鐵路信號系統(tǒng)安全保障策略研究

安卓

（中土集團福州勘察設(shè)計研究院有限公司，福州 350011）

1 鐵路信號系統(tǒng)應(yīng)用現(xiàn)狀

我國學(xué)者普遍認(rèn)為鐵路信號系統(tǒng)是向行車人員傳送行車條件、行車狀態(tài)的相關(guān)技術(shù)指標(biāo)。 鐵路信號系統(tǒng)建設(shè)需滿足設(shè)計標(biāo)準(zhǔn)、區(qū)域條件，我國目前普遍應(yīng)用調(diào)度指揮系統(tǒng)、閉塞系統(tǒng)、聯(lián)鎖系統(tǒng)等來保障鐵路行車安全[1]。 國外對信號系統(tǒng)安全的研究起步更早，安全系統(tǒng)體系比較完善，如法國推廣的列車運行控制系統(tǒng)（TVM），具有良好的安全性和兼容性。本文在綜合國內(nèi)外研究現(xiàn)狀的基礎(chǔ)上，從風(fēng)險識別、風(fēng)險評估、風(fēng)險預(yù)警的角度保障鐵路信號系統(tǒng)的安全性， 在安全管理體系上進行創(chuàng)新，建立完善的鐵路信號系統(tǒng)安全控制體系。

鐵路信號系統(tǒng)的穩(wěn)定性會對列車調(diào)度效率產(chǎn)生影響，近年來，國外鐵路因鐵路信號系統(tǒng)不穩(wěn)定，出現(xiàn)了列車未按時運行、車輛的調(diào)度效率較低等問題，存在嚴(yán)重的安全隱患。 鐵路信號系統(tǒng)的應(yīng)用由多個子系統(tǒng)組合而成，其中包括列控中心、調(diào)度指揮系統(tǒng)、聯(lián)鎖系統(tǒng)等。 系統(tǒng)根據(jù)聯(lián)鎖條件在時序下進行車輛調(diào)度，可以預(yù)防系統(tǒng)失誤操作行為的產(chǎn)生。

鐵道系統(tǒng)信號系統(tǒng)按照應(yīng)用模式分為一般應(yīng)用模式、 一般產(chǎn)品、特殊應(yīng)用。信號交叉接收模式的應(yīng)用通過信號遞進方式滿足安全需要。目前，針對信號系統(tǒng)的安全保障模式針對上述3 個交叉應(yīng)用接收模式采取不同的安全保障措施， 具體內(nèi)容如圖1所示。

圖1 信號系統(tǒng)安全保障應(yīng)用圖

特殊應(yīng)用的信號系統(tǒng)需出具獨立的安全評估報告， 通過安全例證參考后方可使用，該系統(tǒng)支持商業(yè)運營模式。 一般應(yīng)用系統(tǒng)需根據(jù)不同子系統(tǒng)出具評估報告， 并采用例證的方式對安全性進行參考。 信號系統(tǒng)一般安全保障產(chǎn)品的數(shù)量較多，需采用多種安全證書，對系統(tǒng)的安全性進行評估。

2 案例分析

2021 年， 某鐵路局1 條CTCS-2 級線路多個站點列空中心間發(fā)出網(wǎng)絡(luò)通信中斷告警，信號安全數(shù)據(jù)網(wǎng)的EMS 系統(tǒng)也同時發(fā)出告警。 告警網(wǎng)絡(luò)的組網(wǎng)交換機設(shè)備存在異常，且交換機顯示端口丟包率和端口出入量存在異常。

分析后得知， 導(dǎo)致本次事故出現(xiàn)的原因是中繼站網(wǎng)絡(luò)交換機的CPU 使用率過高， 致使環(huán)協(xié)議報文無法被有效處理，受此影響，主站交換機做出環(huán)網(wǎng)中存在斷點的判定，于是打開阻塞端口，再加上故障交換機的轉(zhuǎn)發(fā)功能正常，最終使網(wǎng)絡(luò)受損，引發(fā)網(wǎng)絡(luò)風(fēng)暴。

基于故障成因，維護人員將交換機組環(huán)網(wǎng)端口物理通道斷開，使環(huán)形網(wǎng)絡(luò)變?yōu)閱我绘溌罚收媳怀晒鉀Q，告警消失。 之后，在天窗點內(nèi)采集交換機數(shù)據(jù)，在檢查完成后，對故障交換機進行重啟處理，使物理通道恢復(fù)，網(wǎng)絡(luò)工作狀態(tài)得以運行。

3 鐵路信號系統(tǒng)安全保障措施

結(jié)合上述案例可知， 故障交換機接收大量未知報文是導(dǎo)致信號系統(tǒng)故障的主要原因，為此，筆者認(rèn)為相關(guān)部門應(yīng)采取下述安全保障措施。

3.1 鐵路信號系統(tǒng)安全管理

鐵路信號系統(tǒng)安全保障措施應(yīng)建立安全管理模式， 通過對集成信號系統(tǒng)的綜合安全管理， 避免出現(xiàn)影響信號系統(tǒng)穩(wěn)定性和安全性的因素。 按照鐵路信號系統(tǒng)安全管理流程，通過管理計劃、配置計劃、項目進度等進行信號安全保障項目的評估。 在信號系統(tǒng)建設(shè)初期，應(yīng)預(yù)先制訂安全管理計劃，并在信號系統(tǒng)管理計劃中對管理組織、管理活動等進行明確，計劃經(jīng)由審批后方可落實。 計劃內(nèi)容應(yīng)包括系統(tǒng)的生命周期及維護措施等，如系統(tǒng)進行更新、調(diào)整，應(yīng)進一步對安全計劃進行更新，編制與信號系統(tǒng)匹配程度更高的計劃[2]。

信號系統(tǒng)的安全管理是一項綜合性活動， 需采取科學(xué)的組織結(jié)構(gòu)對其進行執(zhí)行， 并對鐵路信號系統(tǒng)的責(zé)任人進行劃分，確定角色責(zé)任人。 根據(jù)信號系統(tǒng)的安全管理組織結(jié)構(gòu)劃分安全等級，并保障管理項目的獨立性。 例如，信號系統(tǒng)中包括SIL3（安全完整性等級）、SIL4（功能安全認(rèn)證）兩類經(jīng)過認(rèn)證的產(chǎn)品，安全確認(rèn)工作的落實應(yīng)根據(jù)不同項目進行獨立評估。具體安全管理組織架構(gòu)如圖2 所示。

圖2 安全管理組織架構(gòu)圖

在安全管理組織架構(gòu)中，由項目經(jīng)理負(fù)責(zé)安全工作，信號系統(tǒng)的設(shè)計人員和驗證人員對項目經(jīng)理負(fù)責(zé)， 確認(rèn)人員和評估人員對安全風(fēng)險、安全等級的認(rèn)定。 在明確安全管理組織架構(gòu)后，要確定項目的安全生命周期，明確信號系統(tǒng)項目的組成序列，管理工作的落實應(yīng)伴隨多個活動，根據(jù)不同階段采取不同的活動，將活動聯(lián)系起來明確信號系統(tǒng)的安全生命周期，根據(jù)生命周期對危害產(chǎn)品的管理過程進行明確，具體過程如圖3所示。

圖3 信號系統(tǒng)危害管理過程圖

3.2 鐵路信號系統(tǒng)風(fēng)險識別

對鐵路信號系統(tǒng)進行安全管理的過程中， 應(yīng)對可能產(chǎn)生的安全風(fēng)險進行識別。 識別是安全管理的基礎(chǔ)工作，以識別結(jié)果為依據(jù)制訂特殊的行為方案， 或采用風(fēng)險消除或采用風(fēng)險控制方法，降低危害的發(fā)生概率。 對于信號系統(tǒng)和子系統(tǒng)，危害具有層次性，且在信號系統(tǒng)開發(fā)過程中對層次進行了劃分，可重復(fù)進行危害識別。

對危害進行識別后，需采用原因分析法分析風(fēng)險原因，應(yīng)從信號系統(tǒng)本身和安全管理2 個角度出發(fā)評估危害產(chǎn)生的可能性，判斷相關(guān)措施處理的可能性。 通常采用定性分析和定量分析相結(jié)合的故障樹分析法。

對原因進行分析后，了解信號系統(tǒng)風(fēng)險產(chǎn)生的主要原因，并根據(jù)危害性質(zhì)和危害內(nèi)容對可能產(chǎn)生的后果進行綜合分析。 后果分析需要分析人員具備專業(yè)知識，可編制量化分析表進行風(fēng)險的量化評估，或采用故障樹的方法及因果圖的方法，結(jié)合經(jīng)驗予以定性分析。

風(fēng)險識別是風(fēng)險評估的前提， 主要是結(jié)合分析對象的實際情況進行初步的危害分析， 同時針對信號系統(tǒng)和子系統(tǒng)進行接口風(fēng)險分析。 為貫徹落實安全管理的整體性原則，也要對信號系統(tǒng)設(shè)備連接的接口位置進行分析。 每個項目的風(fēng)險識別和風(fēng)險分析應(yīng)具有獨立性，且應(yīng)按照流程進行識別、原因分析、結(jié)果分析[3]。

3.3 鐵路信號系統(tǒng)風(fēng)險評估

鐵路信號的安全保障工作應(yīng)在科學(xué)的風(fēng)險分析的基礎(chǔ)上進行風(fēng)險的量化評估，判斷風(fēng)險是否可以接受。 鐵路信號系統(tǒng)安全影響因素可分為人員、設(shè)備、方法、環(huán)境、系統(tǒng)等5 個部分，將評估結(jié)果分為不可接受、可接受及可容忍區(qū)域3 種，分別定義為一級風(fēng)險、二級風(fēng)險、三級風(fēng)險。

一級風(fēng)險是指不可接受的風(fēng)險，具有極大的危害性，需采取相應(yīng)的措施，包括信號系統(tǒng)維護、信號系統(tǒng)調(diào)試、系統(tǒng)安全防護更新等。 二級風(fēng)險是可接受風(fēng)險，該類風(fēng)險等級較小，可忽略不計，即識別后可以不采取措施對其進行治理，僅對風(fēng)險因素進行監(jiān)測即可。 可容忍區(qū)域風(fēng)險被列為三級風(fēng)險，該等級的風(fēng)險通常不會爆發(fā)事故，具有一定的可容忍性，但可能隨著時間的推移不斷擴大，因此，需要采用監(jiān)測手段將風(fēng)險事故產(chǎn)生的可能性降至最低。

安全風(fēng)險評估是保障鐵路信號系統(tǒng)安全的主要措施，根據(jù)評估結(jié)果采取不同的處置辦法。 處置辦法應(yīng)以科學(xué)性、效益性為基本原則，需在維系安全保障下使性能和成本達到平衡。

3.4 鐵路信號系統(tǒng)的運行維護

鐵路信號系統(tǒng)的安全管理是在識別和評估的基礎(chǔ)上，明確信號系統(tǒng)運行的安全需求，按照標(biāo)準(zhǔn)、記錄、規(guī)范、環(huán)境等，對應(yīng)用條件進行明確，同時對制度需求、功能需求進行完善，按照信號系統(tǒng)的生命周期將安全需求貫徹落實到整個階段之中。 例如，危害記錄主要對詳細(xì)的風(fēng)險信息進行記錄，將其作為安全管理的主要依據(jù)， 通過記錄可以實現(xiàn)對風(fēng)險的追蹤管理。 此外，按照安全管理計劃，應(yīng)對安全進行驗證和確認(rèn)，由專業(yè)人員進行信號系統(tǒng)的安全驗證， 判斷信號系統(tǒng)整個生命周期階段是否滿足安全需求，并根據(jù)驗證結(jié)果出具相關(guān)報告。 信號系統(tǒng)在投入運行過程中要定期對其進行測試， 采用白盒測試和黑盒測試相結(jié)合的方式進行安全分析， 如果存在安全隱患需及時調(diào)試、維護。

部分采用安全例證的方式判斷其是否滿足具體的安全需求，分析所應(yīng)用的管理措施是否在允許范圍內(nèi)，風(fēng)險等級是否可以被接受。 根據(jù)例證規(guī)范，針對一般產(chǎn)品和特殊應(yīng)用采取不同的例證方法，確保信號系統(tǒng)的應(yīng)用條件始終良好。 特殊應(yīng)用的安全例證工作應(yīng)將條件結(jié)果上傳給運營商，對其進行優(yōu)化。在信號系統(tǒng)投入使用后，需要定期對其進行維護，由專業(yè)人員對系統(tǒng)的運行環(huán)境及運行狀態(tài)等進行調(diào)查明確， 并對安全應(yīng)用條件進行優(yōu)化， 針對風(fēng)險問題可以采用變更的方式進行調(diào)試，從而保障系統(tǒng)應(yīng)用效果良好。 維護計劃制訂應(yīng)根據(jù)產(chǎn)品的生命周期，按照階段采取不同的維護措施，從而達到消除安全隱患的目標(biāo)。

4 結(jié)語

綜上所述，鐵路信號系統(tǒng)的安全問題解決應(yīng)貫徹落實“預(yù)防為主、處理為輔”的基本原則，通過風(fēng)險識別、風(fēng)險評估、風(fēng)險預(yù)警、反思等方式，打造完整的信號系統(tǒng)安全管理體系。 以IPIS 標(biāo)準(zhǔn)為指導(dǎo)建立信號集成系統(tǒng)，采取相應(yīng)的保障措施，進而有效提高鐵路信號系統(tǒng)的穩(wěn)定性、安全性。