中国铁道科学研究院通信信号研究所,100081北京*副研究员**助理研究员收稿日期:2009-01-21我国铁路信号系统安全评估的研究赵阳*张萍*王鲲**摘要:介绍了我国铁路信号系统安全评估的基础和主要流程,详细阐述了安全评估过程中必须注意的几个关键概念。关键词:铁路;信号;安全;评估Abstract:Thebasesandmainprocessofsafetyassessmentoverrailwaysignalsysteminourcountrywasintroducedtogetherwithdetaileddescriptionofseveralkeyconceptsintheprocedureofsafetyassess-ment.Keywords:Railway;Signal;Safety;Assessment随着我国铁路客运专线及高速铁路的建设,越来越多的电子设备被用于铁路信号系统中,提高了系统的整体性,这不仅在技术层面上,而且在管理层面上,都提出了新的安全要求。因此,为了保证铁路运输的安全,确保我国铁路信号系统满足相应的规范要求,适用于相应的运营环境,借鉴国外信号系统进行安全评估和认证的经验,结合我国铁路运输的具体特点,对我国铁路信号系统进行安全评估研究势在必行。1我国铁路信号系统安全评估的基础20世纪90年代初,IEC(InternationalElectri-cianCommittee,国际电工委员会制定了安全相关系统的设计和评估标准IEC61508“。该标准提出了安全相关系统的安全完整性等级(SIL,SafetyIntegrityLevel”概念,并以此作为对系统安全的综合评估指标。随后欧洲电工标准委员会(CEN-ELEC基于IEC61508标准制定了相关的铁路信号系统设计评估标准以及安全认证体系。这些标准主要包括以下几方面。1.EN50126铁路应用:可靠性、可用性、可维护性和安全性(RAMS规范和说明。2.EN50129铁路应用:信号领域的安全相关电子系统。3.EN50128铁路应用:铁路控制和防护系统的软件。4.EN50159-1铁路应用:在封闭传输系统中的安全通信。5.EN50159-2铁路应用:在开放传输系统中的安全通信。目前,我国已经完成了IEC61508标准的等同采标工作,EN50126/8/9的等同采标工作正在进行中。因此,完全可以将EN50126/8/9标准作为我国铁路信号系统安全评估的基础。2我国铁路信号系统安全评估的基本流程通过对世界各国铁路信号系统安全评估体系进行调研,不难发现安全评估分为通用产品(Gener-icProduct、通用应用(GenericApplication和特定应用(SpecificApplication3类。无论是针对铁路信号系统做哪一类的安全评估,独立安全评估ISA(IndependentSafetyAssessing都是一个国际上比较通行的做法,它一般由具有专业资质的商业组织承担,由其对铁路信号系统进行独立安全评估,并产生评估报告。该报告虽然不具有法律效力,但可以作为铁路权威机构判断其是否许可和接收该产品的重要证据之一。图1给出了国外铁路信号系统的通用接收流程,也间接地显示了ISA在铁路信号系统许可和接收过程中的地位和作用。图1国外铁路信号系统的通用接收流程独立安全评估可以验证在相应的铁路信号系统中已经采取了合适的安全管理组织、计划、程序、设计标准和安全措施,确认产品相关风险已经降低到可接受程度,且其安全例证提供了足够的证据,—18—2010年2月铁道通信信号February2010第46卷第2期RAILWAYSIGNALLINGCOMMUNICATIONVol.46No.2DOI:10.13879/j.issn1000-7458.2010.02.005图2我国铁路信号系统独立安全评估的基本流程以表明系统符合安全要求。针对我国铁路信号系统开展的独立安全评估,虽然尚不能找到具有专业资质的国内商业组织来承担,但一些在国际上有资质的机构已经在我国开展了相应的业务,可以提供相应的服务。我国铁路信号系统独立安全评估的基本流程如图2所示。3我国铁路信号系统安全评估的关键概念3.1全生命周期EN50126/8/9标准认为铁路信号系统的安全决定于产品的全部生命周期,而不只是产品的设计阶段。因而提出了产品全生命周期模型,并对每个阶段应当进行的安全保障工作和需求提出具体要求。开发商需要遵循标准规定的每个阶段安全保障工作的具体要求,才可以宣称其产品符合欧洲标准。而独立评估方需要对开发商是否在每个阶段都遵循了标准规定的安全保障要求和原则进行评估判断。3.2安全完整性产品的安全性能用安全完整性等级(SIL来度量。SIL用来表示产品在应用中所能达到的安全等级。安全完整性等级来自系统失效完整性等级和随机失...