王令朝

摘  要：本文论述了铁路通信信号设备安全评估的必要性，介绍了其安全评估模式的选择及其流程，并对铁路通信信号设备安全评估与电磁兼容环境、实时操作系统、可靠性三者之间关系作了具体分析，以供铁路通信信号设备制造厂商、运营方以及其他相关部门参考。

关键词：通信信号；设备；安全评估

1 问题的提出

随着科技进步和高速铁路的迅猛发展，铁路通信、信号系统正朝着智能化、自动化、信息化和多功能的方向发展，然而，这个新动向也对通信信号设备的可靠性和安全性带来了新的严峻挑战。它一方面表现在数字、无线、宽带、绿色的通信系统和智能、远程、监控、实时的信号系统其复杂程度呈指数级增长，系统出现故障的可能性、关联性和危害性等风险也随之增加；另一方面铁路通信信号系统在不断提升其技术性能以满足列车高效、快速运行的同时，还要求其具备比传统系统更高的安全性，以确保铁路运输生产的安全可靠。因此，为了适应这种新的变化要求，铁路通信信号设备除了具备高性能之外更要达到指定要求的安全性，而产品功能设计安全评估正是实现和验证设备安全性要求的有效手段之一，也是当今国际上业界公认的普遍采用的一种方法。

事实上，我国早在上世纪以中国质量认证中心等机构为代表已经对产品开展类似的认证评估工作。本世纪初期，铁路系统经国家认证认可监督管理委员会授权批准，成立了铁路产品认证管理委员会及中铁铁路产品认证中心等相应机构，开展包括铁路产品检验、认证等内容的工作项目。鉴于铁路通信信号设备对于列车运行控制的特殊地位，以及其设备的关联度、复杂性和受外部因素影响的密切程度，十分有必要对其功能设计的安全性进行独立评估，本文就铁路通信信号设备所涉及的功能设计安全评估若干问题进行深入探讨，仅供有关部门和人员参考。

2 安全评估的必要性

众所周知，设备是组成系统的一个基本元素，设备的安全性也决定了整个系统的安全性，通常，系统功能安全性主要包括有控制系统安全性和防护系统安全性两大类。随着微电子技术、计算机技术和总线技术以及无线通信技术的迅速发展，这些技术被越来越多地应用到铁路通信信号系统以实现列车运行安全功能。而这些涉及功能设计的系统本身，由于存在着一定的无法预计的失效和风险，因而其功能设计的安全性必然会引起铁路部门和相关人员的关注。事实上，从上世纪八九十年代以来在铁路系统所发生的事故大多与通信信号系统功能故障或失效有关。例如，被媒体称之为“印度之痛”的年均300起火车事故，很大一部分是由通信信号系统造成的，又如，2011年我国发生的7.23温州动车追尾事故，也与通信信号设备的设计安全质量密不可分，所以人们开始意识到除了系统固有性能之外，对其功能设计安全也应进行独立评估。

日本、美国、欧共体等国家相继在各自领域开展对功能设计安全的研究，并制定了相应的国家标准，直到2000 年IEC61508.1-7《电气/电子/可编程电子安全相关系统的功能安全》标准的颁布，这标志着功能安全作为独立的安全学科进入了实际的应用阶段。继IEC61508 标准之后，诸如欧盟ATEX 指令强制指令、IEC61511.1-3《过程工业领域安全仪表系统(SIS)的功能安全》标准、IEC62061《机械安全-安全相关的电气/电子/可编程电子控制系统的功能安全》标准和IEC61784《与工业控制系统中使用的现场总线有关的用于连续和离散制造的行规集》系列标准等先后纳入安全法规范畴，以安全完整性等级（SIL）来评估控制系统和防护系统的风险程度。近年来，在国内制造业中也已开始涉及功能安全和安全完整性等级评估领域，对于目前处于工程投资和工程设计超历史规模的铁路系统而言，涉及行车安全的通信信号设备开展功能设计安全评估工作就显得尤为必要。

3 评估模式及其流程

3.1 评估模式的选择

根据ISO/IEC 出版物《认证的原则与实践》，将现行的认证制度归纳为8 种模式，即型式试验、型式试验+工厂抽样检验、型式试验+市场抽样检验、型式试验+工厂/市场抽样检验、型式试验+工厂/市场抽样检验+质量体系检查+获证后复查、质量体系检查+获证后复查、批量检验和100%检验。鉴于各国对各类产品开展认证所选择的模式不同会造成认证效果的差异，ISO、IEC等国际标准化组向各国推荐了型式试验+工厂/市场抽样检验+质量体系检查+获证后复查的第5种认证模式，并建议以此模式为基础建立各自的产品认证制度。目前，我国的强制性产品认证（3C认证）也是采用了这种模式。随着我国铁路建设和国际贸易发展进入一个前所未有的大时代，需要认证的产品范围和内容愈来愈广，涉及铁路产品认证的标准和规范也在不断地演变发展，其中通信信号设备设计、制造、工程、安装、运行、维护的功能安全便是一个突出的例子。因此，在铁路设备领域中不可避免地对认证模式及其流程提出了更新的要求。

例如，欧洲铁路信号系统供应商在产品投入市场之前都按照CENELEC EN50126、EN50128、EN50129等独立安全评估标准进行SIL等级评定，并获得相应的独立安全评估证书。安全完整性等级（SIL，Safety Integrity Level）是用来衡量一个特定过程的安全性指标，以明确用户对保障设备安全性的期望值，以及一旦设备功能失效所带来的后果。通常，安全完整性等级（SIL）认证的模式应按设备的不同，可分为型式试验+工厂质量体系评定+认证后监督或者型式试验+工厂质量体系评定等不同评估模式。这是因为SIL 的评估是贯穿于系统设备的整个生命周期，所以其评估不仅要基于危险安全分析(RBSA)之上，而且应通过量化将其分成可接受风险和不可接受风险，以便选择一个最合理、最经济的安全水平。

又如，我国对信息系统或产品发布了GB/T18336《信息技术 安全技术 信息技术安全性评估准则》，将信息技术安全设备的评估由低到高划分为7个等级，即评估保证级1（EAL1）至评估保证级7（EAL7），每个保证级（EAL）都是一些保证组件的适当组合。在确定选择7个等级的高低次序时，应权衡各个等级所获得的保证以及达到该保证程度所需的评估代价和可行性。此外，还可以依据系统设备的特殊情况，定义用户自身所需的保证要求，以更符合系统设备的实际安全要求，但它必须在7个标准的评估保证级基础上增加额外的保证要求。

3.2 评估的流程

首先，需要通信信号设备制造商提供设计开发过程中所有的技术文档证据，将其作为独立安全评估的基本条件，以证明系统设备的基本技术性能和功能安全。其次，制造商还需要提供设备设计研发过程中所有的质量管理、安全管理证据，例如设备设计开发过程中所有参与人员的相关能力水平、采用的设计开发工具、安全生命周期中的各项活动（安全分析、评审、审核、验证、确认）等证据。再次，通过对包括人员、过程、文档和测试等检查对象的逐一确认验收，最终完成系统设备的独立安全评估工作。整个独立安全评估工作应该是伴随系统设备设计开发过程而平行进行的一项活动，它从项目的计划阶段开始，一直到系统设备最终被确认和验收为止。

通常，其评估方式应包括会议讨论、文档评估、现场审核和测试见证等几个阶段和步骤：

启动评估会议→制定详细的独立安全评估计划→开展安全和质量审核→初审质量安全报→

检查计划和规范文件及报告→启动技术会议→见证软件/硬件/集成测试→检查测试文件和报告→见证产品/系统确认验收→审核最终独立安全评估报告→颁发独立安全评估证书。

4安全评估与电磁兼容环境的关系

众所周知，一个铁路通信信号系统设备在正常运行或执行安全功能时，如果遇到强电磁骚扰，就有可能产生错误、误动作、故障或损坏，从而导致通信信号系统设备性能下降或失效，甚至引发重大安全事故，这种情形在电气化铁路区段尤为明显突出。因此，国外铁路部门特别强调对通信信号系统设备的电磁兼容(EMC)特性进行评估，以保证安全完整性等级(SIL)所规定的失效率。与此同时，国际相关组织也积极研究和制定诸如IEC61326《测量、控制和实验室用电气设备电磁兼容性要求》等一系列标准，为相关设备的安全性提出电磁兼容性要求，其中IEC61326-3标准规定了相关系统、设备抗扰度水平的附加要求，而且其EMC性能判据也不同于其他通用标准。

为此，在通信信号设备进行功能设计安全评估时，其设备必须符合与功能安全相关的电磁兼容技术要求。这是因为，其一，安全是铁路运输生产的永恒主题，开展诸如安全完整性等级(SIL)电磁兼容性评估，可以保障国产化通信信号系统设备的安全使用，对提高其市场核心竞争力有着积极的作用；其二，通过诸如安全完整性等级(SIL)电磁兼容性评估，国内SIS用户、设计部门、集成商和设备制造商和供应商可以认识和理解功能设计安全的概念，可以正确运用相关标准来实现所要求的安全功能，并通过有效的功能安全管理和评估来满足相关安全标准以及合同要求，以提高自身的竞争能力；其三，通信信号系统设备的电磁兼容(EMC)要求及其性能判据，都要比其他铁路系统设备的要求高，所以其安全完整性等级(SIL)等级和电磁兼容(EMC)的要求也越高，必须加以严格评估认证。

在IEC61326《测量、控制和实验室用电气设备电磁兼容性要求》系列标准规定的设备和相关系统抗扰度水平附加要求中，包括了在任何场所概率非常低的可能发生的极端情况，这十分适合于在严酷电磁环境下使用或安装在某些特殊场所的通信信号系统设备。对于电磁兼容性评估，可以采用模拟设备工作状态下严酷电磁环境的试验方法，为了增加安全完整性等级（SIL）电磁抗扰度的可置信度，在进行抗电磁干扰性能试验时可以采取相对于基础标准要求增加瞬时脉冲数量或者延长试验时间或者提高试验等级，以便考察通信信号系统设备模拟数字电路或者数字信号传输的瞬变状态，等等。

5安全评估与实时操作系统的关系

    如何在安全关键性应用中选择和使用合格的实时操作系统(RTOS)，这对于涉及铁路安全关键性通信信号系统设备来说是十分重要的，这是因为其中许多设备具有潜在危险部分都是由嵌入式软件来控制的，例如在高速铁路列车运行自动控制设备中嵌入式软件的使用越来越普及，而其连带的风险几率也就越来越高。

据悉，目前在各领域和技术中共有19个和软件安全、可靠性有关的标准，这些标准还在不断地在宣贯普及之中，越来越多的符合这些标准的嵌入式通信信号设备也正在不断地开发出来。由于使用嵌入式实时操作系统（RTOS）的嵌入式通信信号设备越来越多，因此，设计符合这些标准的具有实时操作系统(RTOS)的通信信号设备便成了一个必然趋势。这就给设计者们提出了一个重要的问题：设计出来的实时操作系统(RTOS)将如何实现安全合格认证？

目前，IEC61508标准并没有提及实时操作系统(RTOS)软件或商业成品软件（COTS）。这种情况在即将面世的第二版标准中有所改观，第二版标准将明确要求商业成品软件(COTS)应与新开发的软件一样要符合相同的技术要求。这个要求在目前的标准中只是个隐含条件并没有明确提到，但今后将会特别提出。因此，在通信信号系统设备进行功能设计安全评估时，必须把实时操作系统(RTOS)软件与任何组件同等对待。

    软件认证包含了几个不同方面。首先，要分析软件的开发流程，然后要分析软件设计，以确定潜在错误模式和软件采取的措施。这中间，在使用商业操作系统中存在着一个巨大的挑战，这是由于操作系统的开发流程和安全措施是不受控的，那么如何使通信信号系统设备通过功能设计安全认证呢？令人感到欣慰的是，人们可以采取现有的一些成熟方法，其中最简单的方法就是在通信信号系统设备中使用已经通过安全认证的实时操作系统。目前，市场上有符合IEC61508认证的实时操作系统(RTOS)软件，这些实时操作系统(RTOS)软件可以使通信信号系统设备的功能设计安全和处理免去很多麻烦。还有一个方法是使用非认证的实时操作系统(RTOS)软件，但将其作为零部件纳入认证程序，它比第一种方法难度高，但是它可以多次使用。

6 安全评估与可靠性的关系

就功能设计安全评估安全完整性等级（SIL）而言，在对其进行统计计算时不可避免地会涉及到系统设备的可靠性。通常，系统设备的可靠性是由平均故障间隔时间(MTBF)、平均修理时间(MTTR)和需求失效概率(PFD)等参数来评判的，且可以通过这些可靠性数据和统计学方法来评估系统设备的安全完整性等级（SIL）高低。

目前，有若干种公认的技术可以来测定系统设备特定过程的安全完整性等级（SIL），它们包括故障树分析(FTA)、可靠性框图(RBD)、失效模式及影响分析(FMEA)以及马尔可夫(Markov)模型，等等。这些技术各自都能对一个合用的设备进行安全完整性等级（SIL）的评估，其主要是对系统设备进行需求失效概率(PFD)等参数的计算和评估。一般来说，故障树分析(FTA)可以对可能造成系统设备故障的各种因素（含硬件、软件、环境、人为等因素）进行定性、定量分析，通过高效工程算法实现事件发生概率、概率重要度、结构重要度及关键重要度等计算；马尔可夫(Markov)模型的过程分析则可以达到更加精确的计算和评估，这是因为在状态图中包括了所有部件的失效模式，其任何一种状态的时间函数都是可确定的，这中间囊括了需求失效概率(PFD)等全部相关参数，因此可以更精确地计算出一个过程的可靠性程度，等等。

7 结语

    综上所述，由于通信信号设备随着铁路迅猛发展和科技进步不断升级换代，它对铁路运输生产安全的影响程度也随之不断扩大，而其功能设计安全评估和认证工作在国内还处于初级阶段，此项工作在包括设计部门、制造商等在内的相关企业中开展得并不普遍，对其重要性的认识也不够充分，对其具体技术内涵的了解和研充也不够细仔深入。因此，相关企业和技术人员十分有必要来解读设备功能设计安全评估工作的技术内容，以便通过功能设计安全评估来提高通信信号系统设备的安全性，以满足现代铁路高效运行、安全可靠的要求。