王亦金 姜翠香

摘 要：屏蔽門作為地鐵運行中的重要系統，直接與乘客接觸，影響乘客安全，為保證系統安全可靠使用，需要對產品整個壽命周期過程進行獨立安全評估。評估基于CENELEC 標準EN50126：2017、EN50128：2011、EN50129：2003，如果定義和實施的開發(fā)、質量、安全、V&V、安裝和測試與調試等活動的與標準要求一致，屏蔽門系統功能達到規(guī)定的安全完整性等級的安全目標，屏蔽門系統能授予安全運營權。

關鍵詞：屏蔽門;獨立安全評估;標準

屏蔽門是站臺和軌道列車之間的屏障，當列車到站時，列車?？吭谝?guī)定區(qū)域，列車門屏蔽門對位后同時打開，供乘客上下列車。設置屏蔽門的主要目的是防止乘客跌落軌道風險，改善乘客候車環(huán)境，相對封閉空間，降低了空調能耗。

本文主要基于CENELEC 標準描述屏蔽門系統獨立安全評估過程。

1 安全完整性等級

標準EN50129將安全完整性SIL等級劃分為四級，等級4安全性要求最高，等級1安全性要求最低，每個等級對應的可容忍故障率，參見EN50129表A.1。按照標準中的方法可分析不同完整性等級對應的措施和方法。按照標準要求的方法控制整個研發(fā)過程，產品發(fā)生的安全事故的概率會大大降低。一般對于屏蔽門系統，安全完整性根據業(yè)主要求需滿足SIL2等級。

2 人員獨立性

標準EN50129中要求的角色獨立性，SIL1與SIL2一致，SIL3與SIL4一致，參見EN50129圖6。屏蔽門系統人員組織架構，設計開發(fā)團隊、集成測試團隊、驗證確認團隊相互獨立，而評估團隊需來自第三方。說明人員的獨立性要求符合標準EN50129對SIL1和SIL2等級的要求。

3 風險分析及安全功能識別

風險分析貫穿于整個壽命周期階段，流程圖如圖1，包括接口危害分析IHA、子系統危害分析SSHA、初步危害分析PHA和操作支持危害分析OSHA。風險分析的目的是找到系統的安全功能，并對安全功能分配SIL等級。如果對系統的功能是涉及安全的，定義為SIL等級，否則定義SIL等級為0，無安全功能。例如屏蔽門系統定義SIL2等級，對于SIL2等級的制定減輕措施，提出安全需求，所有安全需求最終在危害日志文件中管理，驗證和關閉。危害日志安全需求有對運營商提出要求的，作為安全限制條件SRAC單獨輸出。

根據屏蔽門系統的接口及架構，識別其安全功能，其安全功能主要有：整側站臺門的開啟和關閉：包括信號系統開關門，PSL站臺級開關門;單個門的開啟和關閉（包括手動解鎖，本地手動控制盤開啟和關閉單個門）;向信號系統反饋所有門關閉且鎖定信號（該信號決定是否允許列車發(fā)車或者進站）;向信號系統反饋單個（多個）門安全回路被旁路信號（該信號將旁路安全回路信號，并導致信號系統給即將進入車站的列車緊急降速。）以上這些安全功能都需滿足SIL2等級。

4 評估流程

整個評估過程，基于EN50126貫穿于整個生命周期14個階段，結合EN50129制定。主要包括計劃階段、需求階段、設計階段、測試階段、確認階段，參見EN50129中圖5。

系統驗證伴隨整個項目的生命周期的各個階段，驗證內容除了要驗證階段輸出的文檔，還要驗證階段的執(zhí)行過程，包括是否是由合適的人寫了合適的文檔，做了合適的活動等，所有內容也將納入各個階段相關驗證報告中。確認活動僅在計劃階段制定確認計劃，中間的階段可以依賴于驗證的結果，對驗證進行確認。因此沒有單獨列出每個階段的確認記錄，但是確認活動貫穿整個生命周期各個階段，每一次的驗證或測試活動完成后，對驗證或測試結果執(zhí)行確認活動。

5 評估過程

5.1 計劃階段

計劃階段包括的文件主要有系統開發(fā)計劃、系統配置管理計劃、系統質量保證計劃、系統安全保證計劃、系統驗證確認計劃、系統RAM管理計劃，測試計劃、驗證確認計劃。計劃是后續(xù)工作開展的指南，是評估工作的基礎。項目開始階段對計劃類文件完整性、正確性的檢查有助于降低項目風險，確保必要的安全保障活動被執(zhí)行，且避免不必要的活動。

5.2 需求階段

關注系統需求規(guī)范的完整性，需求的可追蹤性和相對于設計的可驗證性。需求階段包括的文件主要有系統需求規(guī)范、軟件需求規(guī)范、軟件需求測試規(guī)范、硬件需求規(guī)范和對應的測試規(guī)范。系統需求清楚且全面地定義屏蔽門系統的功能需求，性能需求，質量需求，RAMS需求，接口需求以及環(huán)境需求，并為設計測試，驗證和確認人員在系統設計和評估過程中提供可追溯的源頭，系統需求測試規(guī)范描述了屏蔽門系統的功能測試、性能測試、質量測試、RAMS測試、接口測試和環(huán)境測試的測試方法、過程，目的是規(guī)范系統的最終測試方法、設備、過程等。

5.3 設計階段

設計階段包括系統架構設計、軟件架構設計、軟件模塊設計、硬件架構設計、硬件電路設計和對應的測試規(guī)范。設計階段是最重要的階段，系統的功能性能如何的實現，由哪些子系統完成，全部體現在架構圖上，包括內部子系統之間的接口（PSC與DCU、PSC與PSL等）和與外部系統的接口（PG與SIG、PG與ISCS等）。

5.4 測試確認階段

所有測試規(guī)范需要最終試驗和測試，對屏蔽門系統進行驗證和確認，對于失敗的試驗，需要更改測試規(guī)范。對于不能覆蓋的測試，需重新制定測試規(guī)范。測試包括軟件模塊測試、硬件集成測試、軟件集成測試、系統集成測試、系統需求測試。測試能在工廠進行的則在場內完成，如需到現場測試的，需要到現場測試調試，與其它供應商接口的，需要和其它供應商協調完成，直至全部滿足通過。驗證和確認了需求的正確性、完整性和一致性。

6 審查和評估結論

在適當階段，第三方將進行質量與安全管理現場審計，審核質量與安全活動的流程及如何確保其正確實施。如審核的內容主要有：質量安全管理體系的正確應用;項目團隊組織、角色和職責;質量管理活動，如子供應商管理、內部審計、人員能力管理、配置與變更管理、系統需求管理、生命周期及安全管理活動、危害日志管理、SIL 分配、安全需求識別與追蹤、安全論證的方法、測試和 V&V 的策略及方法。在審核過程中有發(fā)現的不符合項，第三方在審核報告中提出，提交整改措施和證據給第三方審核進行驗證關閉。

7 結束語

如果屏蔽門系統計劃與實施的設計、質量、安全、驗證與確認的整個活動， 符合 CENELEC 標準 EN50126：2017， EN50128：2011和 EN50129：2003 的要求，第三方出具證書和報告說明屏蔽門系統滿足安全完整性等級2級，能授予安全運營權。

參考文獻：

[1]BS EN 50126-2017鐵路適用-可靠性可用性可維護性和安全性的標準與規(guī)范[S].

[2]BS EN 50128-2011鐵路應用——通信、信號和處理系統——鐵路控制和防護系統軟件[S].

[3]BS EN 50129-2003鐵路應用-通信、信號、處理系統-信號安全相關電子系統[S].