强化全过程安全管理的CTCS-3级列控系统系统评估
2010-07-30黄银霞王俊飞
黄银霞 崔 勇 王俊飞
中铁铁路产品认证中心,100081 北京
*副研究员 **助理研究员
CTCS-3级列控系统的系统评估是我国铁路在传统准入管理的基础上,引进了国外关于列控系统安全管理的良好做法,委托相应的评估审核组织,采用从系统角度伴随项目开发全过程,自上而下、自下而上的评估技术。它强化被评估系统从系统设计、产品开发、生产制造、安装调试、联调联试等全过程的安全管理,降低运营风险,已先后应用于武广、郑西高速铁路。
CTCS-3级列控系统的系统评估要求集成商按照系统评估 4个阶段开展安全管理,运用风险管理技术,识别对系统安全性产生不利影响的因素,通过评估其风险等级和特定系统可接受风险的程度,来确定采取相应的措施。如:在系统设计阶段开展危险分析,形成安全需求和危险日志;在子系统相互认可过程中进行差异识别与差异风险的评估,形成相互认可报告;在验收确认阶段进行风险控制措施与安全要求的总结,形成最终安全例证等。其中,安全计划、风险评估、安全需求、安全案例、相互认可是全过程安全管理和系统评估审核的关键元素。
1 安全计划
安全计划是规定 CTCS-3级列控系统开发项目如何满足安全需求的实施细节和程序。集成商应在CTCS-3级列控系统设计阶段制定安全计划,在经主管部门及相关方同意后,在系统的生命周期内实施、审查和维护。
安全计划应包括:①达到安全性的方针和策略;②计划的范围;③系统描述;④生命周期内项目团体之间的关系、责任、能力及所担任角色的详细说明;⑤系统生命周期与生命周期所从事的安全工作及其依赖性的描述;⑥生命周期内使用的安全分析、设计和评估过程,包括项目中保证人员相应的独立程度,确保和系统风险相匹配;危险识别和分析;风险评估和正在进行的风险管理;风险容许准则;安全需求充分性的确定与审查;系统设计;验证和确认;为获得系统需求与实现一致性进行的安全性评估;为获得管理程序与安全计划一致性进行的安全性审查;为获得子系统和系统安全分析一致性的安全性评估;⑦生命周期中安全相关的可交付性的详细说明,包括文件、硬件、软件;⑧编写系统安全论据的过程;⑨系统安全审批的过程;⑩修改系统的安全审批过程;○11分析运营与维修性能的流程,以保证实现的安全与要求相符;○12安全相关文件维护流程,包括危险日志;○13与其他相关规划和计划的接口;○14计划中的约束与假设;○15分包商的管理安排;○16贯穿生命周期且适合于所考核系统的、与安全相关的周期性安全评审、安全性评估及安全性审查的要求,包括所有人员独立性的要求。
安全计划由项目经理负责制定,也可以委派给资格适宜并且有能力的人员,但是项目经理应负全部责任。
2 风险管理
在铁路安全保障应用中,通常以2种方法来开展安全保障工作:一种是基于风险的方法;另一种是制定非常详细的技术规范,通过遵守技术规范来保证系统达到运营安全。基于风险的方法是通过考虑危险和相应的风险,确保产品、流程和系统安全性,可以分为 2类:一类为对系统可靠性、可用性、可维护性以及安全性 (RAMS)进行管理;另一类是着重对运营安全的管理,即所有工作着重于提高系统的安全水平,见图1。
图1 国外铁路系统安全保障分类
目前,国际上对 RAMS进行全面管理逐渐采用基于风险管理的方法开展安全保障工作。
2.1 风险接受准则
风险评估应识别哪些风险是可接受的,哪些是不可接受,首先需要确定风险接受准则。国际上有3种准则,分别是法国的 GAMAB/GAME、德国的MEM和英国的 ALARP。GAMAB/GAME准则,将安全目标定义为新系统必须具有最好的安全性能,或至少与现有同类系统的安全性能相当;MEM准则将安全目标定义为最小内在死亡率;ALARP准则将安全目标定义为风险低到适当可行。我国武广、郑西 CTCS-3级列控系统的特定应用,均采用了 ALARP接受准则,并引用了京津城际的相关数据。
表1 CTCS-3级列控系统危险事件出现的频度
根据 GB/T21562-2008/IEC62278:2002对危险发生概率的定义,CTCS-3级列控系统危险事故发生频度可划分为表 1中所描述的不同情况。
依据中华人民共和国国务院令 第 501号 《铁路交通事故应急救援和调查处理条例》 (2007年7月 11日发布)和中华人民共和国铁道部令第50号 《铁路交通事故调查处理规则》 (2007年8月 28日发布),以及对人造成后果不同的危害严重性等级,CTCS-3级列控系统可参考表2划分风险后果等级。
表2 CTCS-3级列控系统危险严重等级
对 CTCS-3级列控系统的风险评估,应结合危险事件发生频度及其后果的严重性进行。通常可用“频度-后果”矩阵表来表示,见表 3。
表3 频度-后果矩阵表
2.2 风险评估流程
风险评估是对由一个或者多个危险导致的风险进行评估的过程。风险评估主要是确定危险、评估风险和判断风险容忍度。风险管理还包括确定和采取经济有效的风险控制措施,确保资源可持续不断地用于控制,并将风险维持在可接受的水平。
风险评估通常使用定性、定量或者混合方法的系统和结构化流程,包括风险评估与危险控制 2部分。风险评估和危险控制步骤互相关联,是 CTCS-3级列控系统风险评估流程的一部分,详见图2。
图2 风险评估流程图
风险评估步骤:系统定义;危险识别 (初步和详细),包括危险日志;后果分析;适时的风险评估和 THR(危险失效率)分配。
危险控制步骤:危险控制,包括原因分析和共因分析。
系统定义,是指明确定义系统及其物理和逻辑边界,即与其他系统和环境的接口。理解系统及其环境之间的边界是理解系统可能对事故作出贡献方式的前提条件。环境由可影响系统或者受系统影响的任何事项组成,其中包括与系统连接(机械、气动和电子等),或者通过电磁干扰、压力脉冲和热交换等相互作用的物体。环境也包括可能影响系统及其操作,或受系统及其操作影响的人员和程序。
危险识别,是风险评估流程的基础,是系统安全保证的关键步骤。缺少系统和全面的危险识别阶段可能会严重破坏风险评估流程。风险识别应系统、全面,确保充分考虑人员、流程和系统工作模式(正常、降级和紧急模式)等因素,并将识别结果形成记录,进行分析,以消除相关性,并评估每个危险影响的等级,最终在系统层定义一组具有不同严重等级的可靠的 “危险群”。所有相关方应就危险识别实施的实际范围进行协商。通常将分析限制在可导致人员伤害的危险比较合适。
危险日志,是记录已识别危险和采取或应采取的措施与行动的文件化工具,以将危险减轻到容许等级。危险日志是风险管理流程的中心,应包括一个已识别危险的清单,与每个危险关联的风险分类和风险控制信息,还应包括为建立其他系统或子系统实施安全需求形成来源的措施。从包含项目启动时所确定初步危险日志初始状态开始,危险日志应随系统生命周期内确定的任何进一步危险及时更新,记录危险的处理。
后果分析,包括建立中间条件或者事件,评估危险的发展,以估计导致事故 “危险群”的概率,以及事故可能导致损失的程度。例如,发生列车脱轨后,可能出现桥梁塌在列车上、发生火灾或者释放毒性物质等。
风险评估和 THR分配,是根据规定的风险接受准则进行风险评估和评价。通过测量,根据风险接受准则引入风险降低和/或风险避免措施,将风险降到可接受或者容许的水平,以防出现不可接受的高风险。从与事故相关的事故率和损失容忍度评估,重新计算确定危险的事故率数值,以便为每个危险提供容许标准,将其视为 THR,而 THR也构成了危险控制的输入。
危险控制,系统实现及其安全措施应满足所有的安全要求,例如,通过插入特定的安全功能、保护措施和安全屏障等。使用可能对系统边界构成危险的原因分析,进行系统分析,并用于识别任何其他危险或者结构危险。常用因果分析 (CCF)方法分析安全措施的独立性,然后得出安全完整性(SI)要求,并将其分配给某个功能。危险控制流程参见图3。
图3 危险控制流程图
2.3 风险评估流程的应用
风险评估流程提供给系统不同生命周期阶段安全分析的框架。在此框架内,可使用定性、定量或混合方法开展不同深度的评估,且必须包含在相关阶段的安全计划中,接受评估机构的审核。
2.3.1 初步危险分析
初步危险性分析是第一次危险识别和风险分析,在项目开始时执行。该分析通过其概率和后果严重度的初始评估标注识别危险,并用于确定:①伴随项目的风险范围和程度,并将风险评估流程应用于适当的深度;②在初始设计活动过程中,可以消除或者控制的一系列潜在危险。
应该在开始任何重要的设计活动前,进行初步危险性分析。需要对系统功能、结构,及系统与人员和其他系统接口进行全面的、高层次的描述。在初步危险分析过程中执行的风险分析活动,应该通过严重度和可能性的初始评价,标注识别的危险,并为每个已识别危险的可能性提供目标,以支持初始安全要求的设定。初步危险分析结果应创建风险矩阵,以确定需要采取更详细的分析 (定性或定量分析)。
2.3.2 定性和定量评估
定性风险评估主要取决于该领域专家的判断和可靠的以往经验。定性风险评估适合于系统故障,且用主观和粗糙的方法解决了运营风险。其优点在于无需详细的量化、数据采集或分析,相对简单,且相对于定量风险评估而言更廉价;缺点在于假设需要详尽的文档,且可能不足以做为评估重大风险的惟一依据。
定量风险评估应该旨在降低不确定性的重要性。定量风险评估只能用于随机故障,与定性风险评估基于相同的基本原理,同时使用客观和验证数据、显示处理与输入数据相关的不确定性,以及显示处理所导致风险重要因素之间的相关性等数据建模 (例如,故障树分析和因果分析等)。定量风险评估的优点在于:如果将足够精确的数据用于评估,则比定性风险评估更精确,有助于确定设计缺陷或者安全概念的缺点,有助于将所有风险贡献因素集成到一个总体分布图,由于更详细检查有助于确定隐藏假设,便于更好地理解危险潜在因果关系的重要性。其缺点在于:比较复杂,需要大量的客观数据,不适合于评估系统故障,相对于定性风险评估更昂贵,可能需要重要的资源。
2.4 危险分析方法与工具
危险分析可采用不同的方法和工具。见表4。
3 安全需求与安全完整性
3.1 定义
安全需求是系统评估的核心。系统/子系统/设备的特定安全需求,包括安全功能需求和安全完整性需求,应在安全需求规范中加以确定并文档化,应通过危险识别和分析、风险评估和分类、安全完整性等级分配的方法实现。安全功能需求就是系统、子系统或设备必须具备的实际与安全性相关的功能。安全完整性需求定义了每一安全性相关功能所需的安全完整性 (SIL)等级,如表 5所示。
欧洲各国特别针对列控系统制定了强制性的安全需求规范,确定了定性与定量的安全指标。我国铁路CTCS-3级列控系统尚未形成独立的安全需求标准,目前系统评估中的安全需求以开发商进行危险分析的结果为基础,且仅有定性的安全目标。
表4 失效和危险分析方法
表5 安全完整性等级表
3.2 安全完整性分配
列控系统的安全相关功能是由子系统实现。安全完整性等级被分配给安全相关功能,进而被分配给实现这些功能的子系统,但不继续分配下去。组成子系统的设备安全完整性等级和子系统一样,除非子系统中设备的功能独立性能被证明。以下提供了欧洲列控系统 SIL的 THR的分配原则,可供CTCS-3级列控系统参考。
1.列控系统的作用为 “向司机提供准许其安全驾驶列车的信息,并要求司机注意这些信息”。
2.与列控系统这一作用相关联的严重失效为“超出列控系统给出的安全速度/距离限制”。
3.这一失效属于技术失效,因此其最大发生频度不得超过 2.0×10-9/h·列车,这就是列控系统允许的危险失效率 THR列控。
4.分配原则。在车载设备和地面设备之间进行平均分配,并同时分配系统失效。
通过分配,这些危险事件被定为 “车载事件”“地面事件”或 “非信赖传输事件”,每种事件一开始就分配了三分之一的 THR列控。对应 “传输事件”的功能实际上是由车载设备或地面设备完成的。因此,传输事件一半由车载设备分配,而另一半由地面设备分配。这样就实现了在车载设备和地面设备之间进行平均分配,参见图4。
4 安全案例
安全案例是证明系统符合特定安全需求的文件。CTCS-3级列控系统的安全案例是一个较新的概念,包括 3个不同层面,案例结构如图5所示。
图4 列控系统 THR列控分配示意图
图5 CTCS-3级列控系统安全案例结构
通用产品层安全案例:指可在不同独立应用中重复使用的安全案例,旨在证明可重复使用的产品满足特定的安全目标。
一般应用层安全案例:指可在一类具有共同功能的应用中重复使用的安全案例,旨在证明应用程序或者系统中的产品组合满足特定的安全目标。
特定应用层安全案例:指仅用于某一特定的条件或环境的安全案例,包括特定应用的设计原理和实施过程的安全证据,旨在证明在特定应用的背景和条件下达到系统需求和安全需求的目标。
典型的 CTCS-3级列控系统特定应用安全案例应包括以下内容。
引言:应包括文档目的、适用范围、文档结构、适用的法律法规和标准规范等。
第一部分,系统定义:应包括系统定义、系统控制逻辑的定义、传感器系统定义等。其中系统定义应定义系统的结构和功能、系统性能、记录可追溯性、层次结构定义、文档版本可追溯性;系统控制逻辑的定义应定义系统控制逻辑的结构和功能 (如 CPU板说明、WD板说明、输入/输出板说明等)、记录可追溯性、层次结构定义、文档版本可追溯性;传感器系统定义应定义传感器系统的结构和功能 (如 TRX板说明、PRF板说明、MDR/MMDT板说明、ITR板说明)、记录可追溯性、层次结构定义、文档版本可追溯性。
第二部分,质量管理报告:应包括质量计划、技术检查报告、质量测试报告等。
第三部分,安全管理报告:应包括安全管理概述、安全生命周期、安全组织、安全计划、危险日志、安全需求规范、系统设计、安全审查、验证和确认计划、安全保证、主管部门对系统的审查、运营维护、报废与处理、RAM计划 (和活动)、软件开发计划、配置管理计划等。
第四部分,技术安全报告:应包括技术安全概述、确保功能运行正确、故障影响、运营外部影响、影响安全性的应用条件、系统性能测试、控制逻辑安全技术报告、传感器安全技术报告等。其中,“确保功能运行正确”须描述系统架构、接口定义、满足系统功能需求规范、满足系统安全需求规范、确保硬件功能正确、确保软件功能正确;“故障影响”应描述单一故障、项目独立性、单一故障检测、活动跟踪检测、多重故障、故障防御系统等;“运营外部影响”应描述气候条件、机械条件、海拔、电气条件、车载电气条件、防止未经授权的访问、更严酷的条件;“影响安全性的应用条件”应描述系统配置和制造、运营与维护、运营安全监控、报废与处理; “系统性能测试”应描述测试定义与计划、测试报告。
第五部分,相关的安全案例:车载设备、地面设备及接口的安全案例应作为相关的安全案例简略总结后并入 CTCS-3级列控系统特定应用的安全案例。
第六部分,结论:应包括系统运营和特征汇总。
附录:应列入适用的法律法规、客户输入文档、本计划所需的供应商文档、定义、首字母缩略词和缩略语。
5 子系统及其关键设备的相互认可
在 CTCS-3级列控系统的系统评估中,对于已完成开发的子系统或关键部件,可采用互认性原则,不再次评估,但需要补充对系统特定应用的功能需求、安全需求和危险影响分析的评估。国外供应商的成熟子系统或产品,应提供国外授权机构出具的安全评估报告、许可证书及本项目系统需求、安全需求、安全案例。国内供应商的成熟子系统或产品,应提供主管部门的成果鉴定或技术审查、企业认定或产品认证等审批文件。系统评估审核组按相互认可原则及要求,按成熟、新开发子系统或产品 2种类型进行差异性评价。
相互认可分为 4种情况。
1.国外供应商的成熟子系统或产品,应提供:国外授权机构出具的安全认证证书及安全评估报告;本项目系统需求、安全需求、功能需求差异及其危险分析结果;本项目特定应用的安全案例。
2.国外供应商成熟产品的国产化,应提供:国外授权机构出具的安全认证证书及首件认证证书;工厂测试验证及其验证报告;需求、接口、功能/性能差异 (如果有)及其危险分析;差异及变更部分设计应用、测试验证结果 (如果有);适应本特定应用变更部分的安全案例。
3.国内供应商的成熟子系统或产品,应提供:主管部门的成果鉴定或技术审查、企业认定或产品认证等审批文件;需求差异、设备/接口差异、功能/性能差异及其危险分析;差异及变更部分设计应用、测试验证结果;变更部分的安全案例。
4.国内新开发产品的评估应与现行管理模式相协调。在保证安全的条件下,评估的深度和广度,特别是安全定量指标方面,逐步与国际标准接轨。如武广、郑西 C3新开发临时限速服务器等,原则上应按IEC铁路应用安全标准进行产品层或通用应用层的安全认证。
6 结论
随着列车运行速度和密度的不断提高,CTCS-3级列控系统在高速铁路得到更广泛的应用,以满足国民经济增长的需要。深化研究现代安全保障和风险管理理论,进一步优化系统评估技术,在现行定性评估方法的基础上,逐步向定性与定量结合评估的方法过渡,建立以风险评估、安全完整性为基础,以安全生命周期为导向的 CTCS-3级列控系统系统评估的新模型,逐步与国际标准接轨,确保运输安全。
[1] 张曙光.我国高速铁路安全保障系统研究[J].铁道学报.2007,29(2):20-26;
[2] 季学胜,李开成,杨悌惠.CTCS-3级列控系统的系统评估研究[J].铁道通信信号,2009(6):1-5.
[3] 铁道部.CTCS-3级列控系统总体技术方案,2008,4.
[4] CTCS-3级列控系统系统评估实施办法(V1.0),铁道部,2008,12.
[5] GB/T21562-2008:轨道交通应用 可靠性、可用性、可维护性和安全性规范及示例.
[6] IEC62245-2003:铁路应用通信信号及控制系统-信号用安全相关电子系统.
[7] IEC62279-2001:铁路应用通信信号及控制系统铁路控制及防护系统软件.
[8] ETCS安全性分析 THR分配.
[9] EN 50126-2:EN 50126-1应用安全性指南.
[10] 工程安全管理黄皮书,英国铁路安全标准局,2007,第4版.