于 淼

（北京全路通信信號研究設(shè)計院有限公司，北京 100073）

系統(tǒng)集成項目具有技術(shù)專業(yè)多、所處環(huán)境變化快、接口繁多、需求多變、管理的復(fù)雜性強等特點，由于鐵路信號控制系統(tǒng)屬于安全關(guān)鍵系統(tǒng)，其運行關(guān)系到人員的生命和財產(chǎn)安全，因此對于信號控制系統(tǒng)集成必須要進行全面的安全管理來保障系統(tǒng)的安全。對信號控制系統(tǒng)集成項目的安全管理應(yīng)根據(jù)項目的安全目標(biāo)，按整體到局部，自上而下進行規(guī)劃、實施，以“有效、實用”為指導(dǎo)思想。

信號控制系統(tǒng)集成項目的生命周期一般可分為項目策劃、系統(tǒng)設(shè)計、子系統(tǒng)實現(xiàn)與生產(chǎn)、室內(nèi)系統(tǒng)集成測試、現(xiàn)場安裝調(diào)試、系統(tǒng)試運行和運行維護7個階段。對項目的安全管理應(yīng)貫穿于整個生命周期，其主要安全活動包括：制定安全計劃、實施危險管理、遵守并傳遞安全相關(guān)應(yīng)用條件和編制安全例證報告。

1 安全計劃

系統(tǒng)集成項目的安全管理過程中，應(yīng)在項目策劃階段制定安全計劃，并且需要在整個項目生命周期中對安全計劃進行維護和更新。安全計劃應(yīng)發(fā)布給項目組所有成員，并要求項目組成員理解其內(nèi)容。安全計劃主要包括：1) 確定項目的安全目標(biāo)；2) 確定項目涉及到的安全管理的組織結(jié)構(gòu)、責(zé)任和權(quán)利、安全里程碑、提交成果及時間節(jié)點；3) 規(guī)定項目生命周期中相關(guān)人員的資質(zhì)和獨立性；4) 制定項目生命周期中所需要采取的安全活動（包括管理和技術(shù)兩方面）；5) 制定安全活動執(zhí)行的時間和人力資源安排等。

在安全計劃執(zhí)行過程中，可采取項目內(nèi)外部監(jiān)督的方式促進安全計劃的完善更新以及安全活動的糾正改進。具體方法是可依照計劃采用檢查表的方式，在項目的里程碑階段通過驗證、評審和評估3種手段監(jiān)督安全計劃的執(zhí)行，如有偏離計劃或偏離標(biāo)準(zhǔn)，須及時糾正項目中的工作。如安全計劃有需要調(diào)整、更新或細(xì)化，應(yīng)及時改進完善安全計劃，新版本的安全計劃需要得到審批后發(fā)布給項目組人員。

2 危險管理

危險管理包括危險分析、危險控制和危險監(jiān)督3部分，如圖1所示。危險分析工作根據(jù)設(shè)計的深入，需要在系統(tǒng)級、子系統(tǒng)級甚至產(chǎn)品級反復(fù)進行，其貫穿于項目整個生命周期，危險分析產(chǎn)生的危險錄入危險日志;危險控制是指危險分析完成后，針對危險提出的安全需求，在設(shè)計過程中將制定相應(yīng)的技術(shù)措施緩解這些危險;危險監(jiān)督是指對危險分析和危險控制的過程通過驗證、確認(rèn)、評估等安全活動進行監(jiān)督，危險監(jiān)督不僅關(guān)注危險分析的充分性、完整性，還要評估危險控制措施是否有效、可行。通過危險分析、危險控制和危險監(jiān)督使得系統(tǒng)最終所有的危險應(yīng)得到關(guān)閉或緩解。

2.1 危險分析

系統(tǒng)集成項目包含若干子系統(tǒng)，危險分析工作從系統(tǒng)層總體功能開始，并逐步向子系統(tǒng)層次細(xì)化如圖2所示。系統(tǒng)集成項目包括的子系統(tǒng)的成熟程度并不相同，對于基于成熟產(chǎn)品并已形成工程化流程的子系統(tǒng)，其應(yīng)用環(huán)境和系統(tǒng)功能等改變不大，不存在未知危險，控制已知危險的安全措施已明確，因此不必進行危險分析，只需遵循既有的工程化流程或規(guī)則即可。而對于一些因特殊需求而新開發(fā)子系統(tǒng)或子系統(tǒng)的某些模塊，項目之初應(yīng)明確項目的特定需求（接口、功能）及其新增的開發(fā)工作，針對這些改變在系統(tǒng)設(shè)計階段或詳細(xì)設(shè)計階段進行詳細(xì)的定性或定量危險分析，以證實其符合規(guī)定的安全性要求。

1）初步危險分析（PHA）

在系統(tǒng)生命周期早期階段進行的一種初步的定性危險分析，根據(jù)來自外部安全相關(guān)應(yīng)用條件和產(chǎn)品的限定條件，進行初步危險評價，識別安全關(guān)鍵部位，并確定所要求的危險控制措施和后續(xù)的活動。

2）系統(tǒng)危險分析（SHA）

在初步危險分析基礎(chǔ)上，在系統(tǒng)設(shè)計階段進行的一種詳細(xì)的定性或定量的危險分析，以證實系統(tǒng)符合規(guī)定的安全性要求，識別系統(tǒng)功能故障有關(guān)的危險，評價與整個系統(tǒng)設(shè)計有關(guān)的危險，提出為消除已確定的危險或控制其有關(guān)危險所必須采取的措施的建議，并將系統(tǒng)安全需求和安全相關(guān)應(yīng)用條件的分配與傳遞給子系統(tǒng)。

3）子系統(tǒng)危險分析（SSHA）

在系統(tǒng)危險分析的基礎(chǔ)上，在每個子系統(tǒng)層次上進行多次危險分析。在系統(tǒng)設(shè)計或詳細(xì)設(shè)計階段進行的定性或定量危險分析，以證實子系統(tǒng)符合規(guī)定的安全性要求，識別與子系統(tǒng)設(shè)計有關(guān)的危險和組成子系統(tǒng)的部件或設(shè)備之間的功能關(guān)系所導(dǎo)致的危險。

4）接口危險分析（IHA）

在系統(tǒng)設(shè)計階段或詳細(xì)設(shè)計階段進行的定性或定量的危險分析，識別與子系統(tǒng)接口有關(guān)的危險，并提出為消除已確定的危險或控制其有關(guān)危險所必須采取的措施建議。

5）運營安全危險分析（O&SHA）

在系統(tǒng)生命周期后期開始進行的一種定性的危險分析，以評價由使用和保障規(guī)程引入系統(tǒng)中的各種危險，并評價為消除、控制或降低。對于無法消除的危險，確定所采用的使用和保障規(guī)程的正確性，并形成文件使得危險得到有效傳遞。

在各個層次上進行危險分析的過程一般包括如下內(nèi)容。

①危險識別：找出潛在的危險，可用危險和可操作性研究（HAZOP）、頭腦風(fēng)暴（基于經(jīng)驗）等方法。

②后果分析：分析危險可能產(chǎn)生的后果，可用事件樹（ETA）、因果圖（CCA）等方法。

③原因分析：分析產(chǎn)生危險的原因，可用故障樹（FTA）等方法。

所有危險分析的結(jié)果記錄在“危害日志”中，在系統(tǒng)整個生命周期中，“危險日志”一直都處于更新和維護中。

2.2 危險控制

危險控制的過程：針對“危險日志”中的每條危險應(yīng)提出對應(yīng)的安全需求，如本系統(tǒng)范圍內(nèi)不能滿足的安全需求也應(yīng)形成安全相關(guān)應(yīng)用條件。設(shè)計人員把安全需求作為設(shè)計輸入之一，在系統(tǒng)設(shè)計中增加相應(yīng)的技術(shù)措施實現(xiàn)安全需求，措施是否有效通常通過評審、評估或測試等方式進行驗證和分析。通過安全需求的實現(xiàn)，最終所有的危險得到關(guān)閉或緩解。對于本系統(tǒng)范圍外或無法完全關(guān)閉的危險作為安全相關(guān)應(yīng)用條件，通過《用戶手冊》或《系統(tǒng)維護手冊》等方式移交給相關(guān)責(zé)任方，提醒其在使用或維護過程中關(guān)注。危險控制的流程如圖3所示。

危險控制是采取一系列的過程、方法把系統(tǒng)危險控制在可以接受的范圍內(nèi)，包括減少危險出現(xiàn)的頻率、降低危險造成的后果。通常會采取如下措施來降低危險。

1）在設(shè)計中充分考慮到安全的特性和需求，主要措施可能包括以下幾點。

①設(shè)置安全壁壘：系統(tǒng)的組成中可能包括安全和非安全功能，在系統(tǒng)結(jié)構(gòu)設(shè)計中需要區(qū)分出這兩部分，并在他們之間設(shè)置安全壁壘。以保護系統(tǒng)核心安全功能免受非安全控制系統(tǒng)接口和人工錯誤影響。

②保持系統(tǒng)單元的獨立性：為了保證系統(tǒng)各子系統(tǒng)的可維修性和獨立性，需要在設(shè)計上保證與其他部分的獨立性，每個單元的功能、數(shù)據(jù)、故障等特性都必須進行嚴(yán)格封裝：當(dāng)其他子系統(tǒng)更換或存在外界干擾時，能夠有效屏蔽對各子系統(tǒng)內(nèi)部通信產(chǎn)生的干擾和沖擊。

③安全通信：為保證各子系統(tǒng)通信的正確性和抗干擾性，安全關(guān)鍵子系統(tǒng)間的通信可使用封閉、冗余配置的安全網(wǎng)絡(luò)，子系統(tǒng)間接口采用安全協(xié)議（包括：序列號、計數(shù)器、加密、發(fā)送方和接受方ID和CRC校驗等內(nèi)容）。通過安全協(xié)議的使用確保發(fā)送或接收的消息正確無誤。

2）增加報警設(shè)備或警告提醒。

3）規(guī)范并系統(tǒng)化系統(tǒng)開發(fā)過程。

①項目之初編制安全計劃，并經(jīng)評審和批準(zhǔn)。

②依據(jù)安全計劃執(zhí)行必要的技術(shù)和管理活動。

③跟蹤安全計劃的執(zhí)行，必要時進行調(diào)整和更新。

4）培訓(xùn)系統(tǒng)相關(guān)人員，提高安全意識。

2.3 危險監(jiān)督

危險監(jiān)督的內(nèi)容包括：危險分析的是否充分全面；危險控制措施是否有效并得到實現(xiàn)，對措施的有效性進行驗證；危險的管理和相關(guān)活動是否遵循計劃執(zhí)行開展；危險分析和控制的工作是否由具備能力的人員擔(dān)當(dāng)。

危險監(jiān)督常以評估、評審、驗證和確認(rèn)的形式進行。對監(jiān)督過程中發(fā)現(xiàn)的問題，需持續(xù)跟蹤、糾正。

3 安全相關(guān)應(yīng)用條件

安全相關(guān)應(yīng)用條件是只本系統(tǒng)范圍內(nèi)無法滿足的安全需求或無法關(guān)閉的危險，例如在使用或維護過程中需要用戶關(guān)注的危害，作為安全相關(guān)應(yīng)用條件通過《用戶使用手冊》、《系統(tǒng)維護手冊》等方式移交給用戶。

系統(tǒng)集成項目安全相關(guān)應(yīng)用條件有來自外部系統(tǒng)或環(huán)境的，也有本系統(tǒng)產(chǎn)生的。

對于外部安全相關(guān)應(yīng)用條件，在系統(tǒng)構(gòu)架和設(shè)計過程中應(yīng)充分考慮相關(guān)技術(shù)措施，并將其分解到各個子系統(tǒng)，最終使得這些外部的安全相關(guān)應(yīng)用條件得到緩解或關(guān)閉。無法完全關(guān)閉的部分應(yīng)作為本系統(tǒng)的安全相關(guān)應(yīng)用條件傳遞給相關(guān)責(zé)任方。

系統(tǒng)集成項目范圍內(nèi)新產(chǎn)生的安全應(yīng)用條件應(yīng)包括如下內(nèi)容。

1）從子系統(tǒng)輸入的安全相關(guān)應(yīng)用條件：對于那些不能被子系統(tǒng)/模塊/接口層實現(xiàn)的安全需求，將由子系統(tǒng)/模塊/接口層次傳遞到系統(tǒng)層次，并被系統(tǒng)繼承。

2）系統(tǒng)層的安全相關(guān)應(yīng)用條件：從子系統(tǒng)層繼承的安全相關(guān)應(yīng)用條件如系統(tǒng)層也無法關(guān)閉，將被作為整個系統(tǒng)的安全相關(guān)應(yīng)用條件傳遞給相關(guān)方。

4 安全例證

安全例證是項目所有安全證據(jù)的匯總，以證明系統(tǒng)滿足預(yù)定安全完整性等級。安全例證報告一般在項目設(shè)計階段就開始進行。系統(tǒng)集成項目的案例結(jié)構(gòu)包括系統(tǒng)層（特殊應(yīng)用）、子系統(tǒng)層（一般應(yīng)用）和產(chǎn)品層（一般產(chǎn)品）。

安全例證內(nèi)容一般包括：系統(tǒng)定義、質(zhì)量管理報告、安全管理報告、技術(shù)安全報告、相關(guān)安全例證和結(jié)論6部分，各部分主要內(nèi)容如下。

1）系統(tǒng)定義：對安全例證涉及的系統(tǒng)/子系統(tǒng)/產(chǎn)品進行精確定義，包括系統(tǒng)的范圍，應(yīng)用場合，系統(tǒng)的主要功能、性能、安全目標(biāo)等。

2）質(zhì)量管理報告：提供質(zhì)量管理的證據(jù)，證明在系統(tǒng)、子系統(tǒng)或設(shè)備的整個生命周期內(nèi)，其質(zhì)量一直并將繼續(xù)受有效的質(zhì)量管理體系控制。

3）安全管理報告：提供安全管理的證據(jù)，證明系統(tǒng)/子系統(tǒng)/設(shè)備的安全一直并將繼續(xù)由一個有效的且與EN 50126中規(guī)定的RAMS管理過程相一致的安全管理過程進行管理。

4）技術(shù)安全報告：提供技術(shù)安全的證據(jù)，闡述確保設(shè)計安全的技術(shù)原則，包括（或給出參考索引）所有的支持證據(jù)（如，設(shè)計原則和計算，測試規(guī)范和測試結(jié)果以及安全分析等）。

5）相關(guān)安全例證：包含對主安全例證所依附的任何子系統(tǒng)或設(shè)備的安全例證的參考索引。同時論證在每個相關(guān)子系統(tǒng)/設(shè)備的安全例證中指定的安全相關(guān)應(yīng)用條件已在主安全例證中得到實現(xiàn)，或已結(jié)合到主安全例證的安全相關(guān)應(yīng)用條件中。

6）結(jié)論：對安全例證前面部分提供的證據(jù)進行歸納總結(jié)，并闡述相關(guān)系統(tǒng)/子系統(tǒng)/設(shè)備滿足預(yù)定的安全完整性等級。

5 結(jié)束語

信號控制系統(tǒng)集成項目的安全管理活動圍繞安全計劃和危險管理兩條主線展開。安全管理自上而下傳遞，安全活動自下而上執(zhí)行。

信號控制系統(tǒng)的安全管理是通過對項目制定可靠有效的安全計劃，在系統(tǒng)集成過程中進行安全管理、危險管理等安全活動，使系統(tǒng)實現(xiàn)預(yù)期的安全目標(biāo)。安全管理對信號控制系統(tǒng)安全運行有至關(guān)重要的作用，是保證信號控制系統(tǒng)安全可靠的有效手段。