宋瑞霞 任颖

湖南中车时代通信信号有限公司 湖南 长沙 410100

一、质量管理概述

人类的质量活动从远古时代的物物交换就开始了，质量的认识历史可以说和人类的历史一样久远，所以人们对质量的概念似乎并不陌生，但是要给一个严谨、科学的定义却并不容易。随着人类的进步，科学的发展，人类对质量的认识也在不断发展，所以质量的概念也就在不断的拓展、深化和完善。休哈特博士在统计质量管理方面是先驱，其定义质量为“产品好的程度”，但是对于这个“好”却没有准确定义，好坏尚未得到定义。著名质量专家则一直倡导“质量=适用性”，强调产品或服务满足用户需求的程度。克劳斯比则认为“质量=符合规范”。在国际标准ISO9000之中，定义质量为一组固有特性，要求其满足要求程度。该定义表达了两重意思，一是广义的质量概念，满足顾客及相关关系人的需要；二是狭义的质量概念，满足质量标准的要求。主要包含以下四个指标：电气性能、结构和工艺等的技术性指标；完成规定功能的能力、寿命特征、利用效率、故障间隔等的可靠性指标；生产、使用、维修等的费用指标；以防对生命财产造成重大损失，影响环境，确保人身和设备的安全的指标。角度不同，对质量的理解就存在很大的差异。相对而言，ISO9000中的定义更为全面，定义中的实体不只局限于产品，而是涵盖了产品设计、制造、质量控制、保证等活动中涉及的所有对象。

二、功能安全管理概述

谢亚莲在“功能安全产品实现技术系列讲座”中提出质量管理体系属于一种系统的、由组织内部建立、为达到质量目标需要而构成的质量管理模式。主要是通过过程管理方法开展系统管理工作，并有机结合资源以及过程。质量管理由一系列过程组成，包括提供资源、管理活动、产品实现、测量、分析以及改进活动；它包括从明确客户需求到产品交付之前对全过程所有的策划、实施、监控、纠正与改进活动的要求，涵盖需求管分析、设计、研制、生产、检测、销售以及产品交付。在安全生命周期中，从需求分析到安全相关系统完成，功能安全管理活动贯穿始终，以确保安全相关系统具有安全的功能。功能安全管理的目的主要是明确电气、电子、可编程电子系统、软件以及整体的安全生命周期中各个阶段所开展的管理活动以及技术活动内容，除此之外，也要明确安全生命周期每一阶段中组织、部门以及活动人员需要承担的责任。因此，功能安全管理属于质量管理体系下的一个重要组成部分。

为了规范轨道交通行业安全相关的电子电气系统，以IEC 61508-2010 标准为基础，国际电工委员会(IEC)对轨道交通行业制定了相关的一系列的应用标准，见图1：

（1）IEC 62278-2002（EN50126），对设计开发全寿命生命周期内的可靠性方面、可用性方面、可维修性方面和安全性方面要求及其相互作用。

（2）IEC 62279-2015（EN50128），从安全相关软件的软件生命周期开始，规定了软件安全完整性等级的软件设计方面的文档要求以及所需使用的如软件技术和方法措施要求。

（3）IEC 62425-2007（EN50129），从质量管理、安全管理和功能技术安全对系统的安全技术、系统要求的安全完整度等级等进行了规范性要求和约束。

（4）IEC 62280-2014（EN50159），该标准规定了通信系统的需求规范和设计，以及对通信方面的要求和计算，以便系统获得指定的安全完整性等级要求。

图1 轨道交通行业功能安全标准

为实现系统的安全目标，根据IEC 62278和IEC 62279标准的要求给出了系统生命周期的构成模型并规定了在系统生命周期的各阶段的安全任务。根据IEC 62425标准的要求，需要从质量管理、安全管理和功能技术安全三个方面来采取措施避免系统性或者随机性失效的安全问题。质量管理措施采用ISO9000质量管理体系，有关活动的执行参照相关质量保证计划。安全计划以及所涉及到的执行记录为IEC 62425标准要求的安全管理证据的组成部分。

轨道交通安全产品通过专业机构的功能安全方面评估和认证已成为市场准入资格之一，因此轨道交通安全产品必须取得第三方安全认证，才能销售。而第三方安全认证公司的功能安全评估工作依据则是IEC 62278、IEC62279、IEC62425。具备轨道交通行业评估资质的认证机构主要有：德国莱茵TUV RL，法国必唯BV，德国北德TUV ND和英国劳氏LR等认证机构 。

三、轨道交通信号系统研发过程质量管理研究

1、研发组织机构设置

根据IEC62425标准，安全产品开发组织机构涉及人员至少包括：项目经理、设计人员、质量人员、安全人员、验证人员、测试人员以及确认人员。可以根据项目实际情况确定是否设置确认经理以及项目管理人员，技术主管领导为公司相关技术负责人。SIL3/4级确认人员与安全人员应独立于项目开发团队，并向技术主管领导汇报，有权阻止产品的通行。

所以轨道交通信号系统项目组织架构必须有安全组、验证组与确认组，强化测试组。SIL1,2级产品开发应采用如图2所示的组织机构。SIL3,4级产品开发应采用如图3、4所示的组织机构。

图2 安全相关产品（SIL1,2级）开发组织机构

图3 安全相关产品（SIL3,4级）开发组织机构一

图4 安全相关产品（SIL3,4级）开发组织机构二

2、研发生命周期设定

IEC62278提出了“V”型系统生命周期模型，明确系统生命周期每一阶段安全性目标以及需要完成的任务，严格把控开发应用系统每个环节，确保整个系统的安全性。轨道交通信号系统在项目开发起始阶段就应建立系统的生命周期模型，产品生命周期从概念开始到停用和处置结束，共包括13个阶段。生命周期包含概念、系统定义、风险分析、需求分析等阶段，能有效的分析出更加完善的系统需求和安全需求。生命周期阶段的划分与定义如下图5所示：

图5 安全产品生命周期图

安全产品研发涵盖范围从“概念1”阶段开始,到“系统确认8”阶段结束。如用户未提供明确的输入文件，则应进行必要的假设，并形成相应的假设性输入文件。在每阶段任务开始时，应具备每阶段的完整输入文件，即上一阶段的所有输出文件。风险分析可以在所定义的系统生命周期中某些阶段重复进行。

3、"V"模型的设定

IEC62278在“V”型模型中，把开发和测试视为同等重要的两个过程，V模型左侧主要分为设计和分析两部分，代表的是系统设计以及实现的过程，而右侧为测试以及确认，主要是对系统需求满足与否进行确认。为了保证开发活动和测试活动一一对应，“V”型模型根据系统层次划分出不同的开发层次和测试层次。轨道交通信号系统开发过程的"V"模型的设定,如图6所示，针对系统需求、单板需求和软件需求,增加系统确认工作、单板确认工作和软件确认工作， 确认工作指的是通过测试以及分析来确定产品各个方面与特定要求相符合。系统结构对应了集成及安装测试,系统验证贯穿系统开发过程"V"模型的各个阶段。

图6 系统开发过程"V"模型

四、结论

本文根据轨道交通信号系统的高安全性需求为出发点，与国际标准IEC 62278、IEC 62279、IEC 62425对质量管理的要求为指引，提出了一套与之相适应的研发过程质量管理方案。相对于通用产品研发流程，此套轨道交通信号系统研发过程管理方案对人员的要求更加严格，对于项目中承担安全、质量审核职责的人员不仅具备资质，而且具有独立性；研发流程阶段的划分更加细致，阶段任务清晰明确，利于安全管理、阶段验证工作开展，利于提早验证系统/子系统的安全要求，利于测试活动的有效开展；同时设定了“V”模型，同等重视开发以及测试这两个过程，通过测试和分析，确定这一系统各个方面均符合特定的要求。