中文 / EN
企業郵箱
对接国际新标准,持续提升系统安全保证水平 ——众合科技安全标准新版本培训
2019/03/15 151 字號:

         日前,众合科技邀请德国T?V莱茵资深专家,对EN5012X新版标准(EN50216-1-2017/EN50216-2-2017/EN50129-2018),进行为期3天的軌道交通RAMS专题培训,系统安全部、研发中心、设计中心、验证和确认中心、质量管理部和信号事业部等相关员工参加培训。


本次新標准的解讀,主要針對EN50216-1/2和EN50129新版本標准的差異,如:RAMS(可靠性、可用性、可維護性和安全性)安全生命周期、可容忍危害率THR、可容忍功能失效率TFFR和安全完整性等級SIL的分配,以及基于風險的方法等內容,並結合系統開發和實施實際情況進行了深入探討。


640.webp.jpg

 

EN5012X新版本标准综合考虑了軌道交通行业技术发展的特点、方向,通过引入新概念、完善RAMS标准体系、细化具体要求,使我们在系统研发、设计和交付过程中,更清晰地理解标准的要求,进一步明确其执行方法和过程,从而更有效地保证軌道交通系统的安全性、可靠性、可用性及可维护性。


安全方法


—Risk Based Approach 基于风险的方法


根据标准定义,安全指的是没有不可接受的风险。“基于风险的方法,通过对风险进行考量以确定和管理RAMS活动;并根据风险接收准则,对采取控制措施之后剩余风险的可接受度做出判断。”众合科技在軌道交通信号系统开发、设计和交付以及运营和维护支持的全生命周期过程中,基于风险的方法,进行定性和定量的风险分析,识别风险,通过管理和技术措施进行避免和控制风险,以确保整个产品生命周期的RAMS风险被有效控制。


? 基于运营场景的风险分析:以軌道交通运营场景为基础,针对正常模式、降级模式和异常模式等不同场景,分别采用HAZOP、FMECA、FTA等方法,分析识别不同运营场景下可能出现的危害及其原因,有针对性的提出控制措施。


? 基于事故列表的风险分析:根据标准推荐和行业经验,建立并维护事故列表,识别軌道交通信号系统相关事故,采用故障树分析(FTA)方法,自顶向下,分析可能导致事故发生的原因,并针对原因采取相应控制措施。


? 失效模式影響和危害性分析:從信號系統的功能、內外部接口、設計過程以及板卡的器件出發,采用FMECA分析方法,找出潛在失效模式,分析其可能的後果,評估風險,針對風險采取設計和防護措施。


—Multiple-level System approach 多层次系统化的方法


所謂多層次系統化設計,指的是將系統分解爲“系統、子系統、部件”等多個層級,在每個層級上,對該層級相應元素(系統、子系統、部件)在物理上和功能上都明確定義其邊界,以識別系統/子系統/部件的邊界和與其它系統的接口,預先得知系統失效可能導致的事故及其危害。如下圖是一個3層的分級系統的示意圖。

 

640.webp (1).jpg

多層系統示意圖


衆合科技BiTRACON型CBTC信號系統,采用多層次系統化的方法,分爲系統層、子系統層、平台層(包含基本的軟件和硬件模塊),自頂向下,層層分解,在不同的層次采用不同的風險分析方法,逐級進行安全防護技術和措施,實現各層級的危害控制。


正是采用了多层次系统化的方法,BiTRACON系统基于对子系统级的运行环境、外部接口的充分风险识别和功能、安全分析,在参与重庆軌道交通CBTC互联互通示范工程项目,与参建兄弟单位通力协作,通过了实验室交叉测试平台、互联互通共线测试、互联互通试运行、互联互通试运营等多次专家现场见证测试和评审,顺利在重庆4号线开通载客试运营。


系統安全管理體系


信號系統是一個複雜的控制系統,需要統一的管理規範來代替個人發揮作用。信號系統的流程設計,從需求、風險分析、架構設計、軟硬件設計和實現,到單元測試、軟硬件確認測試、集成測試、確認測試,再到系統交付,和後期的運營維護,是個全生命周期的管理範疇,一環扣一環,任何一環的缺失,都會可能導致危害不能受控,存在系統性失效的風險。


众合科技坚持统一思想、统一方法、统一行动的理念,基于标准要求和工程实践,建立系統安全管理體系,并在2015年即通过了体系的独立第三方认证。在充分了解新标准要求的基础上,及时推进转版工作,接轨国际新标准和技术,持续提升系统安全保证水平。


系統安全管理體系建设作为安全管理的重要内容,是依据CENELEC(欧洲电工标准化委员会)、国标等安全相关标准及符合公司实际情况建立的公司级管理体系,建立在已有的质量管理体系之上,根据公司实际涉及到的产品/系统特点,系统化的定义公司的安全方针、安全组织架构以及安全生命周期等流程规范,通过不同层次的体系文件以实现结构化的描述。


640.webp (2).jpg

衆合科技文檔安全管理架構


安全技術措施


信号系统的功能安全是軌道交通成功运营的基础保障,是通过多角度的安全技術措施设计才得以实现的。


安全完整性與一個安全相關系統實現其所需安全功能的能力相關聯。安全完整性包括兩個組成部分:系統失效完整性和隨機失效完整性。爲獲得足夠的安全完整性,應同時滿足系統失效完整性和隨機失效完整性的需求。


國際國內標准,對信號系統的安全措施,有詳細的安全措施清單,比如說,“組合故障安全”、“CPU動態檢測技術”等,深入分析並綜合應用這些技術措施,才能開發出符合這些技術措施的安全産品,才能開發出定性和定量檢算都達到安全標准的信號系統。


BiTRACON系統車地統一的安全計算機平台——BiSTAR平台,采用多方位異構的2取2技術、編碼技術、冗余校驗技術、版本校核技術、動態測試技術等,保證信號系統功能正確運行,同時,在外界幹擾、系統失效時,系統安全功能仍能保證維持在安全狀態的指標達到SIL4級對應的失效率指標。T?V萊茵評估專家稱贊衆合科技的計算機平台是其見過的最安全的平台,T?V萊茵上海的首席執行官曾評價說:“根據我們評估專家的審核,這個安全平台采用了完全異構的安全架構和高水平的安全自檢技術,並且已經通過了充分和嚴格的軟件、硬件、集成和確認等多層次、多類型測試,這樣優秀的安全平台是我們以往安全評估中所不多見的。” 


驗證與確認技術


根据国际国内及行业标准对安全系统的要求,提出了多样化的驗證與確認技術,系统各个层级的验证与确认是非常详细的。从系统完整性角度,要落实到每个功能;从流程上,要落实到每个阶段以及完整系统;从业务场景来说,测试要覆盖到每个业务场景、场景的转换、系统的范围和边界、内外部接口等;硬件上,要落实到每个元器件的每个失效模式下的功能和安全影响;软件上,要落实到每一行代码、每一个函数、每一个假设的条件和参数范围、每一个业务场景及场景之间的变化。


測試是證明系統在運行條件下完成預期功能的最有效的手段。據統計,測試會占到40%的開發時間,一些可靠性要求非常高的系統,測試時間甚至占到開發時間的60%。自動化測試可以縮短測試周期,提高測試效率,彌補手工測試難以實現的不足,比如壓力測試、並發測試、大數據量測試、崩潰性測試等,自動化測試手段直接依賴于整個流程的可自動化成熟度,包括:測試流程、持續編譯、持續集成、測試系統發布、測試執行、測試管理、缺陷測試跟蹤等多個方面的自動化實現和整合。


BiTRACON系統構建了完整的全系統集成測試環境,實現虛實結合的自動化仿真測試平台,該平台采用分布式部署,配置簡單;可以自動生成測試用例、自動執行測試用例、自動生成測試報告,可在設備級、系統級以及線路級實現自動化測試。


众合科技牢记“为人类提供有效的交通和环境安全保障”的使命,建立健全軌道交通系統安全管理體系,我们将始终强化安全基础支撑,推动标准与国际先进水平对接,提升众合产品和服务品质。