系統安全保障管理體系的建立和實踐

郝瑞琴

（通號城市軌道交通技術有限公司，北京 100070）

1 概述

鐵路信號系統是城市軌道交通系統中主要的系統之一，鐵路信號系統主要功能是保證行車安全，提高運輸效率。列車行車安全建立在鐵路信號系統安全運行的基礎之上，從而有必要建立一套系統安全保障管理體系從而保證信號系統在設計、開發、制造、實施等環節能夠盡可能的降低風險，保證整個信號系統的安全運營。

城市軌道交通系統中主要的系統之一就是鐵路信號系統，鐵路信號是鐵路信號系統或設備的總稱，也是保證行車安全，提供區間和車站通過能力的自動控制及遠程控制技術的總稱。主要功能是保證行車安全，提高運輸效率。信號系統的安全運行得以保證，從一定程度上來說，就使列車的運行安全得到保障。從而有必要建立一套系統安全保障管理體系從而保證信號系統在設計、開發、制造、實施等環節能夠盡可能的降低風險，保證整個信號系統的安全運營。

2 相關標準及體系介紹

2.1 系統安全保障管理體系

系統安全的定義是在系統全生命周期內，使用系統安全工程和安全管理方法識別系統中的危害，并采取一定的控制措施使其危害降至最低，從而在規定的范圍內使系統的性能、時間和成本達到最理想的安全程度。

通過建立在工程學基礎上的概念、方法、工具和技術，來實現系統整個生命周期內安全的過程就是系統安全保障。系統安全保障工作的目的是發現所有可能導致人員傷害、財產損失及負面環境影響的安全隱患及風險，并進行跟蹤管理。

系統安全保障管理體系是指圍繞城市軌道交通系統安全管理建立一系列組織管理體系、管理程序和具體工作制度，為軌道交通信號系統安全提供可操作的工作流程。具體安全控制方法和技術，可參考EN5012X 標準。

2.2 IRIS標準ISO/TS 22163

國際鐵路行業標準(International Railway Industry Standard，IRIS），是專門應用于鐵路行業的質量管理體系標準，在2006 年5 月18 日由歐洲鐵路聯盟針對鐵路行業的特殊需求而發布實施。它是在ISO9001 的基礎上發展起來的一套鐵路行業個性化的管理標準。吸取了ISO9001 標準的精華，在質量體系八項管理原則指導下，采用系統方法，通過全員參與，實現全過程的管理和控制。2017年6 月1 日，IRIS 標準正式晉級為ISO 系列ISO/TS 國際標準，標準號為ISO/TS 22163。ISO/TS 22163：2017 標準根據管理體系標準的高階結構重新進行章節內容的編排。涵蓋了IRIS Revision 02標準原有要求和ISO9001:2015 的所有要求，并增加鐵路行業的特殊要求。

3 系統安全保障體系的建立

3.1 系統安全保障體系與IRIS體系相融合

在現有IRIS 質量體系中，雖在設計等方面已包含安全保障工作相關要求，但主要是遵照EN5012X相關標準執行，所以在建立IRIS 體系時，增加安全保障體系相關的詳細要求，將系統安全保障管理體系與質量體系有機結合，質量體系分為4 個層次，如圖1 所示。

圖1 質量體系層示意圖Fig.1 Schematic diagram of the quality system layer

按照不同體系的不同層次，將系統安全保障的要求融入質量體系。

1）A 層次

政策方針：將公司安全方針、安全保障管理融入IRIS 體系中《管理手冊》，作為公司體系A 層次文件。

2）B 層次

安全保障流程：建立了B 層次安全保障體系文件《安全保障控制程序》，根據EN5012X 標準定義安全保障通用流程；根據系統集成特定應用項目、研發產品項目的項目類型不同，結合項目實施過程將各階段安全保障流程融入系統集成控制程序以及應用科研控制程序。

分包商的安全保障管理：將對供應商的安全保障要求增加到供應商選擇評定標準中，融合至《供應商管理程序》；《合同控制程序》在合同評審流程中，增加對安全保障內容的評審內容，針對分包商合同中提出安全保障工作的要求等內容。

3）C&D 層次

安全保障流程指導：在B 層次安全保障體系的基礎上，為了更好地指導項目具體如何開展安全保障工作，建立C 層次及D 層次的指導手冊和模板，如建立《系統集成安全保障作業指導書》，定義項目每個生命周期階段安全保障工作如何開展以及相關參考的模板文件如何使用。

安全驗證與確認：將《安全保障控制程序》中涉及到的驗證和確認活動，根據項目類型不同分別制定C 層次及D 層次的指導手冊及相關文件模板，如制定系統集成安全確認活動作業指導書、系統集成驗證活動作業指導書、安全產品系統及軟件確認作業指導書、安全產品系統及軟件驗證作業指導書。

人員能力評定及培訓：在既有人力資源管理中崗位職責要求中明確參與安全保障相關人員在系統安全方面能力要求以及評定標準；并將安全保障相關培訓要求納入到年度培訓計劃中。

風險評估標準確認：為了便于后續項目執行，在投標過程中，根據招標文件要求，增加對投標項目安全保障工作及評估內容。在安全保障相關投標文件的模板中增加所采用風險矩陣的內容。

3.2 融合體系時遇到的問題

IRIS 標準中驗證與確認的概念與EN50126/EN50128/EN50129 中大致相同，但對于不同的咨詢公司老師、不同的項目經驗的人理解不同；不同的公司在工作職責分工不同，可能使得所定義驗證與確認的工作有所不同。需要根據公司各部門職責分工，定義適合公司的驗證與確認相關體系文件。EN5012X 與IRIS 標準中關于驗證與確認的分析如表1 所示。

通過分析兩個體系中針對驗證與確認的差異性主要在組織結構及獨立性要求、輸出交付物以及實施確認活動時是否需要用戶參與要求存在差異性,但在IRIS 標準中7.3.6 章節定義安全產品的設計和開發過程須遵守適用標準（如IEC62278(EN50126）、IEC62279(EN50128)、IEC62425(EN50129)),所以項目組織結構中設置確認工程師角色，獨立于項目組，設置項目組內的驗證人員，主導、參與項目的驗證與確認工作，驗證、確認活動是由多功能團隊在項目各個階段環節完成。由驗證、確認人員根據驗證和確認計劃完成相應的活動后，總結形成相應的驗證報告和確認報告。另外用戶的初步驗收、最終驗收等活動用戶參與的項目活動是一種確認活動。但是在實際執行過程中，安全評估工作與業主驗收為兩條工作主線。用戶驗收活動的證據可以作為確認的證據，但并不是必要條件；系統的各種分析、測試、評審等的結果證據也可以作為系統的確認。

4 體系運行情況

按照已建立的安全保障體系開展系統集成工程項目的安全保障工作，相應的系統集成工程項目均獲得了載客試運營的安全授權。但在實施過程中發現其中涉及到的主要安全分析流程通常為按照階段性進行初步危害分析、系統危害分析（含接口危害分析）、操作與支持危害分析等；系統集成項目中各既有安全相關產品，已完成產品層安全評估；項目危險源分析活動中更側重于系統級、外部接口、子系統接口、數據準備過程以及對集成過程中各個子系統安全相關應用條件是否滿足的分析，完成產品層安全需求到工程項目的傳遞。但在系統集成工程項目實施安全保障過程中發現：

1）當不同系統集成項目所采用的信號系統均為相同系統結構以及功能時，項目的安全分析活動如何開展既能夠分析充分又能提高效率，并更加抓住項目特點，關注項目特殊點；

2）不同項目由于參與分析人員的能力、經驗等造成同類項目分析結果的差異性；

3）由于系統集成項目工程現場實時情況，可能存在多次分段開通等情況，造成危害日志安全管理的維護工作量較大，且容易遺漏相關證據。

5 體系優化及總結

針對體系運行過程中遇到的問題對體系優化方案如下。

可通過積累和總結，基于既有產品需求開展基礎版本的危害分析活動，形成相應的危害清單及安全措施清單，可形成公司級的“危害庫（含安全措施）”，并且可以列舉參考的關閉證據。既有產品在系統集成工程項目應用時，首先識別與既有產品需求的差異，如無差異時，可直接參考公司級“危害庫”。存在差異時，針對此項目的特殊點著重開展危害分析，將特殊的新識別的危害增加至工程的危害日志中管理。

表 1 EN5012X與IRIS標準中關于驗證與確認的分析表Tab.1 Analysis Table of Verif ication and Conf irmation in EN5012X and IRIS Standards

由于系統集成項目工程現場實時情況，可能存在多次分段開通等情況，造成危害日志安全管理的維護工作量較大，且容易遺漏相關證據；在危害日志中增加了證據列表，用于管理所有關閉危害的證據，多次分段開通以及后續軟件升級等進行危害管理時，主要在于增加證據列表證據降低維護工作量。