铁路信号系统安全保障策略研究

安卓

（中土集团福州勘察设计研究院有限公司，福州 350011）

1 铁路信号系统应用现状

我国学者普遍认为铁路信号系统是向行车人员传送行车条件、行车状态的相关技术指标。 铁路信号系统建设需满足设计标准、区域条件，我国目前普遍应用调度指挥系统、闭塞系统、联锁系统等来保障铁路行车安全[1]。 国外对信号系统安全的研究起步更早，安全系统体系比较完善，如法国推广的列车运行控制系统（TVM），具有良好的安全性和兼容性。本文在综合国内外研究现状的基础上，从风险识别、风险评估、风险预警的角度保障铁路信号系统的安全性， 在安全管理体系上进行创新，建立完善的铁路信号系统安全控制体系。

铁路信号系统的稳定性会对列车调度效率产生影响，近年来，国外铁路因铁路信号系统不稳定，出现了列车未按时运行、车辆的调度效率较低等问题，存在严重的安全隐患。 铁路信号系统的应用由多个子系统组合而成，其中包括列控中心、调度指挥系统、联锁系统等。 系统根据联锁条件在时序下进行车辆调度，可以预防系统失误操作行为的产生。

铁道系统信号系统按照应用模式分为一般应用模式、 一般产品、特殊应用。信号交叉接收模式的应用通过信号递进方式满足安全需要。目前，针对信号系统的安全保障模式针对上述3 个交叉应用接收模式采取不同的安全保障措施， 具体内容如图1所示。

图1 信号系统安全保障应用图

特殊应用的信号系统需出具独立的安全评估报告， 通过安全例证参考后方可使用，该系统支持商业运营模式。 一般应用系统需根据不同子系统出具评估报告， 并采用例证的方式对安全性进行参考。 信号系统一般安全保障产品的数量较多，需采用多种安全证书，对系统的安全性进行评估。

2 案例分析

2021 年， 某铁路局1 条CTCS-2 级线路多个站点列空中心间发出网络通信中断告警，信号安全数据网的EMS 系统也同时发出告警。 告警网络的组网交换机设备存在异常，且交换机显示端口丢包率和端口出入量存在异常。

分析后得知， 导致本次事故出现的原因是中继站网络交换机的CPU 使用率过高， 致使环协议报文无法被有效处理，受此影响，主站交换机做出环网中存在断点的判定，于是打开阻塞端口，再加上故障交换机的转发功能正常，最终使网络受损，引发网络风暴。

基于故障成因，维护人员将交换机组环网端口物理通道断开，使环形网络变为单一链路，故障被成功解决，告警消失。 之后，在天窗点内采集交换机数据，在检查完成后，对故障交换机进行重启处理，使物理通道恢复，网络工作状态得以运行。

3 铁路信号系统安全保障措施

结合上述案例可知， 故障交换机接收大量未知报文是导致信号系统故障的主要原因，为此，笔者认为相关部门应采取下述安全保障措施。

3.1 铁路信号系统安全管理

铁路信号系统安全保障措施应建立安全管理模式， 通过对集成信号系统的综合安全管理， 避免出现影响信号系统稳定性和安全性的因素。 按照铁路信号系统安全管理流程，通过管理计划、配置计划、项目进度等进行信号安全保障项目的评估。 在信号系统建设初期，应预先制订安全管理计划，并在信号系统管理计划中对管理组织、管理活动等进行明确，计划经由审批后方可落实。 计划内容应包括系统的生命周期及维护措施等，如系统进行更新、调整，应进一步对安全计划进行更新，编制与信号系统匹配程度更高的计划[2]。

信号系统的安全管理是一项综合性活动， 需采取科学的组织结构对其进行执行， 并对铁路信号系统的责任人进行划分，确定角色责任人。 根据信号系统的安全管理组织结构划分安全等级，并保障管理项目的独立性。 例如，信号系统中包括SIL3（安全完整性等级）、SIL4（功能安全认证）两类经过认证的产品，安全确认工作的落实应根据不同项目进行独立评估。具体安全管理组织架构如图2 所示。

图2 安全管理组织架构图

在安全管理组织架构中，由项目经理负责安全工作，信号系统的设计人员和验证人员对项目经理负责， 确认人员和评估人员对安全风险、安全等级的认定。 在明确安全管理组织架构后，要确定项目的安全生命周期，明确信号系统项目的组成序列，管理工作的落实应伴随多个活动，根据不同阶段采取不同的活动，将活动联系起来明确信号系统的安全生命周期，根据生命周期对危害产品的管理过程进行明确，具体过程如图3所示。

图3 信号系统危害管理过程图

3.2 铁路信号系统风险识别

对铁路信号系统进行安全管理的过程中， 应对可能产生的安全风险进行识别。 识别是安全管理的基础工作，以识别结果为依据制订特殊的行为方案， 或采用风险消除或采用风险控制方法，降低危害的发生概率。 对于信号系统和子系统，危害具有层次性，且在信号系统开发过程中对层次进行了划分，可重复进行危害识别。

对危害进行识别后，需采用原因分析法分析风险原因，应从信号系统本身和安全管理2 个角度出发评估危害产生的可能性，判断相关措施处理的可能性。 通常采用定性分析和定量分析相结合的故障树分析法。

对原因进行分析后，了解信号系统风险产生的主要原因，并根据危害性质和危害内容对可能产生的后果进行综合分析。 后果分析需要分析人员具备专业知识，可编制量化分析表进行风险的量化评估，或采用故障树的方法及因果图的方法，结合经验予以定性分析。

风险识别是风险评估的前提， 主要是结合分析对象的实际情况进行初步的危害分析， 同时针对信号系统和子系统进行接口风险分析。 为贯彻落实安全管理的整体性原则，也要对信号系统设备连接的接口位置进行分析。 每个项目的风险识别和风险分析应具有独立性，且应按照流程进行识别、原因分析、结果分析[3]。

3.3 铁路信号系统风险评估

铁路信号的安全保障工作应在科学的风险分析的基础上进行风险的量化评估，判断风险是否可以接受。 铁路信号系统安全影响因素可分为人员、设备、方法、环境、系统等5 个部分，将评估结果分为不可接受、可接受及可容忍区域3 种，分别定义为一级风险、二级风险、三级风险。

一级风险是指不可接受的风险，具有极大的危害性，需采取相应的措施，包括信号系统维护、信号系统调试、系统安全防护更新等。 二级风险是可接受风险，该类风险等级较小，可忽略不计，即识别后可以不采取措施对其进行治理，仅对风险因素进行监测即可。 可容忍区域风险被列为三级风险，该等级的风险通常不会爆发事故，具有一定的可容忍性，但可能随着时间的推移不断扩大，因此，需要采用监测手段将风险事故产生的可能性降至最低。

安全风险评估是保障铁路信号系统安全的主要措施，根据评估结果采取不同的处置办法。 处置办法应以科学性、效益性为基本原则，需在维系安全保障下使性能和成本达到平衡。

3.4 铁路信号系统的运行维护

铁路信号系统的安全管理是在识别和评估的基础上，明确信号系统运行的安全需求，按照标准、记录、规范、环境等，对应用条件进行明确，同时对制度需求、功能需求进行完善，按照信号系统的生命周期将安全需求贯彻落实到整个阶段之中。 例如，危害记录主要对详细的风险信息进行记录，将其作为安全管理的主要依据， 通过记录可以实现对风险的追踪管理。 此外，按照安全管理计划，应对安全进行验证和确认，由专业人员进行信号系统的安全验证， 判断信号系统整个生命周期阶段是否满足安全需求，并根据验证结果出具相关报告。 信号系统在投入运行过程中要定期对其进行测试， 采用白盒测试和黑盒测试相结合的方式进行安全分析， 如果存在安全隐患需及时调试、维护。

部分采用安全例证的方式判断其是否满足具体的安全需求，分析所应用的管理措施是否在允许范围内，风险等级是否可以被接受。 根据例证规范，针对一般产品和特殊应用采取不同的例证方法，确保信号系统的应用条件始终良好。 特殊应用的安全例证工作应将条件结果上传给运营商，对其进行优化。在信号系统投入使用后，需要定期对其进行维护，由专业人员对系统的运行环境及运行状态等进行调查明确， 并对安全应用条件进行优化， 针对风险问题可以采用变更的方式进行调试，从而保障系统应用效果良好。 维护计划制订应根据产品的生命周期，按照阶段采取不同的维护措施，从而达到消除安全隐患的目标。

4 结语

综上所述，铁路信号系统的安全问题解决应贯彻落实“预防为主、处理为辅”的基本原则，通过风险识别、风险评估、风险预警、反思等方式，打造完整的信号系统安全管理体系。 以IPIS 标准为指导建立信号集成系统，采取相应的保障措施，进而有效提高铁路信号系统的稳定性、安全性。