基于EPC因子的有軌電車信號系統安全完善度等級（SIL）評估

楊 娟 張小林

（上海富欣智能交通控制有限公司安全管理部，201203，上海∥第一作者，工程師）

現代有軌電車運行可靠、舒適、節能、環保、實用，作為城市新興的一種先進的公交方式，已完成了從傳統到現代化的轉變，在世界上被廣泛推廣，充滿了光明的前景。

隨著有軌電車的快速發展，信號控制系統的安全性也越來越受到人們關注。目前對有軌電車信號控制系統的安全完善度等級（Safety Integrity Level,SIL）進行評估，主要采用基于風險矩陣的評估方法，通過對系統風險性質的分析，導出信號設備所需達到的SIL。

本文闡述了一種基于EPC（Exposure，Probaility，Consequence）因子的現代有軌電車信號系統的SIL評估方法。這種方法忽略那些不會導致災難性后果的危害，減少對信號系統安全完善度等級的過度要求，有助于增強對有軌電車信號系統在工程應用中實施安全評估的合理性。

1 現代有軌電車信號控制系統

現代有軌電車信號系統主要包括正線道岔控制子系統、轉轍機、信號機、軌道檢測設備、平交道口信號控制子系統、車載子系統、操作維護子系統和車輛段聯鎖子系統。

信號系統提供自動控制功能（允許司機專注于運行的安全），并且提供降級和后備手動控制模式（允許司機進行本地控制操作）。當出現OCC（Operating Control Center）中心系統故障時，其具備車載自動控制功能，當所有支持中央和車載自動運營的設備均出現故障時，正線運行的有軌電車能夠通過司機的手動控制繼續保持運行，由司機操作線路上的道岔。

正線道岔控制器通過進路、信號機、轉轍機之間的安全聯鎖實現信號顯示及轉轍機控制功能，從而保證進路排列的安全和有軌電車通過的安全。

平交道口控制功能主要實現有軌電車通過交叉路口的控制功能，與交管部門共同完成路口信號系統的功能擴充，實現各種交通車輛有序、高效通過運行。

信號控制系統用于對現代有軌電車系統中的信號設備（包括車載設備和地面設備）進行實時監督和控制，有軌電車無ATP（Automectie Train Protection）保護功能時，司機需使用人工駕駛模式看信號機顯示來目視行車，以確保行車安全。

典型現代有軌電車信號系統的結構圖如圖1所示。

圖1 系統架構框圖

2 基于EPC的SIL評估

2.1 初步風險評估

信號系統安全功能所要求的SIL，是通過對安全功能的風險分析確定的，據此需要對安全功能相關的危害后果嚴重程度、危害發生頻率和風險等級進行定義。將特定危害發生頻率和危害后果嚴重程度進行綜合，即得到風險矩陣。風險矩陣是結合了安全監管要求、風險自身性質、既有項目經驗積累和軌道交通項目客戶要求在內的，對信號系統安全功能所涉及風險的整體評價工具。

表1～3分別給出了危害后果嚴重程度分級、危害頻率分級和風險可接受等級定義。表4是在其基礎上形成的風險矩陣［1～3］。

上述各表構成了對信號系統安全功能進行風險分析方法的基礎。一方面，對一個特定的信號系統安全功能相關危害，在明確了其發生的頻率（A-F）及其導致的后果（I-III）之后，即可根據風險矩陣得出該危害的初始風險等級（R1-R3），以及需要緩解到的風險等級。另一方面，風險矩陣同時指出了兩種風險緩解的方法：①降低危害事件的后果；②降低危害事件發生的頻率。

表1 危害的嚴重程度及其后果

表2 危害發生的頻率

表3 風險接受準則

表4 風險矩陣

對于有軌電車信號系統，降低危害事件的后果在技術上難度較大，一般通過降低危害事件的發生頻率來降低整體的風險等級。在具體的信號系統工程項目中，理想情況是所有風險均應被緩解至R3。

2.2 EPC因子

上述基于風險矩陣的半定量風險分析方法是按照危害后果的嚴重程度和危害發生的頻率，根據風險矩陣為該功能分配一定的SIL等級。在有軌電車信號系統項目實踐中，這種方法可能會忽略影響風險的其他因素（特別是對那些不會導致災難性后果的危害），從而導致對信號系統安全完善度等級的過度要求。

為了解決這個問題，參考文獻［4-5］，引入了3組潛在風險影響因子：①暴露于危害（Exposure)的概率E；②降低事故發生可能性（Probability）的概率P；③避免事故發生（Consequence）的概率C。

上述3個因子總稱EPC因子，它們用于考慮除了安全設計和操作運營之外，其他有助于降低風險的因素。基于風險矩陣對風險進行數量級逐步減輕的原則，上述風險影響因子可以進行如下定義。

2.2.1 暴露于危害的概率E

因子E用于評估人員是否會暴露于持續發生的危害場景中。E的取值如表5所示。

表5 暴露于危害的概率E

2.2.2 降低事故發生可能性的概率P

因子P用于評估可用于降低事故發生概率的附加防護手段（這些防護手段也可以認為是降低了相關的風險）。P的取值如表6所示。

表6 降低事故發生可能性的概率P

2.2.3 避免發生事故的概率C

因子C用于評估可用于避免發生危害事故的額外防護手段。C的取值如表7所示。

表7 避免事故后果的概率C

2.3 在SIL評估中應用EPC因子

表8給出了EN 50129［1］中SIL和相應容許故障率（tolerable hazard rate）RTH之間關系的要求。對一項特定的信號系統相關風險，在確定了其所需達到的RTH后，即可確定其對應的安全功能的SIL，即相應給出了對承擔該安全功能的信號設備的要求。

表8 SIL與RTH的關系

如上文所述，信號系統的風險緩解主要依靠降低相關危害的發生頻率，這可以通過在RTH的基礎上綜合考慮EPC因子的影響來實現。在考慮EPC因子的情況下，風險嚴重性等級與對應的安全功能所要求的SIL之間的關系可寫為：

風險后果的嚴重性等級n→ RTH，m=RTH，n/FEPC=LSI，m。

這里的 RTH，n是指原始失效率；RTH，m是指考慮了EPC之后的失效率；LSI，m是指考慮了EPC之后的安全完善度等級；FEPC為EPC因子；m是介于1和4之間的自然數。考慮EPC各種評估情況的組合，則可得到風險嚴重性和對應的LSI，m之間的關系，如表9所示。

表9 EPC因子FEPC及SIL等級

這樣，對一個特定的安全功能，可根據其失效的后果及所容忍的風險得到相應的RTH，然后在考慮EPC的基礎上導出對應的SIL，即完成了該安全功能的SIL評估。這一過程充分考慮了信號系統實際運營過程中可能影響安全風險的非技術因素，增強了所得到的SIL對項目實踐的匹配程度，提高了系統功能安全要求在工程應用中的合理性。

2.4 信號設備的SIL確定

通過上述風險評估過程得到的SIL，是安全功能的識別，應經過專門的功能風險分析（如失效模式及后果分析，FMEA），并將其功能職責合理分配到相關信號設備中，達到對信號設備生成功能SIL要求的目的。

3 應用實例

以現代有軌電車信號系統（正線）的道岔控制器和道岔轉轍機為例，結合上文所述方法，分析在未引入EPC之前和引入EPC因子之后，對各個設備所承擔安全功能對應的SIL進行評估的過程。

3.1 正線轉轍機

不同的正線轉轍機故障模式，其所選取的EPC因子也不相同，本文分別對各種模式下的EPC因子選取進行了說明。

1）故障模式1：道岔密貼失效，即道岔實際沒有密貼到位但還是給出了相應位置表示，導致列車高速通過道岔時脫軌，后果等級保守估計為I，則相應的發生頻率（RTH）需要達到10-9～10-8，才能達到R3的風險水平。為此：

E選擇為1，保守估計為乘客連續暴露在該危害下。

P選擇為0.1，定期的檢修可以發現道岔密貼故障，正線道岔轉轍機只具有簡單的硬件電路，沒有軟件，并且由于其功能簡單，一次人工例檢可以遍歷其所有的功能，進而可以檢測出所有的故障。

C選擇為1，沒有其他的措施可以避免發生事故的概率。

根據 RTH，1=RTH/FEPC=10-8～ 10-7，對應的安全等級為SIL3。

2）故障模式2：道岔鎖閉失效，即道岔在列車高速通過時由于列車的沖擊和震動而存在移動，造成脫軌，后果等級保守估計為I；但道岔鎖閉的機制一般為機械鎖閉，不屬于功能安全的范疇，因此不適用于SIL的應用。該風險的防范主要通過機械的設計以及機械材料的選擇，通過測試以及后期的維護保養來保證。

3）故障模式3：道岔位置表示錯誤，即給出了不正確的道岔位置，如實際反位但卻給出定位表示，列車通過時造成高速脫軌，后果等級保守估計為II，則相應的發生頻率（RTH）需要達到10-9～10-8,才能達到R3的風險水平。為此：

E選擇為1，保守估計為乘客連續暴露在該危害下。

P選擇為0.01，有兩重因素降低該危害發展成事故（Accident）的概率。因素1為定期的檢修可以發現道岔表示故障，因素2為道岔控制器對于道岔表示的監測，如同時為定位和反位的合理性檢查，同時還有道岔命令和表示的閉環一致性檢查。

C選擇為1，沒有其他的措施可以避免發生事故的概率。

根據 RTH，3=RTH/FEPC=10-7～ 10-6，對應的安全等級為SIL2。

4）故障模式4：道岔處于機械動作模式但未給出正確的模式表示，在人工機械動作模式時道岔控制器輸出動作道岔，導致操作人員受傷，后果等級保守估計為I，則相應的發生頻率（RTH）需要達到10-9～10-8，才能達到R3的風險水平。為此：

E選擇為0.1，平時工作在電操模式，只有在維護或人工機械操作道岔時才會暴露在該危害下。

P選擇為0.1，當道岔在機械操作模式時會自動斷開電操電路。

C選擇為0.1，操作流程規定在本地機械動作道岔時人員遠離道岔動作部分

根據 RTH，4=RTH/FEPC=10-6～ 10-5，對應的安全等級為SIL1。

3.2 正線道岔控制系統

故障模式1：聯鎖功能失效導致列車撞車或道岔錯誤轉動致列車脫軌，后果等級保守估計為I，則相應的發生頻率（RTH）需要達到10-9～10-8，才能達到R3的風險水平。為此：

E選擇為1，保守估計為乘客連續暴露在該危害下。

P選擇為1，無法降低事故發生的概率，正線道岔控制系統有復雜的控制邏輯，僅靠日常簡單的例檢可能尚不足以發現一些故障。

C選擇為1，沒有其他的措施可以避免發生事故的概率。

根據 RTH，1=RTH/FEPC=10-9～ 10-8，對應的安全等級為SIL4。

3.3 小結

按照標準［5］規定，如果系統中不同安全功能的SIL等級不相同，整個系統的安全等級由SIL等級最高的決定。在引入EPC因子之前，正線道岔控制器和轉轍機的安全完善度等級均需達到SIL4；引入EPC因子以后，正線有軌道岔控制系統的安全等級需要達到SIL4，正線轉轍機的安全等級可以降到SIL3。

4 結語

本文闡述了一種基于EPC因子的現代有軌電車信號系統的SIL評估方法。該方法利用風險矩陣對系統各組件所承擔的安全功能進行風險分析，并引入EPC因子導出系統各組件所需達到的安全完善度等級。在現代有軌電車信號系統中應用該方法的實例表明，通過引入EPC因子，可以得到對包括道岔控制器、轉轍機、軌道檢測設備在內的關鍵信號設備功能且更加符合系統運營情況和工程項目實踐的SIL要求。

信號系統的安全完善度等級的合理確定，有助于提高信號系統的安全性和穩定性。而安全完善度等級的確認與風險矩陣的選取有直接關系。目前在現代有軌電車領域，尚缺少權威統一的風險矩陣。制定統一的行業風險評價標準和風險矩陣，是現代有軌電車向更深層次發展過程中需要重點解決的問題之一，應引起行業主管部門的充分重視。

［1］ European committee for electrotechnical standardization：EN 50129—2003［S］.

［2］ European committee for electrotechnical standardization：EN 50126—1999［S］.

［3］ European committee for electrotechnical standardization:EN 50451—2007［S］.

［4］ Functionalsafetyofelectrical/electronic/programmableelectronic safety-related systems：IEC 615080—2010［S］.

［5］ MOD safe modular urban transport safety and security analysis WP4-D4.1，state of the art analysis and review of results from previous projects［R］.［S.l.］：European Commission，Seventh Framework Programme，2010.