1.国外铁路对IEC61508的应用

　　西方发达国家在宣传和介绍IEC61508国际标准的同时，以IEC61508国际标准为基础，开发本国行业标准。欧洲电气化标准委员会（CENELEC）下属SC9XA委员会，制定了以计算机控制的信号系统作为对象的铁道信号标准，它包括以下4个部分：

　　（1）EN一50126铁路应用：可靠性、可用性、可维护性和安全性（RAMS）规范和说明。

　　（2）EN-50129铁路应用：安全相关电子系统。

　　（3）EN-50128铁路应用：铁路控制和防护系统的软件。

　　（4）EN-50159-1铁路应用：通信、信号和处理系统。日本在应用IEC61508上已经走在了前面，它先把IEC61508国际标准转化为JIS-C-0508国家标准，然后由日本铁路部门具有丰富安全技术经验的专家组成列车保安控制安全技术研讨委员会，经过研讨制定了《列车保安控制系统的安全性技术指南》。

　　可以看到这个铁路安全标准是以IEC61508为基础，并吸收了日本铁路专家的经验而制定的。

　　2.IEC61508在铁路安全相关系统中的应用研究

　　我们国家应该首先吸取IEC61508的精华部分，结合相应的铁路安全国际标准和我们国家实际制定的铁路安全标准和评估标准，进而建立国家铁路安全评估体系，以下结合IEC61508对铁路安全相关系统的研制和开发以及相关的安全文件体系和安全评估体系做一些应用探讨。在IEC61508中有两个很重要的概念，一个是安全完善性等级，一个是安全生命周期。安全完善性等级的确定需要进行安全系统风险分析，它是进行系统研发的目标和基础，是评估系统能否保证安全的依据。而安全生命周期描述的是应该怎样进行安全相关系统的研发。

　　阶段1：概念对安全相关系统和它所处的环境有一定程度的了解。

　　阶段2：整体概览①确定控制设备和控制系统的边界；②说明危险和风险分析的范围。

　　阶段3：危险和风险分析①预见危险和风险事件；②确定导致危险的事件的严重度；③确定控制设备危险事件的风险概率。

　　阶段4：明确整体安全要求根据要求的安全功能和安全完善性详细说明每个E／E／PE安全相关系统的需求，以便完成所要求的安全功能。

　　阶段5：安全要求分配①把安全功能分配给指定的E／E／PE安全相关系统；②给每一个安全功能分配安全完善性等级。

　　阶段6：制定整体运行和维护计划为E／E／PE安全相关系统制定1个运行和维护计划，以保证在运行和维护中可以实现所有要求的安全功能。

　　计划中要说明以下方面：①实现安全功能的常规措施；②为防止不安全的状态，在特殊情况下的对策和要求；③有关危险事件的文件；④维护的范围；⑤在危险情况发生时采取的必要措施；⑥按时间顺序编写的运行和维护文件的目录。

　　阶段7：制定整体安全确认计划为E／E／PE安全相关系统制定1个计划，以进行系统整体的安全确认。

　　阶段8：制定整体安装和委托计划为了E／E／PE安全相关系统的安装和委托制定1个计划来保证达到所需的功能安全。安装的计划应包括：安装时间表、安装步骤、负责人员、不同部件的安装顺序、安装完毕的标准和处理故障的步骤。

　　阶段9：E／E／PE功能实现设计和实现E／E／PE安全相关系统的硬件，以满足对E／E／PE安全相关系统规定的安全功能和安全完善性需求。

　　阶段10：其他技术实现要求同阶段9。

　　阶段11：风险降低措施实现要求同阶段9。

　　阶段l2：整体安装和委托①安装E／E／PE安全相关系统；②委托E／E／PE安全相关系统。

　　阶段13：整体安全确认论证E／E／PE安全相关系统在功能安全和安全完善性方面达到整体安全要求规范。

　　阶段14：整体运行，维护和修理为了达到所需的功能安全要进行E／E／PE安全相关系统的运行，维护和修理。

　　要求：①对于E／E／PE安全相关系统和软件的运行，维护和修理要制定计划；②要进行下列行为的初始化：步骤的执行，维护时间表的实行，文件的维护，功能安全审核，对于修改的归档；③按照时间顺序编制文件。

　　阶段15：整体修改和翻新在修改和翻新中确保功能安全。要求：①必须进行请求的认可，并要详细列出可能产生的危险，改进的建议和改进的原因；②要进行后果分析；③进行修改和翻新的认可取决于后果分析的结果；④所有对功能安全有影响的修改都应该回到相应的生命周期中；⑤按时间顺序归档。

　　阶段16：报废和处理在报废和回收中要保证功能安全。

　　要求：①报废和回收后果分析；②报废和回收请求的认可，认可取决于后果分析的结果；③准备包含停机和拆除E／E／PE安全相关系统步骤的计划；④如果报废和回收对于功能安全有影响，应该回到相应的安全生命周期；⑤按时间顺序归档。

　　从以上的介绍可以看出，IEC61508所要求的安全相关系统的研发过程是一个完备、系统的过程，各个阶段环环相扣形成一个有机的整体。结合铁路应用的实际情况说明怎样把安全生命周期理论分层次的贯穿到铁路安全相关系统的研发中去。

　　3.安全文件体系

　　根据IEC61508，安全文件体系也是实现系统安全可靠性的重要环节。安全生命周期每一个阶段的一些必要信息要形成文件，上一阶段的文件成为下个阶段或以后各阶段进行工作的基础，目的是对安全生命周期的所有阶段功能安全论证和评估进行有效的管理。

　　要求：

　　（1）每一阶段的详细资料；

　　（2）功能安全管理的详细资料；

　　（3）进行功能安全评估必须的详细资料；

　　（4）文件应该清晰、有标题和名字；

　　（5）文件结构要易于寻找相关信息；

　　（6）文件的修订、审查和认可有一定的计划。

　　4.安全评估体系

　　在完成了安全相关系统研发工作之后还涉及到对整个系统的安全性评价和认可问题，即安全评估。它是要检查工程的安全管理是否完善，能否和安全计划保持一致。把安全相关系统和安全需求规范相对照以评价它对控制系统风险是不是已经足够，以及系统能不能满足安全需求规范。安全评估的目标是对于E／E／PE安全相关系统在功能安全方面达到的水平进行调查，得出一个结论。

　　要求：

　　（1）相关人员参与评估为了保证评估的可信性，要求安全评估人员具备：①相应应用领域的工程知识；②相应技术的工程知识和安全知识；③法律和安全规范框架知识。另外，故障等级越高，SIL等级越高，要求人员能力越强。

　　（2）评估人员应该能够和生存周期各阶段的所有人员进行接触；

　　（3）评估应采用一定的方法和手段，并考虑以下方面：①上次功能安全评估以来所做的工作；②上次评估的建议；③以后评估的计划和策略；

　　（4）评估行为应保持一致性和计划性；

　　（5）功能安全评估的计划应说明：①进行评估的人员；②每一个评估的结果；③评估的范围；④包括的安全部分；⑤需要的资源；⑥评估者的独立性：个人、部门或是机构。