邵玉華

（吉林鐵道職業(yè)技術學院鐵道運輸系，132001，吉林//副教授）

安全評估已成為許多先進國家軌道交通安全管理計劃的一個十分重要的內(nèi)容。歐洲、美國提出了信號系統(tǒng)定性和定量的接收準則和安全評估體系，以最大限度保證所接收的信號系統(tǒng)的安全性、可靠性、可維護性和可操作性（RAMS）。從運營組織上看，這些國家均采用授權的獨立第三方機構論證和評估。諸如英國勞氏、TUV（德國萊茵技術監(jiān)護顧問股份有限公司）等專業(yè)從事安全評估的企業(yè)，對保障軌道交通信號系統(tǒng)安全起到了十分重要的作用。

我國對安全評估的研究和實踐還在起步階段。文獻［1－2］對安全評估標準的概念、組織框架等有比較明確的認知，在安全評估的體系和方法以及安全完整度等級的分配方面也有一定的研究，提出了基于VGES（灰色可拓空間）的安全評估方法，分析了ATP（列車自動保護）系統(tǒng)的安全完整度等級分配。文獻［3－5］對安全評估體系、評估所采用的理論和方法進行研究，提出了基于模糊集合理論的安全評估方法和基于混沌控制理論的安全評估方法。文獻［6］對安全相關系統(tǒng)的硬件故障分析進行研究，將灰色災變預測方法運用在軌道交通的設備檢修階段。安全評估問題也引起了鐵道部的重視，提出了要建立安全評估中心［6］。文獻［7］針對鐵道部高速鐵路運營過程的實際問題，應用安全系統(tǒng)工程理論，提出了我國高速鐵路系統(tǒng)生命周期內(nèi)實施安全評估的體系框架。

到目前為止，我國尚未建立起完整的安全評估理論和方法，形成獨立承擔安全評估的工作能力。本文針對軌道交通安全評估的標準、評估內(nèi)容和方法進行研究和討論。

1 軌道交通信號安全及相關標準

美國、澳大利亞、日本等國家以及歐洲已建立了比較完善的安全評估和安全管理體系，制定了一系列切實可行的安全評估技術標準。如英國工商部和健康安全部門提出了CASS（與安全系統(tǒng)相關的一次性評估）安全評估框架，并建立了CASS公司，負責對評估員進行考核，監(jiān)督評估過程。此外，國際標準化組織制定了一系列標準，如IEC 61508標準簇、EN 標準系列、IEEE 1474.1— 1999［8］、ERTMS/ETCS02S1266［9］等。

IEC 61508［10］是國際電子電工委員會（IEC）制定的《電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》國際標準，是進行軌道交通安全評估和論證重要的參考標準。目前歐洲各國鐵路主要以EN（歐洲標準）為基準，依托第三方評估機構，對既有線和在建的項目進行安全性論證。我國臺灣高速鐵路盡管部分采用了日本設備，但也按EN系列標準進行獨立驗證與確認［8］。

歐洲電氣化標準委員會（CENELEC）［11］下屬的SC9XA委員會制定了以計算機控制的信號系統(tǒng)作為對象的鐵道信號標準，包括4個部分：①EN 50126鐵路應用，可靠性、可用性、可維護性和安全性（RAMS）規(guī)范及說明；②EN 50129鐵路應用，安全相關電子系統(tǒng)；③EN 50128鐵路應用，鐵路控制和防護系統(tǒng)的軟件；④EN 50159.1鐵路應用，通信、信號和處理系統(tǒng)。其相互關系如圖1所示。

圖1 歐洲軌道交通領域標準間的相互關系

EN 50126標準［12］定義了軌道交通運輸一般系統(tǒng)的RAMS，給出了系統(tǒng)生命周期內(nèi)各個階段RAMS的管理和要求。RAMS是衡量系統(tǒng)服務質(zhì)量的一個重要特征。如果系統(tǒng)的可靠性和可維護性在系統(tǒng)給定的時間內(nèi)能夠滿足要求，則系統(tǒng)的安全性和可用性將得到保證。為達到規(guī)定的RAMS，必須在整個系統(tǒng)的生命周期內(nèi)有效控制RAMS的影響因素，即在系統(tǒng)設計和實現(xiàn)階段要考慮系統(tǒng)的隨機故障和系統(tǒng)故障。

EN 50129標準［13］適用于鐵路信號應用中與安全相關的電子系統(tǒng)（包括子系統(tǒng)和設備）。標準建議對所有鐵路信號系統(tǒng)、子系統(tǒng)或設備進行EN 50126和本標準中定義的危險分析和風險評估。該標準定義了質(zhì)量管理措施、安全管理措施、功能和技術安全措施以及安全接受和論證四個方面，適用于完整的信號系統(tǒng)的規(guī)范、設計、構建、安裝、接受、運行、維護和修改（擴展）階段，也適用于系統(tǒng)中子系統(tǒng)和設備。安全案例是系統(tǒng)研究開發(fā)人員按照標準在整個系統(tǒng)生命周期內(nèi)所要完成的質(zhì)量管理、安全管理和相關技術安全措施的實施。在安全管理方面需要進行全程的安全評估和驗證，以減少與安全相關的人為失誤，減少系統(tǒng)故障風險。

EN 50128標準［14］關注軟件安全完整性等級方法，并利用這些方法來提供滿足安全完整性要求的軟件。安全完整性通過在軟件上加載廣泛的安全考慮而達到安全的目的。標準包含5個軟件完整性等級，軟件失效所產(chǎn)生的后果越嚴重，那么對軟件安全完整性等級的要求就越高。

EN 50159.1標準［15］適用于采用封閉傳輸系統(tǒng)實現(xiàn)通信目的的安全相關系統(tǒng)，對安全相關設備和傳輸系統(tǒng)的通信接口信息傳輸提出安全要求。

2000年，歐洲軌道交通聯(lián)盟與歐洲委員會針對歐洲軌道交通運輸管理系統(tǒng)（European Rail Traffic Management System，簡為ERTMS）中歐洲列車控制系統(tǒng) （European Train Control System，簡為ETCS）的信號技術制定了系統(tǒng)RAM需求規(guī)范02S1266。

CBTC（基于通信的列車控制）是采用高效列車定位技術，不依賴于軌道電路，采用連續(xù)、大容量、雙向車地數(shù)據(jù)通信技術的列車自動控制系統(tǒng)，即移動閉塞。IEEE提出了CBTC需求規(guī)范IEEE 1474.1—1999［8］。

2 軌道交通信號系統(tǒng)的生命周期及安全評估內(nèi)容

2.1 信號系統(tǒng)的生命周期

系統(tǒng)生命周期是指一個系統(tǒng)從初始概念形成到退役的整個過程以及各階段完成的任務，如圖2所示。整個過程包括安全相關系統(tǒng)的計劃、管理、控制和監(jiān)督等多個階段。

圖2 系統(tǒng)的生命周期

對于安全相關系統(tǒng)，各階段完成的具體任務不同。在概念階段主要考慮項目的安全性含義。系統(tǒng)定義及應用環(huán)境階段應建立全面的安全計劃，并對風險容忍度標準進行定義。風險評估需要在風險分析階段執(zhí)行。在系統(tǒng)功能和要求階段應確定整體的系統(tǒng)安全需求和安全接受標準，以及與安全相關的功能系統(tǒng)，并在系統(tǒng)需求分配階段進行分配。由系統(tǒng)校驗階段準備特定應用安全案例，經(jīng)系統(tǒng)接受階段評定后，整個系統(tǒng)才能開始運行。修改與升級階段中需考慮系統(tǒng)修改與升級的安全問題。在退役與廢棄階段建立安全計劃、進行危險分析和風險評估，以及實施安全計劃。

2.2 安全評估內(nèi)容

目前，各國遵守的安全標準間的差異以及對信號系統(tǒng)安全的認知不同，導致其對系統(tǒng)安全的描述和評估內(nèi)容也有所差異。例如，IEC 61505提出了安全完整性等級的概念［16］，利用安全完整性等級來評價系統(tǒng)的安全，而有些方法（如風險評估、可靠性評估、具體保障評估等）是從其他方面考慮進行評估的。

所謂安全完整性是在規(guī)定的時間周期內(nèi)所有規(guī)定的條件下，安全相關系統(tǒng)成功地完成所需安全功能的能力。表1是完善性等級分級標準，SIL（安全完整性等級）表征了系統(tǒng)風險的等級。

表1 安全等級劃分標準

進行SIL評估，應根據(jù)評估要達到的目標確定SIL。等級選擇過高，盡管可降低風險，但對系統(tǒng)各方面的要求也會提高，花費的人力、物力會增加；等級選擇太低，系統(tǒng)就不能達到安全目標，存在潛在的危險。因此，在評估系統(tǒng)時，需要通過嚴格的過程及方法來確定SIL。首先分析所有不期望事件的后果，并估計其發(fā)生的可能性，將初始事件和用于防止事故的設備的故障綜合起來考慮；再結(jié)合風險狀況確定事故對人員、財產(chǎn)、環(huán)境和效益的影響；然后選擇所需的風險降低程度，即基準風險與可承受的風險底線之間的差別，進而得到合適的SIL。SIL評估方法包括風險樹分析法［16－17］及CCA（因果分析）等。

3 安全評估模式及內(nèi)容

不同國家和地區(qū)所遵守的安全評估模式、評估過程和程序，以及采用的手段和方法，都存在一定的差異；但安全評估的目標是一致的，都是要通過評估并對安全性不足的部分采取一定的技術、管理等措施，盡可能地降低安全風險，保證系統(tǒng)的可用性、可靠性、可維護性，以達到安全的目的。

3.1 安全評估模式

目前，安全評估主要包括全面獨立的安全驗證和確認、獨立安全評估、授權機構、產(chǎn)品認證、ISO9001、IRIS以及ISO14001等。這些安全評估的作用不同。如：全面獨立的安全驗證和確認主要針對政府和銀行的需求；獨立安全評估主要驗證系統(tǒng)或產(chǎn)品對國際標準的滿足程度等。軌道交通系統(tǒng)比較適用的安全評估有獨立的第三方評估和機構內(nèi)的評估小組評估兩種模式。

歐美國家開展軌道交通信號系統(tǒng)的安全研究比較早，目前已形成了比較完善的安全評估體系。如英國的CASS安全評估框架［3］、德國的TUV評估體系等，主要以EN 鐵路標準為基礎［12－13］，依托第三方評估機構，對已有線路和在建項目的信號系統(tǒng)進行安全性論證。而在歐洲鐵路安全評估中，各項評估都針對生命周期各個階段進行。其評估工作分為兩類：

（1）驗證，生命周期每個階段完成后都必須實施的安全性評價。只有通過驗證才能進入下一階段。其目的在于證明每個階段可交付使用的項目全面符合該階段的要求。

（2）確認，在系統(tǒng)驗收前進行，主要針對系統(tǒng)需求進行試驗驗證和獨立第三方評估。其目的在于證明系統(tǒng)在開發(fā)的所有步驟上及安裝后全面符合系統(tǒng)最初的需求。

系統(tǒng)的安全評估以系統(tǒng)安全分析為依據(jù)，通過分析系統(tǒng)中存在的潛在危險和薄弱環(huán)節(jié)、發(fā)生事故的概率和可能的嚴重程度等，確定系統(tǒng)能否滿足安全要求并達到設定的安全目標。安全評估過程如圖3所示［18］。

圖3 安全評估過程

3.2 安全評估的關鍵證據(jù)

安全系統(tǒng)的評估過程基于安全計劃和安全案例，按照一定的安全評估方法對系統(tǒng)進行測試和評估，最后形成安全評估報告，以決定系統(tǒng)能否通過安全評估。

3.2.1 安全要求

包括與安全無關的要求、與安全相關的要求。后者稱為安全要求，包含在一個獨立的安全要求規(guī)格中。安全要求又分為安全功能性要求和安全完整性要求兩種。功能性要求指實際的與安全相關的各種功能。這些功能的實現(xiàn)需要系統(tǒng)、子系統(tǒng)或設備的參與。完整性要求定義了每一個安全相關功能需要的安全完整性等級。

3.2.2 安全計劃

為達到系統(tǒng)安全需求規(guī)范而制定的文件，是衡量系統(tǒng)安全認證的重要標準。在設計和制造過程中必須按照安全計劃執(zhí)行。安全計劃的框架主要包括背景和要求，具體包括：系統(tǒng)概要，項目框架，安全規(guī)范，風險評估標準，安全管理（即在管理中指出項目經(jīng)理、項目安全經(jīng)理、安全評估者、安全審核者、安全權威機構的角色和責任），安全控制（包括危險日志、危險分析和風險評估），安全文件（包括初步危險分析、風險評估報告、危險日志、安全需求規(guī)范、安全審核和安全評估報告、安全事例、設計和測試說明書、評審報告、測試、接受記錄和培訓記錄），外部相關系統(tǒng)的論證。

3.2.3 安全案例

歐洲電氣化標準委員會（CENELEC）制定的EN 50129標準定義了保證鐵路信號電子系統(tǒng)、子系統(tǒng)和設備的安全所必須滿足的條件和措施，包括質(zhì)量管理、安全管理、功能和技術安全、安全接受和安全認證。要使軌道交通安全相關系統(tǒng)能得到接受和論證，須完成前3個步驟。EN 50129提出用安全案例來指導研發(fā)人員在系統(tǒng)生命周期內(nèi)實施的質(zhì)量管理、安全管理和相關技術安全措施。

安全案例是表明產(chǎn)品在設計和制造過程中符合系統(tǒng)安全要求，系統(tǒng)風險已減小到足夠小，提供信息（證據(jù)）使評估者對于系統(tǒng)的可靠性和安全性有信心。安全案例是進行安全評估的依據(jù)。詳細的安全案例包括系統(tǒng)定義、質(zhì)量管理報告、安全管理報告、技術安全報告、安全相關案例及總結(jié)等6個部分。

安全案例中的核心是安全證據(jù)。在質(zhì)量管理報告、安全管理報告、技術安全報告等部分中必須提供安全相關的證據(jù)，以證明安全相關系統(tǒng)的安全性能。評估過程實際上是由安全證據(jù)演繹安全完整性等級的過程和方法。安全評估依賴于安全證據(jù)。兩者間的關系為：安全案例包含系統(tǒng)、子系統(tǒng)或設備的有文件記錄的安全證據(jù)，而安全案例又是證據(jù)文檔的一部分。

3.2.4 安全證據(jù)

當面臨安全管理責任的時候，一般都需要提供相關的證據(jù)。在英國，安全證據(jù)主要包括鐵路安全案例、工程安全案例和技術文檔等3個文件。

鐵路安全案例是在軌道交通運營之前編寫的，內(nèi)容包括：基層管理者和操作者需要在安全案例中表明他們所承擔部分的安全可被控制；多個組織合作控制風險的協(xié)同安排、安全策略，以及安全管理的安排、風險的評估、安全監(jiān)視、安全策略、確保員工能夠勝任安全相關工作等［19］。運營過程中必須遵守安全案例。

在發(fā)生會嚴重影響鐵路安全的變化時，需要提交工程安全案例。這些變化包括鐵路系統(tǒng)的改造、采用新的設備或舊設備被替代。工程安全文檔需要說明：能將風險控制在可接受的等級，采用了系統(tǒng)的管理安全方法，并能證明風險評估的有效性。

4 主要的安全評估方法

安全評估是指確定系統(tǒng)或產(chǎn)品是否符合規(guī)定的安全要求的分析過程。常用的評估方法有風險分析、專家評估法、致命度分析（CA）、預先危險性分析（PHA）、故障類型和影響分析（FMEA）、事件樹分析（ETA）、故障樹分析（FTA）、概率安全評估法（PSA）、目標結(jié)構化符號（GSN）等10多種。本文討論一些主要的方法。

（1）專家評估法［20］：是安全系統(tǒng)工程領域最為基礎的方法，迄今仍廣泛應用。在高速鐵路安全評估中，尤其是人員因素和管理體制對運輸安全影響的分析，安全隱患難以從書面材料中識別，因此專家質(zhì)詢評估方法是必不可少的。專家評估法包含評分法、表決法和安全檢查表（SCL）法等。其中使用較為普遍的是SCL法。SCL法事先將檢查對象加以分解，將大系統(tǒng)分割成若干小的子系統(tǒng)，以提問或打分的形式，將檢查項目列表逐項檢查，以查找系統(tǒng)中各種元件、部件、設備、設施、物料、工件、操作、人員、管理和組織措施中的危險及有害因素，并逐項進行分析，對存在安全隱患的部分提出整改意見和措施。

（2）預先危險性分析（PHA）：項目實施之前，包括設計、型式試驗、生產(chǎn)或施工前，為實現(xiàn)系統(tǒng)安全而對系統(tǒng)進行的初步或初始的分析。首先對系統(tǒng)中存在的危險性類別、出現(xiàn)條件，導致故障（或事故）的后果進行分析，其目的是識別系統(tǒng)中的潛在危險，確定其危險等級，防止危險發(fā)展成故障（或事故）。預先危險性分析可大體識別與系統(tǒng)有關的主要危險，鑒別產(chǎn)生危險的原因，預測故障（或事故）發(fā)生對人員和系統(tǒng)的影響，判別危險等級，并提出消除或控制危險性的對策措施［21］。該方法通常用于對潛在危險了解較少和無法憑經(jīng)驗覺察的項目初期階段，如用于高速鐵路可行性論證、初步設計，或設備裝置的研究和開發(fā)階段。

（3）故障類型和影響分析（FMEA）：根據(jù)鐵路系統(tǒng)可劃分為子系統(tǒng)、設備和元件等評估單元的特點，按實際需要將系統(tǒng)進行分割，然后分析各自可能發(fā)生的故障類型及其產(chǎn)生的影響，以便采取相應的對策，提高系統(tǒng)的安全可靠性。FMEA可直接導出故障（事故）或?qū)收希ㄊ鹿剩┯兄匾绊懙膯我还收项愋停孀R單一設備和系統(tǒng)的故障類型，以及每種故障類型對系統(tǒng)或裝置造成的影響。評估人員通常提出提高設備可靠性的建議，進而提出安全對策［22］。

（4）事件樹分析（ETA）［23］：采用歸納法來分析普通設備故障或過程波動（稱為初始事件）導致故障（事故）發(fā)生的可能性。故障（事故）是典型設備出現(xiàn)非正常狀態(tài)或操作異常引發(fā)的結(jié)果。事件樹可提供記錄故障（事故）后果的系統(tǒng)性的方法，并能確定導致事件后果與初始事件的關系。事件樹分析適用于分析那些產(chǎn)生不同后果的初始事件。事件樹強調(diào)的是故障（事故）可能發(fā)生的初始原因以及初始事件對事件后果的影響。事件樹的每一個分支都表示一個獨立的故障（事故）序列。對一個初始事件而言，每一個獨立故障（事故）序列都清楚地界定了安全功能之間的關系。

（5）故障樹分析（FTA）：能對各種系統(tǒng)的危險性進行識別評價，既適用于定性分析，又能進行定量分析。FTA是一種簡明、形象化方法，采用系統(tǒng)工程方法研究安全問題，具有系統(tǒng)性、準確性和預測性。FTA作為安全分析、評價和故障（事故）預測的一種先進的科學方法［12］，不僅能分析出故障（事故）的直接原因，而且能進一步提示故障（事故）的潛在原因。在工程或設備的設計階段、在故障（事故）查詢或編制新的操作方法時，都可采用FTA對系統(tǒng)的安全性做出評價。故障樹分析使用演繹法。

（6）模糊集合和灰色聚類法：因為復雜系統(tǒng)安全的模糊性和不確定性，當危險因素分布過于離散時，由于白化函數(shù)（隸屬函數(shù)）包含的因素范圍窄，可能導致評價錯誤。可采用等斜率灰色聚類法進行分析評價。它在灰色聚類的基礎上加以改進，以等斜率方式構造白化函數(shù)，較大地拓寬了白化函數(shù)的范圍；并用修正系數(shù)對白化函數(shù)進行修正，保證在分級標準值處相鄰兩級白化函數(shù)相同，避免了邊界值附近的誤判現(xiàn)象，使評價結(jié)果更為合理。

（7）概率安全評估法（PSA）：是一種設計輔助及審計工具，向公眾提供風險的數(shù)值化測量。該方法標識潛在的事件，計算其發(fā)生的概率及結(jié)果；產(chǎn)生假設性事件的頻率，給出了風險的估計；并基于配置、設備可靠性、操作人員的錯誤概率、操作實踐、響應以及系統(tǒng)的能力等因素，開發(fā)與風險相關的數(shù)學模型。

（8）GSN方法：是一種圖形化的論證方法，可清楚地表示任何安全論證的各個元素（需求、聲明、證據(jù)和內(nèi)容），以及元素間的關系（如論證中特殊聲明如何支持各自的需求，證據(jù)和假設的內(nèi)容如何支持聲明）。在歐洲，GSN已經(jīng)被大量安全苛求產(chǎn)業(yè)（如航空、鐵路和國防）用來表示安全案例中的安全論證［24］。

（9）Vague灰色可拓空間法：是以Vague Set為基礎，提出的專門針對復雜系統(tǒng)的評價方法。它既考慮了事物本身的正負因素，也考慮了與其相關的質(zhì)和量。其中定義的灰色優(yōu)度、灰色劣度、白色優(yōu)劣比、灰色優(yōu)劣比、遠近效益和政策系數(shù)等，反映了系統(tǒng)的全面性以及依據(jù)策略調(diào)整的靈活性。這些特征非常適合對軌道交通系統(tǒng)進行分析評價。

（10）基于貝葉斯網(wǎng)絡的復雜系統(tǒng)FMEA模型法：傳統(tǒng)的FMEA方法對故障間因果關系表達不明確、結(jié)構性差，不適合復雜系統(tǒng)。基于貝葉斯網(wǎng)絡的FMEA可將復雜系統(tǒng)的故障模式、故障概率和嚴酷度統(tǒng)一到一個框架結(jié)構中，充分利用零部件信息和部件之間的因果關系，并將這些信息與系統(tǒng)信息進行融合，適合于研究復雜大系統(tǒng)；可利用先驗信息完成知識的積累發(fā)揮自學習功能，減少FMEA的試驗樣本量，節(jié)約研制費用和縮短研制周期［25］。

此外，還有一些安全評估的方法，如安全檢查表法、原因－后果分析（CCA）、蒙特卡羅模擬法等，也用于生命周期不同階段的安全評估。這些分析方法各有特點和一定的適用范圍。應用時，首先要進行初步的、定性的綜合分析，得出定性的概念；再根據(jù)危險性大小進行詳細的分析；最后根據(jù)分析對象和要求的不同，選用適當?shù)陌踩u估方法。

5 結(jié)語

本文綜述了國內(nèi)外軌道交通安全評估領域的評估理論與方法，給出了軌道交通安全評估的模式、內(nèi)容以及評估方法。我國軌道交通信號系統(tǒng)的安全評估工作，需進一步系統(tǒng)地研究安全評估的理論和方法，建立信號系統(tǒng)安全評估的流程及規(guī)范，并開展工程實踐。在此基礎上，應建立我國自己的第三方軌道交通信號系統(tǒng)安全評估機構，并嚴格按程序和流程進行評估。

［1］史憲銘，王華偉.基于貝葉斯網(wǎng)絡的復雜系統(tǒng)FME模型［J］.兵工自動化，2004，23（2）：27.

［2］趙一彪，林華、賀仲雄.VGES在軌道交通安全評價中的應用［J］.交通企業(yè)管理，2006，21（12）：74.

［3］楊晉輝，酈萌.安全苛求軟件的安全性混沌分析［J］.計算機工程與應用，2005（21）：1.

［4］王鐵江，酈萌，徐翥.安全苛求軟件的模糊風險評價［J］，計算機應用，2003（Z2）：39.

［5］王鐵江，酈萌.一種安全軟件安全性評估的模糊模型［J］，計算機工程，2003（6）：24.

［6］張文晰，李亞輝，王慈光.灰色災變預測方法在城市軌道交通安全中的應用［J］，上海鐵道科技，2006（6）：22.

［7］禹志陽.我國鐵路安全管理模式的研究［J］，安全管理，2004（3）：19.

［8］IEEE Std.1474.1—1999IEEE Standard for Communications Based Train Control （CBTC）Performance and Functional Requirements［S］.1999.

［9］RETMS/ETCS.RAMS Requirements Specification 02S1266［S］.1999.

［10］IEC 61508Functional safety of electrical/electronic/programmable electronic safety－related［S］.1998.

［11］CENELEC.Railway applications：Systematic allocation of safety integrity requirements.prR009－004［S］.1999.

［12］EN 50126Railway Applications－The Specification and Demonstration of Dependability，Reliability，Availability，Maintainability and Safety（RAMS）［S］.1999.

［13］EN 50129Railway Application：Safety related electronic system for signaling［S］.1999.

［14］EN 50128Railway applications：Communications，signaling and processing system－Software for railway control and protection systems［S］.2001.

［15］CENELEC prEN50159.1Railway applications：signaling and processing systems，part 1：safety related communication in closed transmission systems［S］.2001.

［16］EC 61508—2000Functional Safety of Electrical/electronic/programmable Electronic Safety－related Systems［S］.

［17］CENELEC.Railway applications：Systematic Allocation of Safety Integrity Requirements［R］. UIC： Brussels，1999.prR0092004.

［18］燕飛，郜春海，唐濤.軌道交通安全相關系統(tǒng)評估方法［J］.中南工業(yè)大學學報，2003（Z1）：230.

［19］Engineering Safety Management volumes1and 2 Fundamentals and Guidance［S］.London：Rail Safety and Standards Board，2007.

［20］國家安全生產(chǎn)監(jiān)督管理總局.安監(jiān)管技裝字［2003］37號，安全評價通則［S］.北京：國家安全生產(chǎn)監(jiān)督管理總局，2003.

［21］李發(fā)榮.預先危險性分析在安全評價中的應用研究［J］.勞動保護科學技術，1999（5）：56.

［22］王小群，張興容.工業(yè)企業(yè)常用安全評價方法概述［J］.鐵道勞動安全衛(wèi)生與環(huán)保，2003，30（2）：39.

［23］陳開巖，鄭賢斌，張永生.企業(yè)安全評價方法及軟件開發(fā)［J］.工業(yè)安全與環(huán)保，2003，29（2）：74.

［24］Son G Tong，Zhou Yan.Automatic synthesis of fault tree for cont rol systems based on system analysis［J］.Systems Engineering Theory：Methodology ·Applications，2005，14（6）：514.

［25］Pan Yanrong，Qu Changxu，Zhu Shunying.An evaluation of the road traffic safety based on the grey cluster and neural network［J］.Journal of Chongqing Jiaotong University，2005（2）：101.