铁路信号系统安全完整性需求的确定及分配方法

刘晓敏 李 智 吕福健

铁路信号系统是保证列车能够安全运行的重要基础设备，其安全性直接关系到整个铁路系统的运输效率及客户的生命、财产安全。近年来，随着高速铁路的不断发展，铁路的安全性越来越受到关注，对铁路信号系统安全需求的研究势在必行。

安全需求包含安全功能需求和安全完整性需求。安全功能需求是指与安全相关的功能;安全完整性需求则确定了每个安全相关功能所需的安全完整性水平。明确的安全完整性需求以及合理的分配，有利于划分铁路主管部门与铁路信号产品供应商之间的责任，对于铁路的建设有积极地推动作用。

1 基本概念

安全完整性是安全相关系统在指定的运营环境和时间内，在所有指定条件下，实现其必须具备的安全功能的能力。安全完整性由随机失效完整性和系统失效完整性组成。随机失效完整性与硬件随机故障紧密相关。硬件随机故障是由元器件失效导致的，需应用概率计算进行定量的评估;系统失效完整性是安全完整性中与软件、硬件故障相关的部分，由人为错误导致，无法量化。安全完整性等级(SIL)是用数字来表示一个系统能够满足其具体安全特征所需的置信度。

所有安全功能都需要有一个定性目标或者定量目标。定性目标应该以安全完整性等级的形式来确定，覆盖系统失效完整性。定量目标应该以故障率数值的形式来确定，覆盖随机失效完整性。安全完整性需求是对安全功能做详细地描述，定义每一安全相关功能的安全完整性等级。系统要实现其安全完整性需求，需要防护随机失效和系统性失效，以保证系统运行于最适宜的安全状态中。

2 安全完整性需求的获得及分配

在确定铁路信号系统的安全完整性需求时，需要考虑铁路的运营环境和信号系统的结构设计。同时，需要明确铁路信号系统与运营环境的界限。

2.1 系统定义

系统的定义包括:系统的功能需求、RAMS目标、长期的运营策略和环境、长期的维护策略和环境、系统生命周期的费用、后勤问题、与物理环境的接口、与其他技术系统的接口、与人的接口等。

2.2 危害识别

危害是指能够导致伤害的条件。在明确系统定义以后，需要识别系统的相关危害，即危害识别。危害识别过程推荐采用经验法和创新法。经验法是利用已有的、适宜的危害检查单来识别，如果需要进行详细审查，则可以使用故障模式和影响分析法(FMEA)。创新法通常需要邀请一个有着不同专业背景的专家团队来共同完成，包括头脑风暴、HAZOP等方法。为了尽可能广覆盖到潜在的危害，识别所有重大危害并且增加危害识别的可信度，可以将经验法与创新法相结合，互相补充，以弥补各自的不足。

2.3 后果分析

系统危害识别后，需要针对已经识别的每一个危害，分析其可能产生的后果。后果分析的目的在于识别、量化危害所带来后果的可能性等级。可以使用原因后果分析法 (CCA)、事件树 (ETA)等。利用事件树进行后果分析时，将每个防护屏障的强度用故障概率来量化，同时使用临界事件的概率，可方便地计算出不同后果的概率。后果分析的结果是预测危害将引起的意外或事件，同时获得防护机制成功与否所带来的发生概率及严重程度。

在后果分析工作结束后，需要对已经识别的危害进行风险分析，从而确定每一个风险的可容忍危害率(THR)。风险分析可以使用定性或者定量方法。

2.3.1 定性风险分析

定性风险分析是将风险矩阵做相应的调整后，根据每个危害可能产生后果的严重程度来划分等级。表1中的数值即为各危害事件对应的风险等级。

文中风险矩阵是用来粗略计算系统安全性的评估工具，由危害事件发生的频率和危害后果严重性等级构成。不同的危害事件发生频率与危害后果严重性等级的组合，惟一确定了危害的风险等级。对于危害后果严重程度的界定，通常使用以下假设方法:1个等效死亡=10个严重伤害=100个轻微伤害。在利用风险矩阵确定每个危害的风险等级后，还必须要考虑受到危害影响的人的数量。例:有1000个人暴露在等效死亡率为10－6/h的全部风险中，那么，个别风险等效死亡率/小时 (IRF/h)=10－6×10－3=10－9。通常情况下，一个系统会有多个危害，需要把每个危害的IRF相加，最后得到总的IRF，即:

表1 危害后果严重性等级划分表

式中:Sj为平均缩放参数;Np为受到危害影响的人的数量。

得到系统总的IRF后，将总的IRF与可容忍限度TIR(个别风险目标)相比较，以确定危害是否可以被接受。如果危害能够被接受，那么危害率HRj就可以等同于可容忍危害率THRj，即

如果IRF和TIR之间存在差值，那么需要调整HRj，直到TIR与IRF相匹配。

2.3.2 定量风险分析

定量风险分析是一种更严格的方法，可以用来确定与安全风险相关的新危害或者引发高风险的危害，适用于复杂系统的风险分析。定量风险分析的目的是通过客观的评估得到系统的、客观的、量化的THR。定量风险分析首先需要确定个体风险，考虑危害导致事故的原因。要确定个体风险则需要计算个别风险的等效死亡率。通常个别风险的等效死亡按以下公式计算:

式中:i为使用系统的个体，Ni为对应个体使用系统的次数，Ei为相应个体每次暴露在危害中的全部时间，Dj为危害持续时间。个体暴露在危害中的概率等于在个体进入系统之前就已经存在危害的概率 (HRj×Dj)和个体进入系统之后发生危害的概率(HRj×Eij)之和。

一个危害可能引发一种或者几种类型的事故。对于每个危害引发多种事故用后果概率来表示发生后果k的概率。对于每一类事故Ak都有对应的严重性，从个体角度描述为每个个体的等效死亡概率。使IRFi的结果小于等于TIR，获得的HRj即为THRj。

2.4 原因分析

通过对系统的危害识别和风险分析得到危害H1、H2、……、Hn和对应的THR1、THR2、……、THRn之后，还需要进行原因分析以便得到一个能够控制系统危害的、适宜的系统结构。根据原因分析的结果确定系统架构，将需要防护的危害都已经加以防护、控制后，给子系统分配相关的功能。分配过程包括给关键系统功能或子系统分配THR并确定SIL，以确保由系统功能所引起的所有的系统的HR满足THR要求。分配过程可以使用故障树、可靠性框图、马尔可夫模型等方法来实现。在系统功能的SIL确定以后，根据对应的SIL需求来进行相应的设计。

2.5 设计分析

确定系统设计以后，需要进行系统设计分析。因为使用新系统或者新技术可能会带来以下几个方面的问题:①新技术的使用带来新的危害;②新技术的使用导致已有铁路系统的原有潜在危害的暴露;③规范的不全面导致新的设计存在危害;④使用特殊的操作模式可能对于既有铁路并不能完全适用，可能会对操作人员、维护人员、其他工作人员以及公众产生新的危害;⑤设计的错误可能会带来新的危害。所以需要对系统进行详细的分析。对系统的设计进行分析的步骤如图1所示。对子系统的危害的识别、分析、处理的过程及后果分析方法与前述系统方法完全相同。

图1 系统设计分析流程图

子系统的设计可能会试图去控制多个危害，子系统在控制其他危害的同时可能会引入新的危害，每个危害并不一定是相同的类型或者同时发生，所以子系统的整体完整性等级必须是其所有需要实现的功能的完整性等级中最高的。即:

SILS=max{SIL1，SIL2，SIL3，……SILn}

式中:SILS表示子系统的SIL;SILi表示各子功能的SIL。若子系统或系统功能能够继续分解为独立的子功能，则子系统或系统功能的安全完整性可以在这些更低一层的子功能间进行分解，即给每个子功能分配其相应的安全完整性。其确定与分配过程与系统的安全完整性确定与分配过程相同。如果不能够分解为独立的子功能，则安全完整性的确定与分配过程到此结束。

3 结束语

随着高速铁路的发展，铁路信号产品按照欧洲铁路信号安全标准进行开发，并且取得独立的第三方的资格认证，已经成为必然趋势。本文根据欧洲EN标准体系，阐述了安全完整性需求、安全完整性需求的确定和分配过程，为铁路信号系统的开发提供了明确的目标，有利于开发出高安全性产品，提高产品的竞争力。

［1］ EN 50128:2001.Communication，signalling andprocessing systems－Safety related electronic systems for signaling．

［2］ EN 50129:2001．Railway applications －Communications，signalling and processing systems－Software for railway control and protection systems．

［3］ Engineering Safety Management．Issue 4．Published in 2007 by:Rail Safety and Standards Board．

［4］ 黄银霞，孙超，呼爱婵，崔勇.信号系统评估体系构架［J］.铁道通信信号，2008(11):33－39.

［5］ 陆平.运用冗余技术理念，提高信号设备可靠度［J］.铁道通信信号，2008(1):31－32.

(责任编辑:温志红)