论文部分内容阅读
摘 要:屏蔽门作为地铁运行中的重要系统,直接与乘客接触,影响乘客安全,为保证系统安全可靠使用,需要对产品整个寿命周期过程进行独立安全评估。评估基于CENELEC 标准EN50126:2017、EN50128:2011、EN50129:2003,如果定义和实施的开发、质量、安全、V&V、安装和测试与调试等活动的与标准要求一致,屏蔽门系统功能达到规定的安全完整性等级的安全目标,屏蔽门系统能授予安全运营权。
关键词:屏蔽门;独立安全评估;标准
屏蔽门是站台和轨道列车之间的屏障,当列车到站时,列车停靠在规定区域,列车门屏蔽门对位后同时打开,供乘客上下列车。设置屏蔽门的主要目的是防止乘客跌落轨道风险,改善乘客候车环境,相对封闭空间,降低了空调能耗。
本文主要基于CENELEC 标准描述屏蔽门系统独立安全评估过程。
1 安全完整性等级
标准EN50129将安全完整性SIL等级划分为四级,等级4安全性要求最高,等级1安全性要求最低,每个等级对应的可容忍故障率,参见EN50129表A.1。按照标准中的方法可分析不同完整性等级对应的措施和方法。按照标准要求的方法控制整个研发过程,产品发生的安全事故的概率会大大降低。一般对于屏蔽门系统,安全完整性根据业主要求需满足SIL2等级。
2 人员独立性
标准EN50129中要求的角色独立性,SIL1与SIL2一致,SIL3与SIL4一致,参见EN50129图6。屏蔽门系统人员组织架构,设计开发团队、集成测试团队、验证确认团队相互独立,而评估团队需来自第三方。说明人员的独立性要求符合标准EN50129对SIL1和SIL2等级的要求。
3 风险分析及安全功能识别
风险分析贯穿于整个寿命周期阶段,流程图如图1,包括接口危害分析IHA、子系统危害分析SSHA、初步危害分析PHA和操作支持危害分析OSHA。风险分析的目的是找到系统的安全功能,并对安全功能分配SIL等级。如果对系统的功能是涉及安全的,定义为SIL等级,否则定义SIL等级为0,无安全功能。例如屏蔽门系统定义SIL2等级,对于SIL2等级的制定减轻措施,提出安全需求,所有安全需求最终在危害日志文件中管理,验证和关闭。危害日志安全需求有对运营商提出要求的,作为安全限制条件SRAC单独输出。
根据屏蔽门系统的接口及架构,识别其安全功能,其安全功能主要有:整侧站台门的开启和关闭:包括信号系统开关门,PSL站台级开关门;单个门的开启和关闭(包括手动解锁,本地手动控制盘开启和关闭单个门);向信号系统反馈所有门关闭且锁定信号(该信号决定是否允许列车发车或者进站);向信号系统反馈单个(多个)门安全回路被旁路信号(该信号将旁路安全回路信号,并导致信号系统给即将进入车站的列车紧急降速。)以上这些安全功能都需满足SIL2等级。
4 评估流程
整个评估过程,基于EN50126贯穿于整个生命周期14个阶段,结合EN50129制定。主要包括计划阶段、需求阶段、设计阶段、测试阶段、确认阶段,参见EN50129中图5。
系统验证伴随整个项目的生命周期的各个阶段,验证内容除了要验证阶段输出的文档,还要验证阶段的执行过程,包括是否是由合适的人写了合适的文档,做了合适的活动等,所有内容也将纳入各个阶段相关验证报告中。确认活动仅在计划阶段制定确认计划,中间的阶段可以依赖于验证的结果,对验证进行确认。因此没有单独列出每个阶段的确认记录,但是确认活动贯穿整个生命周期各个阶段,每一次的验证或测试活动完成后,对验证或测试结果执行确认活动。
5 评估过程
5.1 计划阶段
计划阶段包括的文件主要有系统开发计划、系统配置管理计划、系统质量保证计划、系统安全保证计划、系统验证确认计划、系统RAM管理计划,测试计划、验证确认计划。计划是后续工作开展的指南,是评估工作的基础。项目开始阶段对计划类文件完整性、正确性的检查有助于降低项目风险,确保必要的安全保障活动被执行,且避免不必要的活动。
5.2 需求階段
关注系统需求规范的完整性,需求的可追踪性和相对于设计的可验证性。需求阶段包括的文件主要有系统需求规范、软件需求规范、软件需求测试规范、硬件需求规范和对应的测试规范。系统需求清楚且全面地定义屏蔽门系统的功能需求,性能需求,质量需求,RAMS需求,接口需求以及环境需求,并为设计测试,验证和确认人员在系统设计和评估过程中提供可追溯的源头,系统需求测试规范描述了屏蔽门系统的功能测试、性能测试、质量测试、RAMS测试、接口测试和环境测试的测试方法、过程,目的是规范系统的最终测试方法、设备、过程等。
5.3 设计阶段
设计阶段包括系统架构设计、软件架构设计、软件模块设计、硬件架构设计、硬件电路设计和对应的测试规范。设计阶段是最重要的阶段,系统的功能性能如何的实现,由哪些子系统完成,全部体现在架构图上,包括内部子系统之间的接口(PSC与DCU、PSC与PSL等)和与外部系统的接口(PG与SIG、PG与ISCS等)。
5.4 测试确认阶段
所有测试规范需要最终试验和测试,对屏蔽门系统进行验证和确认,对于失败的试验,需要更改测试规范。对于不能覆盖的测试,需重新制定测试规范。测试包括软件模块测试、硬件集成测试、软件集成测试、系统集成测试、系统需求测试。测试能在工厂进行的则在场内完成,如需到现场测试的,需要到现场测试调试,与其它供应商接口的,需要和其它供应商协调完成,直至全部满足通过。验证和确认了需求的正确性、完整性和一致性。
6 审查和评估结论
在适当阶段,第三方将进行质量与安全管理现场审计,审核质量与安全活动的流程及如何确保其正确实施。如审核的内容主要有:质量安全管理体系的正确应用;项目团队组织、角色和职责;质量管理活动,如子供应商管理、内部审计、人员能力管理、配置与变更管理、系统需求管理、生命周期及安全管理活动、危害日志管理、SIL 分配、安全需求识别与追踪、安全论证的方法、测试和 V&V 的策略及方法。在审核过程中有发现的不符合项,第三方在审核报告中提出,提交整改措施和证据给第三方审核进行验证关闭。
7 结束语
如果屏蔽门系统计划与实施的设计、质量、安全、验证与确认的整个活动, 符合 CENELEC 标准 EN50126:2017, EN50128:2011和 EN50129:2003 的要求,第三方出具证书和报告说明屏蔽门系统满足安全完整性等级2级,能授予安全运营权。
参考文献:
[1]BS EN 50126-2017铁路适用-可靠性可用性可维护性和安全性的标准与规范[S].
[2]BS EN 50128-2011铁路应用——通信、信号和处理系统——铁路控制和防护系统软件[S].
[3]BS EN 50129-2003铁路应用-通信、信号、处理系统-信号安全相关电子系统[S].
关键词:屏蔽门;独立安全评估;标准
屏蔽门是站台和轨道列车之间的屏障,当列车到站时,列车停靠在规定区域,列车门屏蔽门对位后同时打开,供乘客上下列车。设置屏蔽门的主要目的是防止乘客跌落轨道风险,改善乘客候车环境,相对封闭空间,降低了空调能耗。
本文主要基于CENELEC 标准描述屏蔽门系统独立安全评估过程。
1 安全完整性等级
标准EN50129将安全完整性SIL等级划分为四级,等级4安全性要求最高,等级1安全性要求最低,每个等级对应的可容忍故障率,参见EN50129表A.1。按照标准中的方法可分析不同完整性等级对应的措施和方法。按照标准要求的方法控制整个研发过程,产品发生的安全事故的概率会大大降低。一般对于屏蔽门系统,安全完整性根据业主要求需满足SIL2等级。
2 人员独立性
标准EN50129中要求的角色独立性,SIL1与SIL2一致,SIL3与SIL4一致,参见EN50129图6。屏蔽门系统人员组织架构,设计开发团队、集成测试团队、验证确认团队相互独立,而评估团队需来自第三方。说明人员的独立性要求符合标准EN50129对SIL1和SIL2等级的要求。
3 风险分析及安全功能识别
风险分析贯穿于整个寿命周期阶段,流程图如图1,包括接口危害分析IHA、子系统危害分析SSHA、初步危害分析PHA和操作支持危害分析OSHA。风险分析的目的是找到系统的安全功能,并对安全功能分配SIL等级。如果对系统的功能是涉及安全的,定义为SIL等级,否则定义SIL等级为0,无安全功能。例如屏蔽门系统定义SIL2等级,对于SIL2等级的制定减轻措施,提出安全需求,所有安全需求最终在危害日志文件中管理,验证和关闭。危害日志安全需求有对运营商提出要求的,作为安全限制条件SRAC单独输出。
根据屏蔽门系统的接口及架构,识别其安全功能,其安全功能主要有:整侧站台门的开启和关闭:包括信号系统开关门,PSL站台级开关门;单个门的开启和关闭(包括手动解锁,本地手动控制盘开启和关闭单个门);向信号系统反馈所有门关闭且锁定信号(该信号决定是否允许列车发车或者进站);向信号系统反馈单个(多个)门安全回路被旁路信号(该信号将旁路安全回路信号,并导致信号系统给即将进入车站的列车紧急降速。)以上这些安全功能都需满足SIL2等级。
4 评估流程
整个评估过程,基于EN50126贯穿于整个生命周期14个阶段,结合EN50129制定。主要包括计划阶段、需求阶段、设计阶段、测试阶段、确认阶段,参见EN50129中图5。
系统验证伴随整个项目的生命周期的各个阶段,验证内容除了要验证阶段输出的文档,还要验证阶段的执行过程,包括是否是由合适的人写了合适的文档,做了合适的活动等,所有内容也将纳入各个阶段相关验证报告中。确认活动仅在计划阶段制定确认计划,中间的阶段可以依赖于验证的结果,对验证进行确认。因此没有单独列出每个阶段的确认记录,但是确认活动贯穿整个生命周期各个阶段,每一次的验证或测试活动完成后,对验证或测试结果执行确认活动。
5 评估过程
5.1 计划阶段
计划阶段包括的文件主要有系统开发计划、系统配置管理计划、系统质量保证计划、系统安全保证计划、系统验证确认计划、系统RAM管理计划,测试计划、验证确认计划。计划是后续工作开展的指南,是评估工作的基础。项目开始阶段对计划类文件完整性、正确性的检查有助于降低项目风险,确保必要的安全保障活动被执行,且避免不必要的活动。
5.2 需求階段
关注系统需求规范的完整性,需求的可追踪性和相对于设计的可验证性。需求阶段包括的文件主要有系统需求规范、软件需求规范、软件需求测试规范、硬件需求规范和对应的测试规范。系统需求清楚且全面地定义屏蔽门系统的功能需求,性能需求,质量需求,RAMS需求,接口需求以及环境需求,并为设计测试,验证和确认人员在系统设计和评估过程中提供可追溯的源头,系统需求测试规范描述了屏蔽门系统的功能测试、性能测试、质量测试、RAMS测试、接口测试和环境测试的测试方法、过程,目的是规范系统的最终测试方法、设备、过程等。
5.3 设计阶段
设计阶段包括系统架构设计、软件架构设计、软件模块设计、硬件架构设计、硬件电路设计和对应的测试规范。设计阶段是最重要的阶段,系统的功能性能如何的实现,由哪些子系统完成,全部体现在架构图上,包括内部子系统之间的接口(PSC与DCU、PSC与PSL等)和与外部系统的接口(PG与SIG、PG与ISCS等)。
5.4 测试确认阶段
所有测试规范需要最终试验和测试,对屏蔽门系统进行验证和确认,对于失败的试验,需要更改测试规范。对于不能覆盖的测试,需重新制定测试规范。测试包括软件模块测试、硬件集成测试、软件集成测试、系统集成测试、系统需求测试。测试能在工厂进行的则在场内完成,如需到现场测试的,需要到现场测试调试,与其它供应商接口的,需要和其它供应商协调完成,直至全部满足通过。验证和确认了需求的正确性、完整性和一致性。
6 审查和评估结论
在适当阶段,第三方将进行质量与安全管理现场审计,审核质量与安全活动的流程及如何确保其正确实施。如审核的内容主要有:质量安全管理体系的正确应用;项目团队组织、角色和职责;质量管理活动,如子供应商管理、内部审计、人员能力管理、配置与变更管理、系统需求管理、生命周期及安全管理活动、危害日志管理、SIL 分配、安全需求识别与追踪、安全论证的方法、测试和 V&V 的策略及方法。在审核过程中有发现的不符合项,第三方在审核报告中提出,提交整改措施和证据给第三方审核进行验证关闭。
7 结束语
如果屏蔽门系统计划与实施的设计、质量、安全、验证与确认的整个活动, 符合 CENELEC 标准 EN50126:2017, EN50128:2011和 EN50129:2003 的要求,第三方出具证书和报告说明屏蔽门系统满足安全完整性等级2级,能授予安全运营权。
参考文献:
[1]BS EN 50126-2017铁路适用-可靠性可用性可维护性和安全性的标准与规范[S].
[2]BS EN 50128-2011铁路应用——通信、信号和处理系统——铁路控制和防护系统软件[S].
[3]BS EN 50129-2003铁路应用-通信、信号、处理系统-信号安全相关电子系统[S].