系統(tǒng)安全保障管理體系的建立和實踐

郝瑞琴

（通號城市軌道交通技術(shù)有限公司，北京 100070）

1 概述

鐵路信號系統(tǒng)是城市軌道交通系統(tǒng)中主要的系統(tǒng)之一，鐵路信號系統(tǒng)主要功能是保證行車安全，提高運輸效率。列車行車安全建立在鐵路信號系統(tǒng)安全運行的基礎(chǔ)之上，從而有必要建立一套系統(tǒng)安全保障管理體系從而保證信號系統(tǒng)在設(shè)計、開發(fā)、制造、實施等環(huán)節(jié)能夠盡可能的降低風險，保證整個信號系統(tǒng)的安全運營。

城市軌道交通系統(tǒng)中主要的系統(tǒng)之一就是鐵路信號系統(tǒng)，鐵路信號是鐵路信號系統(tǒng)或設(shè)備的總稱，也是保證行車安全，提供區(qū)間和車站通過能力的自動控制及遠程控制技術(shù)的總稱。主要功能是保證行車安全，提高運輸效率。信號系統(tǒng)的安全運行得以保證，從一定程度上來說，就使列車的運行安全得到保障。從而有必要建立一套系統(tǒng)安全保障管理體系從而保證信號系統(tǒng)在設(shè)計、開發(fā)、制造、實施等環(huán)節(jié)能夠盡可能的降低風險，保證整個信號系統(tǒng)的安全運營。

2 相關(guān)標準及體系介紹

2.1 系統(tǒng)安全保障管理體系

系統(tǒng)安全的定義是在系統(tǒng)全生命周期內(nèi)，使用系統(tǒng)安全工程和安全管理方法識別系統(tǒng)中的危害，并采取一定的控制措施使其危害降至最低，從而在規(guī)定的范圍內(nèi)使系統(tǒng)的性能、時間和成本達到最理想的安全程度。

通過建立在工程學基礎(chǔ)上的概念、方法、工具和技術(shù)，來實現(xiàn)系統(tǒng)整個生命周期內(nèi)安全的過程就是系統(tǒng)安全保障。系統(tǒng)安全保障工作的目的是發(fā)現(xiàn)所有可能導致人員傷害、財產(chǎn)損失及負面環(huán)境影響的安全隱患及風險，并進行跟蹤管理。

系統(tǒng)安全保障管理體系是指圍繞城市軌道交通系統(tǒng)安全管理建立一系列組織管理體系、管理程序和具體工作制度，為軌道交通信號系統(tǒng)安全提供可操作的工作流程。具體安全控制方法和技術(shù)，可參考EN5012X 標準。

2.2 IRIS標準ISO/TS 22163

國際鐵路行業(yè)標準(International Railway Industry Standard，IRIS），是專門應(yīng)用于鐵路行業(yè)的質(zhì)量管理體系標準，在2006 年5 月18 日由歐洲鐵路聯(lián)盟針對鐵路行業(yè)的特殊需求而發(fā)布實施。它是在ISO9001 的基礎(chǔ)上發(fā)展起來的一套鐵路行業(yè)個性化的管理標準。吸取了ISO9001 標準的精華，在質(zhì)量體系八項管理原則指導下，采用系統(tǒng)方法，通過全員參與，實現(xiàn)全過程的管理和控制。2017年6 月1 日，IRIS 標準正式晉級為ISO 系列ISO/TS 國際標準，標準號為ISO/TS 22163。ISO/TS 22163：2017 標準根據(jù)管理體系標準的高階結(jié)構(gòu)重新進行章節(jié)內(nèi)容的編排。涵蓋了IRIS Revision 02標準原有要求和ISO9001:2015 的所有要求，并增加鐵路行業(yè)的特殊要求。

3 系統(tǒng)安全保障體系的建立

3.1 系統(tǒng)安全保障體系與IRIS體系相融合

在現(xiàn)有IRIS 質(zhì)量體系中，雖在設(shè)計等方面已包含安全保障工作相關(guān)要求，但主要是遵照EN5012X相關(guān)標準執(zhí)行，所以在建立IRIS 體系時，增加安全保障體系相關(guān)的詳細要求，將系統(tǒng)安全保障管理體系與質(zhì)量體系有機結(jié)合，質(zhì)量體系分為4 個層次，如圖1 所示。

圖1 質(zhì)量體系層示意圖Fig.1 Schematic diagram of the quality system layer

按照不同體系的不同層次，將系統(tǒng)安全保障的要求融入質(zhì)量體系。

1）A 層次

政策方針：將公司安全方針、安全保障管理融入IRIS 體系中《管理手冊》，作為公司體系A(chǔ) 層次文件。

2）B 層次

安全保障流程：建立了B 層次安全保障體系文件《安全保障控制程序》，根據(jù)EN5012X 標準定義安全保障通用流程；根據(jù)系統(tǒng)集成特定應(yīng)用項目、研發(fā)產(chǎn)品項目的項目類型不同，結(jié)合項目實施過程將各階段安全保障流程融入系統(tǒng)集成控制程序以及應(yīng)用科研控制程序。

分包商的安全保障管理：將對供應(yīng)商的安全保障要求增加到供應(yīng)商選擇評定標準中，融合至《供應(yīng)商管理程序》；《合同控制程序》在合同評審流程中，增加對安全保障內(nèi)容的評審內(nèi)容，針對分包商合同中提出安全保障工作的要求等內(nèi)容。

3）C&D 層次

安全保障流程指導：在B 層次安全保障體系的基礎(chǔ)上，為了更好地指導項目具體如何開展安全保障工作，建立C 層次及D 層次的指導手冊和模板，如建立《系統(tǒng)集成安全保障作業(yè)指導書》，定義項目每個生命周期階段安全保障工作如何開展以及相關(guān)參考的模板文件如何使用。

安全驗證與確認：將《安全保障控制程序》中涉及到的驗證和確認活動，根據(jù)項目類型不同分別制定C 層次及D 層次的指導手冊及相關(guān)文件模板，如制定系統(tǒng)集成安全確認活動作業(yè)指導書、系統(tǒng)集成驗證活動作業(yè)指導書、安全產(chǎn)品系統(tǒng)及軟件確認作業(yè)指導書、安全產(chǎn)品系統(tǒng)及軟件驗證作業(yè)指導書。

人員能力評定及培訓：在既有人力資源管理中崗位職責要求中明確參與安全保障相關(guān)人員在系統(tǒng)安全方面能力要求以及評定標準；并將安全保障相關(guān)培訓要求納入到年度培訓計劃中。

風險評估標準確認：為了便于后續(xù)項目執(zhí)行，在投標過程中，根據(jù)招標文件要求，增加對投標項目安全保障工作及評估內(nèi)容。在安全保障相關(guān)投標文件的模板中增加所采用風險矩陣的內(nèi)容。

3.2 融合體系時遇到的問題

IRIS 標準中驗證與確認的概念與EN50126/EN50128/EN50129 中大致相同，但對于不同的咨詢公司老師、不同的項目經(jīng)驗的人理解不同；不同的公司在工作職責分工不同，可能使得所定義驗證與確認的工作有所不同。需要根據(jù)公司各部門職責分工，定義適合公司的驗證與確認相關(guān)體系文件。EN5012X 與IRIS 標準中關(guān)于驗證與確認的分析如表1 所示。

通過分析兩個體系中針對驗證與確認的差異性主要在組織結(jié)構(gòu)及獨立性要求、輸出交付物以及實施確認活動時是否需要用戶參與要求存在差異性,但在IRIS 標準中7.3.6 章節(jié)定義安全產(chǎn)品的設(shè)計和開發(fā)過程須遵守適用標準（如IEC62278(EN50126）、IEC62279(EN50128)、IEC62425(EN50129)),所以項目組織結(jié)構(gòu)中設(shè)置確認工程師角色，獨立于項目組，設(shè)置項目組內(nèi)的驗證人員，主導、參與項目的驗證與確認工作，驗證、確認活動是由多功能團隊在項目各個階段環(huán)節(jié)完成。由驗證、確認人員根據(jù)驗證和確認計劃完成相應(yīng)的活動后，總結(jié)形成相應(yīng)的驗證報告和確認報告。另外用戶的初步驗收、最終驗收等活動用戶參與的項目活動是一種確認活動。但是在實際執(zhí)行過程中，安全評估工作與業(yè)主驗收為兩條工作主線。用戶驗收活動的證據(jù)可以作為確認的證據(jù)，但并不是必要條件；系統(tǒng)的各種分析、測試、評審等的結(jié)果證據(jù)也可以作為系統(tǒng)的確認。

4 體系運行情況

按照已建立的安全保障體系開展系統(tǒng)集成工程項目的安全保障工作，相應(yīng)的系統(tǒng)集成工程項目均獲得了載客試運營的安全授權(quán)。但在實施過程中發(fā)現(xiàn)其中涉及到的主要安全分析流程通常為按照階段性進行初步危害分析、系統(tǒng)危害分析（含接口危害分析）、操作與支持危害分析等；系統(tǒng)集成項目中各既有安全相關(guān)產(chǎn)品，已完成產(chǎn)品層安全評估；項目危險源分析活動中更側(cè)重于系統(tǒng)級、外部接口、子系統(tǒng)接口、數(shù)據(jù)準備過程以及對集成過程中各個子系統(tǒng)安全相關(guān)應(yīng)用條件是否滿足的分析，完成產(chǎn)品層安全需求到工程項目的傳遞。但在系統(tǒng)集成工程項目實施安全保障過程中發(fā)現(xiàn)：

1）當不同系統(tǒng)集成項目所采用的信號系統(tǒng)均為相同系統(tǒng)結(jié)構(gòu)以及功能時，項目的安全分析活動如何開展既能夠分析充分又能提高效率，并更加抓住項目特點，關(guān)注項目特殊點；

2）不同項目由于參與分析人員的能力、經(jīng)驗等造成同類項目分析結(jié)果的差異性；

3）由于系統(tǒng)集成項目工程現(xiàn)場實時情況，可能存在多次分段開通等情況，造成危害日志安全管理的維護工作量較大，且容易遺漏相關(guān)證據(jù)。

5 體系優(yōu)化及總結(jié)

針對體系運行過程中遇到的問題對體系優(yōu)化方案如下。

可通過積累和總結(jié)，基于既有產(chǎn)品需求開展基礎(chǔ)版本的危害分析活動，形成相應(yīng)的危害清單及安全措施清單，可形成公司級的“危害庫（含安全措施）”，并且可以列舉參考的關(guān)閉證據(jù)。既有產(chǎn)品在系統(tǒng)集成工程項目應(yīng)用時，首先識別與既有產(chǎn)品需求的差異，如無差異時，可直接參考公司級“危害庫”。存在差異時，針對此項目的特殊點著重開展危害分析，將特殊的新識別的危害增加至工程的危害日志中管理。

表 1 EN5012X與IRIS標準中關(guān)于驗證與確認的分析表Tab.1 Analysis Table of Verif ication and Conf irmation in EN5012X and IRIS Standards

由于系統(tǒng)集成項目工程現(xiàn)場實時情況，可能存在多次分段開通等情況，造成危害日志安全管理的維護工作量較大，且容易遺漏相關(guān)證據(jù)；在危害日志中增加了證據(jù)列表，用于管理所有關(guān)閉危害的證據(jù)，多次分段開通以及后續(xù)軟件升級等進行危害管理時，主要在于增加證據(jù)列表證據(jù)降低維護工作量。