中国铁道科学研究院通信信号研究所,100081　北京　＊副研究员　＊＊助理研究员　收稿日期:2009-01-21
我国铁路信号系统安全评估的研究
赵　阳＊
　张　萍＊
　王　鲲
＊＊
摘　要:介绍了我国铁路信号系统安全评估的基础和主要流程,详细阐述了安全评估过程中必须
注意的几个关键概念。

关键词:铁路;信号;安全;评估A b s t r a c t :T h e b a s e s a n d m a i n p r o c e s s o f s a f e t y a s s e s s m e n t o v e r r a i l w a y s i g n a l s y s t e mi n o u r c o u n t r y w a s i n t r o d u c e d t o g e t h e r w i t hd e t a i l e dd e s c r i p t i o no f s e v e r a l k e yc o n c e p t s i nt h e p r o c e d u r eo f s a f e t ya s s e s s -m e n t .K e y w o r d s :R a i l w a y ;S i g n a l ;S a f e t y ;A s s e s s m e n t 随着我国铁路客运专线及高速铁路的建设,越来越多的电子设备被用于铁路信号系统中,提高了系统的整体性,这不仅在技术层面上,而且在管理层面上,都提出了新的安全要求。

因此,为了保证铁路运输的安全,确保我国铁路信号系统满足相应的规范要求,适用于相应的运营环境,借鉴国外信号系统进行安全评估和认证的经验,结合我国铁路运输的具体特点,对我国铁路信号系统进行安全评估研究势在必行。

1　我国铁路信号系统安全评估的基础
20世纪90年代初,I E C (I n t e r n a t i o n a l E l e c t r i -c i a n C o m m i t t e e ,国际电工委员会)制定了安全相关系统的设计和评估标准I E C 61508。

该标准提出了安全相关系统的“安全完整性等级(S I L ,S a f e t y I n t e g r i t y L e v e l )”概念,并以此作为对系统安全的
综合评估指标。

随后欧洲电工标准委员会(C E N -E L E C )基于I E C 61508标准制定了相关的铁路信号系统设计评估标准以及安全认证体系。

这些标准主要包括以下几方面。

1.E N 50126铁路应用:可靠性、可用性、可维护性和安全性(R A M S )规范和说明。

2.E N 50129铁路应用:信号领域的安全相关电子系统。

3.E N 50128铁路应用:铁路控制和防护系统的软件。

4.E N 50159-1铁路应用:在封闭传输系统中
的安全通信。

5.E N 50159-2铁路应用:在开放传输系统中的安全通信。

目前,我国已经完成了I E C 61508标准的等同采标工作,E N 50126/8/9的等同采标工作正在进行中。

因此,完全可以将E N 50126/8/9标准作为我国铁路信号系统安全评估的基础。

2　我国铁路信号系统安全评估的基本流程
通过对世界各国铁路信号系统安全评估体系进行调研,不难发现安全评估分为通用产品(G e n e r -i c P r o d u c t )、通用应用(G e n e r i c A p p l i c a t i o n )和特定应用(S p e c i f i c A p p l i c a t i o n )3类。

无论是针对铁路信号系统做哪一类的安全评估,独立安全评估I S A (I n d e p e n d e n t S a f e t yA s s e s s i n g )都是一个国际上比较通行的做法,它一般由具有专业资质的商业组织承担,由其对铁路信号系统进行独立安全评估,并产生评估报告。

该报告虽然不具有法律效力,但可以作为铁路权威机构判断其是否许可和接收该产品的重要证据之一。

图1给出了国外铁路信号系统的通用接收流程,也间接地显示了I S A 在铁路信号系统许可和接收过程中的地位和作用。

图1　国外铁路信号系统的通用接收流程
独立安全评估可以验证在相应的铁路信号系统中已经采取了合适的安全管理组织、计划、程序、设计标准和安全措施,确认产品相关风险已经降低
到可接受程度,且其安全例证提供了足够的证据,
—
18— 2010年2月铁道通信信号F e b r u a r y 2010 第46卷　第2期
R A I L WA YS I G N A L L I N G ＆C O M M U N I C A T I O N
V o l .46　N o .2　
DOI :10.13879/j .issn 1000-7458.2010.02.005
图2　我国铁路信号系统独立安全评估的基本流程
以表明系统符合安全要求。

针对我国铁路信号系统开展的独立安全评估,虽然尚不能找到具有专业资质的国内商业组织来承
担,但一些在国际上有资质的机构已经在我国开展了相应的业务,可以提供相应的服务。

我国铁路信号系统独立安全评估的基本流程如图2所示。

3　我国铁路信号系统安全评估的关键概念
3.1　全生命周期
E N 50126/8/9标准认为铁路信号系统的安全决
定于产品的全部生命周期,而不只是产品的设计阶段。

因而提出了产品全生命周期模型,并对每个阶段应当进行的安全保障工作和需求提出具体要求。

开发商需要遵循标准规定的每个阶段安全保障工作的具体要求,才可以宣称其产品符合欧洲标准。

而独立评估方需要对开发商是否在每个阶段都遵循了标准规定的安全保障要求和原则进行评估判断。

3.2　安全完整性
产品的安全性能用安全完整性等级(S I L )来
度量。

S I L 用来表示产品在应用中所能达到的安全等级。

安全完整性等级来自系统失效完整性等级和随机失效完整性等级2个方面。

随机失效完整性等级是指由系统(主要是硬件)随机故障产生的风险的大小;而系统失效完整性等级是指(主要是人为错误引入的)系统故障所带来的风险。

产品
S I L 中随机失效完整性等级是可以量化的,
标准对每个S I L 等级都规定了具体的数值。

值得注意的是数值的单位是“每功能每小时可容忍风险发生率”,而一个产品通常具有的功能不止一个。

系统失效完整性等级是不能量化的,标准要求在产品整个生命周期的每个阶段,都要通过完善的安全管理系统(S M S )和质量管理系统(Q M S ),将人为失误可能引入的系统失效完整性等级因素降到尽可能的低。

3.3　可靠性、可用性、可维护性和安全性(R A M S )
尽管E N 50126/8/9标准主要是关于安全的标准,但它同时也涉及到了铁路信号系统的可靠性特性。

标准认为系统的可靠性与安全性共同决定其服务的质量,并且由于列车运行速度的不断提高,传统意义上的一些故障-安全处理,可能需要针对高
速铁路进行重新认识。

4　结论与建议
我国铁路信号系统安全评估借鉴国际铁路安全标准,可以节省大量的时间和精
力,少走弯路,可尽快与国际市场和规范接口。

但是在采用这些标准时,必须注意E N 50126/8/9标准是过程性标准,而不是
技术标准,它的一些要求和建议是根据欧洲法律和人文特点制定,其中有些要求和建议并不适用于中国的法律和人文特点。

同时,国内的开发商对
E N 50126/8/9标准中提到的很多技术和要求没有接触过,对如何做才能符合标准没有基本认识。

因此,在铁路信号系统开发过程初期,严格执行标准是比较痛苦的。

但由于标准的符合性追求本身就需要一个过程,相信在我国铁路信号系统安全评估的探索中,只要坚持,就一定会找到适合我国铁路发展的安全评估方法,从而在技术和管理层面上,为铁路运输安全保驾护航。

(责任编辑:张　利)
—
19—R A I L WA YS I G N A L L I N G ＆C O M M U N I C A T I O N V o l .46　N o .2　2010　。