鐵路信號系統(tǒng)安全保障策略研究

安卓

（中土集團(tuán)福州勘察設(shè)計(jì)研究院有限公司，福州 350011）

1 鐵路信號系統(tǒng)應(yīng)用現(xiàn)狀

我國學(xué)者普遍認(rèn)為鐵路信號系統(tǒng)是向行車人員傳送行車條件、行車狀態(tài)的相關(guān)技術(shù)指標(biāo)。 鐵路信號系統(tǒng)建設(shè)需滿足設(shè)計(jì)標(biāo)準(zhǔn)、區(qū)域條件，我國目前普遍應(yīng)用調(diào)度指揮系統(tǒng)、閉塞系統(tǒng)、聯(lián)鎖系統(tǒng)等來保障鐵路行車安全[1]。 國外對信號系統(tǒng)安全的研究起步更早，安全系統(tǒng)體系比較完善，如法國推廣的列車運(yùn)行控制系統(tǒng)（TVM），具有良好的安全性和兼容性。本文在綜合國內(nèi)外研究現(xiàn)狀的基礎(chǔ)上，從風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)預(yù)警的角度保障鐵路信號系統(tǒng)的安全性， 在安全管理體系上進(jìn)行創(chuàng)新，建立完善的鐵路信號系統(tǒng)安全控制體系。

鐵路信號系統(tǒng)的穩(wěn)定性會(huì)對列車調(diào)度效率產(chǎn)生影響，近年來，國外鐵路因鐵路信號系統(tǒng)不穩(wěn)定，出現(xiàn)了列車未按時(shí)運(yùn)行、車輛的調(diào)度效率較低等問題，存在嚴(yán)重的安全隱患。 鐵路信號系統(tǒng)的應(yīng)用由多個(gè)子系統(tǒng)組合而成，其中包括列控中心、調(diào)度指揮系統(tǒng)、聯(lián)鎖系統(tǒng)等。 系統(tǒng)根據(jù)聯(lián)鎖條件在時(shí)序下進(jìn)行車輛調(diào)度，可以預(yù)防系統(tǒng)失誤操作行為的產(chǎn)生。

鐵道系統(tǒng)信號系統(tǒng)按照應(yīng)用模式分為一般應(yīng)用模式、 一般產(chǎn)品、特殊應(yīng)用。信號交叉接收模式的應(yīng)用通過信號遞進(jìn)方式滿足安全需要。目前，針對信號系統(tǒng)的安全保障模式針對上述3 個(gè)交叉應(yīng)用接收模式采取不同的安全保障措施， 具體內(nèi)容如圖1所示。

圖1 信號系統(tǒng)安全保障應(yīng)用圖

特殊應(yīng)用的信號系統(tǒng)需出具獨(dú)立的安全評估報(bào)告， 通過安全例證參考后方可使用，該系統(tǒng)支持商業(yè)運(yùn)營模式。 一般應(yīng)用系統(tǒng)需根據(jù)不同子系統(tǒng)出具評估報(bào)告， 并采用例證的方式對安全性進(jìn)行參考。 信號系統(tǒng)一般安全保障產(chǎn)品的數(shù)量較多，需采用多種安全證書，對系統(tǒng)的安全性進(jìn)行評估。

2 案例分析

2021 年， 某鐵路局1 條CTCS-2 級線路多個(gè)站點(diǎn)列空中心間發(fā)出網(wǎng)絡(luò)通信中斷告警，信號安全數(shù)據(jù)網(wǎng)的EMS 系統(tǒng)也同時(shí)發(fā)出告警。 告警網(wǎng)絡(luò)的組網(wǎng)交換機(jī)設(shè)備存在異常，且交換機(jī)顯示端口丟包率和端口出入量存在異常。

分析后得知， 導(dǎo)致本次事故出現(xiàn)的原因是中繼站網(wǎng)絡(luò)交換機(jī)的CPU 使用率過高， 致使環(huán)協(xié)議報(bào)文無法被有效處理，受此影響，主站交換機(jī)做出環(huán)網(wǎng)中存在斷點(diǎn)的判定，于是打開阻塞端口，再加上故障交換機(jī)的轉(zhuǎn)發(fā)功能正常，最終使網(wǎng)絡(luò)受損，引發(fā)網(wǎng)絡(luò)風(fēng)暴。

基于故障成因，維護(hù)人員將交換機(jī)組環(huán)網(wǎng)端口物理通道斷開，使環(huán)形網(wǎng)絡(luò)變?yōu)閱我绘溌罚收媳怀晒鉀Q，告警消失。 之后，在天窗點(diǎn)內(nèi)采集交換機(jī)數(shù)據(jù)，在檢查完成后，對故障交換機(jī)進(jìn)行重啟處理，使物理通道恢復(fù)，網(wǎng)絡(luò)工作狀態(tài)得以運(yùn)行。

3 鐵路信號系統(tǒng)安全保障措施

結(jié)合上述案例可知， 故障交換機(jī)接收大量未知報(bào)文是導(dǎo)致信號系統(tǒng)故障的主要原因，為此，筆者認(rèn)為相關(guān)部門應(yīng)采取下述安全保障措施。

3.1 鐵路信號系統(tǒng)安全管理

鐵路信號系統(tǒng)安全保障措施應(yīng)建立安全管理模式， 通過對集成信號系統(tǒng)的綜合安全管理， 避免出現(xiàn)影響信號系統(tǒng)穩(wěn)定性和安全性的因素。 按照鐵路信號系統(tǒng)安全管理流程，通過管理計(jì)劃、配置計(jì)劃、項(xiàng)目進(jìn)度等進(jìn)行信號安全保障項(xiàng)目的評估。 在信號系統(tǒng)建設(shè)初期，應(yīng)預(yù)先制訂安全管理計(jì)劃，并在信號系統(tǒng)管理計(jì)劃中對管理組織、管理活動(dòng)等進(jìn)行明確，計(jì)劃經(jīng)由審批后方可落實(shí)。 計(jì)劃內(nèi)容應(yīng)包括系統(tǒng)的生命周期及維護(hù)措施等，如系統(tǒng)進(jìn)行更新、調(diào)整，應(yīng)進(jìn)一步對安全計(jì)劃進(jìn)行更新，編制與信號系統(tǒng)匹配程度更高的計(jì)劃[2]。

信號系統(tǒng)的安全管理是一項(xiàng)綜合性活動(dòng)， 需采取科學(xué)的組織結(jié)構(gòu)對其進(jìn)行執(zhí)行， 并對鐵路信號系統(tǒng)的責(zé)任人進(jìn)行劃分，確定角色責(zé)任人。 根據(jù)信號系統(tǒng)的安全管理組織結(jié)構(gòu)劃分安全等級，并保障管理項(xiàng)目的獨(dú)立性。 例如，信號系統(tǒng)中包括SIL3（安全完整性等級）、SIL4（功能安全認(rèn)證）兩類經(jīng)過認(rèn)證的產(chǎn)品，安全確認(rèn)工作的落實(shí)應(yīng)根據(jù)不同項(xiàng)目進(jìn)行獨(dú)立評估。具體安全管理組織架構(gòu)如圖2 所示。

圖2 安全管理組織架構(gòu)圖

在安全管理組織架構(gòu)中，由項(xiàng)目經(jīng)理負(fù)責(zé)安全工作，信號系統(tǒng)的設(shè)計(jì)人員和驗(yàn)證人員對項(xiàng)目經(jīng)理負(fù)責(zé)， 確認(rèn)人員和評估人員對安全風(fēng)險(xiǎn)、安全等級的認(rèn)定。 在明確安全管理組織架構(gòu)后，要確定項(xiàng)目的安全生命周期，明確信號系統(tǒng)項(xiàng)目的組成序列，管理工作的落實(shí)應(yīng)伴隨多個(gè)活動(dòng)，根據(jù)不同階段采取不同的活動(dòng)，將活動(dòng)聯(lián)系起來明確信號系統(tǒng)的安全生命周期，根據(jù)生命周期對危害產(chǎn)品的管理過程進(jìn)行明確，具體過程如圖3所示。

圖3 信號系統(tǒng)危害管理過程圖

3.2 鐵路信號系統(tǒng)風(fēng)險(xiǎn)識別

對鐵路信號系統(tǒng)進(jìn)行安全管理的過程中， 應(yīng)對可能產(chǎn)生的安全風(fēng)險(xiǎn)進(jìn)行識別。 識別是安全管理的基礎(chǔ)工作，以識別結(jié)果為依據(jù)制訂特殊的行為方案， 或采用風(fēng)險(xiǎn)消除或采用風(fēng)險(xiǎn)控制方法，降低危害的發(fā)生概率。 對于信號系統(tǒng)和子系統(tǒng)，危害具有層次性，且在信號系統(tǒng)開發(fā)過程中對層次進(jìn)行了劃分，可重復(fù)進(jìn)行危害識別。

對危害進(jìn)行識別后，需采用原因分析法分析風(fēng)險(xiǎn)原因，應(yīng)從信號系統(tǒng)本身和安全管理2 個(gè)角度出發(fā)評估危害產(chǎn)生的可能性，判斷相關(guān)措施處理的可能性。 通常采用定性分析和定量分析相結(jié)合的故障樹分析法。

對原因進(jìn)行分析后，了解信號系統(tǒng)風(fēng)險(xiǎn)產(chǎn)生的主要原因，并根據(jù)危害性質(zhì)和危害內(nèi)容對可能產(chǎn)生的后果進(jìn)行綜合分析。 后果分析需要分析人員具備專業(yè)知識，可編制量化分析表進(jìn)行風(fēng)險(xiǎn)的量化評估，或采用故障樹的方法及因果圖的方法，結(jié)合經(jīng)驗(yàn)予以定性分析。

風(fēng)險(xiǎn)識別是風(fēng)險(xiǎn)評估的前提， 主要是結(jié)合分析對象的實(shí)際情況進(jìn)行初步的危害分析， 同時(shí)針對信號系統(tǒng)和子系統(tǒng)進(jìn)行接口風(fēng)險(xiǎn)分析。 為貫徹落實(shí)安全管理的整體性原則，也要對信號系統(tǒng)設(shè)備連接的接口位置進(jìn)行分析。 每個(gè)項(xiàng)目的風(fēng)險(xiǎn)識別和風(fēng)險(xiǎn)分析應(yīng)具有獨(dú)立性，且應(yīng)按照流程進(jìn)行識別、原因分析、結(jié)果分析[3]。

3.3 鐵路信號系統(tǒng)風(fēng)險(xiǎn)評估

鐵路信號的安全保障工作應(yīng)在科學(xué)的風(fēng)險(xiǎn)分析的基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)的量化評估，判斷風(fēng)險(xiǎn)是否可以接受。 鐵路信號系統(tǒng)安全影響因素可分為人員、設(shè)備、方法、環(huán)境、系統(tǒng)等5 個(gè)部分，將評估結(jié)果分為不可接受、可接受及可容忍區(qū)域3 種，分別定義為一級風(fēng)險(xiǎn)、二級風(fēng)險(xiǎn)、三級風(fēng)險(xiǎn)。

一級風(fēng)險(xiǎn)是指不可接受的風(fēng)險(xiǎn)，具有極大的危害性，需采取相應(yīng)的措施，包括信號系統(tǒng)維護(hù)、信號系統(tǒng)調(diào)試、系統(tǒng)安全防護(hù)更新等。 二級風(fēng)險(xiǎn)是可接受風(fēng)險(xiǎn)，該類風(fēng)險(xiǎn)等級較小，可忽略不計(jì)，即識別后可以不采取措施對其進(jìn)行治理，僅對風(fēng)險(xiǎn)因素進(jìn)行監(jiān)測即可。 可容忍區(qū)域風(fēng)險(xiǎn)被列為三級風(fēng)險(xiǎn)，該等級的風(fēng)險(xiǎn)通常不會(huì)爆發(fā)事故，具有一定的可容忍性，但可能隨著時(shí)間的推移不斷擴(kuò)大，因此，需要采用監(jiān)測手段將風(fēng)險(xiǎn)事故產(chǎn)生的可能性降至最低。

安全風(fēng)險(xiǎn)評估是保障鐵路信號系統(tǒng)安全的主要措施，根據(jù)評估結(jié)果采取不同的處置辦法。 處置辦法應(yīng)以科學(xué)性、效益性為基本原則，需在維系安全保障下使性能和成本達(dá)到平衡。

3.4 鐵路信號系統(tǒng)的運(yùn)行維護(hù)

鐵路信號系統(tǒng)的安全管理是在識別和評估的基礎(chǔ)上，明確信號系統(tǒng)運(yùn)行的安全需求，按照標(biāo)準(zhǔn)、記錄、規(guī)范、環(huán)境等，對應(yīng)用條件進(jìn)行明確，同時(shí)對制度需求、功能需求進(jìn)行完善，按照信號系統(tǒng)的生命周期將安全需求貫徹落實(shí)到整個(gè)階段之中。 例如，危害記錄主要對詳細(xì)的風(fēng)險(xiǎn)信息進(jìn)行記錄，將其作為安全管理的主要依據(jù)， 通過記錄可以實(shí)現(xiàn)對風(fēng)險(xiǎn)的追蹤管理。 此外，按照安全管理計(jì)劃，應(yīng)對安全進(jìn)行驗(yàn)證和確認(rèn)，由專業(yè)人員進(jìn)行信號系統(tǒng)的安全驗(yàn)證， 判斷信號系統(tǒng)整個(gè)生命周期階段是否滿足安全需求，并根據(jù)驗(yàn)證結(jié)果出具相關(guān)報(bào)告。 信號系統(tǒng)在投入運(yùn)行過程中要定期對其進(jìn)行測試， 采用白盒測試和黑盒測試相結(jié)合的方式進(jìn)行安全分析， 如果存在安全隱患需及時(shí)調(diào)試、維護(hù)。

部分采用安全例證的方式判斷其是否滿足具體的安全需求，分析所應(yīng)用的管理措施是否在允許范圍內(nèi)，風(fēng)險(xiǎn)等級是否可以被接受。 根據(jù)例證規(guī)范，針對一般產(chǎn)品和特殊應(yīng)用采取不同的例證方法，確保信號系統(tǒng)的應(yīng)用條件始終良好。 特殊應(yīng)用的安全例證工作應(yīng)將條件結(jié)果上傳給運(yùn)營商，對其進(jìn)行優(yōu)化。在信號系統(tǒng)投入使用后，需要定期對其進(jìn)行維護(hù)，由專業(yè)人員對系統(tǒng)的運(yùn)行環(huán)境及運(yùn)行狀態(tài)等進(jìn)行調(diào)查明確， 并對安全應(yīng)用條件進(jìn)行優(yōu)化， 針對風(fēng)險(xiǎn)問題可以采用變更的方式進(jìn)行調(diào)試，從而保障系統(tǒng)應(yīng)用效果良好。 維護(hù)計(jì)劃制訂應(yīng)根據(jù)產(chǎn)品的生命周期，按照階段采取不同的維護(hù)措施，從而達(dá)到消除安全隱患的目標(biāo)。

4 結(jié)語

綜上所述，鐵路信號系統(tǒng)的安全問題解決應(yīng)貫徹落實(shí)“預(yù)防為主、處理為輔”的基本原則，通過風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)預(yù)警、反思等方式，打造完整的信號系統(tǒng)安全管理體系。 以IPIS 標(biāo)準(zhǔn)為指導(dǎo)建立信號集成系統(tǒng)，采取相應(yīng)的保障措施，進(jìn)而有效提高鐵路信號系統(tǒng)的穩(wěn)定性、安全性。