基于風(fēng)險(xiǎn)圖的軌道交通信號(hào)系統(tǒng)SIL分配方法

劉 晴

（北京通號(hào)國(guó)鐵城市軌道技術(shù)有限公司，北京 100073）

1 概述

隨著城市軌道交通的發(fā)展，國(guó)內(nèi)軌道交通信號(hào)系統(tǒng)的地位越來越重要，如何研發(fā)安全的信號(hào)系統(tǒng)也成為關(guān)鍵的命題。近年來，CENELEC EN 5012X標(biāo)準(zhǔn)在國(guó)內(nèi)廣泛應(yīng)用，按照安全完善度等級(jí)（SIL）研發(fā)已經(jīng)漸漸成為行業(yè)默認(rèn)的規(guī)范。CENELEC EN 5012X標(biāo)準(zhǔn)中關(guān)注功能完善度等級(jí)和軟件完善度等級(jí)的定義和要求，卻未指出如何進(jìn)行完善度等級(jí)確定和分配的方法。IEC 61508-5中給出功能完善度等級(jí)的確定方法示例，黃皮書（Yellow Book）中給出系統(tǒng)完善度分配的一些原則，但從工程應(yīng)用角度關(guān)注更多的是如何將這些完善度確定方法、原則轉(zhuǎn)換成系統(tǒng)的分配方法，以便按照分配的完善度等級(jí)對(duì)照標(biāo)準(zhǔn)的要求進(jìn)行開發(fā)。綜合IEC 61508-5推薦的風(fēng)險(xiǎn)圖方法和黃皮書中的原則，結(jié)合工程實(shí)踐總結(jié)提出一套簡(jiǎn)單易用的功能和系統(tǒng)SIL分配方法，以便為后續(xù)的工程應(yīng)用提供一定參考。

2 安全完善度等級(jí)（SIL）

安全完善度等級(jí)(Safety Integrity Level，SIL),指的是在一定條件一定時(shí)間內(nèi)系統(tǒng)滿足規(guī)定安全特性的置信度的數(shù)字。安全完善度等級(jí)是一組分級(jí)數(shù)字，它確定了系統(tǒng)達(dá)到要求的安全特性所需要的置信度[1，2]。

通常，鐵路和地鐵信號(hào)系統(tǒng)/功能的安全完善度等級(jí)被分成5個(gè)等級(jí)[1]。

1）最高等級(jí)也被叫做SIL4, 意味著系統(tǒng)中的整個(gè)功能對(duì)于鐵路和地鐵運(yùn)輸是至關(guān)重要的，并且系統(tǒng)是安全苛求系統(tǒng)，需要進(jìn)行故障-安全設(shè)計(jì)。

2）高等級(jí)也被叫做SIL3,意味著系統(tǒng)對(duì)于鐵路和地鐵運(yùn)輸是至關(guān)重要的，并且系統(tǒng)是安全苛求系統(tǒng)，需要高完善度的安全設(shè)計(jì)。

3）中等級(jí)也被叫做SIL2，意味著系統(tǒng)功能對(duì)鐵路和地鐵運(yùn)輸是必要的，同時(shí)系統(tǒng)需要中等完善度的安全設(shè)計(jì)。

4）低等級(jí)也叫做SIL1,意味著系統(tǒng)功能對(duì)于鐵路和地鐵運(yùn)輸是基本的，系統(tǒng)安全設(shè)計(jì)是基本完善度。

5）零等級(jí)SIL0，意味著系統(tǒng)功能對(duì)于鐵路和地鐵運(yùn)輸是基本的，系統(tǒng)被廣泛的認(rèn)為是非安全相關(guān)的，且沒有安全需求說明。

軟件安全完善度等級(jí)：（Software Safety Integrity Level，SWSIL），是一組分級(jí)數(shù)字，決定了為減少剩余軟件故障以達(dá)到合適的水平（比如由EN 50128定義的水平）而采用的技術(shù)和措施。軟件安全完善度等級(jí)應(yīng)當(dāng)在軟件使用的風(fēng)險(xiǎn)水平基礎(chǔ)上確定。

EN 50128說明了軟件安全完善度等級(jí)的5個(gè)層次[3]，如表1所示。

表1 軟件SIL列表

從以上的定義可以看出，安全完善度等級(jí)分配時(shí)，需要確立以下類別的安全完善度等級(jí)：

1) 系統(tǒng)安全完善度等級(jí)也叫系統(tǒng)SIL等級(jí)；

2) 功能的安全完善度等級(jí)也叫功能SIL等級(jí)；

3) 軟件安全完善度等級(jí)也叫軟件SIL等級(jí)。

3 SIL分配

3.1 系統(tǒng)/功能的安全完善度等級(jí)

系統(tǒng)SIL等級(jí)的定性分析分為以下情況。

1） 采用以往類似系統(tǒng)的SIL等級(jí)：若公司或行業(yè)中已有類似的系統(tǒng)，可以采取類似系統(tǒng)的SIL等級(jí)作為所開發(fā)系統(tǒng)的安全完善度等級(jí)。

2） 根據(jù)標(biāo)準(zhǔn)、法律、法規(guī)中的規(guī)定確定系統(tǒng)的安全完善度等級(jí)：若在國(guó)家或國(guó)際標(biāo)準(zhǔn)、法律法規(guī)中已經(jīng)對(duì)此系統(tǒng)的安全完善度等級(jí)進(jìn)行了規(guī)定，則可以采取被客戶或安全權(quán)威機(jī)構(gòu)認(rèn)可的標(biāo)準(zhǔn)、法律、法規(guī)中規(guī)定的SIL等級(jí)，例如TB/T 3027-2002 計(jì)算機(jī)聯(lián)鎖技術(shù)條件中規(guī)定“計(jì)算機(jī)聯(lián)鎖軟件的安全性完善度等級(jí)宜劃分為4級(jí)”,那么聯(lián)鎖系統(tǒng)中安全相關(guān)功能的等級(jí)可建議分為SIL4級(jí)[4]。

3） 根據(jù)所分配的功能SIL確定系統(tǒng)的SIL，本文將介紹此種方法。

在確定系統(tǒng)SIL時(shí)，除了上述的1），2）情況外，首先需要確定系統(tǒng)所具有功能的SIL，IEC 61508中的風(fēng)險(xiǎn)圖即是確定功能SIL的方法之一。此方法是基于功能的風(fēng)險(xiǎn)水平確定SIL等級(jí)。風(fēng)險(xiǎn)圖有4個(gè)緯度：后果的嚴(yán)重程度，暴露在危險(xiǎn)中的時(shí)間，避免危險(xiǎn)的可能性，沒有安全功能時(shí)不期望事件的發(fā)生概率。這個(gè)方法是以危險(xiǎn)源相關(guān)的風(fēng)險(xiǎn)因素作為對(duì)象，輸出是安全功能所需要達(dá)到的安全水平[5]。IEC 61508推薦風(fēng)險(xiǎn)圖[6]如圖1所示。

圖1 IEC61508推薦的風(fēng)險(xiǎn)圖

以運(yùn)營(yíng)正線列車超速為例，列車超速導(dǎo)致的后果可能為脫軌或者沖撞，在運(yùn)營(yíng)線路上乘客人數(shù)較多，因此首先確定后果的嚴(yán)重程度指標(biāo)為C4多人死亡。運(yùn)營(yíng)線路上沒有信號(hào)系統(tǒng)防護(hù)的列車通常也是由有經(jīng)驗(yàn)的司機(jī)駕駛，司機(jī)在超速前可能降低速度，減少超速，因此暴露在這種風(fēng)險(xiǎn)的時(shí)間可以認(rèn)為是F1不經(jīng)常（rare）到經(jīng)常（frequent）之間。若司機(jī)能提前介入減速控制，那么可能避免列車超速，因此避免危險(xiǎn)的可能性應(yīng)為P1。沒有信號(hào)系統(tǒng)安全功能時(shí)，防止超速的控制主要是人工控制，因此發(fā)生超速的概率還是很高的，選擇W3。由以上分析可以得出,信號(hào)系統(tǒng)防護(hù)列車超速的功能SIL等級(jí)為SIL4。

對(duì)系統(tǒng)功能進(jìn)行SIL分析后,可以獲得一系列的功能SIL等級(jí)，當(dāng)這些功能組成系統(tǒng)時(shí)，系統(tǒng)的SIL應(yīng)當(dāng)至少與它最苛刻功能的SIL等級(jí)相同。

如表2所示，子系統(tǒng)SIL的分配和系統(tǒng)架構(gòu)分配是相互聯(lián)系的，獲得初步的系統(tǒng)架構(gòu)圖后，根據(jù)子系統(tǒng)和功能的對(duì)照表可以得出每個(gè)子系統(tǒng)的功能SIL，選取SIL最高的作為子系統(tǒng)的SIL。這里的子系統(tǒng)和功能必須具有一定的獨(dú)立性，獨(dú)立性指的是如下兩種情況[7]：

表2 子系統(tǒng)SIL分配舉例

1）物理上獨(dú)立：使用不同的處理器、存儲(chǔ)器；

2）接口防御機(jī)制：某一部件的故障只對(duì)部件本身有影響，不會(huì)影響到其他部件，例如可以通過內(nèi)存保護(hù)、代碼分析保證此部件的內(nèi)存不會(huì)被其他部件寫入等方法。

實(shí)際情況中，除了物理上的獨(dú)立性很容易被證明外，接口防御機(jī)制通常需要進(jìn)行大量的分析且不容易被證明，因此實(shí)際應(yīng)用中并不建議使用。

3.2 軟件安全完善度等級(jí)分配

建立功能與軟件的對(duì)應(yīng)關(guān)系，某一軟件的SIL等級(jí)初步確定為其所包含功能的最高SIL等級(jí)。如表3所示，子系統(tǒng)1中包含軟件SW1和SW2，SW1包含的安全相關(guān)功能為F1，故SW1的SIL暫定為SIL1，而SW2不包含任何安全相關(guān)功能，因此SIL等級(jí)暫定為SIL0,即非安全相關(guān)系統(tǒng)。

表3 初步軟件SIL等級(jí)

值得注意的是，功能SIL的分配是按照風(fēng)險(xiǎn)去確定的，但是并不代表功能的開發(fā)流程就要按照功能SIL進(jìn)行。例如,如果一個(gè)功能按照風(fēng)險(xiǎn)分析確定是SIL0的，但是不代表承載這個(gè)功能的軟件要按照EN 50128 SIL0要求開發(fā)。這取決于軟件運(yùn)行的設(shè)備是否具有獨(dú)立性，獨(dú)立性要求如子系統(tǒng)獨(dú)立性要求。如圖2所示。

圖2 軟件獨(dú)立性示例

情況1中兩個(gè)軟件運(yùn)行于獨(dú)立的硬件平臺(tái)上,兩者使用了不同的處理器、不同的存儲(chǔ)器，具有較低SIL等級(jí)的SW2并不影響具有較高SIL等級(jí)的SW1，因此SW2可以具有低于SW1的SIL等級(jí)；

情況2中兩個(gè)軟件運(yùn)行于同一個(gè)硬件平臺(tái)上，共用同一個(gè)處理器和存儲(chǔ)器，具有較低SIL等級(jí)的SW2會(huì)影響具有較高SIL等級(jí)的SW1，此情況下SW2的SIL等級(jí)應(yīng)當(dāng)與SW1相同。

4 總結(jié)

通過以上的分析與舉例，確定了軌道交通信號(hào)系統(tǒng)SIL分配的3個(gè)重要參數(shù)即系統(tǒng)SIL，功能SIL及軟件SIL。首先根據(jù)IEC 61508的風(fēng)險(xiǎn)圖原理確定功能的SIL，然后根據(jù)系統(tǒng)所包含的功能確定系統(tǒng)SIL，最后根據(jù)軟件所具有的功能、軟件所運(yùn)行的子系統(tǒng)硬件確定軟件最終的SIL。系統(tǒng)、子系統(tǒng)即根據(jù)EN 50126,EN 50129中SIL要求進(jìn)行實(shí)施，軟件即根據(jù)EN 50128中SIL要求進(jìn)行實(shí)施。

5 改進(jìn)與建議

本文中基于IEC 61508中風(fēng)險(xiǎn)圖確定了功能、系統(tǒng)、軟件等的SIL，但是在SIL所對(duì)應(yīng)的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)方面并未深入展開。如果存在保護(hù)機(jī)制（硬件或者軟件）以阻止軟件導(dǎo)致系統(tǒng)進(jìn)入不安全狀態(tài)，模塊的軟件安全完善度等級(jí)可以減少。（在這種情況下，保護(hù)機(jī)制的安全完善度等級(jí)應(yīng)當(dāng)至少與系統(tǒng)的安全完善度等級(jí)相同。這里的保護(hù)機(jī)制包括（但不限于）：使用冗余架構(gòu)來建立高等級(jí)的SIL；具有一個(gè)“連接器”（比如表決機(jī)制）。如表4所示，列舉了黃皮書[7]中可以被接受的連接器機(jī)制，前提條件是：低等級(jí)的功能物理上獨(dú)立且使用了不同的設(shè)計(jì)原則；如果其中一個(gè)較低等級(jí)的功能失效，此連接器將抑制由此失效導(dǎo)致的所有危險(xiǎn)源；連接器需繼承最高的SIL等級(jí)。因此，如何從不犧牲功能安全的角度出發(fā),提高系統(tǒng)結(jié)構(gòu)設(shè)計(jì)的合理性和有效性是研究的一個(gè)重要方向。

表 4 連接器機(jī)制可接受SIL分配表

[1] CENELEC.EN 50129 Railway applications Communication,signaling and processing systems Safety related electronic systems for signaling[S].UK:British Standards Institution(BSI), 2003.

[2] CENELEC.EN 50126 Railway application-The Specification and demonstration of Reliability,Availability,Maintainability and Safety (RAMS) [S].UK:British Standards Institution(BSI), 1999.

[3] CENELEC.EN 50128 Railway applications Communication,signaling and processing systems Software for railway control and protection systems[S].UK: British Standards Institution (BSI),2011.

[4]中華人民共和國(guó)鐵道部.TB 3027-2002 計(jì)算機(jī)聯(lián)鎖技術(shù)條件[S]. 北京:中國(guó)鐵道出版社,2002.

[5] Beugin.J,Renaux.D,Cauffriez.L.A SIL quantification approach based on an operating situation model for safety evaluation in complex guided transportation systems[J].Reliability Engineering and System Safety,2007（92）:1686-1700.

[6] IEC.IEC 61508-5 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 5：Examples of methods for the determination of safety integrity levels[S].UK:International Electrotechnical Commission,2000.

[7] Rail Safety and Standards Board. Engineering Safety Management (The Yellow Book) Volumes 1 and 2 Fundamentals and Guidance [M].UK:Rail Safety and Standards Board,2007.

[8]郭海濤，陽憲惠.一種安全儀表系統(tǒng)SIL分配的定量方法[J].化工自動(dòng)化及儀表，2006, 3（6）：65-67.

[9]曹啟濱.城市軌道交通延長(zhǎng)線路信號(hào)系統(tǒng)貫通方案分析[J].鐵路通信信號(hào)工程技術(shù)，2017，14（1）：69-70.