鐵路信號系統(tǒng)安全功能及安全保障措施研究

江 明

(1.北京全路通信信號研究設(shè)計院集團有限公司，北京 100070；2.北京市高速鐵路運行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

1 概述

安全是鐵路運輸?shù)挠篮阒黝}，擁有舉足輕重的地位，也是鐵路系統(tǒng)各專業(yè)各子系統(tǒng)研究的熱點方向。針對鐵路運營的風(fēng)險問題，研究人員分別從列車運行沖突[1]、行車調(diào)度系統(tǒng)[2]、工務(wù)設(shè)備[3]、信號系統(tǒng)[4-5]、供電系統(tǒng)[6]、大型車站客運[7]等各個專業(yè)角度開展了風(fēng)險分析。由于鐵路各專業(yè)的相對獨立性，跨專業(yè)的風(fēng)險分析較少。本文聚焦行車安全和乘客安全，針對為保障列車安全運行所涉及的工務(wù)工程、機車車輛、信號系統(tǒng)等相關(guān)專業(yè)，采用故障樹分析方法進行跨專業(yè)的風(fēng)險分析。選取列車沖突、列車脫軌、相關(guān)人員傷亡作為故障樹的頂事件，系統(tǒng)分析了影響行車安全和乘客安全的危險源。

針對風(fēng)險分析的結(jié)果，在總結(jié)鐵路信號系統(tǒng)已實現(xiàn)的安全功能基礎(chǔ)上，提出利用信號系統(tǒng)遍布中心、車站、軌旁和車上的完整傳感信息，通過不同專業(yè)間協(xié)同、車地信息綜合集成的方式擴展信號系統(tǒng)的安全功能，對列車沖突、列車脫軌、相關(guān)人員傷亡等重大行車風(fēng)險進行防護。面向擴展的信號系統(tǒng)安全功能，分析信號系統(tǒng)在物理安全、信息安全和功能安全等方面存在的威脅和問題，提出利用物聯(lián)網(wǎng)、安全云、系統(tǒng)級故障—安全結(jié)構(gòu)等安全保障措施來進一步提升信號系統(tǒng)的安全性。

2 鐵路信號系統(tǒng)的特點及現(xiàn)有安全功能

鐵路系統(tǒng)作為一個由復(fù)雜技術(shù)裝備組成、在復(fù)雜環(huán)境中運行、完成具有復(fù)雜時空分布特征的位移服務(wù)的整體，由運輸組織、機車車輛、工務(wù)工程、通信信號、牽引供電、旅客服務(wù)等多個子系統(tǒng)構(gòu)成，是一個復(fù)雜的網(wǎng)絡(luò)化巨系統(tǒng)。其中，工務(wù)工程、機車車輛、信號系統(tǒng)3 個專業(yè)的設(shè)備故障或操作錯誤都可能直接導(dǎo)致行車事故，因此這3 個專業(yè)的系統(tǒng)/設(shè)備作為運輸核心裝備，承擔著保障列車運行安全的重擔。

進一步分析工務(wù)工程、機車車輛、信號系統(tǒng)3大系統(tǒng)，能夠發(fā)現(xiàn)工務(wù)和機車車輛兩個系統(tǒng)的信息處于完全隔離的狀態(tài)，二者均只能獲取和分析處理各自的信息，無法與對方交互信息。信號系統(tǒng)是3大系統(tǒng)中唯一能夠同時獲取車上和地面的相關(guān)信息、并實現(xiàn)車地之間信息交互的系統(tǒng)，因而信號系統(tǒng)是使得移動裝備與地面固定裝備保持協(xié)調(diào)關(guān)系的關(guān)鍵系統(tǒng)，對列車的安全運行起到至關(guān)重要的作用。

信號系統(tǒng)作為鐵路的“大腦與神經(jīng)”，是一套用于消解列車運行風(fēng)險、面向生命安全服務(wù)的專用工業(yè)控制系統(tǒng)，由中心設(shè)備、車站設(shè)備、軌旁設(shè)備、車載設(shè)備、通信網(wǎng)絡(luò)等組成，包含車、地、環(huán)境、人因等多個結(jié)構(gòu)因素，具有多層次、跨平臺以及多輸入等特點，是典型的安全苛求系統(tǒng)。信號系統(tǒng)具有遍布中心、車站、軌旁和車上的完整傳感信息，且已形成一個整體的網(wǎng)絡(luò)化結(jié)構(gòu)，能夠?qū)崿F(xiàn)行車各種信息的采集、傳輸、處理、再生和管理，能夠同時與工務(wù)、機車車輛兩個系統(tǒng)進行信息交互，具備車地信息綜合集成的能力。

從當前的技術(shù)發(fā)展階段來看，信號系統(tǒng)具有保障行車安全、提高運輸效率、提升運營管理水平、改善工作人員勞動條件、降低運行能耗等5 大功能[8]。隨著信號技術(shù)的不斷發(fā)展，信號系統(tǒng)越來越多地承擔了從其他專業(yè)轉(zhuǎn)移而來、涉及行車安全和乘客安全的安全功能。現(xiàn)階段，信號系統(tǒng)通過采用列車占用檢查、列車完整性檢查、區(qū)間方向控制、閉塞控制、道岔控制、列車運行速度監(jiān)控、臨時限速控制等安全控制技術(shù)對道岔和列車進行控制，已經(jīng)實現(xiàn)大量安全防護功能并已在鐵路大面積應(yīng)用，主要功能包括：平交道口的防護、追尾防護、撞車防護、側(cè)線防護、列車速度控制與監(jiān)督等。

3 基于專業(yè)協(xié)同的鐵路信號系統(tǒng)安全功能擴展

本節(jié)采用故障樹分析方法對影響行車安全和乘客安全的主要安全風(fēng)險進行跨專業(yè)的綜合分析，考慮了工務(wù)工程、機車車輛、信號系統(tǒng)3 大行車關(guān)鍵專業(yè)所涉及的風(fēng)險。本文所指的運行安全是指狹義的安全，即對乘客生命安全帶來直接影響的安全因素，因此僅選取列車沖突、列車脫軌、相關(guān)人員傷亡作為故障樹的頂事件。牽引供電、旅客服務(wù)等其他專業(yè)的故障也會對鐵路運營帶來安全風(fēng)險，但不會直接導(dǎo)致列車顛覆或人員傷亡，故不在本文討論范圍之內(nèi)。

按照故障樹的故障原因來分，影響列車運行的危險源主要包括：因人工錯誤或設(shè)備故障導(dǎo)致的列車沖突，如因停放列車或斷鉤車輛溜逸導(dǎo)致的不受控列車沖突，列車正面相撞、側(cè)面相撞、追尾、與擋車器相撞等；因人為因素、線路故障、車輛故障、侵限異物、環(huán)境因素等造成的列車脫軌，如超速駕駛、鋼軌損傷、車輪故障、泥石流、強風(fēng)暴雨、著火爆炸等；因其他原因?qū)е碌南嚓P(guān)人員傷亡，如車門防護錯誤導(dǎo)致乘客跌落、鋼軌上的施工人員或行人受到撞擊等。具體分析結(jié)果如表1 所示。

表 1 列車運行安全風(fēng)險分析列表Tab.1 Safety risk analysis list of train operation

針對表1 中所列的危險源，工務(wù)工程、機車車輛、信號系統(tǒng)3 個專業(yè)都各自開展了大量保障列車運行安全的工作，分別建立了多種多樣的信息傳輸通道、故障檢測系統(tǒng)[9]。但是因為各專業(yè)間缺乏有效整合，沒有實現(xiàn)完整的信息共享，未能形成合力為運輸提供服務(wù)，所以效果有待改進，需要通過不同專業(yè)間信息協(xié)同的方式來加強。

如果僅從信號系統(tǒng)安全防護的角度來看，如本文第2 章所述，目前信號系統(tǒng)已經(jīng)對部分風(fēng)險進行了有效防護，具體防護情況如表1 所示?，F(xiàn)階段，信號系統(tǒng)能夠?qū)α熊囌嫦嘧?、?cè)面相撞、追尾、與擋車器相撞以及超速駕駛的風(fēng)險進行有效防護，能夠?qū)﹄姎夥蛛x條件下的斷軌、道岔四開等情況進行部分防護，對環(huán)境因素、鄰線故障等風(fēng)險通過調(diào)度員下達限速的方式進行部分防護，對車門開關(guān)進行部分防護。

但從表1 也可以清楚地看到，還存在很多影響列車安全運行的危險源未納入信號系統(tǒng)防護范圍。信號系統(tǒng)可以結(jié)合自身特點，通過與其他專業(yè)協(xié)同來綜合車—地信息，實現(xiàn)車上故障和地面故障的聯(lián)動分析，對這些危險源采取更為有效的防護措施。

在專業(yè)協(xié)同模式下，通過機車車輛、信號系統(tǒng)、工務(wù)工程3 個專業(yè)的協(xié)同，地面（工務(wù)）實時檢測線路故障、侵限異物和環(huán)境影響，車上（機車車輛）實時檢測車輛故障、侵限異物和環(huán)境影響；信號系統(tǒng)可以綜合車地系統(tǒng)提供的檢測信息，結(jié)合自身從中心、車站、軌旁和車上采集到的信息，根據(jù)故障情況自動計算限速或生成停車命令，并自動采取防護措施。3 個專業(yè)協(xié)同形成的新系統(tǒng)能夠?qū)崟r檢測線路情況、車輛情況、環(huán)境、侵限異物（包括人員）等影響，對列車運行進行全程精準防護。舉例來說，車上組件脫落目前僅由列車自行檢測，如果未檢出可能影響列車運行安全。而信號系統(tǒng)不僅可以利用列車自行檢測的信息，還可以利用地面檢測到的墜物信息，將兩部分信息綜合后可以有效提高組件脫落故障的檢出率，保障列車安全運行。再例如，車輛空轉(zhuǎn)打滑目前僅由列車自行檢測，如果信號系統(tǒng)能夠綜合利用地面雨雪覆蓋相關(guān)信息，則可以得到更為準確的判斷結(jié)果，提高列車運行的安全性。

4 鐵路信號系統(tǒng)的安全保障措施增強

如本文第3 章所述，信號系統(tǒng)經(jīng)過多年的發(fā)展，已經(jīng)承擔了防止列車沖突和超速的安全功能，并且將繼續(xù)承擔更多涉及行車安全和乘客安全的安全功能。如何讓信號系統(tǒng)承擔起如此多的安全功能，是一個非?，F(xiàn)實且非常重要的問題。

通常情況下，工業(yè)控制系統(tǒng)安全可以分成3 個方面，即功能安全、物理安全和信息安全。鐵路信號系統(tǒng)作為一個典型的網(wǎng)絡(luò)化、智能化工業(yè)控制系統(tǒng)，必須綜合考慮物理安全、信息安全和功能安全，缺一不可。其中，信號系統(tǒng)的物理安全和信息安全是保障信號系統(tǒng)功能安全的基礎(chǔ)，是實現(xiàn)運營安全的前提。由于信號系統(tǒng)的極端重要性，需要采取多種多樣的安全保障措施進行增強。

4.1 物理安全

物理安全是減少由于電擊、火災(zāi)、輻射、機械危險、化學(xué)危險等因素造成的危害。信號系統(tǒng)面臨的物理安全威脅包括：自然威脅（如地震、洪水、暴雪、雷暴、風(fēng)暴、龍卷風(fēng)）、設(shè)施系統(tǒng)（如火災(zāi)、漏水、溫度濕度變化、通信中斷、電力中斷、電磁泄漏）、人為/政治事件（如爆炸、蓄意破壞、盜竊、恐怖襲擊、暴動）。

目前信號機房普遍采用了電源屏、共地接地系統(tǒng)、防雷、防火、空調(diào)、防水、防靜電、防雷擊、防鼠害、電磁波防護等防護措施，確保機房安全可靠。但是，信號系統(tǒng)的物理安全沒有得到足夠的重視，尤其是軌旁設(shè)備缺乏必要的監(jiān)測手段。例如，無源應(yīng)答器如果被偷走，目前在影響到列車運行之前沒有手段獲取其狀態(tài)；再如，如果信號系統(tǒng)承擔全程斷軌檢查的安全功能，也需要對布置于軌旁的斷軌檢查設(shè)備的完好性進行實時監(jiān)測。建議采用物聯(lián)網(wǎng)技術(shù)將位于機房、軌旁、車載等各種不同地點的不同類型設(shè)備的物理狀態(tài)納入監(jiān)測體系。

此外，現(xiàn)階段信號設(shè)備沒有異地備份，當出現(xiàn)地震、洪水、電力中斷等安全威脅時，信號系統(tǒng)將處于癱瘓狀態(tài)，無法繼續(xù)保障鐵路系統(tǒng)安全運行?？紤]到上述安全威脅出現(xiàn)的頻率較低，為了平衡功能和造價，建議采用安全云的方式實現(xiàn)異地災(zāi)備，以全路或者路局為單位設(shè)置一套或若干套安全云平臺，將對應(yīng)的信號系統(tǒng)全部應(yīng)用邏輯和應(yīng)用數(shù)據(jù)都在安全云上備份部署。當本地系統(tǒng)因物理原因無法正常工作時，切換到安全云平臺上運行，最大限度保證信號系統(tǒng)的可用性，實現(xiàn)故障快速恢復(fù)。

4.2 信息安全

在IEC 62443 中針對工業(yè)控制系統(tǒng)信息安全的定義是：“保護系統(tǒng)所采取的措施；由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；能夠免于對系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失；基于計算機系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)，也無法訪問系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止；防止對工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作?！辫F路信號系統(tǒng)屬于工業(yè)控制系統(tǒng)范疇，與傳統(tǒng)的IT 系統(tǒng)有很多不同之處，主要表現(xiàn)為：系統(tǒng)對實時性要求很高，不能容忍延遲或無計劃的中斷事件發(fā)生；系統(tǒng)發(fā)生安全事件，可能會導(dǎo)致重大的行車安全事故，不僅危及個人生命、設(shè)備及環(huán)境，對社會的影響也極大。

信號系統(tǒng)在網(wǎng)絡(luò)與接口安全、通信協(xié)議安全、現(xiàn)場測試與防護方案等方面都會涉及到網(wǎng)絡(luò)與信息安全問題[10]。具體而言，信號系統(tǒng)在操作系統(tǒng)、通信協(xié)議、日志審計、外界設(shè)備、防火墻、入侵檢測以及系統(tǒng)更新操作等存在一定的風(fēng)險，可能會被攻擊者利用，從而對系統(tǒng)造成損害[11]。

整體來說，國內(nèi)外對鐵路領(lǐng)域的信息安全問題研究都處于起步階段。建議加快推進信號系統(tǒng)信息安全技術(shù)研究、標準體系建設(shè)和工程應(yīng)用。

4.3 功能安全

從信號系統(tǒng)保障列車安全運行的角度出發(fā)，可以知道信號系統(tǒng)的功能就是根據(jù)行車計劃，通過采集系統(tǒng)內(nèi)部各設(shè)備狀態(tài)，給出控制列車速度和道岔/道口的指令，其簡化的處理流程如圖1 所示。

圖1 現(xiàn)有信號系統(tǒng)簡化處理流程Fig.1 Simplified processing process of the existing signaling system

為了確保系統(tǒng)的技術(shù)安全，EN50129 給出了反應(yīng)式、組合式和內(nèi)在式故障—安全結(jié)構(gòu)等3 種不同的故障—安全結(jié)構(gòu)，國內(nèi)外所有達到SIL4 安全完整性等級的信號設(shè)備都采用了上述3 種故障—安全結(jié)構(gòu)中的一種或多種。但如果從信號系統(tǒng)整體的角度來看，系統(tǒng)目前采用的是開環(huán)控制的方式，沒有采取任何故障—安全結(jié)構(gòu)。也就是說，信號系統(tǒng)將所有保障列車安全運行的安全苛求功能都分配給了信號設(shè)備，一條線路上信號系統(tǒng)的安全性取決于該條線路上所有信號設(shè)備中安全性最差的那部分。當系統(tǒng)中任何單個設(shè)備出現(xiàn)處理錯誤時，均可能導(dǎo)致整體安全功能的喪失。

為了提高信號系統(tǒng)的整體安全性，可以參照SIL4 級安全設(shè)備的作法，采用上述3 種故障—安全結(jié)構(gòu)的一種或多種。以采用反應(yīng)式故障—安全結(jié)構(gòu)為例，考慮采用C3 列控系統(tǒng)的列車發(fā)車場景，信號系統(tǒng)生成行車許可（MA）并監(jiān)控列車運行，此時的系統(tǒng)結(jié)構(gòu)如圖2 所示，其中行車計劃是信號系統(tǒng)的輸入，CTC、CBI、RBC、ATP 作為信號系統(tǒng)的組成部分完成邏輯處理，輸出給列車/司機和道岔。

圖2 信號系統(tǒng)生成MA的處理流程示例（采用反應(yīng)式故障-安全結(jié)構(gòu)）Fig.2 Example of processing process of MA generation by signaling system (adopting reactive fail-safe architecture)

與現(xiàn)有系統(tǒng)不同之處在于，新系統(tǒng)在邏輯處理單元之外，增加了故障檢測單元。系統(tǒng)在向列車和道岔輸出控制指令之前，需要根據(jù)輸入的行車計劃對輸出的結(jié)果進行檢查。如果故障檢測單元檢測到任何不符合故障—安全原則的輸出，則應(yīng)切斷輸出，使得系統(tǒng)處于安全狀態(tài)。我國CTCS-3 級列控系統(tǒng)中ATP 行車許可結(jié)合軌道電路信息[12]的做法可以視作本故障—安全結(jié)構(gòu)的一個特例，對局部邏輯處理進行了故障檢測，能夠部分提高系統(tǒng)的安全性。

需要說明的是，本文僅提出了對信號系統(tǒng)增加故障檢測單元的故障—安全結(jié)構(gòu)，并沒有限定其實現(xiàn)方式。此處所說的故障檢測單元既可以屬于信號系統(tǒng)本身，也可以單獨存在；既可以對從CTCCBI-RBC-ATP 的整體邏輯處理過程設(shè)置一個故障檢測單元，也可以對任何兩個設(shè)備之間的邏輯處理過程設(shè)置獨立的故障檢測單元。

5 總結(jié)

安全是鐵路運輸適應(yīng)經(jīng)濟和社會發(fā)展的先決條件，信號系統(tǒng)作為鐵路的“大腦與神經(jīng)”，必將越來越多地承擔涉及行車安全和乘客安全的安全功能。信號系統(tǒng)具有遍布中心、車站、軌旁和車上的完整傳感信息，且已形成一個整體的網(wǎng)絡(luò)化結(jié)構(gòu)，能夠同時與工務(wù)、機車車輛兩個系統(tǒng)進行信息交互，具備車地信息綜合集成的能力。因此，通過專業(yè)間協(xié)同、車地信息綜合集成的方式擴展信號系統(tǒng)的安全功能，必將成為鐵路系統(tǒng)發(fā)展的趨勢。

為滿足更多安全功能所提出的更高安全要求，本文分析了信號系統(tǒng)在物理安全、信息安全和功能安全等方面存在的威脅和問題，提出利用物聯(lián)網(wǎng)、安全云、系統(tǒng)級故障—安全結(jié)構(gòu)等安全保障措施來全方位提升信號系統(tǒng)的安全性，希望能夠從更廣的視角為信號系統(tǒng)的發(fā)展提供新思路。