国际电工委员会（IEC, International Electrician Committee）在20世纪90年代初制定了安全相关系统的设计和评估标准IEC61508，在该标准中首次提出了安全相关系统的“安全完整性等级（SIL, Safety Integrity Level）”的概念来代表产品在应用中所能达到的安全等级，并以此作为对安全相关系统的综合评估指标。系统或子系统的安全等级是用相应的概率计算来进行定量，并以可容忍风险发生率（THR, Tolerant Hazard Rate）来进行等级的划分。安全相关系统有四种安全完整性等级（SIL4为最高级，SIL1为最低级）。等级越高，安全相关系统不能实现所要求的安全功能的概率就越低。通常将涉及行车安全的列控设备、联锁设备等制定为SIL4等级。铁路信号系统在投入使用之前，必须通过针对其制定的SIL等级的安全评估，SIL证书也通常作为系统批准和验收的必要条件。

 

　　在IEC61508发布之后，欧洲电工委员（CENELEC）会在其基础上制定了相关的铁路信号系统评估标准以及安全认证体系，这些标准包括EN50126（可靠性、可用性、可维护性及安全性规范和说明）、EN50128（铁路控制和防护系统的软件）、EN50129（信号领域的安全相关电子系统），对信号系统的生产组织架构规定了要求，并且为产品的全生命周期做了相应的规范，并对生命周期各个阶段的安全保障工作和需求做了具体要求。欧洲的铁路信号系统供应商在产品投入市场前都经过了上述标准的独立安全评估并获得相应证书，我国目前也以EN50126/8/9作为认证基础，对国内的铁路信号系统进行独立安全评估。

 

 

　　现在世界各国铁路信号系统采用独立安全评估ISA（Independent Safety Assessing）来进行安全性评估是一个国际上比较通行的做法，它一般由具有专业资质的商业组织承担，由其对铁路信号系统进行独立安全评估，并产生评估报告。该报告可以作为铁路权威机构判断其是否许可和接受该产品的重要证据之一。

 

铁路信号系统通用接受流程

 

　　独立安全评估可以验证在相关的铁路信号系统中已经采取了合适的安全管理组织、计划、程序、设计标准和安全措施，确认产品相关风险已经降低到了可以接受的程度，且其安全例证提供了足够的证据表明系统符合安全要求。这些证据包括：

 

　　安全要求：指系统或设备要求达到的安全性等级。分为安全功能性要求和安全完整性要求，功能性要求指实际的与安全相关的各种功能，需要系统、子系统或设备的参与。完整性要求定义了每一个安全相关功能需要的安全完整性等级。

 

　　安全计划：为达到系统安全需求规范而制定的文件，是衡量系统安全认证的重要标准，在设计与制造过程中必须按照计划执行。安全计划包括系统概要、项目框架、风险评估标准、安全管理、安全控制、安全文件和外部相关系统论证等。

 

　　安全案例：表明产品在设计和制造过程中符合系统安全要求，系统风险已减小到足够小，提供系统可靠性和安全性方面的信心。安全案例也是进行安全评估的依据，包括系统定义、质量管理报告、安全管理报告、技术安全报告、安全相关案例及总结6部分。

 

　　安全证据：当面临安全管理责任的时候，一般都需要提供相关的证据，主要包括铁路安全案例、工程安全案例和技术文档等3个文档。

 

　　安全案例的核心是案例安全证据，必须在安全案例中提供安全相关的证据以证明案例中安全相关系统的安全性能。安全评估的过程实质上是安全证据演绎安全完整性等级的过程和方法，安全评估依赖于安全证据。安全案例包含部分安全证据，又是所有安全证据文档的一部分。

 

 

　　系统生命周期是指一个系统从形成初始概念到退役的整个过程以及各阶段完成的任务，根据标准EN50126系统将生命周期划分为14个阶段，每个阶段都有各自的任务。全生命周期一般用“V”形图表示。左侧由上到下的分支被称为开发，从系统构想开始，直至系统部件的制造。右侧由下至上的分支则表示整个系统的装配、安装、验收和运行。

 

　　对于安全相关系统，各阶段完成的具体任务不同：在概念阶段主要考虑项目的安全性含义和系统定义；在应用环境阶段应建立全面的安全计划，并以可容忍风险发生率进行定义。

 

　　独立安全评估的各项评估都针对生命周期各个阶段进行。评估工作分为两类：

 

　　验证：生命周期每个阶段完成后都必须实施的安全性评价。只有通过验证才能进入下一阶段,其目的在于证明每个阶段的可交付使用的项目全面符合该阶段的要求。

 

　　确认：在系统验收前进行,主要针对系统需求进行试验验证和第三方独立安全评估。其目的在于证明系统在开发的所有步骤上以及在其安装后全面符合系统最初的需求。

 

　　欧洲铁路安全评估体系中，强调评估机构独立性；强调系统生命周期成本（LCC）；同时,强调评估对象是系统的应用（Application）而不是具体的产品或设备。

 

 

　　必维铁路交通物流部是国际上认可的，具有铁路信号系统专业认证资质的第三方检验机构，获得大量国际通行的授信资质，例如：N° 1782授信，欧洲高铁及传统铁路2008/57/EC，检验机构EN/ISO/IEC 17020，产品EN45011等资质。与世界知名的铁路交通信号系统供应商，比如卡斯柯、安萨尔多、庞巴迪、阿尔斯通以及泰雷兹等都有成功的合作经验。在国际上和国内铁路信号通用产品（Generic Product）、通用应用（Generic Application）和特定应用（Specific Application）三类安全评估中都有相当多的成功案例。在国际上：瑞典Ester ETCS项目博登—哈帕兰达线（GA），捷克ETCS Poricany—柯林 RBC（SA），博洛尼亚—佛罗伦萨，托里偌—米兰的高铁线和轨旁子系统（GA & SA）以及Smartlock系统CIXI-2产品安全评估（GP）等。已经进入中国轨道交通业20余年的必维在国内铁路交通也有相当多的案例和经验，包括特定应用的武汉2号线，武汉4号线，无锡2号线，宁波1号线以及南京机场线等，通用应用有高铁项目的EVC_C2以及通用产品iLock-IPS联锁产品，LKD2-K列控系统和TSRS-K限速系统等等。

 

 

　　铁路信号系统是安全相关产品，安全管理是铁路信号产品开发的核心。安全管理是持续不断改进的闭环过程，需要在系统生命周期内各个阶段，通过一系列的分析、计划、评估、确认措施进行控制，提升组织开发能力，保障产品安全性。独立安全评估正是针对安全管理，包括流程、组织架构等环节，对产品进行安全方面的验证与确认。所以说，独立安全评估是铁路信号系统的安全卫士。