1 國外鐵路對IEC61508的應(yīng)用
西方發(fā)達國家在宣傳和介紹IEC61508國際標準 的同時，以IEC61508國際標準為基礎(chǔ)，開發(fā)本國行業(yè) 標準。歐洲電氣化標準委員會(CENELEC)下屬 SC9XA委員會，制定了以計算機控制的信號系統(tǒng)作為 對象的鐵道信號標準(圖1)，它包括以下4個部分:

(1)EN一50126鐵路應(yīng)用：可靠性、可用性、可維護 性和安全性(RAMS)規(guī)范和說明。
(2)EN-50129鐵路應(yīng)用：安全相關(guān)電子系統(tǒng)。 
(3)EN-50128鐵路應(yīng)用：鐵路控制和防護系統(tǒng)的 軟件。 
(4)EN-50159-1鐵路應(yīng)用：通信、信號和處理系 統(tǒng)。 日本在應(yīng)用IEC61508上已經(jīng)走在了前面，它先 把IEC61508國際標準轉(zhuǎn)化為JIS-C-0508國家標準， 然后由日本鐵路部門具有豐富安全技術(shù)經(jīng)驗的專家組 成列車保安控制安全技術(shù)研討委員會，經(jīng)過研討制定 了《列車保安控制系統(tǒng)的安全性技術(shù)指南》。
可以看到 這個鐵路安全標準是以IEC61508為基礎(chǔ)，并吸收了 日本鐵路專家的經(jīng)驗而制定的。 
2 IEC61508在鐵路安全相關(guān)系統(tǒng)中的應(yīng)用研究
我們國家應(yīng)該首先吸取IEC61508的精華部分， 結(jié)合相應(yīng)的鐵路安全國際標準和我們國家實際制定的 鐵路安全標準和評估標準，進而建立國家鐵路安全評 估體系。以下結(jié)合IEC61508對鐵路安全相關(guān)系統(tǒng)的 研制和開發(fā)以及相關(guān)的安全文件體系和安全評估體系 做一些應(yīng)用探討。 在IEC61508中有兩個很重要的概念，一個是安 全完善性等級，一個是安全生命周期。安全完善性等 級的確定需要進行安全系統(tǒng)風險分析，它是進行系統(tǒng) 研發(fā)的目標和基礎(chǔ)，是評估系統(tǒng)能否保證安全的依據(jù)。 而安全生命周期描述的是應(yīng)該怎樣進行安全相關(guān)系統(tǒng)的研發(fā)。

  
圖2是IEC61508關(guān)于安全生命周期的流程 圖。對鐵路安全系統(tǒng)研發(fā)過程有重要的指導(dǎo)意義。 
階段1 概念 對安全相關(guān)系統(tǒng)和它所處的環(huán)境有一定程度的了 解。 
階段2 整體概覽 ① 確定控制設(shè)備和控制系統(tǒng)的邊界； ② 說明危險和風險分析的范圍。 
階段3 危險和風險分析 ① 預(yù)見危險和風險事件； ② 確定導(dǎo)致危險的事件的嚴重度； ③ 確定控制設(shè)備危險事件的風險概率。
階段4 明確整體安全要求 根據(jù)要求的安全功能和安全完善性詳細說明每個 E／E／PE安全相關(guān)系統(tǒng)的需求，以便完成所要求的安 全功能。
階段5 安全要求分配 ① 把安全功能分配給指定的E／E／PE安全相關(guān) 系統(tǒng)； ② 給每一個安全功能分配安全完善性等級。
階段6 制定整體運行和維護計劃 為E／E／PE安全相關(guān)系統(tǒng)制定1個運行和維護計 劃，以保證在運行和維護中可以實現(xiàn)所有要求的安全 功能。
計劃中要說明以下方面： ① 實現(xiàn)安全功能的常規(guī)措施； ② 為防止不安全的狀態(tài)，在特殊情況下的對策和 要求； ③ 有關(guān)危險事件的文件； ④ 維護的范圍； ⑤ 在危險情況發(fā)生時采取的必要措施； ⑥ 按時間順序編寫的運行和維護文件的目錄。 
階段7 制定整體安全確認計劃 為E／E／PE安全相關(guān)系統(tǒng)制定1個計劃，以進行 系統(tǒng)整體的安全確認。
階段8 制定整體安裝和委托計劃 為了E／E／PE安全相關(guān)系統(tǒng)的安裝和委托制定1 個計劃來保證達到所需的功能安全。安裝的計劃應(yīng)包 括：安裝時間表、安裝步驟、負責人員、不同部件的安裝 順序、安裝完畢的標準和處理故障的步驟。 
階段9 E／E／PE功能實現(xiàn) 設(shè)計和實現(xiàn)E／E／PE安全相關(guān)系統(tǒng)的硬件，以滿 足對E／E／PE安全相關(guān)系統(tǒng)規(guī)定的安全功能和安全 完善性需求。 
階段1O 其他技術(shù)實現(xiàn)要求同階段9。
階段ll 風險降低措施實現(xiàn)要求同階段9。
階段l2 整體安裝和委托 ① 安裝E／E／PE安全相關(guān)系統(tǒng)； ② 委托E／E／PE安全相關(guān)系統(tǒng)。 
階段13 整體安全確認 論證E／E／PE安全相關(guān)系統(tǒng)在功能安全和安全 完善性方面達到整體安全要求規(guī)范。 
階段14 整體運行，維護和修理 為了達到所需的功能安全要進行E／E／PE安全 相關(guān)系統(tǒng)的運行，維護和修理。
要求： ① 對于E／E／PE安全相關(guān)系統(tǒng)和軟件的運行，維 護和修理要制定計劃； ② 要進行下列行為的初始化：步驟的執(zhí)行，維護 時間表的實行，文件的維護，功能安全審核，對于修改 的歸檔； ③ 按照時間順序編制文件。 
階段15 整體修改和翻新 在修改和翻新中確保功能安全。要求： ① 必須進行請求的認可，并要詳細列出可能產(chǎn)生 的危險，改進的建議和改進的原因； ② 要進行后果分析； ③ 進行修改和翻新的認可取決于后果分析的結(jié) 果； ④ 所有對功能安全有影響的修改都應(yīng)該回到相 應(yīng)的生命周期中； ⑤ 按時間順序歸檔。
階段16 報廢和處理在報廢和回收中要保證功能安全。
要求： ① 報廢和回收后果分析； ② 報廢和回收請求的認可，認可取決于后果分析 的結(jié)果； ． ③ 準備包含停機和拆除E／E／PE安全相關(guān)系統(tǒng) 步驟的計劃； ④ 如果報廢和回收對于功能安全有影響，應(yīng)該回 到相應(yīng)的安全生命周期； ⑤ 按時間順序歸檔。
從以上的介紹可以看出，IEC61508所要求的安全 相關(guān)系統(tǒng)的研發(fā)過程是一個完備、系統(tǒng)的過程，各個階 段環(huán)環(huán)相扣形成一個有機的整體。圖3結(jié)合鐵路應(yīng)用 的實際情況說明怎樣把安全生命周期理論分層次的貫 穿到鐵路安全相關(guān)系統(tǒng)的研發(fā)中去。 
 
從圖3中可以看到整個生命周期成V字形，并且 分成了4個層次：用戶級、系統(tǒng)級、子系統(tǒng)級和元器件 級。安全的對立面是風險和故障，在安全相關(guān)系統(tǒng)的 設(shè)計開發(fā)之前應(yīng)當明確系統(tǒng)邊界，應(yīng)當對系統(tǒng)進行危 險和風險分析(Hazard Analysis and Risk Analysis)， 找出系統(tǒng)可能的所有安全隱患和危險模式，確定系統(tǒng) 當前的安全度和目標安全度之間的差距，把安全完善 性等級要求分配給各個子系統(tǒng)，在系統(tǒng)設(shè)計開發(fā)時采 取相應(yīng)的對策降低故障率，滿足用戶對安全性的要求。 安全評估中危險和風險分析是相當重要的，直接影響 風險分析技術(shù)、安全技術(shù)的應(yīng)用和安全完善性等級的 確定。影響危險和風險分析主要因素在于危險辨識方 法、故障數(shù)據(jù)、后果模型等。 在做安全評估時，依據(jù)的是V字圖左邊的一系列 安全計劃和規(guī)范，階段12～階段14的實施應(yīng)分別參 照階段6～ 階段8。 
3 安全文件體系
根據(jù)IEC61508，安全文件體系也是實現(xiàn)系統(tǒng)安全 可靠性的重要環(huán)節(jié)。安全生命周期每一個階段的一些 必要信息要形成文件，上一階段的文件成為下個階段 或以后各階段進行工作的基礎(chǔ)，目的是對安全生命周 期的所有階段功能安全論證和評估進行有效的管理。 要求： (1)每一階段的詳細資料； (2)功能安全管理的詳細資料； (3)進行功能安全評估必須的詳細資料； (4)文件應(yīng)該清晰、有標題和名字； (5)文件結(jié)構(gòu)要易于尋找相關(guān)信息； (6)文件的修訂、審查和認可有一定的計劃。 
4 安全評估體系
在完成了安全相關(guān)系統(tǒng)研發(fā)工作之后還涉及到對 整個系統(tǒng)的安全性評價和認可問題，即安全評估。它 是要檢查工程的安全管理是否完善，能否和安全計劃 保持一致。把安全相關(guān)系統(tǒng)和安全需求規(guī)范相對照以 評價它對控制系統(tǒng)風險是不是已經(jīng)足夠，以及系統(tǒng)能 不能滿足安全需求規(guī)范。安全評估的目標是對于E／ E／PE安全相關(guān)系統(tǒng)在功能安全方面達到的水平進行 調(diào)查，得出一個結(jié)論。
要求：
(1)相關(guān)人員參與評估 為了保證評估的可信性，要求安全評估人員具備： ① 相應(yīng)應(yīng)用領(lǐng)域的工程知識； ② 相應(yīng)技術(shù)的工程知識和安全知識； ③ 法律和安全規(guī)范框架知識。 另外，故障等級越高，SIL等級越高，要求人員能 力越強。
(2)評估人員應(yīng)該能夠和生存周期各階段的所有 人員進行接觸；
(3)評估應(yīng)采用一定的方法和手段，并考慮以下 方面： ① 上次功能安全評估以來所做的工作；② 上次評估的建議； ③ 以后評估的計劃和策略；
(4)評估行為應(yīng)保持一致性和計劃性；
(5)功能安全評估的計劃應(yīng)說明： ① 進行評估的人員； ② 每一個評估的結(jié)果； ③ 評估的范圍； ④ 包括的安全部分； ⑤ 需要的資源； ⑥ 評估者的獨立性：個人、部門或是機構(gòu)。