郝瑞琴

（通号城市轨道交通技术有限公司，北京 100070）

1 概述

铁路信号系统是城市轨道交通系统中主要的系统之一，铁路信号系统主要功能是保证行车安全，提高运输效率。列车行车安全建立在铁路信号系统安全运行的基础之上，从而有必要建立一套系统安全保障管理体系从而保证信号系统在设计、开发、制造、实施等环节能够尽可能的降低风险，保证整个信号系统的安全运营。

城市轨道交通系统中主要的系统之一就是铁路信号系统，铁路信号是铁路信号系统或设备的总称，也是保证行车安全，提供区间和车站通过能力的自动控制及远程控制技术的总称。主要功能是保证行车安全，提高运输效率。信号系统的安全运行得以保证，从一定程度上来说，就使列车的运行安全得到保障。从而有必要建立一套系统安全保障管理体系从而保证信号系统在设计、开发、制造、实施等环节能够尽可能的降低风险，保证整个信号系统的安全运营。

2 相关标准及体系介绍

2.1 系统安全保障管理体系

系统安全的定义是在系统全生命周期内，使用系统安全工程和安全管理方法识别系统中的危害，并采取一定的控制措施使其危害降至最低，从而在规定的范围内使系统的性能、时间和成本达到最理想的安全程度。

通过建立在工程学基础上的概念、方法、工具和技术，来实现系统整个生命周期内安全的过程就是系统安全保障。系统安全保障工作的目的是发现所有可能导致人员伤害、财产损失及负面环境影响的安全隐患及风险，并进行跟踪管理。

系统安全保障管理体系是指围绕城市轨道交通系统安全管理建立一系列组织管理体系、管理程序和具体工作制度，为轨道交通信号系统安全提供可操作的工作流程。具体安全控制方法和技术，可参考EN5012X 标准。

2.2 IRIS标准ISO/TS 22163

国际铁路行业标准(International Railway Industry Standard，IRIS），是专门应用于铁路行业的质量管理体系标准，在2006 年5 月18 日由欧洲铁路联盟针对铁路行业的特殊需求而发布实施。它是在ISO9001 的基础上发展起来的一套铁路行业个性化的管理标准。吸取了ISO9001 标准的精华，在质量体系八项管理原则指导下，采用系统方法，通过全员参与，实现全过程的管理和控制。2017年6 月1 日，IRIS 标准正式晋级为ISO 系列ISO/TS 国际标准，标准号为ISO/TS 22163。ISO/TS 22163：2017 标准根据管理体系标准的高阶结构重新进行章节内容的编排。涵盖了IRIS Revision 02标准原有要求和ISO9001:2015 的所有要求，并增加铁路行业的特殊要求。

3 系统安全保障体系的建立

3.1 系统安全保障体系与IRIS体系相融合

在现有IRIS 质量体系中，虽在设计等方面已包含安全保障工作相关要求，但主要是遵照EN5012X相关标准执行，所以在建立IRIS 体系时，增加安全保障体系相关的详细要求，将系统安全保障管理体系与质量体系有机结合，质量体系分为4 个层次，如图1 所示。

图1 质量体系层示意图Fig.1 Schematic diagram of the quality system layer

按照不同体系的不同层次，将系统安全保障的要求融入质量体系。

1）A 层次

政策方针：将公司安全方针、安全保障管理融入IRIS 体系中《管理手册》，作为公司体系A 层次文件。

2）B 层次

安全保障流程：建立了B 层次安全保障体系文件《安全保障控制程序》，根据EN5012X 标准定义安全保障通用流程；根据系统集成特定应用项目、研发产品项目的项目类型不同，结合项目实施过程将各阶段安全保障流程融入系统集成控制程序以及应用科研控制程序。

分包商的安全保障管理：将对供应商的安全保障要求增加到供应商选择评定标准中，融合至《供应商管理程序》；《合同控制程序》在合同评审流程中，增加对安全保障内容的评审内容，针对分包商合同中提出安全保障工作的要求等内容。

3）C&D 层次

安全保障流程指导：在B 层次安全保障体系的基础上，为了更好地指导项目具体如何开展安全保障工作，建立C 层次及D 层次的指导手册和模板，如建立《系统集成安全保障作业指导书》，定义项目每个生命周期阶段安全保障工作如何开展以及相关参考的模板文件如何使用。

安全验证与确认：将《安全保障控制程序》中涉及到的验证和确认活动，根据项目类型不同分别制定C 层次及D 层次的指导手册及相关文件模板，如制定系统集成安全确认活动作业指导书、系统集成验证活动作业指导书、安全产品系统及软件确认作业指导书、安全产品系统及软件验证作业指导书。

人员能力评定及培训：在既有人力资源管理中岗位职责要求中明确参与安全保障相关人员在系统安全方面能力要求以及评定标准；并将安全保障相关培训要求纳入到年度培训计划中。

风险评估标准确认：为了便于后续项目执行，在投标过程中，根据招标文件要求，增加对投标项目安全保障工作及评估内容。在安全保障相关投标文件的模板中增加所采用风险矩阵的内容。

3.2 融合体系时遇到的问题

IRIS 标准中验证与确认的概念与EN50126/EN50128/EN50129 中大致相同，但对于不同的咨询公司老师、不同的项目经验的人理解不同；不同的公司在工作职责分工不同，可能使得所定义验证与确认的工作有所不同。需要根据公司各部门职责分工，定义适合公司的验证与确认相关体系文件。EN5012X 与IRIS 标准中关于验证与确认的分析如表1 所示。

通过分析两个体系中针对验证与确认的差异性主要在组织结构及独立性要求、输出交付物以及实施确认活动时是否需要用户参与要求存在差异性,但在IRIS 标准中7.3.6 章节定义安全产品的设计和开发过程须遵守适用标准（如IEC62278(EN50126）、IEC62279(EN50128)、IEC62425(EN50129)),所以项目组织结构中设置确认工程师角色，独立于项目组，设置项目组内的验证人员，主导、参与项目的验证与确认工作，验证、确认活动是由多功能团队在项目各个阶段环节完成。由验证、确认人员根据验证和确认计划完成相应的活动后，总结形成相应的验证报告和确认报告。另外用户的初步验收、最终验收等活动用户参与的项目活动是一种确认活动。但是在实际执行过程中，安全评估工作与业主验收为两条工作主线。用户验收活动的证据可以作为确认的证据，但并不是必要条件；系统的各种分析、测试、评审等的结果证据也可以作为系统的确认。

4 体系运行情况

按照已建立的安全保障体系开展系统集成工程项目的安全保障工作，相应的系统集成工程项目均获得了载客试运营的安全授权。但在实施过程中发现其中涉及到的主要安全分析流程通常为按照阶段性进行初步危害分析、系统危害分析（含接口危害分析）、操作与支持危害分析等；系统集成项目中各既有安全相关产品，已完成产品层安全评估；项目危险源分析活动中更侧重于系统级、外部接口、子系统接口、数据准备过程以及对集成过程中各个子系统安全相关应用条件是否满足的分析，完成产品层安全需求到工程项目的传递。但在系统集成工程项目实施安全保障过程中发现：

1）当不同系统集成项目所采用的信号系统均为相同系统结构以及功能时，项目的安全分析活动如何开展既能够分析充分又能提高效率，并更加抓住项目特点，关注项目特殊点；

2）不同项目由于参与分析人员的能力、经验等造成同类项目分析结果的差异性；

3）由于系统集成项目工程现场实时情况，可能存在多次分段开通等情况，造成危害日志安全管理的维护工作量较大，且容易遗漏相关证据。

5 体系优化及总结

针对体系运行过程中遇到的问题对体系优化方案如下。

可通过积累和总结，基于既有产品需求开展基础版本的危害分析活动，形成相应的危害清单及安全措施清单，可形成公司级的“危害库（含安全措施）”，并且可以列举参考的关闭证据。既有产品在系统集成工程项目应用时，首先识别与既有产品需求的差异，如无差异时，可直接参考公司级“危害库”。存在差异时，针对此项目的特殊点着重开展危害分析，将特殊的新识别的危害增加至工程的危害日志中管理。

表 1 EN5012X与IRIS标准中关于验证与确认的分析表Tab.1 Analysis Table of Verif ication and Conf irmation in EN5012X and IRIS Standards

由于系统集成项目工程现场实时情况，可能存在多次分段开通等情况，造成危害日志安全管理的维护工作量较大，且容易遗漏相关证据；在危害日志中增加了证据列表，用于管理所有关闭危害的证据，多次分段开通以及后续软件升级等进行危害管理时，主要在于增加证据列表证据降低维护工作量。