綜合運用：IEC61508在鐵路上的應用

1.國外鐵路對IEC61508的應用
    西方發(fā)達國家在宣傳和介紹IEC61508國際標準的同時，以IEC61508國際標準為基礎，開發(fā)本國行業(yè)標準。歐洲電氣化標準委員會（CENELEC）下屬SC9XA委員會，制定了以計算機控制的信號系統(tǒng)作為對象的鐵道信號標準，它包括以下4個部分：
    （1）EN一50126鐵路應用：可靠性、可用性、可維護性和安全性（RAMS）規(guī)范和說明。
    （2）EN-50129鐵路應用：安全相關電子系統(tǒng)。
    （3）EN-50128鐵路應用：鐵路控制和防護系統(tǒng)的軟件。
    （4）EN-50159-1鐵路應用：通信、信號和處理系統(tǒng)。日本在應用IEC61508上已經(jīng)走在了前面，它先把IEC61508國際標準轉(zhuǎn)化為JIS-C-0508國家標準，然后由日本鐵路部門具有豐富安全技術經(jīng)驗的專家組成列車保安控制安全技術研討委員會，經(jīng)過研討制定了《列車保安控制系統(tǒng)的安全性技術指南》。
    可以看到這個鐵路安全標準是以IEC61508為基礎，并吸收了日本鐵路專家的經(jīng)驗而制定的。
    2.IEC61508在鐵路安全相關系統(tǒng)中的應用研究
    我們國家應該首先吸取IEC61508的精華部分，結(jié)合相應的鐵路安全國際標準和我們國家實際制定的鐵路安全標準和評估標準，進而建立國家鐵路安全評估體系，以下結(jié)合IEC61508對鐵路安全相關系統(tǒng)的研制和開發(fā)以及相關的安全文件體系和安全評估體系做一些應用探討。在IEC61508中有兩個很重要的概念，一個是安全完善性等級，一個是安全生命周期。安全完善性等級的確定需要進行安全系統(tǒng)風險分析，它是進行系統(tǒng)研發(fā)的目標和基礎，是評估系統(tǒng)能否保證安全的依據(jù)。而安全生命周期描述的是應該怎樣進行安全相關系統(tǒng)的研發(fā)。
    階段1：概念對安全相關系統(tǒng)和它所處的環(huán)境有一定程度的了解。
    階段2：整體概覽①確定控制設備和控制系統(tǒng)的邊界；②說明危險和風險分析的范圍。
    階段3：危險和風險分析①預見危險和風險事件；②確定導致危險的事件的嚴重度；③確定控制設備危險事件的風險概率。
    階段4：明確整體安全要求根據(jù)要求的安全功能和安全完善性詳細說明每個E／E／PE安全相關系統(tǒng)的需求，以便完成所要求的安全功能。
    階段5：安全要求分配①把安全功能分配給指定的E／E／PE安全相關系統(tǒng)；②給每一個安全功能分配安全完善性等級。
    階段6：制定整體運行和維護計劃為E／E／PE安全相關系統(tǒng)制定1個運行和維護計劃，以保證在運行和維護中可以實現(xiàn)所有要求的安全功能。
    計劃中要說明以下方面：①實現(xiàn)安全功能的常規(guī)措施；②為防止不安全的狀態(tài)，在特殊情況下的對策和要求；③有關危險事件的文件；④維護的范圍；⑤在危險情況發(fā)生時采取的必要措施；⑥按時間順序編寫的運行和維護文件的目錄。
    階段7：制定整體安全確認計劃為E／E／PE安全相關系統(tǒng)制定1個計劃，以進行系統(tǒng)整體的安全確認。
    階段8：制定整體安裝和委托計劃為了E／E／PE安全相關系統(tǒng)的安裝和委托制定1個計劃來保證達到所需的功能安全。安裝的計劃應包括：安裝時間表、安裝步驟、負責人員、不同部件的安裝順序、安裝完畢的標準和處理故障的步驟。
    階段9：E／E／PE功能實現(xiàn)設計和實現(xiàn)E／E／PE安全相關系統(tǒng)的硬件，以滿足對E／E／PE安全相關系統(tǒng)規(guī)定的安全功能和安全完善性需求。
    階段10：其他技術實現(xiàn)要求同階段9。
    階段11：風險降低措施實現(xiàn)要求同階段9。
    階段l2：整體安裝和委托①安裝E／E／PE安全相關系統(tǒng)；②委托E／E／PE安全相關系統(tǒng)。
    階段13：整體安全確認論證E／E／PE安全相關系統(tǒng)在功能安全和安全完善性方面達到整體安全要求規(guī)范。
    階段14：整體運行，維護和修理為了達到所需的功能安全要進行E／E／PE安全相關系統(tǒng)的運行，維護和修理。
    要求：①對于E／E／PE安全相關系統(tǒng)和軟件的運行，維護和修理要制定計劃；②要進行下列行為的初始化：步驟的執(zhí)行，維護時間表的實行，文件的維護，功能安全審核，對于修改的歸檔；③按照時間順序編制文件。
    階段15：整體修改和翻新在修改和翻新中確保功能安全。要求：①必須進行請求的認可，并要詳細列出可能產(chǎn)生的危險，改進的建議和改進的原因；②要進行后果分析；③進行修改和翻新的認可取決于后果分析的結(jié)果；④所有對功能安全有影響的修改都應該回到相應的生命周期中；⑤按時間順序歸檔。
    階段16：報廢和處理在報廢和回收中要保證功能安全。
    要求：①報廢和回收后果分析；②報廢和回收請求的認可，認可取決于后果分析的結(jié)果；③準備包含停機和拆除E／E／PE安全相關系統(tǒng)步驟的計劃；④如果報廢和回收對于功能安全有影響，應該回到相應的安全生命周期；⑤按時間順序歸檔。
    從以上的介紹可以看出，IEC61508所要求的安全相關系統(tǒng)的研發(fā)過程是一個完備、系統(tǒng)的過程，各個階段環(huán)環(huán)相扣形成一個有機的整體。結(jié)合鐵路應用的實際情況說明怎樣把安全生命周期理論分層次的貫穿到鐵路安全相關系統(tǒng)的研發(fā)中去。
    3.安全文件體系
    根據(jù)IEC61508，安全文件體系也是實現(xiàn)系統(tǒng)安全可靠性的重要環(huán)節(jié)。安全生命周期每一個階段的一些必要信息要形成文件，上一階段的文件成為下個階段或以后各階段進行工作的基礎，目的是對安全生命周期的所有階段功能安全論證和評估進行有效的管理。
    要求：
    （1）每一階段的詳細資料；
    （2）功能安全管理的詳細資料；
    （3）進行功能安全評估必須的詳細資料；
    （4）文件應該清晰、有標題和名字；
    （5）文件結(jié)構(gòu)要易于尋找相關信息；
    （6）文件的修訂、審查和認可有一定的計劃。
    4.安全評估體系
    在完成了安全相關系統(tǒng)研發(fā)工作之后還涉及到對整個系統(tǒng)的安全性評價和認可問題，即安全評估。它是要檢查工程的安全管理是否完善，能否和安全計劃保持一致。把安全相關系統(tǒng)和安全需求規(guī)范相對照以評價它對控制系統(tǒng)風險是不是已經(jīng)足夠，以及系統(tǒng)能不能滿足安全需求規(guī)范。安全評估的目標是對于E／E／PE安全相關系統(tǒng)在功能安全方面達到的水平進行調(diào)查，得出一個結(jié)論。
    要求：
    （1）相關人員參與評估為了保證評估的可信性，要求安全評估人員具備：①相應應用領域的工程知識；②相應技術的工程知識和安全知識；③法律和安全規(guī)范框架知識。另外，故障等級越高，SIL等級越高，要求人員能力越強。
    （2）評估人員應該能夠和生存周期各階段的所有人員進行接觸；
    （3）評估應采用一定的方法和手段，并考慮以下方面：①上次功能安全評估以來所做的工作；②上次評估的建議；③以后評估的計劃和策略；
    （4）評估行為應保持一致性和計劃性；
    （5）功能安全評估的計劃應說明：①進行評估的人員；②每一個評估的結(jié)果；③評估的范圍；④包括的安全部分；⑤需要的資源；⑥評估者的獨立性：個人、部門或是機構(gòu)。