文:王爽 李明实
责任编辑:胸怀天下
来源:摘编自中外管理出品《从一棵树,到一片森林——和利时交通业务成长启示录》
“以你们的基础,想拿这个证,没有10年没戏!”和利时最初去做SIL4级认证的时候,欧洲认证机构如此断言:和利时做不到。
SIL是safetyintegritylevel的缩写,译为安全完整性等级,它是一项功能安全认证,主要涉及针对安全设备开发流程的文档管理(FSM)评估,硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。SIL认证分为4级,即SIL1、SIL2、SIL3和SIL4,级别越高要求其危险失效概率越低。
安全是个概率,而欧洲人计算出来的概率是10-9,这意味着正常运行10年只出一次安全相关事故。欧洲认证机构认为,按照和利时的技术基础,攒够充足的现场运营时间,积累够充足的运营经验,至少需要十年才能达到安全认证的要求。
当时,国内客户还没有关于SIL4级安全认证的硬性要求,并不是产品必须拿到认证才有资格承接项目。但在看到欧洲有了列控系统安全认证标准和认证机构之后,和利时立即判断安全认证是未来的行业趋势。徐悦提出:“和利时必须要去挑战一下!”
因此,在国内企业还没认识到安全认证价值的时候,和利时决定:去做认证,要拿到中国第一张SIL4级安全认证证书。
SIL4级安全认证在欧洲属于保证安全的一种管理手段,其认证标准是产品符合各项安全要求,实质上是要求企业提高安全管理水平和能力。只有产品的开发过程和管理过程全都通过测试之后,才能获颁安全等级证书。所以,SIL4级安全认证是一种很严谨也很科学的管理方法。当时的SIL4级安全认证还仅仅是欧标,现在这套标准已经成为国际通行的标准,中国也将其引入成为了中国标准的一部分。
王常力曾形容和利时做业务,好比一个小学生拿到一个中学的竞赛题。虽然最终把问题回答了,但是求解问题的过程很不规范。实际上,虽然和利时的项目投运结果都不错,但是产品和服务还不够成熟,尤其在生产流程和管理方式上还在粗放式发展阶段。
中国企业的制造过程普遍粗放,更精密的生产要求促使它们对制造体系——生产流程、质量保障、物料供应、操作规程——进行大规模重组。但多数中国企业没有见过高效的制造体系,不知道如何建立完善规范的制造流程。因此,企业需要借助外力,帮助企业扫除障碍,重塑生产流程。所以,和利时希望在通过SIL4级认证的过程中,用科学的解决办法提高自身产品的规范度。
其实,和利时对于通过认证志在必得,不止出于提升业务的考虑,更是因为一直以来追求更加安全的初衷。和利时深知信号系统在安全方面承担着巨大风险。在徐悦看来,如果供应的设备出了安全事故,一方面有社会责任,另一方面“先不说别人追究,自己在内心受到的打击就会很大。我们做的事,人命关天,不容一丝马虎。”
王常力常说,“和利时要成为一家高尚的公司,一家有品位的公司,一家有价值的公司。”有些公司的价值是影响着世界进步,英特尔公司每前进一步就带动全世界的CPU前进;微软的操作系统每升级一次,全世界的系统也跟着完善一次。而和利时交通业务的价值就是为中国铁路的安全行驶不断增加砝码。
下定决心要做认证后,和利时团队立即行动。
第六次大提速之后,和利时在与各地方铁路局接触的过程中发现,其实还有很大一部分市场被忽略了。高铁之前,中国的火车都是由机车牵引行进,就是所谓的“火车跑得快,全靠车头带”。当时,全国客运和货运机车保有量达三万台,但是机车的制动系统还非常原始,毫无智能可言。
于是,和利时决定研发一套能兼顾机车和动车两种不同动力模式的车载设备,并通过SIL4级安全认证。
过去的绿皮车、空调车,乘客坐的叫车辆,前面牵引的叫机车。当时是不固定的编组,人多的时候,可能是16辆车组成一个编组,人少的时候8辆车组成一个编组,然后靠一个机车牵引,动力集中在车头。机车是靠空气压力制动,制动要控制空气压力。
而现在的动车,往往是8辆编组、16辆编组或者两列联挂,是一个整体。动车的动力是分散的,不是每节车厢都有动力,有可能是“六动两拖”“四动四拖”,动力并不固定在车头。因为动车、高铁采用电制动,所以想制动要控制电信号。
两种车在控制方式上完全不一样,要兼容两种制动方式,就要生产出新型控制接口。这在技术上,是从零开发的一个艰难过程。
从2007年开始,和利时前前后后投入几十人,进行了大量调研、实验,经过两年多的艰苦奋战,最终将CTCS-H型列控车载设备打造成功。
CTCS-H型列控车载设备就是奔着通过SIL4级认证进行研发的,所以各项指标都以通过SIL4级认证为目标。SIL4级认证极其复杂,对设备的安全分析有要求,对可靠性分析有要求,对硬件设计中需要使用的方法也有要求,其在软件设计、测试要使用的方式方法方面也都有非常详细的规定。
全程参与认证工作的李剑说:“我们以前开发就是结果导向,反正把东西做出来,能用就行。”但是,要通过认证就必须要举证你的产品满足规定里的每一条要求,包括标准规范要求的所有验证,因此要提供大量系统性文件。除了技术上的难关,适应标准体系,并将之总结升华到一套标准的流程里,对和利时而言,是当时面临的最大挑战。“过标准是最难的,尤其是西方人定的标准,因为东西方的思维方式往往不太一样。”
加之,中国没有通过SIL4级安全认证的先例,没有任何经验可借鉴。面对复杂程度高又完全陌生的认证规则和流程,和利时只能硬着头皮往前冲,应对产品必须通过的准则考验。
例如,铁路信号的特殊理念——“故障安全原则”。信号硬件设备可能会出现意外,比如,二极管被击穿、电容断裂,电阻断电等。但是安全产品的基本底线是,无论出现什么问题都不会导致撞车。所以在硬件方面就需要设计一种逻辑,来确保即使发生故障,结果也仍然是安全的。
“就是控制中心被火烧了,也得保证对后方车辆亮起红灯,这就是底线。”何春明解释道,信号设备在硬件设计上都遵循了“非对称原则”,比如高铁的继电器不是普通的继电器,而是重力式继电器。短路是继电器经常发生的故障,短路之后就会断电,所以对一般继电器会用配线的方法避免混线、短路。但重力式继电器不同,采用悬挂的方式安装,短路断电之后,继电器就会在重力作用下掉落,然后就会亮起红灯。
类似的设计,就是故障安全原则之下的设计,而这些设计就是安全认证要一一检查和论证的。
相比硬件设计,软件设计更难。比如一个绿灯的指令,会用8个比特编码来控制。不是简单地用0表示绿灯,1表示红灯,而是需要至少用8个比特编码来表示绿灯状态,所以只有一种情况才会亮绿灯,其余情况全部亮红灯。
软件也有相应的安全标准规定,包括软件的设计、审查、测试、检查等环节都有一系列规定动作。“比如,在安装现场发现有个bug,直接在现场更改是不允许的。我们公司最早提出来这样做不行。”何春明解释说,这种情况需要开发人员在修改完bug后将软件上传到配置服务器里,然后测试人员从服务器里拿出软件进行编译,编译完之后再进行测试。最后发布到配置库里,由配置管理员发放给现场技术人员录入新软件。不允许从开发人员的电脑里,把代码发到现场,然后现场编译录入——哪怕一个字节的数据,都不允许,因为产品安全可靠是和利时坚守的底线。
和利时团队就是用这套严格的流程来管控质量。而这也是他们在SIL4级安全认证的过程中深刻领悟的道理——过程决定结果。“你不能把安全完全寄托在人身上,因为人是最不可靠的,要有一套手段。”徐悦说,和利时很早就认识到依靠系统才能保证质量的恒定。
2009年,经过了流程、资质、技术、测试等一道道关卡,和利时研发的CTCS-H型列控车载设备获得安全产品SIL4级认证证书,这是国内首个通过SIL4级认证的同类产品,开创了安全产品进行认证的先河。
当初欧洲人断言需要10年才能拿到的证书,和利时用了三年时间就拿到了。
在获得SIL4级认证的过程中,和利时获得的远不止一个证书,更是与之配套的整个生产流程的升级与安全体系框架的建立。甚至和利时的岗位设置和组织架构,都依照认证的标准进行了调整。
经过此番历练,和利时的安全管理水平有了大幅提高,同时团队成员熟悉了安全认证的体系和标准,并成功地将这套安全管理手段落地到日常研发和生产中。
制造能力和水平的提升对产品质量提升的重要性不言而喻。高质量的制造体系也就成为自主产品可靠性的保证。之前虽然和利时长期进行自力更生式的产品开发,具有较强的解决问题能力,但研发的严谨性,以及制造和质量管控体系与外国企业有较大差距。与国际知名信号企业相比,和利时的产品质量还有待提升。
为通过SIL4级认证而进行的体系建设,唤醒了和利时整体的体系意识,促使企业重塑了包括研发在内的各个体系。在新的经验和体系的基础上,新一轮的产品自主研发使和利时的综合能力得到空前提高。
其实,能成功将欧标引入,得益于和利时的自动化基因。和利时的工业控制业务,是一种特殊应用的控制。它融合了很多方面的技术,对信号技术有相当大的促进。所以,和利时能成功把欧标引进轨道交通业务里,也是得益于原有的管理体系和管理架构。如果没有这些基础,即便将欧标引进来,肯定也不能成功嫁接到原有的生产体系中。
另一方面,通过走从开发到认证的路径,和利时提升了各项技术能力,同时锻炼了一支队伍,培养了包括软件开发、硬件开发、测试、配置管理、安全保证等领域的人才。同时,和利时团队也验证了这套流程的可行性,为后续各岗位标准化、专业化打下了基础。
“最早做风险分析表的时候,是我在纸上用手画出来的。”团队成员回忆道,当时没有专门的功能安全部门,很多职能都是部门间交织完成。“我们试过认证的很多种方式方法,给了后来的产品很多借鉴和参考。”之后,和利时再做其他的产品,就游刃有余了。
可以说,是和利时开启了认证之门,开创了信号产品进行国际认证的先河。之后,行业内其他企业纷纷到和利时取经,学习认证流程和知识。和利时也将自己的经验无私地与业内同行共享,无形中推动了中国信号系统共同向前发展。
在和利时拿到安全证书的两年后,铁道部开始逐渐增加了认证的要求。一开始是试探性的,在行政许可的范畴下,优先选用有认证的产品。而到后来,安全认证已经变成了信号界的标配,也成为承接铁路项目的强制标准。
在和利时初入铁道行业的时候,部分专家对和利时的计算机控制产品有些抵触,他们认为:“火车的安全要求高,只用软件控制,出了问题就是车毁人亡,后果太严重。”这种思维方式有其道理,但某种程度上也使得铁路行业新技术的发明与应用远跟不上时代发展的节奏。
和利时这家“路外企业”进入铁路圈后,给整个铁路行业注入了很多新鲜元素。因为和利时以做工业自动化起家,擅长从电子技术、软件技术的视角解决问题。因此,他们对信号技术进行了大刀阔斧的变革与创新。作为铁路圈的外来者,和利时算得上是信号圈的“搅局者”,但就是因为有和利时的存在,这个圈子变得更加有活力。如果没有和利时这条鲶鱼,中国的信号系统的技术进步,可能也不会这么快。