系統安全保障體系的應用和實踐

楊 凱

(1．北京全路通信信號研究設計院集團有限公司，北京 100070；

2．北京市高速鐵路運行控制系統工程技術研究中心，北京 100070)

系統安全保障體系的應用和實踐

楊 凱1，2

(1．北京全路通信信號研究設計院集團有限公司，北京 100070；

2．北京市高速鐵路運行控制系統工程技術研究中心，北京 100070)

介紹鐵路信號系統的安全保障理論和標準，結合項目實際情況從安全工程師的角度描述安全保障理論和標準在項目中的應用和實踐，主要體現在項目組織，安全活動和生命周期活動3個方面。項目的成功實施和積累的系統安全保障經驗將對以后安全項目的開展提供很大幫助。

鐵路信號系統；安全保障；安全標準；安全活動；生命周期；風險

1 背景

鐵路信號是以保障鐵路運輸安全為目標，鐵路信號設備發生故障、錯誤或失效時，應自動顯示停車信號以確保行車安全，這一要求被稱為鐵路信號故障－安全原則。

列車運行速度越高對通信信號的依賴性越強，計算機時代列車運行控制系統的主要特點是系統功能強大，硬件集成度高，軟件越來越多地參與系統的控制和管理，系統復雜性提高的同時，也導致系統在設計、開發和定位錯誤等方面越來越困難。這就要求采用適應現代技術和器件水平的安全系統設計分析方法及標準。本文是筆者擔任安全工程師期間，結合自身理解和實際工作，總結出的安全系統設計開發應遵循的標準和流程。

2 概述

以前鐵路產品均是研制完成后經過審查和鑒定然后上道使用。隨著安全意識的不斷提升、歐標安全標準的引進以及第三方安全認證的要求，需要從系統研發過程就開始進行控制和管理，從而保證系統的安全可靠。具體體現在如下兩個方面：

1）建立安全評估機制

先進的信號系統是高技術、高投入、高風險的產品。歐洲和其他國家在鐵路信號領域已形成完整和成熟的安全評估與認證體系，并得到廣泛使用。在通信信號快速發展的機遇下，需要采用或借鑒歐標安全標準，建立安全評估機制。

目前本公司參考了歐標、國家鐵路標準，制定并實施了一套安全保障體系，所有安全系統均需達到SIL4級要求。

2）加強通信信號核心技術的研究

借鑒國外經驗，開發基礎故障安全信號系統平臺和系統架構，這樣就可以根據具體系統的應用需求進行應用軟件的開發，即可形成新系統。

目前，公司所有安全相關的系統均配置故障安全信號系統平臺，如GSSAP，DS6-60和DS6-K5B等。

因此對于涉及安全的系統需要由安全的硬件，安全的軟件以及完善的安全流程來保障。

3 安全理論和標準

安全不是絕對的，而是通過系統性的技術和管理等手段將風險降低到可以接受的程度。歐洲系列安全標準的安全理念是：采用全面生命周期的觀念來評估和管理風險。強調安全技術和意識應當貫穿于系統設計、開發、生產、裝備、維護全過程中，而不是在系統生產后再考慮系統的安全問題。歐標及覆蓋范圍如圖1所示。

圖1 歐標及覆蓋范圍圖

1）EN50126∶1999——可靠性、可用性、可維護性和安全性（RAMS）規范，該標準定義了系統的RAMS（reliability、availability、maintainability 和safety），即可靠性、可用性、可維護性和安全性，并且規定了安全生命周期內各個階段對RAMS的管理和要求。要求在整個安全生命周期進行RAMS管理，針對每個階段給出應需要完成的RAMS任務，同時給出相關的具體文檔和要求。[1]

2）EN50128∶2001——鐵路應用：通信、信號和處理系統—鐵路控制和防護系統的軟件，是針對軟件的安全保證提出的規范和設計標準。在該標準中，對鐵路控制和防護系統軟件進行安全完整等級劃分，針對不同的安全要求制訂相應的標準，包括對軟件需求規格書、測試規格書、軟件結構、軟件設計開發、軟件檢驗和測試、軟硬件集成、軟件確認評估、質量保證、生命周期、文檔等提出相應的程序與規范要求。[2]

3）EN50129∶2003——鐵路應用：通信、信號和處理系統—鐵路控制系統領域的安全相關電子系統，該標準主要內容：a.質量管理措施；b.安全管理措施；c.功能和技術安全措施；d.安全接收與審批；e.安全例證報告；f.技術、工具和過程。[3]

4）EN50159-1∶2001——鐵路應用：通信、信號和處理系統—在封閉傳輸系統中與安全相關的通信，其適用于采用封閉傳輸系統實現通信目的的安全相關系統，是對安全相關設備和傳輸系統的通信接口信息傳輸的安全要求。[4]

封閉環境下安全相關通信模型如圖2所示。

IRIS（International Railway Industry Standard）是運用于評估鐵路行業質量管理體系的一套標準。該標準架構在ISO 9001基礎上，適用于軌道交通行業有設計、制造、維修活動的組織，IRIS認證所涉及到的是整個軌道交通行業。對于鐵路通信信號系統來說，IRIS規定必須遵循上述標準。

除了上述國際標準，還必須遵守國家及鐵路行業指定的相關標準。

4 實踐

筆者作為安全工程師，主要職責是：1）負責安全計劃等安全管理文件的編制；2）組織系統技術方面的風險分析工作，并維護危險源日志；3）負責項目的安全管理，監督項目安全保障活動的實施。

圖2 封閉環境下安全相關通信模型

下面從安全工程師角度介紹項目組開展安全保障活動的實際情況。

4.1 項目組織

根據上述理論和標準，對于安全系統開發，按照圖3所示組織結構成立了項目組。

圖3 項目組織結構圖

所有安全相關項目成員均通過安全培訓。

嚴格明確系統研發、測試驗證和確認工作分別由不同的人員來承擔，驗證工程師獨立于確認工程師，且驗證工程師、確認工程師均獨立于軟件工程師/測試工程師。

為了強化安全產品的“獨立”確認職責，公司設立了獨立的安全管理機構——安全保障中心，確認工程師由安全保障中心同事擔任且不受項目經理控制，可以在必要時控制產品研發、驗證進程，以確保產品開發過程滿足歐標相應安全完整度等級的要求。公司質量安全總監負責項目的安全批準。

4.2 安全活動

在生命周期的各階段均涉及的安全活動如圖4所示。

對各離散安全活動的描述如表1所示。

對于危險日志更新，安全驗證、確認、審核評估屬于連續安全活動，在生命周期的各階段都會執行。

4.3 生命周期活動

圖4 安全活動圖

下面詳細介紹項目組在生命周期各階段進行的安全相關活動，如圖5所示。注意在生命周期的每個階段結束時均要驗證該階段的需求是否滿足前一階段的輸出，以及本階段的輸出是否實現本階段的需求活動。驗證的主要手段包括審核、分析與測試，階段性審核和評審。

4.3.1 系統定義和計劃階段

在此階段進行的安全活動包括：1）確定系統危險源識別的范圍；2）進行初步危險源識別和RAMS分析；3）分析系統的RAMS指標；4）確定項目具體RAMS目標和策略；5）建立安全保障活動計劃，包括項目策劃、安全計劃、測試計劃、驗證計劃、確認計劃和軟件質量保障計劃。

常用的危險源識別技術和方法有以下幾種：1）頭腦風暴（基于經驗)；2）危險和可操作性研究（HAZOP)；3）檢查表；4）SWIFT（基于結構的what-if技術，預先根據任務分解后的每個子任務，準備很多“如果某種情況發生，會怎么樣”的問題，然后組織大家依次回答問題，以找到危險源的方式)；5）故障模式影響分析(分析系統中每一元素所有可能產生的故障模式及其對系統造成的所有可能影響，并按每一個故障模式的嚴重程度、檢測難易程度以及發生頻度予以分類的一種歸納分析方法)。

表1 離散安全活動表

圖5 系統生命周期劃分及主要活動

在本項目中，根據不同的場景基本用到了上述所有5種方法。

4.3.2 風險分析階段

風險分析的目標是：1）識別系統相關的危險源；2）識別導致危險源發生的事件序列；3）評估危險源相關的風險；4）確定適當的風險控制或緩解措施；5）建立和維護危險源日志；6）形成安全需求和安全應用條件。

在此階段進行的安全活動包括：1）進行初步危險源分析、系統危險源分析、子系統危險源分析、接口危險源分析、運營安全危險源分析和故障模式影響分析；2）回顧并更新安全計劃；3）建立危險源日志；4）編制風險分析報告。

危險來源主要包括源于系統內部、外界原因和人員因素，危險分析流程總結如圖6所示。

圖6 危險分析流程圖

危險日志用于記錄項目中識別危險的當前狀態，以及對危險的移除、控制或緩解措施。危險日志內容包括：1）危險描述；2）危險ID；3）原因；4）后果；5）（初始的、最終的）風險指數；6）控制措施；7）負責人；8）狀態等。

安全相關應用條件的來源包括：1）從子系統輸入的安全相關應用條件；2）對于那些不能被子系統/模塊/接口實現的安全相關應用條件，將由子系統/模塊/接口層次傳遞到本系統層次，并被本系統繼承。若依靠系統層次仍然無法完全解決，需要向其他相關法提出安全應用條件；3）由本系統向其他相關方提出的安全相關應用條件：對于本系統層次無法滿足的安全需求，會產生相應的安全相關應用條件，系統根據相關的途徑，將安全相關應用條件傳遞給責任方。

本項目屬于應用類型的開發項目，需要繼承平臺的危險日志和安全相關應用條件，而沒有分析平臺內部范圍的風險。在進行危險分析時，將平臺作為黑箱處理，平臺所含有的潛在危險從平臺的危險日志得到，這些危險或者通過平臺的設計得到控制，即關閉了的危險；或者平臺控制不了的危險，移交給外部控制，即平臺的安全相關的應用條件。項目充分考慮這些安全相關應用條件并加以控制。應用類型的開發項目主要考慮應用本身的危險、應用和環境的接口危險及人員操作危險。

4.3.3 需求規范階段

該階段進行的安全活動包括：1）收集、分析并制定RAMS需求規范；2）實施本階段的風險分析，包括系統危險源分析；3）更新危險源日志。

安全需求來源包括危險源日志、外部系統安全相關應用條件、相關標準或規范等，必須標識出每條安全需求，并對其進行風險分析。由于本項目系統規模小，需求或危險源數量較少，所以采用了EXCEL進行危險源日志的維護和管理。

4.3.4 設計與實現階段——概要設計子階段

該階段進行的安全活動包括：1）明確子系統和模塊的RAMS需求；2）對子系統和模塊持續進行安全風險分析，包括系統風險分析、子系統風險分析、接口風險分析和操作與安全危險分析，產生子系統和模塊安全需求，并更新危險日志和安全需求規范等文檔。

4.3.5 設計與實現階段——硬件設計與實現子階段

該階段需要進行的安全活動包括：1）故障模式影響分析；2）充實一般產品/一般應用安全例證的內容；3）分析、驗證RAMS指標是否滿足；4）開展硬件制造設計、工藝影響分析（由生產企業進行）；5）編制硬件生產技術需求規范作為對制造環節的輸入；6）編制對安裝環節輸出的安裝手冊和安全相關應用條件。

由于目前公司對所有安全相關系統均以統一的平臺為基礎，因此硬件設計與實現均歸入了平臺項目，系統所采用的硬件平臺已通過安全認證，平臺滿足EN50129相關要求。

4.3.6 設計與實現階段——軟件設計與實現子階段

該階段進行的安全活動包括：1）制定軟件質量保障計劃；2）編制軟件需求規范；3）完成工具安全保障分析和操作系統安全保障分析；4）分析并驗證RAMS指標是否滿足。

其中工具安全分析的內容包括：1）工具識別及分類；2）工具需求（為什么要用工具）；3）工具選擇；4）工具應用（如何使用工具、配置項及理由）；5）風險識別（引入什么風險）；6）風險控制（通過什么手段對風險進行控制）。

4.3.7 設計與實現階段——模塊測試、軟硬件集成測試子階段

該階段無特殊安全活動相關要求，主要保證按照測試規范執行，設計出完整測試用例，確保每條測試用例均得到執行。4.3.8 系統測試階段

該階段進行的安全活動包括：1）確認系統滿足包括RAMS需求在內的系統需求，；2）對剩余系統風險進行評估；3）對系統進行型式試驗；4）根據硬件生產技術需求規范編制驗收方案并進行驗收活動；5）編制安全例證（包括安全相關應用條件）。

其中安全例證的核心內容包括：1）說明系統可能的危險源，尤其是可能造成嚴重后果的危險源；2）提供證據說明已經采取相對應的安全措施，系統遺留的風險是可以容忍的。

4.3.9 試驗與應用階段—現場試驗

進行的安全活動包括：安裝試點檢查。4.3.10 系統確認階段

由獨立確認工程師根據確認計劃，對中間過程進行確認，并出具確認報告。

4.4 結題階段

在項目結題階段，項目出示了滿足如下條件的產出：

1）具備所有文檔，且每個文檔版本、修改歷史等均具有可追溯性；

2）所有需求均具有可追溯性，需求→設計→代碼→測試→Bu→發布。任何不可追溯的部分均證明其與安全完整度無關。

3）危險源的可追溯性，確保每條危險源均對應到安全需求并得到妥善解決，確保每一個安全需求均得到滿足和實現。

由獨立第三方機構主要通過審核的方式對項目進行驗證，驗證內容包括：

1）對危險源是否關閉進行審核；2）審核安全管理過程；

3）審核質量管理過程。

而審核方式也有多種形式，包括：

1）現場審核（如配置管理審核，軟件開發審核，質量審核等）；

2）文檔審閱；

3）面試項目組人員；

4）見證項目活動，如參與、見證項目日常工作，見證測試等。

5 總結語

安全生命周期強調安全技術和意識應當貫穿于系統設計、開發、生產、裝備、維護全過程中，而不是在系統生產后再考慮系統的安全問題。從事安全保障活動需要時刻保持安全意識和責任感并做到細心和耐心，必須掌握相關的安全標準和過程并遵照嚴格執行。

安全標準是比較寬泛和抽象的，必須針對項目本身量體裁衣，為此公司根據標準和項目類型選定需要遵守的標準條目并做了適當的調整。項目組每個成員均參與安全理論和安全活動相關的培訓，對應用開發類項目需要遵守的安全活動和流程比較熟悉并積極配合，從而在生命周期活動執行過程中發現和彌補了不少安全問題和漏洞，并最終更加認識到安全保障的重要性。

經過不懈努力，項目組研發的安全系統順利拿到安全完整性等級SIL4級證書，為以后安全項目的開展積累了豐富的經驗。

[1] EN50126 鐵路應用：可靠性、可用性、可維護性和安全性（RAMS）規范和說明[S].ERTMS，1999.

[2] EN50128 鐵路應用：鐵路控制和防護系統的軟件[S]. ERTMS，2011.

[3] EN50129 鐵路應用：鐵路控制系統領域的安全相關電子系統[S].ERTMS，2003.

[4] EN50159-1 鐵路應用：通信、信號和處理系統—在封閉傳輸系統中與安全相關的通信[S].ERTMS，2001.

The paper introduces safety assurance theories and standards for railway signal systems. According to the project implementation, the paper describes the application and practice of safety assurance theories and standards in view of a safety engineer, mainly involving three aspects of the project organization, safety activities and life cycle activities. The success of the project and the experience in safety assurance can provide help for the future safety projects.

railway signal system; safety assurance; safety standard; safety activity; life cycle; risk

10.3969/j.issn.1673-4440.2016.06.028

2015-11-13）