江 明

(1.北京全路通信信号研究设计院集团有限公司，北京 100070；2.北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

1 概述

安全是铁路运输的永恒主题，拥有举足轻重的地位，也是铁路系统各专业各子系统研究的热点方向。针对铁路运营的风险问题，研究人员分别从列车运行冲突[1]、行车调度系统[2]、工务设备[3]、信号系统[4-5]、供电系统[6]、大型车站客运[7]等各个专业角度开展了风险分析。由于铁路各专业的相对独立性，跨专业的风险分析较少。本文聚焦行车安全和乘客安全，针对为保障列车安全运行所涉及的工务工程、机车车辆、信号系统等相关专业，采用故障树分析方法进行跨专业的风险分析。选取列车冲突、列车脱轨、相关人员伤亡作为故障树的顶事件，系统分析了影响行车安全和乘客安全的危险源。

针对风险分析的结果，在总结铁路信号系统已实现的安全功能基础上，提出利用信号系统遍布中心、车站、轨旁和车上的完整传感信息，通过不同专业间协同、车地信息综合集成的方式扩展信号系统的安全功能，对列车冲突、列车脱轨、相关人员伤亡等重大行车风险进行防护。面向扩展的信号系统安全功能，分析信号系统在物理安全、信息安全和功能安全等方面存在的威胁和问题，提出利用物联网、安全云、系统级故障—安全结构等安全保障措施来进一步提升信号系统的安全性。

2 铁路信号系统的特点及现有安全功能

铁路系统作为一个由复杂技术装备组成、在复杂环境中运行、完成具有复杂时空分布特征的位移服务的整体，由运输组织、机车车辆、工务工程、通信信号、牵引供电、旅客服务等多个子系统构成，是一个复杂的网络化巨系统。其中，工务工程、机车车辆、信号系统3 个专业的设备故障或操作错误都可能直接导致行车事故，因此这3 个专业的系统/设备作为运输核心装备，承担着保障列车运行安全的重担。

进一步分析工务工程、机车车辆、信号系统3大系统，能够发现工务和机车车辆两个系统的信息处于完全隔离的状态，二者均只能获取和分析处理各自的信息，无法与对方交互信息。信号系统是3大系统中唯一能够同时获取车上和地面的相关信息、并实现车地之间信息交互的系统，因而信号系统是使得移动装备与地面固定装备保持协调关系的关键系统，对列车的安全运行起到至关重要的作用。

信号系统作为铁路的“大脑与神经”，是一套用于消解列车运行风险、面向生命安全服务的专用工业控制系统，由中心设备、车站设备、轨旁设备、车载设备、通信网络等组成，包含车、地、环境、人因等多个结构因素，具有多层次、跨平台以及多输入等特点，是典型的安全苛求系统。信号系统具有遍布中心、车站、轨旁和车上的完整传感信息，且已形成一个整体的网络化结构，能够实现行车各种信息的采集、传输、处理、再生和管理，能够同时与工务、机车车辆两个系统进行信息交互，具备车地信息综合集成的能力。

从当前的技术发展阶段来看，信号系统具有保障行车安全、提高运输效率、提升运营管理水平、改善工作人员劳动条件、降低运行能耗等5 大功能[8]。随着信号技术的不断发展，信号系统越来越多地承担了从其他专业转移而来、涉及行车安全和乘客安全的安全功能。现阶段，信号系统通过采用列车占用检查、列车完整性检查、区间方向控制、闭塞控制、道岔控制、列车运行速度监控、临时限速控制等安全控制技术对道岔和列车进行控制，已经实现大量安全防护功能并已在铁路大面积应用，主要功能包括：平交道口的防护、追尾防护、撞车防护、侧线防护、列车速度控制与监督等。

3 基于专业协同的铁路信号系统安全功能扩展

本节采用故障树分析方法对影响行车安全和乘客安全的主要安全风险进行跨专业的综合分析，考虑了工务工程、机车车辆、信号系统3 大行车关键专业所涉及的风险。本文所指的运行安全是指狭义的安全，即对乘客生命安全带来直接影响的安全因素，因此仅选取列车冲突、列车脱轨、相关人员伤亡作为故障树的顶事件。牵引供电、旅客服务等其他专业的故障也会对铁路运营带来安全风险，但不会直接导致列车颠覆或人员伤亡，故不在本文讨论范围之内。

按照故障树的故障原因来分，影响列车运行的危险源主要包括：因人工错误或设备故障导致的列车冲突，如因停放列车或断钩车辆溜逸导致的不受控列车冲突，列车正面相撞、侧面相撞、追尾、与挡车器相撞等；因人为因素、线路故障、车辆故障、侵限异物、环境因素等造成的列车脱轨，如超速驾驶、钢轨损伤、车轮故障、泥石流、强风暴雨、着火爆炸等；因其他原因导致的相关人员伤亡，如车门防护错误导致乘客跌落、钢轨上的施工人员或行人受到撞击等。具体分析结果如表1 所示。

表 1 列车运行安全风险分析列表Tab.1 Safety risk analysis list of train operation

针对表1 中所列的危险源，工务工程、机车车辆、信号系统3 个专业都各自开展了大量保障列车运行安全的工作，分别建立了多种多样的信息传输通道、故障检测系统[9]。但是因为各专业间缺乏有效整合，没有实现完整的信息共享，未能形成合力为运输提供服务，所以效果有待改进，需要通过不同专业间信息协同的方式来加强。

如果仅从信号系统安全防护的角度来看，如本文第2 章所述，目前信号系统已经对部分风险进行了有效防护，具体防护情况如表1 所示。现阶段，信号系统能够对列车正面相撞、侧面相撞、追尾、与挡车器相撞以及超速驾驶的风险进行有效防护，能够对电气分离条件下的断轨、道岔四开等情况进行部分防护，对环境因素、邻线故障等风险通过调度员下达限速的方式进行部分防护，对车门开关进行部分防护。

但从表1 也可以清楚地看到，还存在很多影响列车安全运行的危险源未纳入信号系统防护范围。信号系统可以结合自身特点，通过与其他专业协同来综合车—地信息，实现车上故障和地面故障的联动分析，对这些危险源采取更为有效的防护措施。

在专业协同模式下，通过机车车辆、信号系统、工务工程3 个专业的协同，地面（工务）实时检测线路故障、侵限异物和环境影响，车上（机车车辆）实时检测车辆故障、侵限异物和环境影响；信号系统可以综合车地系统提供的检测信息，结合自身从中心、车站、轨旁和车上采集到的信息，根据故障情况自动计算限速或生成停车命令，并自动采取防护措施。3 个专业协同形成的新系统能够实时检测线路情况、车辆情况、环境、侵限异物（包括人员）等影响，对列车运行进行全程精准防护。举例来说，车上组件脱落目前仅由列车自行检测，如果未检出可能影响列车运行安全。而信号系统不仅可以利用列车自行检测的信息，还可以利用地面检测到的坠物信息，将两部分信息综合后可以有效提高组件脱落故障的检出率，保障列车安全运行。再例如，车辆空转打滑目前仅由列车自行检测，如果信号系统能够综合利用地面雨雪覆盖相关信息，则可以得到更为准确的判断结果，提高列车运行的安全性。

4 铁路信号系统的安全保障措施增强

如本文第3 章所述，信号系统经过多年的发展，已经承担了防止列车冲突和超速的安全功能，并且将继续承担更多涉及行车安全和乘客安全的安全功能。如何让信号系统承担起如此多的安全功能，是一个非常现实且非常重要的问题。

通常情况下，工业控制系统安全可以分成3 个方面，即功能安全、物理安全和信息安全。铁路信号系统作为一个典型的网络化、智能化工业控制系统，必须综合考虑物理安全、信息安全和功能安全，缺一不可。其中，信号系统的物理安全和信息安全是保障信号系统功能安全的基础，是实现运营安全的前提。由于信号系统的极端重要性，需要采取多种多样的安全保障措施进行增强。

4.1 物理安全

物理安全是减少由于电击、火灾、辐射、机械危险、化学危险等因素造成的危害。信号系统面临的物理安全威胁包括：自然威胁（如地震、洪水、暴雪、雷暴、风暴、龙卷风）、设施系统（如火灾、漏水、温度湿度变化、通信中断、电力中断、电磁泄漏）、人为/政治事件（如爆炸、蓄意破坏、盗窃、恐怖袭击、暴动）。

目前信号机房普遍采用了电源屏、共地接地系统、防雷、防火、空调、防水、防静电、防雷击、防鼠害、电磁波防护等防护措施，确保机房安全可靠。但是，信号系统的物理安全没有得到足够的重视，尤其是轨旁设备缺乏必要的监测手段。例如，无源应答器如果被偷走，目前在影响到列车运行之前没有手段获取其状态；再如，如果信号系统承担全程断轨检查的安全功能，也需要对布置于轨旁的断轨检查设备的完好性进行实时监测。建议采用物联网技术将位于机房、轨旁、车载等各种不同地点的不同类型设备的物理状态纳入监测体系。

此外，现阶段信号设备没有异地备份，当出现地震、洪水、电力中断等安全威胁时，信号系统将处于瘫痪状态，无法继续保障铁路系统安全运行。考虑到上述安全威胁出现的频率较低，为了平衡功能和造价，建议采用安全云的方式实现异地灾备，以全路或者路局为单位设置一套或若干套安全云平台，将对应的信号系统全部应用逻辑和应用数据都在安全云上备份部署。当本地系统因物理原因无法正常工作时，切换到安全云平台上运行，最大限度保证信号系统的可用性，实现故障快速恢复。

4.2 信息安全

在IEC 62443 中针对工业控制系统信息安全的定义是：“保护系统所采取的措施；由建立和维护保护系统的措施所得到的系统状态；能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据，也无法访问系统功能，却保证授权人员和系统不被阻止；防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划的操作。”铁路信号系统属于工业控制系统范畴，与传统的IT 系统有很多不同之处，主要表现为：系统对实时性要求很高，不能容忍延迟或无计划的中断事件发生；系统发生安全事件，可能会导致重大的行车安全事故，不仅危及个人生命、设备及环境，对社会的影响也极大。

信号系统在网络与接口安全、通信协议安全、现场测试与防护方案等方面都会涉及到网络与信息安全问题[10]。具体而言，信号系统在操作系统、通信协议、日志审计、外界设备、防火墙、入侵检测以及系统更新操作等存在一定的风险，可能会被攻击者利用，从而对系统造成损害[11]。

整体来说，国内外对铁路领域的信息安全问题研究都处于起步阶段。建议加快推进信号系统信息安全技术研究、标准体系建设和工程应用。

4.3 功能安全

从信号系统保障列车安全运行的角度出发，可以知道信号系统的功能就是根据行车计划，通过采集系统内部各设备状态，给出控制列车速度和道岔/道口的指令，其简化的处理流程如图1 所示。

图1 现有信号系统简化处理流程Fig.1 Simplified processing process of the existing signaling system

为了确保系统的技术安全，EN50129 给出了反应式、组合式和内在式故障—安全结构等3 种不同的故障—安全结构，国内外所有达到SIL4 安全完整性等级的信号设备都采用了上述3 种故障—安全结构中的一种或多种。但如果从信号系统整体的角度来看，系统目前采用的是开环控制的方式，没有采取任何故障—安全结构。也就是说，信号系统将所有保障列车安全运行的安全苛求功能都分配给了信号设备，一条线路上信号系统的安全性取决于该条线路上所有信号设备中安全性最差的那部分。当系统中任何单个设备出现处理错误时，均可能导致整体安全功能的丧失。

为了提高信号系统的整体安全性，可以参照SIL4 级安全设备的作法，采用上述3 种故障—安全结构的一种或多种。以采用反应式故障—安全结构为例，考虑采用C3 列控系统的列车发车场景，信号系统生成行车许可（MA）并监控列车运行，此时的系统结构如图2 所示，其中行车计划是信号系统的输入，CTC、CBI、RBC、ATP 作为信号系统的组成部分完成逻辑处理，输出给列车/司机和道岔。

图2 信号系统生成MA的处理流程示例（采用反应式故障-安全结构）Fig.2 Example of processing process of MA generation by signaling system (adopting reactive fail-safe architecture)

与现有系统不同之处在于，新系统在逻辑处理单元之外，增加了故障检测单元。系统在向列车和道岔输出控制指令之前，需要根据输入的行车计划对输出的结果进行检查。如果故障检测单元检测到任何不符合故障—安全原则的输出，则应切断输出，使得系统处于安全状态。我国CTCS-3 级列控系统中ATP 行车许可结合轨道电路信息[12]的做法可以视作本故障—安全结构的一个特例，对局部逻辑处理进行了故障检测，能够部分提高系统的安全性。

需要说明的是，本文仅提出了对信号系统增加故障检测单元的故障—安全结构，并没有限定其实现方式。此处所说的故障检测单元既可以属于信号系统本身，也可以单独存在；既可以对从CTCCBI-RBC-ATP 的整体逻辑处理过程设置一个故障检测单元，也可以对任何两个设备之间的逻辑处理过程设置独立的故障检测单元。

5 总结

安全是铁路运输适应经济和社会发展的先决条件，信号系统作为铁路的“大脑与神经”，必将越来越多地承担涉及行车安全和乘客安全的安全功能。信号系统具有遍布中心、车站、轨旁和车上的完整传感信息，且已形成一个整体的网络化结构，能够同时与工务、机车车辆两个系统进行信息交互，具备车地信息综合集成的能力。因此，通过专业间协同、车地信息综合集成的方式扩展信号系统的安全功能，必将成为铁路系统发展的趋势。

为满足更多安全功能所提出的更高安全要求，本文分析了信号系统在物理安全、信息安全和功能安全等方面存在的威胁和问题，提出利用物联网、安全云、系统级故障—安全结构等安全保障措施来全方位提升信号系统的安全性，希望能够从更广的视角为信号系统的发展提供新思路。