考虑共因失效的列控系统定量安全分析研究

罗继光

（湖南中车时代通信信号有限公司，湖南 长沙 410005）

0 引言

随着高速铁路的快速发展，列车运行控制系统（简称“列控系统”）的安全性直接影响行车安全［1］。安全计算机平台被广泛应用于列控系统中，列控系统为了达到规定的安全等级，其安全计算机平台通常采用多通道冗余设计，通过对多个相同或相似的并行通道或功能模块的输出结果进行表决来实现功能安全。各通道的相似性使其较易由于共同原因而引发多个通道或功能模块的失效。因此，在设计列控系统时，除了应该采取设置多样性及其他方式来防止共因失效外，还应在系统危险侧失效率的计算中充分考虑共因失效分数。

现有列控系统共因失效研究通常借鉴核电和航空领域共因失效分析的经验，采用扩展的故障树法、马尔科夫链和多参数模型等方法对系统进行共因失效定量分析。上述计算模型的分析过程过于复杂，在系统设计和开发过程中不易识别共因失效及评估其所引发的危害程度［2］；同时，这些计算模型更多依赖专家经验或者半经验公式，没有达成统一认可的参数确认方式；另外，列控系统由于缺少对共因失效历史数据库的积累和完善，导致计算结果因没有相关数据支撑而存在较大误差。为此，本文通过建立基于β因子的共因失效分析模型，选取计算机联锁系统，对其进行共因失效筛选和识别，发现系统设计过程中的薄弱环节；同时，结合β因子对系统共因失效进行定量安全分析，并针对薄弱环节提出相应的安全防御措施，进一步改善系统的安全设计。

1 基础理论

1.1 共因失效

由同一种原因而导致的一个以上相同的部件、模块、单元或者系统发生的失效被称为共因失效［3］。

1.1.1 共因失效原因

共因失效产生的原因既可能由于设计错误、制造错误这样的内在原因，也可能来源于操作错误、维护错误以及外部环境这样的外在原因。其中，操作错误指的是系统运行期间错误的强置型指令或者停止指令等；维护错误指的是安装错误、维修程序错误或者升级错误等；外部环境指的是振动冲击、火灾/烟雾、腐蚀性气体、盐雾和潮湿等环境［4］。

1.1.2 共因失效防御措施

避免共因失效发生可以从以下3个角度对系统设计提出防御措施［5］：

1）冗余单元的物理隔离。将冗余单元安装在不同的机箱内，保证其在物理和电气上是相互隔离的，从而增加对共因失效的抵抗能力。

2）提升硬件和软件设计的多样性。例如，在软件设计中采用异步操作模式以减小共因失效出现的可能性；采用不同厂商生产的电子元器件以提升硬件设计的多样性。

3）强化设计，以提高强度。例如，增强系统各模块对环境的抗干扰能力并进行抗干扰性测试；在系统开发过程中采用严格的质量管理和安全管理流程，从而减少系统性失效和随机性失效。

1.2 β因子

1.2.1β因子模型

β因子是导致共因失效发生的因子。根据IEC 61508-6Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems-part6：guidelinesontheapplicationofIEC61508-2andIEC61508-3附录D.4的描述［6］，对于执行诊断测试的安全架构，由共因失效引起的总失效率为“λDUβ+λDDβD”。其中，λDU为每个通道不可检测的危险失效率；λDD为每个通道可检测的危险失效率；β为不可检测的危险失效的共因失效因子；βD为可检测的危险失效的共因失效因子。

1.2.2β因子估算方法

IEC 61508-6 标准附录中提供了β因子估算方法，标准对8个影响共因失效的因素（分离/隔开、多样性与冗余、复杂性/设计/应用/老化/经验、评估/分析及数据反馈、规程/人工接口、能力/培养/安全素养、环境的控制和环境测试）进行了划分说明［6］。为了最大限度地减小共因失效发生的概率，首先要结合这8 个因素对系统建立有效的防御措施（在系统中采用适当的安全防御措施，能够减少在估算因为共因失效而引发系统失效时使用的β因子的数值）［7］；其次，对照这8个因素涉及的问题，评估系统是否采用了有效的安全防御措施，从而对每个问题进行打分；最后，计算所有问题的总分，并基于总分，得到β因子的数值。β和βD的估算方法在IEC 61508-6 附录D.4 中有具体说明。估算方法中，参数S=X+Y；参数SD=X（Z+1）+Y。其中，X为所采用的措施对提高诊断测试有效性的贡献值；Y为所采用的措施对降低共因失效的贡献值；Z为综合诊断覆盖率和诊断测试间隔得出的结果。X和Y数值的确定，需要结合IEC61508-6 标准附录D.5，对逻辑子系统与传感器和最终元件中是否采用了安全防御措施进行分析评估，即对照检查项，对系统的符合情况逐项进行打分，分值相加可分别得到X和Y的数值。每种措施的X∶Y比值，表示了诊断测试能够提高该措施对抗共因失效的作用程度［8］。Z值在IEC61508-6 的表D.2 和表D.3中进行了说明。表D.2 为逻辑子系统中Z值的确定方法；表D.3为传感器和最终元件中Z值的确定方法。

2 共因失效分析模型

根据系统安全理论，本文提出基于β因子模型的共因失效分析模型，结合β因子和独立性分析方法对系统可能的共因失效情况进行分析评估，从而保证分析的系统性以及确认共因失效的闭环控制［9］。共因失效分析模型如图1所示。

图1 共因失效分析模型Fig.1 Analysis model of common cause failure

共因失效分析步骤如下：

1）明确系统定义。确定共因失效分析范围，包括明确系统边界及接口。

2）建立系统架构设计模型。基于系统设计定义，确定系统所采用的架构设计模型。

3）初步筛选分析。利用IEC 61508-6 标准附录中涉及的8个影响共因失效因素的检查表对系统进行评审，识别分析系统的共因失效弱点。对照这8个因素涉及的问题，评估系统是否采用了有效的安全防御措施。

4）分析和控制共因失效。针对关键的共因失效进行定性和定量分析，确定共因失效发生的根本原因，消除或控制共因失效［10］。

5）关闭共因失效。通过定性分析和定量分析，确定所有的共因失效已经被降低到可以接受的范围，系统达到规定的安全目标。

3 实例分析

3.1 系统架构

计算机联锁系统是列车运行控制系统的重要组成部分，本文选择计算机联锁系统作为研究对象。图2为计算机联锁系统中常见的2取2系统安全架构。其中，计算机联锁系统中的主机插件、安全数字量输入插件、安全数字量输出插件均采用此架构设计模型，在2取2（2oo2）架构设计中CPU_A通道和CPU_B通道采用相同的硬件和软件进行逻辑运算，各通道在进行自检的同时不断地将控制计算结果进行交互比较。最终通过通信总线将输出命令发送至输出模块，由输出模块执行输出。

图2 计算机联锁系统2 取2 架构Fig.2 Architecture of 2-vote-2 in the computer interlocking system

在IEC 61508中，安全计算机包括输入、逻辑计算和输出3 个子系统，安全计算机的平均危险侧失效率等于各个子系统的平均危险侧失效率之和，即

式中：PSYS——整个安全计算机的平均危险侧失效率；PS——输入子系统（传感器）的平均危险侧失效率；PFE——输出子系统（最终元件）的平均危险侧失效率；PL——逻辑计算子系统的平均危险侧失效率。

计算机联锁系统中的采集部分、逻辑部分和驱动部分分别对应安全计算机中的输入子系统（传感器）、逻辑计算子系统和输出子系统（最终元件）。安全计算机冗余结构通常采用图3所示的2乘2取2架构。

图3 2 乘2 取2 架构Fig.3 Architecture of double 2-vote-2

3.2 共因失效分析

明确计算机联锁系统的系统定义和系统架构设计后，结合IEC 61508-6标准附录中8个影响共因失效因素的检查表，对系统设计进行对照评审，根据其逻辑计算和输入/输出3个子系统的设计要求，审视系统依据检查表中的每一项是如何进行安全设计的，从而对每个检查项点进行打分。表1是结合IEC 61508-6附录中的“分离/隔开”因素，对计算机联锁系统在实际设计中采用的安全防御措施进行评估和打分的结果。表1 的“计算机联锁中采用的安全防御措施”一栏中，列出了在系统实际设计中所采用的控制共因失效的安全防御措施。

表1 分离/隔开分析Table 1 Separation analysis

在完成共因失效筛选和识别后，分析各个潜在的共因故障，评估这些共因失效是否满足独立性要求。系统总的危险侧失效率包含由共因故障引起的失效以及独立失效。

IEC 61508-6 标准中定义了不同冗余架构的平均危险侧失效率计算方法。在计算机联锁系统中，2 取2（2oo2）的平均危险侧失效率P2oo2计算公式为

式（2）中，λDU=λD（1-FDC）。其中，FDC为诊断覆盖率，λD为单通道危险侧失效率。

计算平均危险侧失效率时，首先计算每个2oo2架构的危险侧失效率，然后以该失效率作为1oo2 架构每个通道的危险侧失效率，从而计算得到2 乘2 取2 架构的平均危险侧失效率。IEC 61508-6 中定义的1oo2 的平均危险侧失效率P1oo2计算公式为

经过对计算机联锁系统架构设计中所采用的安全防御措施进行分析和比对，得出计算机联锁系统架构设计中涉及的逻辑子系统X值为50、Y值为46，传感器和最终元件的X值为42、Y值为46。在计算机联锁系统架构设计中，各个子系统的X、Y和Z的计算结果如表2所示。

表2 各子系统X、Y 和Z 值Table 2 X，Y，and Z values of each subsystem

根据表2所示，逻辑子系统中X值为50、Y值为46、Z为2.0，可计算得到参数S=96、参数SD=196；传感器和最终元件中X值为42、Y值为46、Z为2.0，可计算得到参数S=88、参数SD=172。

表3为IEC 61508-6标准中定义的S与β及SD与βD的对应关系。根据表3所示，可得计算机联锁系统中逻辑子系统β的值为1%、βD的值为0.5%；传感器和最终元件的β的值为2%、βD的值为1%。

表3 β、βD 的取值Table 3 β or βD values

计算机联锁系统对单一故障、多故障和动态故障的诊断覆盖率大于99%，计算机联锁系统中单通道都有自检电路，能保证系统危险故障发生时单通道能自动导向安全。进行共因失效分析时，由于可以检测到的危险失效概率对系统安全不会造成影响，可以忽视不计。

根据既有计算机联锁系统的可靠性数据，通过对计算机联锁系统中采用2 乘2 取2 安全架构进行共因失效计算，采用β因子模型，计算得到共因失效分数β和βD，然后带入式（1）～式（3）中，可以分别得到由独立失效（独立故障原因）和共因失效（共因故障原因）导致的危险侧失效率。计算结果如表4所示。

表4 基于β 因子的计算结果Table 4 Calculation results based on β factors

定量计算结果表明，共因失效导致的危险侧失效率接近总的平均危险侧失效率的计算结果，这说明β和βD是决定平均危险侧失效率计算结果的重要参数。考虑并采用8 个影响共因失效因素的防御措施，能够优化系统安全设计，并满足系统独立性设计要求。

4 结束语

本文根据系统安全理论，建立一种基于β因子的共因失效分析模型，利用共因失效检查表对系统进行初步筛选分析，识别分析系统设计过程中的薄弱环节，并提出安全防御措施；同时结合β因子对共因失效进行定量安全分析计算，判定系统危险失效率是否在可接受的范围并达到规定的安全目标，从而进一步改善系统的安全设计。

通过分析共因失效的原因和耦合机制，能够对系统设计过程进行审视，发现设计中的薄弱环节并制定相应的安全防御措施，从而进一步提升系统的安全性。相比多参数模型，β因子模型具有表达直观、易于维护和可操作性强的优势。由定量计算结果可知，β因子越小，共因失效影响越小。因此，为了有效控制共因失效，在系统设计阶段，需要尽量满足IEC 61508-6附录提出的相关安全防御措施要求。下一步将综合考虑共因失效、故障检测率和维修率对系统可靠性和安全性的影响。