李彥華

(北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070)

1 概述

近年來(lái)，我國(guó)軌道交通發(fā)展迅速，保障列車安全可靠運(yùn)行的軌道交通信號(hào)系統(tǒng)也逐漸由引入國(guó)外成熟產(chǎn)品發(fā)展為由國(guó)內(nèi)公司自主開發(fā)研制。目前國(guó)際上比較成熟的軌道交通信號(hào)系統(tǒng)開發(fā)標(biāo)準(zhǔn)為歐洲的CENELEC EN50126/50128/50129/50159系列安全標(biāo)準(zhǔn)，我國(guó)已對(duì)該系列標(biāo)準(zhǔn)等同采用，建立了相應(yīng)的國(guó)內(nèi)標(biāo)準(zhǔn)體系，因此國(guó)內(nèi)信號(hào)系統(tǒng)的開發(fā)也普遍采用該標(biāo)準(zhǔn)。依據(jù)該系列標(biāo)準(zhǔn)，安全相關(guān)系統(tǒng)可劃分為不同的安全完整性等級(jí)（Safety Integvity Level，SIL），按照標(biāo)準(zhǔn)要求，在開發(fā)過(guò)程中不同的SIL等級(jí)必須滿足不同的功能安全技術(shù)要求，達(dá)到相應(yīng)的安全水平。如果安全相關(guān)系統(tǒng)的SIL等級(jí)選擇不合理，例如SIL等級(jí)選擇過(guò)低，可能會(huì)導(dǎo)致安全相關(guān)系統(tǒng)安全功能失效概率過(guò)高，從而導(dǎo)致受控軌道交通信號(hào)設(shè)備和車輛危險(xiǎn)失控；而過(guò)高的系統(tǒng)SIL等級(jí)又會(huì)造成開發(fā)資源浪費(fèi)，增加研發(fā)周期和成本，不能取得合理有效降低風(fēng)險(xiǎn)的效果。因此研發(fā)一個(gè)安全相關(guān)信號(hào)系統(tǒng)首先就是要確定該系統(tǒng)或者產(chǎn)品的SIL等級(jí)。本文以列車自動(dòng)監(jiān)控系統(tǒng)（ATS）的SIL等級(jí)確定為實(shí)例，對(duì)基于風(fēng)險(xiǎn)圖方法確定產(chǎn)品的SIL等級(jí)過(guò)程進(jìn)行介紹，包括方法的選擇、安全功能的識(shí)別、風(fēng)險(xiǎn)圖參數(shù)的分析，最終確定系統(tǒng)SIL等級(jí)。

2 方法的選擇

根據(jù)EN50129標(biāo)準(zhǔn)定義，安全完整性等級(jí)表示針對(duì)系統(tǒng)失效時(shí)某系統(tǒng)仍可滿足指定安全功能所要求的置信度等級(jí)數(shù)值。安全完整性被分為4個(gè)獨(dú)立的等級(jí)。等級(jí)4為安全完整性最高等級(jí)，等級(jí)1為最低等級(jí)，等級(jí)0用于表明無(wú)安全性需求[3]。在確定系統(tǒng)SIL時(shí)，首先需要確定系統(tǒng)所具有功能的SIL，對(duì)系統(tǒng)功能進(jìn)行SIL分析后可以獲得一系列的功能SIL等級(jí)，當(dāng)這些功能組成系統(tǒng)時(shí)，系統(tǒng)的SIL應(yīng)當(dāng)至少與最高功能SIL等級(jí)相同。

EN50129標(biāo)準(zhǔn)給出了依據(jù)THR值確定安全功能SIL等級(jí)的方法，但由于國(guó)家或鐵路主管部門未給出ATS系統(tǒng)安全功能定量的THR指標(biāo)，因此需采用其他方法來(lái)確定SIL等級(jí)。IEC61508標(biāo)準(zhǔn)第5部分給出一些確定安全完整性水平的方法，有定性和定量?jī)深惙椒╗4]。其中定性方法簡(jiǎn)單、省時(shí)、所需資源少，但依賴人的主觀判斷和經(jīng)驗(yàn)；定量的方法能獲得更加準(zhǔn)確的安全完整性水平，但對(duì)于資源要求大，而特定過(guò)程的可靠數(shù)據(jù)缺乏，安全完整性選擇過(guò)程相對(duì)比較耗時(shí)[5]。在ATS系統(tǒng)的功能和安全功能較明確，且對(duì)功能失效的潛在后果能夠逐項(xiàng)進(jìn)行分析的前提下，選擇IEC61508標(biāo)準(zhǔn)中推薦的定性風(fēng)險(xiǎn)圖方法對(duì)ATS系統(tǒng)SIL等級(jí)進(jìn)行確定。

3 風(fēng)險(xiǎn)圖方法介紹

風(fēng)險(xiǎn)圖方法是基于功能的風(fēng)險(xiǎn)水平確定SIL等級(jí)，即通過(guò)分析某項(xiàng)功能的C、F、P、W指標(biāo)，確定該功能的SIL等級(jí)。其中C、F、P、W為風(fēng)險(xiǎn)圖分析的4個(gè)維度，分別為后果風(fēng)險(xiǎn)參數(shù)、頻率和暴露時(shí)間風(fēng)險(xiǎn)參數(shù)、避免危險(xiǎn)源的可能性風(fēng)險(xiǎn)參數(shù)、不期望發(fā)生的事件發(fā)生的可能性。各指標(biāo)的具體含義如下。

1）C：后果風(fēng)險(xiǎn)參數(shù)

CA：輕微傷害；

CB：嚴(yán)重傷害或單人死亡；

CC：幾人死亡；

CD：多人死亡。

2）F：頻率和暴露時(shí)間風(fēng)險(xiǎn)參數(shù)

FA：不經(jīng)常到經(jīng)常之間；

FB：經(jīng)常到持續(xù)之間。

3）P：避免危險(xiǎn)源的可能性風(fēng)險(xiǎn)參數(shù)

PA：在一定條件下可能；

PB：幾乎不可能。

4）W：不期望發(fā)生的事件發(fā)生的可能性

W1：發(fā)生概率非常小；

W2：發(fā)生概率低；

W3：發(fā)生概率相對(duì)較高。

即為IEC61508推薦的風(fēng)險(xiǎn)圖，如圖1所示。

圖1 IEC61508推薦的風(fēng)險(xiǎn)圖Fig.1 Risk map recommended in IEC61508 standard

進(jìn)行分析時(shí)，將某項(xiàng)功能作為起始點(diǎn)，根據(jù)對(duì)各項(xiàng)參數(shù)的測(cè)算，沿著不同的路徑進(jìn)入下一個(gè)指標(biāo)環(huán)節(jié)，直到最后確定位于X的哪個(gè)點(diǎn)，再根據(jù)W指標(biāo)確定SIL等級(jí)。

4 SIL等級(jí)確定的過(guò)程

4.1 ATS系統(tǒng)功能

ATS列車監(jiān)控系統(tǒng)作為地鐵信號(hào)控制系統(tǒng)的一個(gè)重要組成系統(tǒng)，與計(jì)算機(jī)聯(lián)鎖、軌旁ATC設(shè)備、車載ATC設(shè)備等其他系統(tǒng)一起工作，實(shí)現(xiàn)信號(hào)設(shè)備的集中監(jiān)控，并控制列車按照預(yù)先制定的運(yùn)營(yíng)計(jì)劃在正線和停車場(chǎng)內(nèi)自動(dòng)運(yùn)行。同時(shí)，ATS子系統(tǒng)作為一個(gè)行車信息監(jiān)控系統(tǒng)的實(shí)現(xiàn)平臺(tái)，與時(shí)鐘、無(wú)線、綜合監(jiān)控、TCC、PIS、無(wú)線系統(tǒng)等接口，獲取外部系統(tǒng)采集的數(shù)據(jù)，與信號(hào)系統(tǒng)的數(shù)據(jù)相綜合，為控制中心和車站的行車調(diào)度/值班人員提供一個(gè)豐富的現(xiàn)場(chǎng)狀況顯示，供其制定調(diào)度決策。ATS通過(guò)接口向外部系統(tǒng)提供信號(hào)和列車運(yùn)行的相關(guān)數(shù)據(jù)，供這些系統(tǒng)完成自身的工作。根據(jù)北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司（簡(jiǎn)稱通號(hào)設(shè)計(jì)院）某項(xiàng)目《TIAS系統(tǒng)需求規(guī)范》描述，ATS系統(tǒng)主要功能如表1所示。

表1 ATS系統(tǒng)功能列表Tab.1 ATS system functions

4.2 ATS安全功能識(shí)別

通過(guò)該項(xiàng)目對(duì)需求的分配及功能安全分析可以發(fā)現(xiàn)，表1中的“信號(hào)設(shè)備操作”、“臨時(shí)限速管理”等功能為安全相關(guān)功能，通過(guò)對(duì)系統(tǒng)功能和接口進(jìn)行進(jìn)一步分析可以明確，ATS并不直接控制列車運(yùn)行，而是通過(guò)向聯(lián)鎖系統(tǒng)、ZC系統(tǒng)下達(dá)行車相關(guān)的命令來(lái)間接影響列車運(yùn)行，因此ATS安全相關(guān)的功能主要如下。

為解決電網(wǎng)信息化水平評(píng)價(jià)的需求，提出建立信息化評(píng)價(jià)的基本思路和評(píng)價(jià)方法；針對(duì)電力企業(yè)特點(diǎn)，以促進(jìn)信息化與業(yè)務(wù)深度融合，提升信息化建設(shè)成效為目標(biāo)，初步確立了電力企業(yè)信息化水平評(píng)價(jià)指標(biāo)框架和評(píng)價(jià)模型，為電力企業(yè)開展信息化水平評(píng)價(jià)、引導(dǎo)未來(lái)信息化建設(shè)，提供了參考。

1）在正線一級(jí)設(shè)備集中站，ATS向聯(lián)鎖系統(tǒng)下達(dá)信號(hào)設(shè)備的操作命令，包括信號(hào)機(jī)操作、道岔（轉(zhuǎn)轍機(jī)）操作、區(qū)段操作、進(jìn)路操作等。

2）ATS向聯(lián)鎖系統(tǒng)、區(qū)域控制中心（ZC）系統(tǒng)下達(dá)臨時(shí)限速等命令。

經(jīng)過(guò)進(jìn)一步分析聯(lián)鎖、ZC系統(tǒng)對(duì)接收到的ATS控制命令的反應(yīng)和防護(hù)措施，可以得出定性的結(jié)論為：

1）ATS的安全功能為：臨時(shí)限速、計(jì)軸復(fù)位、道岔強(qiáng)扳、上電解鎖、按鈕解封、區(qū)段故障解鎖。

2）其他功能，如進(jìn)路取消、重開信號(hào)、信號(hào)關(guān)燈等，由于有聯(lián)鎖自身的防護(hù)，即使命令下達(dá)錯(cuò)誤，也不會(huì)產(chǎn)生安全影響。

車站ATS系統(tǒng)安全功能數(shù)據(jù)流示意圖，如圖2所示。其中安全控制命令在正常情況下為圖2中左側(cè)實(shí)線路徑，在ATS分機(jī)故障的情況下可以為右側(cè)虛線路徑。

圖2 車站ATS系統(tǒng)安全功能數(shù)據(jù)流示意圖Fig.2 Safety function data flow of station ATS system

4.3 風(fēng)險(xiǎn)圖參數(shù)分析

通過(guò)對(duì)ATS安全功能進(jìn)行失效模式、原因、影響、場(chǎng)景及后果分析，為后續(xù)潛在的風(fēng)險(xiǎn)后果等風(fēng)險(xiǎn)相關(guān)參數(shù)的確定提供依據(jù)。其中，通過(guò)影響和后果分析可確定后果風(fēng)險(xiǎn)參數(shù)，通過(guò)原因分析可確定頻率和暴露時(shí)間風(fēng)險(xiǎn)參數(shù)，通過(guò)場(chǎng)景分析可確定避免危險(xiǎn)源的可能性風(fēng)險(xiǎn)參數(shù)，通過(guò)綜合分析確定不期望發(fā)生的事件發(fā)生的可能性，從而確定所有安全功能的SIL等級(jí)。

下面給出對(duì) “計(jì)軸復(fù)位”安全功能進(jìn)行的失效模式及影響分析的過(guò)程示例。需要注意的是本文分析過(guò)程基于通號(hào)設(shè)計(jì)院ATS相關(guān)的命令下達(dá)過(guò)程中需進(jìn)行二次確認(rèn)的典型數(shù)據(jù)流，即命令由ATS下達(dá)給聯(lián)鎖或ZC后，由聯(lián)鎖、ZC返回ATS進(jìn)行二次確認(rèn)。對(duì)不同公司的ATS系統(tǒng)進(jìn)行分析時(shí)要針對(duì)具體的情況分析。

功能：計(jì)軸復(fù)位。

失效模式：向錯(cuò)誤的區(qū)段下達(dá)計(jì)軸復(fù)位命令。

失效原因：操作人員命令下達(dá)錯(cuò)誤（疏忽或故意）；ATS（控顯或分機(jī)）的軟件或硬件錯(cuò)誤；ATS數(shù)據(jù)配置錯(cuò)誤；ATS與聯(lián)鎖的通信傳輸錯(cuò)誤。

直接影響：聯(lián)鎖收到錯(cuò)誤的計(jì)軸復(fù)位操作命令。

場(chǎng)景分析：如果聯(lián)鎖要進(jìn)行復(fù)位操作的區(qū)段為空閑狀態(tài)，則無(wú)影響；如果聯(lián)鎖要進(jìn)行復(fù)位操作的區(qū)段為計(jì)軸計(jì)數(shù)錯(cuò)誤引起的占用，則復(fù)位是安全的；如果聯(lián)鎖要進(jìn)行復(fù)位操作的區(qū)段為有車占用，此時(shí)聯(lián)鎖會(huì)要求進(jìn)行二次復(fù)位操作，如果二次復(fù)位操作仍然指向該區(qū)段，則聯(lián)鎖會(huì)對(duì)該區(qū)段執(zhí)行復(fù)位操作。若區(qū)段為道岔區(qū)段可能會(huì)因道岔轉(zhuǎn)動(dòng)造成擠岔、脫軌；如果聯(lián)鎖要進(jìn)行復(fù)位操作的區(qū)段為有車占用，此時(shí)聯(lián)鎖會(huì)要求進(jìn)行二次復(fù)位操作，如果二次復(fù)位操作仍然指向該區(qū)段，則聯(lián)鎖會(huì)對(duì)該區(qū)段執(zhí)行復(fù)位操作，若操作員為其他列車辦理進(jìn)路包含該區(qū)段，則可能追尾或相撞。

后果：擠岔、脫軌、追尾和相撞。

4.4 安全功能SIL等級(jí)確定

根據(jù)對(duì)安全功能進(jìn)行的上述安全分析，確定相關(guān)風(fēng)險(xiǎn)圖參數(shù)，進(jìn)行風(fēng)險(xiǎn)圖分析[8]。

下面以“計(jì)軸復(fù)位”功能為示例進(jìn)行風(fēng)險(xiǎn)圖分析，確定SIL等級(jí)。

1）C指標(biāo)的確定

根據(jù)安全功能失效模式及影響分析的分析，其后果為擠岔、脫軌、追尾、相撞，會(huì)造成多人傷亡，因此為CD。

2）F指標(biāo)的確定

由于“計(jì)軸復(fù)位”操作僅在計(jì)軸出現(xiàn)故障的時(shí)才使用，可認(rèn)為不經(jīng)常暴露在危險(xiǎn)區(qū)域中，因此為FA。

3）P指標(biāo)的確定

通過(guò)場(chǎng)景分析可發(fā)現(xiàn)，若“計(jì)軸復(fù)位”操作確是因?yàn)橛?jì)數(shù)錯(cuò)誤引起，或者發(fā)生錯(cuò)誤復(fù)位的區(qū)段是空閑狀態(tài)，則可以避免該錯(cuò)誤發(fā)生，因此為PA。

4）W指標(biāo)的確定

由于“計(jì)軸復(fù)位”操作命令的下達(dá)會(huì)經(jīng)過(guò)二次確認(rèn)過(guò)程，實(shí)際發(fā)生的可能性很小，且歷史上發(fā)生該不期望事件的概率很輕微，因此為W2。

綜上，通過(guò)路徑CD→FA→PA，可以確定為X4，再結(jié)合W2，因此可以確定該功能的安全完整性等級(jí)為SIL2。具體路徑如圖3中紅色線條標(biāo)示。

圖3 “計(jì)軸復(fù)位”功能風(fēng)險(xiǎn)圖Fig.3 Risk map of " axle counter reset" function

其他安全功能分析過(guò)程和結(jié)果類似。通過(guò)對(duì)ATS全部安全功能分析得到潛在的風(fēng)險(xiǎn)后果等風(fēng)險(xiǎn)參數(shù)及安全功能SIL等級(jí)，如表2所示。

4.5 系統(tǒng)SIL等級(jí)確定

通過(guò)以上分析可以看出，ATS各安全功能的SIL等級(jí)最高為2級(jí)，因此可以確定ATS系統(tǒng)的安全完整性等級(jí)為SIL2。

表2 ATS安全功能風(fēng)險(xiǎn)圖參數(shù)及SIL等級(jí)列表Tab.2 Risk map parameters and SILs of ATS safety functions

需要注意的是，ATS承擔(dān)的功能，與系統(tǒng)功能目標(biāo)、安全功能分配、與其他系統(tǒng)的接口等密切相關(guān)，本文分析的只是一個(gè)典型應(yīng)用場(chǎng)景，對(duì)于具體的ATS應(yīng)從系統(tǒng)角度出發(fā)，進(jìn)行完整系統(tǒng)性的分析。

5 總結(jié)

介紹軌道交通信號(hào)系統(tǒng)SIL等級(jí)確定的重要性和風(fēng)險(xiǎn)圖分析方法，介紹ATS系統(tǒng)SIL等級(jí)確定的過(guò)程，首先確定系統(tǒng)的安全功能，然后對(duì)安全功能進(jìn)行失效模式、原因、后果及場(chǎng)景分析，得到潛在的風(fēng)險(xiǎn)后果等風(fēng)險(xiǎn)圖參數(shù)，根據(jù)各參數(shù)確定風(fēng)險(xiǎn)圖路徑，獲得各安全功能的SIL等級(jí)，最后確定系統(tǒng)的SIL等級(jí)為SIL2級(jí)。目前通號(hào)設(shè)計(jì)院的ATS系統(tǒng)已按SIL2級(jí)開發(fā)完成，并在重慶5號(hào)線等軌道交通工程中得到應(yīng)用。