王媛媛，施廣德，李 鵬

0 引言

軌道交通已成為世界各國(guó)現(xiàn)代化交通運(yùn)輸體系中最為重要的運(yùn)輸手段。軌道綜合監(jiān)控系統(tǒng)軟件作為其中重要的組成部分，其安全性直接關(guān)系到客戶(hù)的生命財(cái)產(chǎn)安全［1］。安全完整性等級(jí)，又稱(chēng)SIL（Safety Integrity Level），表示安全相關(guān)系統(tǒng)、子系統(tǒng)或設(shè)備達(dá)到安全要求的程度。

SIL認(rèn)證就是基于安全相關(guān)的國(guó)際標(biāo)準(zhǔn)，對(duì)安全設(shè)備的安全完整性等級(jí)（SIL）進(jìn)行評(píng)估和確認(rèn)的一種第三方認(rèn)證。SIL認(rèn)證可以保證產(chǎn)品特定功能的正確性、安全性和競(jìng)爭(zhēng)力。目前國(guó)內(nèi)外地鐵和鐵路招標(biāo)文件中已經(jīng)明確提出了對(duì)SIL的要求。因此對(duì)綜合監(jiān)控系統(tǒng)SIL相關(guān)標(biāo)準(zhǔn)進(jìn)行研究和進(jìn)行SIL認(rèn)證非常必要［2］。

1 安全完整性等級(jí)

安全完整性等級(jí)SIL是對(duì)系統(tǒng)所要求的安全完整性水平的一種定量指標(biāo)，是將安全完整性根據(jù)安全功能失效的頻率和產(chǎn)生的危險(xiǎn)嚴(yán)重程度劃分成的等級(jí)［1］。系統(tǒng)的安全完整性等級(jí)越高，則其安全功能失效的可能性就越小。安全完整性一般分為4個(gè)等級(jí)［1，3-5］。

目前，城市軌道交通安全可靠性技術(shù)主要的參考標(biāo)準(zhǔn)是歐洲電工標(biāo)準(zhǔn)化委員會(huì)（CENELEC）制定的鐵路安全相關(guān)標(biāo)準(zhǔn)。CENELEC的鐵路安全相關(guān)標(biāo)準(zhǔn)分別為：EN50129《鐵路應(yīng)用：鐵路控制系統(tǒng)領(lǐng)域的安全相關(guān)電子系統(tǒng)》［6］；EN50126《鐵路應(yīng)用:可靠性、可用性、可維護(hù)性與安全性（RAMS）規(guī)范和說(shuō)明》［7］；EN50128《鐵路應(yīng)用：鐵路控制與防護(hù)系統(tǒng)的軟件》［8］；EN50159《鐵路應(yīng)用：通信、信號(hào)和處理系統(tǒng)》［9］。

從安全性可靠性的角度看：EN50126標(biāo)準(zhǔn)定義了整個(gè)鐵路系統(tǒng)的安全性可靠性；EN50129標(biāo)準(zhǔn)定義了整個(gè)系統(tǒng)及硬件部分的安全性可靠性；EN50128標(biāo)準(zhǔn)則定義了子系統(tǒng)軟件部分的安全完整性。本項(xiàng)目聘請(qǐng)具有專(zhuān)業(yè)資質(zhì)的第三方認(rèn)證公司對(duì)系統(tǒng)進(jìn)行獨(dú)立安全認(rèn)證，認(rèn)證過(guò)程采用最低合理可行（As Low as Reasonably Practicable，ALARP）原則［10］進(jìn)行，將綜合監(jiān)控系統(tǒng)的殘余風(fēng)險(xiǎn)降低至合理可行范圍之內(nèi)的最低程度。

2 地鐵綜合監(jiān)控系統(tǒng)安全設(shè)計(jì)

2.1 系統(tǒng)介紹

地鐵綜合監(jiān)控系統(tǒng)（ISCS）將各個(gè)分散孤立的自動(dòng)化系統(tǒng)聯(lián)結(jié)成一個(gè)有機(jī)的整體，實(shí)現(xiàn)軌道交通各專(zhuān)業(yè)相關(guān)系統(tǒng)之間的信息互通。系統(tǒng)架構(gòu)如圖1所示，由服務(wù)器、交換機(jī)、工作站、前置采集裝置等組成。系統(tǒng)通過(guò)網(wǎng)絡(luò)與全線(xiàn)各子專(zhuān)業(yè)系統(tǒng)進(jìn)行信息交換，實(shí)現(xiàn)全線(xiàn)各專(zhuān)業(yè)系統(tǒng)的數(shù)據(jù)采集、監(jiān)視和控制。

圖1 地鐵綜合監(jiān)控系統(tǒng)架構(gòu)

從系統(tǒng)組成劃分，系統(tǒng)由控制中心級(jí)ISCS、車(chē)站級(jí)ISCS兩部分等組成。其中：（1）中心級(jí)ISCS對(duì)全線(xiàn)重要監(jiān)控對(duì)象的狀態(tài)、性能數(shù)據(jù)進(jìn)行實(shí)時(shí)的收集處理，通過(guò)各種調(diào)度員工作站和大屏幕以各種形式顯示出來(lái)，供調(diào)度人員控制和監(jiān)視，并完成對(duì)全線(xiàn)環(huán)境、設(shè)備的集中控制與顯示。（2）車(chē)站級(jí)ISCS對(duì)單個(gè)車(chē)站被控設(shè)備的狀態(tài)、性能數(shù)據(jù)進(jìn)行實(shí)時(shí)的收集處理，通過(guò)各種調(diào)度員工作站顯示出來(lái)，供調(diào)度人員控制和監(jiān)視。

2.2 安全設(shè)計(jì)策略與安全技術(shù)

本系統(tǒng)在設(shè)計(jì)時(shí)將安全性放在首位，設(shè)計(jì)過(guò)程中采取如下安全策略。

（1）安全功能模塊最小化原則：將多個(gè)子系統(tǒng)之間與安全相關(guān)的模塊獨(dú)立設(shè)計(jì)。

（2）進(jìn)程隔離原則：既考慮綜合監(jiān)控系統(tǒng)的信息資源的充分共享，同時(shí)也考慮信息的保護(hù)和隔離，將軟件中完成獨(dú)立功能的子模塊均使用獨(dú)立進(jìn)程運(yùn)行，即使某一個(gè)子模塊異常也不影響其他子模塊的運(yùn)行。

（3）訪(fǎng)問(wèn)控制原則：系統(tǒng)在各個(gè)層次對(duì)訪(fǎng)問(wèn)都進(jìn)行控制，設(shè)置嚴(yán)格的安全操作權(quán)限，如多級(jí)用戶(hù)權(quán)限、責(zé)任區(qū)管理。

（4）數(shù)據(jù)一致性原則：系統(tǒng)內(nèi)各同步完成的節(jié)點(diǎn)中的實(shí)時(shí)數(shù)據(jù)必須保持一致，在某一臺(tái)計(jì)算機(jī)節(jié)點(diǎn)上生成或修改實(shí)時(shí)數(shù)據(jù)庫(kù)后，數(shù)據(jù)一致性維護(hù)可以確保在系統(tǒng)范圍內(nèi)所有計(jì)算機(jī)的數(shù)據(jù)一致性。

（5）恢復(fù)原則：充分利用日志系統(tǒng)、健全的備份和恢復(fù)策略增強(qiáng)系統(tǒng)的安全性。

系統(tǒng)軟件設(shè)計(jì)過(guò)程中，嚴(yán)格遵循EN50128標(biāo)準(zhǔn)，在軟件架構(gòu)設(shè)計(jì)中采用了防御性編程、故障檢測(cè)與診斷、錯(cuò)誤檢驗(yàn)代碼、重試故障恢復(fù)機(jī)制、信息封裝、充分定義的接口、建模、結(jié)構(gòu)化方法等技術(shù)措施，滿(mǎn)足了軟件SIL2的要求。

2.3 系統(tǒng)設(shè)計(jì)

DSC-9000+綜合監(jiān)控系統(tǒng)的邏輯可以分成圖2所示的4層：硬件層、操作系統(tǒng)層、平臺(tái)層和應(yīng)用層。

結(jié)合軟件功能需求，系統(tǒng)按工作站和服務(wù)器進(jìn)行部署。

（1）工作站：主要對(duì)綜合監(jiān)控系統(tǒng)中涉及的各類(lèi)設(shè)備的實(shí)時(shí)狀態(tài)、數(shù)據(jù)進(jìn)行監(jiān)視，并允許通過(guò)HMI進(jìn)行監(jiān)視和操控，是綜合監(jiān)控系統(tǒng)與調(diào)度員的接口。工作站上需運(yùn)行實(shí)時(shí)庫(kù)管理、配置庫(kù)管理、數(shù)據(jù)同步、用戶(hù)界面等軟件。

（2）服務(wù)器：主要是與綜合監(jiān)控系統(tǒng)所涉及的各類(lèi)設(shè)備進(jìn)行互聯(lián)并處理數(shù)據(jù)，包括采集設(shè)備中的數(shù)據(jù)，并進(jìn)行處理后在工作站中進(jìn)行顯示；接收來(lái)自工作站的控制命令，并對(duì)設(shè)備進(jìn)行操控；根據(jù)不同專(zhuān)業(yè)設(shè)備之間的聯(lián)動(dòng)規(guī)則進(jìn)行設(shè)備聯(lián)動(dòng)；將實(shí)時(shí)數(shù)據(jù)處理并存歷史數(shù)據(jù)庫(kù)，進(jìn)行統(tǒng)計(jì)分析等。服務(wù)器上需運(yùn)行實(shí)時(shí)庫(kù)管理、數(shù)據(jù)同步、通用服務(wù)軟件、用戶(hù)界面和通信規(guī)等軟件。

工作站和服務(wù)器的實(shí)時(shí)數(shù)據(jù)一致性由數(shù)據(jù)同步保證，工作站上所有HMI均通過(guò)實(shí)時(shí)庫(kù)管理和配置庫(kù)管理的接口獲取。

圖2 地鐵綜合監(jiān)控系統(tǒng)安全架構(gòu)設(shè)計(jì)

2.4 通信模塊設(shè)計(jì)

本系統(tǒng)通信模塊的設(shè)計(jì)參考了EN50159標(biāo)準(zhǔn)［9］。該標(biāo)準(zhǔn)是歐洲鐵路通信信號(hào)領(lǐng)域信息傳輸系統(tǒng)的安全通信標(biāo)準(zhǔn)，它定義了3種傳輸系統(tǒng)、7種傳輸系統(tǒng)需要防范的風(fēng)險(xiǎn)和8種防范傳輸系統(tǒng)風(fēng)險(xiǎn)的手段。主要目的是通過(guò)技術(shù)手段保證通信報(bào)文的真實(shí)性、完整性、實(shí)時(shí)性和有序性。

3 質(zhì)量、安全與風(fēng)險(xiǎn)管理

質(zhì)量與安全管理過(guò)程是SIL認(rèn)證中的重要環(huán)節(jié)。質(zhì)量管理則是規(guī)定了系統(tǒng)開(kāi)發(fā)過(guò)程中所需要遵循的流程和采取的技術(shù)措施，目的是降低系統(tǒng)開(kāi)發(fā)過(guò)程中人為錯(cuò)誤的影響，提高系統(tǒng)的質(zhì)量，確保達(dá)到要求的系統(tǒng)安全完整度等級(jí)。本系統(tǒng)開(kāi)發(fā)中的質(zhì)量管理過(guò)程嚴(yán)格遵循ISO9001質(zhì)量體系和EN50128標(biāo)準(zhǔn)對(duì)項(xiàng)目組織結(jié)構(gòu)、角色和人員獨(dú)立性、配置管理、文檔質(zhì)量、可追溯性、變更管理、缺陷管理、驗(yàn)證和確認(rèn)、編碼質(zhì)量、發(fā)布管理、質(zhì)量審計(jì)等內(nèi)容的要求進(jìn)行。各階段結(jié)束時(shí)對(duì)階段產(chǎn)出物及質(zhì)量管理過(guò)程進(jìn)行質(zhì)量審計(jì)，主要審計(jì)內(nèi)容包括：項(xiàng)目管理、配置管理、變更控制、文件控制、記錄控制、評(píng)審管理、不符合項(xiàng)控制、設(shè)計(jì)控制和需求管理和跟蹤。

安全&風(fēng)險(xiǎn)管理過(guò)程的目的是為了進(jìn)一步減少在系統(tǒng)生命周期內(nèi)與安全相關(guān)的人為錯(cuò)誤的發(fā)生，并由此最大程度減少安全相關(guān)的系統(tǒng)故障的殘余風(fēng)險(xiǎn)。安全&風(fēng)險(xiǎn)管理主要包括風(fēng)險(xiǎn)管理與安全需求管理兩個(gè)方面。其中，風(fēng)險(xiǎn)管理過(guò)程包括：風(fēng)險(xiǎn)源識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)的管理和關(guān)閉［11］。通過(guò)風(fēng)險(xiǎn)分析和評(píng)估，將所有風(fēng)險(xiǎn)登記至危害日志中，并提出相應(yīng)的緩解措施，并導(dǎo)出安全需求，然后在系統(tǒng)開(kāi)發(fā)的每一個(gè)階段對(duì)安全需求進(jìn)行跟蹤，直到系統(tǒng)設(shè)計(jì)滿(mǎn)足所有的安全需求，且危害被全部關(guān)閉、轉(zhuǎn)移或降低至可以接受的程度。

4 結(jié)語(yǔ)

隨著軌道交通的快速發(fā)展，綜合監(jiān)控系統(tǒng)按照歐洲標(biāo)準(zhǔn)體系進(jìn)行開(kāi)發(fā)，并取得獨(dú)立的第三方資格認(rèn)證，已成為必然趨勢(shì)。本文闡述了基于SIL2等級(jí)的軌道交通綜合監(jiān)控系統(tǒng)設(shè)計(jì)方法和安全完整性評(píng)估的重點(diǎn)，為其他安全相關(guān)系統(tǒng)的開(kāi)發(fā)提供了參考，有利于提高軌道交通領(lǐng)域產(chǎn)品的安全性及可靠性。