戴成巖，邱兆陽

(1．中國鐵路通信信號股份有限公司，北京 100070；2．北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070)

1 概述

國內(nèi)鐵路信號經(jīng)歷了快速發(fā)展，信號控制系統(tǒng)已逐漸向全系統(tǒng)基于微電子處理器的電子控制方式轉(zhuǎn)變，尤其是隨著高速鐵路C3列車運(yùn)行控制系統(tǒng)的推廣，計(jì)算機(jī)聯(lián)鎖系統(tǒng)（CBI）、列控中心系統(tǒng)（TCC）、無線閉塞中心系統(tǒng)（RBC）、臨時(shí)限速服務(wù)器系統(tǒng)（TSRS）、列車自動保護(hù)系統(tǒng)（ATP）、軌道電路及應(yīng)答器等安全相關(guān)產(chǎn)品，全部采用了計(jì)算機(jī)控制為主的微電子控制技術(shù)。

信號控制系統(tǒng)采用計(jì)算機(jī)技術(shù)，不可避免地涉及安全軟件技術(shù)，近十年來，隨著歐標(biāo)EN 50128等安全軟件設(shè)計(jì)標(biāo)準(zhǔn)的應(yīng)用，軟件安全開發(fā)、設(shè)計(jì)、測試、驗(yàn)證和確認(rèn)技術(shù)的應(yīng)用日趨成熟，安全軟件的重要性也得到了足夠的重視。但作為軟件一部分的數(shù)據(jù)，包括數(shù)據(jù)生成、測試、發(fā)布等過程，在安全性方面仍有改進(jìn)和提升的空間。

近年來，基于應(yīng)用數(shù)據(jù)配置的CBI、TCC等信號安全產(chǎn)品，由于數(shù)據(jù)配置錯誤引起問題時(shí)有發(fā)生，針對信號安全產(chǎn)品配置數(shù)據(jù)失效安全分析工作尤為重要，應(yīng)采用適當(dāng)?shù)臄?shù)據(jù)失效安全分析方法，根據(jù)配置數(shù)據(jù)生成、測試、工具等各環(huán)節(jié)，分析其風(fēng)險(xiǎn)，采取合適的風(fēng)險(xiǎn)降低措施。

2 基于數(shù)據(jù)配置的應(yīng)用

2.1 背景描述

基于應(yīng)用數(shù)據(jù)配置的信號安全產(chǎn)品使用批準(zhǔn)的、可復(fù)用的通用軟件，相應(yīng)的信號安全產(chǎn)品的特定需求（工程項(xiàng)目）則應(yīng)定義為應(yīng)用數(shù)據(jù)。應(yīng)用數(shù)據(jù)通常表現(xiàn)為外部對象的參數(shù)值或描述（特性、類型、位置等）的形式，以列表或圖表格式表達(dá)，這些格式通常在通過特定語言（有語法和語義）處理轉(zhuǎn)換為源代碼后，可以解釋或編譯為可執(zhí)行代碼。

當(dāng)信號安全產(chǎn)品采用通用軟件+配置數(shù)據(jù)方式時(shí)，除需要通過設(shè)計(jì)、驗(yàn)證、測試等保證通用軟件的正確性外，也應(yīng)有措施保證配置數(shù)據(jù)的正確性，以從整體上使整個(gè)軟件的安全完整性、可靠性得到保障。

在鐵路信號領(lǐng)域，對于通用軟件，近年來隨著IRIS管理體系實(shí)施，變更控制程序的完善，以及第三方安全認(rèn)證的引入，軟件的開發(fā)、設(shè)計(jì)、驗(yàn)證、測試、確認(rèn)、評估流程完善，軟件通過靜態(tài)測試、動態(tài)測試、集成測試、功能測試、性能測試等環(huán)節(jié)，使通用軟件的正確性得到了較大的提升和保障。

但是從信號安全產(chǎn)品的角度看，軟件完成完整的功能，必須結(jié)合配置數(shù)據(jù)，當(dāng)配置數(shù)據(jù)有錯誤時(shí)，整個(gè)軟件的功能、安全也得不到保證。對所有配置數(shù)據(jù)，其設(shè)計(jì)、配置、驗(yàn)證、測試的流程，應(yīng)與軟件設(shè)計(jì)開發(fā)具有同等的安全完善度等級，才能使信號安全產(chǎn)品從整體上具有規(guī)定的安全性、可靠性。

本文就如何保證配置數(shù)據(jù)的安全性、可靠性，提出采用FMEA開展配置數(shù)據(jù)失效安全分析。

2.2 FMEA簡介

失效模式與影響分析（簡稱FMEA），是在設(shè)計(jì)階段/更改設(shè)計(jì)階段，對產(chǎn)品/零件/制造過程進(jìn)行分析，找出潛在失效模式，分析其可能的后果，評估其風(fēng)險(xiǎn)，預(yù)先采取措施，減少失效模式的嚴(yán)重程度，降低發(fā)生的概率，有效提高可靠性，確保顧客滿意的系統(tǒng)化活動過程。FMEA的過程如圖1所示。

圖1 FMEA過程示意圖Fig.1 FMEA process diagram

將信號安全產(chǎn)品數(shù)據(jù)配置作為生產(chǎn)制造的一部分，可以借鑒FMEA的思想和理念，進(jìn)行數(shù)據(jù)配置的失效影響分析，找出數(shù)據(jù)可能存在的各種失效模式，并制訂相應(yīng)的措施，以保證數(shù)據(jù)配置的正確性。

2.3 分析方法

根據(jù)歐標(biāo)EN 50128中基于應(yīng)用數(shù)據(jù)配置的軟件要求，采用FMEA給出數(shù)據(jù)失效影響分析方法，以保證配置數(shù)據(jù)的正確性為出發(fā)點(diǎn)，分析所有配置數(shù)據(jù)可能的失效模式，根據(jù)失效模式，列出既有的測試驗(yàn)證手段，并分析測試驗(yàn)證手段對所分析失效模式的覆蓋充分性，對于不充分的給出改進(jìn)建議。配置數(shù)據(jù)失效影響分析流程如圖2所示。

采用該分析方法，可以針對每一項(xiàng)數(shù)據(jù)的每一種可能的有害故障，有針對性的設(shè)計(jì)相應(yīng)的控制措施，確保每一項(xiàng)數(shù)據(jù)引起的風(fēng)險(xiǎn)可控。

3 應(yīng)用實(shí)踐

3.1 產(chǎn)品背景

計(jì)算機(jī)聯(lián)鎖系統(tǒng)（CBI）是負(fù)責(zé)行車進(jìn)路建立的鐵路行車核心控制設(shè)備。計(jì)算機(jī)聯(lián)鎖系統(tǒng)在信號操作員或者上層系統(tǒng)命令操作下實(shí)現(xiàn)站內(nèi)道岔、信號機(jī)、軌道電路之間聯(lián)鎖控制，是鐵路安全高效行車不可缺少的保障裝備。下面以計(jì)算機(jī)聯(lián)鎖產(chǎn)品為例來進(jìn)行配置數(shù)據(jù)失效影響分析。致命的。

圖2 配置數(shù)據(jù)失效模式分析流程圖Fig.2 Configuration data failure mode analysis flowchart

3.2 分析內(nèi)容

針對聯(lián)鎖應(yīng)用，根據(jù)2.3節(jié)提到的分析方法，詳述配置數(shù)據(jù)失效影響分析內(nèi)容如下。

1）數(shù)據(jù)項(xiàng)：包括所用數(shù)據(jù)結(jié)構(gòu)體的名稱，或獨(dú)立參數(shù)名稱，類型。

2）功能描述：該數(shù)據(jù)項(xiàng)承擔(dān)的主要功能。

3）風(fēng)險(xiǎn)分析：對數(shù)據(jù)的各種可能的失效模式進(jìn)行風(fēng)險(xiǎn)分析，包括3個(gè)子項(xiàng)：

a.引導(dǎo)詞：用于在分析時(shí)候指導(dǎo)思考，避免問題遺漏，如表1所示。

表1 引導(dǎo)詞表Tab.1 Guide words list

計(jì)算機(jī)聯(lián)鎖軟件能夠采用層次化的結(jié)構(gòu)便于軟件功能的拓展，同時(shí)使得通用軟件只根據(jù)配置的不同而應(yīng)用于不同規(guī)模、不同需求的車站，即對于不同的車站，保持通用軟件不變，只需要通過工程數(shù)據(jù)軟件生成不同的配置數(shù)據(jù)，即可以適應(yīng)不同站場圖形的車站。計(jì)算機(jī)聯(lián)鎖系統(tǒng)配置數(shù)據(jù)包括站場數(shù)據(jù)，站場數(shù)據(jù)是參與聯(lián)鎖運(yùn)算和站場圖形顯示的基礎(chǔ)數(shù)據(jù)。數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)綜合了各種站場情況，保證聯(lián)鎖程序具有通用性。站場數(shù)據(jù)由專門開發(fā)的計(jì)算機(jī)輔助設(shè)計(jì)軟件能夠自動生成。

如前所述，目前大家對于安全軟件的設(shè)計(jì)、開發(fā)、測試等環(huán)節(jié)，已經(jīng)普遍建立了安全意識，但對于配置數(shù)據(jù)，并沒有得到足夠的重視。在已發(fā)布的《鐵路車站計(jì)算機(jī)聯(lián)鎖安全原則》（TB/T 3482）10.1中要求：計(jì)算機(jī)聯(lián)鎖的配置數(shù)據(jù)應(yīng)經(jīng)過完整的測試和確認(rèn)，配置數(shù)據(jù)的檢查流程應(yīng)與系統(tǒng)的安全完整性等級要求相適應(yīng)，對數(shù)據(jù)的重要性提出了要求，數(shù)據(jù)作為軟件的一部分，其出錯的后果同樣是

b.后果：所分析數(shù)據(jù)在指定失效模式時(shí)可能的后果。如聯(lián)鎖進(jìn)路中包含的道岔應(yīng)與聯(lián)鎖表中一致，當(dāng)?shù)啦砩倥渲靡粋€(gè)時(shí)，則該條進(jìn)路信號開放時(shí)，可能不再檢查少配置道岔的位置，也不對該道岔進(jìn)行鎖閉處理，該道岔失去表示時(shí)，信號錯誤保持開放，有安全影響。

c.是否涉安：將后果分為安全相關(guān)和非安全相關(guān)兩類。

4）既有控制：對于所分析數(shù)據(jù)項(xiàng)的各種失效模式，既有控制措施是否存在，如果有既有控制措施，對其進(jìn)行說明：比如數(shù)據(jù)審核，數(shù)據(jù)測試，功能測試等。

5）充分性：針對所分析數(shù)據(jù)項(xiàng)的各種失效模式，既有控制措施（如果有）是否充分，是否足以覆蓋該數(shù)據(jù)項(xiàng)的各種失效模式，控制措施的可信度是否足夠。

6）建議措施：如果該數(shù)據(jù)項(xiàng)既有控制措施不存在或不充分，列出建議增加的控制措施，如額外的數(shù)據(jù)審核，增加針對性的測試案例，采用工具輔助進(jìn)行檢查等。

7）剩余風(fēng)險(xiǎn)：針對部分?jǐn)?shù)據(jù)數(shù)據(jù)項(xiàng)的各種失效模式，在既有措施+建議措施采取后，剩余風(fēng)險(xiǎn)是否可以接受。

3.3 分析舉例

以計(jì)算機(jī)聯(lián)鎖的兩項(xiàng)數(shù)據(jù)配置為例，按3.2節(jié)的內(nèi)容進(jìn)行分析，分析情況如表2、3所示。說明：本文未涉及風(fēng)險(xiǎn)評估的相關(guān)內(nèi)容，根據(jù)失效所產(chǎn)生的影響，應(yīng)參考?xì)W標(biāo)EN 50126中所定義的風(fēng)險(xiǎn)評估方法開展相關(guān)風(fēng)險(xiǎn)評估工作。

表2 聯(lián)鎖表中所包含的進(jìn)路區(qū)段數(shù)據(jù)Tab.2 Route section data contained in the interlocking table

表3 無岔區(qū)段的采集位置數(shù)據(jù)Tab.3 Acquisition location data in switchless section

4 總結(jié)和建議

數(shù)據(jù)配置過程是基于數(shù)據(jù)配置的信號安全產(chǎn)品生命周期重要環(huán)節(jié)之一，同設(shè)計(jì)階段的風(fēng)險(xiǎn)分析一樣，也應(yīng)對數(shù)據(jù)配置階段可能引入的風(fēng)險(xiǎn)，來制訂相應(yīng)的風(fēng)險(xiǎn)防范措施，采用系統(tǒng)化的方法來保證數(shù)據(jù)配置環(huán)節(jié)的安全性。

建議在信號安全產(chǎn)品設(shè)計(jì)開發(fā)時(shí)，同步進(jìn)行配置數(shù)據(jù)的失效分析，將數(shù)據(jù)測試與軟件設(shè)計(jì)在設(shè)計(jì)階段綜合考慮，并針對數(shù)據(jù)配置的特點(diǎn)、風(fēng)險(xiǎn)，有針對性的制訂每項(xiàng)配置數(shù)據(jù)的測試方法，使配置數(shù)據(jù)測試的全面性得到有效保障，從而確保信號安全產(chǎn)品數(shù)據(jù)配置失效產(chǎn)生危害造成的風(fēng)險(xiǎn)降到可接受水平。