故障-安全概念理解和應用

邱兆陽

（北京全路通信信號研究設計院集團有限公司，北京 100070）

1 概述

故障-安全是鐵路信號行業永恒的主題，在軌道交通的發展早期階段，人們已經認識到了故障-安全的重要性。鑒于當時使用的主要是簡單的機械或者電氣器件，其失效模式相對簡單、容易確定，且不同的失效模式之間故障率存在很大差異，或者可以排除某些有害的失效模式，以使這樣構建的系統的所有容許狀態只有無故障時存在（換言之，存在故障時，系統不處于容許狀態）。

通常，該概念的有效性以經驗為基礎，如《鐵路信號故障安全原則》（TB/T 2615-2018）（以下簡稱TB/T 2615）中提到的，故障假設的應以對鐵路信號設備在使用過程中已經發生的故障總結，以及經分析可能發生的故障合理分析作為基礎，但由于計算機等復雜系統的使用，信號設備不再是單純的簡單器件，也無法窮盡分析其存在的故障模式或確定性地排除某個有害的故障模式，在這個背景下，基于確定性的故障安全方法已經不可行，對于復雜的系統，只能根據器件的失效率，使用概率法來實現故障-安全。

2 概念定義

2.1 TB/T 2615

在TB/T 2615中，對于故障-安全的定義如下：“故障以后導向安全”。

在TB/T 2615的3.1.2節中規定：當信號設備發生故障時，應以特殊的方式做出反應并導向安全。同時也指出，安全是基于概率的，應同時考慮經濟性，信號設備并不是絕對安全的。

在TB/T 2615的3.3.7節給出了安全狀態的要求：設備發生故障導向安全后，應處于規定的4種狀態，即部分或全部的暫停、降級模式、給出故障報警、給出錯誤操作的表示（隱含著拒絕操作錯誤的要求）。這4種狀態可以分為兩類：或者降低性能、或者給出報警提示。

在TB/T 2615的3.2.7節規定了設備信號應考慮的故障類型，如表1所示。

表 1 應考慮的故障類型Tab.1 Fault types to be considered

鐵路信號故障-安全原則是鐵路信號行業的基礎性標準，給出了故障-安全的原理，強調故障-安全并不是絕對安全 ；定義了采取故障-安全措施后，系統可能處于的狀態，給故障-安全后采取的措施提供指導。標準還就應該考慮的故障類型進行規定，比如3.2.7節的前3項，基本上對應了GB/T 28809中的單點故障。

針對鐵路信號的特點，標準還加入了對誤操作的故障防護要求，這對于一些具備人機操作界面的設備來說，是特別有意義的，因為有一些操作是安全相關的操作，如果錯誤操作，可能帶來嚴重的后果，將這類誤操作等同于設備故障，進行安全防護，是非常有必要的 ；故障累積對安全的影響雖然沒有單個故障那么明顯，其危害性往往容易被忽略，所以標準特別強調了對累積故障的檢測要求 ；對于其他標準未明顯提及的防護元件動作時可能存在的風險，TB/T 2615中也明確要求按故障進行考慮。

2.2 TB/T 3177

在《鐵路信號技術中采用電子元器件時應遵循的主要安全條件》（TB/T 3177-2007）（以下簡稱TB/T 3177）4.1節中，對采用故障-安全的原因，以及如何實現故障-安全，什么是故障-安全進行了說明。

該標準首先指出由于人的操作失誤等原因，裝備鐵路信號設備的必要性，接著從器件有限可靠性的角度，承認器件必然存在故障，人也會存在操作失誤，在這樣的條件下，為保證行車安全，必須從技術上采取措施，以便當設備發生故障或出現人為錯誤時，立即以特殊方式做出反應并導向安全。

鐵路信號保證行車安全方法的特殊性質稱為“鐵路信號設備的安全性”。這個特性是：一個產品在規定的時間內和使用條件下，不出現任何危險情況的概率。當故障影響到信號設備使用時，有可能喪失信號設備的全部功能或部分功能。

這種方法也稱為“故障-安全原則”。即，考慮了規定的基本條件（故障假設），對有害故障進行檢測，然后采取措施以較高的概率防止該系統產生對外的錯誤輸出。

TB/T 3177在要求故障-安全的同時，也對信號設備的高可靠性提出了要求，即“實際經驗表明，操作人員的錯誤率比信號設備的錯誤率高出幾個數量級。操作人員的介入構成了一種新的危險源，從而進一步降低了整個人-機系統的安全性。在規定的時間和規定的使用環境下，由于信號設備發生故障而使系統處于限制狀態的概率應該是很小的。”這是一種更廣義的故障-安全理念，強調了從整個系統的安全性出發來考慮故障-安全的實現，而不是僅僅考慮信號設備本身，也應考慮信號設備本身故障導向安全后，對整個系統安全性的影響。

2.3 GB/T 28809

在《軌道交通 通信、信號和處理系統信號用安全相關電子系統》（GB/T 28809-2012）（以下簡稱GB/T 28809）中，對故障-安全給出的定義如下：“結合在產品設計內的一種觀念，即發生失效事件時產品導向或維持在安全狀態”。

在GB/T 28809中同樣對安全狀態進行了定義：“繼續保持安全的狀況”。

GB/T 28809要求，設備在正常條件下、故障影響下，以及外界影響下的運行，都應滿足安全要求。針對故障-安全方面，強調的是故障影響下的運行要求，包括以下3個方面：

1）對于SIL3和SIL4系統來說，當可識別的任何一種單一隨機硬件故障發生時，應保證其安全；

2）單一故障的檢測間隔應滿足檢測時間的要求，并在滿足要求的時間內進入或達到安全狀態；

3）有危害的多重故障，其檢測時間也應滿足要求，并在檢測到多重故障后進入或達到安全狀態。

GB/T 28809對故障檢測的定性要求與TB/T 2615基本一致，但GB/T 28809給出了故障檢測的量化計算方法，以及對雙重、三重故障檢測時間間隔方面的要求，而且明確要求SIL3/SIL4系統在單點故障發生時，應處于安全的狀態。

2.4 GB/T20438

眾所周知，GB/T 28809標準是以GB/T 20438為基礎標準而制訂的鐵路行業標準，需要注意的是，在GB/T 20438中提到，“并沒有明確地使用故障-安全的概念”。然而，如果能夠滿足標準中相關條款的要求，則“故障-安全”的概念和“本質安全”的原則可能被應用，并且采用這些概念是可接受的。

2.5 本質安全

本質安全（Inherent Safety）指設備、設施或生產技術工藝含有的、內在的能夠從根本上防止事故發生的功能。在安全儀表行業中較多的使用了本質安全。

本質安全一般包括兩種安全功能：

1）失誤-安全功能：在操作者操作失誤的情況下，不發生傷害和其他事故。

2）故障-安全功能：設備或工藝等在故障條件下，能夠短時間繼續工作或進入安全狀態。

在軌道交通發展的初期，復雜電子器件未大量應用，普遍使用具有能夠排除有害故障模式的器件，比如鐵路常用的信號安全繼電器就具有本質安全的特性。

在GB/T 28809中提到，本質安全可作為故障-安全的一種實現機制，并給出如下的解釋 ：“這種技術允許一個安全相關功能由單個對象執行，前提是假定對象的所有可信失效模式均為非危害的”。

2.6 相關概念

故障發生后，除了導向安全的處理外，還有一些其他的處理原則，列舉如表2所示。

表 2 故障后的處理Tab.2 Handling after failure

現代化的基于計算機的高速鐵路信號系統，已經普遍采用了故障-安全機制和故障-容錯機制，隨著自動駕駛和感知技術的應用，應從整個系統安全性保障出發，綜合考慮故障-軟化、故障-被動運行技術，實現大系統的故障-安全，最大程度的實現高可靠運營，不中斷地提供安全的服務。

3 安全狀態和系統安全

3.1 安全狀態

故障導向安全，可以分成幾個層面，比如設備層面、產品層面以及系統層面。故障以后導向安全，必然涉及系統和設備各層級的安全狀態的識別。

應該指出的是，故障-安全并不等同于故障-停止(fail stop)，一般來說，檢測到緊急情況后使列車停止運行，在大部分場景下是安全的，但在某些場景下則是不安全的，如：列車發生火災時將車停在隧道中。

安全狀態實際上是一個相對的概念，在進行安全分析的時候，應說明所在的具體場景，有些系統并不是在所有的情況下只對應一個安全狀態。

如軌道電路模塊，對外驅動軌道繼電器來表示軌道的出清和占用狀態，軌道電路模塊發生故障時，驅動軌道繼電器落下作為安全狀態 ；聯鎖設備采集該繼電器接點的狀態，軌道繼電器吸起時認為軌道是處于無車占用的空閑狀態，軌道繼電器處于落下狀態時，認為有車占用，考慮以下軌道繼電器處于落下狀態（安全狀態）但處于不同場景的情況，如表3所示。

表 3 軌道電路故障-安全場景Tab.3 Track circuit fail-safe scenario

表3中，情況1和3軌道繼電器在有車占用區段時落下，軌道繼電器狀態與實際占用狀態一致，沒有風險 ；情況2指的是區段空閑，軌道電路模塊本身的故障導致軌道繼電器落下，在所分析的場景下，沒有風險 ；情況4的分析場景是某區段當占用時即開始倒計時，倒計時結束，進行進路解鎖的操作，如果車未駛入所在區段，但軌道模塊故障時，軌道繼電器落下，倒計時會錯誤提前開始，從而造成進路提前解鎖，存在安全風險，在這種場景下，軌道繼電器落下作為安全狀態是不合適的。

針對第4種場景，實際一般采取以下方法來提高安全性：一是結合相鄰區段的順序相繼占用條件，而不采用單一區段占用的條件來啟動解鎖倒計時，避免倒計時的錯誤啟動 ；二是采用開路式軌道電路，這種軌道電路的安全狀態與閉路式軌道電路是相反的，可以在這種場景下適用。

3.2 安全狀態識別

如3.1節所述，安全狀態應區分不同場景來識別分析，而不是籠統地只定義一種安全狀態。

如3.1節的舉例，列車檢測到緊急情況，需要停車時，系統的安全狀態可能有如表4所示的幾種情況。

表 4 安全狀態舉例Tab.4 Safe state example

3.3 人因考慮

如TB/T 3177中所提到的，設備故障后將操作權轉移到人時，由于人的可靠性比設備低很多，操作人員的介入， 實際上降低了整個人-機系統的安全性。

操作人員介入后，一般會降低整個系統的安全性，為了保證系統的整體安全性，信號設備的功能應具有較高的可靠性。換言之，在規定的工作時間內和規定的工作條件下，信號設備應該盡量避免由于故障而進入限制態。

提高設備的可靠性，除從可靠性角度考慮外，還應從故障容錯（fault tolerant）的理念出發，采用fail-operational，fail-soft的方式，在設備故障后，采用故障軟化、降級運行等技術，降低操作人員介入導致的風險，而不是將完全的設備為主直接切換為完全的人員操作。如圖1所示。

降低人員介入風險的另一個措施是給操作人員提供足夠的安全信息，以減少操作錯誤導致的風險。如TB/T 2615中所規定的，對操作人員的誤操作應盡可能予以防止和給出故障表示。在TB/T 3482中也提到：對于每小時容許失效危害率大于1×10-5的功能，雖然沒有直接的安全完整性要求，同樣對安全性提升有很大的幫助，只要合理可行，應通過這些功能為安全功能提供二次防護，以減輕安全功能失效后果的嚴重性，如人機對話層的報警和提示。

3.4 風險降低原則

安全定義為不存在不可接受的風險，為了實現安全，必須降低風險，降低風險的原則和方法如圖2所示。

圖2右側給出的是風險降級按優先級依次采用的技術和手段；左側給出故障-安全的3種實現方式，以及從廣義的系統安全性出發，系統安全設計需要考慮的幾個方面。

風險降級優先選擇固有安全設計，固有安全設計不可行時，采用主用的防護裝置來降低風險，主用防護裝置失效時，可以在降低性能的前提下，采用降級的運行模式，依賴輔助防護裝置運行，但仍不需要大量的操作人員介入；輔助防護裝置失效時，操作人員介入，此時系統仍應該盡可能的提供對操作錯誤的防護，原因如3.3節所述，操作人員的介入是新的危險源，且出錯的概率較高，必須加以防護；最終所有防護裝置失效時，只能依賴于人工操作。

4 總結和展望

故障-安全是鐵路信號行業保證安全行車的重要安全理念，理解并運用故障-安全概念，有效地對安全狀態進行識別，才能有效實現故障-安全的要求。近年來高速鐵路、城市軌道交通發展迅速，列車運行密度、運行速度不斷提升，鐵路運行的高速度、以及城市軌道交通的高密度，無人駕駛的引入，使得運營風險也攀升到新的高度，故障-安全理論的應用也應從設備層面上升到系統層面，從開發安全的設備，提升為開發安全的系統，采用多重的安全防御技術來降低風險，為安全設置多道防線，實現縱深防御。