跨座式单轨交通 ATP与位置检测系统设备的安全技术应用
2010-07-30杨明王焱
杨 明 王 焱
北京大成通号轨道交通设备有限公司 100044 北京
*助理工程师 **高级工程师
伴随着计算机化数字处理技术广泛应用到铁路信号中,对安全的关注焦点愈来愈多地集中到如何确保风险最低容限原则(ALARP)的问题上来,不仅需要统计非安全性故障几率,更加重要的是采用先进的安全标准和安全技术解决实际操作问题。
研究一个安全过程时不难发现,在不确定风险和安全保障所能提供的有效解决方案之间所采用的安全技术方法是非常重要的。不能忽略任何设计都会受到所建立的系统影响,也会由于统计上的原因而有缺陷,但一个正确的安全方法能够带来对安全更大的信赖。
1 发展的故障-安全概念
传统故障-安全的核心由信号安全继电器产生。铁路信号工程中的安全继电器由重力装置构成,当磁芯失磁时,足够大的重力确保继电器处于释放状态。重力作用可以无条件信赖,认识上可以将导向安全理解成 “有事前已知的约束条件”和 “降低能量的状态倾向”。
技术发展必须赋予故障-安全更加广泛的概念,传统意义上对安全的无条件信赖被大量的有条件信赖所取代。例如,继电联锁被更先进的计算机联锁所取代,软件的故障-安全由危险概率体现。因此,故障-安全概念的表述发展为,众多故障的积累效应及某种组合次序会引发失效发生,而失效所产生的危害风险可能导致事故,对该失效的危害程度、发生频次风险的预测、控制和防护能力为安全。
2 安全标准
跨座式单轨交通 ATP与位置检测系统及设备的开发、设计过程执行了 GB/T21562-2008《轨道交通—可靠性、可用性、可维修性和安全性规范及示例》标准要求,这是确定 “安全需求”的基础。通过 RMAS风险预测 (PHA)分析,确定安全完整性等级 (SIL)。相关联安全标准有 IEC62279-2002《铁路应用—针对铁路控制和防护系统的通信、信号和处理系统软件》、IEC62425-2007《铁路应用—通信、信号及处理系统—安全电子信号系统》和 IEC62280-1-2002《铁路设施—通信、信号和处理系统—第 1部分∶在封闭的传输系统中有关通信安全》。
3 安全管理
3.1 安全管理流程
针对跨座式单轨交通 ATP与位置检测系统及设备的开发、设计过程执行了如图1的安全管理流程。
图1 跨座式单轨交通ATP与位置检测系统与设备安全管理流程
3.2 安全职责
跨座式单轨交通 ATP与位置检测系统为达到安全完整性等级,不仅确保随机失效完整性指标,还需要加强安全实现过程的管理,满足系统失效完整性。通过安全策划活动制定安全计划,在安全生命周期的各个阶段,有计划地、独立地由安全资质人员审核各个安全要素,批准确认资格必须授权。任何未经审核、批准确认的安全配置项都不得递交、转移。为了与安全能力相适应,安排定时、不定时的人员安全培训,形成 “安全文化”。
3.3 风险评估
针对跨座式单轨交通 ATP与位置检测系统及设备的安全分析,采用了 4种安全技术方法:组件、部件及元器件可靠性预计,故障树分析(FTA),RMAS预测分析(PHA、FMEA、PHZOP),故障报告分析及纠正措施(FRACAS)。识别、判别出码发生器、TD接收器、ATP主处理器模块、驱动模块和逻辑继电器为安全要素,安全完整性等级为 4级(SIL4)。通过分析得出的风险假设,形成危害记录表,伴随项目的进程进行监控。
3.4 风险控制
应该认识到,消除故障是安全保障的基础,没有故障就不会出现失效,没有失效就不会发生事故,无事故就带来了安全。因此,确保安全的有效措施在于消除故障和降低故障风险。提高系统和设备的可靠性对提高系统、设备的安全性有贡献。
安全技术将故障分成随机故障和系统故障。首先,故障风险的控制必须建立在质量体系的基础上,跨座式单轨交通 ATP与位置检测系统及设备的随机失效完整性,就是该系统及设备避免危险随机故障的等级;系统失效完整性则是该系统及设备避免无法识别危险错误及其原因影响的等级。
避免随机故障的控制措施更多地采用技术方法,例如,选用高品质的电子元器件和优质的原材料,更多地采用经过实际安全工程验证过的故障-安全电路,运用可置信计算机原理设计软件产品等。而避免系统故障的控制措施将依赖于组织的安全管理能力。关键在于确保安全相关设计与审核人员的独立性,关键节点的评审由若干有资质的人员组成安全专家小组,以会议形式审核所递交来的安全配置项,任何有安全瑕疵的设计都将被遣返,符合安全需求的安全配置项才予以确认、批准,只有履行了批准签字的安全配置项才允许输出递转。
3.5 安全相关信息及沟通
众所周知安全工程项目需要完成多个目标,安全目标的制订和执行必须与其他目标协调考虑。只有被授予安全职责的员工都清楚了他们所承担的责任,接受其相伴风险,自觉地与他人协调工作来消除或降低风险,才能够高效率地工作。安全管理的重要职责就是能够准确、及时和完整地将影响安全的信息传递。交流是重要的,无论正式还是非正式的方式,关键是创造交流的氛围。确保该信息管道的双向性,不但安全管理层能够向执行人传达,更重要的是影响安全的信息能够反映到安全管理层。
跨座式单轨交通 ATP与位置检测系统及设备项目在执行中的协调工作还包括了紧急条件下的处理预案。
4 安全论据
为了安全认证评估,增强轨道交通用户对所提供的系统与设备的安全信心,针对跨座式单轨交通ATP与位置检测系统及设备提供安全论证,以安全证据为基础,从几方面进行阐述:系统或设备定义、质量管理报告、安全管理报告、技术安全报告、相关安全例证和结论。
在系统或设备定义中,运用安全技术工具失效模式与影响分析 (FMEA)、故障树分析 (FTA)、风险评估检查表和可能性-严重性矩阵等方法识别危险,确定设计过程的安全活动,主要证据是 4类主要文件:安全计划、安全需求说明书、安全分析报告和安全检查表。
质量管理证据以文件形式,提供在质量体系基础上的全部项目生命周期管理活动过程,内容包括:文件与记录,项目实施计划、设计联络记要、设计及变更评审、文档和实物控制等。
安全管理证据以文件形式,提供基于安全配置项的全部管理活动过程,内容包括:ATP与位置检测系统安全计划、ATP单元安全需求书、位置检测单元安全需求书、故障树分析、危害风险评估(PHA)、危害与操作研究 (PHZOP)、故障与失效记录分析等。
技术安全证据以文件和实物方式,提供针对安全配置项的详细设计文件、图纸和测试安全分析等。技术安全证据中软件安全为重要内容,故障-安全原理更多体现在概率方式,消除或降低软件风险所采取的安全措施应该从需求分析和方案阶段就予以高度重视,制订置信原则,技术方法上采用相异冗余、闭环检测、健康链路和硬件防护的方法,最终依靠持续的测试验证,以迭代增量的方式不断优化。
结论部分列出了安全论据中所有的假设条件,尤其是那些影响安全的假设都经过了验证,明确剩余风险和需要进一步解决的问题,和对未来可预见风险的推荐措施。
5 结论
依托 《跨座式单轨 ATP与位置检测控制技术及产业化》课题,通过采用上述安全技术的应用,在质量管理框架基础上建立安全管理措施,保障该课题的可靠性、可用性、可维修性和安全性(RAMS)等级要求,尤其保障了安全完整性等级(SIL),提高了该项研究成果应用的安全信心,同时符合了第三方安全认证的要求。
[1] ISBN 978-0-9551435-2-6Engineering Safety Management(The Yellow Book).
[2] ISBN 5760-7:1991IEC1025:1990Reliabilityo fsystems.equipment and components-Part7:Guide to fau lt tree analysis.
[3] BS5760-5:1991Reliability of systems,equipment and components-Part 5:Guide to failure modes,effects and criticality analysis(FMEA and FMECA).
[4] BS5760-2:1994Reliability of system s,equipment and components-Part 2:Guide to the assessment of reliability.
[5] GJB/Z768A-98故障树分析指南.