考慮共因失效的列控系統(tǒng)定量安全分析研究

羅繼光

（湖南中車時代通信信號有限公司，湖南 長沙 410005）

0 引言

隨著高速鐵路的快速發(fā)展，列車運行控制系統(tǒng)（簡稱“列控系統(tǒng)”）的安全性直接影響行車安全［1］。安全計算機平臺被廣泛應用于列控系統(tǒng)中，列控系統(tǒng)為了達到規(guī)定的安全等級，其安全計算機平臺通常采用多通道冗余設計，通過對多個相同或相似的并行通道或功能模塊的輸出結果進行表決來實現(xiàn)功能安全。各通道的相似性使其較易由于共同原因而引發(fā)多個通道或功能模塊的失效。因此，在設計列控系統(tǒng)時，除了應該采取設置多樣性及其他方式來防止共因失效外，還應在系統(tǒng)危險側失效率的計算中充分考慮共因失效分數(shù)。

現(xiàn)有列控系統(tǒng)共因失效研究通常借鑒核電和航空領域共因失效分析的經驗，采用擴展的故障樹法、馬爾科夫鏈和多參數(shù)模型等方法對系統(tǒng)進行共因失效定量分析。上述計算模型的分析過程過于復雜，在系統(tǒng)設計和開發(fā)過程中不易識別共因失效及評估其所引發(fā)的危害程度［2］；同時，這些計算模型更多依賴專家經驗或者半經驗公式，沒有達成統(tǒng)一認可的參數(shù)確認方式；另外，列控系統(tǒng)由于缺少對共因失效歷史數(shù)據(jù)庫的積累和完善，導致計算結果因沒有相關數(shù)據(jù)支撐而存在較大誤差。為此，本文通過建立基于β因子的共因失效分析模型，選取計算機聯(lián)鎖系統(tǒng)，對其進行共因失效篩選和識別，發(fā)現(xiàn)系統(tǒng)設計過程中的薄弱環(huán)節(jié)；同時，結合β因子對系統(tǒng)共因失效進行定量安全分析，并針對薄弱環(huán)節(jié)提出相應的安全防御措施，進一步改善系統(tǒng)的安全設計。

1 基礎理論

1.1 共因失效

由同一種原因而導致的一個以上相同的部件、模塊、單元或者系統(tǒng)發(fā)生的失效被稱為共因失效［3］。

1.1.1 共因失效原因

共因失效產生的原因既可能由于設計錯誤、制造錯誤這樣的內在原因，也可能來源于操作錯誤、維護錯誤以及外部環(huán)境這樣的外在原因。其中，操作錯誤指的是系統(tǒng)運行期間錯誤的強置型指令或者停止指令等；維護錯誤指的是安裝錯誤、維修程序錯誤或者升級錯誤等；外部環(huán)境指的是振動沖擊、火災/煙霧、腐蝕性氣體、鹽霧和潮濕等環(huán)境［4］。

1.1.2 共因失效防御措施

避免共因失效發(fā)生可以從以下3個角度對系統(tǒng)設計提出防御措施［5］：

1）冗余單元的物理隔離。將冗余單元安裝在不同的機箱內，保證其在物理和電氣上是相互隔離的，從而增加對共因失效的抵抗能力。

2）提升硬件和軟件設計的多樣性。例如，在軟件設計中采用異步操作模式以減小共因失效出現(xiàn)的可能性；采用不同廠商生產的電子元器件以提升硬件設計的多樣性。

3）強化設計，以提高強度。例如，增強系統(tǒng)各模塊對環(huán)境的抗干擾能力并進行抗干擾性測試；在系統(tǒng)開發(fā)過程中采用嚴格的質量管理和安全管理流程，從而減少系統(tǒng)性失效和隨機性失效。

1.2 β因子

1.2.1β因子模型

β因子是導致共因失效發(fā)生的因子。根據(jù)IEC 61508-6Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems-part6：guidelinesontheapplicationofIEC61508-2andIEC61508-3附錄D.4的描述［6］，對于執(zhí)行診斷測試的安全架構，由共因失效引起的總失效率為“λDUβ+λDDβD”。其中，λDU為每個通道不可檢測的危險失效率；λDD為每個通道可檢測的危險失效率；β為不可檢測的危險失效的共因失效因子；βD為可檢測的危險失效的共因失效因子。

1.2.2β因子估算方法

IEC 61508-6 標準附錄中提供了β因子估算方法，標準對8個影響共因失效的因素（分離/隔開、多樣性與冗余、復雜性/設計/應用/老化/經驗、評估/分析及數(shù)據(jù)反饋、規(guī)程/人工接口、能力/培養(yǎng)/安全素養(yǎng)、環(huán)境的控制和環(huán)境測試）進行了劃分說明［6］。為了最大限度地減小共因失效發(fā)生的概率，首先要結合這8 個因素對系統(tǒng)建立有效的防御措施（在系統(tǒng)中采用適當?shù)陌踩烙胧?，能夠減少在估算因為共因失效而引發(fā)系統(tǒng)失效時使用的β因子的數(shù)值）［7］；其次，對照這8個因素涉及的問題，評估系統(tǒng)是否采用了有效的安全防御措施，從而對每個問題進行打分；最后，計算所有問題的總分，并基于總分，得到β因子的數(shù)值。β和βD的估算方法在IEC 61508-6 附錄D.4 中有具體說明。估算方法中，參數(shù)S=X+Y；參數(shù)SD=X（Z+1）+Y。其中，X為所采用的措施對提高診斷測試有效性的貢獻值；Y為所采用的措施對降低共因失效的貢獻值；Z為綜合診斷覆蓋率和診斷測試間隔得出的結果。X和Y數(shù)值的確定，需要結合IEC61508-6 標準附錄D.5，對邏輯子系統(tǒng)與傳感器和最終元件中是否采用了安全防御措施進行分析評估，即對照檢查項，對系統(tǒng)的符合情況逐項進行打分，分值相加可分別得到X和Y的數(shù)值。每種措施的X∶Y比值，表示了診斷測試能夠提高該措施對抗共因失效的作用程度［8］。Z值在IEC61508-6 的表D.2 和表D.3中進行了說明。表D.2 為邏輯子系統(tǒng)中Z值的確定方法；表D.3為傳感器和最終元件中Z值的確定方法。

2 共因失效分析模型

根據(jù)系統(tǒng)安全理論，本文提出基于β因子模型的共因失效分析模型，結合β因子和獨立性分析方法對系統(tǒng)可能的共因失效情況進行分析評估，從而保證分析的系統(tǒng)性以及確認共因失效的閉環(huán)控制［9］。共因失效分析模型如圖1所示。

圖1 共因失效分析模型Fig.1 Analysis model of common cause failure

共因失效分析步驟如下：

1）明確系統(tǒng)定義。確定共因失效分析范圍，包括明確系統(tǒng)邊界及接口。

2）建立系統(tǒng)架構設計模型?；谙到y(tǒng)設計定義，確定系統(tǒng)所采用的架構設計模型。

3）初步篩選分析。利用IEC 61508-6 標準附錄中涉及的8個影響共因失效因素的檢查表對系統(tǒng)進行評審，識別分析系統(tǒng)的共因失效弱點。對照這8個因素涉及的問題，評估系統(tǒng)是否采用了有效的安全防御措施。

4）分析和控制共因失效。針對關鍵的共因失效進行定性和定量分析，確定共因失效發(fā)生的根本原因，消除或控制共因失效［10］。

5）關閉共因失效。通過定性分析和定量分析，確定所有的共因失效已經被降低到可以接受的范圍，系統(tǒng)達到規(guī)定的安全目標。

3 實例分析

3.1 系統(tǒng)架構

計算機聯(lián)鎖系統(tǒng)是列車運行控制系統(tǒng)的重要組成部分，本文選擇計算機聯(lián)鎖系統(tǒng)作為研究對象。圖2為計算機聯(lián)鎖系統(tǒng)中常見的2取2系統(tǒng)安全架構。其中，計算機聯(lián)鎖系統(tǒng)中的主機插件、安全數(shù)字量輸入插件、安全數(shù)字量輸出插件均采用此架構設計模型，在2取2（2oo2）架構設計中CPU_A通道和CPU_B通道采用相同的硬件和軟件進行邏輯運算，各通道在進行自檢的同時不斷地將控制計算結果進行交互比較。最終通過通信總線將輸出命令發(fā)送至輸出模塊，由輸出模塊執(zhí)行輸出。

圖2 計算機聯(lián)鎖系統(tǒng)2 取2 架構Fig.2 Architecture of 2-vote-2 in the computer interlocking system

在IEC 61508中，安全計算機包括輸入、邏輯計算和輸出3 個子系統(tǒng)，安全計算機的平均危險側失效率等于各個子系統(tǒng)的平均危險側失效率之和，即

式中：PSYS——整個安全計算機的平均危險側失效率；PS——輸入子系統(tǒng)（傳感器）的平均危險側失效率；PFE——輸出子系統(tǒng)（最終元件）的平均危險側失效率；PL——邏輯計算子系統(tǒng)的平均危險側失效率。

計算機聯(lián)鎖系統(tǒng)中的采集部分、邏輯部分和驅動部分分別對應安全計算機中的輸入子系統(tǒng)（傳感器）、邏輯計算子系統(tǒng)和輸出子系統(tǒng)（最終元件）。安全計算機冗余結構通常采用圖3所示的2乘2取2架構。

圖3 2 乘2 取2 架構Fig.3 Architecture of double 2-vote-2

3.2 共因失效分析

明確計算機聯(lián)鎖系統(tǒng)的系統(tǒng)定義和系統(tǒng)架構設計后，結合IEC 61508-6標準附錄中8個影響共因失效因素的檢查表，對系統(tǒng)設計進行對照評審，根據(jù)其邏輯計算和輸入/輸出3個子系統(tǒng)的設計要求，審視系統(tǒng)依據(jù)檢查表中的每一項是如何進行安全設計的，從而對每個檢查項點進行打分。表1是結合IEC 61508-6附錄中的“分離/隔開”因素，對計算機聯(lián)鎖系統(tǒng)在實際設計中采用的安全防御措施進行評估和打分的結果。表1 的“計算機聯(lián)鎖中采用的安全防御措施”一欄中，列出了在系統(tǒng)實際設計中所采用的控制共因失效的安全防御措施。

表1 分離/隔開分析Table 1 Separation analysis

在完成共因失效篩選和識別后，分析各個潛在的共因故障，評估這些共因失效是否滿足獨立性要求。系統(tǒng)總的危險側失效率包含由共因故障引起的失效以及獨立失效。

IEC 61508-6 標準中定義了不同冗余架構的平均危險側失效率計算方法。在計算機聯(lián)鎖系統(tǒng)中，2 取2（2oo2）的平均危險側失效率P2oo2計算公式為

式（2）中，λDU=λD（1-FDC）。其中，F(xiàn)DC為診斷覆蓋率，λD為單通道危險側失效率。

計算平均危險側失效率時，首先計算每個2oo2架構的危險側失效率，然后以該失效率作為1oo2 架構每個通道的危險側失效率，從而計算得到2 乘2 取2 架構的平均危險側失效率。IEC 61508-6 中定義的1oo2 的平均危險側失效率P1oo2計算公式為

經過對計算機聯(lián)鎖系統(tǒng)架構設計中所采用的安全防御措施進行分析和比對，得出計算機聯(lián)鎖系統(tǒng)架構設計中涉及的邏輯子系統(tǒng)X值為50、Y值為46，傳感器和最終元件的X值為42、Y值為46。在計算機聯(lián)鎖系統(tǒng)架構設計中，各個子系統(tǒng)的X、Y和Z的計算結果如表2所示。

表2 各子系統(tǒng)X、Y 和Z 值Table 2 X，Y，and Z values of each subsystem

根據(jù)表2所示，邏輯子系統(tǒng)中X值為50、Y值為46、Z為2.0，可計算得到參數(shù)S=96、參數(shù)SD=196；傳感器和最終元件中X值為42、Y值為46、Z為2.0，可計算得到參數(shù)S=88、參數(shù)SD=172。

表3為IEC 61508-6標準中定義的S與β及SD與βD的對應關系。根據(jù)表3所示，可得計算機聯(lián)鎖系統(tǒng)中邏輯子系統(tǒng)β的值為1%、βD的值為0.5%；傳感器和最終元件的β的值為2%、βD的值為1%。

表3 β、βD 的取值Table 3 β or βD values

計算機聯(lián)鎖系統(tǒng)對單一故障、多故障和動態(tài)故障的診斷覆蓋率大于99%，計算機聯(lián)鎖系統(tǒng)中單通道都有自檢電路，能保證系統(tǒng)危險故障發(fā)生時單通道能自動導向安全。進行共因失效分析時，由于可以檢測到的危險失效概率對系統(tǒng)安全不會造成影響，可以忽視不計。

根據(jù)既有計算機聯(lián)鎖系統(tǒng)的可靠性數(shù)據(jù)，通過對計算機聯(lián)鎖系統(tǒng)中采用2 乘2 取2 安全架構進行共因失效計算，采用β因子模型，計算得到共因失效分數(shù)β和βD，然后帶入式（1）～式（3）中，可以分別得到由獨立失效（獨立故障原因）和共因失效（共因故障原因）導致的危險側失效率。計算結果如表4所示。

表4 基于β 因子的計算結果Table 4 Calculation results based on β factors

定量計算結果表明，共因失效導致的危險側失效率接近總的平均危險側失效率的計算結果，這說明β和βD是決定平均危險側失效率計算結果的重要參數(shù)?？紤]并采用8 個影響共因失效因素的防御措施，能夠優(yōu)化系統(tǒng)安全設計，并滿足系統(tǒng)獨立性設計要求。

4 結束語

本文根據(jù)系統(tǒng)安全理論，建立一種基于β因子的共因失效分析模型，利用共因失效檢查表對系統(tǒng)進行初步篩選分析，識別分析系統(tǒng)設計過程中的薄弱環(huán)節(jié)，并提出安全防御措施；同時結合β因子對共因失效進行定量安全分析計算，判定系統(tǒng)危險失效率是否在可接受的范圍并達到規(guī)定的安全目標，從而進一步改善系統(tǒng)的安全設計。

通過分析共因失效的原因和耦合機制，能夠對系統(tǒng)設計過程進行審視，發(fā)現(xiàn)設計中的薄弱環(huán)節(jié)并制定相應的安全防御措施，從而進一步提升系統(tǒng)的安全性。相比多參數(shù)模型，β因子模型具有表達直觀、易于維護和可操作性強的優(yōu)勢。由定量計算結果可知，β因子越小，共因失效影響越小。因此，為了有效控制共因失效，在系統(tǒng)設計階段，需要盡量滿足IEC 61508-6附錄提出的相關安全防御措施要求。下一步將綜合考慮共因失效、故障檢測率和維修率對系統(tǒng)可靠性和安全性的影響。