鄧璇熾，蔣大明

（北京交通大學(xué) 電子信息工程學(xué)院，北京 100044）

近年來，我國大力發(fā)展城市軌道交通，而安全是城市軌道交通發(fā)展所面臨的重要問題，如果軌道交通信號(hào)系統(tǒng)等安全相關(guān)系統(tǒng)一旦發(fā)生危險(xiǎn)故障，將會(huì)導(dǎo)致重大的生命財(cái)產(chǎn)損失。IEC61508是IEC制定的電氣/電子/可編程電子（簡稱E/E/PE）的功能安全標(biāo)準(zhǔn)，它對(duì)于傳統(tǒng)的故障—安全概念，進(jìn)行量化分析，用安全完整性概念來評(píng)價(jià)安全性能。此標(biāo)準(zhǔn)提出了由概念階段到停用處理階段為止的整體安全生命周期中，各個(gè)階段的目的、范圍、要求的輸入和符合要求的輸出，為安全相關(guān)系統(tǒng)的設(shè)計(jì)、開發(fā)和評(píng)估提出了要求和依據(jù)。

1 IEC61508概述

IEC 61508是功能安全的一個(gè)基礎(chǔ)標(biāo)準(zhǔn)，對(duì)應(yīng)的國家標(biāo)準(zhǔn)是GB/T.20438。標(biāo)準(zhǔn)共分為7個(gè)部分。前面4個(gè)部分，作為功能安全的基礎(chǔ)。第1部分是一般要求；第2部分是具體的硬件要求；第3部分是具體的軟件要求；第4部分是標(biāo)準(zhǔn)中使用的定義和縮略語。后面的3個(gè)部分是對(duì)前面基礎(chǔ)部分的應(yīng)用指南和其使用的技術(shù)措施的概述。第5部分是確定安全完整性等級(jí)方法的示例；第6部分是第2、3部分應(yīng)用指南；第7部分是技術(shù)措施的概述。

1.1 安全生命周期

安全生命周期是安全相關(guān)系統(tǒng)實(shí)現(xiàn)過程中所必須的生命活動(dòng)，這些活動(dòng)發(fā)生在從一項(xiàng)工程的概念階段開始，直到所有E/E/PE安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)，以及外部風(fēng)險(xiǎn)降低設(shè)施停止使用為止的一段時(shí)間內(nèi)。整體安全生命周期如圖1。

在概念階段：對(duì)受控設(shè)備（簡稱EUC）及其實(shí)際使用環(huán)境進(jìn)行全面了解，明確相關(guān)法律法規(guī)的要求。

整體范圍定義階段：確定EUC及環(huán)境的范圍和風(fēng)險(xiǎn)評(píng)估的范圍。

危險(xiǎn)和風(fēng)險(xiǎn)分析階段：確定EUC和EUC控制系統(tǒng)的危險(xiǎn)和危險(xiǎn)事件及其相伴的風(fēng)險(xiǎn)。

整體安全要求階段：通過對(duì)確定的風(fēng)險(xiǎn)進(jìn)行必要的風(fēng)險(xiǎn)降低，確定安全完整性要求。為達(dá)到要求的功能安全，根據(jù)安全功能要求和安全完整性要求，為E/E/PE安全相關(guān)系統(tǒng)、其他安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低設(shè)施編制整體安全要求規(guī)范。

圖1 整體安全生命周期

安全要求分配階段：給E/E/PE安全相關(guān)系統(tǒng)、其他安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低設(shè)施分配其所要求安全功能及每個(gè)安全功能的安全完整性等級(jí)。

在整體計(jì)劃編制階段：進(jìn)行整體操作和維護(hù)計(jì)劃編制，整體安全確認(rèn)計(jì)劃編制和整體安裝和試運(yùn)行計(jì)劃編制。

E/E/PES實(shí)現(xiàn)階段：建立符合E/E/PES安全要求規(guī)范的E/E/PE安全相關(guān)系統(tǒng)。

整體安裝和試運(yùn)行階段：安裝E/E/PE安全相關(guān)系統(tǒng)，對(duì)E/E/PE安全相關(guān)系統(tǒng)試運(yùn)行。

整體安全確認(rèn)階段：確認(rèn)E/E/PE安全相關(guān)系統(tǒng)在考慮了按要求擬定的E/E/PE安全相關(guān)系統(tǒng)的安全要求分配后，滿足基于整體安全功能要求和整體安全完整性要求的整體安全要求規(guī)范。

整體操作、維護(hù)和修理階段：操作、維護(hù)和修理E/E/PE安全相關(guān)系統(tǒng)。

整體的修改和改型階段：在修改和改型過程中、過程后，保證E/E/PE安全相關(guān)系統(tǒng)具有合適的功能安全。

停用和處理階段：在EUC的停用或處理的活動(dòng)中、活動(dòng)后保證E/E/PE安全相關(guān)系統(tǒng)的功能安全適應(yīng)這種情況。

1.2 安全完整性等級(jí)

安全功能要求源于危險(xiǎn)分析，安全完整性要求源于風(fēng)險(xiǎn)分析。安全完整性的定義是：在規(guī)定的條件下和規(guī)定的時(shí)間內(nèi)，安全相關(guān)系統(tǒng)實(shí)現(xiàn)所要求的安全功能的概率。簡單的來說，安全功能要求是“做什么”，安全完整性要求是“做到什么程度”。在整體生命周期整體安全要求階段，通過對(duì)確定的風(fēng)險(xiǎn)進(jìn)行必要的風(fēng)險(xiǎn)降低，使殘余風(fēng)險(xiǎn)低于允許風(fēng)險(xiǎn)，從而確定風(fēng)險(xiǎn)降低因子，確定安全完整性等級(jí)。

2 安全完整性等級(jí)的確定

2.1 定性的方法

確定安全完整性等級(jí)的定性方法相對(duì)比較簡單，主要是依靠對(duì)于危險(xiǎn)事件發(fā)生的概率及其所造成后果的嚴(yán)重性進(jìn)行估計(jì)，從而確定安全完整性等級(jí)。它所需的數(shù)據(jù)較少，很大程度上取決于以往工程實(shí)踐數(shù)據(jù)庫的統(tǒng)計(jì)數(shù)據(jù)和操作人員的技術(shù)水平。常用的定性方法有風(fēng)險(xiǎn)圖法和風(fēng)險(xiǎn)矩陣法等。

風(fēng)險(xiǎn)圖法如圖2，是應(yīng)用最廣泛的定性方法。簡化的程序根據(jù)公式：

R=f·C

式中：R是沒有安全相關(guān)系統(tǒng)時(shí)的風(fēng)險(xiǎn)；f是沒有安全相關(guān)系統(tǒng)時(shí)危險(xiǎn)失效的概率；C是危險(xiǎn)事件的后果。

產(chǎn)生的4個(gè)風(fēng)險(xiǎn)參數(shù)是：危險(xiǎn)事件的后果（C）；頻率、暴露時(shí)間、危險(xiǎn)區(qū)域（F）；未能避開危險(xiǎn)事件的概率（P）；不期望事件的概率（W）。通過這4個(gè)參數(shù)的組合，確定必要的風(fēng)險(xiǎn)降低的要求，從而確定安全相關(guān)系統(tǒng)的安全完整性等級(jí)。W1﹤W2﹤W3﹤W4；PA﹤PB；CA﹤CB﹤CC﹤CD；FA﹤FB。

圖2 風(fēng)險(xiǎn)圖法

風(fēng)險(xiǎn)矩陣法分析原理與風(fēng)險(xiǎn)圖法近似，結(jié)合危險(xiǎn)事件發(fā)生的概率和其后果的嚴(yán)重性進(jìn)行估計(jì)，確定安全完整性等級(jí)。

2.2 定量的方法

定量的方法是通過對(duì)實(shí)現(xiàn)安全功能的子系統(tǒng)或者設(shè)備的失效概率的量化分析，得出安全功能平均要求時(shí)的失效概率PFDavg ，確定其安全完整性等級(jí)。定量的方法需要更多的資源和數(shù)據(jù)，但分析結(jié)果更加符合實(shí)際情況。

首先計(jì)算EUC和EUC控制系統(tǒng)在沒有防護(hù)因素時(shí)的風(fēng)險(xiǎn)Rnp

Rnp = Fnp·Cnp

式中：Fnp是沒有防護(hù)因素時(shí)危險(xiǎn)事件可能發(fā)生的概率；Cnp是沒有防護(hù)因素時(shí)危險(xiǎn)事件的后果。

通過必要的風(fēng)險(xiǎn)降低，確定允許風(fēng)險(xiǎn)Rt。根據(jù)

Rt = Ft·Cp

式中：Ft允許風(fēng)險(xiǎn)概率；Cp是具有防護(hù)因素時(shí)危險(xiǎn)事件的后果。

則安全防護(hù)系統(tǒng)必須將危險(xiǎn)率從Fnp降低到Ft。如果對(duì)于描述的特定情況中的固定后果Cp = Cnp，那么安全防護(hù)系統(tǒng)滿足必要的風(fēng)險(xiǎn)降低的要求確定的失效概率PFDavg，有PFDavg≤（Ft / Fnp）。

3 功能安全在軌道交通中的應(yīng)用

IEC61508作為基礎(chǔ)標(biāo)準(zhǔn)，采用一般的分析方法，適用于任何領(lǐng)域的電氣、電子可編程電子設(shè)備。城市軌道交通設(shè)備越來越多的采用E/E/PES。歐洲標(biāo)化組織以IEC61508標(biāo)準(zhǔn)為基礎(chǔ)，制定了軌道交通安全設(shè)計(jì)和評(píng)估標(biāo)準(zhǔn)EN50126、EN50128、EN50129和EN50159-1。EN50126針對(duì)軌道交通領(lǐng)域的應(yīng)用，定義了系統(tǒng)的可靠性、可用性、可維護(hù)性和安全性（RAMS），并且將RAMS的管理和要求與IEC61508標(biāo)準(zhǔn)的安全生命周期內(nèi)各個(gè)階段相對(duì)應(yīng)。EN50128則針對(duì)軌道交通的控制和防護(hù)系統(tǒng)的軟件的安全性，提出了相關(guān)的規(guī)范和設(shè)計(jì)標(biāo)準(zhǔn)。EN50129結(jié)合IEC61508的整體安全生命周期，描述了一個(gè)系統(tǒng)功能安全設(shè)計(jì)周期 “V”型圖如圖3，定義了鐵路信號(hào)系統(tǒng)安全驗(yàn)收和安全認(rèn)證的要求。

圖3 安全生命周期v型圖

4 結(jié)束語

IEC61508標(biāo)準(zhǔn)用技術(shù)手段改進(jìn)安全和經(jīng)濟(jì)功能。通過危險(xiǎn)分析和風(fēng)險(xiǎn)分析確定允許風(fēng)險(xiǎn)，通過必要的風(fēng)險(xiǎn)降低確定安全完整性等級(jí)要求。按照安全生命周期各階段的要求，設(shè)計(jì)、開發(fā)及維護(hù)軌道交通安全相關(guān)系統(tǒng)，為軌道交通的發(fā)展提供有力的安全保障。

[1] 李佳玉，員春欣. IEC61508功能安全國際標(biāo)準(zhǔn)及安全性分析[J]. 中國鐵路，2001（1）：44-45.

[2] 俞杭華，胡宗福，薛小平. 城市軌道交通信號(hào)系統(tǒng)安全完整性研究[J]. 大連交通大學(xué)學(xué)報(bào)，2008（6）：34-39.