轨道交通系统安全相关电子系统标准GB/T28809-2012(EN50129-2003)中,根据功能太阳城娱乐开发阶段的不同,将安全相关电子系统划分为三类:通用产品(Generic Product),通用应用(Generic Application),特定应用(Specific Application)。当一种系统中包含另一种已经通过安全认证的子系统或设备时,第三方评估机构可以采用交叉认可(cross-acceptance)的方式进行来认可已通过认证的产品。
标准这一项交叉认可规则,最初来源于欧标,其初衷为简化欧洲铁路不同国家之间的安全审批程序,解决一个系统在一个国家已取得安全审批,也有安全且可靠的运行记录,则这个系统无需走完全相同的审批程序,通过交叉认可方式在另一国家应用。在EN50129标准中,交叉认可的范围扩展到系统认证时对于所包含的已经通过认证的子系统或设备如何接受的规则。
在国标GB/T28809-2012中,交叉认可定义为:
指产品所达到的一种状态,在此状态下该产品已被某机构按相关国际标准所接受,并可无需进一步评估就可被另一机构所接受。
应用交叉认可规则,先要理解安全相关电子系统中定义的通用产品(GP)、通用应用(GA)、特定应用(SA)的概念和它们之间的关系。在EN50129标准中,其定义如下:
通用产品:该系统是从通用角度考虑的,适用于不同类别的应用,可以在不同应用系统中重复使用。
——通用产品具有通用性,可以独立于应用,可以理解为通用产品的开发能够适用于不同类别的应用需求,通用产品例如信号系统的基础设备计轴、轨道电路,实现安全计算功能的嵌入式硬件板卡,适用于不同安全应用的安全计算机平台。通用产品开发的安全生命周期完成于首次制造,可以理解为产品研发设计完成。
通用应用:该系统被认为适用于某类具有相同功能的应用,该应用可以根据不同的应用情况进行配置。
——通用应用是适用于某一类应用的产品,与应用强相关,比如信号系统中的联锁系统与线路应用相关,列车网络控制系统与不同的车辆型号相关,适用于不同线路的联锁系统,适合不同车辆参数、接口的TCMS系统可被视为通用应用。在通用应用中,产品的首次制造并不意味着生命周期的完成,将产品开发分成了两个阶段,在通用应用阶段完成产品研发、应用设计流程的规定,其它部分放在特定应用阶段完成。
特定应用:该系统被认为适用于某一个的特定应用,包括其物理实现。
——特定应用只适用于某一个应用场景,如在某条线路上完成应用开发的联锁系统,应用于某项目车辆的TCMS系统,特定应用包括了应用设计实现过程和物理实现(一组批量的生产制造、安装和现场测试)过程,因此它与特定工程项目的工程设计、生产制造、验证确认过程相关,具有特定唯一属性。
GP、GA、SA完成安全认证前需要准备一系列证明产品符合规定安全需求的证明文件,称为安全论据safety case(SC)。由于三类产品之间的依赖关系,它们的安全论据可以嵌套引用。下面是两个关于GPSC(通用产品安全论据)、GASC(通用应用安全论据)和SASC(特定应用安全论据)之间引用的信号联锁系统示例。
安全论据的相互引用就需要考虑如何能够接受一个已经认证过的产品,那么满足什么条件时可以应用交叉认可规则,在EN50129-2003版有一个补充的交叉认可应用指南(PD CLC/TR 50506-1),在标准的基础上,对如何应用交叉认可规则进行了补充说明,适用于已被认证过的系统或产品,应用于不同的环境和/或场景的接受。在新版EN50129发布后该指南已撤销,但这个指南中对交叉认可原则进行了较为详细的解释。
指南提出,交叉认可是技术和合规过程的一个方面,主要目的是在目标(新)环境中部署产品、系统或过程的最快途径。交叉认可所考虑的产品、系统或过程通常被假定为满足其原有(原始)环境中的可靠性、可容忍的安全性和环境适用性能的规格。
为了简化在目标环境中快速部署产品、系统或过程,使用其它第三方机构已经通过的安全认证结论是一个简化流程的方法,该指南规定了符合交叉认可规则的七个前提条件和进行交叉认可的七个步骤。在交叉认可过程,主要采用对比认证产品的需求与特定应用需求之间的差异,评估差异引入的安全风险。
在实际应用中,如何应用交互认可规则去接受已通过认证的产品,是否只要有认证证书就可以交叉接受呢,笔者认为除了有认证证书,还应该从以下方面进行检查:
(1)检查颁发产品认证证书的认证机构资质和认证证书是否有认证标志。认证机构需要具备国家的合格评定认可对应的认证范围,中国合格评定国家认可委员会为CNAS标志,外资的认可资质如德国是Dakks,英国为UKAS等。机构应该具备认证该类产品的认可资质,另外,在认证证书上有认可标志,也能证明颁发该证书的认证过程、认证人员是符合认可规则。
(2)认证产品的系统配置与特定应用项目的一致性。交叉接受所认证的产品,需要检查其系统配置信息(硬件版本、软件版本、配置数量)与本项目应用的配置是否一致。如果存在不一致的情况,则说明将认证产品应用于特定应用中做了适配性的修改,或者是在取得认证中产品又进行过修复缺陷、需求变更之类的升级。对于差异部分,按照变更控制的过程,需要进行修改部分的变更影响分析,以及修改引起的设计、测试验证和确认;而对于安全功能的变更,需要进行补充的产品认证;
(3)检查产品认证的范围与特定应用中的范围是否一致。如在产品认证的评估报告中说明某个模块或软件不在评估范围内,操作系统或者开发工具不在评估范围内,对系统配置的关键参数未进行安全分析。这样在特定应用项目中需要检查不在评估范围内的部分对于特定应用的风险,根据其项点的不同,在产品认证范围中补充,或者在特定应用中考虑针对未评估范围增加的特定风险管控措施;
(4)检查认证产品输出的安全限制条件。安全限制条件既有产品设计方输出的内容,也有产品认证方补充的内容,这些都需要纳入在特定应用的项目中作为危害日志的一部分进行管理。常见的安全限制条件有几类:应用环境、外部接口的安全要求;运营相关的安全操作要求;维护相关的安全操作要求;对特定应用设计的安全要求;产品本阶段未修复的缺陷;产品本阶段不具备的功能。特定应用中,系统集成方应该对产品输出的安全限制条件有充分的理解,在系统设计、安全分析、生产制造、试验验证能够遵守产品输出的限制条件。当出现无法满足的情况,特定应用方和产品研发方应充分讨论分析其风险,制定相应的风险控制措施。
另外,功能安全认证属于一种检验活动,与评估员的评估经验、技术能力有较大的关联性,带有一定的主观性,目前轨道交通行业的评估员能力水平也存在差异。因此,在交叉认可过程中,从资质、配置、范围和限制项各个方面去评估认证产品在特定应用中的风险是有必要的。实际的项目实施中,在被认证方看来常常不理解,认为已经认证过了,为什么还要查这么多。其实这些要求对于特定应用将产品安全地集成在一起,也是必须要做的,任何一个差异和分歧都可能为产品的安全应用埋下隐患,不能大意。
来源:薄说安全
在线咨询
在线咨询
0371-63319761