跨座式單軌交通 ATP與位置檢測系統設備的安全技術應用

楊 明 王 焱

北京大成通號軌道交通設備有限公司 100044 北京

*助理工程師 **高級工程師

伴隨著計算機化數字處理技術廣泛應用到鐵路信號中,對安全的關注焦點愈來愈多地集中到如何確保風險最低容限原則(ALARP)的問題上來,不僅需要統計非安全性故障幾率,更加重要的是采用先進的安全標準和安全技術解決實際操作問題。

研究一個安全過程時不難發現,在不確定風險和安全保障所能提供的有效解決方案之間所采用的安全技術方法是非常重要的。不能忽略任何設計都會受到所建立的系統影響,也會由于統計上的原因而有缺陷,但一個正確的安全方法能夠帶來對安全更大的信賴。

1 發展的故障-安全概念

傳統故障-安全的核心由信號安全繼電器產生。鐵路信號工程中的安全繼電器由重力裝置構成,當磁芯失磁時,足夠大的重力確保繼電器處于釋放狀態。重力作用可以無條件信賴,認識上可以將導向安全理解成 “有事前已知的約束條件”和 “降低能量的狀態傾向”。

技術發展必須賦予故障-安全更加廣泛的概念,傳統意義上對安全的無條件信賴被大量的有條件信賴所取代。例如,繼電聯鎖被更先進的計算機聯鎖所取代,軟件的故障-安全由危險概率體現。因此,故障-安全概念的表述發展為,眾多故障的積累效應及某種組合次序會引發失效發生,而失效所產生的危害風險可能導致事故,對該失效的危害程度、發生頻次風險的預測、控制和防護能力為安全。

2 安全標準

跨座式單軌交通 ATP與位置檢測系統及設備的開發、設計過程執行了 GB/T21562-2008《軌道交通—可靠性、可用性、可維修性和安全性規范及示例》標準要求,這是確定 “安全需求”的基礎。通過 RMAS風險預測 (PHA)分析,確定安全完整性等級 (SIL)。相關聯安全標準有 IEC62279-2002《鐵路應用—針對鐵路控制和防護系統的通信、信號和處理系統軟件》、IEC62425-2007《鐵路應用—通信、信號及處理系統—安全電子信號系統》和 IEC62280-1-2002《鐵路設施—通信、信號和處理系統—第 1部分∶在封閉的傳輸系統中有關通信安全》。

3 安全管理

3.1 安全管理流程

針對跨座式單軌交通 ATP與位置檢測系統及設備的開發、設計過程執行了如圖1的安全管理流程。

圖1 跨座式單軌交通ATP與位置檢測系統與設備安全管理流程

3.2 安全職責

跨座式單軌交通 ATP與位置檢測系統為達到安全完整性等級,不僅確保隨機失效完整性指標,還需要加強安全實現過程的管理,滿足系統失效完整性。通過安全策劃活動制定安全計劃,在安全生命周期的各個階段,有計劃地、獨立地由安全資質人員審核各個安全要素,批準確認資格必須授權。任何未經審核、批準確認的安全配置項都不得遞交、轉移。為了與安全能力相適應,安排定時、不定時的人員安全培訓,形成 “安全文化”。

3.3 風險評估

針對跨座式單軌交通 ATP與位置檢測系統及設備的安全分析,采用了 4種安全技術方法:組件、部件及元器件可靠性預計,故障樹分析(FTA),RMAS預測分析(PHA、FMEA、PHZOP),故障報告分析及糾正措施(FRACAS)。識別、判別出碼發生器、TD接收器、ATP主處理器模塊、驅動模塊和邏輯繼電器為安全要素,安全完整性等級為 4級(SIL4)。通過分析得出的風險假設,形成危害記錄表,伴隨項目的進程進行監控。

3.4 風險控制

應該認識到,消除故障是安全保障的基礎,沒有故障就不會出現失效,沒有失效就不會發生事故,無事故就帶來了安全。因此,確保安全的有效措施在于消除故障和降低故障風險。提高系統和設備的可靠性對提高系統、設備的安全性有貢獻。

安全技術將故障分成隨機故障和系統故障。首先,故障風險的控制必須建立在質量體系的基礎上,跨座式單軌交通 ATP與位置檢測系統及設備的隨機失效完整性,就是該系統及設備避免危險隨機故障的等級;系統失效完整性則是該系統及設備避免無法識別危險錯誤及其原因影響的等級。

避免隨機故障的控制措施更多地采用技術方法,例如,選用高品質的電子元器件和優質的原材料,更多地采用經過實際安全工程驗證過的故障-安全電路,運用可置信計算機原理設計軟件產品等。而避免系統故障的控制措施將依賴于組織的安全管理能力。關鍵在于確保安全相關設計與審核人員的獨立性,關鍵節點的評審由若干有資質的人員組成安全專家小組,以會議形式審核所遞交來的安全配置項,任何有安全瑕疵的設計都將被遣返,符合安全需求的安全配置項才予以確認、批準,只有履行了批準簽字的安全配置項才允許輸出遞轉。

3.5 安全相關信息及溝通

眾所周知安全工程項目需要完成多個目標,安全目標的制訂和執行必須與其他目標協調考慮。只有被授予安全職責的員工都清楚了他們所承擔的責任,接受其相伴風險,自覺地與他人協調工作來消除或降低風險,才能夠高效率地工作。安全管理的重要職責就是能夠準確、及時和完整地將影響安全的信息傳遞。交流是重要的,無論正式還是非正式的方式,關鍵是創造交流的氛圍。確保該信息管道的雙向性,不但安全管理層能夠向執行人傳達,更重要的是影響安全的信息能夠反映到安全管理層。

跨座式單軌交通 ATP與位置檢測系統及設備項目在執行中的協調工作還包括了緊急條件下的處理預案。

4 安全論據

為了安全認證評估,增強軌道交通用戶對所提供的系統與設備的安全信心,針對跨座式單軌交通ATP與位置檢測系統及設備提供安全論證,以安全證據為基礎,從幾方面進行闡述:系統或設備定義、質量管理報告、安全管理報告、技術安全報告、相關安全例證和結論。

在系統或設備定義中,運用安全技術工具失效模式與影響分析 (FMEA)、故障樹分析 (FTA)、風險評估檢查表和可能性-嚴重性矩陣等方法識別危險,確定設計過程的安全活動,主要證據是 4類主要文件:安全計劃、安全需求說明書、安全分析報告和安全檢查表。

質量管理證據以文件形式,提供在質量體系基礎上的全部項目生命周期管理活動過程,內容包括:文件與記錄,項目實施計劃、設計聯絡記要、設計及變更評審、文檔和實物控制等。

安全管理證據以文件形式,提供基于安全配置項的全部管理活動過程,內容包括:ATP與位置檢測系統安全計劃、ATP單元安全需求書、位置檢測單元安全需求書、故障樹分析、危害風險評估(PHA)、危害與操作研究 (PHZOP)、故障與失效記錄分析等。

技術安全證據以文件和實物方式,提供針對安全配置項的詳細設計文件、圖紙和測試安全分析等。技術安全證據中軟件安全為重要內容,故障-安全原理更多體現在概率方式,消除或降低軟件風險所采取的安全措施應該從需求分析和方案階段就予以高度重視,制訂置信原則,技術方法上采用相異冗余、閉環檢測、健康鏈路和硬件防護的方法,最終依靠持續的測試驗證,以迭代增量的方式不斷優化。

結論部分列出了安全論據中所有的假設條件,尤其是那些影響安全的假設都經過了驗證,明確剩余風險和需要進一步解決的問題,和對未來可預見風險的推薦措施。

5 結論

依托 《跨座式單軌 ATP與位置檢測控制技術及產業化》課題,通過采用上述安全技術的應用,在質量管理框架基礎上建立安全管理措施,保障該課題的可靠性、可用性、可維修性和安全性(RAMS)等級要求,尤其保障了安全完整性等級(SIL),提高了該項研究成果應用的安全信心,同時符合了第三方安全認證的要求。

[1］ ISBN 978-0-9551435-2-6Engineering Safety Management(The Yellow Book).

[2］ ISBN 5760-7:1991IEC1025:1990Reliabilityo fsystems.equipment and components-Part7:Guide to fau lt tree analysis.

[3］ BS5760-5:1991Reliability of systems,equipment and components-Part 5:Guide to failure modes,effects and criticality analysis(FMEA and FMECA).

[4］ BS5760-2:1994Reliability of system s,equipment and components-Part 2:Guide to the assessment of reliability.

[5］ GJB/Z768A-98故障樹分析指南.