DS6-60型計算機聯(lián)鎖產(chǎn)品第三方安全評估方法介紹

江守智

（上海鐵路通信有限公司，上海 200071）

隨著中國軌道交通的快速發(fā)展，運量日益增長，列車運行密度不斷加大，鐵路軌道交通相關產(chǎn)品與系統(tǒng)的開發(fā)與應用也得到相應的發(fā)展。不僅如此，隨著科技的進步，作為控制行車安全的核心設備，鐵路信號、控制和傳輸?shù)认到y(tǒng)已經(jīng)向智能化、自動化和功能化的方向發(fā)展，系統(tǒng)的復雜度呈指數(shù)增長，安全保證難度將越來越大，其安全性的隱患將可能導致災難性的后果。據(jù)調查顯示，目前世界上鐵路交通事故有很大一部分是由于信號系統(tǒng)的原因導致的，因此，產(chǎn)品在投入使用前進行獨立安全評估是降低產(chǎn)品風險，提高安全性的有效方法。

1 世界通行的標準

目前，世界通行的做法是按照鐵路信號系統(tǒng)各功能的安全關鍵程度分配相應的安全完整性等級（Safety?Integrity?Level,SIL），其中 SIL4 為等級最高的安全等級。一般而言，涉及行車安全的列控設備，聯(lián)鎖設備等都是在SIL4級范圍內(nèi)。鐵路信號系統(tǒng)必須通過指定SIL等級的安全評估才能投入運行，并且SIL4證書也成為系統(tǒng)批準和驗收的一項必要條件。

目前世界上對軌道交通信號系統(tǒng)的安全保證主要采用由國際電子電工委員會（IEC）制定的CENELEC?EN50126/8/9標準以及英國鐵路安全和標準委員會的《工程安全管理手冊》（黃皮書：Yellow?Book），這都是發(fā)達國家城市軌道交通系統(tǒng)經(jīng)過百余年發(fā)展形成的結晶，并成為現(xiàn)在世界上鐵路信號產(chǎn)品通行的安全評估標準及指南。

2 通用產(chǎn)品DS6-60型計算機聯(lián)鎖系統(tǒng)概述

2.1 系統(tǒng)特點

DS6-60型計算機聯(lián)鎖系統(tǒng)采用二乘二取二冗余結構設計,系統(tǒng)中所有涉及到安全信息處理和傳輸?shù)牟考凑展收?安全原則采取雙重系結構設計，任何單點故障都不會影響系統(tǒng)的正常使用，以滿足鐵路車站信號控制設備高可靠和高安全的使用要求。

系統(tǒng)聯(lián)鎖邏輯部為二乘二取二結構，雙系采用主從方式運行，使系統(tǒng)具有高可靠性；輸入采集單元采用靜態(tài)采集方式，由輸入采集機籠內(nèi)的兩個獨立CPU單元分別進行采集；?輸出單元采用雙斷控制，動態(tài)和靜態(tài)兩路驅動串聯(lián)輸出，靜態(tài)和動態(tài)輸出分別由輸出機籠內(nèi)的兩個獨立CPU單元控制。

2.2 系統(tǒng)構成

DS6-60型計算機聯(lián)鎖系統(tǒng)由5個部分組成，分別為：電源子系統(tǒng)、聯(lián)鎖子系統(tǒng)、輸入輸出子系統(tǒng)、控顯子系統(tǒng)和電務維修子系統(tǒng)。系統(tǒng)結構如圖1所示。

3 DS6-60型計算機聯(lián)鎖系統(tǒng)獨立安全評估方法論

3.1 文檔文件的審查

對DS6-60型計算機聯(lián)鎖系統(tǒng)文檔文件評估將依據(jù)所選的標準和相應的規(guī)范來審查其一致性與符合性，同時在根據(jù)EN5012X標準確定的安全完整性等級上有足夠的符合性，文檔文件的評估方法一般是基于審核報告、文檔檢查紀要、測試見證報告、基于產(chǎn)品子系統(tǒng)的集成ISA評估報告展開。

3.2 流程的評估和審核

依據(jù)DS6-60型計算機聯(lián)鎖系統(tǒng)產(chǎn)品的設計、施工、驗證和確認工期來安排質量和安全管理體系審核的計劃和實施。對直接參與設計、施工、驗證和確認的人員進行審核，依據(jù)EN5012X中生命周期的要求對組織和流程進行檢查，已確認生命周期各階段關于安全任務和各自交付已經(jīng)完成。這些評估的方法包括：組織、任務和職責的評估；過程、工具、方法、標準、測試的足夠性評估；啟動審核和/或后續(xù)的審核（質量和/或安全）；各方面/子系統(tǒng)/組件的檢查。

3.3 V＆V過程、測試評估和現(xiàn)場見證

為了證明產(chǎn)品已經(jīng)完成相鄰版本間的修正，并已經(jīng)根據(jù)被全面驗證的設計細節(jié)文檔安裝完畢，可以進行測試文檔的審查與測試見證。

3.4 安全案例的審核

在詳細的設計結束后，基于通用產(chǎn)品方面的安全案例將被提交以進行審核。安全案例的文檔將包括質量管理證據(jù)、安全管理證據(jù)、技術和功能安全方面證據(jù)、具體情況下具體操作的演示、外部影響以及相關安全案例參考。對安全案例將進行完整性、有效性、明確性、可理解性和CENELEC標準一致性等分析。

3.5 DS6-60型計算機聯(lián)鎖系統(tǒng)評估活動流程

對DS6-60型計算機聯(lián)鎖系統(tǒng)的評估活動主要包括以下流程。

1）按照CEICLC/TR?50506-1的要求，在重復使用的軟硬件和協(xié)議條款上對聯(lián)鎖子系統(tǒng)進行交叉認可；

2）系統(tǒng)制造商需求驗證，包括客戶與制造商需求間的可追溯性驗證與軟/硬件等級劃分驗證；

3）系統(tǒng)結構識別與驗證；

4）根據(jù)需求與GAMAB標準進行的危害分析驗證；

5）質量管理驗證；

6）用于系統(tǒng)模塊的軟件開發(fā)評估；

7）RAM參數(shù)評估。

3.6 全生命周期各階段安全評估活動及任務

1）系統(tǒng)概念階段：評估安全政策、安全目標；

2）系統(tǒng)定義和應用條件階段：評估過去的經(jīng)驗數(shù)據(jù)、安全計劃概述，識別既有設施對安全的影響，初步危險分析，定義THR標準；

3）風險分析階段：系統(tǒng)安全和安全風險分析、風險評估、評估危險日志；

4）系統(tǒng)功能和要求階段：系統(tǒng)安全要求概述，對安全功能、系統(tǒng)安全接受標準建立安全管理；

5）系統(tǒng)要求和功能分配階段：分配系統(tǒng)安全目標和要求、升級系統(tǒng)安全計劃；

6）設計和實施階段：通過閱覽、分析、測試和數(shù)據(jù)評估來實施安全計劃；

7）加工制造階段：實施安全計劃、使用危險日志；

8）安裝階段：實施安裝流程；

9）系統(tǒng)驗證階段：建立和實施委托程序、準備安全案例；

10）系統(tǒng)接收階段：評估安全案例；

11）運行和維護階段：安全維護培訓；

12）監(jiān)督和檢測階段：安全統(tǒng)計、分析；

13）修改或升級階段：修改或升級后的安全分析。

4 結論

鐵路信號系統(tǒng)是安全相關產(chǎn)品，因此對信號系統(tǒng)的安全評估是保障鐵路運行安全的保證。上文對DS6-60型計算機聯(lián)鎖系統(tǒng)的評估活動闡述涵蓋了全生命周期的各個階段，并且明確了階段評估活動和評估任務。通過對上述安全評估方法的執(zhí)行，可以有效消除通用產(chǎn)品DS6-60型計算機聯(lián)鎖系統(tǒng)的安全隱患，降低運行風險，并且保證系統(tǒng)正常、安全的運作。

[1] EN50126-1999/GB/T21562-2008（IEC62278：2002）：鐵路應用——可靠性、可用性、可維護性和安全性（RAMS）的詳述和證明[S].

[2] EN50129-2003：鐵路應用——信號的安全相關的電子系統(tǒng)[S].