交通系統(tǒng)安全標準概況對比綜述

（郭玉華 編譯，王 菲 校核）

近年來，汽車行業(yè)輔助和自動駕駛技術(shù)研究創(chuàng)新快速發(fā)展，大量面向安全功能的自動化解決方案（如基于攝像頭的目標識別），已具備道路交通應用條件，可為軌道交通提供借鑒。盡管軌道交通領域自動駕駛早已成功應用多年，但汽車行業(yè)目前正在進行的系統(tǒng)安全性標準研究，仍可使軌道交通受益。反之，已經(jīng)在軌道交通中得到驗證的系統(tǒng)安全性概念，也可為汽車自動駕駛提供參考。下文給出地面交通系統(tǒng)安全性標準概況對比綜述。

1 系統(tǒng)安全性

首先必須對系統(tǒng)安全性進行定義。目前為止，面向安全的技術(shù)開發(fā)規(guī)范，很大程度上僅涉及功能安全性，即風險源于系統(tǒng)性故障和隨機失效。為了將風險降低到可接受的水平，形成了安全完整性等級概念（SIL），由事件發(fā)生概率和預期的嚴重程度共同確定。SIL概念規(guī)范了安全相關(guān)系統(tǒng)的開發(fā)要求，SIL值越高，系統(tǒng)越復雜，系統(tǒng)魯棒性越好。然而，自動化程度的提高表明：除經(jīng)典的功能安全失效外，安全風險還可能來自于以下2個方面的原因。

1）來自未知不安全狀態(tài)的風險。目前，汽車行業(yè)將由未知狀態(tài)引發(fā)的事故風險的防護稱為“預期功能安全性”（SOTIF）。汽車行業(yè)針對SOTIF制定了ISO 21448，用于指導系統(tǒng)設計和驗證等。

2）未經(jīng)授權(quán)的第三方訪問引發(fā)的風險。未經(jīng)授權(quán)的外部訪問引發(fā)的系統(tǒng)攻擊，也是事故風險原因之一。針對未經(jīng)授權(quán)訪問的風險防護，汽車行業(yè)采用ISO 21434網(wǎng)絡信息安全標準。

總之，在系統(tǒng)理論模型概念中，除功能安全外，系統(tǒng)安全還應包括SOTIF和網(wǎng)絡信息安全?，F(xiàn)行道路和軌道交通安全相關(guān)標準見表1。

表1 系統(tǒng)安全性標準

2 標準適用范圍

討論標準的適用范圍，首先需要明確系統(tǒng)及其包含的子系統(tǒng)的特點，以及自動化等級（GoA）。

車和基礎設施（軌道交通）同時考慮與以車為中心（汽車）：系統(tǒng)性是軌道交通的特點之一，軌道交通采用的標準涵蓋了車和地面固定設施。這意味著，在具體工程中，車和基礎設施之間的功能可以采用不同的分配方案，即一個統(tǒng)一的、規(guī)范性的系統(tǒng)架構(gòu)可以有不同的實施方案，從而提高了系統(tǒng)實現(xiàn)的自由度。而在道路交通中，汽車行駛很大程度上獨立于地面設施。因此，道路交通自動化主要考慮以車為中心，面向安全的技術(shù)開發(fā)，原則上也限定在安裝于批量生產(chǎn)的汽車上的安全相關(guān)系統(tǒng)。但隨著自動化程度不斷提高，目前道路交通的基本功能組件也已開始向基礎設施轉(zhuǎn)移，例如car-2-x或擴展司機感知范圍的后臺輔助系統(tǒng)等。

全自動化（軌道交通）與部分自動化（汽車）：在軌道交通應用中，一般公認的技術(shù)規(guī)則的適用范圍不受自動化等級限制。按照IEC 62290，從GoA0到GoA4采用的標準是一樣的。目前，可被認可的無人駕駛系統(tǒng)，至少已在城市快速軌道交通中開始進行實際道路測試。與軌道交通全自動化相比，道路交通仍面臨一些限制。SOTIF標準（ISO/PAS 21448）的適用范圍限定在自動化1級和2級（自動化等級由SAE J 3016定義）。根據(jù)ISO 26262進行的風險分析也是基于這一理解，至少對于可控參數(shù)是如此，自動化1級和2級中，司機駕駛?cè)宰鳛楹髠浼墶?/p>

網(wǎng)絡信息安全標準基本上獨立于自動化等級。圖1比較了軌道交通和道路交通自動化等級及其適用的標準。

圖1 軌道交通和道路交通自動化等級及標準范圍比較

3 基于風險導向的系統(tǒng)設計

開發(fā)安全相關(guān)控制系統(tǒng)的關(guān)鍵問題始終是如何保證“足夠安全”，風險接受標準及基于這些標準的風險導向系統(tǒng)設計程序，提供了安全保證答案。

1）風險接受標準已明確（軌道交通）與風險接受標準正在形成（汽車）。歐盟次級法規(guī)中已明確了鐵路風險接受標準，并對所有成員國具有法律效力。立法機構(gòu)也已制定了各種風險接受規(guī)則（包括實施準則、與參考系統(tǒng)對比、解釋性風險評估等），且都已納入歐盟鐵路互聯(lián)互通協(xié)調(diào)標準。鐵路行業(yè)有多種風險評估方法，使用者可根據(jù)目標需要進行選擇。包括定性方法，如專家評估法；半定量方法，即通過圖形、公式或系列參考值結(jié)合使用，得出最終的風險評估整體性結(jié)論；也有使用風險計算公式的定量方法。與之相反，道路交通的風險接受標準尚未明確，尤其針對高度自動化駕駛系統(tǒng)，風險評估間接來源于德國聯(lián)邦法院的司法解釋，或特別專家委員會的評估結(jié)論。由德國聯(lián)邦交通運輸和數(shù)字化基礎設施部成立的“連接和自動駕駛”道德委員會的最終報告，提出了道路交通自動駕駛未來立法行動建議。除目前采用的實踐準則和司法解釋法外，未來還將采用參考系統(tǒng)發(fā)布規(guī)范。高度自動化駕駛的安全性必須高于人工駕駛。ISO 26262已規(guī)定了道路交通風險分析方法框架，并描述了通過風險圖進行風險定性分析的步驟。

2）可使多人致命的風險（軌道交通）與單個致命事故的風險（汽車）。鐵路風險分析中，假定事故會造成大量旅客傷亡，而汽車安全風險分析則不考慮大量人員致命的情況。ISO 26262第一版就是基于這樣的考慮，但修訂后的第二版已不再采用卡車和客車標準中規(guī)定的風險分析評估框架，而是提出了安全完整性等級概念（“ASIL E”），這與大巴車事故可能會造成大量人員死傷的嚴重性相符。

4 功能安全管理實施

除安全系統(tǒng)開發(fā)需符合安全性等級要求外，在安全管理方面，軌道交通與道路交通也存在很大差異。

1）第三方服務及時整合（軌道交通）與價值鏈高度碎片化為主（汽車）。EN 51028對如何將外部供應商整合到軟件開發(fā)過程中表述的比較模糊，沒有明確表明如何保證軟件及其開發(fā)過程可滿足要求或相應的SIL等級，各種組織間的問題報告、追蹤和項點識別等也是如此。相對而言，汽車行業(yè)的特點是技術(shù)開發(fā)活動高度分散，多個組織同時工作，在多層次開發(fā)鏈條中，開發(fā)接口協(xié)議（DIA）起著重要作用。DIA具有約束力，協(xié)議中規(guī)定責任方、通知方、支持方等（即所謂RACI矩陣）。同樣，相關(guān)標準中也給出了第三方產(chǎn)品（包括軟件和硬件）的合格性要求。

2）外部評估（軌道交通）與評估組織性分離（汽車）。鐵路行業(yè)的特點是高度獨立性，特別是評估專家的獨立性。評估人員必須獨立于供應商，并由安全認證機構(gòu)進行甄別（DIN EN 50128）。被主管部門認可的制造商，在滿足相關(guān)管理要求時，才能成立內(nèi)部評估組織。這些做法鐵路行業(yè)已經(jīng)執(zhí)行了20多年，與汽車行業(yè)的常規(guī)做法形成對比。與鐵路一樣，汽車行業(yè)每個設計開發(fā)步驟也需要進行評估，尤其對中心產(chǎn)品的獨立評估要求較高，堪比鐵路的獨立評估，但對于其他產(chǎn)品，除“四目原則”外，沒有進一步的獨立性要求。汽車行業(yè)之所以沒有必須根據(jù)外部專家的判斷進行安全評估的要求，主要是源于內(nèi)部專家對產(chǎn)品及其開發(fā)過程有著更深刻的理解。

3）消除已識別安全缺陷的有約束性要求的外部評估（軌道交通）與修正已識別安全缺陷的無約束性要求的評估（汽車）：鐵路運營商和制造商負責維護產(chǎn)品全生命周期故障及故障分析和糾正報告，即FRACAS，目的是向設計、制造、運營、維護部門持續(xù)反饋運營過程中發(fā)現(xiàn)的所有錯誤和缺陷。安全相關(guān)的缺陷，按嚴重性或重要程度分類，并保證按優(yōu)先級得到相應的處理。針對產(chǎn)品安全缺陷，鐵路行業(yè)開發(fā)了適當?shù)娘L險導向的糾正程序，一般還會通過分析確定哪些糾正需要重復安全過程。安全案例必須包括詳細的糾正方案及結(jié)果、風險分析和測試等，并且要有外部獨立評估證明。這些處理原則也適用于汽車安全相關(guān)電子控制系統(tǒng)的開發(fā)，為消除安全缺陷引起的變更，必須形成文檔，并進行變更影響分析。但獨立評估僅用于舉例，并不是強制的規(guī)范性要求。即使要求獨立評估，也不會像鐵路那樣嚴格。

4）安全證明作為實質(zhì)綁定的安全論據(jù)（軌道交通）與安全證明僅作為文檔綜述（汽車）：鐵路公認的技術(shù)標準（DIN EN 50129）對安全案例結(jié)構(gòu)和內(nèi)容有明確規(guī)定。作為安全案例的核心部分，安全報告將對可能的隨機失效和可能的系統(tǒng)故障已降到要求范圍內(nèi)的論據(jù)進行總結(jié)。相反，汽車安全相關(guān)電子控制系統(tǒng)標準（ISO 26262）并未針對安全案例結(jié)構(gòu)和內(nèi)容給出任何明確規(guī)定，從這個標準的字面理解，汽車行業(yè)的安全證明更像是文檔綜述，而不像DIN EN 50129那樣，必須有實質(zhì)綁定的安全論據(jù)。汽車安全系統(tǒng)設計過程中，充分考慮了單個和多個失效影響的證據(jù)，包含在ISO 26262和系統(tǒng)全生命周期各種文檔中。為了證明功能正確性及外部影響，汽車行業(yè)還參考了其他標準（如ISO/PAS 21448，即SOTIF規(guī)范）。

5 結(jié)論

鐵路的安全理念主要基于系統(tǒng)性認識，與汽車工程相比具有優(yōu)勢。在汽車工程中，尚未形成系統(tǒng)性理念，特別在實現(xiàn)高度自動駕駛過程中。汽車行業(yè)可以從鐵路系統(tǒng)性理念中受益，并且應反映在相應標準中。鐵路評估專家的高度獨立性，以及國家安全機構(gòu)的高度責任，同樣具有優(yōu)勢。鐵路行業(yè)實行的認證認可架構(gòu)，給汽車高度自動化駕駛提供了很好的概念規(guī)劃參考。同時，鐵路也可借鑒汽車行業(yè)的最佳實踐，根據(jù)鐵路特點研究制定SOTIF規(guī)范，形成完整的安全規(guī)范體系，并以其獨特的方式，為鐵路特別是高自動化等級鐵路提供更高安全性。此外，網(wǎng)絡信息安全技術(shù)及標準必須適應未來鐵路運營要求。