铁路信号系统危害管理方法的应用研究

铁路信号系统危害管理方法的应用研究

陈思宇

卡斯柯信号有限公司，上海 ，200072

摘要：轨交信号系统作为安全攸关系统，其安全性能直接关系到乘客安全、财产安全以及环境安全。为确保系统安全，相关安全产品需实施严格的风险分析与危害管理。集中式危害管理方法的研究旨在优化现有的管理方法、提升管理效率。基于行业标准，结合功能安全领域的最佳实践，利用信息集成系统，形成了一套专门针对轨交信号产品的危害管理体系。

通过构建模型、利用信息化技术可以实现管理水平的提升，并带来管理创新。这包括从安全需求管理到危害管理的方法论升级，从传统的线下人工离散管理转变为线上集中管理，实现了跨平台协作的数据接口整合。同时，利用产品模板库，规范管理流程，使项目能够统一管控并兼顾个性化管理需求。此外，利用信息化手段的自动化辅助方法，减少了因人为失误导致的返工成本，并改善了跨业务的协同办公模式。

集中式危害管理方法的研究夯实了现有的安全管理方法论，显著提高了安全管理的质量和效率，可以为轨交信号系统的安全运行提供重要保障。

关键字：危害管理，安全性，铁路信号系统

1概述

安全攸关系统领域是指该系统的失效可能会导致人身安全的丧失、重要财产的损失或者环境的破坏。安全攸关系统涉及航空航天、轨道交通、核电、化工等众多领域。

根据安全攸关系统领域相关标准的技术要求，推荐使用危害日志技术。危害日志中需要完整记录系统全生命周期中识别出的危害、风险评估等级以及危害的缓解措施，并在全生命周期内进行维护管理。当系统、子系统或部件变更时，危害日志应同步进行更新维护。以保证所有的系统风险都控制在可接受的范围内。

对于轨道交通的列车运行控制系统中的安全相关产品、应用均需按照相关标准完成危害管理工作，保证产品的安全性。在产品全生命周期的确认阶段，危害日志的管理与危害的关闭是重要的安全管理工作之一。

目前轨交信号系统对危害日志的管理主要使用电子表格工具或需求管理工具进行管理。但以上两种管理模式，在危害日志管理过程中都存在一定的缺点：自动化导入缺少多样性；无法建立危害层级模型；版本变更管理存在短板；缺少软件辅助纠错机制等。

2明确建设目标原则

危害管理方法的建设目标是以符合铁路信号标准为基础，危害管理方法论为支撑，以信息化技术为手段，实现安全产品危害管理工作的效率、质量双提升。

在平台建设过程中，应确定以下原则：

2.1应符合行业内标准

铁路信号安全产品应遵守行业内的相关标准。行业内主要遵照EN5012X系列相关标准。标准中对于危害管理、安全管理有着明确的流程要求。对于一些有特殊要求的国内项目或海外项目应符合其相关标准。

2.2应可复用历史成果

危害管理方法中管理的所有产品、应用、项目，应做到互联互通，充分利用既有的工作成果。

产品、应用、项目在管理过程中均不再是孤立的存在，各层之间的危害、安全应用条件均可相互调用。通过统一的数据库源，保证所有产品采用数据的一致性。对于相似项目的管理，采信其他项目的成熟结论以提高工作效率，避免重复劳动。最终建立可以多项目共享的模板库，通过模板库提高人员管理水平，统一管理方式。

2.3应具备个性化配置

铁路信号产品种类复杂，有国铁项目、城轨项目、有轨电车项目等，其子产品又包括车载、轨旁控制设备、通用安全平台、硬件板卡等。各类产品从管理流程上应趋于统一，但在具体管理上可以有各自的特点。基于信息技术建立的危害管理方法，既符合管理流程的标准化，也可以兼顾各产品的个性化要求，能充分考虑对于非通用产品的管理方法、流程的可配置性。

3建立危害管理模型

危害管理工作经对标准的分析可划分为以下几个维度：

3.1危害的维度

危害管理按照产品架构自顶向下分配到多个层次进行管理。从方法论上，导致父系统危害发生的原因，为子系统的边界危害。(参见图1)危害管理方法可将多级危害按照父子关联建立树状模型。通过此模型保证底层的危害得以充分识别，反之可以迅速定位底层的设计缺陷，考察是否导致产品边界上的危害。

图1 欧标EN50129 图A.3 危害与系统边界的定义

3.2数据的维度

单一系统内危害的关闭依赖于危害分析、缓解措施、功能需求、架构设计、测试等。数据根据产品架构也可以划分为多个层级，系统级、子系统级、软件级、板卡级。数据在业务间和产品架构层级间均有上下级的紧密关联，通过各级数据和各级数据的关联，层层传递，最终完成危害的关闭。当有不通过的缓解措施、危害无法关闭时，应输出相应安全相关应用条件，以确保危害可以在上层系统得到控制。

3.3产品的维度

根据欧标EN50126中的定义，轨交信号产品可分为通用平台、通用产品、通用应用、特定应用。多系统集成时，依靠危害与安全相关应用条件的传递来确保危害的完整识别与控制。对于存在父子关系的两个相关产品，子系统的边界危害是由大系统分析并且分配而来；上层系统会接收子系统分配的安全相关应用条件。父子系统在危害管理中存在耦合关系。

3.4管理的维度

危害管理需要跨多专业完成管理，对于单一产品，涉及安全工程师识别风险及制定缓解措施，设计人员实现功能安全需求、架构设计，测试人员完成安全功能确认。

3.5时间的维度

危害的管理覆盖产品/应用的全生命周期各个阶段，覆盖了整个产品开发过程。按照EN50129标准中的技术要求，安全产品应该完成初步危害分析、功能危害分析、接口危害分析等。针对危害分析的结果，进行设计实现、测试确认、危害关闭等工作。当产品更新或发现缺陷时，需退回上一阶段持续改进，直至产品发布。

基于以上的危害、数据、产品、管理、时间维度，建立了危害管理的基础模型（见图2）。

图2 危害管理模型

4开发危害管理平台

危害管理的基础模型涉及多维度管理，仅依靠线下手工管理方式，无法满足现代企业的信息化发展需求。旧的管理模式中，管理人员、产品相对孤立，数据过于离散。同时，线下的管理方式易造成版本控制混乱，最终导致工作成本的增加及工作质量的下降。

为了实现对危害管理模型的高效管理，需要创建一种灵活、便捷、高效的管理途径，该途径应保证数据管理的统一，产品/应用的互联互通性、管理方法的集中性。

为了支撑上述需求，构建基于数据库的危害管理方法，建立信息化平台，平台可包含对外展现层、用户层、应用层、数据层和开发层。其中，管理用户不负责业务，仅为平台维护管理员操作使用，负责角色的定义、用户的创建、数据字典的管理、数据备份的管理等。业务用户获得授权后可以建立、管理项目，通过人机交互界面从数据库获取/写入数据。完成管理后可通过管理工具输出报表。平台构建过程中，还需充分考虑数据接口，便于后续扩展。（见图3）

图3 基于危害管理方法的信息化平台

5优化危害管理流程

5.1管理对象优化

危害与风险是安全产品最关注的元素，而产品的安全需求只是缓解危害的手段之一。危害管理方法实现对危害的直接管理，从管理手段上将危害细化、量化及明确。与此同时，实现了系统、子系统、部件级危害的层层传递设计。多层级危害通过平台管理实现了自动传递，并建立危害树模型，直观完成风险管控。

5.2管理模式优化

危害管理方法将线下工作转为线上进行，使用信息化手段优化了传统的管理模式。

首先，避免了人工管理版本造成版本混乱的情况。利用信息化技术对数据实时动态更新，可以自动化完成基线管理，提高了管理质量。

其次，一个系统/产品由多名工程师进行维护，包括系统、软件、硬件等业务。线下工作无论是并行完成后进行工作成果的合并，还是串行等待他人完成后再进行工作，都会影响到管理的效率甚至准确性。危害管理方法可以利用信息化手段进行在线管理，不仅可以提高管理效率，还可以保证数据源的一致性。

6实现跨多平台协作

危害管理方法需要多专业的共同协作。数据的输入、输出管理应保证各接口的一致性、准确性、完整性。

对于其他管理业务使用自动化工具、平台管理的，通过数据接口，以自动化的方式获取最新的数据，以保证数据的实时性，且减少了人工操作、检查的成本。如，目前市面常见的软件生命周期管理平台（Application lifecycle management）、需求管理工具等。

6.1构建标准化模板库

对于通用产品、平台，其边界危害在风险分析时覆盖所有上层应用的使用场景，因此上层应用在使用该产品/应用时，应遵守的安全相关使用条件一致。

传统的管理方法存在诸多问题，如应用人员因文字的二义性导致理解偏差；不同应用层管理证据不具有一致性；各应用人员独立管理，造成重复劳动，人力浪费等。

危害管理方法可以补齐短板，改善离散的管理模式，构建标准化模板库，对通用产品/应用的安全应用限制采用标准化管理、集中审核、灵活应用的方式进行管理。

（1）统一安全限制理解

优化管理流程，从目前孤立的各自管理转变为集中化评审管理。通用产品发布后，应指定资深用户对其内容进行分析、理解并建立模板，模板中应针对限制给出标准化证据。该模板变更时应由预期用户评审，确保消除文字的二义性，达到理解一致。

（2）多项目复用模板库

模板库中建立的标准化证据可以自动调用到项目库中。管理人员根据已评审过的标准化证据可以快速完成相关工作，大大减少了不一致性，并提高了工作效率。

（3）证据变更动态更新

模板库根据产品的升级或应用反馈的意见可以进行不断的更新维护，可以以广播形式告知所有已引用的项目。项目管理人员根据自己的需要选择是否进行更新，以此保证数据的实时性。利用信息化手段，可将变更处精确到具体条目字段，方便快速定位修改项。

6.2提供辅助办公功能

借助信息化手段，对于传统人工完成的一系列机械工作，可以通过软件进行实现，减少了大量的人工成本及时间成本，提高了工作效率与质量。主要包含以下几个方面：

（1）导入数据检查

导入数据的类型、格式完成自动化检查后进入数据库中，通过信息化手段避免了后期大量的二次确认工作及纠错工作。

（2）自动识别变更

可以自动识别文档新旧版本的增加、删除与修改项，管理者可根据相关提示快速定位变更内容。

对于变更过程管理，可以识别所有变更影响项，并生成待办任务。避免了人工判断工作项可能带来的效率低下、易发生遗漏等问题。

（3）危害影响分析

危害管理方法具有危害变更影响分析的优势，对于任一不符合项，可快速判断其是否有危害存在，且定位危害所在。在处理较复杂的大型项目时，可准确定位问题，避免疏漏及提高工作效率。

（4）发布条件检查

利用信息化技术手段可以自动检查待办事项，业务状态等相关逻辑。当不符合发布条件时，报警提示将被触发，有效避免工作疏漏。

（5）灵活建立报告

利用信息化技术手段可以自动对于危害管理过程的数据进行收集，可以将管理过程中已发生问题的薄弱环节通过数据统计的方式呈现。对于数据库内的数据也可以灵活采用图、表、统计数据等多种方式呈现。

6.3改善协同管理模式

信息化技术可以支撑多人在线管理的需求，通过软件搭建协同管理平台的统一入口，实现各类产品、各业务口员工账户的统一管理。根据组织级别及业务领域的不同，通过权限管理实现协同配合。

（1）安全管理相关人员

相关人员对产品的危害管理工作负责，针对危害管理过程中的所有分析、关闭证据、关闭状态进行控制。对于发现的问题项、疑问项，可以通过信息化手段对相关责任人进行告知，并追踪问题直至关闭。

（2）设计测试相关人员

提供相关危害管理的证据，针对安全管理人员提出的不符合项或疑问项进行答复，完成辅助管理工作。

（3）父子系统相关人员

安全管理人员可分配待管理的边界危害给下级子系统，在子系统人员完成开发、证据覆盖后，进行关闭。父级系统从危害管理平台中自动获取对方的安全相关使用条件及其相关危害。对于安全相关使用条件中的要求进行管理，对于本系统无法关闭项，可继续向上级系统人员/用户进行输出以确保危害被控制。

（4）参考系统相关人员

对于复用了相同产品的管理人员，可以通过信息化手段复用已发布系统的相关危害关闭证据。避免大量的重复劳动，通过建立通用模板机制，可以使危害管理更加规范化、统一化，节约了大量的人力成本。

7结语

通过对信号系统危害管理方法的应用研究，利用信息化技术手段可以从以下方面提高危害管理的技术水平：

7.1提升管理水平

危害管理平台方法通过对相关标准及安全攸关领域行业内最佳实践进行了多方研究，提升了危害管理的方法论，最主要的一点体现在从对安全需求的管理转变为了对危害的管理。通过危害的层层分配传递，建立了各项目之间的危害树，抓住了危害管理的根源。对于设计缺陷带来的风险可以精准定位到危害，做到了管理上的巨大提升。

7.2提高管理效率

使用信息化工具，将曾经的人工重复劳动交由软件实现，无论是数据的导入、规则的检查、数据逻辑间的确认等均严格按照数据库模型进行自动化管理。管理人员只需要对软件发现的不符合项进行确认与更改即可，可以快速发现隐藏得很深的数据问题。

7.3降低人工成本

管理效率的提高同时带来了人工成本的降低，基于危害管理方法建立的信息化系统可以使项目的危害管理确认工作缩短。标准化模板库的建立可共享工作成果，通过前期的统一评审、统一认识，减少后期因理解不一致带来的沟通成本；通过辅助办公功能查找出一些人工不易发现的笔误，也减少了后期的返工工作量。

参考文献

[1] 梁俊秀 马瑞红 王瑞 张晓秦. 轨道交通信号系统变更安全管理流程优化[J].城市轨道交通研究,2023.06.028

[2]项目管理知识体系指南[M]. 美国项目管理协会.电子工业出版社.2018

[3] 郝瑞琴.系统安全保障管理体系的建立和实践 铁路通信信号工程技术 2020,17(12)