康 文

（北京铁路信号有限公司，北京 102613）

1 概述

铁路信号电子系统/产品包括硬件和软件两方面。在信号系统/产品的整个生命周期中要将硬件与软件二者均考虑在内。EN50129规定了系统的以及与安全相关的硬件的安全验收及批准条件；提供了铁路信号电子系统/产品安全验收和批准的通用基础，并为公开招标采购提供标准依据。

解析EN50129标准的主旨即：铁路信号电子系统/产品的生命周期过程，是以风险管理为核心、以安全完善度等级为目标，采取质量管理、安全管理保障以及具体的安全技术措施，将风险降低到可接受水平的过程。

2 质量安全管理

2.1 安全管理的目标

“风险”是安全标准中的关键词，风险的标准定义是：导致伤害的危害发生概率及伤害的严重等级。安全管理的过程是控制风险的过程——或是控制危害发生概率、或是控制伤害的严重等级、或是二者同时加以控制，将风险最终控制到可接受的水平。

安全管理最终目标是避免危害事件的产生。系统性故障和非系统性故障是造成危害事件的两大主因，如图1所示。

在设计、生产、操作过程中的错误，外部电磁环境、气候环境的影响，以及与系统关联的接口出现问题，都将会衍生为系统性故障。

外部电磁环境、气候环境的影响，以及与系统关联的接口出现问题，同时会产生随机错误，加之系统各组成部件的随机失效造成的随机错误，都将会衍生为非系统性故障。

降低或消除系统性故障的有效手段是建立质量与安全管理保障体系。

2.2 质量管理

质量管理体系的目的是将系统/产品生命周期中每一阶段的人为错误减小到最少，从而降低系统、子系统或产品的系统性故障的风险。

按照EN50129标准要求，满足系统/产品安全验收的第一个条件是：在整个生命周期内，系统、子系统或产品的质量已经而且持续被一个有效的质量管理体系所控制。

作为铁路信号电子系统/产品的供应商，需不断改进完善其质量管理体系、提升其质量管理体系的成熟度。北京铁路信号有限公司（简称北信公司）顺应时势发展，在2010年底导入IRIS国际铁路行业标准，IRIS标准结合铁路产品的特殊应用，强调风险管理、可靠性、可用性、可维护性、安全性以及全生命周期管理的核心理念。北信公司依据标准要求，结合公司组织架构及部门职能分工，以“顾客为关注焦点”和“过程的方法”，策划公司IRIS管理体系为顾客导向过程、支持性过程、管理性过程3大过程。

顾客导向过程包括5个子过程：即市场营销及合同管理、设计和开发、生产制造、产品交付、项目管理和售后服务。

支持性过程是指支持顾客导向过程的功能过程，是产品实现所需要的由输入转化为输出的相互关联或相互作用的增值活动过程，具体包括9个子过程：即文件和知识管理、资源提供和管理、人力资源管理、采购管理、产品防护管理、监测和测量设备管理、技术状态管理、监测和测量管理、不合格管理。

管理性过程是指顾客导向过程的输入和输出交接处的过程，具体包括5个子过程。即经营管理、管理评审、沟通和数据管理、体系内审、改进管理。

北信公司于2012年1月，以优秀的成绩通过了IRIS认证审核，获得了认证证书，意味着企业质量管理体系成熟度达到了一定的水准，并将在此良好的基础上，继续改进和提高。

2.3 安全管理

安全管理的目的是在质量管理的基础上进一步减少在整个生命周期中的与安全相关的人为错误，从而使安全相关系统故障残留风险最小化。

按照EN50129标准要求，满足系统/产品安全验收的第二个条件是：系统、子系统或设备的安全性已经而且持续通过一个有效的安全管理程序来管理。

安全管理过程贯穿若干个阶段和活动，这些阶段与活动组成安全生命周期；其与EN50126中所定义的系统/产品生命周期相一致。安全生命周期的设计和验证部分（安全活动）可被视为一个“V”形图，如图2所示。

2.4 质量与安全的关系

质量和安全有着必然的关系，安全的前提是质量；同时衡量质量的标准之一是安全，没有安全的产品必定是质量不合格的产品，两者之间是统一的，如图3所示。

在产品的整个生命周期过程，始终贯穿着质量管理活动，以降低系统、子系统或设备的系统性故障的风险；在质量管理的基础上，实施安全管理，进一步减少在整个生命周期中与安全相关的人为错误，从而使安全相关系统故障残留风险最小化。

北信公司于2010年开展了“ZPW-2000A无绝缘轨道电路设备产业化安全技术的研究”项目，ZPW-2000A无绝缘轨道电路设备产业化通过劳氏铁路安全认定后，进一步掌握了EN相关标准对安全产品的管理要求，尝试建立了企业的CTCS列控产品产业化安全保障体系框架。2011年起，公司立项开展 “CTCS列控产品产业化安全保障体系的建立”项目，目的是针对安全相关的CTCS产品在产业化设计、生产制造、安装、维护过程中所采用安全技术及其管理模式进行研究，建立专用的保障体系，并通过独立第三方（ISA）对安全保障体系的评估。产业化安全保障体系建立后，将融入到IRIS管理体系中，成为IRIS管理体系的组成部分，如图4所示。

2012年初，北信公司成立了安全技术测试部、设立了安全总监，完成安全组织框架的搭建。安全技术/测试部将作为项目组外的独立测试确认方，对设计开发项目实施监视及确认活动，必要时请独立第三方进行安全评估，如图5所示。

3 功能与技术安全

按照EN50129标准要求，满足系统/产品安全验收的第三个条件是：在设计上采用可靠的按术安全原理(如故障导向安全设计)以及子系统/产品依据EN50129标准所声明的安全完善度等级，包括以下内容。

1）设计上采用系统的安全技术措施、设计原理和计算、完整的测试规范、安全和风险分析。

2）分析故障的影响，即在发生随机的硬件故障时，系统/产品持续满足指定的安全需求，包括量化的安全目标。包含：个别故障的影响、多个故障的影响、各个项目的独立性、系统故障的防御，以降低随机失效故障的影响。

3）规定了正确的操作以及操作安全需求，确保正确功能的实现。

4）规定了外部影响的范围和界限，限定安全的应用条件。

5）安全资格测试：证实在正常操作情况下能够顺利完成质量安全测试。

在EN50129标准中对安全完整性水平作了详细的解释和定义、列举了用于识别硬件组件的故障模式、提出了安全相关系统/产品详细的技术要求，为执行标准提供了可操作性的依据。

4 结束语

任何系统/产品的安全首先是由设计决定的，必须保证所设计的功能及采用的技术是安全的，质量安全管理体系将保证所设计的规范性，以及系统/产品全生命周期的系统性安全。

北信公司作为铁路信号电子系统/产品的供应商，质量安全管理是企业的立企之本，需要透彻理解EN标准要求，实施铁路信号电子产品产业化质量安全管理，保证质量安全体系在实践过程中的持续改进与完善。

[1] EN 50129：2003 signaling and processing systems -Safety related electronic systems for signaling[S]．铁路应用——通信、信号和处理系统—— 信号的安全相关电子处理系统

[2] GB/T 21562-2008 轨道交通 可靠性、可用性、可维修性和安全性规范及示例[S]．