陳 磊

（北京全路通信信號(hào)研究設(shè)計(jì)院有限公司，北京 100073）

1 概述

CTCS-3級(jí)列車(chē)運(yùn)行控制系統(tǒng)是中國(guó)鐵路時(shí)速300～350 km客運(yùn)專(zhuān)線的重要技術(shù)裝備，是中國(guó)鐵路技術(shù)體系和裝備現(xiàn)代化的重要組成部分，是保證高速列車(chē)運(yùn)行安全、可靠、高效的核心技術(shù)之一。安全性、可靠性和高效運(yùn)行是高速客運(yùn)專(zhuān)線列控系統(tǒng)的關(guān)鍵要求，其中，列控系統(tǒng)自身和系統(tǒng)集成過(guò)程的安全性是確保系統(tǒng)可靠、高效運(yùn)行的前提。因此，CTCS-3級(jí)列控體系在對(duì)運(yùn)營(yíng)規(guī)則、列控系統(tǒng)主要裝備和技術(shù)進(jìn)行規(guī)范的同時(shí)，還提出針對(duì)CTCS-3級(jí)列控系統(tǒng)的系統(tǒng)評(píng)估概念，旨在通過(guò)引入外部評(píng)估，促使設(shè)備供應(yīng)商和系統(tǒng)集成商完善系統(tǒng)安全保障，降低運(yùn)營(yíng)的安全風(fēng)險(xiǎn)。

站在CTCS-3級(jí)列控系統(tǒng)產(chǎn)品研發(fā)和系統(tǒng)集成的前沿，北京全路通信信號(hào)研究設(shè)計(jì)院（現(xiàn)北京全路通信信號(hào)研究設(shè)計(jì)院有限公司）一直致力于將“安全是企業(yè)的生命，安全是企業(yè)的承諾”作為企業(yè)的安全方針。CTCS-3級(jí)列控系統(tǒng)集成項(xiàng)目由于其創(chuàng)新性和復(fù)雜性，給項(xiàng)目安全保障提出了巨大挑戰(zhàn)。

本文將歐洲成熟安全保障理念、最佳實(shí)踐與CTCS-3列控系統(tǒng)系統(tǒng)集成項(xiàng)目實(shí)際相結(jié)合，以構(gòu)建適應(yīng)CTCS-3系統(tǒng)集成的安全保障體系為核心，從項(xiàng)目安全組織結(jié)構(gòu)、項(xiàng)目安全保障工作流程、安全監(jiān)視工作流程和安全里程碑幾個(gè)層面，對(duì)構(gòu)建安全保障體系的關(guān)鍵要素進(jìn)行總結(jié)與描述。

2 項(xiàng)目安全組織與人員獨(dú)立性

由于系統(tǒng)集成項(xiàng)目的技術(shù)復(fù)雜性和管理復(fù)雜性，存在大量的項(xiàng)目安全技術(shù)和安全管理工作；同時(shí)把CTCS-3級(jí)列控系統(tǒng)引入系統(tǒng)評(píng)估，并將系統(tǒng)評(píng)估結(jié)論作為項(xiàng)目開(kāi)通運(yùn)營(yíng)的重要指標(biāo)，系統(tǒng)集成商需要向評(píng)估方提供足夠的安全證據(jù)，證明已經(jīng)采取了足夠的質(zhì)量、安全管理措施和技術(shù)安全措施，將風(fēng)險(xiǎn)控制在業(yè)主可接受的程度。因此，需要設(shè)立專(zhuān)門(mén)的項(xiàng)目安全組織，完成以下工作。

（1）項(xiàng)目安全保障工作。主要包括針對(duì)系統(tǒng)、子系統(tǒng)等各個(gè)層面和項(xiàng)目不同階段的危險(xiǎn)分析；危險(xiǎn)日志、安全需求、安全相關(guān)應(yīng)用條件的管理；不同系統(tǒng)層次、不同分包商的安全協(xié)調(diào)等。

（2）項(xiàng)目安全監(jiān)視工作。主要包括定期、不定期的安全審核；對(duì)項(xiàng)目驗(yàn)證與測(cè)試工作的見(jiàn)證與抽檢；系統(tǒng)層面的安全確認(rèn)；企業(yè)內(nèi)部的獨(dú)立安全評(píng)估與安全里程碑管控等。

根據(jù)以上安全工作的要求，安全保障體系規(guī)定CTCS-3系統(tǒng)集成項(xiàng)目安全組織設(shè)置需要遵循如圖1所示的原則（圖1用于說(shuō)明項(xiàng)目安全組織，其他項(xiàng)目組織僅供參考）。

項(xiàng)目安全組織包括安全工程師小組、安全咨詢(xún)工程師、獨(dú)立安全確認(rèn)工程師和內(nèi)部安全評(píng)估工程師。

安全工程師小組主要負(fù)責(zé)組織與協(xié)調(diào)系統(tǒng)集成項(xiàng)目相關(guān)人員進(jìn)行安全保障活動(dòng)，在不同子系統(tǒng)之間進(jìn)行安全協(xié)調(diào)，收集安全相關(guān)證據(jù)，并與分包商進(jìn)行協(xié)調(diào)，監(jiān)視分包商安全保障活動(dòng)。值得注意的是，安全工程師只有與項(xiàng)目人員緊密合作，才能有效開(kāi)展安全保障活動(dòng)，因此不存在與項(xiàng)目的獨(dú)立性要求。

由于系統(tǒng)集成項(xiàng)目的特點(diǎn)，項(xiàng)目安全組織一般會(huì)配備安全保障方面的專(zhuān)家作為安全咨詢(xún)工程師，為安全工程師小組的活動(dòng)提供必要的指導(dǎo)。

獨(dú)立安全確認(rèn)工程師主要負(fù)責(zé)對(duì)項(xiàng)目的階段驗(yàn)證、測(cè)試活動(dòng)輸出進(jìn)行確認(rèn)，并對(duì)相關(guān)過(guò)程進(jìn)行監(jiān)視，確保項(xiàng)目驗(yàn)證/測(cè)試活動(dòng)與設(shè)計(jì)/實(shí)施活動(dòng)的獨(dú)立性；同時(shí)依賴(lài)CTCS-3列控實(shí)驗(yàn)室仿真測(cè)試、實(shí)驗(yàn)線測(cè)試、現(xiàn)場(chǎng)聯(lián)調(diào)聯(lián)試、試運(yùn)行等結(jié)論對(duì)整個(gè)項(xiàng)目進(jìn)行系統(tǒng)確認(rèn)。確認(rèn)工程師獨(dú)立于項(xiàng)目，直接向院技術(shù)管理機(jī)構(gòu)進(jìn)行匯報(bào)，當(dāng)項(xiàng)目出現(xiàn)嚴(yán)重安全隱患時(shí)，有權(quán)要求技術(shù)管理機(jī)構(gòu)暫停項(xiàng)目進(jìn)行整改。

內(nèi)部安全評(píng)估工程師主要工作包括通過(guò)安全審核、見(jiàn)證安全保障活動(dòng)等方式，對(duì)項(xiàng)目安全保障活動(dòng)進(jìn)行監(jiān)視；在安全里程碑處通過(guò)審核與評(píng)估安全工程師小組提交的項(xiàng)目安全證據(jù)，給出允許項(xiàng)目進(jìn)入下一階段的安全許可；與系統(tǒng)評(píng)估方接口，為系統(tǒng)評(píng)估方提供項(xiàng)目安全證據(jù)。評(píng)估工程師獨(dú)立于項(xiàng)目，直接向院安全管理機(jī)構(gòu)進(jìn)行匯報(bào)，并通過(guò)安全里程碑處是否出具安全許可的方式，對(duì)項(xiàng)目安全保障工作進(jìn)行控制。

3 項(xiàng)目主要安全保障活動(dòng)

安全保障活動(dòng)是項(xiàng)目活動(dòng)的重要組成部分，不需要保持與項(xiàng)目活動(dòng)的任何獨(dú)立性。安全工程師小組是安全保障活動(dòng)的組織、協(xié)調(diào)者和信息收集者，而安全保障活動(dòng)的執(zhí)行者，還需要依賴(lài)項(xiàng)目人員和相關(guān)專(zhuān)家。

安全保障活動(dòng)需要根據(jù)項(xiàng)目安全計(jì)劃和安全保障體系的要求進(jìn)行實(shí)施。安全計(jì)劃在項(xiàng)目初期依據(jù)項(xiàng)目計(jì)劃、項(xiàng)目合同、系統(tǒng)評(píng)估要求和安全保障體系要求制定，并在項(xiàng)目執(zhí)行中，根據(jù)實(shí)際情況進(jìn)行修正與更新。

安全保障活動(dòng)可以根據(jù)活動(dòng)開(kāi)展的時(shí)間點(diǎn)和時(shí)間跨度不同，分為離散的安全活動(dòng)和連續(xù)的安全活動(dòng)兩大類(lèi)，這兩類(lèi)活動(dòng)相互關(guān)聯(lián)、相互依賴(lài)，最終組成項(xiàng)目完整的安全活動(dòng)，并被記錄在項(xiàng)目安全例證報(bào)告中。

3.1 離散安全保障活動(dòng)

離散安全保障活動(dòng)是指那些在項(xiàng)目不同階段，根據(jù)項(xiàng)目特征進(jìn)行的安全保障活動(dòng)，這些活動(dòng)根據(jù)項(xiàng)目實(shí)際情況在時(shí)間跨度和方法上各有不同。

在系統(tǒng)集成項(xiàng)目中，安全工程師小組需要根據(jù)安全計(jì)劃，在項(xiàng)目不同階段，針對(duì)不同層次的系統(tǒng)集成活動(dòng)，有針對(duì)性地進(jìn)行危險(xiǎn)分析、控制措施識(shí)別與實(shí)施等工作。危險(xiǎn)分析包括針對(duì)系統(tǒng)高層結(jié)構(gòu)的初步危險(xiǎn)分析（PHA），針對(duì)系統(tǒng)總體的系統(tǒng)危險(xiǎn)分析（SHA），針對(duì)系統(tǒng)內(nèi)部子系統(tǒng)的危險(xiǎn)分析（SSHA），針對(duì)系統(tǒng)外部和內(nèi)部接口的接口危險(xiǎn)分析（IHA）、針對(duì)人機(jī)接口和工程化流程的運(yùn)營(yíng)安全危險(xiǎn)分析（O&SHA）等。

安全工程師在對(duì)系統(tǒng)層面或子系統(tǒng)/分包商層面進(jìn)行危險(xiǎn)分析時(shí)，采用的危險(xiǎn)分析類(lèi)型有所不同，表1給出一般CTCS-3系統(tǒng)集成項(xiàng)目中需要進(jìn)行的危險(xiǎn)分析類(lèi)型。

表1 系統(tǒng)集成項(xiàng)目中危險(xiǎn)分析類(lèi)型選擇示意

需要注意的是，系統(tǒng)層次的SHA一般基于PHA結(jié)果，在子系統(tǒng)/分包商層面的危險(xiǎn)分析結(jié)果基礎(chǔ)上進(jìn)行。由于系統(tǒng)集成項(xiàng)目的特殊性，應(yīng)充分重視項(xiàng)目進(jìn)行過(guò)程中由于人的參與或工程化流程引起的危險(xiǎn)，即通過(guò)O&SHA對(duì)人為因素進(jìn)行分析。

一般情況，每類(lèi)危險(xiǎn)分析均包括危險(xiǎn)識(shí)別、原因分析、后果分析和損失分析等工作。危險(xiǎn)識(shí)別在于集中關(guān)注、識(shí)別未發(fā)生的、潛在的事故；原因分析用于確定并識(shí)別產(chǎn)生危險(xiǎn)的因素及其組合，以便得到控制危險(xiǎn)發(fā)生的安全需求；后果分析用于評(píng)價(jià)如果危險(xiǎn)真的發(fā)生所帶來(lái)的影響和結(jié)局；損失分析在于得到可信的損失程度的估計(jì)，以便評(píng)估新識(shí)別的危險(xiǎn)是否可以被接受。

在系統(tǒng)集成項(xiàng)目中，危險(xiǎn)分析根據(jù)具體情況，主要使用危險(xiǎn)和可操作性研究（HAZOP）、故障樹(shù)分析（FTA）、事件樹(shù)分析（ETA）等方法。

安全工程師所作的離散安全保障活動(dòng)可以概括為：在適當(dāng)?shù)捻?xiàng)目階段，根據(jù)被分析對(duì)象的特點(diǎn)，選用適當(dāng)?shù)奈ｋU(xiǎn)分析類(lèi)型，組織項(xiàng)目人員和相關(guān)專(zhuān)家，采用適當(dāng)?shù)奈ｋU(xiǎn)分析方法，對(duì)相關(guān)危險(xiǎn)進(jìn)行識(shí)別，分析危險(xiǎn)產(chǎn)生的原因和可能造成的后果，對(duì)損失進(jìn)行估計(jì)。

3.2 連續(xù)安全保障活動(dòng)

連續(xù)安全保障活動(dòng)是指那些貫穿于項(xiàng)目主要生命周期的安全保障活動(dòng)，主要包括危險(xiǎn)日志的維護(hù)、安全需求與安全相關(guān)應(yīng)用條件的傳遞與跟蹤等。

考慮到CTCS-3系統(tǒng)集成工作的復(fù)雜性，安全工程師小組依據(jù)系統(tǒng)結(jié)構(gòu)，設(shè)置不同專(zhuān)業(yè)或子系統(tǒng)的安全工程師，分別維護(hù)子系統(tǒng)的危險(xiǎn)日志和系統(tǒng)層次的危險(xiǎn)日志。每個(gè)系統(tǒng)/子系統(tǒng)危險(xiǎn)日志中記錄的危險(xiǎn)，主要來(lái)源包括合同、規(guī)范中已知的危險(xiǎn)，危險(xiǎn)分析中識(shí)別出的危險(xiǎn)，由外部引入的危險(xiǎn)或安全相關(guān)應(yīng)用條件，系統(tǒng)/子系統(tǒng)在一般產(chǎn)品或一般應(yīng)用層面發(fā)現(xiàn)的危險(xiǎn)或安全相關(guān)應(yīng)用條件等。安全工程師小組負(fù)責(zé)對(duì)各種渠道得到的危險(xiǎn)進(jìn)行整理，并定期或不定期的組織相關(guān)負(fù)責(zé)人和技術(shù)人員進(jìn)行評(píng)審，對(duì)危險(xiǎn)進(jìn)行決策與評(píng)估，通過(guò)評(píng)審的方式?jīng)Q定是否將新危險(xiǎn)錄入危險(xiǎn)日志。

一旦危險(xiǎn)被錄入危險(xiǎn)日志，安全工程師就需要組織項(xiàng)目相關(guān)人員對(duì)危險(xiǎn)進(jìn)行分析，識(shí)別降低危險(xiǎn)發(fā)生概率或引發(fā)后果嚴(yán)重度的危險(xiǎn)控制措施。若危險(xiǎn)或外部傳遞來(lái)的安全相關(guān)應(yīng)用條件可以被控制在危險(xiǎn)所屬的系統(tǒng)/子系統(tǒng)內(nèi)，則需要產(chǎn)生相應(yīng)的安全需求，用于要求項(xiàng)目設(shè)計(jì)與工程實(shí)施團(tuán)隊(duì)將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)；若危險(xiǎn)無(wú)法被本系統(tǒng)/子系統(tǒng)進(jìn)行有效緩解，如需要其他子系統(tǒng)進(jìn)行處理或需要用戶(hù)完善操作規(guī)程，則需要產(chǎn)生安全相關(guān)應(yīng)用條件，并由安全工程師以書(shū)面、可追蹤的形式傳遞給危險(xiǎn)的責(zé)任方，并跟蹤責(zé)任方對(duì)危險(xiǎn)的處理。

安全工程師與項(xiàng)目人員緊密溝通，不斷跟蹤安全需求和安全相關(guān)應(yīng)用條件的實(shí)現(xiàn)情況，當(dāng)相關(guān)責(zé)任方認(rèn)為需求或應(yīng)用條件已經(jīng)得到有效實(shí)現(xiàn)，危險(xiǎn)被有效控制或緩解時(shí)，安全工程師必須通過(guò)測(cè)試或組織評(píng)審的方式，確認(rèn)相應(yīng)危險(xiǎn)是否關(guān)閉，并變更危險(xiǎn)日志中的危險(xiǎn)狀態(tài)。

在整個(gè)CTCS-3級(jí)列控系統(tǒng)正式交付之前，危險(xiǎn)日志中記錄的所有危險(xiǎn)均應(yīng)關(guān)閉，以確保系統(tǒng)風(fēng)險(xiǎn)被控制在可接受程度。

4 項(xiàng)目主要安全監(jiān)視活動(dòng)

考慮到CTCS-3系統(tǒng)集成項(xiàng)目安全保障工作的復(fù)雜性，除科技運(yùn)（2008）160號(hào)《CTCS-3級(jí)列控系統(tǒng)系統(tǒng)評(píng)估實(shí)施辦法》規(guī)定的獨(dú)立系統(tǒng)評(píng)估以外，安全保障體系還規(guī)定了項(xiàng)目?jī)?nèi)、確認(rèn)和內(nèi)部獨(dú)立安全評(píng)估3類(lèi)監(jiān)視活動(dòng)，完成以下任務(wù)。

（1）證實(shí)項(xiàng)目具有實(shí)現(xiàn)項(xiàng)目安全目標(biāo)要求的能力。

（2）確保安全保障體系、系統(tǒng)評(píng)估辦法在項(xiàng)目中能夠有效實(shí)施。

（3）確保CTCS-3系統(tǒng)集成項(xiàng)目與安全保障體系和系統(tǒng)評(píng)估辦法的持續(xù)符合性。

圖2給出安全保障監(jiān)視與CTCS-3系統(tǒng)集成項(xiàng)目的關(guān)系。

項(xiàng)目?jī)?nèi)監(jiān)視主要方式包括安全評(píng)審和驗(yàn)證/測(cè)試活動(dòng)。安全評(píng)審是一種特殊的驗(yàn)證活動(dòng)，安全工程師根據(jù)項(xiàng)目安全計(jì)劃，在項(xiàng)目關(guān)鍵階段組織相關(guān)負(fù)責(zé)人、涉及到項(xiàng)目安全的關(guān)鍵人員和相關(guān)領(lǐng)域?qū)＜?，通過(guò)會(huì)議、討論等形式，對(duì)項(xiàng)目關(guān)鍵階段的文檔、工作進(jìn)行評(píng)審，而評(píng)審主要關(guān)注會(huì)影響到項(xiàng)目安全的方面。驗(yàn)證是指在生命周期的每個(gè)階段，通過(guò)測(cè)試和分析手段，確定所考慮階段的需求是否滿(mǎn)足前一階段的輸出以及本階段的輸出是否實(shí)現(xiàn)了本階段的需求的一種活動(dòng)，驗(yàn)證活動(dòng)由獨(dú)立于被驗(yàn)證工作的有資質(zhì)人員進(jìn)行。

確認(rèn)監(jiān)視即獨(dú)立安全確認(rèn)，由獨(dú)立安全確認(rèn)工程師執(zhí)行。確認(rèn)是通過(guò)測(cè)試和分析，表明產(chǎn)品在各個(gè)方面符合規(guī)定要求的一種證明行為。在系統(tǒng)集成項(xiàng)目中，主要包括對(duì)項(xiàng)目階段成果和最終成果的確認(rèn)和對(duì)項(xiàng)目執(zhí)行過(guò)程的確認(rèn)兩部分。

內(nèi)部獨(dú)立安全評(píng)估監(jiān)視包括安全審核與安全評(píng)估兩類(lèi)工作，由獨(dú)立安全評(píng)估工程師完成。安全審核是對(duì)安全保障工作所提供的遵循安全計(jì)劃的證據(jù)進(jìn)行審核；安全評(píng)估是指對(duì)項(xiàng)目中存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，即對(duì)安全保障工作使得項(xiàng)目能夠滿(mǎn)足安全需求的證據(jù)進(jìn)行審核。內(nèi)部獨(dú)立安全評(píng)估監(jiān)視主要采用審核項(xiàng)目文檔、項(xiàng)目組面談、見(jiàn)證/參與項(xiàng)目活動(dòng)、獨(dú)立進(jìn)行風(fēng)險(xiǎn)評(píng)估等手段。

5 安全里程碑

安全里程碑是項(xiàng)目安全管理不可忽視的一部分，安全里程碑是項(xiàng)目中與安全有關(guān)的重大事件，在項(xiàng)目進(jìn)行過(guò)程中一般不占用資源，是一個(gè)時(shí)間點(diǎn)，通常與一個(gè)可支付成果的完成相關(guān)聯(lián)。

針對(duì)CTCS-3系統(tǒng)集成項(xiàng)目特點(diǎn)，并結(jié)合《CTCS-3級(jí)列控系統(tǒng)系統(tǒng)評(píng)估實(shí)施辦法》中“驗(yàn)收確認(rèn)”階段的工作劃分，安全保障體系設(shè)置了如下3個(gè)安全里程碑，用于對(duì)項(xiàng)目安全成果進(jìn)行控制。

（1）安全里程碑1：允許現(xiàn)場(chǎng)聯(lián)調(diào)聯(lián)試；

（2）安全里程碑2：允許試運(yùn)行；

（3）安全里程碑3：允許正式運(yùn)營(yíng)。

設(shè)置這3個(gè)安全里程碑的目的是在整個(gè)CTCS-3級(jí)列控系統(tǒng)進(jìn)入現(xiàn)場(chǎng)聯(lián)調(diào)聯(lián)試、試運(yùn)行或正式運(yùn)營(yíng)階段之前，通過(guò)對(duì)相關(guān)安全證據(jù)的審核與評(píng)估，確認(rèn)整個(gè)列控系統(tǒng)具備進(jìn)行后續(xù)工作的條件。同時(shí)在相應(yīng)安全里程碑出具的安全許可內(nèi)，安全評(píng)估工程師還需要根據(jù)前期工作結(jié)果明確進(jìn)行后續(xù)工作的各種安全限制條件，如系統(tǒng)運(yùn)行中功能的限制、特殊的操作流程、特定的檢查手段與流程等，以確保后續(xù)活動(dòng)不會(huì)由于現(xiàn)場(chǎng)操作引發(fā)事故或人員傷亡。

在安全里程碑處，若安全評(píng)估工程師認(rèn)為項(xiàng)目不具備進(jìn)入下一階段的條件，需要在階段評(píng)估報(bào)告中明確說(shuō)明評(píng)估結(jié)論，并有權(quán)拒絕出具相應(yīng)的安全許可。安全管理機(jī)構(gòu)根據(jù)評(píng)估工程師意見(jiàn)決定是否允許項(xiàng)目進(jìn)入下一階段。

6 結(jié)論

本文從項(xiàng)目安全組織的構(gòu)建、項(xiàng)目離散安全保障活動(dòng)與連續(xù)安全保障活動(dòng)、不同層面的項(xiàng)目安全監(jiān)視活動(dòng)和作為項(xiàng)目安全控制點(diǎn)的安全里程碑的設(shè)置等方面，對(duì)構(gòu)建能夠滿(mǎn)足CTCS-3系統(tǒng)集成項(xiàng)目安全管理要求和系統(tǒng)評(píng)估要求的安全保障體系關(guān)鍵要素進(jìn)行了論述。安全保障體系已經(jīng)應(yīng)用于武廣客運(yùn)專(zhuān)線的安全管理，隨著武廣客專(zhuān)的順利開(kāi)通，更進(jìn)一步驗(yàn)證了本安全保障體系對(duì)CTCS-3系統(tǒng)集成項(xiàng)目的適用性和有效性。