李彦华

(北京全路通信信号研究设计院集团有限公司，北京 100070)

1 概述

近年来，我国轨道交通发展迅速，保障列车安全可靠运行的轨道交通信号系统也逐渐由引入国外成熟产品发展为由国内公司自主开发研制。目前国际上比较成熟的轨道交通信号系统开发标准为欧洲的CENELEC EN50126/50128/50129/50159系列安全标准，我国已对该系列标准等同采用，建立了相应的国内标准体系，因此国内信号系统的开发也普遍采用该标准。依据该系列标准，安全相关系统可划分为不同的安全完整性等级（Safety Integvity Level，SIL），按照标准要求，在开发过程中不同的SIL等级必须满足不同的功能安全技术要求，达到相应的安全水平。如果安全相关系统的SIL等级选择不合理，例如SIL等级选择过低，可能会导致安全相关系统安全功能失效概率过高，从而导致受控轨道交通信号设备和车辆危险失控；而过高的系统SIL等级又会造成开发资源浪费，增加研发周期和成本，不能取得合理有效降低风险的效果。因此研发一个安全相关信号系统首先就是要确定该系统或者产品的SIL等级。本文以列车自动监控系统（ATS）的SIL等级确定为实例，对基于风险图方法确定产品的SIL等级过程进行介绍，包括方法的选择、安全功能的识别、风险图参数的分析，最终确定系统SIL等级。

2 方法的选择

根据EN50129标准定义，安全完整性等级表示针对系统失效时某系统仍可满足指定安全功能所要求的置信度等级数值。安全完整性被分为4个独立的等级。等级4为安全完整性最高等级，等级1为最低等级，等级0用于表明无安全性需求[3]。在确定系统SIL时，首先需要确定系统所具有功能的SIL，对系统功能进行SIL分析后可以获得一系列的功能SIL等级，当这些功能组成系统时，系统的SIL应当至少与最高功能SIL等级相同。

EN50129标准给出了依据THR值确定安全功能SIL等级的方法，但由于国家或铁路主管部门未给出ATS系统安全功能定量的THR指标，因此需采用其他方法来确定SIL等级。IEC61508标准第5部分给出一些确定安全完整性水平的方法，有定性和定量两类方法[4]。其中定性方法简单、省时、所需资源少，但依赖人的主观判断和经验；定量的方法能获得更加准确的安全完整性水平，但对于资源要求大，而特定过程的可靠数据缺乏，安全完整性选择过程相对比较耗时[5]。在ATS系统的功能和安全功能较明确，且对功能失效的潜在后果能够逐项进行分析的前提下，选择IEC61508标准中推荐的定性风险图方法对ATS系统SIL等级进行确定。

3 风险图方法介绍

风险图方法是基于功能的风险水平确定SIL等级，即通过分析某项功能的C、F、P、W指标，确定该功能的SIL等级。其中C、F、P、W为风险图分析的4个维度，分别为后果风险参数、频率和暴露时间风险参数、避免危险源的可能性风险参数、不期望发生的事件发生的可能性。各指标的具体含义如下。

1）C：后果风险参数

CA：轻微伤害；

CB：严重伤害或单人死亡；

CC：几人死亡；

CD：多人死亡。

2）F：频率和暴露时间风险参数

FA：不经常到经常之间；

FB：经常到持续之间。

3）P：避免危险源的可能性风险参数

PA：在一定条件下可能；

PB：几乎不可能。

4）W：不期望发生的事件发生的可能性

W1：发生概率非常小；

W2：发生概率低；

W3：发生概率相对较高。

即为IEC61508推荐的风险图，如图1所示。

图1 IEC61508推荐的风险图Fig.1 Risk map recommended in IEC61508 standard

进行分析时，将某项功能作为起始点，根据对各项参数的测算，沿着不同的路径进入下一个指标环节，直到最后确定位于X的哪个点，再根据W指标确定SIL等级。

4 SIL等级确定的过程

4.1 ATS系统功能

ATS列车监控系统作为地铁信号控制系统的一个重要组成系统，与计算机联锁、轨旁ATC设备、车载ATC设备等其他系统一起工作，实现信号设备的集中监控，并控制列车按照预先制定的运营计划在正线和停车场内自动运行。同时，ATS子系统作为一个行车信息监控系统的实现平台，与时钟、无线、综合监控、TCC、PIS、无线系统等接口，获取外部系统采集的数据，与信号系统的数据相综合，为控制中心和车站的行车调度/值班人员提供一个丰富的现场状况显示，供其制定调度决策。ATS通过接口向外部系统提供信号和列车运行的相关数据，供这些系统完成自身的工作。根据北京全路通信信号研究设计院集团有限公司（简称通号设计院）某项目《TIAS系统需求规范》描述，ATS系统主要功能如表1所示。

表1 ATS系统功能列表Tab.1 ATS system functions

4.2 ATS安全功能识别

通过该项目对需求的分配及功能安全分析可以发现，表1中的“信号设备操作”、“临时限速管理”等功能为安全相关功能，通过对系统功能和接口进行进一步分析可以明确，ATS并不直接控制列车运行，而是通过向联锁系统、ZC系统下达行车相关的命令来间接影响列车运行，因此ATS安全相关的功能主要如下。

为解决电网信息化水平评价的需求，提出建立信息化评价的基本思路和评价方法；针对电力企业特点，以促进信息化与业务深度融合，提升信息化建设成效为目标，初步确立了电力企业信息化水平评价指标框架和评价模型，为电力企业开展信息化水平评价、引导未来信息化建设，提供了参考。

1）在正线一级设备集中站，ATS向联锁系统下达信号设备的操作命令，包括信号机操作、道岔（转辙机）操作、区段操作、进路操作等。

2）ATS向联锁系统、区域控制中心（ZC）系统下达临时限速等命令。

经过进一步分析联锁、ZC系统对接收到的ATS控制命令的反应和防护措施，可以得出定性的结论为：

1）ATS的安全功能为：临时限速、计轴复位、道岔强扳、上电解锁、按钮解封、区段故障解锁。

2）其他功能，如进路取消、重开信号、信号关灯等，由于有联锁自身的防护，即使命令下达错误，也不会产生安全影响。

车站ATS系统安全功能数据流示意图，如图2所示。其中安全控制命令在正常情况下为图2中左侧实线路径，在ATS分机故障的情况下可以为右侧虚线路径。

图2 车站ATS系统安全功能数据流示意图Fig.2 Safety function data flow of station ATS system

4.3 风险图参数分析

通过对ATS安全功能进行失效模式、原因、影响、场景及后果分析，为后续潜在的风险后果等风险相关参数的确定提供依据。其中，通过影响和后果分析可确定后果风险参数，通过原因分析可确定频率和暴露时间风险参数，通过场景分析可确定避免危险源的可能性风险参数，通过综合分析确定不期望发生的事件发生的可能性，从而确定所有安全功能的SIL等级。

下面给出对 “计轴复位”安全功能进行的失效模式及影响分析的过程示例。需要注意的是本文分析过程基于通号设计院ATS相关的命令下达过程中需进行二次确认的典型数据流，即命令由ATS下达给联锁或ZC后，由联锁、ZC返回ATS进行二次确认。对不同公司的ATS系统进行分析时要针对具体的情况分析。

功能：计轴复位。

失效模式：向错误的区段下达计轴复位命令。

失效原因：操作人员命令下达错误（疏忽或故意）；ATS（控显或分机）的软件或硬件错误；ATS数据配置错误；ATS与联锁的通信传输错误。

直接影响：联锁收到错误的计轴复位操作命令。

场景分析：如果联锁要进行复位操作的区段为空闲状态，则无影响；如果联锁要进行复位操作的区段为计轴计数错误引起的占用，则复位是安全的；如果联锁要进行复位操作的区段为有车占用，此时联锁会要求进行二次复位操作，如果二次复位操作仍然指向该区段，则联锁会对该区段执行复位操作。若区段为道岔区段可能会因道岔转动造成挤岔、脱轨；如果联锁要进行复位操作的区段为有车占用，此时联锁会要求进行二次复位操作，如果二次复位操作仍然指向该区段，则联锁会对该区段执行复位操作，若操作员为其他列车办理进路包含该区段，则可能追尾或相撞。

后果：挤岔、脱轨、追尾和相撞。

4.4 安全功能SIL等级确定

根据对安全功能进行的上述安全分析，确定相关风险图参数，进行风险图分析[8]。

下面以“计轴复位”功能为示例进行风险图分析，确定SIL等级。

1）C指标的确定

根据安全功能失效模式及影响分析的分析，其后果为挤岔、脱轨、追尾、相撞，会造成多人伤亡，因此为CD。

2）F指标的确定

由于“计轴复位”操作仅在计轴出现故障的时才使用，可认为不经常暴露在危险区域中，因此为FA。

3）P指标的确定

通过场景分析可发现，若“计轴复位”操作确是因为计数错误引起，或者发生错误复位的区段是空闲状态，则可以避免该错误发生，因此为PA。

4）W指标的确定

由于“计轴复位”操作命令的下达会经过二次确认过程，实际发生的可能性很小，且历史上发生该不期望事件的概率很轻微，因此为W2。

综上，通过路径CD→FA→PA，可以确定为X4，再结合W2，因此可以确定该功能的安全完整性等级为SIL2。具体路径如图3中红色线条标示。

图3 “计轴复位”功能风险图Fig.3 Risk map of " axle counter reset" function

其他安全功能分析过程和结果类似。通过对ATS全部安全功能分析得到潜在的风险后果等风险参数及安全功能SIL等级，如表2所示。

4.5 系统SIL等级确定

通过以上分析可以看出，ATS各安全功能的SIL等级最高为2级，因此可以确定ATS系统的安全完整性等级为SIL2。

表2 ATS安全功能风险图参数及SIL等级列表Tab.2 Risk map parameters and SILs of ATS safety functions

需要注意的是，ATS承担的功能，与系统功能目标、安全功能分配、与其他系统的接口等密切相关，本文分析的只是一个典型应用场景，对于具体的ATS应从系统角度出发，进行完整系统性的分析。

5 总结

介绍轨道交通信号系统SIL等级确定的重要性和风险图分析方法，介绍ATS系统SIL等级确定的过程，首先确定系统的安全功能，然后对安全功能进行失效模式、原因、后果及场景分析，得到潜在的风险后果等风险图参数，根据各参数确定风险图路径，获得各安全功能的SIL等级，最后确定系统的SIL等级为SIL2级。目前通号设计院的ATS系统已按SIL2级开发完成，并在重庆5号线等轨道交通工程中得到应用。