菇 翰 强 镰 镱 纂 轨道交通SIL4级产品危险源辨识方法* 燕 飞 、、、、0 (北京交通大学电子信息工程学院,100044,北京∥副教授) 摘要为了保证轨道交通系统的安全运营,应当在信号系 统投入使用之前,对其安全性进行评估和认证。安全认证首 当其冲的就是辨识和分析系统中潜在的事故致因因素,即危 险源。危险源是可能导致事故的条件或潜在原因。在北京 轨道交通示范工程亦庄线信号系统安全认证过程中,从系统 运行的具体场景出发,利用HAZOP(危险与可操作性分析) 方法辨识危险源,取得了很好的效果。 关键词轨道交通;信号系统;危险源辨识;危险与可操作 性分析 中图分类号X 913.4:U 23l Hazard Identification Method for SlL4 Product of Rail Transit Yan Fei Abstract As one kind of public transportation systems,rail transit is closely related to the safety of passengers.Since the signal system is designed to ensure the safety,efficiency and comfort of rail transit,it is necessary to aSSeSS the safe— ty of the signal system before rail operation.One important thing for safety assessment is to identify and analysis the potential risk factors in the system itself,namely the haz— ards.During the safety certification process of Yizhuang Signal System Demonstration Project in Beijing rail transit, the system operation is analyzed on the basis of the specific scene HAZOP method,the hazards are identified and good results have be:en achieved. Key words rail transit;signal system;hazard identifica— tion:SIL4:HAZ0P Author’S address School of Electronics and Information Engineering,Beijing Jiaotong University,100044,Beijing, China 为了描述一个系统和产品的安全性,IEC 61 508和EN 50129标准 中采用安全完善度SIL 描述安全性的高低。其定义为:在规定的时问周期 内在所有规定的条件下,安全相关系统成功地完成 *北京市交通行业科技项目(2012KJ一008) ・64・ 所需安全功能的概率。SIL4级是对于安全性要求 最高的等级,在轨道交通系统中,列车控制系统、计 算机联锁系统对于安全性的要求都达到了SIL4级 要求。为了保证轨道交通系统的安全,通常在线路 开通之前,需要对相关的安全产品和系统进行安全 评估和认证,而在安全评估的过程中对危险因素辨 识是非常重要的程序之一。 危险源是可能导致事故的条件或潜在原因。危 险源分析必须在项目的开始阶段进行,包括危险源 辨识和危险源分析。危险源辨识主要有两种方法: 一是总结以前的经验教训,参考相关产品的故障模 式和数据;二是对危险源进行开创性预测和估计,需 要相关的技术人员进行头脑风暴思考(Brain storming),尽可能发现系统的安全隐患。常用的危 险源辨识方法有检查表法、头脑风暴、危险与可操作 性分析(Hazard and Operability Analysis,简为 HAZoP)等。 1 危险源辨识主要方法 1.1直观经验法 适用于有可供参考先例、有以往经验可以借鉴 的系统。 (1)对照、经验法:是对照有关标准、法规、检查 表或依靠分析人员的观察分析能力,借助于经验判 断能力对评价对象的危险、有害因素进行分析的 方法。 (2)类比法:是利用相同或相似工程或作业条 件的经验和劳动安全卫生的统计资料来类推、分析 评价对象的危险、有害因素。 (3)案例法:收集整理国内外相同或相似工程 发生事故的原因和后果;参考相类似的工艺条件、设 备发生事故的原因和后果对评价对象的危险、有害 l 禹 睡 嚣 因素进行分析的方法。 1.2创造性的安全分析法 常用于复杂、没有事故经验的新开发系统。常 用的有事件树、HAzOP等。 危险源分析的目的是要辨识所有可能导致事故 的事件或状态。危害及HAZOP属于头脑风暴的 一种,是集合众人智慧去推断系统或产品在使用过 程中可能产生的危险源。其基本方法是以“假设这 个情况出现,那么后果将会如何What—If”分析法去 将潜在的危险源辨识出来。 这里提出的基于场景图的危险源辨识方法,是 通过对于轨道交通安全产品的运营场景进行描述, 来识别所有可预见的危险源,其中包括系统和子系 统的功能、系统内部与外部接口,以及系统对运营和 维护等所产生的危险源;基于辨识出的危险源,采取 消除或降低安全风险的措施,将其风险降低到一个 可容忍的水平,进而提高轨道交通安全产品的安全 性,使其能够满足国际轨道交通相关安全标准中 SIL4级要求。 在安全评估的过程中对危险因素辨识是非常重 要的程序之一,应按照科学性、系统性、全面性、预测 性的原则,对系统中存在的危险、有害因素进行辨 识,这才能保证安全评估结果的客观、科学,并具有 针对性。 在危险源辨识过程中,应从以下方面考虑:①危 险、有害因素的分布(分类);②危险、有害因素产生 的方式和途径;③危险、有害因素的影响范围;④主 要危险、有害因素。 2轨道交通信号系统 轨道交通信号系统是保证行车安全、提高区间 和车站通过能力以及编解能力的手动控制、自动控 制以及远程控制技术的总称。一般它由控制自 动列车监视(ATS)或调度集中系统(CTC)、车站控 制系统、列车自动防护/列车自动运行(ATP/ATo) 系统、联锁系统、地车信息传输系统和列车定位系统 等组成l_4J(见图1)。 ATS系统通常由行车指挥中心子系统和站、段 分机组成,采用计算机网络技术将中心和车站连成 一个局域网。其中包括运行图绘制、列车调度、培 训、通信管理等设备,系统主要完成列车自动识别、 列车运行自动跟踪和显示,运行时刻表或运行图的 编制及管理,自动或人工排列进路,列车运行自动调 誊 ; 匮 图1轨道交通信号系统构成框图 整,列车运行和信号设备状态自动监视,列车运行数 据统计、列车运行实绩记录,操作与数据记录、输出 及统计处理,列车运行、监控模拟及培训,系统故障 和故障恢复处理。 车站控制系统主要包括控制系统的分机设 备和车站的安全控制设备。在地铁系统中,车站站 台上设置的紧急关闭按钮和屏蔽门均属于信号系统 的车站控制设备。 ATP/ATo系统是整个信号系统的核心。它要 确保与安全相关的所有功能,包括列车运行、乘客和 员工的安全。一般将ATP/ATo系统分成地面区 域控制中心、轨旁设备和车载设备。轨旁设备将收 集到的相关信息传输给区域控制中心。区域控制中 心根据前方列车的运行情况和线路条件计算后行列 车的移动授权(Movement Authority,简为MA), 通过地车信息传输系统将MA传输给ATP/ATo 车载设备。车载设备根据接收到的MA采用连续 速度一距离曲线实时对列车进行控制,从而保证行 车安全。 联锁系统是保证列车行车安全的基础设备,主 要任务是按一定程序和条件控制道岔、信号,建立列 车或调车进路,实现与列车运行和行车指挥等系统 的结合,实现进路的人工或自动控制,显示区段占用 和进路状态、信号开放和道岔状态、遥控和站控等各 种表示和声光报警。 地车信息传输系统是实现地面控制中心与移动 体(列车)进行可靠、安全信息传输的系统,一般的传 输系统有:轨道电路、查询/应答器、感应环线、漏泄 电缆、无线扩频通信、无线波导等,或是上述几种方 式的组合和综合。 列车定位系统是保证列车安全运行、准确控制 的基础。一般信号系统中列车的定位系统是采用列 车自身定位和地面信标校正相融合的技术。列车通 ・6 ・ 嘲 嘲 嘲嘲/t/ii,I,I ,整体功能与原理,以及流程过程中的顺序关系。其 次,使用相关的引导词(Guide Words)和系统正常 运作偏差/偏离时可能产生的后果探索其中的隐藏 过车轴上的速度传感器或加速度计进行列车速度和 距离的测量,通过地面设置的绝对信标对列车测量 距离进行绝对校正,从而实现列车的准确定位。为 达到高标准的精度要求,可以在线路上多安装信标 或采用交叉环线等方法。 在以上系统中,ATP/ATO系统、联锁系统和列 危险源。最后,分析危险源发生的原因和带来的 后果。 3.1定义研究的范围及目标 车定位系统属于安全等级极高的安全控制设备,其 安全完善度等级S1L等级为4级,因此,在进行研制 开发时,必须采用安全相关系统的安全设计与评估 标准进行该类铁路安全相关系统的研究与设计,在 清晰地定义系统的边界、与其他系统的接口及 系统的工作环境。 采用运营场景图描述系统的工作方式和原理, 主要体现系统的整体功能与原理,着重体现系统的 正常流程,以及流程过程中的顺序关系,不要求形成 详细的流程图设计,突出说明该过程中涉及到的对 象在做什么,而不需要知道他是如何实现的。这里 以列车定位场景为例进行说明,详见图2。 生命周期的每个阶段完成相对应的安全证明文件。 3危险源辨识方法 首先需要明确系统的运行原理,采用运营场景 描述轨道交通运营中的工作流程,主要体现系统的 l轨道 l I L Zq l Df; U l l进辐 遥l 榭 日机选掸 H 一 届 柚 — B—广LOC模式J 、 、 歹 疼变 N 凄 到错误的数据库版本号 l l 魁 ④ / / 蓥嘉凝 H4申:请无法送达 数据库下载 lH版7本:不VO—B致Cg时t ̄,无l I 法更新数据库 l 删 卷 髫 瞩 路 . … /:、 l蜷 自 阁 错误的绝对位置 ~ … …… 童 ] l H 6 :DS应U黼: ̄1 _ 应答器接收E (73 .. 三 蓍 I崖 l HI,数据库失败 I 帽 螂 I 坩 L 图 I: 辇瑟 根 嚷辜赣蓄]、 芷置是否有划 、、、 据库中的位置 l直蓍 收 l霾 磊碹 .一 I列车轮径修正 三/ 一 错误的绝对位置 黧 嚣金 毖 错误修正 l形成 ̄列&车。准c确 / {l5:列车进入正线区域时,’ - Hl4:列车进入正线区域 蓉 嚣 。饿 詈 I‘ MM/没有给出“运行模式提氍”选择列车 著曩 H16 MⅧ蛤出“蔷 囊薯耄翼 选择‘ 鬻 的运行模式 。戤 譬 f、 \ l” l⑩ L堇 r— — ; —1 ,rl运行”蜢景 J 图2列车定位场景 列车断电再次上电后,原来列车的位置信息将 丢失,需要通过车载设备自身的测速测距与地面设 一个应答器的接收、连续的第二个应答器接收、列车 位置报告等过程。 3.1.1第一个应答器的接收 置的应答器进行列车位置的确定,主要体现列车第 ・66・ l 潮 皤 鲤 嘲 瞩隧 嘲 嘲 IIIIIIIIII圈IIIIIII (4)针对每个危险源及其产生的原因,确定有 关危险源的风险消除或控制措施。 进行危险源的识别时,使用表1所示的引导词 来触发团队成员提出问题,以找出系统/子系统的设 车载设备经过第一个应答器,则在数据库中确 定列车的基本位置,但是不能确定列车的运行方向。 接收的应答器信息应当包括(但不限于):应答器版 本号、应答器编号、进路信息等,对于列车定位主要 采用应答器版本号、应答器编号信息,进行点式控制 则需要进路信息。 3.1.2连续的第二个应答器接收 计特征与设计意图的偏差,促使团队成员识别系统/ 子系统执行所要求的功能时出现潜在故障,导致人 员伤亡、环境受破坏或运营服务受阻的情况或条件, 车载设备再次收到连续的第二个应答器后,需 要在数据库中检测是否是连续的第二个应答器,并 且确定列车走行距离与数据库的距离信息是否吻 合。通过第二个应答器的接收处理,可以确定列车 的运行方向,与第一个应答器结合处理得I!I ̄I车在 数据库中的位置。 也就是所说的危险源。 表1引导词 引导词 释义 否定(N。) 多于(More) 磊茬薷 雾的完全否定’没有完成行动 活 数量的增加 接收的应答器信息应当包括(但不限于):应答 器版本号、应答器编号、进路信息等,对于列车定位 少于(Less) 数量的减少 以及(As well as) 所有行动/活动,连同增加的都完成 部分(Part of) 只有完成部分的行动或活动 主要采用应答器版本号、应答器编号信息,进行点式 控制则需要进路信息。 3.1.3列车轮径自动修正 而是c h r than 荛鑫 相反(Reverse) 早于(Early) 墼栗器 鍪 对于从车辆段或停车场离开进入CBTC(基于 与所实现的行动/活动的逻辑相反 某些事物发生的比预计的时间早 通信的列车控制)区域的列车,一般在进入CBTC 区域的人口设置两个间隔一定距离的应答器进行列 车轮径的自动修正。 晚于(Late) 之前(Before) 之后(After) 某些事物发生的比预计的时间晚 某些事物发生在预计的次序之前 某些事物发生在预计的次序之后 车载设备在正线复位上电后,不进行列车轮径 的自动修正,而是沿用原来保留的列车轮径。 3.1.4列车位置报告 除了引导词外,根据具体的系统,应准备一份与 系统有关的关键词(此关键词根据具体的系统/子系 统可做变化)。表2所示的参数关键词,以辅助团队 成员进行危险源的识别。 表2参数关键词 序号 关键词 速度 车载设备通过数据库的版本比较、两个连续应 答器的接收,以及连续应答器的间隔距离得到列车 的准确位置,并形成列车位置报告信息LoC通知 给相应的ZC控制器,接收它的移动授权控制。 3.2危险源的识别 对每个运营场景依据如下顺序进行分析: (I)使用引导词和有关的参数关键字,对适用 的系统/子系统/接口/运营和维护的任务进行讨论 及澄清,以识别出由于有关的系统/子系统的功能而 温度 电流 电压 压力 出现的偏差,从而导致人员伤亡(包括轻伤、重伤和 死亡)、环境受破坏等的事宜,也就是所说的危险源。 (2)识别出每个所讨论的危险源产生的原因。 (3)识别出每个危险源可能导致的后果。 3.3危险源的记录 距离 在进行危险源识别时,将所发现的问题记录在 “危险源记录表”上(见表3)。 表3危险源记录表模板 序号系统 、 词 后果 现有的 控制措施 建议的 减轻措施 ・67・ III!III!i!IiiIiilii+ IiliIiiiIIIII 4危险源辨识结果 我们针对北京轨道交通示范工程亦庄线信号系 统进行了分析,共有50个运营场景,共辨识出342 iliiiliilii!i l ii 个危险源,经过分析和整理,最后确定将187个危险 源纳入危险源日志(Hazard Log),作为系统安全评 价的依据。表4是针对图2列车定位场景分析得来 的部门危险源记录表。 表4部门危险源记录表 序号系统秦 篆 一 O SH Othelrrthan N潜,N在 耋 N urql!( ̄后果 影 … 现制有措的施控 建轻议措的施减 冒: 1.对司机进行培 训,以提高驾驶技 能和故障处理 能力 2.制定运营管理 程序,并遵照执行 设计: 2 ATP s。 无线会晤建立失败 1.DCS故障 2.DSU故障 3.VOBC无线 接口故障 1.无线通信设计安全 层协议 列车不能以CB-2.无线通信采用双网维修: TC级别进入正冗余设计 线,晚点 3.通信设备、通信接口采用双机热备设计 4.DSU使用2乘2取 2平台 定期对ATP设备 进行维修 VOBC进 行数据库版1.DCS故障 。 r, ;: 到错误的数软件错误 据库版本号 1.误启动下载数 设计: 据库,延长列车出 1.应答器发送的版本 段时间(原本一致 号之后加CRC校验 版本号错误成不 2.无线通信设计安全运营: 致的) 层协议 制定维修管理程 2.线路临时限速 3.无线通信采用双网序,以对线路数据 未装入VOBC,造 冗余设计 更新时进行管理 成列车脱线等事 4.通信设备、通信接及确认 故(原本不一致的 口采用双机热备设计 版本号错误成一 5.DSU使用2乘2取 致的) 2平台 一列车进入正 ATP¥2-f13 V OBC ¨OtheI:rthan 误修正 霉 息 量鍪犁 是擘使列车脱轨巽 撞车 、 一定区间内 变大的轮 霎求运营方换轮或 叉 。八刚十匕 5结语 随着计算机技术在轨道交通信号系统中的广泛 应用,系统的复杂性和不确定性大大增加,传统的安 全技术和评估方法已经不能适应系统安全性的要 全设计与评估体系的道路,使我国的信号系统安全设 计与评估标准和规范早日与国际标准接轨,加速我国 轨道交通信号系统参与国际市场竞争的步伐。 参考文献 [I]燕飞,唐涛.轨道交通信号系统安全技术的发展和国外的研究 现状[J].中全科学学报,2005,15(6):94. [2] IEC 61508--2000,Functional safety of electrical|electronic /programmable electronic safety-related systems[S]. 29—2()()3.Railway applications!safety [3] CENELEC EN 501 求,需要我们从整个系统安全生命周期去考虑信号 系统的安全问题,而不仅仅在系统设计开发完成之 后出现问题再做补救。基于场景图和HAZOP方 法的危险源辨识方法使得我们在进行安全系统设计 时,便可以知晓系统中潜在的事故致因因素,便于在 系统设计时采取安全措施,为整个系统安全性的保 障打下了坚实的基础。 总之,通过安全标准和规范文件的研究和推广, related electronic systems for signaling[S]. 1-4] 郜春海,燕飞,唐涛.轨道交通信号系统安全评估方法研究[J]. 中全科学学报,2005,15(1()):74. [5] 陈燕申,陈思凯.城市轨道交通公共安全规划的内容与方法 rJ].城市轨道交通研究,2011(9):1. 切实可行地寻求一条建立我国轨道交通信号系统安 ・ (收稿日期:2011—09—26) 6R ・
