基于全生命周期且以風險為導向的信號系統獨立安全評估

劉正東，楊 勁，3，王成國，于增明

（1.重慶英華軌道交通安全評估服務有限公司，重慶 401123；2.重慶市科學技術研究院，重慶 401123；3.重慶工商大學，重慶 400067；4.信息產業部 電子第六研究所，北京 100083）

基于全生命周期且以風險為導向的信號系統獨立安全評估

劉正東1，2，楊 勁1，2，3，王成國1，于增明4

（1.重慶英華軌道交通安全評估服務有限公司，重慶 401123；2.重慶市科學技術研究院，重慶 401123；3.重慶工商大學，重慶 400067；4.信息產業部 電子第六研究所，北京 100083）

主要對城市軌道交通信號系統的獨立安全評估方法的應用進行研究，對基于全生命周期且以風險為導向的獨立安全評估方法進行詳細介紹，并與傳統的以技術為導向方法進行比較。文章提出的方法更注重信號系統運營中的危害，對其潛在的風險進行控制及管理。獨立安全評估可以幫助信號系統集成商將風險等級盡可能降低，為城市軌道交通信號系統的運營安全提供保障。該方法可以應用于城市軌道交通信號系統的設計和實現過程，以滿足軌道交通主管部門提出的安全完整性等級要求。

信號系統；危害和風險；獨立安全評估；生命周期；安全完整性等級

信號系統為列車控制系統的核心系統，指揮列車安全運行，關系著乘客的生命和財產安全。因此，為了保證安全運營，對信號系統/設備的安全性提出了最高的要求（SIL4）。隨著計算機技術在鐵路信號系統中的應用，原有的基于技術的安全質量保證方法已不能滿足鐵路信號系統越來越高的安全要求，基于全生命周期且以風險為導向的方法在鐵路信號系統中的研究和應用已成為必然。

1 信號系統獨立安全評估概述

信號系統作為保證列車安全、正點、快捷、舒適、高密度不間斷運行的重要技術裝備，在軌道交通系統中有著舉足輕重的地位。為保證軌道交通的安全運營，應當在信號系統投入使用前，對其安全性進行獨立安全評估。

1.1 獨立安全評估定義

獨立安全評估（ISA，Independent Safety Assessment）是根據鐵路應用標準，例如：EN5012X 或IEC61508，對鐵路安全關鍵系統進行安全方面的審查和現場審核，并且給出系統在安全方面的評估報告。

獨立安全評估的特點：獨立性（與供應商、運營商獨立）、專業性（專注系統安全和風險）、伴隨系統全生命周期平行進行（從概念、需求、設計等到最后的驗收、運營）。

1.2 獨立安全評估發展歷程

獨立安全評估首次于2008年引入國內，國產化首套信號系統通過產品ISA認證，并在北京亦莊線信號系統中使用；2009年至2013年信號系統的獨立安全評估在國內開始逐步推廣，國務院、住建部和質監總局等先后頒發了ISA相關的標準和指導意見。

國內從2008年至2012年，先后對歐洲頒發的軌道交通信號系統獨立安全評估所參考的標準進行翻譯并形成對應的國家標準。目前國內指導獨立安全評估活動的標準主要包括，EN50126/EN50128/ EN50129 /EN50159及對應國家標準GB/T28808/GB/ T21562/GB/T28809 /GB/T24339等。

2 信號系統風險管理技術研究

2.1 風險管理及控制流程

城市軌道交通信號系統應保障列車的安全運營、人員的生命及財產安全，將信號系統存在的風險降低到合理的、可接受的水平。

信號系統的風險管理及控制流程包括：危害識別、風險分析、風險控制和風險監控，如圖1所示。后續小節將對風險管理及控制關鍵流程的要求和方法進行介紹。

圖1 風險管理及控制流程圖

2.2 危害識別

信號系統的風險管理應界定風險管理對象與目標，確定風險評估的系統或設備，制定信號系統的安全完整性等級（SIL）標準要求。軌道交通主管部門應定義系統（與技術實現無關）、識別與系統相關的危害。

危害識別包括對產品、流程、系統或任務進行系統的分析，以確定在整個生命周期中可能發生的造成人員傷害或環境破壞的不利條件。危害依賴于系統定義，特別是系統邊界，系統和子系統的危害可以分層構建。這也意味著危害識別和原因分析應在系統和子系統層次間重復進行。

如圖2所示，在系統層面一個危害產生的原因可認為是子系統級的一個危害（針對子系統邊界），這是一種結構化和層次化危害分析和危害跟蹤的方法。即子系統危害是系統產生危害的原因，系統級的危害最終導致事故。

圖2 危害分析和危害跟蹤方法

所識別的危害宜按風險等級排序，并且所有已識別的危害和其他相關信息應記錄在危害日志中。危害日志主要記錄危害描述、危害的風險分類和風險控制等信息的表格，包括但不限于以下內容：危害編號、危害描述、可能成因、影響/后果、原本風險（頻率、嚴重性、風險等級）、剩余風險（頻率、嚴重性、風險等級）、減輕措施、狀態等。

2.3 風險分析

風險分析即時對識別出的危害進行進一步分析，分析內容主要包含以下幾個方面：

（1）后果分析：危害導致的事故；

（2）原因分析：導致危害發生的原因；

（3）定量分析：危害發生的頻率；

（4）定性分析：危害導致事故的嚴重程度。

其中，軌道交通主管部門應負責風險事故損失分析、定義風險接受準則（比較常用的風險接受準則有ALARP/MGS/GAMAB/MEM/NMAU等）、導出可容許危害率（THR）。其中，對于THR需求，供應商會將THR連同系統方案提供給軌道交通主管部門，或者軌道交通主管部門和供應商戶一起來確定這些需求。

風險分析的方法應根據信號系統的特點、評估要求和風險類型進行選取，風險分析方法主要包括以下3類：

（1）定性分析方法，包括檢查表法、專家調查法（包括德爾菲法）、“如果……怎么辦”法、失效模式和影響分析法（FMEA）；

（2）定量分析方法，包括可靠度分析法、等風險圖法、神經網絡方法、數值模擬法等；

（3）綜合分析方法，包括專家信心指數法、事故樹法、事件樹法、影響圖方法、風險矩陣法等。

通過對風險的分析和評估，可以輸出各種危害的發生頻率、嚴重程度及風險等級等數據。

2.4 風險控制

風險控制包括對所必需的THR和相關安全功能的實施管理。風險控制主要是信號系統集成商以及各分包商的責任。風險控制管理是指對危害采取相關的控制措施、使風險降低到軌道交通主管部門可接受水平的具體實現的管理。

對于信號系統集成商：（1）需要根據軌道交通主管部門提供的風險接受準則，并結合風險分析的結果，判斷各危害存在的風險是否達到了軌道交通主管部門可接受的水平；（2）需要對不可接受的風險制定降低風險措施，使其風險達到軌道交通主管部門可接受的水平。

風險控制措施的制定需要考慮以下幾個方面：

（1）系統的功能；

（2）系統的應用環境要求；

（3）設計特點，建造特點；

（4）運營維護限制。

結合以上幾個方面按照以下優先等級來選擇風險控制措施：

（1）消除危害；

（2）降低危害發生頻率；

（3）降低事故發生頻率；

（4）降低事故發生后的損失。

2.5 風險監控和管理

對于危害識別、風險分析及風險控制的結果需要錄入到危害日志，并進行動態管理。當發現新的危害或者危害的信息發生變化時需要及時更新危害日志，然后再進入流程循環，對新的危害進行風險分析并制定相應的控制措施，從而實現對風險的監控和管理。

3 基于全生命周期且以風險為導向的信號系統獨立安全評估

傳統的基于技術規范的安全質量保證方法是根據信號系統的技術標準及規范對系統進行設計和評估，此方法缺乏針對性，已不能滿足越來越高的安全要求。基于全生命周期且以風險導向的方法，是將安全技術和理念貫穿于信號系統全生命周期，如設計、開發、生產、安裝、運營和維護過程中。

以下是基于技術規范和基于全生命周期且以風險為導向的信號系統獨立安全評估方法的分析比較。

3.1 基于風險的全生命周期

圖3為一般系統的生命周期和具有安全需求的系統生命周期流程圖，從生命周期各階段要求來看，主要區別是在系統需求和設計階段：

（1）以技術為導向的設計方法：起始階段為系統規劃階段，根據系統的規劃及行業技術規范編寫系統需求，該系統需求主要是功能和性能方面的需求，不包括安全方面的需求；

（2）以風險為導向的設計方法：從事故發生前進行安全分析，從對象系統的功能規格入手，對其進行危害分析和風險分析，從而得出對象系統與安全相關的需求規格。

圖3 系統生命周期流程圖

3.2 基于風險的安全系統設計特點

以技術為導向的方法：根據技術標準和規范等進行設計。從鐵路信號系統層面來看，ATP/ATO、聯鎖、ATS都是由相對獨立的專家（或公司）進行設計、評審及控制，如圖4所示。設計特點如下：

（1）各個子系統被認為是獨立的系統，其設計依據為技術標準或用戶要求；

（2）每個專家（或公司）關注在各自負責的子系統。

以風險導向的方法：是從影響運營安全的潛在危害入手，對整套信號系統進行分析。通過各種風險分析，根據風險分析結果可以將如控制進路、控制列車運行、監視等不同類型的功能分配到規劃子系統中，如圖4所示。

設計特點如下：

（1）各子系統的功能劃分是根據危害的類別、風險分析的結論等來確定；

（2）各子系統的組成是根據功能接口和功能架構來決定；

（3）每個專家都需要相互合作，作為一個整體對安全進行管理。

圖4 技術導向方法和風險導向方法的設計特點

3.3 技術導向與風險導向的設計及實現方法對比

在設計和實現方面，技術為導向方法主要是根據鐵路總公司頒發的相關技術標準進行設計，后期根據實際發現的問題進行更新；風險為導向方法是根據運營的要求，從安全角度考慮，對潛在的風險制定相應的改進措施，是基于安全需求的實現方法。技術導向和風險導向方法的差異比較如下。

技術導向的設計及實現方法：

（1）通過事故、經驗、嘗試和試驗等來學習/改進；

（2）每個安全問題將被刪除或附上補丁；

（3）設計規范和計劃基于技術標準或內部規定；

（4）基于技術規范進行的的符合性評估。

風險導向的設計及實現方法：

（1）通過運營要求，滿足安全需要，達到最低風險，可參考行業代表性的風險矩陣；

（2）系統地分配安全職責和需求；

（3）系統設計是基于安全需求；

（4）基于相關的安全過程文件進行符合性評估。

3.4 以風險為導向的獨立安全評估特點

針對不同的信號系統設計方法，存在兩種評估方法，即以技術為導向和以風險為導向的評估方法。以技術為導向的評估方法主要關注于系統設計的技術要求，系統的更新是在事故發生后進行修補升級；以風險為導向的評估方法主要關注于系統運營過程中面臨的各種風險，對可能發生的危害是否進行規避、轉移和控制等進行審核。表1對兩種方法在獨立安全評估活動中的區別及各自的關注點進行了對比說明。

4 結束語

綜合上述，以風險為導向且貫穿全生命周期的信號系統獨立安全評估方法比傳統的技術導向的設計和評估方法更具備前瞻性，更關注于信號系統的潛在風險及風險管理過程。在信號系統安全評估過程中以風險為導向的評估方法，可以幫助集成商更好地對信號系統的全生命周期過程中的所有風險進行有效控制，并降低其風險等級，確保城市軌道交通的運營安全。

表1 2種評估方法的比較

[1]孫華平，張艷兵.北京地鐵亦莊線信號系統工程獨立安全評估[J].城市軌道交通研究，2013（1）.

[2]郜春海 ，燕 飛，唐 濤.軌道交通信號系統安全評估方法研究[J].中國安全科學學報，2005，15（10）.

[3]馬 章.歐洲鐵路信號系統安全性標準的學習與引進[J].鐵道通信信號，2007，43（8）.

[4]趙 陽，張 萍，王 鯤.我國鐵路信號系統安全評估的研究[J].鐵道通信信號，2010，46（2）.

[5]范 明，王 菲.高速鐵路信號系統的安全評估研究[J].中國鐵路，2009（2）.

[6]唐 濤 ，燕 飛，郜春海 .軌道交通信號系統安全評估與認證體系研究[J].都市快軌交通，2004，1（17）.

責任編輯 徐侃春

Based on Whole Lifecycle and Risk-oriented Method of ISA of Railway
Signal System

LIU Zhengdong1,2, YANG Jin1,2,3,WANG Chengguo1,YU Zengming4
( 1.Chongqing Railway Safety Management and Certifcation Centre Co.Ltd.,Chongqing 401123,China;2.Chongqing Academy of Science &Technology,Chongqing 401123,China;3.Chongqing Technology and Business University,Chongqing 400067,China;4.The 6th Research Institute of China Electronics Corporation,Beijing 100083,China)

This paper researched on the application of the method of independent safety assessment of Signal System for Urban Transit,introduced a method based on the whole lifecycle and risk-oriented of independent safety assessment in detail,compared it with traditional technology oriented method.The proposed method focused on the hazard existing in the operation of Signal System,could control and manage the potential risks.Independent safety assessment (ISA) could help the signal system integrators reduce the risk level as lower as possible,and ensure safety for the operation of Urban Transit Signaling System.This method can be applied to the design and implementation of the Signal System,meet the requirements of safety integrity level proposed by the competent department.

Signal System;hazards and risk;independent safety assessment(ISA);life cycle;safety integrity level(SIL)

U284∶TP39

A

1005-8451（2016）10-0016-05

2015-11-04

劉正東，工程師；楊 勁，高級工程師。