鐵路信號(hào)系統(tǒng)集成項(xiàng)目安全風(fēng)險(xiǎn)鏈的管理

吳炳昊

我國(guó)產(chǎn)品進(jìn)行歐洲CENELEC標(biāo)準(zhǔn) （EN 50126、EN 50128、EN 50129等）的認(rèn)證已經(jīng)多年，也頒布了相應(yīng)的國(guó)標(biāo) （GB／T 21562－2008、GB／T 28808－2012、GB／T 28809－2012）。在城市軌道交通領(lǐng)域，已有多條線路進(jìn)行了基于歐標(biāo)的系統(tǒng)集成項(xiàng)目安全評(píng)估。在我國(guó)，軌道交通信號(hào)系統(tǒng)集成項(xiàng)目的獨(dú)立第三方安全評(píng)估已經(jīng)成為趨勢(shì)。

在實(shí)施信號(hào)系統(tǒng)集成項(xiàng)目獨(dú)立第三方安全評(píng)估時(shí)，遇到了一些疑問。例如：信號(hào)系統(tǒng)集成項(xiàng)目與信號(hào)產(chǎn)品科研安全分析的差別是什么，如何進(jìn)行；我國(guó)信號(hào)系統(tǒng)集成項(xiàng)目有其自身特點(diǎn)，如何處理；系統(tǒng)安全性是一個(gè)系統(tǒng)工程，如何進(jìn)行安全風(fēng)險(xiǎn)鏈的管理等。本文就實(shí)際工作遇到的疑問，結(jié)合在信號(hào)系統(tǒng)集成項(xiàng)目中的經(jīng)驗(yàn)，對(duì)信號(hào)系統(tǒng)集成的安全風(fēng)險(xiǎn)鏈管理進(jìn)行探討。

1 歐標(biāo)安全分析理念

歐標(biāo)中安全分析的基礎(chǔ)是嵌套式的系統(tǒng)結(jié)構(gòu)劃分和危險(xiǎn)傳遞。嵌套式的系統(tǒng)構(gòu)成，即系統(tǒng)由子系統(tǒng)構(gòu)成，子系統(tǒng)又細(xì)分為子子系統(tǒng)，系統(tǒng)結(jié)構(gòu)可一直進(jìn)行迭代細(xì)分；危險(xiǎn)傳遞是指系統(tǒng)／子系統(tǒng)將自身未進(jìn)行處理的危險(xiǎn)事件輸出給外部環(huán)境 （上層系統(tǒng)或外部環(huán)境），由上層系統(tǒng)或用戶對(duì)這些危險(xiǎn)事件進(jìn)行安全防護(hù)。這個(gè)思想可以用圖1來表示。

圖1 嵌套式系統(tǒng)構(gòu)成及危險(xiǎn)傳遞

多層 “嵌套式”系統(tǒng)的安全分析，通常要考慮3層相關(guān)的系統(tǒng)／子系統(tǒng)。以子系統(tǒng)D為例：需考慮子系統(tǒng)D包含的內(nèi)部子系統(tǒng)X、Y、Z，需考慮子系統(tǒng)D本身以及與其接口的同層面的子系統(tǒng)A、B、C，以及子系統(tǒng)D的運(yùn)行環(huán)境 （即整體鐵路信號(hào)系統(tǒng)）。

系統(tǒng)／子系統(tǒng)通過安全相關(guān)應(yīng)用條件進(jìn)行危險(xiǎn)傳遞，這些安全相關(guān)應(yīng)用條件是對(duì)外部 （上層系統(tǒng)或用戶）的限制或要求。這些條件，其來源可能為其他系統(tǒng)／子系統(tǒng)的安全相關(guān)應(yīng)用條件或是自身新增。各系統(tǒng)／子系統(tǒng)的安全相關(guān)應(yīng)用條件傳遞給上層系統(tǒng)或用戶，由上層系統(tǒng)或用戶對(duì)這些安全相關(guān)應(yīng)用條件進(jìn)行處理；上層系統(tǒng)或用戶應(yīng)對(duì)其使用的所有系統(tǒng)／子系統(tǒng)的安全相關(guān)應(yīng)用條件進(jìn)行處理。每個(gè)層面的安全相關(guān)應(yīng)用條件的處理，也是一個(gè)迭代往復(fù)的過程。

對(duì)于鐵路信號(hào)系統(tǒng)集成項(xiàng)目，需要整合并處理集成的所有系統(tǒng)／子系統(tǒng)的安全相關(guān)應(yīng)用條件，對(duì)于集成項(xiàng)目未能完全解決的，和由于集成項(xiàng)目自身活動(dòng)新增的安全相關(guān)應(yīng)用條件，應(yīng)輸出給信號(hào)系統(tǒng)的用戶 （通常是業(yè)主）。

2 鐵路信號(hào)系統(tǒng)集成項(xiàng)目的安全風(fēng)險(xiǎn)鏈

根據(jù)鐵路信號(hào)系統(tǒng)安全的系統(tǒng)性特性，其安全性與人員、設(shè)備、環(huán)境、管理等因素相關(guān)。安全風(fēng)險(xiǎn)的相關(guān)要素包含：成因、危險(xiǎn)事件演變過程和風(fēng)險(xiǎn)的可能后果，這些要素構(gòu)成了安全風(fēng)險(xiǎn)相關(guān)的鏈條。因此，對(duì)于鐵路信號(hào)系統(tǒng)集成項(xiàng)目，應(yīng)關(guān)注其安全風(fēng)險(xiǎn)鏈，應(yīng)涵蓋危險(xiǎn)源識(shí)別、危險(xiǎn)源處理、危險(xiǎn)源相關(guān)安全風(fēng)險(xiǎn)的評(píng)價(jià)。

2．1 安全分析基礎(chǔ)

鐵路信號(hào)系統(tǒng)集成項(xiàng)目采用的系統(tǒng)／子系統(tǒng)應(yīng)為合格且安全性可信的產(chǎn)品。這些產(chǎn)品在其研制階段，已進(jìn)行了研制階段的安全分析，其結(jié)果是集成項(xiàng)目安全分析的基礎(chǔ)，無需在集成階段重復(fù)分析。

具體的說，鐵路信號(hào)集成項(xiàng)目采用的產(chǎn)品可能為：經(jīng)過第三方獨(dú)立安全評(píng)估的產(chǎn)品、經(jīng)過權(quán)威機(jī)構(gòu)檢驗(yàn)授權(quán)的產(chǎn)品、已進(jìn)行廣泛應(yīng)用證明其安全性的產(chǎn)品等。這些產(chǎn)品，會(huì)提出它們對(duì)安全的限制及要求，同時(shí)會(huì)提出數(shù)據(jù)配置、生產(chǎn)、安裝、維護(hù)的要求。這些要求就是工程集成時(shí)安全分析基礎(chǔ)，集成項(xiàng)目應(yīng)遵循這些要求和限制；需要時(shí)，將部分要求與限制傳遞給其他系統(tǒng)或用戶。

2．2 危險(xiǎn)源的來源和處理

鐵路信號(hào)系統(tǒng)集成項(xiàng)目危險(xiǎn)源來源可能有：

1．選用產(chǎn)品的安全相關(guān)應(yīng)用條件，這類危險(xiǎn)源源自于項(xiàng)目的使用產(chǎn)品。

2．集成項(xiàng)目自身的活動(dòng) （如數(shù)據(jù)配置、生產(chǎn)、安裝、調(diào)試等）新產(chǎn)生的危險(xiǎn)源，這類危險(xiǎn)源源自于集成項(xiàng)目活動(dòng)自身。

3．工程設(shè)計(jì)、牽引計(jì)算等傳統(tǒng)鐵路專業(yè)引入的危險(xiǎn)源，其來源可歸入集成項(xiàng)目自身。

源自項(xiàng)目選用產(chǎn)品的安全相關(guān)應(yīng)用條件的危險(xiǎn)源，需要在系統(tǒng)集成項(xiàng)目中，對(duì)這些安全相關(guān)應(yīng)用條件進(jìn)行滿足性分析，這類分析通常結(jié)合項(xiàng)目的技術(shù)方案一同進(jìn)行。對(duì)于不能在集成項(xiàng)目?jī)?nèi)消化的安全相關(guān)應(yīng)用條件，應(yīng)轉(zhuǎn)移輸出至其他系統(tǒng)或用戶。

集成項(xiàng)目自身的活動(dòng)所產(chǎn)生的危險(xiǎn)源，通常是指集成項(xiàng)目是否按照其選用產(chǎn)品提出的數(shù)據(jù)配置、生產(chǎn)、安裝、調(diào)試等要求進(jìn)行了相關(guān)活動(dòng)，如果相關(guān)要求在實(shí)際操作中難以實(shí)施，則應(yīng)采取與原要求相當(dāng)?shù)钠渌椒ㄟM(jìn)行替代，以進(jìn)行安全風(fēng)險(xiǎn)控制。

工程設(shè)計(jì)和牽引計(jì)算為傳統(tǒng)鐵路專業(yè)，其質(zhì)量審核方式 （如三級(jí)審核）經(jīng)長(zhǎng)時(shí)間實(shí)踐證明，可保證其質(zhì)量良好并控制其安全風(fēng)險(xiǎn)。因此，在鐵路信號(hào)集成項(xiàng)目中，按照其既有的質(zhì)量過程控制其安全風(fēng)險(xiǎn)即可，不需要新增其他質(zhì)量環(huán)節(jié)。

2．3 安全證據(jù)鏈及安全風(fēng)險(xiǎn)評(píng)價(jià)

進(jìn)行集成項(xiàng)目所提供產(chǎn)品及服務(wù)的安全性證明時(shí)，需要形成相應(yīng)的證據(jù)。與安全風(fēng)險(xiǎn)鏈對(duì)應(yīng)，需要提供安全證據(jù)鏈，用以證明集成項(xiàng)目的安全性。安全風(fēng)險(xiǎn)鏈包含危險(xiǎn)源識(shí)別、危險(xiǎn)源分析及控制、安全風(fēng)險(xiǎn)評(píng)價(jià)。安全證據(jù)鏈也對(duì)應(yīng)這3方面的證據(jù)。安全證據(jù)應(yīng)為正式文件，其形式可以是項(xiàng)目正式文檔、評(píng)審記錄單、發(fā)布的會(huì)議紀(jì)要等。

以上對(duì)集成項(xiàng)目危險(xiǎn)源的來源進(jìn)行了闡述，危險(xiǎn)源的識(shí)別過程應(yīng)得到記錄，識(shí)別出的危險(xiǎn)源應(yīng)記錄進(jìn)項(xiàng)目的危險(xiǎn)源日志。危險(xiǎn)源識(shí)別過程記錄和危險(xiǎn)源日志即為危險(xiǎn)源識(shí)別的安全證據(jù)。

對(duì)于源自選用產(chǎn)品的安全相關(guān)應(yīng)用條件的危險(xiǎn)源對(duì)應(yīng)的安全分析證據(jù)，其分析記錄 （可以是分析報(bào)告、會(huì)議記錄等形式）本身就是這些危險(xiǎn)源的安全分析證據(jù)。對(duì)于集成項(xiàng)目自身的活動(dòng)所產(chǎn)生的危險(xiǎn)源，項(xiàng)目本身的安全分析活動(dòng)大多與系統(tǒng)設(shè)計(jì)一同進(jìn)行，安全分析內(nèi)容也會(huì)融合在項(xiàng)目的系統(tǒng)設(shè)計(jì)方案、系統(tǒng)升級(jí)／倒切方案等文檔中，這些文檔就是項(xiàng)目的安全分析證據(jù)；如果需要，也可以出具專門的安全分析報(bào)告作為安全證據(jù)。項(xiàng)目設(shè)計(jì)、數(shù)據(jù)配置、生產(chǎn)、安裝、調(diào)試等，需要通過驗(yàn)證得到，驗(yàn)證報(bào)告即為相關(guān)安全證據(jù)。工程設(shè)計(jì)、牽引計(jì)算等傳統(tǒng)鐵路專業(yè)的安全證據(jù)是它們的審核記錄。

需要注意的是集成項(xiàng)目安全活動(dòng)的策劃，該策劃通常以項(xiàng)目安全計(jì)劃的形式體現(xiàn)。安全計(jì)劃是在對(duì)項(xiàng)目充分了解的基礎(chǔ)上，進(jìn)行項(xiàng)目安全活動(dòng)的方案策劃；該方案應(yīng)在保證項(xiàng)目安全風(fēng)險(xiǎn)可控的前提下，做到盡可能的低成本。也就是說，安全計(jì)劃是安全活動(dòng)有效性的重要保證。所以，安全計(jì)劃同樣會(huì)項(xiàng)目安全性產(chǎn)生影響，其審核記錄應(yīng)作為安全證據(jù)得到保留。

安全風(fēng)險(xiǎn)評(píng)價(jià)是對(duì)集成項(xiàng)目危險(xiǎn)源相關(guān)風(fēng)險(xiǎn)是否可接受的判斷，以危險(xiǎn)源識(shí)別、分析、控制的證據(jù)為基礎(chǔ)。危險(xiǎn)源風(fēng)險(xiǎn)是否可被接受的判斷，通常由危險(xiǎn)控制委員會(huì) （HCB）進(jìn)行授權(quán)，該授權(quán)記錄即為安全風(fēng)險(xiǎn)評(píng)價(jià)證據(jù)。

2．4 安全論據(jù)

對(duì)于進(jìn)行獨(dú)立第三方安全評(píng)估的項(xiàng)目，一般會(huì)被要求出具安全論據(jù) （通常也稱為安全例證），僅需將上述安全證據(jù)和項(xiàng)目其他安全證據(jù)整理并按照規(guī)定格式納入或引用即可。安全論據(jù)是對(duì)項(xiàng)目安全證據(jù)的收集和整理，并不新增安全證據(jù)。

3 集成項(xiàng)目中常見問題處理

3．1 產(chǎn)品變更控制

在集成項(xiàng)目實(shí)施中，可能由于特殊場(chǎng)景、特殊接口、特殊需求等導(dǎo)致集成項(xiàng)目產(chǎn)品的變更。對(duì)于集成項(xiàng)目，需要保證項(xiàng)目產(chǎn)生的需要被準(zhǔn)確地傳導(dǎo)至產(chǎn)品提供方；產(chǎn)品變更完成后，集成項(xiàng)目應(yīng)對(duì)變更完成的產(chǎn)品進(jìn)行確認(rèn)，確保產(chǎn)品變更符合預(yù)期。集成項(xiàng)目通?？砂凑障铝胁襟E進(jìn)行產(chǎn)品變更管理：

1．根據(jù)集成項(xiàng)目需要，整理出所需的需求條款 （如系統(tǒng)集成方案），并與產(chǎn)品提供方進(jìn)行溝通。

2．產(chǎn)品提供方完成產(chǎn)品需求規(guī)范 （產(chǎn)品系統(tǒng)需求）變更后，集成項(xiàng)目與產(chǎn)品提供方溝通變更后的產(chǎn)品需求規(guī)范，確保與預(yù)期相符。

3．產(chǎn)品變更結(jié)束后，集成項(xiàng)目對(duì)完成變更的產(chǎn)品進(jìn)行確認(rèn)，確保符合變更預(yù)期。

3．2 產(chǎn)品要求的理解

集成項(xiàng)目選用的產(chǎn)品會(huì)對(duì)集成項(xiàng)目提出安全相關(guān)應(yīng)用條件以及數(shù)據(jù)配置、安裝、生產(chǎn)、調(diào)試等要求。雖然集成項(xiàng)目選用的產(chǎn)品應(yīng)為合格、可信產(chǎn)品，但這些要求通常通過簡(jiǎn)短的文字條款進(jìn)行描述，一些安全相關(guān)應(yīng)用條件的描述可能并不明確或過于苛刻，造成實(shí)施上的困難。此時(shí)，集成項(xiàng)目應(yīng)與產(chǎn)品提供方進(jìn)行溝通，得到存疑內(nèi)容的解釋 （應(yīng)為正式的記錄，如發(fā)布的會(huì)議紀(jì)要）或更新的要求，工程項(xiàng)目可按照解釋或更新后的要求進(jìn)行相關(guān)工作。

3．3 安全相關(guān)應(yīng)用條件的輸出

對(duì)于集成項(xiàng)目而言，其對(duì)外輸出的安全相關(guān)應(yīng)用條件，接收方為最終業(yè)主，需要重視安全相關(guān)應(yīng)用條件條款的描述。

安全風(fēng)險(xiǎn)相關(guān)防范措施只將安全風(fēng)險(xiǎn)控制住即可，不應(yīng)擴(kuò)大風(fēng)險(xiǎn)防范措施，以免增加不必要的風(fēng)險(xiǎn)控制成本；安全相關(guān)應(yīng)用條件的描述應(yīng)具體、可操作。如 “定期維護(hù)列控設(shè)備”是不好的描述方式，而 “日檢內(nèi)容包含應(yīng)答器天線的安裝檢查”是比較好的描述方式。

4 結(jié)論

集成項(xiàng)目安全分析工作，應(yīng)立足于產(chǎn)品科研的安全分析基礎(chǔ)，無需進(jìn)行重復(fù)工作，關(guān)注工程方面的安全風(fēng)險(xiǎn)點(diǎn)，執(zhí)行可對(duì)集成活動(dòng)安全性增值的安全分析活動(dòng)，并保持良好的記錄作為證據(jù)。集成項(xiàng)目應(yīng)正確理解選用產(chǎn)品提出的要求，在需要時(shí)應(yīng)與產(chǎn)品提供方進(jìn)行溝通，確保理解正確。

安全證據(jù)鏈的完整是對(duì)鐵路信號(hào)集成項(xiàng)目安全性評(píng)價(jià)的重要依據(jù)，應(yīng)記錄包含危險(xiǎn)源識(shí)別、危險(xiǎn)源分析及控制、安全風(fēng)險(xiǎn)評(píng)價(jià)在內(nèi)的安全風(fēng)險(xiǎn)鏈的證據(jù)進(jìn)行收集。

［1］ European Committee for Electrotechnical Standardization．Railway applications－The specification and demonstration of Reliability，Availability，Maintainability and Safety（RAMS）－Part 2：Guide to the application of EN 50126－1for safety［S］．2007．

［2］ 閔鑫穎．風(fēng)險(xiǎn)鏈在安全管理中的建立與運(yùn)用［J］．安全，2013（11）：31－33．

［3］ 吳炳昊．安全相關(guān)項(xiàng)目中的危險(xiǎn)源管理［J］．鐵路通信信號(hào)工程技術(shù)，2013（S1）：92－94．

［4］ 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)．軌道交通 通信、信號(hào)和處理系統(tǒng)信號(hào)用安全相關(guān)電子系統(tǒng)［S］．2007．

［5］ 肖貴平，朱曉寧．交通安全工程［M］（第二版）．北京：中國(guó)鐵道出版社，2013．