1?國(guó)外鐵路對(duì)IEC61508的應(yīng)用
西方發(fā)達(dá)國(guó)家在宣傳和介紹IEC61508國(guó)際標(biāo)準(zhǔn)?的同時(shí)，以IEC61508國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)，開發(fā)本國(guó)行業(yè)?標(biāo)準(zhǔn)。歐洲電氣化標(biāo)準(zhǔn)委員會(huì)(CENELEC)下屬?SC9XA委員會(huì)，制定了以計(jì)算機(jī)控制的信號(hào)系統(tǒng)作為?對(duì)象的鐵道信號(hào)標(biāo)準(zhǔn)(圖1)，它包括以下4個(gè)部分:

(1)EN一50126鐵路應(yīng)用：可靠性、可用性、可維護(hù)?性和安全性(RAMS)規(guī)范和說(shuō)明。
(2)EN-50129鐵路應(yīng)用：安全相關(guān)電子系統(tǒng)。?
(3)EN-50128鐵路應(yīng)用：鐵路控制和防護(hù)系統(tǒng)的?軟件。?
(4)EN-50159-1鐵路應(yīng)用：通信、信號(hào)和處理系?統(tǒng)。?日本在應(yīng)用IEC61508上已經(jīng)走在了前面，它先?把IEC61508國(guó)際標(biāo)準(zhǔn)轉(zhuǎn)化為JIS-C-0508國(guó)家標(biāo)準(zhǔn)，?然后由日本鐵路部門具有豐富安全技術(shù)經(jīng)驗(yàn)的專家組?成列車保安控制安全技術(shù)研討委員會(huì)，經(jīng)過(guò)研討制定?了《列車保安控制系統(tǒng)的安全性技術(shù)指南》。
可以看到?這個(gè)鐵路安全標(biāo)準(zhǔn)是以IEC61508為基礎(chǔ)，并吸收了?日本鐵路專家的經(jīng)驗(yàn)而制定的。?
2?IEC61508在鐵路安全相關(guān)系統(tǒng)中的應(yīng)用研究
我們國(guó)家應(yīng)該首先吸取IEC61508的精華部分，?結(jié)合相應(yīng)的鐵路安全國(guó)際標(biāo)準(zhǔn)和我們國(guó)家實(shí)際制定的?鐵路安全標(biāo)準(zhǔn)和評(píng)估標(biāo)準(zhǔn)，進(jìn)而建立國(guó)家鐵路安全評(píng)?估體系。以下結(jié)合IEC61508對(duì)鐵路安全相關(guān)系統(tǒng)的?研制和開發(fā)以及相關(guān)的安全文件體系和安全評(píng)估體系?做一些應(yīng)用探討。?在IEC61508中有兩個(gè)很重要的概念，一個(gè)是安?全完善性等級(jí)，一個(gè)是安全生命周期。安全完善性等?級(jí)的確定需要進(jìn)行安全系統(tǒng)風(fēng)險(xiǎn)分析，它是進(jìn)行系統(tǒng)?研發(fā)的目標(biāo)和基礎(chǔ)，是評(píng)估系統(tǒng)能否保證安全的依據(jù)。?而安全生命周期描述的是應(yīng)該怎樣進(jìn)行安全相關(guān)系統(tǒng)的研發(fā)。??
圖2是IEC61508關(guān)于安全生命周期的流程?圖。對(duì)鐵路安全系統(tǒng)研發(fā)過(guò)程有重要的指導(dǎo)意義。?
階段1?概念?對(duì)安全相關(guān)系統(tǒng)和它所處的環(huán)境有一定程度的了?解。?
階段2?整體概覽?①?確定控制設(shè)備和控制系統(tǒng)的邊界；?②?說(shuō)明危險(xiǎn)和風(fēng)險(xiǎn)分析的范圍。?
階段3?危險(xiǎn)和風(fēng)險(xiǎn)分析?①?預(yù)見(jiàn)危險(xiǎn)和風(fēng)險(xiǎn)事件；?②?確定導(dǎo)致危險(xiǎn)的事件的嚴(yán)重度；?③?確定控制設(shè)備危險(xiǎn)事件的風(fēng)險(xiǎn)概率。
階段4?明確整體安全要求?根據(jù)要求的安全功能和安全完善性詳細(xì)說(shuō)明每個(gè)?E／E／PE安全相關(guān)系統(tǒng)的需求，以便完成所要求的安?全功能。
階段5?安全要求分配?①?把安全功能分配給指定的E／E／PE安全相關(guān)?系統(tǒng)；?②?給每一個(gè)安全功能分配安全完善性等級(jí)。
階段6?制定整體運(yùn)行和維護(hù)計(jì)劃?為E／E／PE安全相關(guān)系統(tǒng)制定1個(gè)運(yùn)行和維護(hù)計(jì)?劃，以保證在運(yùn)行和維護(hù)中可以實(shí)現(xiàn)所有要求的安全?功能。
計(jì)劃中要說(shuō)明以下方面：?①?實(shí)現(xiàn)安全功能的常規(guī)措施；?②?為防止不安全的狀態(tài)，在特殊情況下的對(duì)策和?要求；?③?有關(guān)危險(xiǎn)事件的文件；?④?維護(hù)的范圍；?⑤?在危險(xiǎn)情況發(fā)生時(shí)采取的必要措施；?⑥?按時(shí)間順序編寫的運(yùn)行和維護(hù)文件的目錄。?
階段7?制定整體安全確認(rèn)計(jì)劃?為E／E／PE安全相關(guān)系統(tǒng)制定1個(gè)計(jì)劃，以進(jìn)行?系統(tǒng)整體的安全確認(rèn)。
階段8?制定整體安裝和委托計(jì)劃?為了E／E／PE安全相關(guān)系統(tǒng)的安裝和委托制定1?個(gè)計(jì)劃來(lái)保證達(dá)到所需的功能安全。安裝的計(jì)劃應(yīng)包?括：安裝時(shí)間表、安裝步驟、負(fù)責(zé)人員、不同部件的安裝?順序、安裝完畢的標(biāo)準(zhǔn)和處理故障的步驟。?
階段9?E／E／PE功能實(shí)現(xiàn)?設(shè)計(jì)和實(shí)現(xiàn)E／E／PE安全相關(guān)系統(tǒng)的硬件，以滿?足對(duì)E／E／PE安全相關(guān)系統(tǒng)規(guī)定的安全功能和安全?完善性需求。?
階段1O?其他技術(shù)實(shí)現(xiàn)要求同階段9。
階段ll?風(fēng)險(xiǎn)降低措施實(shí)現(xiàn)要求同階段9。
階段l2?整體安裝和委托?①?安裝E／E／PE安全相關(guān)系統(tǒng)；?②?委托E／E／PE安全相關(guān)系統(tǒng)。?
階段13?整體安全確認(rèn)?論證E／E／PE安全相關(guān)系統(tǒng)在功能安全和安全?完善性方面達(dá)到整體安全要求規(guī)范。?
階段14?整體運(yùn)行，維護(hù)和修理?為了達(dá)到所需的功能安全要進(jìn)行E／E／PE安全?相關(guān)系統(tǒng)的運(yùn)行，維護(hù)和修理。
要求：?①?對(duì)于E／E／PE安全相關(guān)系統(tǒng)和軟件的運(yùn)行，維?護(hù)和修理要制定計(jì)劃；?②?要進(jìn)行下列行為的初始化：步驟的執(zhí)行，維護(hù)?時(shí)間表的實(shí)行，文件的維護(hù)，功能安全審核，對(duì)于修改?的歸檔；?③?按照時(shí)間順序編制文件。?
階段15?整體修改和翻新?在修改和翻新中確保功能安全。要求：?①?必須進(jìn)行請(qǐng)求的認(rèn)可，并要詳細(xì)列出可能產(chǎn)生?的危險(xiǎn)，改進(jìn)的建議和改進(jìn)的原因；?②?要進(jìn)行后果分析；?③?進(jìn)行修改和翻新的認(rèn)可取決于后果分析的結(jié)?果；?④?所有對(duì)功能安全有影響的修改都應(yīng)該回到相?應(yīng)的生命周期中；?⑤?按時(shí)間順序歸檔。
階段16?報(bào)廢和處理在報(bào)廢和回收中要保證功能安全。
要求：?①?報(bào)廢和回收后果分析；?②?報(bào)廢和回收請(qǐng)求的認(rèn)可，認(rèn)可取決于后果分析?的結(jié)果；?．?③?準(zhǔn)備包含停機(jī)和拆除E／E／PE安全相關(guān)系統(tǒng)?步驟的計(jì)劃；?④?如果報(bào)廢和回收對(duì)于功能安全有影響，應(yīng)該回?到相應(yīng)的安全生命周期；?⑤?按時(shí)間順序歸檔。
從以上的介紹可以看出，IEC61508所要求的安全?相關(guān)系統(tǒng)的研發(fā)過(guò)程是一個(gè)完備、系統(tǒng)的過(guò)程，各個(gè)階?段環(huán)環(huán)相扣形成一個(gè)有機(jī)的整體。圖3結(jié)合鐵路應(yīng)用?的實(shí)際情況說(shuō)明怎樣把安全生命周期理論分層次的貫?穿到鐵路安全相關(guān)系統(tǒng)的研發(fā)中去。?
?
從圖3中可以看到整個(gè)生命周期成V字形，并且?分成了4個(gè)層次：用戶級(jí)、系統(tǒng)級(jí)、子系統(tǒng)級(jí)和元器件?級(jí)。安全的對(duì)立面是風(fēng)險(xiǎn)和故障，在安全相關(guān)系統(tǒng)的?設(shè)計(jì)開發(fā)之前應(yīng)當(dāng)明確系統(tǒng)邊界，應(yīng)當(dāng)對(duì)系統(tǒng)進(jìn)行危?險(xiǎn)和風(fēng)險(xiǎn)分析(Hazard?Analysis?and?Risk?Analysis)，?找出系統(tǒng)可能的所有安全隱患和危險(xiǎn)模式，確定系統(tǒng)?當(dāng)前的安全度和目標(biāo)安全度之間的差距，把安全完善?性等級(jí)要求分配給各個(gè)子系統(tǒng)，在系統(tǒng)設(shè)計(jì)開發(fā)時(shí)采?取相應(yīng)的對(duì)策降低故障率，滿足用戶對(duì)安全性的要求。?安全評(píng)估中危險(xiǎn)和風(fēng)險(xiǎn)分析是相當(dāng)重要的，直接影響?風(fēng)險(xiǎn)分析技術(shù)、安全技術(shù)的應(yīng)用和安全完善性等級(jí)的?確定。影響危險(xiǎn)和風(fēng)險(xiǎn)分析主要因素在于危險(xiǎn)辨識(shí)方?法、故障數(shù)據(jù)、后果模型等。?在做安全評(píng)估時(shí)，依據(jù)的是V字圖左邊的一系列?安全計(jì)劃和規(guī)范，階段12～階段14的實(shí)施應(yīng)分別參?照階段6～?階段8。?
3?安全文件體系
根據(jù)IEC61508，安全文件體系也是實(shí)現(xiàn)系統(tǒng)安全?可靠性的重要環(huán)節(jié)。安全生命周期每一個(gè)階段的一些?必要信息要形成文件，上一階段的文件成為下個(gè)階段?或以后各階段進(jìn)行工作的基礎(chǔ)，目的是對(duì)安全生命周?期的所有階段功能安全論證和評(píng)估進(jìn)行有效的管理。?要求：?(1)每一階段的詳細(xì)資料；?(2)功能安全管理的詳細(xì)資料；?(3)進(jìn)行功能安全評(píng)估必須的詳細(xì)資料；?(4)文件應(yīng)該清晰、有標(biāo)題和名字；?(5)文件結(jié)構(gòu)要易于尋找相關(guān)信息；?(6)文件的修訂、審查和認(rèn)可有一定的計(jì)劃。?
4?安全評(píng)估體系
在完成了安全相關(guān)系統(tǒng)研發(fā)工作之后還涉及到對(duì)?整個(gè)系統(tǒng)的安全性評(píng)價(jià)和