簡議鐵路信號故障－安全原則

付 剛

（北京全路通信信號研究設計院有限公司，北京 100073）

鐵路行車要求鐵路信號設備在發生障礙、錯誤、失效、人為失誤的情況下，應具有導致減輕以至避免損失的功能，以確保行車安全，這一要求被稱為鐵路信號故障－安全原則。

鐵路信號的重要作用之一是保證列車運行的安全，而傳統信號規定設備故障時把信號顯示變為讓列車停止運行的紅燈，以實現信號設備的整體性的故障-安全。但在實際設計運用中，也意識到了“安全是一種概率”。

隨著可靠性理論的發展，促使對故障的分析建立在概率論的基礎上，進而論證了故障-安全也應是一個具有概率特性的概念。首先，客觀上可靠度為百分之百的信號設備是不存在的，也就是說設備的故障是不可避免的。用全故障率λt表示，我們希望它足夠小，但不可能為零；對設備的故障根據它所帶來的后果可以分為危險側故障和安全側故障，分別用危險側故障率λd和安全側故障率λs表示，則有λt=λd+λs。以信號繼電器為例，其危險側故障率 λd 為 10-10h，安全側故障率 λs為 10-7h。危險側故障率雖低，但并非是零。危險側故障率λd相對全故障率λt小到可以忽略的程度時，該設備才是故障-安全的，即危險比δ=λd/λt應足夠小。

為了對故障-安全特性進行進一步的研究，對設備故障引起的事故用下面的關系式來描述：

[事故]=[故障]∪[危險側]，若把[?]中的真值取為1，偽值取為0，即[?]中的變量為二值邏輯變量，則可將上式的否定形式認為具有安全的含義，根據摩根法則可得下式：

[沒有事故]=[沒有故障]∩[安全側]，從一定意義上將安全性用下列邏輯式表示：

[安全性]=[高可靠性]∩[故障安全性]

因此，提高系統和設備的安全性基本可以從可靠性、故障-安全性出發，也就是要求設備或系統盡可能少出現故障，即便出現故障應避免出現危險側輸出。

1 可靠性

避免設備或系統出現故障勢必要提高其可靠性。傳統信號設備大部分采用繼電器、機械器材，單體設備或器材的可靠性較高，系統僅在一定范圍內考慮了易損、易斷器材的冗余設計，如：電源采用雙環線，燈泡降額使用，雙燈絲燈泡，雙熔絲，雙引接線等。

現代鐵路信號更多采用計算機設備，在提高可靠性方面主要做法如下。

1）電路設計、元器件篩選、電磁兼容性設計等；

2）采用冗余技術，如硬件、軟件、信息、時間等冗余技術，如2×2取2結構、3取2結構、雙機熱備結構；

3）采用避錯技術，如故障診斷、差錯自檢、校正、監測預診斷；

4）采用應急頂替技術，如電源故障時利用蓄電池供電的技術等。

由此，提高設備可靠性已經不再是簡單的硬件冗余設計，而是利用不同的技術、在不同方面進行解決，如電磁兼容性技術、自診斷技術等。因此，在無法保證設備或系統不出現故障的情況下，應利用科學方法、可靠手段，完成系統設計。

2 故障-安全性

2.1 安全側定義

傳統信號安全觀念的實現總是把“設備故障，讓列車停止運行”為出發點，規定設備故障時把信號顯示變為讓列車停止運行的紅燈作為安全側，這種故障-安全的實現是以具有非對稱錯誤特性的信號繼電器和閉路原理為基礎。

對于計算機系統來說，不能把安全側定義為“功能停止”，而必須定義為維持系統功能，應根據系統的任務定義其安全側。

故障-安全性在基于系統任務的安全側定義同時，應該是故障假設、故障積累條件下的考慮。

2.2 故障假設

故障假設分析方法是對某一過程可能出現故障的創造性分析方法，通過提出一系列“如果……怎么辦？”的問題，來發現可能和潛在的事故隱患從而對系統進行徹底檢查的一種方法。

傳統信號電路中出現的故障主要有：熔斷器燒毀（斷路器斷路）、斷線、脫焊、擰接的螺絲松脫、繼電器線圈燒毀、元器件失效、插接件接觸不良、線間絕緣不良而相混（局部短路）、線路混入電源等。故障種類雖然很多，但就其對電路的影響來說，可歸納為兩大類：一類是斷線性質的故障，一類是混線性質的故障。研究信號電路的安全性，主要是研究解決斷線保護和混線保護。1840年出現了一架在牽引繩索折斷的情況下，能靠重力自動向列車發出停車顯示的臂板信號機。此后，實現鐵路信號故障－安全的具體措施主要有：電路設計中采用斷線保護、混線保護、串并聯電路、延時電路、時序電路、極性繼電器電路等；防止錯誤操縱而使用的各種聯鎖及閉塞技術等；故障后使功能軟化或降級使用技術，如自動閉塞中綠燈故障改亮黃燈的技術；器件的降額使用技術，如信號燈泡的降壓使用等。

現代信號系統的計算機系統，主要的故障：系統宕機、雙系不同步、網絡中斷、硬件停機等，由于網絡化導致在出現故障時，無法通過物理設計來消除危險側輸出，因此需要利用軟件、系統解決，比如：表決機制、同步比較、網絡中斷防護等。

故障假設分析方法鼓勵思考潛在的事故和后果，彌補了思維定勢的不足，進而有針對性的提出安全措施。

2.3 故障積累

一個故障發生時，信號系統不輸出危及行車安全的狀態，這是鐵路信號“故障－安全”的基本要求。但正是因為一次故障總是難免的，而其二次故障和過負荷故障往往隨之發生，其發生概率并不是低于可接受的水平，故這種情況下信號系統亦應給出安全側的輸出。

一個故障發生后，往往伴隨著繼發的二次故障或過負荷故障，后兩種繼發故障可能同時發生，也可能按因果關系發生。比如室外混線故障發生后，線路的電流隨之升高，過流保護元器件（熔斷器或斷路器）可能會動作，使線路開路，作為對一次故障的保護。但其開路保護需要一個過程，在這個過程中，線路將處于過負荷狀態。

電路設計需考慮最低限度能防止一次故障與一次錯誤辦理同時存在的情況下，可能產生危及行車安全的后果。對于直接涉及安全的按鈕或控制設備，可加封、設置密碼或設置必要的計數記錄設備等。

信號設備的故障需要及時被發現。如故障出現后不能及時被發現，當不危及行車安全時，該故障可最遲在下一次使用過程中或對其進行檢修時發現，否則應考慮按故障積累的原則進行設計。由于系統對于本故障能滿足“故障－安全”要求，在第一個故障發生至其被發現的整個過程中出現另一個故障，系統也能滿足“故障－安全”要求，則兩個故障的“積累”也就能滿足“故障－安全”要求。

3 國外的典型理論

關于鐵路信號“故障－安全”理念，國際通用的風險控制ALARP原則（As?Low?As?Reasonably?Practicable，依實際情況盡可能合理地低）以及“風險矩陣”判定法，與我國是基本一致的。

風險控制ALARP原則的原理如圖1所示。

圖1中，“V”型風險控制圖由上至下反映了風險由大至小，其可接受程度逐漸升高。其大致可分為3個區域：①高風險區（不可接受）；②中度風險區（可容忍）；③輕微風險區（可接受）。對于信號系統的研究和設計，應將風險程度盡量下移，減小高風險區范圍、擴大輕微風險區范圍，并將中度風險區控制在“可接受程度判定標準”以內。

“風險矩陣”判定法的原理如圖2所示。

圖2中，橫坐標表示風險變為“事件”時后果的嚴重性程度，縱坐標表示風險發生的可能性（概率）。根據其對系統輸出的影響，可以兩個參數的“乘積”形式列出“風險矩陣”。與ALARP原理的“V”型圖類似，“風險矩陣”由右上角至左下角反映了風險由大至小，其可接受程度按單元格①至⑨逐漸升高。實際上各單元格之間的分界線并不是清晰的。對于信號系統的研究和設計，應將風險程度盡量向左下角移動：減小高風險區范圍、擴大輕微風險區范圍，并將兩個參數“乘積”處于臨界狀態的區域控制在“可接受程度判定標準”以內。

上述兩種方法都涉及到“可接受程度判定標準”，即能接受多大的風險。圖中以虛線“L1”和“L2”給出了兩種參考（L2嚴于L1）。

4 執行中需注意的問題

信號系統工程中影響安全的因素很多，既包括系統內部因素，也包括系統外部因素；既包括人的因素，也包括設備本身的因素，還包括環境影響等。以數學方式給出“可接受程度判定標準”的具體數值是難以做到的。

對于鐵路信號“故障－安全”原則，可從以下幾個方面來理解：首先，安全性是一種概率參數，信號設備不可能具備排除任何危險的絕對安全；其次，對“故障－安全”的要求，應是從技術上能夠實現的；第三，安全程度的高低還受經濟的制約。

正是因為安全不是絕對的，所以有些特殊情況下產生的故障，設計中是難以考慮的。如一個電器設備（或元件）在兩端混入能使其錯誤動作的不同極性電源；電動臂板信號機的機械卡阻而不能恢復定位等。這一類故障，除采用高質量的產品和盡可能完善設計系統和電路外，還必須依靠加強檢查維修和測試監督等間接手段，以防止危險故障的發生，或將危險性降到可接受的最低限度。

另外，隨著計算機技術的發展，計算機技術在邏輯判斷方面具有繼電電路無法比擬的先天性優勢，尤其是對于結合部的驅動／采集電路，在某些情況下（比如計算機設備驅動繼電器動作并進行回采），是可以判斷室內電路混線的。從這個角度來看，在計算機技術逐漸替代繼電電路的發展進程中，對于系統防護也具備了一定的可行性。

實際上，鐵路信號系統應用于不同的環境下，對安全程度的要求是不一樣的。客運列車相對于貨物列車、主要干線相對于次要支線、客運樞紐相對于駝峰編組場、客運專線和高速鐵路相對于普速鐵路而言，前者的安全等級相對后者要高。如果以后者的“可接受程度判定標準”來判定前者的安全等級，則社會輿論及用戶等相關方不能接受；如果以前者的“可接受程度判定標準”來判定后者的安全等級，則需增加經濟投入。

我國目前未直接使用ALARP原則、風險矩陣和“可接受程度判定標準”等術語，但故障－安全理念是與國際通用理論沒有本質的不同。不過，根據不同的情況給出真正具有操作性的“可接受程度判定標準”，需要與其他各相關專業，有時還需與鐵路外部各相關方共同研究確定（比如道口安全問題），還需進一步做探討。

[1]中華人民共和國鐵道部 鐵路技術管理規程[S].北京：中國鐵道出版社，2006.

[2] TB10007-2006 鐵路信號設計規范[S].北京，中國鐵道出版社，2006.

[3] TB10071-2006/J77-2001 鐵路信號站內聯鎖設計規范[S].北京：中國鐵道出版社，2001.

[4] TB/T 2615 鐵路信號故障－安全原則[S].北京：中國鐵道出版社，1994.

[5] 英國鐵道安全和標準委員會.Engineering Safety Management（The Yellow Book）[S].

[6] EN50126 鐵路應用—可靠性、可用性、可維護性和安全性[S].