DS6-60型计算机联锁产品第三方安全评估方法介绍

江守智

（上海铁路通信有限公司，上海 200071）

随着中国轨道交通的快速发展，运量日益增长，列车运行密度不断加大，铁路轨道交通相关产品与系统的开发与应用也得到相应的发展。不仅如此，随着科技的进步，作为控制行车安全的核心设备，铁路信号、控制和传输等系统已经向智能化、自动化和功能化的方向发展，系统的复杂度呈指数增长，安全保证难度将越来越大，其安全性的隐患将可能导致灾难性的后果。据调查显示，目前世界上铁路交通事故有很大一部分是由于信号系统的原因导致的，因此，产品在投入使用前进行独立安全评估是降低产品风险，提高安全性的有效方法。

1 世界通行的标准

目前，世界通行的做法是按照铁路信号系统各功能的安全关键程度分配相应的安全完整性等级（Safety Integrity Level,SIL），其中 SIL4 为等级最高的安全等级。一般而言，涉及行车安全的列控设备，联锁设备等都是在SIL4级范围内。铁路信号系统必须通过指定SIL等级的安全评估才能投入运行，并且SIL4证书也成为系统批准和验收的一项必要条件。

目前世界上对轨道交通信号系统的安全保证主要采用由国际电子电工委员会（IEC）制定的CENELEC EN50126/8/9标准以及英国铁路安全和标准委员会的《工程安全管理手册》（黄皮书：Yellow Book），这都是发达国家城市轨道交通系统经过百余年发展形成的结晶，并成为现在世界上铁路信号产品通行的安全评估标准及指南。

2 通用产品DS6-60型计算机联锁系统概述

2.1 系统特点

DS6-60型计算机联锁系统采用二乘二取二冗余结构设计,系统中所有涉及到安全信息处理和传输的部件均按照故障-安全原则采取双重系结构设计，任何单点故障都不会影响系统的正常使用，以满足铁路车站信号控制设备高可靠和高安全的使用要求。

系统联锁逻辑部为二乘二取二结构，双系采用主从方式运行，使系统具有高可靠性；输入采集单元采用静态采集方式，由输入采集机笼内的两个独立CPU单元分别进行采集； 输出单元采用双断控制，动态和静态两路驱动串联输出，静态和动态输出分别由输出机笼内的两个独立CPU单元控制。

2.2 系统构成

DS6-60型计算机联锁系统由5个部分组成，分别为：电源子系统、联锁子系统、输入输出子系统、控显子系统和电务维修子系统。系统结构如图1所示。

3 DS6-60型计算机联锁系统独立安全评估方法论

3.1 文档文件的审查

对DS6-60型计算机联锁系统文档文件评估将依据所选的标准和相应的规范来审查其一致性与符合性，同时在根据EN5012X标准确定的安全完整性等级上有足够的符合性，文档文件的评估方法一般是基于审核报告、文档检查纪要、测试见证报告、基于产品子系统的集成ISA评估报告展开。

3.2 流程的评估和审核

依据DS6-60型计算机联锁系统产品的设计、施工、验证和确认工期来安排质量和安全管理体系审核的计划和实施。对直接参与设计、施工、验证和确认的人员进行审核，依据EN5012X中生命周期的要求对组织和流程进行检查，已确认生命周期各阶段关于安全任务和各自交付已经完成。这些评估的方法包括：组织、任务和职责的评估；过程、工具、方法、标准、测试的足够性评估；启动审核和/或后续的审核（质量和/或安全）；各方面/子系统/组件的检查。

3.3 V＆V过程、测试评估和现场见证

为了证明产品已经完成相邻版本间的修正，并已经根据被全面验证的设计细节文档安装完毕，可以进行测试文档的审查与测试见证。

3.4 安全案例的审核

在详细的设计结束后，基于通用产品方面的安全案例将被提交以进行审核。安全案例的文档将包括质量管理证据、安全管理证据、技术和功能安全方面证据、具体情况下具体操作的演示、外部影响以及相关安全案例参考。对安全案例将进行完整性、有效性、明确性、可理解性和CENELEC标准一致性等分析。

3.5 DS6-60型计算机联锁系统评估活动流程

对DS6-60型计算机联锁系统的评估活动主要包括以下流程。

1）按照CEICLC/TR 50506-1的要求，在重复使用的软硬件和协议条款上对联锁子系统进行交叉认可；

2）系统制造商需求验证，包括客户与制造商需求间的可追溯性验证与软/硬件等级划分验证；

3）系统结构识别与验证；

4）根据需求与GAMAB标准进行的危害分析验证；

5）质量管理验证；

6）用于系统模块的软件开发评估；

7）RAM参数评估。

3.6 全生命周期各阶段安全评估活动及任务

1）系统概念阶段：评估安全政策、安全目标；

2）系统定义和应用条件阶段：评估过去的经验数据、安全计划概述，识别既有设施对安全的影响，初步危险分析，定义THR标准；

3）风险分析阶段：系统安全和安全风险分析、风险评估、评估危险日志；

4）系统功能和要求阶段：系统安全要求概述，对安全功能、系统安全接受标准建立安全管理；

5）系统要求和功能分配阶段：分配系统安全目标和要求、升级系统安全计划；

6）设计和实施阶段：通过阅览、分析、测试和数据评估来实施安全计划；

7）加工制造阶段：实施安全计划、使用危险日志；

8）安装阶段：实施安装流程；

9）系统验证阶段：建立和实施委托程序、准备安全案例；

10）系统接收阶段：评估安全案例；

11）运行和维护阶段：安全维护培训；

12）监督和检测阶段：安全统计、分析；

13）修改或升级阶段：修改或升级后的安全分析。

4 结论

铁路信号系统是安全相关产品，因此对信号系统的安全评估是保障铁路运行安全的保证。上文对DS6-60型计算机联锁系统的评估活动阐述涵盖了全生命周期的各个阶段，并且明确了阶段评估活动和评估任务。通过对上述安全评估方法的执行，可以有效消除通用产品DS6-60型计算机联锁系统的安全隐患，降低运行风险，并且保证系统正常、安全的运作。

[1] EN50126-1999/GB/T21562-2008（IEC62278：2002）：铁路应用——可靠性、可用性、可维护性和安全性（RAMS）的详述和证明[S].

[2] EN50129-2003：铁路应用——信号的安全相关的电子系统[S].