黃銀霞 崔 勇 王俊飛

中鐵鐵路產(chǎn)品認證中心,100081 北京

*副研究員 **助理研究員

CTCS-3級列控系統(tǒng)的系統(tǒng)評估是我國鐵路在傳統(tǒng)準(zhǔn)入管理的基礎(chǔ)上,引進了國外關(guān)于列控系統(tǒng)安全管理的良好做法,委托相應(yīng)的評估審核組織,采用從系統(tǒng)角度伴隨項目開發(fā)全過程,自上而下、自下而上的評估技術(shù)。它強化被評估系統(tǒng)從系統(tǒng)設(shè)計、產(chǎn)品開發(fā)、生產(chǎn)制造、安裝調(diào)試、聯(lián)調(diào)聯(lián)試等全過程的安全管理,降低運營風(fēng)險,已先后應(yīng)用于武廣、鄭西高速鐵路。

CTCS-3級列控系統(tǒng)的系統(tǒng)評估要求集成商按照系統(tǒng)評估 4個階段開展安全管理,運用風(fēng)險管理技術(shù),識別對系統(tǒng)安全性產(chǎn)生不利影響的因素,通過評估其風(fēng)險等級和特定系統(tǒng)可接受風(fēng)險的程度,來確定采取相應(yīng)的措施。如:在系統(tǒng)設(shè)計階段開展危險分析,形成安全需求和危險日志;在子系統(tǒng)相互認可過程中進行差異識別與差異風(fēng)險的評估,形成相互認可報告;在驗收確認階段進行風(fēng)險控制措施與安全要求的總結(jié),形成最終安全例證等。其中,安全計劃、風(fēng)險評估、安全需求、安全案例、相互認可是全過程安全管理和系統(tǒng)評估審核的關(guān)鍵元素。

1 安全計劃

安全計劃是規(guī)定 CTCS-3級列控系統(tǒng)開發(fā)項目如何滿足安全需求的實施細節(jié)和程序。集成商應(yīng)在CTCS-3級列控系統(tǒng)設(shè)計階段制定安全計劃,在經(jīng)主管部門及相關(guān)方同意后,在系統(tǒng)的生命周期內(nèi)實施、審查和維護。

安全計劃應(yīng)包括:①達到安全性的方針和策略;②計劃的范圍;③系統(tǒng)描述;④生命周期內(nèi)項目團體之間的關(guān)系、責(zé)任、能力及所擔(dān)任角色的詳細說明;⑤系統(tǒng)生命周期與生命周期所從事的安全工作及其依賴性的描述;⑥生命周期內(nèi)使用的安全分析、設(shè)計和評估過程,包括項目中保證人員相應(yīng)的獨立程度,確保和系統(tǒng)風(fēng)險相匹配;危險識別和分析;風(fēng)險評估和正在進行的風(fēng)險管理;風(fēng)險容許準(zhǔn)則;安全需求充分性的確定與審查;系統(tǒng)設(shè)計;驗證和確認;為獲得系統(tǒng)需求與實現(xiàn)一致性進行的安全性評估;為獲得管理程序與安全計劃一致性進行的安全性審查;為獲得子系統(tǒng)和系統(tǒng)安全分析一致性的安全性評估;⑦生命周期中安全相關(guān)的可交付性的詳細說明,包括文件、硬件、軟件;⑧編寫系統(tǒng)安全論據(jù)的過程;⑨系統(tǒng)安全審批的過程;⑩修改系統(tǒng)的安全審批過程;○11分析運營與維修性能的流程,以保證實現(xiàn)的安全與要求相符;○12安全相關(guān)文件維護流程,包括危險日志;○13與其他相關(guān)規(guī)劃和計劃的接口;○14計劃中的約束與假設(shè);○15分包商的管理安排;○16貫穿生命周期且適合于所考核系統(tǒng)的、與安全相關(guān)的周期性安全評審、安全性評估及安全性審查的要求,包括所有人員獨立性的要求。

安全計劃由項目經(jīng)理負責(zé)制定,也可以委派給資格適宜并且有能力的人員,但是項目經(jīng)理應(yīng)負全部責(zé)任。

2 風(fēng)險管理

在鐵路安全保障應(yīng)用中,通常以2種方法來開展安全保障工作:一種是基于風(fēng)險的方法;另一種是制定非常詳細的技術(shù)規(guī)范,通過遵守技術(shù)規(guī)范來保證系統(tǒng)達到運營安全。基于風(fēng)險的方法是通過考慮危險和相應(yīng)的風(fēng)險,確保產(chǎn)品、流程和系統(tǒng)安全性,可以分為 2類:一類為對系統(tǒng)可靠性、可用性、可維護性以及安全性 (RAMS)進行管理;另一類是著重對運營安全的管理,即所有工作著重于提高系統(tǒng)的安全水平,見圖1。

圖1 國外鐵路系統(tǒng)安全保障分類

目前,國際上對 RAMS進行全面管理逐漸采用基于風(fēng)險管理的方法開展安全保障工作。

2.1 風(fēng)險接受準(zhǔn)則

風(fēng)險評估應(yīng)識別哪些風(fēng)險是可接受的,哪些是不可接受,首先需要確定風(fēng)險接受準(zhǔn)則。國際上有3種準(zhǔn)則,分別是法國的 GAMAB/GAME、德國的MEM和英國的 ALARP。GAMAB/GAME準(zhǔn)則,將安全目標(biāo)定義為新系統(tǒng)必須具有最好的安全性能,或至少與現(xiàn)有同類系統(tǒng)的安全性能相當(dāng);MEM準(zhǔn)則將安全目標(biāo)定義為最小內(nèi)在死亡率;ALARP準(zhǔn)則將安全目標(biāo)定義為風(fēng)險低到適當(dāng)可行。我國武廣、鄭西 CTCS-3級列控系統(tǒng)的特定應(yīng)用,均采用了 ALARP接受準(zhǔn)則,并引用了京津城際的相關(guān)數(shù)據(jù)。

表1 CTCS-3級列控系統(tǒng)危險事件出現(xiàn)的頻度

根據(jù) GB/T21562-2008/IEC62278:2002對危險發(fā)生概率的定義,CTCS-3級列控系統(tǒng)危險事故發(fā)生頻度可劃分為表 1中所描述的不同情況。

依據(jù)中華人民共和國國務(wù)院令 第 501號 《鐵路交通事故應(yīng)急救援和調(diào)查處理條例》 (2007年7月 11日發(fā)布)和中華人民共和國鐵道部令第50號 《鐵路交通事故調(diào)查處理規(guī)則》 (2007年8月 28日發(fā)布),以及對人造成后果不同的危害嚴(yán)重性等級,CTCS-3級列控系統(tǒng)可參考表2劃分風(fēng)險后果等級。

表2 CTCS-3級列控系統(tǒng)危險嚴(yán)重等級

對 CTCS-3級列控系統(tǒng)的風(fēng)險評估,應(yīng)結(jié)合危險事件發(fā)生頻度及其后果的嚴(yán)重性進行。通?？捎谩邦l度-后果”矩陣表來表示,見表 3。

表3 頻度-后果矩陣表

2.2 風(fēng)險評估流程

風(fēng)險評估是對由一個或者多個危險導(dǎo)致的風(fēng)險進行評估的過程。風(fēng)險評估主要是確定危險、評估風(fēng)險和判斷風(fēng)險容忍度。風(fēng)險管理還包括確定和采取經(jīng)濟有效的風(fēng)險控制措施,確保資源可持續(xù)不斷地用于控制,并將風(fēng)險維持在可接受的水平。

風(fēng)險評估通常使用定性、定量或者混合方法的系統(tǒng)和結(jié)構(gòu)化流程,包括風(fēng)險評估與危險控制 2部分。風(fēng)險評估和危險控制步驟互相關(guān)聯(lián),是 CTCS-3級列控系統(tǒng)風(fēng)險評估流程的一部分,詳見圖2。

圖2 風(fēng)險評估流程圖

風(fēng)險評估步驟:系統(tǒng)定義;危險識別 (初步和詳細),包括危險日志;后果分析;適時的風(fēng)險評估和 THR(危險失效率)分配。

危險控制步驟:危險控制,包括原因分析和共因分析。

系統(tǒng)定義,是指明確定義系統(tǒng)及其物理和邏輯邊界,即與其他系統(tǒng)和環(huán)境的接口。理解系統(tǒng)及其環(huán)境之間的邊界是理解系統(tǒng)可能對事故作出貢獻方式的前提條件。環(huán)境由可影響系統(tǒng)或者受系統(tǒng)影響的任何事項組成,其中包括與系統(tǒng)連接(機械、氣動和電子等),或者通過電磁干擾、壓力脈沖和熱交換等相互作用的物體。環(huán)境也包括可能影響系統(tǒng)及其操作,或受系統(tǒng)及其操作影響的人員和程序。

危險識別,是風(fēng)險評估流程的基礎(chǔ),是系統(tǒng)安全保證的關(guān)鍵步驟。缺少系統(tǒng)和全面的危險識別階段可能會嚴(yán)重破壞風(fēng)險評估流程。風(fēng)險識別應(yīng)系統(tǒng)、全面,確保充分考慮人員、流程和系統(tǒng)工作模式(正常、降級和緊急模式)等因素,并將識別結(jié)果形成記錄,進行分析,以消除相關(guān)性,并評估每個危險影響的等級,最終在系統(tǒng)層定義一組具有不同嚴(yán)重等級的可靠的 “危險群”。所有相關(guān)方應(yīng)就危險識別實施的實際范圍進行協(xié)商。通常將分析限制在可導(dǎo)致人員傷害的危險比較合適。

危險日志,是記錄已識別危險和采取或應(yīng)采取的措施與行動的文件化工具,以將危險減輕到容許等級。危險日志是風(fēng)險管理流程的中心,應(yīng)包括一個已識別危險的清單,與每個危險關(guān)聯(lián)的風(fēng)險分類和風(fēng)險控制信息,還應(yīng)包括為建立其他系統(tǒng)或子系統(tǒng)實施安全需求形成來源的措施。從包含項目啟動時所確定初步危險日志初始狀態(tài)開始,危險日志應(yīng)隨系統(tǒng)生命周期內(nèi)確定的任何進一步危險及時更新,記錄危險的處理。

后果分析,包括建立中間條件或者事件,評估危險的發(fā)展,以估計導(dǎo)致事故 “危險群”的概率,以及事故可能導(dǎo)致?lián)p失的程度。例如,發(fā)生列車脫軌后,可能出現(xiàn)橋梁塌在列車上、發(fā)生火災(zāi)或者釋放毒性物質(zhì)等。

風(fēng)險評估和 THR分配,是根據(jù)規(guī)定的風(fēng)險接受準(zhǔn)則進行風(fēng)險評估和評價。通過測量,根據(jù)風(fēng)險接受準(zhǔn)則引入風(fēng)險降低和/或風(fēng)險避免措施,將風(fēng)險降到可接受或者容許的水平,以防出現(xiàn)不可接受的高風(fēng)險。從與事故相關(guān)的事故率和損失容忍度評估,重新計算確定危險的事故率數(shù)值,以便為每個危險提供容許標(biāo)準(zhǔn),將其視為 THR,而 THR也構(gòu)成了危險控制的輸入。

危險控制,系統(tǒng)實現(xiàn)及其安全措施應(yīng)滿足所有的安全要求,例如,通過插入特定的安全功能、保護措施和安全屏障等。使用可能對系統(tǒng)邊界構(gòu)成危險的原因分析,進行系統(tǒng)分析,并用于識別任何其他危險或者結(jié)構(gòu)危險。常用因果分析 (CCF)方法分析安全措施的獨立性,然后得出安全完整性(SI)要求,并將其分配給某個功能。危險控制流程參見圖3。

圖3 危險控制流程圖

2.3 風(fēng)險評估流程的應(yīng)用

風(fēng)險評估流程提供給系統(tǒng)不同生命周期階段安全分析的框架。在此框架內(nèi),可使用定性、定量或混合方法開展不同深度的評估,且必須包含在相關(guān)階段的安全計劃中,接受評估機構(gòu)的審核。

2.3.1 初步危險分析

初步危險性分析是第一次危險識別和風(fēng)險分析,在項目開始時執(zhí)行。該分析通過其概率和后果嚴(yán)重度的初始評估標(biāo)注識別危險,并用于確定:①伴隨項目的風(fēng)險范圍和程度,并將風(fēng)險評估流程應(yīng)用于適當(dāng)?shù)纳疃?②在初始設(shè)計活動過程中,可以消除或者控制的一系列潛在危險。

應(yīng)該在開始任何重要的設(shè)計活動前,進行初步危險性分析。需要對系統(tǒng)功能、結(jié)構(gòu),及系統(tǒng)與人員和其他系統(tǒng)接口進行全面的、高層次的描述。在初步危險分析過程中執(zhí)行的風(fēng)險分析活動,應(yīng)該通過嚴(yán)重度和可能性的初始評價,標(biāo)注識別的危險,并為每個已識別危險的可能性提供目標(biāo),以支持初始安全要求的設(shè)定。初步危險分析結(jié)果應(yīng)創(chuàng)建風(fēng)險矩陣,以確定需要采取更詳細的分析 (定性或定量分析)。

2.3.2 定性和定量評估

定性風(fēng)險評估主要取決于該領(lǐng)域?qū)＜业呐袛嗪涂煽康囊酝?jīng)驗。定性風(fēng)險評估適合于系統(tǒng)故障,且用主觀和粗糙的方法解決了運營風(fēng)險。其優(yōu)點在于無需詳細的量化、數(shù)據(jù)采集或分析,相對簡單,且相對于定量風(fēng)險評估而言更廉價;缺點在于假設(shè)需要詳盡的文檔,且可能不足以做為評估重大風(fēng)險的惟一依據(jù)。

定量風(fēng)險評估應(yīng)該旨在降低不確定性的重要性。定量風(fēng)險評估只能用于隨機故障,與定性風(fēng)險評估基于相同的基本原理,同時使用客觀和驗證數(shù)據(jù)、顯示處理與輸入數(shù)據(jù)相關(guān)的不確定性,以及顯示處理所導(dǎo)致風(fēng)險重要因素之間的相關(guān)性等數(shù)據(jù)建模 (例如,故障樹分析和因果分析等)。定量風(fēng)險評估的優(yōu)點在于:如果將足夠精確的數(shù)據(jù)用于評估,則比定性風(fēng)險評估更精確,有助于確定設(shè)計缺陷或者安全概念的缺點,有助于將所有風(fēng)險貢獻因素集成到一個總體分布圖,由于更詳細檢查有助于確定隱藏假設(shè),便于更好地理解危險潛在因果關(guān)系的重要性。其缺點在于:比較復(fù)雜,需要大量的客觀數(shù)據(jù),不適合于評估系統(tǒng)故障,相對于定性風(fēng)險評估更昂貴,可能需要重要的資源。

2.4 危險分析方法與工具

危險分析可采用不同的方法和工具。見表4。

3 安全需求與安全完整性

3.1 定義

安全需求是系統(tǒng)評估的核心。系統(tǒng)/子系統(tǒng)/設(shè)備的特定安全需求,包括安全功能需求和安全完整性需求,應(yīng)在安全需求規(guī)范中加以確定并文檔化,應(yīng)通過危險識別和分析、風(fēng)險評估和分類、安全完整性等級分配的方法實現(xiàn)。安全功能需求就是系統(tǒng)、子系統(tǒng)或設(shè)備必須具備的實際與安全性相關(guān)的功能。安全完整性需求定義了每一安全性相關(guān)功能所需的安全完整性 (SIL)等級,如表 5所示。

歐洲各國特別針對列控系統(tǒng)制定了強制性的安全需求規(guī)范,確定了定性與定量的安全指標(biāo)。我國鐵路CTCS-3級列控系統(tǒng)尚未形成獨立的安全需求標(biāo)準(zhǔn),目前系統(tǒng)評估中的安全需求以開發(fā)商進行危險分析的結(jié)果為基礎(chǔ),且僅有定性的安全目標(biāo)。

表4 失效和危險分析方法

表5 安全完整性等級表

3.2 安全完整性分配

列控系統(tǒng)的安全相關(guān)功能是由子系統(tǒng)實現(xiàn)。安全完整性等級被分配給安全相關(guān)功能,進而被分配給實現(xiàn)這些功能的子系統(tǒng),但不繼續(xù)分配下去。組成子系統(tǒng)的設(shè)備安全完整性等級和子系統(tǒng)一樣,除非子系統(tǒng)中設(shè)備的功能獨立性能被證明。以下提供了歐洲列控系統(tǒng) SIL的 THR的分配原則,可供CTCS-3級列控系統(tǒng)參考。

1.列控系統(tǒng)的作用為 “向司機提供準(zhǔn)許其安全駕駛列車的信息,并要求司機注意這些信息”。

2.與列控系統(tǒng)這一作用相關(guān)聯(lián)的嚴(yán)重失效為“超出列控系統(tǒng)給出的安全速度/距離限制”。

3.這一失效屬于技術(shù)失效,因此其最大發(fā)生頻度不得超過 2.0×10-9/h·列車,這就是列控系統(tǒng)允許的危險失效率 THR列控。

4.分配原則。在車載設(shè)備和地面設(shè)備之間進行平均分配,并同時分配系統(tǒng)失效。

通過分配,這些危險事件被定為 “車載事件”“地面事件”或 “非信賴傳輸事件”,每種事件一開始就分配了三分之一的 THR列控。對應(yīng) “傳輸事件”的功能實際上是由車載設(shè)備或地面設(shè)備完成的。因此,傳輸事件一半由車載設(shè)備分配,而另一半由地面設(shè)備分配。這樣就實現(xiàn)了在車載設(shè)備和地面設(shè)備之間進行平均分配,參見圖4。

4 安全案例

安全案例是證明系統(tǒng)符合特定安全需求的文件。CTCS-3級列控系統(tǒng)的安全案例是一個較新的概念,包括 3個不同層面,案例結(jié)構(gòu)如圖5所示。

圖4 列控系統(tǒng) THR列控分配示意圖

圖5 CTCS-3級列控系統(tǒng)安全案例結(jié)構(gòu)

通用產(chǎn)品層安全案例:指可在不同獨立應(yīng)用中重復(fù)使用的安全案例,旨在證明可重復(fù)使用的產(chǎn)品滿足特定的安全目標(biāo)。

一般應(yīng)用層安全案例:指可在一類具有共同功能的應(yīng)用中重復(fù)使用的安全案例,旨在證明應(yīng)用程序或者系統(tǒng)中的產(chǎn)品組合滿足特定的安全目標(biāo)。

特定應(yīng)用層安全案例:指僅用于某一特定的條件或環(huán)境的安全案例,包括特定應(yīng)用的設(shè)計原理和實施過程的安全證據(jù),旨在證明在特定應(yīng)用的背景和條件下達到系統(tǒng)需求和安全需求的目標(biāo)。

典型的 CTCS-3級列控系統(tǒng)特定應(yīng)用安全案例應(yīng)包括以下內(nèi)容。

引言:應(yīng)包括文檔目的、適用范圍、文檔結(jié)構(gòu)、適用的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范等。

第一部分,系統(tǒng)定義:應(yīng)包括系統(tǒng)定義、系統(tǒng)控制邏輯的定義、傳感器系統(tǒng)定義等。其中系統(tǒng)定義應(yīng)定義系統(tǒng)的結(jié)構(gòu)和功能、系統(tǒng)性能、記錄可追溯性、層次結(jié)構(gòu)定義、文檔版本可追溯性;系統(tǒng)控制邏輯的定義應(yīng)定義系統(tǒng)控制邏輯的結(jié)構(gòu)和功能 (如 CPU板說明、WD板說明、輸入/輸出板說明等)、記錄可追溯性、層次結(jié)構(gòu)定義、文檔版本可追溯性;傳感器系統(tǒng)定義應(yīng)定義傳感器系統(tǒng)的結(jié)構(gòu)和功能 (如 TRX板說明、PRF板說明、MDR/MMDT板說明、ITR板說明)、記錄可追溯性、層次結(jié)構(gòu)定義、文檔版本可追溯性。

第二部分,質(zhì)量管理報告:應(yīng)包括質(zhì)量計劃、技術(shù)檢查報告、質(zhì)量測試報告等。

第三部分,安全管理報告:應(yīng)包括安全管理概述、安全生命周期、安全組織、安全計劃、危險日志、安全需求規(guī)范、系統(tǒng)設(shè)計、安全審查、驗證和確認計劃、安全保證、主管部門對系統(tǒng)的審查、運營維護、報廢與處理、RAM計劃 (和活動)、軟件開發(fā)計劃、配置管理計劃等。

第四部分,技術(shù)安全報告:應(yīng)包括技術(shù)安全概述、確保功能運行正確、故障影響、運營外部影響、影響安全性的應(yīng)用條件、系統(tǒng)性能測試、控制邏輯安全技術(shù)報告、傳感器安全技術(shù)報告等。其中,“確保功能運行正確”須描述系統(tǒng)架構(gòu)、接口定義、滿足系統(tǒng)功能需求規(guī)范、滿足系統(tǒng)安全需求規(guī)范、確保硬件功能正確、確保軟件功能正確;“故障影響”應(yīng)描述單一故障、項目獨立性、單一故障檢測、活動跟蹤檢測、多重故障、故障防御系統(tǒng)等;“運營外部影響”應(yīng)描述氣候條件、機械條件、海拔、電氣條件、車載電氣條件、防止未經(jīng)授權(quán)的訪問、更嚴(yán)酷的條件;“影響安全性的應(yīng)用條件”應(yīng)描述系統(tǒng)配置和制造、運營與維護、運營安全監(jiān)控、報廢與處理; “系統(tǒng)性能測試”應(yīng)描述測試定義與計劃、測試報告。

第五部分,相關(guān)的安全案例:車載設(shè)備、地面設(shè)備及接口的安全案例應(yīng)作為相關(guān)的安全案例簡略總結(jié)后并入 CTCS-3級列控系統(tǒng)特定應(yīng)用的安全案例。

第六部分,結(jié)論:應(yīng)包括系統(tǒng)運營和特征匯總。

附錄:應(yīng)列入適用的法律法規(guī)、客戶輸入文檔、本計劃所需的供應(yīng)商文檔、定義、首字母縮略詞和縮略語。

5 子系統(tǒng)及其關(guān)鍵設(shè)備的相互認可

在 CTCS-3級列控系統(tǒng)的系統(tǒng)評估中,對于已完成開發(fā)的子系統(tǒng)或關(guān)鍵部件,可采用互認性原則,不再次評估,但需要補充對系統(tǒng)特定應(yīng)用的功能需求、安全需求和危險影響分析的評估。國外供應(yīng)商的成熟子系統(tǒng)或產(chǎn)品,應(yīng)提供國外授權(quán)機構(gòu)出具的安全評估報告、許可證書及本項目系統(tǒng)需求、安全需求、安全案例。國內(nèi)供應(yīng)商的成熟子系統(tǒng)或產(chǎn)品,應(yīng)提供主管部門的成果鑒定或技術(shù)審查、企業(yè)認定或產(chǎn)品認證等審批文件。系統(tǒng)評估審核組按相互認可原則及要求,按成熟、新開發(fā)子系統(tǒng)或產(chǎn)品 2種類型進行差異性評價。

相互認可分為 4種情況。

1.國外供應(yīng)商的成熟子系統(tǒng)或產(chǎn)品,應(yīng)提供:國外授權(quán)機構(gòu)出具的安全認證證書及安全評估報告;本項目系統(tǒng)需求、安全需求、功能需求差異及其危險分析結(jié)果;本項目特定應(yīng)用的安全案例。

2.國外供應(yīng)商成熟產(chǎn)品的國產(chǎn)化,應(yīng)提供:國外授權(quán)機構(gòu)出具的安全認證證書及首件認證證書;工廠測試驗證及其驗證報告;需求、接口、功能/性能差異 (如果有)及其危險分析;差異及變更部分設(shè)計應(yīng)用、測試驗證結(jié)果 (如果有);適應(yīng)本特定應(yīng)用變更部分的安全案例。

3.國內(nèi)供應(yīng)商的成熟子系統(tǒng)或產(chǎn)品,應(yīng)提供:主管部門的成果鑒定或技術(shù)審查、企業(yè)認定或產(chǎn)品認證等審批文件;需求差異、設(shè)備/接口差異、功能/性能差異及其危險分析;差異及變更部分設(shè)計應(yīng)用、測試驗證結(jié)果;變更部分的安全案例。

4.國內(nèi)新開發(fā)產(chǎn)品的評估應(yīng)與現(xiàn)行管理模式相協(xié)調(diào)。在保證安全的條件下,評估的深度和廣度,特別是安全定量指標(biāo)方面,逐步與國際標(biāo)準(zhǔn)接軌。如武廣、鄭西 C3新開發(fā)臨時限速服務(wù)器等,原則上應(yīng)按IEC鐵路應(yīng)用安全標(biāo)準(zhǔn)進行產(chǎn)品層或通用應(yīng)用層的安全認證。

6 結(jié)論

隨著列車運行速度和密度的不斷提高,CTCS-3級列控系統(tǒng)在高速鐵路得到更廣泛的應(yīng)用,以滿足國民經(jīng)濟增長的需要。深化研究現(xiàn)代安全保障和風(fēng)險管理理論,進一步優(yōu)化系統(tǒng)評估技術(shù),在現(xiàn)行定性評估方法的基礎(chǔ)上,逐步向定性與定量結(jié)合評估的方法過渡,建立以風(fēng)險評估、安全完整性為基礎(chǔ),以安全生命周期為導(dǎo)向的 CTCS-3級列控系統(tǒng)系統(tǒng)評估的新模型,逐步與國際標(biāo)準(zhǔn)接軌,確保運輸安全。

[1］ 張曙光.我國高速鐵路安全保障系統(tǒng)研究[J].鐵道學(xué)報.2007,29(2):20-26;

[2］ 季學(xué)勝,李開成,楊悌惠.CTCS-3級列控系統(tǒng)的系統(tǒng)評估研究[J].鐵道通信信號,2009(6):1-5.

[3］ 鐵道部.CTCS-3級列控系統(tǒng)總體技術(shù)方案,2008,4.

[4］ CTCS-3級列控系統(tǒng)系統(tǒng)評估實施辦法(V1.0),鐵道部,2008,12.

[5］ GB/T21562-2008:軌道交通應(yīng)用 可靠性、可用性、可維護性和安全性規(guī)范及示例.

[6］ IEC62245-2003:鐵路應(yīng)用通信信號及控制系統(tǒng)-信號用安全相關(guān)電子系統(tǒng).

[7］ IEC62279-2001:鐵路應(yīng)用通信信號及控制系統(tǒng)鐵路控制及防護系統(tǒng)軟件.

[8］ ETCS安全性分析 THR分配.

[9］ EN 50126-2:EN 50126-1應(yīng)用安全性指南.

[10］ 工程安全管理黃皮書,英國鐵路安全標(biāo)準(zhǔn)局,2007,第4版.