軌道交通系統(tǒng)安全相關(guān)電子系統(tǒng)標(biāo)準(zhǔn)GB/T28809-2012(EN50129-2003)中�����,根據(jù)功能安全產(chǎn)品開發(fā)階段的不同�,將安全相關(guān)電子系統(tǒng)劃分為三類:通用產(chǎn)品(Generic Product)�,通用應(yīng)用(Generic Application),特定應(yīng)用(Specific Application)��。當(dāng)一種系統(tǒng)中包含另一種已經(jīng)通過安全認(rèn)證的子系統(tǒng)或設(shè)備時(shí)�,第三方評(píng)估機(jī)構(gòu)可以采用交叉認(rèn)可(cross-acceptance)的方式進(jìn)行來認(rèn)可已通過認(rèn)證的產(chǎn)品。
標(biāo)準(zhǔn)這一項(xiàng)交叉認(rèn)可規(guī)則��,最初來源于歐標(biāo)���,其初衷為簡(jiǎn)化歐洲鐵路不同國家之間的安全審批程序�����,解決一個(gè)系統(tǒng)在一個(gè)國家已取得安全審批�����,也有安全且可靠的運(yùn)行記錄�,則這個(gè)系統(tǒng)無需走完全相同的審批程序���,通過交叉認(rèn)可方式在另一國家應(yīng)用��。在EN50129標(biāo)準(zhǔn)中��,交叉認(rèn)可的范圍擴(kuò)展到系統(tǒng)認(rèn)證時(shí)對(duì)于所包含的已經(jīng)通過認(rèn)證的子系統(tǒng)或設(shè)備如何接受的規(guī)則�����。
在國標(biāo)GB/T28809-2012中����,交叉認(rèn)可定義為:
指產(chǎn)品所達(dá)到的一種狀態(tài),在此狀態(tài)下該產(chǎn)品已被某機(jī)構(gòu)按相關(guān)國際標(biāo)準(zhǔn)所接受��,并可無需進(jìn)一步評(píng)估就可被另一機(jī)構(gòu)所接受��。
應(yīng)用交叉認(rèn)可規(guī)則�����,先要理解安全相關(guān)電子系統(tǒng)中定義的通用產(chǎn)品(GP)��、通用應(yīng)用(GA)�、特定應(yīng)用(SA)的概念和它們之間的關(guān)系。在EN50129標(biāo)準(zhǔn)中�,其定義如下:
通用產(chǎn)品:該系統(tǒng)是從通用角度考慮的,適用于不同類別的應(yīng)用�����,可以在不同應(yīng)用系統(tǒng)中重復(fù)使用���。
——通用產(chǎn)品具有通用性��,可以獨(dú)立于應(yīng)用���,可以理解為通用產(chǎn)品的開發(fā)能夠適用于不同類別的應(yīng)用需求,通用產(chǎn)品例如信號(hào)系統(tǒng)的基礎(chǔ)設(shè)備計(jì)軸����、軌道電路,實(shí)現(xiàn)安全計(jì)算功能的嵌入式硬件板卡���,適用于不同安全應(yīng)用的安全計(jì)算機(jī)平臺(tái)��。通用產(chǎn)品開發(fā)的安全生命周期完成于首次制造��,可以理解為產(chǎn)品研發(fā)設(shè)計(jì)完成��。
通用應(yīng)用:該系統(tǒng)被認(rèn)為適用于某類具有相同功能的應(yīng)用��,該應(yīng)用可以根據(jù)不同的應(yīng)用情況進(jìn)行配置���。
——通用應(yīng)用是適用于某一類應(yīng)用的產(chǎn)品�����,與應(yīng)用強(qiáng)相關(guān)����,比如信號(hào)系統(tǒng)中的聯(lián)鎖系統(tǒng)與線路應(yīng)用相關(guān)����,列車網(wǎng)絡(luò)控制系統(tǒng)與不同的車輛型號(hào)相關(guān),適用于不同線路的聯(lián)鎖系統(tǒng)�����,適合不同車輛參數(shù)�、接口的TCMS系統(tǒng)可被視為通用應(yīng)用。在通用應(yīng)用中�����,產(chǎn)品的首次制造并不意味著生命周期的完成�,將產(chǎn)品開發(fā)分成了兩個(gè)階段,在通用應(yīng)用階段完成產(chǎn)品研發(fā)、應(yīng)用設(shè)計(jì)流程的規(guī)定�����,其它部分放在特定應(yīng)用階段完成�����。
特定應(yīng)用:該系統(tǒng)被認(rèn)為適用于某一個(gè)的特定應(yīng)用����,包括其物理實(shí)現(xiàn)��。
——特定應(yīng)用只適用于某一個(gè)應(yīng)用場(chǎng)景����,如在某條線路上完成應(yīng)用開發(fā)的聯(lián)鎖系統(tǒng),應(yīng)用于某項(xiàng)目車輛的TCMS系統(tǒng)���,特定應(yīng)用包括了應(yīng)用設(shè)計(jì)實(shí)現(xiàn)過程和物理實(shí)現(xiàn)(一組批量的生產(chǎn)制造�����、安裝和現(xiàn)場(chǎng)測(cè)試)過程��,因此它與特定工程項(xiàng)目的工程設(shè)計(jì)�、生產(chǎn)制造、驗(yàn)證確認(rèn)過程相關(guān)�,具有特定唯一屬性。
GP�����、GA�、SA完成安全認(rèn)證前需要準(zhǔn)備一系列證明產(chǎn)品符合規(guī)定安全需求的證明文件,稱為安全論據(jù)safety case(SC)�����。由于三類產(chǎn)品之間的依賴關(guān)系���,它們的安全論據(jù)可以嵌套引用�����。下面是兩個(gè)關(guān)于GPSC(通用產(chǎn)品安全論據(jù))�、GASC(通用應(yīng)用安全論據(jù))和SASC(特定應(yīng)用安全論據(jù))之間引用的信號(hào)聯(lián)鎖系統(tǒng)示例�。
安全論據(jù)的相互引用就需要考慮如何能夠接受一個(gè)已經(jīng)認(rèn)證過的產(chǎn)品,那么滿足什么條件時(shí)可以應(yīng)用交叉認(rèn)可規(guī)則����,在EN50129-2003版有一個(gè)補(bǔ)充的交叉認(rèn)可應(yīng)用指南(PD CLC/TR 50506-1)�,在標(biāo)準(zhǔn)的基礎(chǔ)上�����,對(duì)如何應(yīng)用交叉認(rèn)可規(guī)則進(jìn)行了補(bǔ)充說明��,適用于已被認(rèn)證過的系統(tǒng)或產(chǎn)品����,應(yīng)用于不同的環(huán)境和/或場(chǎng)景的接受�����。在新版EN50129發(fā)布后該指南已撤銷����,但這個(gè)指南中對(duì)交叉認(rèn)可原則進(jìn)行了較為詳細(xì)的解釋。
指南提出���,交叉認(rèn)可是技術(shù)和合規(guī)過程的一個(gè)方面�,主要目的是在目標(biāo)(新)環(huán)境中部署產(chǎn)品���、系統(tǒng)或過程的最快途徑�����。交叉認(rèn)可所考慮的產(chǎn)品��、系統(tǒng)或過程通常被假定為滿足其原有(原始)環(huán)境中的可靠性��、可容忍的安全性和環(huán)境適用性能的規(guī)格�。
為了簡(jiǎn)化在目標(biāo)環(huán)境中快速部署產(chǎn)品、系統(tǒng)或過程�����,使用其它第三方機(jī)構(gòu)已經(jīng)通過的安全認(rèn)證結(jié)論是一個(gè)簡(jiǎn)化流程的方法�,該指南規(guī)定了符合交叉認(rèn)可規(guī)則的七個(gè)前提條件和進(jìn)行交叉認(rèn)可的七個(gè)步驟。在交叉認(rèn)可過程����,主要采用對(duì)比認(rèn)證產(chǎn)品的需求與特定應(yīng)用需求之間的差異,評(píng)估差異引入的安全風(fēng)險(xiǎn)����。
在實(shí)際應(yīng)用中,如何應(yīng)用交互認(rèn)可規(guī)則去接受已通過認(rèn)證的產(chǎn)品����,是否只要有認(rèn)證證書就可以交叉接受呢����,筆者認(rèn)為除了有認(rèn)證證書�����,還應(yīng)該從以下方面進(jìn)行檢查:
(1)檢查頒發(fā)產(chǎn)品認(rèn)證證書的認(rèn)證機(jī)構(gòu)資質(zhì)和認(rèn)證證書是否有認(rèn)證標(biāo)志����。認(rèn)證機(jī)構(gòu)需要具備國家的合格評(píng)定認(rèn)可對(duì)應(yīng)的認(rèn)證范圍,中國合格評(píng)定國家認(rèn)可委員會(huì)為CNAS標(biāo)志�,外資的認(rèn)可資質(zhì)如德國是Dakks,英國為UKAS等�����。機(jī)構(gòu)應(yīng)該具備認(rèn)證該類產(chǎn)品的認(rèn)可資質(zhì)����,另外�,在認(rèn)證證書上有認(rèn)可標(biāo)志,也能證明頒發(fā)該證書的認(rèn)證過程��、認(rèn)證人員是符合認(rèn)可規(guī)則。
(2)認(rèn)證產(chǎn)品的系統(tǒng)配置與特定應(yīng)用項(xiàng)目的一致性��。交叉接受所認(rèn)證的產(chǎn)品��,需要檢查其系統(tǒng)配置信息(硬件版本�、軟件版本、配置數(shù)量)與本項(xiàng)目應(yīng)用的配置是否一致����。如果存在不一致的情況,則說明將認(rèn)證產(chǎn)品應(yīng)用于特定應(yīng)用中做了適配性的修改�,或者是在取得認(rèn)證中產(chǎn)品又進(jìn)行過修復(fù)缺陷、需求變更之類的升級(jí)���。對(duì)于差異部分�,按照變更控制的過程����,需要進(jìn)行修改部分的變更影響分析,以及修改引起的設(shè)計(jì)�、測(cè)試驗(yàn)證和確認(rèn);而對(duì)于安全功能的變更�����,需要進(jìn)行補(bǔ)充的產(chǎn)品認(rèn)證;
(3)檢查產(chǎn)品認(rèn)證的范圍與特定應(yīng)用中的范圍是否一致���。如在產(chǎn)品認(rèn)證的評(píng)估報(bào)告中說明某個(gè)模塊或軟件不在評(píng)估范圍內(nèi)���,操作系統(tǒng)或者開發(fā)工具不在評(píng)估范圍內(nèi),對(duì)系統(tǒng)配置的關(guān)鍵參數(shù)未進(jìn)行安全分析�����。這樣在特定應(yīng)用項(xiàng)目中需要檢查不在評(píng)估范圍內(nèi)的部分對(duì)于特定應(yīng)用的風(fēng)險(xiǎn)�,根據(jù)其項(xiàng)點(diǎn)的不同,在產(chǎn)品認(rèn)證范圍中補(bǔ)充���,或者在特定應(yīng)用中考慮針對(duì)未評(píng)估范圍增加的特定風(fēng)險(xiǎn)管控措施��;
(4)檢查認(rèn)證產(chǎn)品輸出的安全限制條件���。安全限制條件既有產(chǎn)品設(shè)計(jì)方輸出的內(nèi)容�,也有產(chǎn)品認(rèn)證方補(bǔ)充的內(nèi)容,這些都需要納入在特定應(yīng)用的項(xiàng)目中作為危害日志的一部分進(jìn)行管理���。常見的安全限制條件有幾類:應(yīng)用環(huán)境���、外部接口的安全要求�����;運(yùn)營相關(guān)的安全操作要求��;維護(hù)相關(guān)的安全操作要求���;對(duì)特定應(yīng)用設(shè)計(jì)的安全要求;產(chǎn)品本階段未修復(fù)的缺陷�;產(chǎn)品本階段不具備的功能。特定應(yīng)用中�,系統(tǒng)集成方應(yīng)該對(duì)產(chǎn)品輸出的安全限制條件有充分的理解,在系統(tǒng)設(shè)計(jì)�����、安全分析�、生產(chǎn)制造、試驗(yàn)驗(yàn)證能夠遵守產(chǎn)品輸出的限制條件�����。當(dāng)出現(xiàn)無法滿足的情況�,特定應(yīng)用方和產(chǎn)品研發(fā)方應(yīng)充分討論分析其風(fēng)險(xiǎn)�����,制定相應(yīng)的風(fēng)險(xiǎn)控制措施�����。
另外�����,功能安全認(rèn)證屬于一種檢驗(yàn)活動(dòng)��,與評(píng)估員的評(píng)估經(jīng)驗(yàn)�����、技術(shù)能力有較大的關(guān)聯(lián)性����,帶有一定的主觀性��,目前軌道交通行業(yè)的評(píng)估員能力水平也存在差異��。因此��,在交叉認(rèn)可過程中����,從資質(zhì)、配置�、范圍和限制項(xiàng)各個(gè)方面去評(píng)估認(rèn)證產(chǎn)品在特定應(yīng)用中的風(fēng)險(xiǎn)是有必要的。實(shí)際的項(xiàng)目實(shí)施中�����,在被認(rèn)證方看來常常不理解�,認(rèn)為已經(jīng)認(rèn)證過了,為什么還要查這么多���。其實(shí)這些要求對(duì)于特定應(yīng)用將產(chǎn)品安全地集成在一起���,也是必須要做的,任何一個(gè)差異和分歧都可能為產(chǎn)品的安全應(yīng)用埋下隱患�����,不能大意���。
來源:薄說安全
在線咨詢
在線咨詢
0371-63319761