自主化ccs-3级列控车载设备认证欧盟铁路的研究

自主化ccs-3级列控车载设备认证欧盟铁路的研究

国外铁路产品认证由于铁路产品的设计和生产工艺直接影响着驾驶安全和运输能力，铁路产品的价格越来越高，这在许多国家都是市场的必要要求。目前全球授信程度较高的铁路产品认证主要有：美国铁路协会(AAR)认证；海关联盟EAC认证；中铁检验认证中心(CRCC)认证；欧盟铁路互联互通技术规范(TSI)认证。研究目的是通过对列控车载设备的认证过程分析，为其他铁路产品的互联互通认证提供参考。欧盟定制车载设备(ETCS)TSI的主要目的是寻求国家或城市间铁路互联互通，因此，希望达到不同供应商提供的地面设备、车载设备、关键零部件等能够相互兼容并方便互换，从而降低设备运营维护成本的目的1tsi标准1.1技术指令和标准欧盟法规及标准主要分为4个层次，自顶向下分别为欧盟指令、互联互通技术规范及其引用标准、其他国际性标准以及国家技术标准。其结构性框图如图1所示顶层要求为欧盟指令2008/57/EC,是铁路互联互通的总体技术指令，是保障铁路运行和互通的基本要求第2层为欧盟委托欧洲铁路协会(ERA)颁布的互联互通技术规范(TSI)及其引用标准，TSI包含机车车辆，控制、指挥及信号子系统，供电牵引系统，基础设施等方面第3层为其他国际性标准，如国际标准化组织(ISO)颁布的相关标准等。第4层为国家标准，如德国工业标准(DIN);英国工业标准(BS)等。TSI及其引用标准、其他国际性标准和国家技术标准共同保证了欧盟指令基本要求的实施。1.2信号外围设备控制、指挥及信号子系统(CCS)是铁路通信、信号及其相关外围设备的总称。主要功能包括列车防护、无线通信、列车检测等，分为列控车载设备和地面设备2部分。TSI定义的CCS系统边界2不同系统需求的研究2.1车载主机的结构自主化CTCS-3级列控车载设备继承了既有列控系统大量可靠的开发和运用经验，并针对国内应用需求、标准化、技术先进性、可扩展性等方面进行了重点设计考虑车载主机由安全计算机(VC)、司法记录单元(JRU)、继电器(RELAY)、应答器信息接收单元(BTM)、轨道电路信息读取单元(TCR)、电台(MT)等设备组成，其中安全计算机由主控单元(VCU)、无线传输单元(RTU)、总线接口单元(MBI)、列车接口单元(TIU)组成二乘二取二结构。车载外围设备由人机交互单元(DMI)、铁路无线通信系统(GSM-R)天线、BTM天线、TCR天线、速度传感器(GT)等设备组成。2.2u2009列车自动防速性要求欧盟对列控车载设备的需求描述体现在TSI规范2016/919/EU中，其首要功能是为列车提供地面信号并对列车实行超速防护，具体包括：基本功能需求、支持功能需求、外部接口需求、内部接口需求和安全需求。为达到支持ETCS功能的目的，自主化CTCS-3级列控车载设备应满足表1的需求，这是TSI认证过程中进行标准核对的必要条件。基于以上要求，现有自主化CTCS-3级列控车载设备系统需进行适当设计变更，主要变更内容如下。(1)支持等级变更ETCS车载设备支持的等级为ETCS-0/1/2/3等级，与自主化CTCS-3级车载设备等级不符，需根据系统需求规范Subset-026中支持的等级进行变更，对软件功能的配置进行分支处理，并对配置参数进行修改。(2)tcr接口改造CTCS-3级车载设备属于国内信号系统需求，不满足欧洲互联互通技术要求，应删除CTCS-3级列控车载设备中的TCR子系统和TCR天线设备，并根据欧洲标准的STM功能接口规范Subset-035以及STM安全时间层、安全链路层、安全应用层的接口规范Subset-056、Subset-057、Subset-058进行变更，对STM控制功能与安全通信协议进行处理。(3)u2009结语特定需求为自主化CTCS-3级列控系统技术规范中不具备的ATP功能，即地面设计无需考虑的功能场景，具体包括以下功能：①应答器重定位功能；②应答器注入MA功能(应用于ETCS-1等级);③列车完整性确认功能(应用于ETCS-3等级);④地理位置报告功能(ETCS公里标信息);⑤紧急消息可采用高优先级通道功能；⑥支持多种国际列车的静态限速功能；⑦开口速度监控功能；⑧紧急制动作为第1条控车曲线的功能；⑨允许司机输入或地面设备修改黏着系数功能；⑩支持由司机或地面设备发起短号码呼叫RBC功能(仅根据RBCID呼叫);(11)无线盲区功能；(12)区段超时防护功能；(13)反向运行(退行)功能；(14)进路适用性检查功能。此部分内容需对新增功能点进行危害识别、风险分析，并进行系统需求、系统结构设计、软件需求、软件结构设计、软件模块设计、代码实现及测试、验证确认等开发过程。(4)欧洲改革开放以来的需求变化自主化CTCS-3级人机交互单元(DMI)与欧洲标准要求的显示需求差异较大，需根据欧洲标准ERA_ERTMS_015560需求重新进行设计开发(5)增加驾驶台信号为满足ETCS标准中双端驾驶功能要求，在现有自主化CTCS-3级列控车载设备基础上增加驾驶台2激活信号输入、方向控制器2向前信号输入、方向控制器2向后信号输入。3认证方案的选择3.1互联互通部件组合认证自主化CTCS-3级列控车载设备系统内部集成了车载设备和测速测距设备，需根据2016/919/EU要求进行部件选择，即按照互联互通部件组将车载设备和测速测距模块进行组合认证。CCS车载子系统部件组，ETCS车载设备以及测速测距模块的组合范围见表2。3.2子产品子原料的认证根据2010/713/EU标准，TSI认证模块共分为8个大类，为A、B、C、D、E、F、G、H,各类分别具有子系统认证(用S表示)或部件认证(用C表示),如CA模块为部件的内部生产控制认证，SB模块为子系统型式检验认证(1)cb+cd型式检验程序+生产质量保障程序。(2)cb+cf型式检验程序+产品验证程序。(3)认证方式比选全面质量管理体系保障程序。自主化CTCS-3级列控车载设备项目组充分考虑了产品的产量、成本等因素，认为该产品成本较高，产量适中，且安全性要求高，同时需要进行设计过程检查和生产的质量保障能力审核，因此选用“CB+CD”模块进行认证，即选用设计过程检查和质量生产能力审核相结合的认证方式，这种方式更适用于车载设备甚至铁路信号产品的TSI认证。根据2010/713/EC标准的描述，其中“CB”模块的认证为对部件技术设计能力的验证，“CD”模块的认证是基于质量管理系统的产品设计和生产过程的验证，2种认证模式的结合将更有力地证明列控车载设备的互联互通技术水平。3.3基线版本变化由于CCS子系统不同技术标准版本均有效，且不同等级的CCS子系统适用的技术标准不同，需在认证过程中选择认证基线。认证基线一共分3个等级，基线中所包含的各标准版本逐渐升高，基线3中各标准为现行最新版本标准。表3对部分标准在各基线中的版本进行了说明。对比不同基线可以看出，各基线的系统需求规范SUBSET-026、安全需求规范SUBSET-091、测试规范SUBSET-076等标准的版本不同，且版本逐渐升高。说明不同基线对产品功能要求不同，基线等级越高，对产品的功能、性能、安全性的要求越高。为保证产品的持续有效性，自主化CTCS-3级列控车载设备选择最新版本，即基线3进行认证。4u2009tsis认证从产品设计开发至最终准入市场运营，TSI认证需经过公示认证机构(NoBo)和当地国家安全当局(NSA)2个过程的审核，具体流程如图5所示。首先由制造商或申请者向公示认证机构提出申请，NoBo根据TSI相关EN标准及其他EN标准进行评估，评估过程包括前期准备、启动会议、预评估、文档审计、型式检验、质量管理审核、系统测试等流程，最终发放TSI认证报告和证书。后续再次由制造商或申请者提出申请，并申明产品合理性，由业主所在的NSA根据NoBo审核结果和国家法规要求进行一致性审核，审核通过后产品可以获得准入批准。其中NoBo审核为主要过程，具体审核内容及描述见表4。启动会议应由项目经理主持，用于明确认证实施细节，便于制定后期评估计划。启动会议后制造商或申请方应明确以下内容：识别现有设计与TSI标准要求的差异；明确认证所需文档清单；识别下一步需要完成的关键性活动、过程及文档；明确评估方与制造商或申请方，以及外包方的责任和工作内容划分等。评估计划应包含以下内容：预期实现的活动；工作团队的人员职责和独立性；认证所使用的方法；认证过程的时间安排；里程碑；预期输出等。随着认证工作的不断推进和深入，评估计划将根据实际需求进行更新和修改，以保证项目进度可控。预评估过程主要内容为现有技术成果与欧盟互联互通技术标准的差异性核对。自主化CTCS-3级列控车载设备TSI认证是在原有CTCS-3基础上进行ETCS求证的过程，因此，首先应建立完整可靠的标准条款矩阵，用于在下一阶段根据TSI标准条款进行证据落实。对于标准中未作出强制要求以及双方对标准理解有偏差的条款，应在本阶段进行解决。质量生产能力审计，评估方将依据公司现有的质量体系要求进行检查，包括文件检查和产品生产工艺及流程评估，从而确保列控车载设备的质量活动已经提供了充分执行的证据。此外，制造过程所在的质量管理系统(QMS)也应满足TSI技术规范的应用要求，且应经过NoBo认证。制造商的所有要求、元素等内容应被文件化，应是一个系统的、有序的整体文件集。测试见证是根据项目开发团队已经完成的情况，评估方在不同阶段进行。通过观察系统测试执行过程和测试结果的正确性，评估方给出测试见证的结论。测试内容包括单元测试等白盒测试，以及系统集成测试等黑盒测试。在测试见证结束后，评估方将出具测试见证报告。根据需要，此报告可与现场审计报告合并。此外，为满足特定国家准入需求，CTCS-3级列控车载设备TSI认证同时会伴随独立安全评估(ISA)认证，ISA认证主要依据EN标准对产品进行，关注产品开发流程与标准的符合性，根据对应的SIL等级要求，采用不同安全开发方法及流程控制来确保系统的安全性。ISA认证中涉及安全性、可用性、可靠性的评估内容及认证成果可作为TSI认证的基础，认证过程由评估方按照欧洲标准EN20126＼50128＼50129进行评估并出具认证证书和评估报告。当所有文档已经提交评估且所有问题均已关闭后，项目组将进行文档发布及后续配置管理工作，评估公司同时发放相应评估报告及证书。5欧盟铁路系统结构及认证过程中国自主化CTCS-3级列控车载设备是铁路信号领域十分重要的高科技产品，也是中国高铁自主化技术的标志性成果，其拓展海外市场意义重大。在目前形