楊 凱

(1．北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；

2．北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

系統(tǒng)安全保障體系的應(yīng)用和實(shí)踐

楊 凱1，2

(1．北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；

2．北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

介紹鐵路信號(hào)系統(tǒng)的安全保障理論和標(biāo)準(zhǔn)，結(jié)合項(xiàng)目實(shí)際情況從安全工程師的角度描述安全保障理論和標(biāo)準(zhǔn)在項(xiàng)目中的應(yīng)用和實(shí)踐，主要體現(xiàn)在項(xiàng)目組織，安全活動(dòng)和生命周期活動(dòng)3個(gè)方面。項(xiàng)目的成功實(shí)施和積累的系統(tǒng)安全保障經(jīng)驗(yàn)將對(duì)以后安全項(xiàng)目的開(kāi)展提供很大幫助。

鐵路信號(hào)系統(tǒng)；安全保障；安全標(biāo)準(zhǔn)；安全活動(dòng)；生命周期；風(fēng)險(xiǎn)

1 背景

鐵路信號(hào)是以保障鐵路運(yùn)輸安全為目標(biāo)，鐵路信號(hào)設(shè)備發(fā)生故障、錯(cuò)誤或失效時(shí)，應(yīng)自動(dòng)顯示停車(chē)信號(hào)以確保行車(chē)安全，這一要求被稱(chēng)為鐵路信號(hào)故障－安全原則。

列車(chē)運(yùn)行速度越高對(duì)通信信號(hào)的依賴(lài)性越強(qiáng)，計(jì)算機(jī)時(shí)代列車(chē)運(yùn)行控制系統(tǒng)的主要特點(diǎn)是系統(tǒng)功能強(qiáng)大，硬件集成度高，軟件越來(lái)越多地參與系統(tǒng)的控制和管理，系統(tǒng)復(fù)雜性提高的同時(shí)，也導(dǎo)致系統(tǒng)在設(shè)計(jì)、開(kāi)發(fā)和定位錯(cuò)誤等方面越來(lái)越困難。這就要求采用適應(yīng)現(xiàn)代技術(shù)和器件水平的安全系統(tǒng)設(shè)計(jì)分析方法及標(biāo)準(zhǔn)。本文是筆者擔(dān)任安全工程師期間，結(jié)合自身理解和實(shí)際工作，總結(jié)出的安全系統(tǒng)設(shè)計(jì)開(kāi)發(fā)應(yīng)遵循的標(biāo)準(zhǔn)和流程。

2 概述

以前鐵路產(chǎn)品均是研制完成后經(jīng)過(guò)審查和鑒定然后上道使用。隨著安全意識(shí)的不斷提升、歐標(biāo)安全標(biāo)準(zhǔn)的引進(jìn)以及第三方安全認(rèn)證的要求，需要從系統(tǒng)研發(fā)過(guò)程就開(kāi)始進(jìn)行控制和管理，從而保證系統(tǒng)的安全可靠。具體體現(xiàn)在如下兩個(gè)方面：

1）建立安全評(píng)估機(jī)制

先進(jìn)的信號(hào)系統(tǒng)是高技術(shù)、高投入、高風(fēng)險(xiǎn)的產(chǎn)品。歐洲和其他國(guó)家在鐵路信號(hào)領(lǐng)域已形成完整和成熟的安全評(píng)估與認(rèn)證體系，并得到廣泛使用。在通信信號(hào)快速發(fā)展的機(jī)遇下，需要采用或借鑒歐標(biāo)安全標(biāo)準(zhǔn)，建立安全評(píng)估機(jī)制。

目前本公司參考了歐標(biāo)、國(guó)家鐵路標(biāo)準(zhǔn)，制定并實(shí)施了一套安全保障體系，所有安全系統(tǒng)均需達(dá)到SIL4級(jí)要求。

2）加強(qiáng)通信信號(hào)核心技術(shù)的研究

借鑒國(guó)外經(jīng)驗(yàn)，開(kāi)發(fā)基礎(chǔ)故障安全信號(hào)系統(tǒng)平臺(tái)和系統(tǒng)架構(gòu)，這樣就可以根據(jù)具體系統(tǒng)的應(yīng)用需求進(jìn)行應(yīng)用軟件的開(kāi)發(fā)，即可形成新系統(tǒng)。

目前，公司所有安全相關(guān)的系統(tǒng)均配置故障安全信號(hào)系統(tǒng)平臺(tái)，如GSSAP，DS6-60和DS6-K5B等。

因此對(duì)于涉及安全的系統(tǒng)需要由安全的硬件，安全的軟件以及完善的安全流程來(lái)保障。

3 安全理論和標(biāo)準(zhǔn)

安全不是絕對(duì)的，而是通過(guò)系統(tǒng)性的技術(shù)和管理等手段將風(fēng)險(xiǎn)降低到可以接受的程度。歐洲系列安全標(biāo)準(zhǔn)的安全理念是：采用全面生命周期的觀念來(lái)評(píng)估和管理風(fēng)險(xiǎn)。強(qiáng)調(diào)安全技術(shù)和意識(shí)應(yīng)當(dāng)貫穿于系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)、裝備、維護(hù)全過(guò)程中，而不是在系統(tǒng)生產(chǎn)后再考慮系統(tǒng)的安全問(wèn)題。歐標(biāo)及覆蓋范圍如圖1所示。

圖1 歐標(biāo)及覆蓋范圍圖

1）EN50126∶1999——可靠性、可用性、可維護(hù)性和安全性（RAMS）規(guī)范，該標(biāo)準(zhǔn)定義了系統(tǒng)的RAMS（reliability、availability、maintainability 和safety），即可靠性、可用性、可維護(hù)性和安全性，并且規(guī)定了安全生命周期內(nèi)各個(gè)階段對(duì)RAMS的管理和要求。要求在整個(gè)安全生命周期進(jìn)行RAMS管理，針對(duì)每個(gè)階段給出應(yīng)需要完成的RAMS任務(wù)，同時(shí)給出相關(guān)的具體文檔和要求。[1]

2）EN50128∶2001——鐵路應(yīng)用：通信、信號(hào)和處理系統(tǒng)—鐵路控制和防護(hù)系統(tǒng)的軟件，是針對(duì)軟件的安全保證提出的規(guī)范和設(shè)計(jì)標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中，對(duì)鐵路控制和防護(hù)系統(tǒng)軟件進(jìn)行安全完整等級(jí)劃分，針對(duì)不同的安全要求制訂相應(yīng)的標(biāo)準(zhǔn)，包括對(duì)軟件需求規(guī)格書(shū)、測(cè)試規(guī)格書(shū)、軟件結(jié)構(gòu)、軟件設(shè)計(jì)開(kāi)發(fā)、軟件檢驗(yàn)和測(cè)試、軟硬件集成、軟件確認(rèn)評(píng)估、質(zhì)量保證、生命周期、文檔等提出相應(yīng)的程序與規(guī)范要求。[2]

3）EN50129∶2003——鐵路應(yīng)用：通信、信號(hào)和處理系統(tǒng)—鐵路控制系統(tǒng)領(lǐng)域的安全相關(guān)電子系統(tǒng)，該標(biāo)準(zhǔn)主要內(nèi)容：a.質(zhì)量管理措施；b.安全管理措施；c.功能和技術(shù)安全措施；d.安全接收與審批；e.安全例證報(bào)告；f.技術(shù)、工具和過(guò)程。[3]

4）EN50159-1∶2001——鐵路應(yīng)用：通信、信號(hào)和處理系統(tǒng)—在封閉傳輸系統(tǒng)中與安全相關(guān)的通信，其適用于采用封閉傳輸系統(tǒng)實(shí)現(xiàn)通信目的的安全相關(guān)系統(tǒng)，是對(duì)安全相關(guān)設(shè)備和傳輸系統(tǒng)的通信接口信息傳輸?shù)陌踩?。[4]

封閉環(huán)境下安全相關(guān)通信模型如圖2所示。

IRIS（International Railway Industry Standard）是運(yùn)用于評(píng)估鐵路行業(yè)質(zhì)量管理體系的一套標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)架構(gòu)在ISO 9001基礎(chǔ)上，適用于軌道交通行業(yè)有設(shè)計(jì)、制造、維修活動(dòng)的組織，IRIS認(rèn)證所涉及到的是整個(gè)軌道交通行業(yè)。對(duì)于鐵路通信信號(hào)系統(tǒng)來(lái)說(shuō)，IRIS規(guī)定必須遵循上述標(biāo)準(zhǔn)。

除了上述國(guó)際標(biāo)準(zhǔn)，還必須遵守國(guó)家及鐵路行業(yè)指定的相關(guān)標(biāo)準(zhǔn)。

4 實(shí)踐

筆者作為安全工程師，主要職責(zé)是：1）負(fù)責(zé)安全計(jì)劃等安全管理文件的編制；2）組織系統(tǒng)技術(shù)方面的風(fēng)險(xiǎn)分析工作，并維護(hù)危險(xiǎn)源日志；3）負(fù)責(zé)項(xiàng)目的安全管理，監(jiān)督項(xiàng)目安全保障活動(dòng)的實(shí)施。

圖2 封閉環(huán)境下安全相關(guān)通信模型

下面從安全工程師角度介紹項(xiàng)目組開(kāi)展安全保障活動(dòng)的實(shí)際情況。

4.1 項(xiàng)目組織

根據(jù)上述理論和標(biāo)準(zhǔn)，對(duì)于安全系統(tǒng)開(kāi)發(fā)，按照?qǐng)D3所示組織結(jié)構(gòu)成立了項(xiàng)目組。

圖3 項(xiàng)目組織結(jié)構(gòu)圖

所有安全相關(guān)項(xiàng)目成員均通過(guò)安全培訓(xùn)。

嚴(yán)格明確系統(tǒng)研發(fā)、測(cè)試驗(yàn)證和確認(rèn)工作分別由不同的人員來(lái)承擔(dān)，驗(yàn)證工程師獨(dú)立于確認(rèn)工程師，且驗(yàn)證工程師、確認(rèn)工程師均獨(dú)立于軟件工程師/測(cè)試工程師。

為了強(qiáng)化安全產(chǎn)品的“獨(dú)立”確認(rèn)職責(zé)，公司設(shè)立了獨(dú)立的安全管理機(jī)構(gòu)——安全保障中心，確認(rèn)工程師由安全保障中心同事?lián)吻也皇茼?xiàng)目經(jīng)理控制，可以在必要時(shí)控制產(chǎn)品研發(fā)、驗(yàn)證進(jìn)程，以確保產(chǎn)品開(kāi)發(fā)過(guò)程滿足歐標(biāo)相應(yīng)安全完整度等級(jí)的要求。公司質(zhì)量安全總監(jiān)負(fù)責(zé)項(xiàng)目的安全批準(zhǔn)。

4.2 安全活動(dòng)

在生命周期的各階段均涉及的安全活動(dòng)如圖4所示。

對(duì)各離散安全活動(dòng)的描述如表1所示。

對(duì)于危險(xiǎn)日志更新，安全驗(yàn)證、確認(rèn)、審核評(píng)估屬于連續(xù)安全活動(dòng)，在生命周期的各階段都會(huì)執(zhí)行。

4.3 生命周期活動(dòng)

圖4 安全活動(dòng)圖

下面詳細(xì)介紹項(xiàng)目組在生命周期各階段進(jìn)行的安全相關(guān)活動(dòng)，如圖5所示。注意在生命周期的每個(gè)階段結(jié)束時(shí)均要驗(yàn)證該階段的需求是否滿足前一階段的輸出，以及本階段的輸出是否實(shí)現(xiàn)本階段的需求活動(dòng)。驗(yàn)證的主要手段包括審核、分析與測(cè)試，階段性審核和評(píng)審。

4.3.1 系統(tǒng)定義和計(jì)劃階段

在此階段進(jìn)行的安全活動(dòng)包括：1）確定系統(tǒng)危險(xiǎn)源識(shí)別的范圍；2）進(jìn)行初步危險(xiǎn)源識(shí)別和RAMS分析；3）分析系統(tǒng)的RAMS指標(biāo)；4）確定項(xiàng)目具體RAMS目標(biāo)和策略；5）建立安全保障活動(dòng)計(jì)劃，包括項(xiàng)目策劃、安全計(jì)劃、測(cè)試計(jì)劃、驗(yàn)證計(jì)劃、確認(rèn)計(jì)劃和軟件質(zhì)量保障計(jì)劃。

常用的危險(xiǎn)源識(shí)別技術(shù)和方法有以下幾種：1）頭腦風(fēng)暴（基于經(jīng)驗(yàn))；2）危險(xiǎn)和可操作性研究（HAZOP)；3）檢查表；4）SWIFT（基于結(jié)構(gòu)的what-if技術(shù)，預(yù)先根據(jù)任務(wù)分解后的每個(gè)子任務(wù)，準(zhǔn)備很多“如果某種情況發(fā)生，會(huì)怎么樣”的問(wèn)題，然后組織大家依次回答問(wèn)題，以找到危險(xiǎn)源的方式)；5）故障模式影響分析(分析系統(tǒng)中每一元素所有可能產(chǎn)生的故障模式及其對(duì)系統(tǒng)造成的所有可能影響，并按每一個(gè)故障模式的嚴(yán)重程度、檢測(cè)難易程度以及發(fā)生頻度予以分類(lèi)的一種歸納分析方法)。

表1 離散安全活動(dòng)表

圖5 系統(tǒng)生命周期劃分及主要活動(dòng)

在本項(xiàng)目中，根據(jù)不同的場(chǎng)景基本用到了上述所有5種方法。

4.3.2 風(fēng)險(xiǎn)分析階段

風(fēng)險(xiǎn)分析的目標(biāo)是：1）識(shí)別系統(tǒng)相關(guān)的危險(xiǎn)源；2）識(shí)別導(dǎo)致危險(xiǎn)源發(fā)生的事件序列；3）評(píng)估危險(xiǎn)源相關(guān)的風(fēng)險(xiǎn)；4）確定適當(dāng)?shù)娘L(fēng)險(xiǎn)控制或緩解措施；5）建立和維護(hù)危險(xiǎn)源日志；6）形成安全需求和安全應(yīng)用條件。

在此階段進(jìn)行的安全活動(dòng)包括：1）進(jìn)行初步危險(xiǎn)源分析、系統(tǒng)危險(xiǎn)源分析、子系統(tǒng)危險(xiǎn)源分析、接口危險(xiǎn)源分析、運(yùn)營(yíng)安全危險(xiǎn)源分析和故障模式影響分析；2）回顧并更新安全計(jì)劃；3）建立危險(xiǎn)源日志；4）編制風(fēng)險(xiǎn)分析報(bào)告。

危險(xiǎn)來(lái)源主要包括源于系統(tǒng)內(nèi)部、外界原因和人員因素，危險(xiǎn)分析流程總結(jié)如圖6所示。

圖6 危險(xiǎn)分析流程圖

危險(xiǎn)日志用于記錄項(xiàng)目中識(shí)別危險(xiǎn)的當(dāng)前狀態(tài)，以及對(duì)危險(xiǎn)的移除、控制或緩解措施。危險(xiǎn)日志內(nèi)容包括：1）危險(xiǎn)描述；2）危險(xiǎn)ID；3）原因；4）后果；5）（初始的、最終的）風(fēng)險(xiǎn)指數(shù)；6）控制措施；7）負(fù)責(zé)人；8）狀態(tài)等。

安全相關(guān)應(yīng)用條件的來(lái)源包括：1）從子系統(tǒng)輸入的安全相關(guān)應(yīng)用條件；2）對(duì)于那些不能被子系統(tǒng)/模塊/接口實(shí)現(xiàn)的安全相關(guān)應(yīng)用條件，將由子系統(tǒng)/模塊/接口層次傳遞到本系統(tǒng)層次，并被本系統(tǒng)繼承。若依靠系統(tǒng)層次仍然無(wú)法完全解決，需要向其他相關(guān)法提出安全應(yīng)用條件；3）由本系統(tǒng)向其他相關(guān)方提出的安全相關(guān)應(yīng)用條件：對(duì)于本系統(tǒng)層次無(wú)法滿足的安全需求，會(huì)產(chǎn)生相應(yīng)的安全相關(guān)應(yīng)用條件，系統(tǒng)根據(jù)相關(guān)的途徑，將安全相關(guān)應(yīng)用條件傳遞給責(zé)任方。

本項(xiàng)目屬于應(yīng)用類(lèi)型的開(kāi)發(fā)項(xiàng)目，需要繼承平臺(tái)的危險(xiǎn)日志和安全相關(guān)應(yīng)用條件，而沒(méi)有分析平臺(tái)內(nèi)部范圍的風(fēng)險(xiǎn)。在進(jìn)行危險(xiǎn)分析時(shí)，將平臺(tái)作為黑箱處理，平臺(tái)所含有的潛在危險(xiǎn)從平臺(tái)的危險(xiǎn)日志得到，這些危險(xiǎn)或者通過(guò)平臺(tái)的設(shè)計(jì)得到控制，即關(guān)閉了的危險(xiǎn)；或者平臺(tái)控制不了的危險(xiǎn)，移交給外部控制，即平臺(tái)的安全相關(guān)的應(yīng)用條件。項(xiàng)目充分考慮這些安全相關(guān)應(yīng)用條件并加以控制。應(yīng)用類(lèi)型的開(kāi)發(fā)項(xiàng)目主要考慮應(yīng)用本身的危險(xiǎn)、應(yīng)用和環(huán)境的接口危險(xiǎn)及人員操作危險(xiǎn)。

4.3.3 需求規(guī)范階段

該階段進(jìn)行的安全活動(dòng)包括：1）收集、分析并制定RAMS需求規(guī)范；2）實(shí)施本階段的風(fēng)險(xiǎn)分析，包括系統(tǒng)危險(xiǎn)源分析；3）更新危險(xiǎn)源日志。

安全需求來(lái)源包括危險(xiǎn)源日志、外部系統(tǒng)安全相關(guān)應(yīng)用條件、相關(guān)標(biāo)準(zhǔn)或規(guī)范等，必須標(biāo)識(shí)出每條安全需求，并對(duì)其進(jìn)行風(fēng)險(xiǎn)分析。由于本項(xiàng)目系統(tǒng)規(guī)模小，需求或危險(xiǎn)源數(shù)量較少，所以采用了EXCEL進(jìn)行危險(xiǎn)源日志的維護(hù)和管理。

4.3.4 設(shè)計(jì)與實(shí)現(xiàn)階段——概要設(shè)計(jì)子階段

該階段進(jìn)行的安全活動(dòng)包括：1）明確子系統(tǒng)和模塊的RAMS需求；2）對(duì)子系統(tǒng)和模塊持續(xù)進(jìn)行安全風(fēng)險(xiǎn)分析，包括系統(tǒng)風(fēng)險(xiǎn)分析、子系統(tǒng)風(fēng)險(xiǎn)分析、接口風(fēng)險(xiǎn)分析和操作與安全危險(xiǎn)分析，產(chǎn)生子系統(tǒng)和模塊安全需求，并更新危險(xiǎn)日志和安全需求規(guī)范等文檔。

4.3.5 設(shè)計(jì)與實(shí)現(xiàn)階段——硬件設(shè)計(jì)與實(shí)現(xiàn)子階段

該階段需要進(jìn)行的安全活動(dòng)包括：1）故障模式影響分析；2）充實(shí)一般產(chǎn)品/一般應(yīng)用安全例證的內(nèi)容；3）分析、驗(yàn)證RAMS指標(biāo)是否滿足；4）開(kāi)展硬件制造設(shè)計(jì)、工藝影響分析（由生產(chǎn)企業(yè)進(jìn)行）；5）編制硬件生產(chǎn)技術(shù)需求規(guī)范作為對(duì)制造環(huán)節(jié)的輸入；6）編制對(duì)安裝環(huán)節(jié)輸出的安裝手冊(cè)和安全相關(guān)應(yīng)用條件。

由于目前公司對(duì)所有安全相關(guān)系統(tǒng)均以統(tǒng)一的平臺(tái)為基礎(chǔ)，因此硬件設(shè)計(jì)與實(shí)現(xiàn)均歸入了平臺(tái)項(xiàng)目，系統(tǒng)所采用的硬件平臺(tái)已通過(guò)安全認(rèn)證，平臺(tái)滿足EN50129相關(guān)要求。

4.3.6 設(shè)計(jì)與實(shí)現(xiàn)階段——軟件設(shè)計(jì)與實(shí)現(xiàn)子階段

該階段進(jìn)行的安全活動(dòng)包括：1）制定軟件質(zhì)量保障計(jì)劃；2）編制軟件需求規(guī)范；3）完成工具安全保障分析和操作系統(tǒng)安全保障分析；4）分析并驗(yàn)證RAMS指標(biāo)是否滿足。

其中工具安全分析的內(nèi)容包括：1）工具識(shí)別及分類(lèi)；2）工具需求（為什么要用工具）；3）工具選擇；4）工具應(yīng)用（如何使用工具、配置項(xiàng)及理由）；5）風(fēng)險(xiǎn)識(shí)別（引入什么風(fēng)險(xiǎn)）；6）風(fēng)險(xiǎn)控制（通過(guò)什么手段對(duì)風(fēng)險(xiǎn)進(jìn)行控制）。

4.3.7 設(shè)計(jì)與實(shí)現(xiàn)階段——模塊測(cè)試、軟硬件集成測(cè)試子階段

該階段無(wú)特殊安全活動(dòng)相關(guān)要求，主要保證按照測(cè)試規(guī)范執(zhí)行，設(shè)計(jì)出完整測(cè)試用例，確保每條測(cè)試用例均得到執(zhí)行。4.3.8 系統(tǒng)測(cè)試階段

該階段進(jìn)行的安全活動(dòng)包括：1）確認(rèn)系統(tǒng)滿足包括RAMS需求在內(nèi)的系統(tǒng)需求，；2）對(duì)剩余系統(tǒng)風(fēng)險(xiǎn)進(jìn)行評(píng)估；3）對(duì)系統(tǒng)進(jìn)行型式試驗(yàn)；4）根據(jù)硬件生產(chǎn)技術(shù)需求規(guī)范編制驗(yàn)收方案并進(jìn)行驗(yàn)收活動(dòng)；5）編制安全例證（包括安全相關(guān)應(yīng)用條件）。

其中安全例證的核心內(nèi)容包括：1）說(shuō)明系統(tǒng)可能的危險(xiǎn)源，尤其是可能造成嚴(yán)重后果的危險(xiǎn)源；2）提供證據(jù)說(shuō)明已經(jīng)采取相對(duì)應(yīng)的安全措施，系統(tǒng)遺留的風(fēng)險(xiǎn)是可以容忍的。

4.3.9 試驗(yàn)與應(yīng)用階段—現(xiàn)場(chǎng)試驗(yàn)

進(jìn)行的安全活動(dòng)包括：安裝試點(diǎn)檢查。4.3.10 系統(tǒng)確認(rèn)階段

由獨(dú)立確認(rèn)工程師根據(jù)確認(rèn)計(jì)劃，對(duì)中間過(guò)程進(jìn)行確認(rèn)，并出具確認(rèn)報(bào)告。

4.4 結(jié)題階段

在項(xiàng)目結(jié)題階段，項(xiàng)目出示了滿足如下條件的產(chǎn)出：

1）具備所有文檔，且每個(gè)文檔版本、修改歷史等均具有可追溯性；

2）所有需求均具有可追溯性，需求→設(shè)計(jì)→代碼→測(cè)試→Bu→發(fā)布。任何不可追溯的部分均證明其與安全完整度無(wú)關(guān)。

3）危險(xiǎn)源的可追溯性，確保每條危險(xiǎn)源均對(duì)應(yīng)到安全需求并得到妥善解決，確保每一個(gè)安全需求均得到滿足和實(shí)現(xiàn)。

由獨(dú)立第三方機(jī)構(gòu)主要通過(guò)審核的方式對(duì)項(xiàng)目進(jìn)行驗(yàn)證，驗(yàn)證內(nèi)容包括：

1）對(duì)危險(xiǎn)源是否關(guān)閉進(jìn)行審核；2）審核安全管理過(guò)程；

3）審核質(zhì)量管理過(guò)程。

而審核方式也有多種形式，包括：

1）現(xiàn)場(chǎng)審核（如配置管理審核，軟件開(kāi)發(fā)審核，質(zhì)量審核等）；

2）文檔審閱；

3）面試項(xiàng)目組人員；

4）見(jiàn)證項(xiàng)目活動(dòng)，如參與、見(jiàn)證項(xiàng)目日常工作，見(jiàn)證測(cè)試等。

5 總結(jié)語(yǔ)

安全生命周期強(qiáng)調(diào)安全技術(shù)和意識(shí)應(yīng)當(dāng)貫穿于系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)、裝備、維護(hù)全過(guò)程中，而不是在系統(tǒng)生產(chǎn)后再考慮系統(tǒng)的安全問(wèn)題。從事安全保障活動(dòng)需要時(shí)刻保持安全意識(shí)和責(zé)任感并做到細(xì)心和耐心，必須掌握相關(guān)的安全標(biāo)準(zhǔn)和過(guò)程并遵照嚴(yán)格執(zhí)行。

安全標(biāo)準(zhǔn)是比較寬泛和抽象的，必須針對(duì)項(xiàng)目本身量體裁衣，為此公司根據(jù)標(biāo)準(zhǔn)和項(xiàng)目類(lèi)型選定需要遵守的標(biāo)準(zhǔn)條目并做了適當(dāng)?shù)恼{(diào)整。項(xiàng)目組每個(gè)成員均參與安全理論和安全活動(dòng)相關(guān)的培訓(xùn)，對(duì)應(yīng)用開(kāi)發(fā)類(lèi)項(xiàng)目需要遵守的安全活動(dòng)和流程比較熟悉并積極配合，從而在生命周期活動(dòng)執(zhí)行過(guò)程中發(fā)現(xiàn)和彌補(bǔ)了不少安全問(wèn)題和漏洞，并最終更加認(rèn)識(shí)到安全保障的重要性。

經(jīng)過(guò)不懈努力，項(xiàng)目組研發(fā)的安全系統(tǒng)順利拿到安全完整性等級(jí)SIL4級(jí)證書(shū)，為以后安全項(xiàng)目的開(kāi)展積累了豐富的經(jīng)驗(yàn)。

[1] EN50126 鐵路應(yīng)用：可靠性、可用性、可維護(hù)性和安全性（RAMS）規(guī)范和說(shuō)明[S].ERTMS，1999.

[2] EN50128 鐵路應(yīng)用：鐵路控制和防護(hù)系統(tǒng)的軟件[S]. ERTMS，2011.

[3] EN50129 鐵路應(yīng)用：鐵路控制系統(tǒng)領(lǐng)域的安全相關(guān)電子系統(tǒng)[S].ERTMS，2003.

[4] EN50159-1 鐵路應(yīng)用：通信、信號(hào)和處理系統(tǒng)—在封閉傳輸系統(tǒng)中與安全相關(guān)的通信[S].ERTMS，2001.

The paper introduces safety assurance theories and standards for railway signal systems. According to the project implementation, the paper describes the application and practice of safety assurance theories and standards in view of a safety engineer, mainly involving three aspects of the project organization, safety activities and life cycle activities. The success of the project and the experience in safety assurance can provide help for the future safety projects.

railway signal system; safety assurance; safety standard; safety activity; life cycle; risk

10.3969/j.issn.1673-4440.2016.06.028

2015-11-13）