系统集成项目具有技术专业多、所处环境变化快、接口繁多、需求多变、管理的复杂性强等特点。由于铁路信号控制系统属于安全关键系统,其运行关系到人员的生命和财产安全,因此对于信号控制系统集成必须要进行全面的安全管理来保障系统的安全。对信号控制系统集成项目的安全管理应根据项目的安全目标,按整体到局部,自上而下进行规划、实施,以“有效、实用”为指导思想。
信号控制系统集成项目的生命周期一般可分为项目策划、系统设计、子系统实现与生产、室内系统集成测试、现场安装调试、系统试运行和运行维护七个阶段。对项目的安全管理应贯穿于整个生命周期,其主要安全活动包括:制定安全计划、实施危险管理、遵守并传递安全相关应用条件和编制安全例证报告。
1. 安全计划
系统集成项目的安全管理过程中,应在项目策划阶段制定安全计划,并且需要在整个项目生命周期中对安全计划进行维护和更新。安全计划应发布给项目组所有成员,并要求项目组成员理解其内容。安全计划主要包括:1、确定项目的安全目标;2、确定项目涉及到的安全管理的组织结构,责任和权利,安全里程碑、提交成果及时间节点;3、规定项目生命周期中相关人员的资质和独立性;4、制定项目生命周期中所需要采取的安全活动(包括管理和技术两方面);5、制定安全活动执行的时间和人力资源安排等。
在安全计划执行过程中,可采取项目内外部监督的方式促进安全计划的完善更新以及安全活动的纠正改进。具体方法是可依照计划采用检查表的方式,在项目的里程碑阶段通过验证、评审和评估三种手段监督安全计划的执行,如有偏离计划或偏离标准,须及时纠正项目中的工作。如安全计划有需要调整、更新或细化,应及时改进完善安全计划,新版本的安全计划需要得到审批后发布给项目组人员。
2. 危险管理
危险管理包括危险分析、危险控制和危险监督三部分如图1所示。危险分析工作根据设计的深入,需要在系统级、子系统级甚至产品级反复进行,其贯穿于项目整个生命周期,危险分析产生的危险录入危险日志。危险控制是指危险分析完成后,针对危险提出的安全需求,在设计过程中将制定相应的技术措施缓解这些危险。危险监督是指对危险分析和危险控制的过程通过验证、确认、评估等安全活动进行监督,危险监督不仅关注危险分析的充分性、完整性,还要评估危险控制措施是否有效、可行。通过危险分析、危险控制和危险监督使得系统最终所有的危险应得到关闭或缓解。
图1 危险管理的输入、输出与关键过程
2.1 危险分析
系统集成项目包含若干子系统,危险分析工作从系统层总体功能开始,并逐步向子系统层次细化如图2所示。系统集成项目包括的子系统的成熟程度并不相同,对于基于成熟产品并已形成工程化流程的子系统,其应用环境和系统功能等改变不大,不存在未知危险,控制已知危险的安全措施已明确,因此不必进行危险分析,只须遵循既有的工程化流程或规则即可。而对于一些因特殊需求而新开发子系统或子系统的某些模块,项目之初应明确项目的特定需求(接口、功能)及其新增的开发工作,针对这些改变在系统设计阶段或详细设计阶段进行详细的定性或定量危险分析,以证实其符合规定的安全性要求。
图2 危险分析层次划分
(1) 初步危险分析(PHA)
在系统生命周期早期阶段进行的一种初步的定性危险分析,根据来自外部安全相关应用条件和产品的限定条件,进行初步危险评价,识别安全关键部位,并确定所要求的危险控制措施和后续的活动。
(2) 系统危险分析(SHA)
在初步危险分析基础上,在系统设计阶段进行的一种详细的定性或定量的危险分析,以证实系统符合规定的安全性要求,识别系统功能故障有关的危险,评价与整个系统设计有关的危险,提出为消除已确定的危险或控制其有关危险所必须采取的措施的建议,并将系统安全需求和安全相关应用条件的分配与传递给子系统;
(3) 子系统危险分析(SSHA)
在系统危险分析的基础上,在每个子系统层次上进行多次危险分析。在系统设计或详细设计阶段进行的定性或定量危险分析,以证实子系统符合规定的安全性要求,识别与子系统设计有关的危险和组成子系统的部件或设备之间的功能关系所导致的危险;
(4) 接口危险分析(IHA)
在系统设计阶段或详细设计阶段进行的定性或定量的危险分析,识别与子系统接口有关的危险,并提出为消除已确定的危险或控制其有关危险所必须采取的措施的建议。
(5) 运营安全危险分析(O&SHA)
在系统生命周期后期开始进行的一种定性的危险分析,以评价由使用和保障规程引入系统中的各种危险,并评价为消除、控制或降低,对于无法消除的危险,确定所采用的使用和保障规程的正确性,并形成文件使得危险得到有效传递。
在各个层次上进行危险分析的过程一般包括:
1) 危险识别:找出潜在的危险,可用HAZOP(危险和可操作性研究)、头脑风暴(基于经验)等方法。
2) 后果分析:分析危险可能产生的后果,可用ETA(事件树)、CCA(因果图)等方法。
3) 原因分析:分析产生危险的原因, 可用FTA(故障树)等方法。
所有危险分析的结果记录在《危害日志》中,在系统整个生命周期中《危险日志》一直都处于更新和维护中。
2.2 危险控制
危险控制的过程是:针对“危险日志”中的每条危险应提出对应的安全需求,如本系统范围内不能满足的安全需求也应形成安全相关应用条件。设计人员把安全需求作为设计输入之一,在系统设计中增加相应的技术措施实现安全需求,措施是否有效通常通过评审、评估或测试等方式进行验证和分析。通过安全需求的实现,最终所有的危险得到关闭或缓解。对于本系统范围外或无法完全关闭的危险作为安全相关应用条件,通过《用户手册》或《系统维护手册》等方式移交给相关责任方,提醒其在使用或维护过程中关注。危险控制的流程如图3所示。
图3 危险控制流程
危险控制是采取一系列的过程、方法把系统危险控制在可以接受的范围内,包括减少危险出现的频率、降低危险造成的后果。通常会采取如下措施来降低危险:
(1) 在设计中充分考虑到安全的特性和需求;主要措施可能包括:
1) 设置安全壁垒:系统的组成中可能包括安全功能和非安全功能,在系统结构设计中需要区分出这两部分,并在他们之间设置安全壁垒。以保护系统核心安全功能免受非安全控制系统接口和人工错误影响。
2) 保持系统单元的独立性:为了保证系统各子系统的可维修性和独立性,需要在设计上保证与其他部分的独立性,每个单元的功能,数据,故障等特性都必须进行严格封装:当其他子系统更换或存在外界干扰时,能够有效屏蔽对各子系统内部通信产生的干扰和冲击。
3) 安全通信:为保证各子系统通信的正确性和抗干扰性,安全关键子系统间的通信可使用封闭、冗余配置的安全网络,子系统间接口采用安全协议(包括:序列号、计数器、加密、发送方和接受方ID和CRC校验等内容)。通过安全协议的使用确保发送或接收的消息正确无误。
(2) 增加报警设备或警告提醒;
(3) 规范并系统化的系统开发过程;
1) 项目之初编制安全计划,并进过评审和批准;
2) 依据安全计划执行必要的技术和管理活动;
3) 跟踪安全计划的执行,必要进行调整和更新;
(4) 培训系统相关人员,提高安全意识。
2.3 危险监督
危险监督的内容包括:危险分析的是否充分全面;危险控制措施是否有效并得到实现,对措施的有效性进行验证;危险的管理和相关活动是否遵循计划执行开展;危险分析和控制的工作是否由具备能力的人员担当。
危险监督常常以评估、评审、验证和确认的形式进行。对于监督过程中发现的问题,需持续跟踪直到纠正。
3. 安全相关应用条件
安全相关应用条件是只本系统范围内无法满足的安全需求或无法关闭的危险,例如在使用或维护过程中需要用户关注的危害,作为安全相关应用条件(Safety Related Application Conditions)通过《用户使用手册》、《系统维护手册》等方式移交给用户。
系统集成项目安全相关应用条件有来自外部系统或环境的,也有本系统产生的。
对于外部安全相关应用条件,在系统构架和设计过程中应充分考虑相关技术措施,并将其分解到各个子系统,最终使得这些外部的安全相关应用条件得到缓解或关闭。无法完全关闭的部分应作为本系统的安全相关应用条件传递给相关责任方。
系统集成项目范围内新产生的安全应用条件应包括:
(1) 从子系统输入的安全相关应用条件:对于那些不能被子系统/模块/接口实现的安全需求,将由子系统/模块/接口层次传递到系统层次,并被系统继承。
(2) 系统层的安全相关应用条件:从子系统层继承的安全相关应用条件如系统层也无法关闭,将被作为整个系统的安全相关应用条件传递给相关方。
4. 安全例证
安全例证是项目所有安全证据的汇总,以证明系统满足预定安全完整性等级。安全例证报告一般在项目设计阶段就开始进行。系统集成项目的案例结构包括系统层(特殊应用)、子系统层(一般应用)和产品层(一般产品)。
安全例证内容一般包括:系统定义、质量管理报告、安全管理报告、技术安全报告、相关安全例证和结论六部分,各部分主要内容包括:
(1) 系统定义:对安全例证涉及的系统/子系统/产品进行精确定义,包括系统的范围,应用场合,系统的主要功能、性能、安全目标等。
(2) 质量管理报告:提供质量管理的证据,证明在系统、子系统或设备的整个生命周期内,其质量一直并将继续受有效的质量管理体系控制。
(3) 安全管理报告:提供安全管理的证据,证明系统/子系统/设备的安全一直并将继续由一个有效的且与EN50126中规定的RAMS管理过程相一致的安全管理过程进行管理。
(4) 技术安全报告:提供技术安全的证据,阐述确保设计安全的技术原则,包括(或给出参考索引)所有的支持证据(如,设计原则和计算,测试规范和测试结果以及安全分析等)。
(5) 相关安全例证:包含对主安全例证所依附的任何子系统或设备的安全例证的参考索引。同时论证在每个相关子系统/设备的安全例证中指定的安全相关应用条件已在主安全例证中得到实现,或已结合到主安全例证的安全相关应用条件中。
(6) 结论:对安全例证前面部分提供的证据进行归纳总结,并阐述相关系统/子系统/设备满足预定的安全完整性等级。