曹雪凤

（北京全路通信信号研究设计院有限公司, 北京 100073）

曹雪凤，女，硕士毕业于北京交通大学，工程师,质量安全部副经理。主要研究方向包括科研项目管理、质量管理、安全管理,曾参与C3实验室建设项目、国家科技支撑计划项目。

当今社会，高速铁路迅速发展，速度已高达300 km/h，安全性、可靠性、可用性和可维护性是高速铁路通信信号系统的关键要求。其中，铁路通信信号系统自身的安全性是系统可靠、高效运行的前提。因此，在对铁路通信信号系统的运营规则、主要设备和技术进行规范的同时，还提出了系统安全评估的概念。旨在通过安全评估过程，完善系统安全保障流程，降低系统的安全风险。

1 安全评估

由于铁路通信信号系统的技术复杂性和管理复杂性，项目存在大量的安全技术和安全管理工作。因此，在铁路通信信号系统引入安全评估，并将系统评估结论作为判断是否具备开通运营条件的重要依据。在评估过程中，系统集成商需要向系统评估方提供足够的安全证据，证明已经采取了足够的质量、安全管理措施及技术安全措施，并提供了充分的安全证据，系统风险已经被控制在业主的可接受范围内。

2 安全评估方法

目前国际上通行的做法是通过独立安全评估保障铁路通信信号系统的安全性。安全评估要求在铁路通信信号系统方案、设计、制造、运行安全过程中进行安全管理和监督，对铁路通信信号系统的技术安全证据审查，分析系统开发过程中固有的或潜在的危险因素，论证技术措施的合理性，安全措施的充分性，最后向业主出具安全评估报告。

2.1 内部安全评估

2.1.1 内部评估的目的

当项目未设置外部独立安全评估机制时，内部独立安全评估作为替代外部独立安全评估的机制，完成外部独立安全评估的功能；当项目设置外部独立安全评估机制时，内部独立安全评估作为项目承担单位安全机构管理项目安全的重要手段。内部独立安全评估的目的是，通过对项目承担单位对项目的执行进行安全审核与安全评估，以保障安全相关项目所含有的风险降低到法律法规规定的和/或合同规定的可以接受的程度。

2.1.2 与外部评估的关系

内部独立安全评估活动是项目承担单位内部承担项目的安全保障措施，评估的目的、手段、方法等都应遵循铁路行业第三方独立安全评估的一般惯例。评估团队由于来自项目承担单位内部，不具备公司级别的独立性，但评估工程师在执行评估工作时应当按照独立性的要求进行工作。

2.1.3 独立评估活动

内部独立安全评估应是基于风险的评估和过程符合性的审核的结合。安全评估的活动包括审核项目安全计划，审核项目活动，检查项目安全记录，见证/参与项目活动等。安全评估工程师应通过这些活动来确认项目是否确立了足够的/正确的安全目标；是否按照行业惯例/标准的要求执行项目；是否按照组织质量安全体系的要求执行项目；是否存在影响安全的因素，并将这些因素及时告知项目和相应的安全机构，使得项目可以按照合乎要求的方式执行；从而项目成果能够达到要求的安全目标。

内部安全评估需要设置专门的项目安全保障组织，完成下面的工作。

1）项目安全保障工作。主要针对系统、子系统等各个层面不同阶段的危险分析、危险日志、安全需求、安全相关应用条件的管理；不同系统层次、不同分包商的安全协调。

2）项目安全监视工作。主要包括定期不定期的安全审核；对项目验证与测试工作的见证与抽检；系统层面的安全确认；企业内部安全评估和安全里程碑管控。

2.2 外部安全评估

2.2.1 外部安全评估原则

外部安全评估是项目承担单位以外的独立第三方评估机构对系统进行的基于风险的评估和过程符合性审核。外部安全评估应遵循以下几个原则。

1）独立性原则：系统评估工作由相对独立于其生产和设计单位的第三方评估机构牵头，可联合国内科研院校及相关单位，适当引入国外有资质的评估机构及专家进行技术咨询，以保证评估结果的客观性、公正性和权威性。

2）系统性原则：系统评估涵盖从系统设计开发到系统应用的全过程，增强系统生命周期内的安全保障。

3）整体性原则：对系统具体应用的安全案例（包括所有核心部件、设备、子系统的必要信息和安全证据）进行整体评估。

4）结合性原则：系统评估不仅对系统需求、安全需求和安全案例等关键证据进行审查，还应在系统开发过程中，对室内仿真测试、试验线实车运行试验以及联调联试等不同阶段的验证、确认活动进行同步检查和审核，以确定CTCS-3级铁路通信信号系统的功能及技术性能是否符合需求。

5）互认性原则：已获得安全认证或许可的产品，不重复评估。

2.2.2 外部安全评估机构要求

铁路通信信号系统是一个极其复杂的系统，对其的安全评估存在一定的难度，因此对外部安全评估机构的要求也非常高。系统评估机构应具备的条件包括：1）具有独立的法律地位；2）按照ISO导则65（EN45011）《产品认证机构通用要求》或ISO17020《检查机构能力的通用要求》建立系统评估管理体系；3）具有系统评估相关的各类专业人员，并建立完善的系统评估人员评价注册管理制度；4）具备与系统评估相适应的风险保障机制。

3 安全评估步骤

3.1 内部安全评估

安全评估的活动包括审核项目安全计划，审核项目活动，检查项目安全记录，见证/参与项目活动等。安全评估工程师应通过这些活动来确认项目是否确立了足够的/正确的安全目标；是否按照行业惯例/标准的要求执行项目；是否存在影响安全的因素，并将这些因素及时告知项目和相应的安全机构，使得项目可以按照合乎要求的方式执行；从而项目成果能够达到要求的安全目标。内部独立安全评估应是基于风险的评估和过程符合性的审核的结合。

3.1.1 评估流程

内部评估流程主要包括制定计划，执行阶段评估、审核，报告等几个主要活动，如图1所示。

图1显示的是一般内部评估流程，根据被评估的项目，评估工作可以被划分为一个或多个评估阶段。而一个评估阶段又可以划分为一个或几个审核阶段。评估和审核阶段的划分应该随被评估项目的安全生命周期确定。

3.1.2 内部评估与项目关系

内部评估与被评估项目同步进行，评估阶段与项目阶段同步，如图2所示。内部独立安全评估流程应随项目的开展而进行，评估应基本与项目同时开始，如图2所示。

图2显示了内部独立安全评估工作与被评估项目的关系，左侧为被评估项目，项目评估阶段应按照项目阶段进行，分为若干阶段，有的项目还有里程碑。图右侧显示内部独立安全评估活动及输出。评估活动随着项目进展而开展，通过评估活动评估项目是否按照评估标准的要求开展。在每个阶段产生并提交评估报告，报告中对不符合评估标准的事项进行说明，供项目组调整修改。

3.1.3 评估活动

内部评估活动主要包括以下内容。

1）制定评估计划（包含审核计划）；

2）审核项目安全保障文档；

3）分阶段审核项目执行情况，包括阶段审核，告知项目审核结果，监测项目改正情况，编写阶段安全审核报告等工作；

4）进行阶段评估工作，编写阶段评估报告；

5）进行安全评估，并编写最终评估报告。

3.2 外部安全评估

一般对于业主要求的必须由独立第三方评估机构评估的项目必须有第三方评估。第三方评估流程如下。

1）系统评估机构会同系统承包商（集成商）、供应商或其他委托方确定评估需求、评估范围，签订评估协议；

2）系统评估机构提出评估计划；

3）被评估单位建立安全组织与质量管理组织，准备相应的安全案例和试验验证报告；

4）系统评估机构对系统的安全性和功能/性能的符合性进行审核、见证与评估；

5）系统评估机构向委托方出具系统评估报告。

目前，我国的铁路通信信号系统安全评估工作刚刚起步，直接选用国外独立的安全评估机构，评估周期长，费用高，也不适合我国复杂的铁路运输要求。因此在发挥我国既有的安全管理经验的基础上，借鉴国外安全评估的成熟经验，选择国外的独立安全评估机构进行咨询，开展评估工作是切实可行的。这样既为我国铁路通信信号系统的安全评估工作积累经验，也为我国铁路安全评估工作在国际上得到认可打下基础。

4 结论

本文从内部/外部角度对铁路通信信号系统的评估过程进行分类，分别对二者的概念、原则与流程进行了解释，并针对如何提高安全评估手段的有效性、实用性等问题进行了探讨。目前，内部安全评估和外部安全评估都已经应用于已上线铁路通信信号系统的安全管理中。

[1] BS EN 50128 Railway applications —Communication, signalling and processing systems —Software for railway control and protection systems[S].2011.