燕 飛 郜春海 唐 濤

(1.北京交通大學(xué)電子信息工程學(xué)院 北京 100044;2.北京交通大學(xué)軌道交通控制與安全國(guó)家重點(diǎn)實(shí)驗(yàn)室 北京 100044)

1 研究背景

隨著世界范圍軌道交通的蓬勃發(fā)展，為確保軌道交通列車運(yùn)行安全和提高運(yùn)輸效率，迫切需要裝備性能先進(jìn)、安全可靠的列車運(yùn)行控制系統(tǒng)。CBTC(communication-based train control)系統(tǒng)是當(dāng)今世界最先進(jìn)的列車運(yùn)行控制系統(tǒng)的發(fā)展方向，它與傳統(tǒng)的基于軌道電路的列車運(yùn)行控制系統(tǒng)相比，具有如下特點(diǎn):大容量、連續(xù)的雙向車-地通信;地面設(shè)備及車載設(shè)備均采用安全計(jì)算機(jī)，實(shí)時(shí)處理列車狀態(tài)、控制命令，實(shí)現(xiàn)連續(xù)的間隔控制、進(jìn)路控制、速度防護(hù)、自動(dòng)駕駛等;高精度列車定位;列車運(yùn)行控制的可維修性，減少了全壽命周期成本;CBTC信息可以疊加在既有信號(hào)系統(tǒng)上，便于既有線改造，可實(shí)現(xiàn)城市軌道交通的互連互通［1］。近年來，北京市下大力氣加快軌道交通網(wǎng)線建設(shè)，到2015年，總長(zhǎng)561 km的軌道交通網(wǎng)絡(luò)將正式形成，到那時(shí)北京市民出行，四環(huán)以內(nèi)平均步行1 km，即可到達(dá)地鐵站。其中，作為保證行車安全、提高運(yùn)輸效率的信號(hào)控制系統(tǒng)，一直依靠國(guó)外引進(jìn)，核心技術(shù)掌握在外國(guó)人手里，安全評(píng)估與安全認(rèn)證的標(biāo)準(zhǔn)也是由國(guó)外制定的，具體的安全評(píng)估與認(rèn)證流程更是一片空白，因此對(duì)于信號(hào)系統(tǒng)新產(chǎn)品開發(fā)和新工程項(xiàng)目建設(shè)的安全評(píng)估和安全認(rèn)證，只能摸著石頭過河。

CBTC系統(tǒng)包括地面區(qū)域控制中心、列車的車載設(shè)備、地-車雙向的信息傳輸系統(tǒng)和列車定位系統(tǒng)(見圖1)。地面區(qū)域控制中心(ZC)是CBTC系統(tǒng)中地面部分的核心，它根據(jù)前車的位置信息和線路障礙物的狀態(tài)信息以及聯(lián)鎖狀況，為后車計(jì)算移動(dòng)授權(quán)(movement authority，MA)，即限制速度值。MA是列車安全行駛至下一個(gè)停車位置所需的，是正式授權(quán)的，它實(shí)現(xiàn)列車的安全間隔控制。列車安全間隔距離根據(jù)最大允許車速、當(dāng)前停車點(diǎn)位置、線路等信息計(jì)算得出，其信息被動(dòng)態(tài)循環(huán)刷新。CBTC系統(tǒng)的車載控制設(shè)備實(shí)時(shí)比較列車的實(shí)際速度與接收到的MA，當(dāng)列車實(shí)際速度超過MA的限制速度，將自動(dòng)實(shí)施常用制動(dòng)或緊急制動(dòng)，保證列車安全停在安全點(diǎn)前。CBTC系統(tǒng)的地-車信息傳輸系統(tǒng)通?？刹捎脽o線通信、地面交叉感應(yīng)環(huán)線、波導(dǎo)管等媒體向車載控制設(shè)備傳遞信息。為確保安全，CBTC系統(tǒng)中列車必須對(duì)自身位置和運(yùn)行方向進(jìn)行精確判定。為判定位置，列車的車載計(jì)算機(jī)與轉(zhuǎn)速計(jì)/速度傳感器/加速度計(jì)(用于測(cè)量距離、速度和加速度)及軌旁定位應(yīng)答器共同合作，實(shí)現(xiàn)列車的準(zhǔn)確定位。

圖1 CBTC系統(tǒng)框圖

到目前為止，由北京交通大學(xué)自主創(chuàng)新的CBTC系統(tǒng)歷經(jīng)新開發(fā)的通用產(chǎn)品安全認(rèn)證及示范工程項(xiàng)目的安全認(rèn)證等階段，已經(jīng)正式投入到北京軌道交通亦莊線進(jìn)行載客試運(yùn)營(yíng)。借鑒國(guó)外先進(jìn)的安全標(biāo)準(zhǔn)，結(jié)合國(guó)內(nèi)軌道交通工程實(shí)施的實(shí)際情況，開展安全管理和認(rèn)證活動(dòng)的方式，在實(shí)踐中得到了很好的檢驗(yàn)。

2 安全認(rèn)證標(biāo)準(zhǔn)和原則

世界上城市軌道交通系統(tǒng)的發(fā)展已有百余年的歷史，通過不斷總結(jié)城市軌道交通建設(shè)和運(yùn)營(yíng)的經(jīng)驗(yàn)和教訓(xùn)，已經(jīng)形成了一套完整的安全管理和安全認(rèn)證體系，并制定了一系列切實(shí)可行的安全技術(shù)標(biāo)準(zhǔn)。IEC 61508—《電子/電氣/可編程電子安全相關(guān)系統(tǒng)的安全功能》是國(guó)際電工委員會(huì)(IEC)制定的國(guó)際標(biāo)準(zhǔn)，是進(jìn)行軌道交通系統(tǒng)安全管理和安全認(rèn)證的重要參考標(biāo)準(zhǔn)。

以IEC 61508為基礎(chǔ)，歐洲電氣委員會(huì)(CENELEC)下屬的SC9XA委員會(huì)，制定了以軌道交通作為對(duì)象的系列標(biāo)準(zhǔn)［2-3］，主要包括:

1)EN 50126—1999《鐵路應(yīng)用:可靠性、可用性、可維護(hù)性和安全性(RAMS)的規(guī)格及論證》，明確了軌道交通系統(tǒng)的可靠性、可用性、可維護(hù)性和安全性(RAMS)的概念及其相關(guān)關(guān)系，并規(guī)范了可信性系統(tǒng)的全生命周期，以及在每一個(gè)生命周期階段為了保障系統(tǒng)的RAM和安全性所需完成的工作。

2)EN 50128—2001《鐵路應(yīng)用:通信、信號(hào)和處理系統(tǒng)(用于鐵路控制和防護(hù)系統(tǒng)的軟件)》，針對(duì)軌道交通系統(tǒng)安全相關(guān)軟件的設(shè)計(jì)標(biāo)準(zhǔn)，規(guī)定了不同安全完善度等級(jí)的軟件設(shè)計(jì)所需使用的技術(shù)和措施。

3)EN 50129—2003《鐵路應(yīng)用:通信、信號(hào)和處理系統(tǒng)(用于信號(hào)的安全相關(guān)電子系統(tǒng))》，針對(duì)軌道交通信號(hào)系統(tǒng)的安全案例、安全完善度等級(jí)等方面進(jìn)行規(guī)范。

早在項(xiàng)目建設(shè)初期，北京軌道交通建設(shè)管理有限公司(業(yè)主)就與英國(guó)勞氏鐵路公司簽訂了北京地鐵亦莊線信號(hào)系統(tǒng)獨(dú)立第三方安全評(píng)估(ISA)服務(wù)合同，以在項(xiàng)目的整個(gè)生命周期內(nèi)對(duì)項(xiàng)目開發(fā)、實(shí)施和測(cè)試過程中進(jìn)行獨(dú)立安全評(píng)估和項(xiàng)目安全認(rèn)證工作。安全認(rèn)證過程中采用英國(guó)的ALARP原則。

ALARP(as low as reasonable practicable)原則將風(fēng)險(xiǎn)劃分為幾個(gè)區(qū)域，包括不被接受的區(qū)域(intolerable region)、可容忍的區(qū)域(tolerable region)、一般能被接受的可接受區(qū)域(acceptable region)和可忽略的區(qū)域(negligible region)，如圖2所示。

圖2 ALARP原則

標(biāo)準(zhǔn)將風(fēng)險(xiǎn)定義為:導(dǎo)致傷害的危險(xiǎn)發(fā)生的概率和損害的嚴(yán)重等級(jí)。危險(xiǎn)源的風(fēng)險(xiǎn)由危險(xiǎn)源發(fā)生的概率和危險(xiǎn)源嚴(yán)重性的乘積而定。

最上層的風(fēng)險(xiǎn)是不能接受的，必須采取一定的控制措施，使得風(fēng)險(xiǎn)能夠降低到中間可容忍的區(qū)域;除非在非常特殊的情況下不得不接受這樣的風(fēng)險(xiǎn)，但是仍然需要詳細(xì)說明風(fēng)險(xiǎn)的性質(zhì)和接受的原因。在可容忍區(qū)域內(nèi)的風(fēng)險(xiǎn)，必須采取合理可行的措施減少這樣的風(fēng)險(xiǎn)，使其降低到可接受的區(qū)域。在可接受區(qū)域內(nèi)的風(fēng)險(xiǎn)，不需要采取進(jìn)一步的措施降低風(fēng)險(xiǎn)，但是需要確保風(fēng)險(xiǎn)保持在此區(qū)域內(nèi)。

ALARP原則強(qiáng)調(diào)整體上對(duì)系統(tǒng)相關(guān)的風(fēng)險(xiǎn)進(jìn)行最終判斷，使得每一個(gè)風(fēng)險(xiǎn)評(píng)估在可以接受或可以忍受的同時(shí)，也要注意系統(tǒng)總體的風(fēng)險(xiǎn)不能處于較高的等級(jí)。另外，總體風(fēng)險(xiǎn)應(yīng)該盡可能降低到最低。

3 安全管理過程

在北京軌道交通亦莊線項(xiàng)目建設(shè)的初期，所有參建單位都根據(jù)CENELEC標(biāo)準(zhǔn)的要求開展安全計(jì)劃、分析和安全保證工作。根據(jù)EN50129標(biāo)準(zhǔn)的要求，結(jié)合北京地鐵亦莊線項(xiàng)目工程的實(shí)際特點(diǎn)，決定自主研發(fā)CBTC產(chǎn)品，并制定了針對(duì)亦莊線示范工程項(xiàng)目的安全生命周期模型，具體內(nèi)容如圖3所示。

圖3 自主研發(fā)CBTC產(chǎn)品生命周期

3.1 確定系統(tǒng)定義、功能和邊界

本部分應(yīng)對(duì)系統(tǒng)/子系統(tǒng)/設(shè)備設(shè)計(jì)進(jìn)行總體概述，并要有足夠的深度，以便相關(guān)人員能清晰地理解系統(tǒng)所用的原則和技術(shù)，并描述系統(tǒng)的主要功能以及內(nèi)外部接口。

3.2 確定安全生命周期

安全管理過程是由一些階段和活動(dòng)組成的，將這些階段和活動(dòng)關(guān)聯(lián)起來就形成了安全生命周期。安全生命周期應(yīng)參照EN 50126標(biāo)準(zhǔn)中的系統(tǒng)周期定義，并與產(chǎn)品或項(xiàng)目中定義的系統(tǒng)生命周期相一致。系統(tǒng)生命周期中的設(shè)計(jì)和確認(rèn)部分可看作一個(gè)“自上而下”階段并伴隨一個(gè)“自下而上”階段(如V型)。

3.3 確定安全組織

安全管理過程應(yīng)在一個(gè)適合的安全組織的控制下執(zhí)行，讓能勝任相關(guān)工作的人員擔(dān)當(dāng)相關(guān)角色。根據(jù)相關(guān)系統(tǒng)的安全完善度等級(jí)要求，不同角色之間應(yīng)有適當(dāng)?shù)莫?dú)立性。

3.4 建立安全計(jì)劃

在系統(tǒng)生命周期執(zhí)行的初期就應(yīng)制訂一個(gè)安全計(jì)劃。該計(jì)劃中應(yīng)確定安全管理的組織架構(gòu)，貫穿整個(gè)生命周期中的安全相關(guān)活動(dòng)和里程碑，并應(yīng)包含在適當(dāng)間隔內(nèi)對(duì)安全計(jì)劃進(jìn)行回顧。當(dāng)對(duì)原系統(tǒng)/子系統(tǒng)/設(shè)備進(jìn)行變更和擴(kuò)展后，應(yīng)對(duì)安全計(jì)劃進(jìn)行更新并評(píng)審。如果做了變更，那么應(yīng)在生命周期的適當(dāng)階段對(duì)安全的影響進(jìn)行評(píng)估。

安全計(jì)劃應(yīng)涉及系統(tǒng)/子系統(tǒng)/設(shè)備的所有方面，包括軟硬件兩部分。安全計(jì)劃應(yīng)包括一個(gè)“安全證明文件”的計(jì)劃，以識(shí)別出最終“安全證明文件”的預(yù)期結(jié)構(gòu)和主要組成部分。

3.5 建立、更新并維護(hù)危險(xiǎn)源日志

在系統(tǒng)設(shè)計(jì)的初期應(yīng)根據(jù)危險(xiǎn)源分析(包括PHA、SHA、SSHA、IHA和OSHA等)的結(jié)果創(chuàng)建一個(gè)危險(xiǎn)源日志，并在整個(gè)安全生命周期內(nèi)維護(hù)危險(xiǎn)源日志。危險(xiǎn)源日志中應(yīng)包括一個(gè)已識(shí)別危險(xiǎn)源，以及與每個(gè)危險(xiǎn)源的風(fēng)險(xiǎn)等級(jí)、風(fēng)險(xiǎn)控制信息和危險(xiǎn)源的狀態(tài)。在對(duì)系統(tǒng)/子系統(tǒng)/設(shè)備進(jìn)行變更時(shí)也應(yīng)更新危險(xiǎn)源日志。

3.6 建立并管理安全需求說明書

系統(tǒng)(或子系統(tǒng)/設(shè)備)需求說明書中與安全相關(guān)的需求通常稱為安全需求。安全需求可以從功能安全需求和安全完善度需求兩個(gè)方面考慮。

功能安全需求就是系統(tǒng)、子系統(tǒng)或設(shè)備應(yīng)具備的與安全性相關(guān)的實(shí)際功能，而安全完善度需求定義了每一安全相關(guān)功能的安全完善度等級(jí)。

每個(gè)系統(tǒng)/子系統(tǒng)/設(shè)備的特定安全需求，包括安全相關(guān)功能和安全完善度等級(jí)，應(yīng)在安全需求說明書中予以確定并形成文檔，通過危險(xiǎn)源識(shí)別和分析、風(fēng)險(xiǎn)評(píng)估和分類、安全完善度等級(jí)分配的方法予以實(shí)現(xiàn)。

3.7 系統(tǒng)/子系統(tǒng)/設(shè)備設(shè)計(jì)

在系統(tǒng)生命周期的設(shè)計(jì)階段要進(jìn)行一個(gè)滿足規(guī)定運(yùn)營(yíng)和安全需求的設(shè)計(jì)。設(shè)計(jì)人員應(yīng)使用“自上而下”、結(jié)構(gòu)化的設(shè)計(jì)方法，實(shí)施嚴(yán)格的控制和評(píng)審，并文檔化。特別是在軟件需求說明書中所規(guī)定的軟硬件的關(guān)系以及軟硬件集成方面，應(yīng)嚴(yán)格管理并遵循EN 50128標(biāo)準(zhǔn)的要求。系統(tǒng)/子系統(tǒng)/設(shè)備設(shè)計(jì)的詳細(xì)過程詳見相關(guān)系統(tǒng)設(shè)計(jì)、架構(gòu)設(shè)計(jì)、子系統(tǒng)設(shè)計(jì)，以及硬件、軟件概要設(shè)計(jì)和詳細(xì)設(shè)計(jì)流程。

3.8 安全審核

在系統(tǒng)生命周期的適當(dāng)階段，應(yīng)進(jìn)行安全審核，以監(jiān)控安全管理過程是否按照安全計(jì)劃及相關(guān)標(biāo)準(zhǔn)的要求實(shí)施。在安全計(jì)劃中應(yīng)明確安全審核的過程，審核結(jié)果應(yīng)文檔化。系統(tǒng)/子系統(tǒng)/設(shè)備的任何變更和擴(kuò)展也應(yīng)進(jìn)行審核。

3.9 安全驗(yàn)證和確認(rèn)

在安全計(jì)劃中應(yīng)定義:用于驗(yàn)證生命周期的每個(gè)階段的內(nèi)容，應(yīng)滿足前一階段所規(guī)定的安全需求計(jì)劃，以及確認(rèn)所完成的系統(tǒng)/子系統(tǒng)/設(shè)備滿足初始的安全需求計(jì)劃，或給出這些驗(yàn)證或確認(rèn)計(jì)劃的參考索引。

安全驗(yàn)證和確認(rèn)工作，包括適當(dāng)測(cè)試和安全分析在內(nèi)的活動(dòng)，都應(yīng)被執(zhí)行并書面描述。如后續(xù)工作中對(duì)系統(tǒng)/子系統(tǒng)/設(shè)備做出變更和擴(kuò)展，應(yīng)充分重復(fù)執(zhí)行這些活動(dòng)。

3.10 安全論據(jù)

系統(tǒng)/子系統(tǒng)/設(shè)備滿足安全驗(yàn)收條件的證據(jù)應(yīng)在一個(gè)稱之為“安全證明文件”的結(jié)構(gòu)化文檔中予以列出。在此節(jié)中應(yīng)描述滿足質(zhì)量管理、安全管理以及功能和技術(shù)安全的證據(jù)索引。

3.11 系統(tǒng)/子系統(tǒng)/設(shè)備移交

系統(tǒng)/子系統(tǒng)/設(shè)備在向地鐵公司交付之前，應(yīng)滿足安全驗(yàn)收和安全批準(zhǔn)的條件，包括提交“安全證明文件”和“安全評(píng)估報(bào)告”。

3.12 運(yùn)行和維護(hù)

系統(tǒng)交付投入運(yùn)行之后，應(yīng)符合在安全計(jì)劃和技術(shù)安全報(bào)告中所定義的過程、支持系統(tǒng)和安全監(jiān)控的要求。在系統(tǒng)的運(yùn)行生命過程中，由于種種原因做出變更需求，這些變更并非都與安全相關(guān)。每一變更需求對(duì)安全的影響都應(yīng)依據(jù)安全文檔的相關(guān)部分進(jìn)行評(píng)估。在變更導(dǎo)致影響系統(tǒng)/關(guān)聯(lián)系統(tǒng)/環(huán)境的安全時(shí)，安全生命周期的相應(yīng)部分要重復(fù)操作以保證不影響安全完善度等級(jí)。

4 安全認(rèn)證過程

北京軌道交通亦莊線示范工程確定分5個(gè)階段頒發(fā)證書，如表1所示。在進(jìn)行獨(dú)立評(píng)價(jià)之前，需要針對(duì)用戶需求和相關(guān)標(biāo)準(zhǔn)制訂一個(gè)檢查表。檢查表可以提供一個(gè)系統(tǒng)方法記錄獨(dú)立評(píng)價(jià)結(jié)果和證據(jù)，作為評(píng)價(jià)方的文檔保存，以備追溯。

表1 亦莊分5個(gè)階段頒發(fā)證書

4.1 文檔評(píng)審

從項(xiàng)目建設(shè)初期開始，獨(dú)立安全評(píng)估人員(ISA)就對(duì)項(xiàng)目計(jì)劃、安全計(jì)劃、質(zhì)量計(jì)劃、配置管理計(jì)劃和測(cè)試計(jì)劃，以及系統(tǒng)需求說明書等文件進(jìn)行評(píng)審，并以書面形式提出相關(guān)的改進(jìn)意見。

在系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)和室內(nèi)測(cè)試階段，ISA對(duì)所有的安全文件進(jìn)行全面的評(píng)審，也抽取一定數(shù)量的設(shè)計(jì)文件進(jìn)行評(píng)審，并以書面形式提出相關(guān)的改進(jìn)意見。

在集成商和各分包商完成相關(guān)子系統(tǒng)的開發(fā)工作后，ISA對(duì)各子系統(tǒng)的集成測(cè)試和系統(tǒng)測(cè)試的測(cè)試規(guī)格書、測(cè)試計(jì)劃和測(cè)試報(bào)告進(jìn)行全面的評(píng)審，并提出書面的改進(jìn)意見。

所有由ISA提出的改進(jìn)意見，待文件修訂并經(jīng)ISA評(píng)審合格后方可關(guān)閉。

4.2 現(xiàn)場(chǎng)審核

ISA根據(jù)EN 50128、EN 50129等標(biāo)準(zhǔn)的要求，從系統(tǒng)保證、安全保證、軟件保證和質(zhì)量管理等方面，在系統(tǒng)需求、系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)、系統(tǒng)測(cè)試等主要階段，對(duì)系統(tǒng)集成商和核心技術(shù)供貨商進(jìn)行現(xiàn)場(chǎng)審核，并提出書面的審核報(bào)告。系統(tǒng)集成商和核心技術(shù)供貨商需要對(duì)ISA提出的審核意見進(jìn)行回復(fù)，并提供相關(guān)的證據(jù)后ISA才可關(guān)閉其意見。

此外，ISA也在試驗(yàn)室仿真測(cè)試和現(xiàn)場(chǎng)測(cè)試過程中進(jìn)行見證測(cè)試，并設(shè)計(jì)適當(dāng)?shù)臏y(cè)試用例進(jìn)行測(cè)試，特別是針對(duì)安全需求的測(cè)試用例，以確保能夠滿足相關(guān)的安全要求。

對(duì)于審核過程中存在的問題，業(yè)主、獨(dú)立安全評(píng)估人員、系統(tǒng)集成商與核心技術(shù)供貨商一同，每周召開安全例會(huì)，對(duì)安全審核和評(píng)估過程中存在的問題及時(shí)進(jìn)行溝通及跟進(jìn)解決。

4.3 安全確認(rèn)

為確保信號(hào)系統(tǒng)在測(cè)試調(diào)試和投入運(yùn)營(yíng)后的安全，ISA對(duì)北京地鐵亦莊線的單車動(dòng)車調(diào)試、多車動(dòng)車調(diào)試、試運(yùn)行、載客運(yùn)營(yíng)等階段進(jìn)行了特別的監(jiān)控。在這些階段，系統(tǒng)集成商和核心技術(shù)供貨商提供相關(guān)的設(shè)計(jì)文件、測(cè)試報(bào)告和安全證明文件，ISA根據(jù)EN50128、EN50129的要求通過文件評(píng)審、現(xiàn)場(chǎng)審核和見證測(cè)試等手段進(jìn)行安全評(píng)估，然后提供安全評(píng)估報(bào)告并發(fā)布安全證書，然后方可開展這些階段的測(cè)試調(diào)試和系統(tǒng)投入運(yùn)營(yíng)等工作。

此處需特別說明的是，在北京地鐵亦莊線項(xiàng)目安全評(píng)估工作時(shí)，ISA會(huì)特別地查看各供貨商所提供的安全苛求系統(tǒng)的產(chǎn)品是否已經(jīng)獲得了產(chǎn)品的安全認(rèn)證證書。在用于北京地鐵亦莊線的信號(hào)系統(tǒng)產(chǎn)品中，車載ATP子系統(tǒng)和區(qū)域控制器(ZC)子系統(tǒng)已獲得英國(guó)勞氏鐵路的SIL4級(jí)通用產(chǎn)品安全認(rèn)證，聯(lián)鎖(CI)子系統(tǒng)已獲得德國(guó)萊茵SIL4級(jí)產(chǎn)品安全認(rèn)證。若有安全苛求系統(tǒng)的產(chǎn)品未獲得安全認(rèn)證證書，則不具備對(duì)項(xiàng)目頒發(fā)安全認(rèn)證證書的條件。

安全認(rèn)證工作涉及項(xiàng)目的整個(gè)生命周期。

1)產(chǎn)品設(shè)計(jì)和開發(fā):產(chǎn)品的設(shè)計(jì)和開發(fā)由設(shè)計(jì)團(tuán)隊(duì)執(zhí)行。在系統(tǒng)設(shè)計(jì)和開發(fā)的過程中，設(shè)計(jì)對(duì)每個(gè)階段所完成的工作予以詳細(xì)記錄，如系統(tǒng)和子系統(tǒng)需求說明書、系統(tǒng)架構(gòu)說明書、概要設(shè)計(jì)和詳細(xì)說明書等，直至硬件元器件、圖紙和軟件代碼的實(shí)現(xiàn)。

2)系統(tǒng)測(cè)試:系統(tǒng)、子系統(tǒng)、組件和模塊等的實(shí)現(xiàn)都需要通過測(cè)試予以驗(yàn)證［4］，在CBTC系統(tǒng)開發(fā)的每個(gè)階段，都需要編制相應(yīng)的測(cè)試規(guī)格書，用于對(duì)系統(tǒng)各階段的測(cè)試驗(yàn)證工作。

3)驗(yàn)證和確認(rèn)(V＆V):此工作由內(nèi)部獨(dú)立于項(xiàng)目團(tuán)隊(duì)的V＆V人員擔(dān)當(dāng)。在項(xiàng)目生命周期內(nèi)的每一個(gè)階段，都由V＆V人員對(duì)其進(jìn)行驗(yàn)證，以確保每個(gè)階段所完成的工作針對(duì)于上一階段的工作是正確的，并在每個(gè)階段產(chǎn)生驗(yàn)證報(bào)告。系統(tǒng)的開發(fā)和測(cè)試工作完成后，由V＆V人員對(duì)其進(jìn)行確認(rèn)，以確保開發(fā)出正確的產(chǎn)品，也即滿足用戶的要求。另外V＆V人員需要對(duì)系統(tǒng)中采用的COTS(成熟商用產(chǎn)品)產(chǎn)品進(jìn)行安全確認(rèn)［5］。

5 結(jié)語

經(jīng)過艱苦的努力，國(guó)內(nèi)首套完全自主創(chuàng)新的產(chǎn)品已獲得SIL4級(jí)獨(dú)立第三方安全認(rèn)證證書的CBTC系統(tǒng)，目前已在北京地鐵亦莊線示范工程中得到了應(yīng)用。期間共頒發(fā)了9個(gè)安全授權(quán)書，涵蓋試車線、單車調(diào)試、多車調(diào)試、試運(yùn)行和載客試運(yùn)營(yíng)等各個(gè)階段。回顧整個(gè)過程，深刻感受到:從風(fēng)險(xiǎn)的角度衡量和評(píng)價(jià)一個(gè)產(chǎn)品或系統(tǒng)的安全性，在系統(tǒng)的整個(gè)生命周期內(nèi)，每一個(gè)階段利用國(guó)際上先進(jìn)且切實(shí)可行的標(biāo)準(zhǔn)和科學(xué)的方法進(jìn)行安全保證和質(zhì)量管理，并聘請(qǐng)獨(dú)立第三方評(píng)估團(tuán)隊(duì)對(duì)每個(gè)過程進(jìn)行安全審核及評(píng)估，是保證具有自主知識(shí)產(chǎn)權(quán)的CBTC系統(tǒng)能安全、可靠地投入到國(guó)內(nèi)城市軌道交通中應(yīng)用的關(guān)鍵。

［1］燕飛，唐濤.軌道交通信號(hào)系統(tǒng)安全技術(shù)的發(fā)展和國(guó)外的研究現(xiàn)狀［J］.中國(guó)安全科學(xué)學(xué)報(bào)，2005，15(6):94-99.

［2］CENELEC EN 50129—1999.Railway applications:safety related electronic systems for signalling［S］，2003.

［3］CENELEC EN 50126—1999.Railwayapplications:the specification and demonstration of reliability，availability，maintainability and safety(RAMS)［S］，1999.

［4］郜春海，燕飛，唐濤.軌道交通信號(hào)系統(tǒng)安全評(píng)估方法研究［J］.中國(guó)安全科學(xué)學(xué)報(bào)，2005，15(10):74-79.

［5］Maurizio Morisio.Commercial-off-the-shelf(COTS):A Survey a DACS state-of-the-art report［R］，2000.