计、测试见证等方式，获取和评估客观证据，主要关注标准要求的相关过程和技术（如安全需求等）是否得到执行和满足，并作出相应的判断。

而对于新系统、新制式、风险等级高的系统，则需采用通用策略与特定策略相结合的方式进行工程安全评估。对于温州S1 线，评估方采用图3 所示的风险识别流程。从风险评估和需求分析2 个方面，识别出项目风险、差异，将特定的评估策略加入到通用的ISA 评估和审计标准中，制定出适用于温州S1 线的整体评估方案。温州S1 线将依据ISA计划开展工程安全评估工作，并重点关注高风险点。

图3 风险识别流程

3.1 HAZOP 分析

在项目初期，温州S1 线ISA 团队首先采用HAZOP 分析方法确定项目高风险区域，ERATO信号系统的高风险点如下。

1）新规则与现有设计规则的区别。

2）4 编组列车与6 编组列车混合运行时的安全影响。

3）DCS 无线网络没有连续覆盖整条线路。

4）系统集成商与核心设备供应商之间的接口、工作方式。

5）新系统集成的风险。

6）产品平台的修改风险。

7）评估人员的能力（新系统、新应用）。

8）新系统缺少相似应用。

3.2 特定策略

针对高风险点，在项目开展前期确定评估的特定策略。

1）评估技术规格书，以确保接口定义的完整性，确保涵盖相关需求。

2） 检查产品/系统证书、评估报告及限制条件，确定是否可交叉接收。

3）确保4 编组、6 编组列车混合运行时的风险已消除或降低到可接受水平。

4） 确保新规则与现行规则之间的差异得到识别。

5）确保列车在各区域运行安全风险已消除或降低到可接受水平。

6） 评估产品/系统全部特定需求已满足和实现，系统集成无安全风险。

7）确保评估人员的能力符合项目要求，流程审核人员确保独立性。

8） 确保新系统剩余风险降低到可接受水平，或转移输出限制条件。

4 评估实施过程

对于温州S1 线新系统、新制式的特殊性，集成商采用EN50126 中的ALARP 风险接受原则，以及4×6 风险矩阵。

评估方根据ISA 计划开展独立安全评估工作，由于评估流程/方法对于每个项目都是统一的，主要包含文档评估、现场审计、测试见证活动等，所以在这里将不再描述。下面介绍本项目主要的评估实施过程：危害分析与管理、阶段授权、流程审核和质量管理。

4.1 危害分析与管理

根据温州S1 线项目的信号系统设计、施工、调试的进展，对系统集成商进行的初步危害分析、系统危害分析、接口危害分析、操作与支持危害分析等工作进行了系统的评估。

1）在温州S1 线信号系统的初期设计阶段，确认集成商是否进行了初步危害分析，是否确定了信号系统在生命周期中可能产生的人员伤亡事件，分析其中是否包含了危害原因、危害结果和相应的减缓措施。

2）在系统层设计完成后，确认集成商是否进行了系统层的危害分析，是否确定了系统层面的危害，是否分析了系统层危害与初步危害的对应关系。

3）在信号工程中期阶段，确认集成商是否进行了接口危害分析，是否确定了信号系统内部以及信号系统与其他系统间接口相关的危害，是否制定了相应的减缓措施。

4）在信号工程中期阶段，确认集成商是否进行了子系统危害分析，是否确定了信号系统子系统层面的危害，是否制定了相应的减缓措施。

通过对危害分析活动的评估，确认项目RAMS 团队识别出了与温州S1 线信号系统相关的危害，并确定了对这些危害的管理措施。同时，需确认项目RAMS 团队通过危害日志，对所有危害都进行了危害管理和追溯，并持续进行维护和更新，包括以上危害、子系统的安全需求及限制条件、安装调试中发现的危害等。

4.2 阶段授权

为满足工程的进度和调试要求，评估方根据温州S1 线信号工程建设的特点，对系统进行了多个阶段安全授权，在项目完成一个阶段的调试工作和相关安全保障工作后，对其进行安全评估，进而发布安全授权。

基于温州S1 线工程进度和调试要求，依次主要发布了西段单车动车调试、西段多车动车调试、西段试运行、西段试运营、东段单车动车调试、全线非运营时间段动车调试、全线非运营时间段试运行以及全线初期运营等安全授权。

从安全管理角度来讲，只有获取了阶段性安全授权才能进行下一阶段工作的方式，加强了建设方对工程的安全管理，保障了温州S1 线信号系统的顺利开通运营。在温州S1 线项目执行过程中，在已确定的试运行阶段前，由于新系统核心设备的平台及数据准备内容需要修改，而修改、测试、验证和确认结束后已无法满足试运行的节点要求，但是若没有通用应用和数据准备证书，那么试运行阶段的工作将存在很高的安全风险，而且也是评估流程所不允许的，所以最终建议将试运行节点进行了延后。

4.3 流程审核

在文件审核流程上，对评估文件进行二级审核，即由评估员和高级评估员进行审核，对阶段评估报告、安全授权进行三级审核，即主要由评估员、首席评估员以及授权签字人进行三级审核，所有遗留问题状态关闭或限制后，构成颁发阶段安全授权及安全评估报告的条件之一。

同时，对于集成商提交的技术和管理文件，对其是否遵循集成商的审核管理流程进行审核。例如，在项目执行过程中，每个阶段安全授权前都需要集成商提交已评估文件的流程签署页，保障所有已评估文件的有效性，确保所提交文件已经过集成商相关人员的审批。所有审核文件已经过集成商审核流程后，构成发布安全授权和安全评估报告的条件之二。

对于温州S1 线，最终颁发安全授权和安全评估报告前，独立流程审核人（未参与过温州S1 线ISA）还需要对评估工作进行独立的流程审查，确保所有适当的ISA 程序都已遵守，主要包含评估管理、安全保障活动的评估过程和结果、现场审计情况、交付物状态等。

4.4 质量管理

最后，对质量管理报告、技术管理报告和安全管理报告进行评估，评估这些报告是否体现了全面的风险分析、是否定义了充分的安全需求并能满足这些安全需求、是否已经根据安全计划的要求执行了安全管理工作，并证明了系统的风险降低到可接受的程度。同时在现场审计过程中，评估方也参考ISO 9001：2015［10］标准，对集成商的质量管理活动进行审查，如集成商的质量内审活动等。

对任何不符合EN 系列标准的问题提出意见，项目RAMS 团队需对所有意见进行相应的满足回复后，评估意见才能进行最终的关闭，包括安全相关应用条件、相关运营准备工作等，这项工作保障了在最后节点将所有安全相关问题进行关闭，从而满足为温州S1 线信号系统试运行、初期运营颁发证书的条件。

例如，温州S1 线由于车载控制器和轨旁区域控制器的数据准备工作是由另一家独立安全评估机构（第三方）进行评估，所以在评估中采用了互认接受的原则。在多车动车调试阶段评估中，发现第三方所评估内容不完整，缺少ZC 部分功能的评估结果，因此在安全授权及安全评估报告中对不完整内容进行了限制和排除，待后续集成商提交后，再对这部分内容进行评估及授权，从而使温州S1 线信号系统在多车动车调试阶段规避了风险。

再如，在对数据准备安全报告的评估中，发现数据准备安全报告有多个安全需求/安全相关应用条件，其中部分安全需求/安全相关应用条件已直接输出到系统层安全限制条件（给业主接收的），但有部分安全需求/安全相关应用条件未得到管理（如业主未知晓全部限制条件，将对系统运营带来很大的安全风险，可能导致事故的发生），要求集成商提供相关的管理证据，集成商提交了系统层验证和确认报告，更新了其中的安全需求列表（输出信息、安全需求状态）后，最终才关闭了对数据准备安全报告的评估意见。

独立安全评估方基于系统集成商的工程实施和安全相关保障活动、安全论证过程和安全论证结论，以及评估方进行的一系列文档评估、现场审计和测试见证活动等，确定温州S1 线系统工程的整体风险已被控制，并已降低到可以接受的程度，为系统相关的安全结论提供足够的安全信心，从而使项目满足初期运营专家评审的要求，使项目按时顺利开通。

5 结束语

随着地铁的智能化建设，业主对信号系统的安全性要求越来越高，独立安全评估工作在地铁信号系统、车辆系统等的建设中显得尤其重要。评估方在温州S1 线信号系统建设中持续开展安全评估工作，只有获取了阶段性安全授权才能进行下一阶段工作，这种方式加强了建设方对工程的安全管理，增强了建设单位和运营单位对载客运营的安全信心，保障了温州S1 线信号系统的顺利开通运营。