楊 明 王 焱

北京大成通號軌道交通設(shè)備有限公司 100044 北京

*助理工程師 **高級工程師

伴隨著計算機化數(shù)字處理技術(shù)廣泛應用到鐵路信號中,對安全的關(guān)注焦點愈來愈多地集中到如何確保風險最低容限原則(ALARP)的問題上來,不僅需要統(tǒng)計非安全性故障幾率,更加重要的是采用先進的安全標準和安全技術(shù)解決實際操作問題。

研究一個安全過程時不難發(fā)現(xiàn),在不確定風險和安全保障所能提供的有效解決方案之間所采用的安全技術(shù)方法是非常重要的。不能忽略任何設(shè)計都會受到所建立的系統(tǒng)影響,也會由于統(tǒng)計上的原因而有缺陷,但一個正確的安全方法能夠帶來對安全更大的信賴。

1 發(fā)展的故障-安全概念

傳統(tǒng)故障-安全的核心由信號安全繼電器產(chǎn)生。鐵路信號工程中的安全繼電器由重力裝置構(gòu)成,當磁芯失磁時,足夠大的重力確保繼電器處于釋放狀態(tài)。重力作用可以無條件信賴,認識上可以將導向安全理解成 “有事前已知的約束條件”和 “降低能量的狀態(tài)傾向”。

技術(shù)發(fā)展必須賦予故障-安全更加廣泛的概念,傳統(tǒng)意義上對安全的無條件信賴被大量的有條件信賴所取代。例如,繼電聯(lián)鎖被更先進的計算機聯(lián)鎖所取代,軟件的故障-安全由危險概率體現(xiàn)。因此,故障-安全概念的表述發(fā)展為,眾多故障的積累效應及某種組合次序會引發(fā)失效發(fā)生,而失效所產(chǎn)生的危害風險可能導致事故,對該失效的危害程度、發(fā)生頻次風險的預測、控制和防護能力為安全。

2 安全標準

跨座式單軌交通 ATP與位置檢測系統(tǒng)及設(shè)備的開發(fā)、設(shè)計過程執(zhí)行了 GB/T21562-2008《軌道交通—可靠性、可用性、可維修性和安全性規(guī)范及示例》標準要求,這是確定 “安全需求”的基礎(chǔ)。通過 RMAS風險預測 (PHA)分析,確定安全完整性等級 (SIL)。相關(guān)聯(lián)安全標準有 IEC62279-2002《鐵路應用—針對鐵路控制和防護系統(tǒng)的通信、信號和處理系統(tǒng)軟件》、IEC62425-2007《鐵路應用—通信、信號及處理系統(tǒng)—安全電子信號系統(tǒng)》和 IEC62280-1-2002《鐵路設(shè)施—通信、信號和處理系統(tǒng)—第 1部分∶在封閉的傳輸系統(tǒng)中有關(guān)通信安全》。

3 安全管理

3.1 安全管理流程

針對跨座式單軌交通 ATP與位置檢測系統(tǒng)及設(shè)備的開發(fā)、設(shè)計過程執(zhí)行了如圖1的安全管理流程。

圖1 跨座式單軌交通ATP與位置檢測系統(tǒng)與設(shè)備安全管理流程

3.2 安全職責

跨座式單軌交通 ATP與位置檢測系統(tǒng)為達到安全完整性等級,不僅確保隨機失效完整性指標,還需要加強安全實現(xiàn)過程的管理,滿足系統(tǒng)失效完整性。通過安全策劃活動制定安全計劃,在安全生命周期的各個階段,有計劃地、獨立地由安全資質(zhì)人員審核各個安全要素,批準確認資格必須授權(quán)。任何未經(jīng)審核、批準確認的安全配置項都不得遞交、轉(zhuǎn)移。為了與安全能力相適應,安排定時、不定時的人員安全培訓,形成 “安全文化”。

3.3 風險評估

針對跨座式單軌交通 ATP與位置檢測系統(tǒng)及設(shè)備的安全分析,采用了 4種安全技術(shù)方法:組件、部件及元器件可靠性預計,故障樹分析(FTA),RMAS預測分析(PHA、FMEA、PHZOP),故障報告分析及糾正措施(FRACAS)。識別、判別出碼發(fā)生器、TD接收器、ATP主處理器模塊、驅(qū)動模塊和邏輯繼電器為安全要素,安全完整性等級為 4級(SIL4)。通過分析得出的風險假設(shè),形成危害記錄表,伴隨項目的進程進行監(jiān)控。

3.4 風險控制

應該認識到,消除故障是安全保障的基礎(chǔ),沒有故障就不會出現(xiàn)失效,沒有失效就不會發(fā)生事故,無事故就帶來了安全。因此,確保安全的有效措施在于消除故障和降低故障風險。提高系統(tǒng)和設(shè)備的可靠性對提高系統(tǒng)、設(shè)備的安全性有貢獻。

安全技術(shù)將故障分成隨機故障和系統(tǒng)故障。首先,故障風險的控制必須建立在質(zhì)量體系的基礎(chǔ)上,跨座式單軌交通 ATP與位置檢測系統(tǒng)及設(shè)備的隨機失效完整性,就是該系統(tǒng)及設(shè)備避免危險隨機故障的等級;系統(tǒng)失效完整性則是該系統(tǒng)及設(shè)備避免無法識別危險錯誤及其原因影響的等級。

避免隨機故障的控制措施更多地采用技術(shù)方法,例如,選用高品質(zhì)的電子元器件和優(yōu)質(zhì)的原材料,更多地采用經(jīng)過實際安全工程驗證過的故障-安全電路,運用可置信計算機原理設(shè)計軟件產(chǎn)品等。而避免系統(tǒng)故障的控制措施將依賴于組織的安全管理能力。關(guān)鍵在于確保安全相關(guān)設(shè)計與審核人員的獨立性,關(guān)鍵節(jié)點的評審由若干有資質(zhì)的人員組成安全專家小組,以會議形式審核所遞交來的安全配置項,任何有安全瑕疵的設(shè)計都將被遣返,符合安全需求的安全配置項才予以確認、批準,只有履行了批準簽字的安全配置項才允許輸出遞轉(zhuǎn)。

3.5 安全相關(guān)信息及溝通

眾所周知安全工程項目需要完成多個目標,安全目標的制訂和執(zhí)行必須與其他目標協(xié)調(diào)考慮。只有被授予安全職責的員工都清楚了他們所承擔的責任,接受其相伴風險,自覺地與他人協(xié)調(diào)工作來消除或降低風險,才能夠高效率地工作。安全管理的重要職責就是能夠準確、及時和完整地將影響安全的信息傳遞。交流是重要的,無論正式還是非正式的方式,關(guān)鍵是創(chuàng)造交流的氛圍。確保該信息管道的雙向性,不但安全管理層能夠向執(zhí)行人傳達,更重要的是影響安全的信息能夠反映到安全管理層。

跨座式單軌交通 ATP與位置檢測系統(tǒng)及設(shè)備項目在執(zhí)行中的協(xié)調(diào)工作還包括了緊急條件下的處理預案。

4 安全論據(jù)

為了安全認證評估,增強軌道交通用戶對所提供的系統(tǒng)與設(shè)備的安全信心,針對跨座式單軌交通ATP與位置檢測系統(tǒng)及設(shè)備提供安全論證,以安全證據(jù)為基礎(chǔ),從幾方面進行闡述:系統(tǒng)或設(shè)備定義、質(zhì)量管理報告、安全管理報告、技術(shù)安全報告、相關(guān)安全例證和結(jié)論。

在系統(tǒng)或設(shè)備定義中,運用安全技術(shù)工具失效模式與影響分析 (FMEA)、故障樹分析 (FTA)、風險評估檢查表和可能性-嚴重性矩陣等方法識別危險,確定設(shè)計過程的安全活動,主要證據(jù)是 4類主要文件:安全計劃、安全需求說明書、安全分析報告和安全檢查表。

質(zhì)量管理證據(jù)以文件形式,提供在質(zhì)量體系基礎(chǔ)上的全部項目生命周期管理活動過程,內(nèi)容包括:文件與記錄,項目實施計劃、設(shè)計聯(lián)絡記要、設(shè)計及變更評審、文檔和實物控制等。

安全管理證據(jù)以文件形式,提供基于安全配置項的全部管理活動過程,內(nèi)容包括:ATP與位置檢測系統(tǒng)安全計劃、ATP單元安全需求書、位置檢測單元安全需求書、故障樹分析、危害風險評估(PHA)、危害與操作研究 (PHZOP)、故障與失效記錄分析等。

技術(shù)安全證據(jù)以文件和實物方式,提供針對安全配置項的詳細設(shè)計文件、圖紙和測試安全分析等。技術(shù)安全證據(jù)中軟件安全為重要內(nèi)容,故障-安全原理更多體現(xiàn)在概率方式,消除或降低軟件風險所采取的安全措施應該從需求分析和方案階段就予以高度重視,制訂置信原則,技術(shù)方法上采用相異冗余、閉環(huán)檢測、健康鏈路和硬件防護的方法,最終依靠持續(xù)的測試驗證,以迭代增量的方式不斷優(yōu)化。

結(jié)論部分列出了安全論據(jù)中所有的假設(shè)條件,尤其是那些影響安全的假設(shè)都經(jīng)過了驗證,明確剩余風險和需要進一步解決的問題,和對未來可預見風險的推薦措施。

5 結(jié)論

依托 《跨座式單軌 ATP與位置檢測控制技術(shù)及產(chǎn)業(yè)化》課題,通過采用上述安全技術(shù)的應用,在質(zhì)量管理框架基礎(chǔ)上建立安全管理措施,保障該課題的可靠性、可用性、可維修性和安全性(RAMS)等級要求,尤其保障了安全完整性等級(SIL),提高了該項研究成果應用的安全信心,同時符合了第三方安全認證的要求。

[1］ ISBN 978-0-9551435-2-6Engineering Safety Management(The Yellow Book).

[2］ ISBN 5760-7:1991IEC1025:1990Reliabilityo fsystems.equipment and components-Part7:Guide to fau lt tree analysis.

[3］ BS5760-5:1991Reliability of systems,equipment and components-Part 5:Guide to failure modes,effects and criticality analysis(FMEA and FMECA).

[4］ BS5760-2:1994Reliability of system s,equipment and components-Part 2:Guide to the assessment of reliability.

[5］ GJB/Z768A-98故障樹分析指南.