楊 明 王 焱

北京大成通號(hào)軌道交通設(shè)備有限公司 100044 北京

*助理工程師 **高級(jí)工程師

伴隨著計(jì)算機(jī)化數(shù)字處理技術(shù)廣泛應(yīng)用到鐵路信號(hào)中,對(duì)安全的關(guān)注焦點(diǎn)愈來(lái)愈多地集中到如何確保風(fēng)險(xiǎn)最低容限原則(ALARP)的問(wèn)題上來(lái),不僅需要統(tǒng)計(jì)非安全性故障幾率,更加重要的是采用先進(jìn)的安全標(biāo)準(zhǔn)和安全技術(shù)解決實(shí)際操作問(wèn)題。

研究一個(gè)安全過(guò)程時(shí)不難發(fā)現(xiàn),在不確定風(fēng)險(xiǎn)和安全保障所能提供的有效解決方案之間所采用的安全技術(shù)方法是非常重要的。不能忽略任何設(shè)計(jì)都會(huì)受到所建立的系統(tǒng)影響,也會(huì)由于統(tǒng)計(jì)上的原因而有缺陷,但一個(gè)正確的安全方法能夠帶來(lái)對(duì)安全更大的信賴(lài)。

1 發(fā)展的故障-安全概念

傳統(tǒng)故障-安全的核心由信號(hào)安全繼電器產(chǎn)生。鐵路信號(hào)工程中的安全繼電器由重力裝置構(gòu)成,當(dāng)磁芯失磁時(shí),足夠大的重力確保繼電器處于釋放狀態(tài)。重力作用可以無(wú)條件信賴(lài),認(rèn)識(shí)上可以將導(dǎo)向安全理解成 “有事前已知的約束條件”和 “降低能量的狀態(tài)傾向”。

技術(shù)發(fā)展必須賦予故障-安全更加廣泛的概念,傳統(tǒng)意義上對(duì)安全的無(wú)條件信賴(lài)被大量的有條件信賴(lài)所取代。例如,繼電聯(lián)鎖被更先進(jìn)的計(jì)算機(jī)聯(lián)鎖所取代,軟件的故障-安全由危險(xiǎn)概率體現(xiàn)。因此,故障-安全概念的表述發(fā)展為,眾多故障的積累效應(yīng)及某種組合次序會(huì)引發(fā)失效發(fā)生,而失效所產(chǎn)生的危害風(fēng)險(xiǎn)可能導(dǎo)致事故,對(duì)該失效的危害程度、發(fā)生頻次風(fēng)險(xiǎn)的預(yù)測(cè)、控制和防護(hù)能力為安全。

2 安全標(biāo)準(zhǔn)

跨座式單軌交通 ATP與位置檢測(cè)系統(tǒng)及設(shè)備的開(kāi)發(fā)、設(shè)計(jì)過(guò)程執(zhí)行了 GB/T21562-2008《軌道交通—可靠性、可用性、可維修性和安全性規(guī)范及示例》標(biāo)準(zhǔn)要求,這是確定 “安全需求”的基礎(chǔ)。通過(guò) RMAS風(fēng)險(xiǎn)預(yù)測(cè) (PHA)分析,確定安全完整性等級(jí) (SIL)。相關(guān)聯(lián)安全標(biāo)準(zhǔn)有 IEC62279-2002《鐵路應(yīng)用—針對(duì)鐵路控制和防護(hù)系統(tǒng)的通信、信號(hào)和處理系統(tǒng)軟件》、IEC62425-2007《鐵路應(yīng)用—通信、信號(hào)及處理系統(tǒng)—安全電子信號(hào)系統(tǒng)》和 IEC62280-1-2002《鐵路設(shè)施—通信、信號(hào)和處理系統(tǒng)—第 1部分∶在封閉的傳輸系統(tǒng)中有關(guān)通信安全》。

3 安全管理

3.1 安全管理流程

針對(duì)跨座式單軌交通 ATP與位置檢測(cè)系統(tǒng)及設(shè)備的開(kāi)發(fā)、設(shè)計(jì)過(guò)程執(zhí)行了如圖1的安全管理流程。

圖1 跨座式單軌交通ATP與位置檢測(cè)系統(tǒng)與設(shè)備安全管理流程

3.2 安全職責(zé)

跨座式單軌交通 ATP與位置檢測(cè)系統(tǒng)為達(dá)到安全完整性等級(jí),不僅確保隨機(jī)失效完整性指標(biāo),還需要加強(qiáng)安全實(shí)現(xiàn)過(guò)程的管理,滿足系統(tǒng)失效完整性。通過(guò)安全策劃活動(dòng)制定安全計(jì)劃,在安全生命周期的各個(gè)階段,有計(jì)劃地、獨(dú)立地由安全資質(zhì)人員審核各個(gè)安全要素,批準(zhǔn)確認(rèn)資格必須授權(quán)。任何未經(jīng)審核、批準(zhǔn)確認(rèn)的安全配置項(xiàng)都不得遞交、轉(zhuǎn)移。為了與安全能力相適應(yīng),安排定時(shí)、不定時(shí)的人員安全培訓(xùn),形成 “安全文化”。

3.3 風(fēng)險(xiǎn)評(píng)估

針對(duì)跨座式單軌交通 ATP與位置檢測(cè)系統(tǒng)及設(shè)備的安全分析,采用了 4種安全技術(shù)方法:組件、部件及元器件可靠性預(yù)計(jì),故障樹(shù)分析(FTA),RMAS預(yù)測(cè)分析(PHA、FMEA、PHZOP),故障報(bào)告分析及糾正措施(FRACAS)。識(shí)別、判別出碼發(fā)生器、TD接收器、ATP主處理器模塊、驅(qū)動(dòng)模塊和邏輯繼電器為安全要素,安全完整性等級(jí)為 4級(jí)(SIL4)。通過(guò)分析得出的風(fēng)險(xiǎn)假設(shè),形成危害記錄表,伴隨項(xiàng)目的進(jìn)程進(jìn)行監(jiān)控。

3.4 風(fēng)險(xiǎn)控制

應(yīng)該認(rèn)識(shí)到,消除故障是安全保障的基礎(chǔ),沒(méi)有故障就不會(huì)出現(xiàn)失效,沒(méi)有失效就不會(huì)發(fā)生事故,無(wú)事故就帶來(lái)了安全。因此,確保安全的有效措施在于消除故障和降低故障風(fēng)險(xiǎn)。提高系統(tǒng)和設(shè)備的可靠性對(duì)提高系統(tǒng)、設(shè)備的安全性有貢獻(xiàn)。

安全技術(shù)將故障分成隨機(jī)故障和系統(tǒng)故障。首先,故障風(fēng)險(xiǎn)的控制必須建立在質(zhì)量體系的基礎(chǔ)上,跨座式單軌交通 ATP與位置檢測(cè)系統(tǒng)及設(shè)備的隨機(jī)失效完整性,就是該系統(tǒng)及設(shè)備避免危險(xiǎn)隨機(jī)故障的等級(jí);系統(tǒng)失效完整性則是該系統(tǒng)及設(shè)備避免無(wú)法識(shí)別危險(xiǎn)錯(cuò)誤及其原因影響的等級(jí)。

避免隨機(jī)故障的控制措施更多地采用技術(shù)方法,例如,選用高品質(zhì)的電子元器件和優(yōu)質(zhì)的原材料,更多地采用經(jīng)過(guò)實(shí)際安全工程驗(yàn)證過(guò)的故障-安全電路,運(yùn)用可置信計(jì)算機(jī)原理設(shè)計(jì)軟件產(chǎn)品等。而避免系統(tǒng)故障的控制措施將依賴(lài)于組織的安全管理能力。關(guān)鍵在于確保安全相關(guān)設(shè)計(jì)與審核人員的獨(dú)立性,關(guān)鍵節(jié)點(diǎn)的評(píng)審由若干有資質(zhì)的人員組成安全專(zhuān)家小組,以會(huì)議形式審核所遞交來(lái)的安全配置項(xiàng),任何有安全瑕疵的設(shè)計(jì)都將被遣返,符合安全需求的安全配置項(xiàng)才予以確認(rèn)、批準(zhǔn),只有履行了批準(zhǔn)簽字的安全配置項(xiàng)才允許輸出遞轉(zhuǎn)。

3.5 安全相關(guān)信息及溝通

眾所周知安全工程項(xiàng)目需要完成多個(gè)目標(biāo),安全目標(biāo)的制訂和執(zhí)行必須與其他目標(biāo)協(xié)調(diào)考慮。只有被授予安全職責(zé)的員工都清楚了他們所承擔(dān)的責(zé)任,接受其相伴風(fēng)險(xiǎn),自覺(jué)地與他人協(xié)調(diào)工作來(lái)消除或降低風(fēng)險(xiǎn),才能夠高效率地工作。安全管理的重要職責(zé)就是能夠準(zhǔn)確、及時(shí)和完整地將影響安全的信息傳遞。交流是重要的,無(wú)論正式還是非正式的方式,關(guān)鍵是創(chuàng)造交流的氛圍。確保該信息管道的雙向性,不但安全管理層能夠向執(zhí)行人傳達(dá),更重要的是影響安全的信息能夠反映到安全管理層。

跨座式單軌交通 ATP與位置檢測(cè)系統(tǒng)及設(shè)備項(xiàng)目在執(zhí)行中的協(xié)調(diào)工作還包括了緊急條件下的處理預(yù)案。

4 安全論據(jù)

為了安全認(rèn)證評(píng)估,增強(qiáng)軌道交通用戶對(duì)所提供的系統(tǒng)與設(shè)備的安全信心,針對(duì)跨座式單軌交通ATP與位置檢測(cè)系統(tǒng)及設(shè)備提供安全論證,以安全證據(jù)為基礎(chǔ),從幾方面進(jìn)行闡述:系統(tǒng)或設(shè)備定義、質(zhì)量管理報(bào)告、安全管理報(bào)告、技術(shù)安全報(bào)告、相關(guān)安全例證和結(jié)論。

在系統(tǒng)或設(shè)備定義中,運(yùn)用安全技術(shù)工具失效模式與影響分析 (FMEA)、故障樹(shù)分析 (FTA)、風(fēng)險(xiǎn)評(píng)估檢查表和可能性-嚴(yán)重性矩陣等方法識(shí)別危險(xiǎn),確定設(shè)計(jì)過(guò)程的安全活動(dòng),主要證據(jù)是 4類(lèi)主要文件:安全計(jì)劃、安全需求說(shuō)明書(shū)、安全分析報(bào)告和安全檢查表。

質(zhì)量管理證據(jù)以文件形式,提供在質(zhì)量體系基礎(chǔ)上的全部項(xiàng)目生命周期管理活動(dòng)過(guò)程,內(nèi)容包括:文件與記錄,項(xiàng)目實(shí)施計(jì)劃、設(shè)計(jì)聯(lián)絡(luò)記要、設(shè)計(jì)及變更評(píng)審、文檔和實(shí)物控制等。

安全管理證據(jù)以文件形式,提供基于安全配置項(xiàng)的全部管理活動(dòng)過(guò)程,內(nèi)容包括:ATP與位置檢測(cè)系統(tǒng)安全計(jì)劃、ATP單元安全需求書(shū)、位置檢測(cè)單元安全需求書(shū)、故障樹(shù)分析、危害風(fēng)險(xiǎn)評(píng)估(PHA)、危害與操作研究 (PHZOP)、故障與失效記錄分析等。

技術(shù)安全證據(jù)以文件和實(shí)物方式,提供針對(duì)安全配置項(xiàng)的詳細(xì)設(shè)計(jì)文件、圖紙和測(cè)試安全分析等。技術(shù)安全證據(jù)中軟件安全為重要內(nèi)容,故障-安全原理更多體現(xiàn)在概率方式,消除或降低軟件風(fēng)險(xiǎn)所采取的安全措施應(yīng)該從需求分析和方案階段就予以高度重視,制訂置信原則,技術(shù)方法上采用相異冗余、閉環(huán)檢測(cè)、健康鏈路和硬件防護(hù)的方法,最終依靠持續(xù)的測(cè)試驗(yàn)證,以迭代增量的方式不斷優(yōu)化。

結(jié)論部分列出了安全論據(jù)中所有的假設(shè)條件,尤其是那些影響安全的假設(shè)都經(jīng)過(guò)了驗(yàn)證,明確剩余風(fēng)險(xiǎn)和需要進(jìn)一步解決的問(wèn)題,和對(duì)未來(lái)可預(yù)見(jiàn)風(fēng)險(xiǎn)的推薦措施。

5 結(jié)論

依托 《跨座式單軌 ATP與位置檢測(cè)控制技術(shù)及產(chǎn)業(yè)化》課題,通過(guò)采用上述安全技術(shù)的應(yīng)用,在質(zhì)量管理框架基礎(chǔ)上建立安全管理措施,保障該課題的可靠性、可用性、可維修性和安全性(RAMS)等級(jí)要求,尤其保障了安全完整性等級(jí)(SIL),提高了該項(xiàng)研究成果應(yīng)用的安全信心,同時(shí)符合了第三方安全認(rèn)證的要求。

[1］ ISBN 978-0-9551435-2-6Engineering Safety Management(The Yellow Book).

[2］ ISBN 5760-7:1991IEC1025:1990Reliabilityo fsystems.equipment and components-Part7:Guide to fau lt tree analysis.

[3］ BS5760-5:1991Reliability of systems,equipment and components-Part 5:Guide to failure modes,effects and criticality analysis(FMEA and FMECA).

[4］ BS5760-2:1994Reliability of system s,equipment and components-Part 2:Guide to the assessment of reliability.

[5］ GJB/Z768A-98故障樹(shù)分析指南.