邓璇炽,蒋大明
(北京交通大学 电子信息工程学院,北京 100044)
近年来,我国大力发展城市轨道交通,而安全是城市轨道交通发展所面临的重要问题,如果轨道交通信号系统等安全相关系统一旦发生危险故障,将会导致重大的生命财产损失。IEC61508是IEC制定的电气/电子/可编程电子(简称E/E/PE)的功能安全标准,它对于传统的故障—安全概念,进行量化分析,用安全完整性概念来评价安全性能。此标准提出了由概念阶段到停用处理阶段为止的整体安全生命周期中,各个阶段的目的、范围、要求的输入和符合要求的输出,为安全相关系统的设计、开发和评估提出了要求和依据。
IEC 61508是功能安全的一个基础标准,对应的国家标准是GB/T.20438。标准共分为7个部分。前面4个部分,作为功能安全的基础。第1部分是一般要求;第2部分是具体的硬件要求;第3部分是具体的软件要求;第4部分是标准中使用的定义和缩略语。后面的3个部分是对前面基础部分的应用指南和其使用的技术措施的概述。第5部分是确定安全完整性等级方法的示例;第6部分是第2、3部分应用指南;第7部分是技术措施的概述。
安全生命周期是安全相关系统实现过程中所必须的生命活动,这些活动发生在从一项工程的概念阶段开始,直到所有E/E/PE安全相关系统、其他技术安全相关系统,以及外部风险降低设施停止使用为止的一段时间内。整体安全生命周期如图1。
在概念阶段:对受控设备(简称EUC)及其实际使用环境进行全面了解,明确相关法律法规的要求。
整体范围定义阶段:确定EUC及环境的范围和风险评估的范围。
危险和风险分析阶段:确定EUC和EUC控制系统的危险和危险事件及其相伴的风险。
整体安全要求阶段:通过对确定的风险进行必要的风险降低,确定安全完整性要求。为达到要求的功能安全,根据安全功能要求和安全完整性要求,为E/E/PE安全相关系统、其他安全相关系统和外部风险降低设施编制整体安全要求规范。
图1 整体安全生命周期
安全要求分配阶段:给E/E/PE安全相关系统、其他安全相关系统和外部风险降低设施分配其所要求安全功能及每个安全功能的安全完整性等级。
在整体计划编制阶段:进行整体操作和维护计划编制,整体安全确认计划编制和整体安装和试运行计划编制。
E/E/PES实现阶段:建立符合E/E/PES安全要求规范的E/E/PE安全相关系统。
整体安装和试运行阶段:安装E/E/PE安全相关系统,对E/E/PE安全相关系统试运行。
整体安全确认阶段:确认E/E/PE安全相关系统在考虑了按要求拟定的E/E/PE安全相关系统的安全要求分配后,满足基于整体安全功能要求和整体安全完整性要求的整体安全要求规范。
整体操作、维护和修理阶段:操作、维护和修理E/E/PE安全相关系统。
整体的修改和改型阶段:在修改和改型过程中、过程后,保证E/E/PE安全相关系统具有合适的功能安全。
停用和处理阶段:在EUC的停用或处理的活动中、活动后保证E/E/PE安全相关系统的功能安全适应这种情况。
安全功能要求源于危险分析,安全完整性要求源于风险分析。安全完整性的定义是:在规定的条件下和规定的时间内,安全相关系统实现所要求的安全功能的概率。简单的来说,安全功能要求是“做什么”,安全完整性要求是“做到什么程度”。在整体生命周期整体安全要求阶段,通过对确定的风险进行必要的风险降低,使残余风险低于允许风险,从而确定风险降低因子,确定安全完整性等级。
确定安全完整性等级的定性方法相对比较简单,主要是依靠对于危险事件发生的概率及其所造成后果的严重性进行估计,从而确定安全完整性等级。它所需的数据较少,很大程度上取决于以往工程实践数据库的统计数据和操作人员的技术水平。常用的定性方法有风险图法和风险矩阵法等。
风险图法如图2,是应用最广泛的定性方法。简化的程序根据公式:
R=f·C
式中:R是没有安全相关系统时的风险;f是没有安全相关系统时危险失效的概率;C是危险事件的后果。
产生的4个风险参数是:危险事件的后果(C);频率、暴露时间、危险区域(F);未能避开危险事件的概率(P);不期望事件的概率(W)。通过这4个参数的组合,确定必要的风险降低的要求,从而确定安全相关系统的安全完整性等级。W1﹤W2﹤W3﹤W4;PA﹤PB;CA﹤CB﹤CC﹤CD;FA﹤FB。
图2 风险图法
风险矩阵法分析原理与风险图法近似,结合危险事件发生的概率和其后果的严重性进行估计,确定安全完整性等级。
定量的方法是通过对实现安全功能的子系统或者设备的失效概率的量化分析,得出安全功能平均要求时的失效概率PFDavg ,确定其安全完整性等级。定量的方法需要更多的资源和数据,但分析结果更加符合实际情况。
首先计算EUC和EUC控制系统在没有防护因素时的风险Rnp
Rnp = Fnp·Cnp
式中:Fnp是没有防护因素时危险事件可能发生的概率;Cnp是没有防护因素时危险事件的后果。
通过必要的风险降低,确定允许风险Rt。根据
Rt = Ft·Cp
式中:Ft允许风险概率;Cp是具有防护因素时危险事件的后果。
则安全防护系统必须将危险率从Fnp降低到Ft。如果对于描述的特定情况中的固定后果Cp = Cnp,那么安全防护系统满足必要的风险降低的要求确定的失效概率PFDavg,有PFDavg≤(Ft / Fnp)。
IEC61508作为基础标准,采用一般的分析方法,适用于任何领域的电气、电子可编程电子设备。城市轨道交通设备越来越多的采用E/E/PES。欧洲标化组织以IEC61508标准为基础,制定了轨道交通安全设计和评估标准EN50126、EN50128、EN50129和EN50159-1。EN50126针对轨道交通领域的应用,定义了系统的可靠性、可用性、可维护性和安全性(RAMS),并且将RAMS的管理和要求与IEC61508标准的安全生命周期内各个阶段相对应。EN50128则针对轨道交通的控制和防护系统的软件的安全性,提出了相关的规范和设计标准。EN50129结合IEC61508的整体安全生命周期,描述了一个系统功能安全设计周期 “V”型图如图3,定义了铁路信号系统安全验收和安全认证的要求。
图3 安全生命周期v型图
IEC61508标准用技术手段改进安全和经济功能。通过危险分析和风险分析确定允许风险,通过必要的风险降低确定安全完整性等级要求。按照安全生命周期各阶段的要求,设计、开发及维护轨道交通安全相关系统,为轨道交通的发展提供有力的安全保障。
[1] 李佳玉,员春欣. IEC61508功能安全国际标准及安全性分析[J]. 中国铁路,2001(1):44-45.
[2] 俞杭华,胡宗福,薛小平. 城市轨道交通信号系统安全完整性研究[J]. 大连交通大学学报,2008(6):34-39.