軌道交通信號系統(tǒng)SIL定級實(shí)例探討

李彥華

(北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070)

1 概述

近年來，我國軌道交通發(fā)展迅速，保障列車安全可靠運(yùn)行的軌道交通信號系統(tǒng)也逐漸由引入國外成熟產(chǎn)品發(fā)展為由國內(nèi)公司自主開發(fā)研制。目前國際上比較成熟的軌道交通信號系統(tǒng)開發(fā)標(biāo)準(zhǔn)為歐洲的CENELEC EN50126/50128/50129/50159系列安全標(biāo)準(zhǔn)，我國已對該系列標(biāo)準(zhǔn)等同采用，建立了相應(yīng)的國內(nèi)標(biāo)準(zhǔn)體系，因此國內(nèi)信號系統(tǒng)的開發(fā)也普遍采用該標(biāo)準(zhǔn)。依據(jù)該系列標(biāo)準(zhǔn)，安全相關(guān)系統(tǒng)可劃分為不同的安全完整性等級（Safety Integvity Level，SIL），按照標(biāo)準(zhǔn)要求，在開發(fā)過程中不同的SIL等級必須滿足不同的功能安全技術(shù)要求，達(dá)到相應(yīng)的安全水平。如果安全相關(guān)系統(tǒng)的SIL等級選擇不合理，例如SIL等級選擇過低，可能會導(dǎo)致安全相關(guān)系統(tǒng)安全功能失效概率過高，從而導(dǎo)致受控軌道交通信號設(shè)備和車輛危險失控；而過高的系統(tǒng)SIL等級又會造成開發(fā)資源浪費(fèi)，增加研發(fā)周期和成本，不能取得合理有效降低風(fēng)險的效果。因此研發(fā)一個安全相關(guān)信號系統(tǒng)首先就是要確定該系統(tǒng)或者產(chǎn)品的SIL等級。本文以列車自動監(jiān)控系統(tǒng)（ATS）的SIL等級確定為實(shí)例，對基于風(fēng)險圖方法確定產(chǎn)品的SIL等級過程進(jìn)行介紹，包括方法的選擇、安全功能的識別、風(fēng)險圖參數(shù)的分析，最終確定系統(tǒng)SIL等級。

2 方法的選擇

根據(jù)EN50129標(biāo)準(zhǔn)定義，安全完整性等級表示針對系統(tǒng)失效時某系統(tǒng)仍可滿足指定安全功能所要求的置信度等級數(shù)值。安全完整性被分為4個獨(dú)立的等級。等級4為安全完整性最高等級，等級1為最低等級，等級0用于表明無安全性需求[3]。在確定系統(tǒng)SIL時，首先需要確定系統(tǒng)所具有功能的SIL，對系統(tǒng)功能進(jìn)行SIL分析后可以獲得一系列的功能SIL等級，當(dāng)這些功能組成系統(tǒng)時，系統(tǒng)的SIL應(yīng)當(dāng)至少與最高功能SIL等級相同。

EN50129標(biāo)準(zhǔn)給出了依據(jù)THR值確定安全功能SIL等級的方法，但由于國家或鐵路主管部門未給出ATS系統(tǒng)安全功能定量的THR指標(biāo)，因此需采用其他方法來確定SIL等級。IEC61508標(biāo)準(zhǔn)第5部分給出一些確定安全完整性水平的方法，有定性和定量兩類方法[4]。其中定性方法簡單、省時、所需資源少，但依賴人的主觀判斷和經(jīng)驗(yàn)；定量的方法能獲得更加準(zhǔn)確的安全完整性水平，但對于資源要求大，而特定過程的可靠數(shù)據(jù)缺乏，安全完整性選擇過程相對比較耗時[5]。在ATS系統(tǒng)的功能和安全功能較明確，且對功能失效的潛在后果能夠逐項(xiàng)進(jìn)行分析的前提下，選擇IEC61508標(biāo)準(zhǔn)中推薦的定性風(fēng)險圖方法對ATS系統(tǒng)SIL等級進(jìn)行確定。

3 風(fēng)險圖方法介紹

風(fēng)險圖方法是基于功能的風(fēng)險水平確定SIL等級，即通過分析某項(xiàng)功能的C、F、P、W指標(biāo)，確定該功能的SIL等級。其中C、F、P、W為風(fēng)險圖分析的4個維度，分別為后果風(fēng)險參數(shù)、頻率和暴露時間風(fēng)險參數(shù)、避免危險源的可能性風(fēng)險參數(shù)、不期望發(fā)生的事件發(fā)生的可能性。各指標(biāo)的具體含義如下。

1）C：后果風(fēng)險參數(shù)

CA：輕微傷害；

CB：嚴(yán)重傷害或單人死亡；

CC：幾人死亡；

CD：多人死亡。

2）F：頻率和暴露時間風(fēng)險參數(shù)

FA：不經(jīng)常到經(jīng)常之間；

FB：經(jīng)常到持續(xù)之間。

3）P：避免危險源的可能性風(fēng)險參數(shù)

PA：在一定條件下可能；

PB：幾乎不可能。

4）W：不期望發(fā)生的事件發(fā)生的可能性

W1：發(fā)生概率非常小；

W2：發(fā)生概率低；

W3：發(fā)生概率相對較高。

即為IEC61508推薦的風(fēng)險圖，如圖1所示。

圖1 IEC61508推薦的風(fēng)險圖Fig.1 Risk map recommended in IEC61508 standard

進(jìn)行分析時，將某項(xiàng)功能作為起始點(diǎn)，根據(jù)對各項(xiàng)參數(shù)的測算，沿著不同的路徑進(jìn)入下一個指標(biāo)環(huán)節(jié)，直到最后確定位于X的哪個點(diǎn)，再根據(jù)W指標(biāo)確定SIL等級。

4 SIL等級確定的過程

4.1 ATS系統(tǒng)功能

ATS列車監(jiān)控系統(tǒng)作為地鐵信號控制系統(tǒng)的一個重要組成系統(tǒng)，與計(jì)算機(jī)聯(lián)鎖、軌旁ATC設(shè)備、車載ATC設(shè)備等其他系統(tǒng)一起工作，實(shí)現(xiàn)信號設(shè)備的集中監(jiān)控，并控制列車按照預(yù)先制定的運(yùn)營計(jì)劃在正線和停車場內(nèi)自動運(yùn)行。同時，ATS子系統(tǒng)作為一個行車信息監(jiān)控系統(tǒng)的實(shí)現(xiàn)平臺，與時鐘、無線、綜合監(jiān)控、TCC、PIS、無線系統(tǒng)等接口，獲取外部系統(tǒng)采集的數(shù)據(jù)，與信號系統(tǒng)的數(shù)據(jù)相綜合，為控制中心和車站的行車調(diào)度/值班人員提供一個豐富的現(xiàn)場狀況顯示，供其制定調(diào)度決策。ATS通過接口向外部系統(tǒng)提供信號和列車運(yùn)行的相關(guān)數(shù)據(jù)，供這些系統(tǒng)完成自身的工作。根據(jù)北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司（簡稱通號設(shè)計(jì)院）某項(xiàng)目《TIAS系統(tǒng)需求規(guī)范》描述，ATS系統(tǒng)主要功能如表1所示。

表1 ATS系統(tǒng)功能列表Tab.1 ATS system functions

4.2 ATS安全功能識別

通過該項(xiàng)目對需求的分配及功能安全分析可以發(fā)現(xiàn)，表1中的“信號設(shè)備操作”、“臨時限速管理”等功能為安全相關(guān)功能，通過對系統(tǒng)功能和接口進(jìn)行進(jìn)一步分析可以明確，ATS并不直接控制列車運(yùn)行，而是通過向聯(lián)鎖系統(tǒng)、ZC系統(tǒng)下達(dá)行車相關(guān)的命令來間接影響列車運(yùn)行，因此ATS安全相關(guān)的功能主要如下。

為解決電網(wǎng)信息化水平評價的需求，提出建立信息化評價的基本思路和評價方法；針對電力企業(yè)特點(diǎn)，以促進(jìn)信息化與業(yè)務(wù)深度融合，提升信息化建設(shè)成效為目標(biāo)，初步確立了電力企業(yè)信息化水平評價指標(biāo)框架和評價模型，為電力企業(yè)開展信息化水平評價、引導(dǎo)未來信息化建設(shè)，提供了參考。

1）在正線一級設(shè)備集中站，ATS向聯(lián)鎖系統(tǒng)下達(dá)信號設(shè)備的操作命令，包括信號機(jī)操作、道岔（轉(zhuǎn)轍機(jī)）操作、區(qū)段操作、進(jìn)路操作等。

2）ATS向聯(lián)鎖系統(tǒng)、區(qū)域控制中心（ZC）系統(tǒng)下達(dá)臨時限速等命令。

經(jīng)過進(jìn)一步分析聯(lián)鎖、ZC系統(tǒng)對接收到的ATS控制命令的反應(yīng)和防護(hù)措施，可以得出定性的結(jié)論為：

1）ATS的安全功能為：臨時限速、計(jì)軸復(fù)位、道岔強(qiáng)扳、上電解鎖、按鈕解封、區(qū)段故障解鎖。

2）其他功能，如進(jìn)路取消、重開信號、信號關(guān)燈等，由于有聯(lián)鎖自身的防護(hù)，即使命令下達(dá)錯誤，也不會產(chǎn)生安全影響。

車站ATS系統(tǒng)安全功能數(shù)據(jù)流示意圖，如圖2所示。其中安全控制命令在正常情況下為圖2中左側(cè)實(shí)線路徑，在ATS分機(jī)故障的情況下可以為右側(cè)虛線路徑。

圖2 車站ATS系統(tǒng)安全功能數(shù)據(jù)流示意圖Fig.2 Safety function data flow of station ATS system

4.3 風(fēng)險圖參數(shù)分析

通過對ATS安全功能進(jìn)行失效模式、原因、影響、場景及后果分析，為后續(xù)潛在的風(fēng)險后果等風(fēng)險相關(guān)參數(shù)的確定提供依據(jù)。其中，通過影響和后果分析可確定后果風(fēng)險參數(shù)，通過原因分析可確定頻率和暴露時間風(fēng)險參數(shù)，通過場景分析可確定避免危險源的可能性風(fēng)險參數(shù)，通過綜合分析確定不期望發(fā)生的事件發(fā)生的可能性，從而確定所有安全功能的SIL等級。

下面給出對 “計(jì)軸復(fù)位”安全功能進(jìn)行的失效模式及影響分析的過程示例。需要注意的是本文分析過程基于通號設(shè)計(jì)院ATS相關(guān)的命令下達(dá)過程中需進(jìn)行二次確認(rèn)的典型數(shù)據(jù)流，即命令由ATS下達(dá)給聯(lián)鎖或ZC后，由聯(lián)鎖、ZC返回ATS進(jìn)行二次確認(rèn)。對不同公司的ATS系統(tǒng)進(jìn)行分析時要針對具體的情況分析。

功能：計(jì)軸復(fù)位。

失效模式：向錯誤的區(qū)段下達(dá)計(jì)軸復(fù)位命令。

失效原因：操作人員命令下達(dá)錯誤（疏忽或故意）；ATS（控顯或分機(jī)）的軟件或硬件錯誤；ATS數(shù)據(jù)配置錯誤；ATS與聯(lián)鎖的通信傳輸錯誤。

直接影響：聯(lián)鎖收到錯誤的計(jì)軸復(fù)位操作命令。

場景分析：如果聯(lián)鎖要進(jìn)行復(fù)位操作的區(qū)段為空閑狀態(tài)，則無影響；如果聯(lián)鎖要進(jìn)行復(fù)位操作的區(qū)段為計(jì)軸計(jì)數(shù)錯誤引起的占用，則復(fù)位是安全的；如果聯(lián)鎖要進(jìn)行復(fù)位操作的區(qū)段為有車占用，此時聯(lián)鎖會要求進(jìn)行二次復(fù)位操作，如果二次復(fù)位操作仍然指向該區(qū)段，則聯(lián)鎖會對該區(qū)段執(zhí)行復(fù)位操作。若區(qū)段為道岔區(qū)段可能會因道岔轉(zhuǎn)動造成擠岔、脫軌；如果聯(lián)鎖要進(jìn)行復(fù)位操作的區(qū)段為有車占用，此時聯(lián)鎖會要求進(jìn)行二次復(fù)位操作，如果二次復(fù)位操作仍然指向該區(qū)段，則聯(lián)鎖會對該區(qū)段執(zhí)行復(fù)位操作，若操作員為其他列車辦理進(jìn)路包含該區(qū)段，則可能追尾或相撞。

后果：擠岔、脫軌、追尾和相撞。

4.4 安全功能SIL等級確定

根據(jù)對安全功能進(jìn)行的上述安全分析，確定相關(guān)風(fēng)險圖參數(shù)，進(jìn)行風(fēng)險圖分析[8]。

下面以“計(jì)軸復(fù)位”功能為示例進(jìn)行風(fēng)險圖分析，確定SIL等級。

1）C指標(biāo)的確定

根據(jù)安全功能失效模式及影響分析的分析，其后果為擠岔、脫軌、追尾、相撞，會造成多人傷亡，因此為CD。

2）F指標(biāo)的確定

由于“計(jì)軸復(fù)位”操作僅在計(jì)軸出現(xiàn)故障的時才使用，可認(rèn)為不經(jīng)常暴露在危險區(qū)域中，因此為FA。

3）P指標(biāo)的確定

通過場景分析可發(fā)現(xiàn)，若“計(jì)軸復(fù)位”操作確是因?yàn)橛?jì)數(shù)錯誤引起，或者發(fā)生錯誤復(fù)位的區(qū)段是空閑狀態(tài)，則可以避免該錯誤發(fā)生，因此為PA。

4）W指標(biāo)的確定

由于“計(jì)軸復(fù)位”操作命令的下達(dá)會經(jīng)過二次確認(rèn)過程，實(shí)際發(fā)生的可能性很小，且歷史上發(fā)生該不期望事件的概率很輕微，因此為W2。

綜上，通過路徑CD→FA→PA，可以確定為X4，再結(jié)合W2，因此可以確定該功能的安全完整性等級為SIL2。具體路徑如圖3中紅色線條標(biāo)示。

圖3 “計(jì)軸復(fù)位”功能風(fēng)險圖Fig.3 Risk map of " axle counter reset" function

其他安全功能分析過程和結(jié)果類似。通過對ATS全部安全功能分析得到潛在的風(fēng)險后果等風(fēng)險參數(shù)及安全功能SIL等級，如表2所示。

4.5 系統(tǒng)SIL等級確定

通過以上分析可以看出，ATS各安全功能的SIL等級最高為2級，因此可以確定ATS系統(tǒng)的安全完整性等級為SIL2。

表2 ATS安全功能風(fēng)險圖參數(shù)及SIL等級列表Tab.2 Risk map parameters and SILs of ATS safety functions

需要注意的是，ATS承擔(dān)的功能，與系統(tǒng)功能目標(biāo)、安全功能分配、與其他系統(tǒng)的接口等密切相關(guān)，本文分析的只是一個典型應(yīng)用場景，對于具體的ATS應(yīng)從系統(tǒng)角度出發(fā)，進(jìn)行完整系統(tǒng)性的分析。

5 總結(jié)

介紹軌道交通信號系統(tǒng)SIL等級確定的重要性和風(fēng)險圖分析方法，介紹ATS系統(tǒng)SIL等級確定的過程，首先確定系統(tǒng)的安全功能，然后對安全功能進(jìn)行失效模式、原因、后果及場景分析，得到潛在的風(fēng)險后果等風(fēng)險圖參數(shù)，根據(jù)各參數(shù)確定風(fēng)險圖路徑，獲得各安全功能的SIL等級，最后確定系統(tǒng)的SIL等級為SIL2級。目前通號設(shè)計(jì)院的ATS系統(tǒng)已按SIL2級開發(fā)完成，并在重慶5號線等軌道交通工程中得到應(yīng)用。