1 国外铁路对IEC61508的应用
西方发达国家在宣传和介绍IEC61508国际标准 的同时,以IEC61508国际标准为基础,开发本国行业 标准。欧洲电气化标准委员会(CENELEC)下属 SC9XA委员会,制定了以计算机控制的信号系统作为 对象的铁道信号标准(图1),它包括以下4个部分:
(1)EN一50126铁路应用:可靠性、可用性、可维护 性和安全性(RAMS)规范和说明。
(2)EN-50129铁路应用:安全相关电子系统。
(3)EN-50128铁路应用:铁路控制和防护系统的 软件。
(4)EN-50159-1铁路应用:通信、信号和处理系 统。 日本在应用IEC61508上已经走在了前面,它先 把IEC61508国际标准转化为JIS-C-0508国家标准, 然后由日本铁路部门具有丰富安全技术经验的专家组 成列车保安控制安全技术研讨委员会,经过研讨制定 了《列车保安控制系统的安全性技术指南》。
可以看到 这个铁路安全标准是以IEC61508为基础,并吸收了 日本铁路专家的经验而制定的。
2 IEC61508在铁路安全相关系统中的应用研究
我们国家应该首先吸取IEC61508的精华部分, 结合相应的铁路安全国际标准和我们国家实际制定的 铁路安全标准和评估标准,进而建立国家铁路安全评 估体系。以下结合IEC61508对铁路安全相关系统的 研制和开发以及相关的安全文件体系和安全评估体系 做一些应用探讨。 在IEC61508中有两个很重要的概念,一个是安 全完善性等级,一个是安全生命周期。安全完善性等 级的确定需要进行安全系统风险分析,它是进行系统 研发的目标和基础,是评估系统能否保证安全的依据。 而安全生命周期描述的是应该怎样进行安全相关系统的研发。
图2是IEC61508关于安全生命周期的流程 图。对铁路安全系统研发过程有重要的指导意义。
阶段1 概念 对安全相关系统和它所处的环境有一定程度的了 解。
阶段2 整体概览 ① 确定控制设备和控制系统的边界; ② 说明危险和风险分析的范围。
阶段3 危险和风险分析 ① 预见危险和风险事件; ② 确定导致危险的事件的严重度; ③ 确定控制设备危险事件的风险概率。
阶段4 明确整体安全要求 根据要求的安全功能和安全完善性详细说明每个 E/E/PE安全相关系统的需求,以便完成所要求的安 全功能。
阶段5 安全要求分配 ① 把安全功能分配给指定的E/E/PE安全相关 系统; ② 给每一个安全功能分配安全完善性等级。
阶段6 制定整体运行和维护计划 为E/E/PE安全相关系统制定1个运行和维护计 划,以保证在运行和维护中可以实现所有要求的安全 功能。
计划中要说明以下方面: ① 实现安全功能的常规措施; ② 为防止不安全的状态,在特殊情况下的对策和 要求; ③ 有关危险事件的文件; ④ 维护的范围; ⑤ 在危险情况发生时采取的必要措施; ⑥ 按时间顺序编写的运行和维护文件的目录。
阶段7 制定整体安全确认计划 为E/E/PE安全相关系统制定1个计划,以进行 系统整体的安全确认。
阶段8 制定整体安装和委托计划 为了E/E/PE安全相关系统的安装和委托制定1 个计划来保证达到所需的功能安全。安装的计划应包 括:安装时间表、安装步骤、负责人员、不同部件的安装 顺序、安装完毕的标准和处理故障的步骤。
阶段9 E/E/PE功能实现 设计和实现E/E/PE安全相关系统的硬件,以满 足对E/E/PE安全相关系统规定的安全功能和安全 完善性需求。
阶段1O 其他技术实现要求同阶段9。
阶段ll 风险降低措施实现要求同阶段9。
阶段l2 整体安装和委托 ① 安装E/E/PE安全相关系统; ② 委托E/E/PE安全相关系统。
阶段13 整体安全确认 论证E/E/PE安全相关系统在功能安全和安全 完善性方面达到整体安全要求规范。
阶段14 整体运行,维护和修理 为了达到所需的功能安全要进行E/E/PE安全 相关系统的运行,维护和修理。
要求: ① 对于E/E/PE安全相关系统和软件的运行,维 护和修理要制定计划; ② 要进行下列行为的初始化:步骤的执行,维护 时间表的实行,文件的维护,功能安全审核,对于修改 的归档; ③ 按照时间顺序编制文件。
阶段15 整体修改和翻新 在修改和翻新中确保功能安全。要求: ① 必须进行请求的认可,并要详细列出可能产生 的危险,改进的建议和改进的原因; ② 要进行后果分析; ③ 进行修改和翻新的认可取决于后果分析的结 果; ④ 所有对功能安全有影响的修改都应该回到相 应的生命周期中; ⑤ 按时间顺序归档。
阶段16 报废和处理在报废和回收中要保证功能安全。
要求: ① 报废和回收后果分析; ② 报废和回收请求的认可,认可取决于后果分析 的结果; . ③ 准备包含停机和拆除E/E/PE安全相关系统 步骤的计划; ④ 如果报废和回收对于功能安全有影响,应该回 到相应的安全生命周期; ⑤ 按时间顺序归档。
从以上的介绍可以看出,IEC61508所要求的安全 相关系统的研发过程是一个完备、系统的过程,各个阶 段环环相扣形成一个有机的整体。图3结合铁路应用 的实际情况说明怎样把安全生命周期理论分层次的贯 穿到铁路安全相关系统的研发中去。
从图3中可以看到整个生命周期成V字形,并且 分成了4个层次:用户级、系统级、子系统级和元器件 级。安全的对立面是风险和故障,在安全相关系统的 设计开发之前应当明确系统边界,应当对系统进行危 险和风险分析(Hazard Analysis and Risk Analysis), 找出系统可能的所有安全隐患和危险模式,确定系统 当前的安全度和目标安全度之间的差距,把安全完善 性等级要求分配给各个子系统,在系统设计开发时采 取相应的对策降低故障率,满足用户对安全性的要求。 安全评估中危险和风险分析是相当重要的,直接影响 风险分析技术、安全技术的应用和安全完善性等级的 确定。影响危险和风险分析主要因素在于危险辨识方 法、故障数据、后果模型等。 在做安全评估时,依据的是V字图左边的一系列 安全计划和规范,阶段12~阶段14的实施应分别参 照阶段6~ 阶段8。
3 安全文件体系
根据IEC61508,安全文件体系也是实现系统安全 可靠性的重要环节。安全生命周期每一个阶段的一些 必要信息要形成文件,上一阶段的文件成为下个阶段 或以后各阶段进行工作的基础,目的是对安全生命周 期的所有阶段功能安全论证和评估进行有效的管理。 要求: (1)每一阶段的详细资料; (2)功能安全管理的详细资料; (3)进行功能安全评估必须的详细资料; (4)文件应该清晰、有标题和名字; (5)文件结构要易于寻找相关信息; (6)文件的修订、审查和认可有一定的计划。
4 安全评估体系
在完成了安全相关系统研发工作之后还涉及到对 整个系统的安全性评价和