系统安全保障体系的应用和实践
2017-01-09杨凯
杨 凯
(1.北京全路通信信号研究设计院集团有限公司,北京 100070;
2.北京市高速铁路运行控制系统工程技术研究中心,北京 100070)
系统安全保障体系的应用和实践
杨 凯1,2
(1.北京全路通信信号研究设计院集团有限公司,北京 100070;
2.北京市高速铁路运行控制系统工程技术研究中心,北京 100070)
介绍铁路信号系统的安全保障理论和标准,结合项目实际情况从安全工程师的角度描述安全保障理论和标准在项目中的应用和实践,主要体现在项目组织,安全活动和生命周期活动3个方面。项目的成功实施和积累的系统安全保障经验将对以后安全项目的开展提供很大帮助。
铁路信号系统;安全保障;安全标准;安全活动;生命周期;风险
1 背景
铁路信号是以保障铁路运输安全为目标,铁路信号设备发生故障、错误或失效时,应自动显示停车信号以确保行车安全,这一要求被称为铁路信号故障-安全原则。
列车运行速度越高对通信信号的依赖性越强,计算机时代列车运行控制系统的主要特点是系统功能强大,硬件集成度高,软件越来越多地参与系统的控制和管理,系统复杂性提高的同时,也导致系统在设计、开发和定位错误等方面越来越困难。这就要求采用适应现代技术和器件水平的安全系统设计分析方法及标准。本文是笔者担任安全工程师期间,结合自身理解和实际工作,总结出的安全系统设计开发应遵循的标准和流程。
2 概述
以前铁路产品均是研制完成后经过审查和鉴定然后上道使用。随着安全意识的不断提升、欧标安全标准的引进以及第三方安全认证的要求,需要从系统研发过程就开始进行控制和管理,从而保证系统的安全可靠。具体体现在如下两个方面:
1)建立安全评估机制
先进的信号系统是高技术、高投入、高风险的产品。欧洲和其他国家在铁路信号领域已形成完整和成熟的安全评估与认证体系,并得到广泛使用。在通信信号快速发展的机遇下,需要采用或借鉴欧标安全标准,建立安全评估机制。
目前本公司参考了欧标、国家铁路标准,制定并实施了一套安全保障体系,所有安全系统均需达到SIL4级要求。
2)加强通信信号核心技术的研究
借鉴国外经验,开发基础故障安全信号系统平台和系统架构,这样就可以根据具体系统的应用需求进行应用软件的开发,即可形成新系统。
目前,公司所有安全相关的系统均配置故障安全信号系统平台,如GSSAP,DS6-60和DS6-K5B等。
因此对于涉及安全的系统需要由安全的硬件,安全的软件以及完善的安全流程来保障。
3 安全理论和标准
安全不是绝对的,而是通过系统性的技术和管理等手段将风险降低到可以接受的程度。欧洲系列安全标准的安全理念是:采用全面生命周期的观念来评估和管理风险。强调安全技术和意识应当贯穿于系统设计、开发、生产、装备、维护全过程中,而不是在系统生产后再考虑系统的安全问题。欧标及覆盖范围如图1所示。
图1 欧标及覆盖范围图
1)EN50126∶1999——可靠性、可用性、可维护性和安全性(RAMS)规范,该标准定义了系统的RAMS(reliability、availability、maintainability 和safety),即可靠性、可用性、可维护性和安全性,并且规定了安全生命周期内各个阶段对RAMS的管理和要求。要求在整个安全生命周期进行RAMS管理,针对每个阶段给出应需要完成的RAMS任务,同时给出相关的具体文档和要求。[1]
2)EN50128∶2001——铁路应用:通信、信号和处理系统—铁路控制和防护系统的软件,是针对软件的安全保证提出的规范和设计标准。在该标准中,对铁路控制和防护系统软件进行安全完整等级划分,针对不同的安全要求制订相应的标准,包括对软件需求规格书、测试规格书、软件结构、软件设计开发、软件检验和测试、软硬件集成、软件确认评估、质量保证、生命周期、文档等提出相应的程序与规范要求。[2]
3)EN50129∶2003——铁路应用:通信、信号和处理系统—铁路控制系统领域的安全相关电子系统,该标准主要内容:a.质量管理措施;b.安全管理措施;c.功能和技术安全措施;d.安全接收与审批;e.安全例证报告;f.技术、工具和过程。[3]
4)EN50159-1∶2001——铁路应用:通信、信号和处理系统—在封闭传输系统中与安全相关的通信,其适用于采用封闭传输系统实现通信目的的安全相关系统,是对安全相关设备和传输系统的通信接口信息传输的安全要求。[4]
封闭环境下安全相关通信模型如图2所示。
IRIS(International Railway Industry Standard)是运用于评估铁路行业质量管理体系的一套标准。该标准架构在ISO 9001基础上,适用于轨道交通行业有设计、制造、维修活动的组织,IRIS认证所涉及到的是整个轨道交通行业。对于铁路通信信号系统来说,IRIS规定必须遵循上述标准。
除了上述国际标准,还必须遵守国家及铁路行业指定的相关标准。
4 实践
笔者作为安全工程师,主要职责是:1)负责安全计划等安全管理文件的编制;2)组织系统技术方面的风险分析工作,并维护危险源日志;3)负责项目的安全管理,监督项目安全保障活动的实施。
图2 封闭环境下安全相关通信模型
下面从安全工程师角度介绍项目组开展安全保障活动的实际情况。
4.1 项目组织
根据上述理论和标准,对于安全系统开发,按照图3所示组织结构成立了项目组。
图3 项目组织结构图
所有安全相关项目成员均通过安全培训。
严格明确系统研发、测试验证和确认工作分别由不同的人员来承担,验证工程师独立于确认工程师,且验证工程师、确认工程师均独立于软件工程师/测试工程师。
为了强化安全产品的“独立”确认职责,公司设立了独立的安全管理机构——安全保障中心,确认工程师由安全保障中心同事担任且不受项目经理控制,可以在必要时控制产品研发、验证进程,以确保产品开发过程满足欧标相应安全完整度等级的要求。公司质量安全总监负责项目的安全批准。
4.2 安全活动
在生命周期的各阶段均涉及的安全活动如图4所示。
对各离散安全活动的描述如表1所示。
对于危险日志更新,安全验证、确认、审核评估属于连续安全活动,在生命周期的各阶段都会执行。
4.3 生命周期活动
图4 安全活动图
下面详细介绍项目组在生命周期各阶段进行的安全相关活动,如图5所示。注意在生命周期的每个阶段结束时均要验证该阶段的需求是否满足前一阶段的输出,以及本阶段的输出是否实现本阶段的需求活动。验证的主要手段包括审核、分析与测试,阶段性审核和评审。
4.3.1 系统定义和计划阶段
在此阶段进行的安全活动包括:1)确定系统危险源识别的范围;2)进行初步危险源识别和RAMS分析;3)分析系统的RAMS指标;4)确定项目具体RAMS目标和策略;5)建立安全保障活动计划,包括项目策划、安全计划、测试计划、验证计划、确认计划和软件质量保障计划。
常用的危险源识别技术和方法有以下几种:1)头脑风暴(基于经验);2)危险和可操作性研究(HAZOP);3)检查表;4)SWIFT(基于结构的what-if技术,预先根据任务分解后的每个子任务,准备很多“如果某种情况发生,会怎么样”的问题,然后组织大家依次回答问题,以找到危险源的方式);5)故障模式影响分析(分析系统中每一元素所有可能产生的故障模式及其对系统造成的所有可能影响,并按每一个故障模式的严重程度、检测难易程度以及发生频度予以分类的一种归纳分析方法)。
表1 离散安全活动表
图5 系统生命周期划分及主要活动
在本项目中,根据不同的场景基本用到了上述所有5种方法。
4.3.2 风险分析阶段
风险分析的目标是:1)识别系统相关的危险源;2)识别导致危险源发生的事件序列;3)评估危险源相关的风险;4)确定适当的风险控制或缓解措施;5)建立和维护危险源日志;6)形成安全需求和安全应用条件。
在此阶段进行的安全活动包括:1)进行初步危险源分析、系统危险源分析、子系统危险源分析、接口危险源分析、运营安全危险源分析和故障模式影响分析;2)回顾并更新安全计划;3)建立危险源日志;4)编制风险分析报告。
危险来源主要包括源于系统内部、外界原因和人员因素,危险分析流程总结如图6所示。
图6 危险分析流程图
危险日志用于记录项目中识别危险的当前状态,以及对危险的移除、控制或缓解措施。危险日志内容包括:1)危险描述;2)危险ID;3)原因;4)后果;5)(初始的、最终的)风险指数;6)控制措施;7)负责人;8)状态等。
安全相关应用条件的来源包括:1)从子系统输入的安全相关应用条件;2)对于那些不能被子系统/模块/接口实现的安全相关应用条件,将由子系统/模块/接口层次传递到本系统层次,并被本系统继承。若依靠系统层次仍然无法完全解决,需要向其他相关法提出安全应用条件;3)由本系统向其他相关方提出的安全相关应用条件:对于本系统层次无法满足的安全需求,会产生相应的安全相关应用条件,系统根据相关的途径,将安全相关应用条件传递给责任方。
本项目属于应用类型的开发项目,需要继承平台的危险日志和安全相关应用条件,而没有分析平台内部范围的风险。在进行危险分析时,将平台作为黑箱处理,平台所含有的潜在危险从平台的危险日志得到,这些危险或者通过平台的设计得到控制,即关闭了的危险;或者平台控制不了的危险,移交给外部控制,即平台的安全相关的应用条件。项目充分考虑这些安全相关应用条件并加以控制。应用类型的开发项目主要考虑应用本身的危险、应用和环境的接口危险及人员操作危险。
4.3.3 需求规范阶段
该阶段进行的安全活动包括:1)收集、分析并制定RAMS需求规范;2)实施本阶段的风险分析,包括系统危险源分析;3)更新危险源日志。
安全需求来源包括危险源日志、外部系统安全相关应用条件、相关标准或规范等,必须标识出每条安全需求,并对其进行风险分析。由于本项目系统规模小,需求或危险源数量较少,所以采用了EXCEL进行危险源日志的维护和管理。
4.3.4 设计与实现阶段——概要设计子阶段
该阶段进行的安全活动包括:1)明确子系统和模块的RAMS需求;2)对子系统和模块持续进行安全风险分析,包括系统风险分析、子系统风险分析、接口风险分析和操作与安全危险分析,产生子系统和模块安全需求,并更新危险日志和安全需求规范等文档。
4.3.5 设计与实现阶段——硬件设计与实现子阶段
该阶段需要进行的安全活动包括:1)故障模式影响分析;2)充实一般产品/一般应用安全例证的内容;3)分析、验证RAMS指标是否满足;4)开展硬件制造设计、工艺影响分析(由生产企业进行);5)编制硬件生产技术需求规范作为对制造环节的输入;6)编制对安装环节输出的安装手册和安全相关应用条件。
由于目前公司对所有安全相关系统均以统一的平台为基础,因此硬件设计与实现均归入了平台项目,系统所采用的硬件平台已通过安全认证,平台满足EN50129相关要求。
4.3.6 设计与实现阶段——软件设计与实现子阶段
该阶段进行的安全活动包括:1)制定软件质量保障计划;2)编制软件需求规范;3)完成工具安全保障分析和操作系统安全保障分析;4)分析并验证RAMS指标是否满足。
其中工具安全分析的内容包括:1)工具识别及分类;2)工具需求(为什么要用工具);3)工具选择;4)工具应用(如何使用工具、配置项及理由);5)风险识别(引入什么风险);6)风险控制(通过什么手段对风险进行控制)。
4.3.7 设计与实现阶段——模块测试、软硬件集成测试子阶段
该阶段无特殊安全活动相关要求,主要保证按照测试规范执行,设计出完整测试用例,确保每条测试用例均得到执行。4.3.8 系统测试阶段
该阶段进行的安全活动包括:1)确认系统满足包括RAMS需求在内的系统需求,;2)对剩余系统风险进行评估;3)对系统进行型式试验;4)根据硬件生产技术需求规范编制验收方案并进行验收活动;5)编制安全例证(包括安全相关应用条件)。
其中安全例证的核心内容包括:1)说明系统可能的危险源,尤其是可能造成严重后果的危险源;2)提供证据说明已经采取相对应的安全措施,系统遗留的风险是可以容忍的。
4.3.9 试验与应用阶段—现场试验
进行的安全活动包括:安装试点检查。4.3.10 系统确认阶段
由独立确认工程师根据确认计划,对中间过程进行确认,并出具确认报告。
4.4 结题阶段
在项目结题阶段,项目出示了满足如下条件的产出:
1)具备所有文档,且每个文档版本、修改历史等均具有可追溯性;
2)所有需求均具有可追溯性,需求→设计→代码→测试→Bu→发布。任何不可追溯的部分均证明其与安全完整度无关。
3)危险源的可追溯性,确保每条危险源均对应到安全需求并得到妥善解决,确保每一个安全需求均得到满足和实现。
由独立第三方机构主要通过审核的方式对项目进行验证,验证内容包括:
1)对危险源是否关闭进行审核;2)审核安全管理过程;
3)审核质量管理过程。
而审核方式也有多种形式,包括:
1)现场审核(如配置管理审核,软件开发审核,质量审核等);
2)文档审阅;
3)面试项目组人员;
4)见证项目活动,如参与、见证项目日常工作,见证测试等。
5 总结语
安全生命周期强调安全技术和意识应当贯穿于系统设计、开发、生产、装备、维护全过程中,而不是在系统生产后再考虑系统的安全问题。从事安全保障活动需要时刻保持安全意识和责任感并做到细心和耐心,必须掌握相关的安全标准和过程并遵照严格执行。
安全标准是比较宽泛和抽象的,必须针对项目本身量体裁衣,为此公司根据标准和项目类型选定需要遵守的标准条目并做了适当的调整。项目组每个成员均参与安全理论和安全活动相关的培训,对应用开发类项目需要遵守的安全活动和流程比较熟悉并积极配合,从而在生命周期活动执行过程中发现和弥补了不少安全问题和漏洞,并最终更加认识到安全保障的重要性。
经过不懈努力,项目组研发的安全系统顺利拿到安全完整性等级SIL4级证书,为以后安全项目的开展积累了丰富的经验。
[1] EN50126 铁路应用:可靠性、可用性、可维护性和安全性(RAMS)规范和说明[S].ERTMS,1999.
[2] EN50128 铁路应用:铁路控制和防护系统的软件[S]. ERTMS,2011.
[3] EN50129 铁路应用:铁路控制系统领域的安全相关电子系统[S].ERTMS,2003.
[4] EN50159-1 铁路应用:通信、信号和处理系统—在封闭传输系统中与安全相关的通信[S].ERTMS,2001.
The paper introduces safety assurance theories and standards for railway signal systems. According to the project implementation, the paper describes the application and practice of safety assurance theories and standards in view of a safety engineer, mainly involving three aspects of the project organization, safety activities and life cycle activities. The success of the project and the experience in safety assurance can provide help for the future safety projects.
railway signal system; safety assurance; safety standard; safety activity; life cycle; risk
10.3969/j.issn.1673-4440.2016.06.028
2015-11-13)
