鐵路信號(hào)系統(tǒng)安全完整性需求的確定及分配方法

劉曉敏 李 智 呂福健

鐵路信號(hào)系統(tǒng)是保證列車能夠安全運(yùn)行的重要基礎(chǔ)設(shè)備，其安全性直接關(guān)系到整個(gè)鐵路系統(tǒng)的運(yùn)輸效率及客戶的生命、財(cái)產(chǎn)安全。近年來(lái)，隨著高速鐵路的不斷發(fā)展，鐵路的安全性越來(lái)越受到關(guān)注，對(duì)鐵路信號(hào)系統(tǒng)安全需求的研究勢(shì)在必行。

安全需求包含安全功能需求和安全完整性需求。安全功能需求是指與安全相關(guān)的功能;安全完整性需求則確定了每個(gè)安全相關(guān)功能所需的安全完整性水平。明確的安全完整性需求以及合理的分配，有利于劃分鐵路主管部門與鐵路信號(hào)產(chǎn)品供應(yīng)商之間的責(zé)任，對(duì)于鐵路的建設(shè)有積極地推動(dòng)作用。

1 基本概念

安全完整性是安全相關(guān)系統(tǒng)在指定的運(yùn)營(yíng)環(huán)境和時(shí)間內(nèi)，在所有指定條件下，實(shí)現(xiàn)其必須具備的安全功能的能力。安全完整性由隨機(jī)失效完整性和系統(tǒng)失效完整性組成。隨機(jī)失效完整性與硬件隨機(jī)故障緊密相關(guān)。硬件隨機(jī)故障是由元器件失效導(dǎo)致的，需應(yīng)用概率計(jì)算進(jìn)行定量的評(píng)估;系統(tǒng)失效完整性是安全完整性中與軟件、硬件故障相關(guān)的部分，由人為錯(cuò)誤導(dǎo)致，無(wú)法量化。安全完整性等級(jí)(SIL)是用數(shù)字來(lái)表示一個(gè)系統(tǒng)能夠滿足其具體安全特征所需的置信度。

所有安全功能都需要有一個(gè)定性目標(biāo)或者定量目標(biāo)。定性目標(biāo)應(yīng)該以安全完整性等級(jí)的形式來(lái)確定，覆蓋系統(tǒng)失效完整性。定量目標(biāo)應(yīng)該以故障率數(shù)值的形式來(lái)確定，覆蓋隨機(jī)失效完整性。安全完整性需求是對(duì)安全功能做詳細(xì)地描述，定義每一安全相關(guān)功能的安全完整性等級(jí)。系統(tǒng)要實(shí)現(xiàn)其安全完整性需求，需要防護(hù)隨機(jī)失效和系統(tǒng)性失效，以保證系統(tǒng)運(yùn)行于最適宜的安全狀態(tài)中。

2 安全完整性需求的獲得及分配

在確定鐵路信號(hào)系統(tǒng)的安全完整性需求時(shí)，需要考慮鐵路的運(yùn)營(yíng)環(huán)境和信號(hào)系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)。同時(shí)，需要明確鐵路信號(hào)系統(tǒng)與運(yùn)營(yíng)環(huán)境的界限。

2.1 系統(tǒng)定義

系統(tǒng)的定義包括:系統(tǒng)的功能需求、RAMS目標(biāo)、長(zhǎng)期的運(yùn)營(yíng)策略和環(huán)境、長(zhǎng)期的維護(hù)策略和環(huán)境、系統(tǒng)生命周期的費(fèi)用、后勤問(wèn)題、與物理環(huán)境的接口、與其他技術(shù)系統(tǒng)的接口、與人的接口等。

2.2 危害識(shí)別

危害是指能夠?qū)е聜Φ臈l件。在明確系統(tǒng)定義以后，需要識(shí)別系統(tǒng)的相關(guān)危害，即危害識(shí)別。危害識(shí)別過(guò)程推薦采用經(jīng)驗(yàn)法和創(chuàng)新法。經(jīng)驗(yàn)法是利用已有的、適宜的危害檢查單來(lái)識(shí)別，如果需要進(jìn)行詳細(xì)審查，則可以使用故障模式和影響分析法(FMEA)。創(chuàng)新法通常需要邀請(qǐng)一個(gè)有著不同專業(yè)背景的專家團(tuán)隊(duì)來(lái)共同完成，包括頭腦風(fēng)暴、HAZOP等方法。為了盡可能廣覆蓋到潛在的危害，識(shí)別所有重大危害并且增加危害識(shí)別的可信度，可以將經(jīng)驗(yàn)法與創(chuàng)新法相結(jié)合，互相補(bǔ)充，以彌補(bǔ)各自的不足。

2.3 后果分析

系統(tǒng)危害識(shí)別后，需要針對(duì)已經(jīng)識(shí)別的每一個(gè)危害，分析其可能產(chǎn)生的后果。后果分析的目的在于識(shí)別、量化危害所帶來(lái)后果的可能性等級(jí)。可以使用原因后果分析法 (CCA)、事件樹 (ETA)等。利用事件樹進(jìn)行后果分析時(shí)，將每個(gè)防護(hù)屏障的強(qiáng)度用故障概率來(lái)量化，同時(shí)使用臨界事件的概率，可方便地計(jì)算出不同后果的概率。后果分析的結(jié)果是預(yù)測(cè)危害將引起的意外或事件，同時(shí)獲得防護(hù)機(jī)制成功與否所帶來(lái)的發(fā)生概率及嚴(yán)重程度。

在后果分析工作結(jié)束后，需要對(duì)已經(jīng)識(shí)別的危害進(jìn)行風(fēng)險(xiǎn)分析，從而確定每一個(gè)風(fēng)險(xiǎn)的可容忍危害率(THR)。風(fēng)險(xiǎn)分析可以使用定性或者定量方法。

2.3.1 定性風(fēng)險(xiǎn)分析

定性風(fēng)險(xiǎn)分析是將風(fēng)險(xiǎn)矩陣做相應(yīng)的調(diào)整后，根據(jù)每個(gè)危害可能產(chǎn)生后果的嚴(yán)重程度來(lái)劃分等級(jí)。表1中的數(shù)值即為各危害事件對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)。

文中風(fēng)險(xiǎn)矩陣是用來(lái)粗略計(jì)算系統(tǒng)安全性的評(píng)估工具，由危害事件發(fā)生的頻率和危害后果嚴(yán)重性等級(jí)構(gòu)成。不同的危害事件發(fā)生頻率與危害后果嚴(yán)重性等級(jí)的組合，惟一確定了危害的風(fēng)險(xiǎn)等級(jí)。對(duì)于危害后果嚴(yán)重程度的界定，通常使用以下假設(shè)方法:1個(gè)等效死亡=10個(gè)嚴(yán)重傷害=100個(gè)輕微傷害。在利用風(fēng)險(xiǎn)矩陣確定每個(gè)危害的風(fēng)險(xiǎn)等級(jí)后，還必須要考慮受到危害影響的人的數(shù)量。例:有1000個(gè)人暴露在等效死亡率為10－6/h的全部風(fēng)險(xiǎn)中，那么，個(gè)別風(fēng)險(xiǎn)等效死亡率/小時(shí) (IRF/h)=10－6×10－3=10－9。通常情況下，一個(gè)系統(tǒng)會(huì)有多個(gè)危害，需要把每個(gè)危害的IRF相加，最后得到總的IRF，即:

表1 危害后果嚴(yán)重性等級(jí)劃分表

式中:Sj為平均縮放參數(shù);Np為受到危害影響的人的數(shù)量。

得到系統(tǒng)總的IRF后，將總的IRF與可容忍限度TIR(個(gè)別風(fēng)險(xiǎn)目標(biāo))相比較，以確定危害是否可以被接受。如果危害能夠被接受，那么危害率HRj就可以等同于可容忍危害率THRj，即

如果IRF和TIR之間存在差值，那么需要調(diào)整HRj，直到TIR與IRF相匹配。

2.3.2 定量風(fēng)險(xiǎn)分析

定量風(fēng)險(xiǎn)分析是一種更嚴(yán)格的方法，可以用來(lái)確定與安全風(fēng)險(xiǎn)相關(guān)的新危害或者引發(fā)高風(fēng)險(xiǎn)的危害，適用于復(fù)雜系統(tǒng)的風(fēng)險(xiǎn)分析。定量風(fēng)險(xiǎn)分析的目的是通過(guò)客觀的評(píng)估得到系統(tǒng)的、客觀的、量化的THR。定量風(fēng)險(xiǎn)分析首先需要確定個(gè)體風(fēng)險(xiǎn)，考慮危害導(dǎo)致事故的原因。要確定個(gè)體風(fēng)險(xiǎn)則需要計(jì)算個(gè)別風(fēng)險(xiǎn)的等效死亡率。通常個(gè)別風(fēng)險(xiǎn)的等效死亡按以下公式計(jì)算:

式中:i為使用系統(tǒng)的個(gè)體，Ni為對(duì)應(yīng)個(gè)體使用系統(tǒng)的次數(shù)，Ei為相應(yīng)個(gè)體每次暴露在危害中的全部時(shí)間，Dj為危害持續(xù)時(shí)間。個(gè)體暴露在危害中的概率等于在個(gè)體進(jìn)入系統(tǒng)之前就已經(jīng)存在危害的概率 (HRj×Dj)和個(gè)體進(jìn)入系統(tǒng)之后發(fā)生危害的概率(HRj×Eij)之和。

一個(gè)危害可能引發(fā)一種或者幾種類型的事故。對(duì)于每個(gè)危害引發(fā)多種事故用后果概率來(lái)表示發(fā)生后果k的概率。對(duì)于每一類事故Ak都有對(duì)應(yīng)的嚴(yán)重性，從個(gè)體角度描述為每個(gè)個(gè)體的等效死亡概率。使IRFi的結(jié)果小于等于TIR，獲得的HRj即為THRj。

2.4 原因分析

通過(guò)對(duì)系統(tǒng)的危害識(shí)別和風(fēng)險(xiǎn)分析得到危害H1、H2、……、Hn和對(duì)應(yīng)的THR1、THR2、……、THRn之后，還需要進(jìn)行原因分析以便得到一個(gè)能夠控制系統(tǒng)危害的、適宜的系統(tǒng)結(jié)構(gòu)。根據(jù)原因分析的結(jié)果確定系統(tǒng)架構(gòu)，將需要防護(hù)的危害都已經(jīng)加以防護(hù)、控制后，給子系統(tǒng)分配相關(guān)的功能。分配過(guò)程包括給關(guān)鍵系統(tǒng)功能或子系統(tǒng)分配THR并確定SIL，以確保由系統(tǒng)功能所引起的所有的系統(tǒng)的HR滿足THR要求。分配過(guò)程可以使用故障樹、可靠性框圖、馬爾可夫模型等方法來(lái)實(shí)現(xiàn)。在系統(tǒng)功能的SIL確定以后，根據(jù)對(duì)應(yīng)的SIL需求來(lái)進(jìn)行相應(yīng)的設(shè)計(jì)。

2.5 設(shè)計(jì)分析

確定系統(tǒng)設(shè)計(jì)以后，需要進(jìn)行系統(tǒng)設(shè)計(jì)分析。因?yàn)槭褂眯孪到y(tǒng)或者新技術(shù)可能會(huì)帶來(lái)以下幾個(gè)方面的問(wèn)題:①新技術(shù)的使用帶來(lái)新的危害;②新技術(shù)的使用導(dǎo)致已有鐵路系統(tǒng)的原有潛在危害的暴露;③規(guī)范的不全面導(dǎo)致新的設(shè)計(jì)存在危害;④使用特殊的操作模式可能對(duì)于既有鐵路并不能完全適用，可能會(huì)對(duì)操作人員、維護(hù)人員、其他工作人員以及公眾產(chǎn)生新的危害;⑤設(shè)計(jì)的錯(cuò)誤可能會(huì)帶來(lái)新的危害。所以需要對(duì)系統(tǒng)進(jìn)行詳細(xì)的分析。對(duì)系統(tǒng)的設(shè)計(jì)進(jìn)行分析的步驟如圖1所示。對(duì)子系統(tǒng)的危害的識(shí)別、分析、處理的過(guò)程及后果分析方法與前述系統(tǒng)方法完全相同。

圖1 系統(tǒng)設(shè)計(jì)分析流程圖

子系統(tǒng)的設(shè)計(jì)可能會(huì)試圖去控制多個(gè)危害，子系統(tǒng)在控制其他危害的同時(shí)可能會(huì)引入新的危害，每個(gè)危害并不一定是相同的類型或者同時(shí)發(fā)生，所以子系統(tǒng)的整體完整性等級(jí)必須是其所有需要實(shí)現(xiàn)的功能的完整性等級(jí)中最高的。即:

SILS=max{SIL1，SIL2，SIL3，……SILn}

式中:SILS表示子系統(tǒng)的SIL;SILi表示各子功能的SIL。若子系統(tǒng)或系統(tǒng)功能能夠繼續(xù)分解為獨(dú)立的子功能，則子系統(tǒng)或系統(tǒng)功能的安全完整性可以在這些更低一層的子功能間進(jìn)行分解，即給每個(gè)子功能分配其相應(yīng)的安全完整性。其確定與分配過(guò)程與系統(tǒng)的安全完整性確定與分配過(guò)程相同。如果不能夠分解為獨(dú)立的子功能，則安全完整性的確定與分配過(guò)程到此結(jié)束。

3 結(jié)束語(yǔ)

隨著高速鐵路的發(fā)展，鐵路信號(hào)產(chǎn)品按照歐洲鐵路信號(hào)安全標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)，并且取得獨(dú)立的第三方的資格認(rèn)證，已經(jīng)成為必然趨勢(shì)。本文根據(jù)歐洲EN標(biāo)準(zhǔn)體系，闡述了安全完整性需求、安全完整性需求的確定和分配過(guò)程，為鐵路信號(hào)系統(tǒng)的開(kāi)發(fā)提供了明確的目標(biāo)，有利于開(kāi)發(fā)出高安全性產(chǎn)品，提高產(chǎn)品的競(jìng)爭(zhēng)力。

［1］ EN 50128:2001.Communication，signalling andprocessing systems－Safety related electronic systems for signaling．

［2］ EN 50129:2001．Railway applications －Communications，signalling and processing systems－Software for railway control and protection systems．

［3］ Engineering Safety Management．Issue 4．Published in 2007 by:Rail Safety and Standards Board．

［4］ 黃銀霞，孫超，呼愛(ài)嬋，崔勇.信號(hào)系統(tǒng)評(píng)估體系構(gòu)架［J］.鐵道通信信號(hào)，2008(11):33－39.

［5］ 陸平.運(yùn)用冗余技術(shù)理念，提高信號(hào)設(shè)備可靠度［J］.鐵道通信信號(hào)，2008(1):31－32.

(責(zé)任編輯:溫志紅)