基于CENELEC铁路标准的列车自动防护系统车载设备研究与设计

第28卷第1期2006年2月铁 道 学 报

JOURNALOFTHECHINARAILWAYSOCIETYVol.28 No.1February2006

文章编号:1001-8360(2006)01-099-09

基于CENELEC铁路标准的列车自动防护系统

车载设备研究与设计

郜春海, 唐 涛, 燕 飞

(北京交通大学电子信息工程学院,北京 100044)

摘 要:列车自动防护系统(ATP)车载设备是保证列车行车安全的重要安全设备,必须按照相应的安全设计和评估标准进行系统的研究开发。欧洲已经制定了适用于铁路领域的安全系统设计和评估标准,简称为CEN-ELEC系列标准。文章通过国内现有信号系统的研发过程和CENELEC标准规定的研发过程的比较和分析,以列车自动防护(ATP)车载设备的安全设计为例说明我国建立轨道交通信号系统安全设计和评估体系的必要性和迫切性。

关键词:铁路安全;CENELEC标准;ATP;安全设计中图分类号:TP309 文献标识码:A

ResearchandDesignoftheATPOn-boardSystem

BasedonCENELECRailwayStandards

GAOChun-hai, TANGTao, YANFei

(SchoolofElectronicsandInformationEngineering,BeijingJiaotongUniversity,Beijing100044,China)

Abstract:TheATP(AutomaticTrainProtection)on-boardsystemisthevitalsafetyquipmemnttothesafety

oftrainoperation.Itmustbedevelopedaccordingtotherelatedsafetydesignandevaluationstandards.SuchstandardapplicabletorailwayoprationhavebeenformulatedinEurope,whicharecalledtheCENELECrailwaystandardsforshort.TheATPsystemdevelopmentprocessinChinawascomparedwiththatinEurope.ItisshowthatitisnecessaryandurgenttosetuptheChinesesafetystandardsforrailwaysignalingsystemR&D.Keywords:railwaysafety;CENELECStandard;ATP;safetydesign 未来20年,将是中国铁路快速发展的一个特殊时期。干线铁路将进一步提高速度,形成主干快速铁路网;多条200km/h的客运专线将要建设;青藏铁路也要建成通车,开始运营。为确保列车运行安全,需安装使用列车自动防护系统ATP(AutomaticTrainPro-tection),因此研制满足中国铁路发展需要的、符合国情和路情的、安全可靠的ATP系统势在必行。随着计算机技术的飞速发展,ATP系统已经广泛采用计算机、网络、通信技术。ATP系统的逻辑安全由系统的硬件和软件来保证。如何保证ATP系统整体的安全性,对ATP系统的安全要求、风险分析、风险评价以及进行严格的安全管理、确认和评估是必不

收稿日期:2004-12-26;修回日期:2005-07-04

基金项目:铁道部科技研究开发计划项目(2002X007)

作者简介:郜春海(1970$),男,江苏扬州人,讲师,硕士。E-mail:Chhgao@

可少的。必须有一套完善的信号系统的设计和评估标

准来保证信号系统的高安全性。

目前欧洲的铁路应用标准CENELEC为铁路信号系统的安全设计和安全评估提供了规范和依据,而我国在轨道交通信号系统方面的研究开发还没有一个规范和完善的标准和评估体系来保证基于计算机技术的信号系统的高安全性,目前还在采用原来基于硬件(特别是分立器件)的研究开发体制。

本文在介绍CENELEC标准的基础上,比较分析了我国目前信号系统与CENELEC的研发过程,以列车自动防护(ATP)车载设备(以下称ATP车载设备)的安全设计为例说明我国应当借鉴国际上安全设计和评估体系的经验,建立适合国情的、能与国际接轨的铁路信号系统安全设计和评估体系,来指导和规范我国,

100

铁 道 学 报第28卷

的安全等级,确保系统达到安全标准和要求,并能使中国的信号系统参与国际竞争。法和管理而得到的。

(2)RAMS的相互关系

一个系统的可靠性和可维护性在给定时间内如果能够满足要求,则系统的安全性和可用性将得到保证。

(3)达到RAMS的方法

为了达到规定的RAMS,必须针对RAMS影响因素,在整个系统的生命周期内有效控制RAMS的影响因素。也就是在系统设计和实现阶段要考虑系统的随机故障和系统故障。

(4)RAMS的管理,包括:

RAMS需求的定义;

对RAMS有影响的因素的评估和控制;完成RAMS任务的计划和实施;整个生命周期内的监督。

(5)标准的应用

在整个生命周期进行RAMS的管理,该标准针对每个阶段,给出应完成的RAMS任务,同时给出相关的具体文档和要求。1.2 EN50129标准[2]

1 CENELEC铁路标准

CENELEC铁路标准是以IEC61508国际标准[1]

为基础,吸收欧洲各国行之有效的安全技术,为计算机化的铁路安全防护系统制定的铁路标准,它们的相互关系和涉及到的具体领域见图1[1],应用范围是

:

EN50126铁路应用:可靠性、可用性、可维护性和安全性(RAMS)规范和说明。

EN50129铁路应用:铁路控制系统领域的安全相关电子系统。

EN50128铁路应用:铁路控制和防护系统的软件。

EN50159.1铁路应用:通信、信号和处理系统(在封闭传输系统中与安全相关的通信)。EN50121铁路应用:电磁兼容。

由于本文主要是研究系统设计的安全,在此主要以CENELEC标准中的EN50126、EN50129、EN50128为主进行讨论,当然在系统设计中对电磁兼容和通信要求同样考虑和遵守,EN50121对应的中国标准目前已颁布实施。1.1 EN50126标准[3]

该标准定义了系统的RAMS(reliability、availa-bility、maintainability、safety),即可靠性、可用性、可维护性和安全性,并且给出了系统的RAMS是建立在整个系统的整个生命周期范围内,指导性地给出了在整个生命周期内各个阶段RAMS的管理和要求。但在该标准中,未定义RAMS的具体定量目标。目前,该标准已上升为国际标准,标准号为IEC62278。

(1)系统的RAMS

RAMS已作为衡量系统服务质量的一个重要特征。RAMS作为一个系统长期运行的标志,是在整个这个标准定义了为保证安全相关的铁路信号电子系统/子系统/设备安全所必须满足的条件。这些条件包括:

质量管理措施:质量管理的目的是减少人为失误,进而减少系统故障产生的风险。

安全管理措施:对整个生命周期内的安全管理,规范程序和文档。

功能和技术安全措施:主要解释保证设计安全的技术原则和措施,提供相应的证据(如设计规则、计算、测试结果和安全分析等)。

安全接受和认证。

对于一个安全相关系统,必须提供前面的3个报告,才能进行第四步骤即安全接受和认证。

1.3 EN50128标准

由于在现代信号系统中计算机的采用(包括微机、单片机)越来越广泛,由软件来承担安全性需求的比重越来越大,因此软件安全性问题变得更加突出,单纯依靠原来的测试方法无法达到要求。为此EN50128针对软件的安全保证提出了相关的规范和设计标准。

在该标准中,对铁路控制和防护系统的软件进行了安全完善度等级(SIL)的划分,针对不同的安全要求制订了相应的标准,按不同等级对整个软件的开发、检查、评估、检测过程,包括对软件需求规格书、测试规格书、软件结构、软件设计开发、软件检验和测试、软硬件集成、软件确认评估、质量保证、生命周期、文档等提[4]

第1期基于CENELEC铁路标准的列车自动防护系统车载设备研究与设计

101

2 国内铁路信号系统研发过程与CENELEC

标准的比较分析

通过对国内普遍使用的信号系统研发过程和基于CENELEC标准进行的研发过程的比较分析,证明基于CENELEC标准的设计过程在保证系统安全上是规范的、有保障的。

2.1 国内铁路信号系统研发过程[5]

从20世纪80年代中后期,我国逐步将计算机控制技术应用到铁路信号控制系统,如通用式机车信号、微机联锁、ATP车载设备、轨道电路的研究开发和应用,为铁路的运输安全起到重要作用,但这些系统或设备的研究开发还是停留在原来研究开发的体制上,并没有随着计算机技术的发展采用相关的规范来保证这些复杂系统的开发研究,仍然采用原来基于设备硬件(分立器件)的研究设计方法进行。可以用图2来说明国内开发设计的过程。

全性和可靠性。

(3)系统测试

在系统或设备开发完成后,需要进行系统的测试。目前在国内的测试包括:

权威专家的测试。该阶段一般在技术审查或鉴定前完成,行业主管部门(省、部、市的科技主管部门)组织全国的本专业或相关专业的权威专家对系统进行详细的功能和故障测试,同时对系统的安全措施和策略进行分析。

独立机构进行系统安全功能测试。目前该阶段在微机联锁设备测试时,对系统或设备进行/黑箱0检测,检验系统的逻辑安全功能。

(4)现场试验

该阶段是为了验证研究设计的系统或设备在现场应用的可靠性和可用性,同时考核系统或设备的安全性。

(5)技术审查或鉴定

行业主管部门将组织全国的本专业或相关专业的权威专家和参加测试的权威专家对系统进行审查或鉴定。会上课题组必须进行项目的工作报告和研制报告,测试专家或测试机构提供相应的测试报告,另外课题组还必须提供该系统的各种型式试验报告、查新检索报告和现场应用报告等。权威专家们根据开发者提供的整个资料对系统进行讨论和评价。对于安全功能,开发者必须给出相关的故障安全技术措施资料。

(6)系统完善

根据权威专家技术审查、鉴定意见,对系统进行完善,其中主要包括安全功能的完善和系统加工工艺的完善。

(7)系统的培训和维护

在国内信号系统开发过程中,虽然对系统或设备的安全设计和管理没有一个完整体系来保证,但在整个过程中,有几个阶段是对安全设计有要求的,下面分别说明。

(1)技术条件

在进行技术条件的编写时,详细定义了系统要完成的设计原则、主要功能和指标,其中包括故障-安全原则和安全功能。

(2)系统的软硬件设计

根据技术条件的要求和指标进行系统的软硬件设计。该阶段主要包括硬件设计、软件设计、设计方案论证和系统的软硬件联调工作。这些任务全部为开发小组完成,对于系统的安全功能,课题组会根据项目情况采取相应的、适当的故障-安全技术措施来提高系统的在系统投入使用后,必须对现场技术人员和使用人员进行技术和使用培训,建立一个完善的维护体系,确保系统在整个运行中都有工作记录和故障记录。开发者对故障记录进行分析,以便进一步改善系统的性能;对于有安全隐患的设计必须立即进行修改。2.2 基于CENELEC标准的研发过程

CENELEC铁路安全设计和评估标准是随着铁路安全防护和控制的微机化、复杂化而制订的,分析CENELEC的安全设计和评估标准,可以看出在这些标准中详细地规定了铁路信号系统的设计过程和每个设计过程的安全要求,同时将这个过程定义成系统的生命周期。

系统的生命周期是指一个系统从初始概念到系统退役的整个过程的各个阶段以及各阶段完成的任务。

102

[3]

铁 道 学 报第28卷

监督等,如图3。

对于一个安全相关系统,在其整个生命周期内,各个阶段完成的任务不同,表1给出了系统生命周期各个阶段的具体任务和要求,以及RAMS任务。

表1 生命周期各阶段的任务

生命周期阶段

一般任务

建立系统的范围和目的

1.系统概念

定义系统概念

资金分析和可行性研究建立管理体系建立系统任务框架准备系统描述

2.系统定义和应用 条件

确定运行和维护策略定运行条件确定维护条件

确定已存在系统对其的影响

RAM任务

预期RAM的性能认定系统的RAM含义

为RAM评估以前的经验数据初步RAM分析设定RAM政策

确定长期运行和维护的条件确定已存在系统对RAM的影响

安全任务

制订安全政策制订安全目标

评估过去的经验数据初步危险分析安全计划概述定义THR标准

识别既有设施对安全的影响

系统危险和安全风险分析

3.风险分析

进行相关的风险分析

建立危险日志风险评估

系统要求分析指定系统整体要求

4.系统功能和要求

指定环境定义系统标准建立验证计划实施安全交接程序系统要求的分配指定子系统和设备要求定义子系统和设备要求履行计划进行设计和开发进行设计分析和测试

6.设计和实施

履行设计验证进行实施和评估

执行产品计划加工制造

7.加工制造

测试准备文档建立培训

8.安装

集成系统安装系统安全委托履行运行试用期进行培训

进行RAM分析说明开始维护培训

建立安装程序实施安装程序建立委托程序实施委托程序准备安全案例

指定定义RAM可接收标准建立RAM程序建立RAM管理

系统RAM的分配

指定和定义子系统和设备的RAM

通过分析、测试和数据评估实施RAM程序可靠性和可用性最佳维护体系后勤支持实施程序控制RAM的程序管理子合同和供应商的控制RAM测试

实施安全计划使用危险日志

通过阅览、分析、测试和数据评估来实施安全计划系统安全要求概述定义安全功能建立安全管理

分配系统安全目标和要求升级系统安全计划

5.系统要求和功能 分配

9.系统验证(包括安 全接收、委托)

第1期基于CENELEC铁路标准的列车自动防护系统车载设备研究与设计

续表1 生命周期各阶段的任务

生命周期阶段

一般任务

按照系统定义标准进行系统接收

RAM任务

评估RAM

103

安全任务

评估安全案例

10.系统接收

提供可接收的证明进入质保期连续试用(如需要)

11.运行和维护12.监督和检测13.修改或升级

长时间的运行考核维护、培训系统运行情况统计咨询、分析和评估制订修改和升级计划实施系统修改和升级制订系统退役计划

实施系统退役

RAM统计、分析

为修改或升级后的系统确定RAM

安全维护培训 安全统计、分析

修改或升级后的安全分析

14.系统退役

统或设备的整个生命周期内全程进行安全的设计和管理,为设计者和管理者提出各个阶段的任务和要求,并从文档规范上为系统的安全认证提供基础依据。

综上分析,我国可参照CENENLEC的安全设计和评估标准制订中国的铁路信号系统的安全设计和评估标准,以适应铁路信号系统计算机化的发展需求。

3 ATP车载设备的研究设计

[5]

ATP车载设备通过地车信息传输系统(轨道电路或应答器或无线通信等等)接收地面设备发送给列车的行车控制命令和线路信息,接收到的信息经接收单元译码、处理,然后传送给车载安全计算机。车载安全计算机根据接收到的信息实时计算列车的当前允许速度,将列车实际速度与列车允许速度进行比较,当列车实际速度接近计算的允许速度,ATP车载设备通过司机台上显示单元给出报警指示;当列车速度超过允许速度时,车载安全计算机则给出制动命令,通过控制输

2.3 比较和分析

通过前面的中国和欧洲基于CENELEC铁路标准的铁路信号系统研发过程的描述,可得出以下启示:

(1)在国内铁路信号系统的研究开发过程中,虽然有相关的设计过程和每个阶段的安全要求,但总体来说,对每个阶段的安全要求进行验证的操作性较差,一般只是开发设计者清楚整个系统的安全措施,将整个系统的安全审查和验证集中在短期或局限的测试、技术鉴定和现场试验结果上。这样做其实存在一定安全隐患,因为微机化的复杂信号系统单靠短期测试和试验是不能保证和证明其安全性的。

(2)CENELEC铁路安全防护系统设计和评估标准,是针对安全防护系统计算机化的特点制订的,在系

出接口单元控制列车制动机实施制动,使列车减速或停车,从而确保列车的行车安全。下面对ATP车载设备依据CENELEC标准进行研发设计时的安全管理、风险分析、安全完善度SIL确定和安全结构进行描述和分析。3.1 安全管理

对于ATP车载设备的安全管理,引入一个安全生命周期,即/V0字型系统安全生命周期,这个概念在其他标准中将其定义为一个系统的安全开发设计步骤。就是说对于系统的安全部分,在设计时按照该步骤进行设计,并且需要进行全程的安全评估和验证,它的概念也是参照EN50126标准,主要强调在开发过程中需要将开发设计初期和最后阶段综合考虑。目的是

104

铁 道 学 报第28卷

障风险,如图4所示。

初步危害分析(PHA);故障树分析(FTA);原因-效果图(CCD);Markov模型;事件树(ET);

共同原因故障分析(CCFA)。(5)系统的安全设计,包括:

运行错误的保护:针对系统的输入信号,必须经过严格的检测;

蓄意破坏的防护:ATP车载设备作为安全防护设备,必须有一定的防蓄意破坏措施;

分立器件单故障的防护:对灾难性的故障要么能检测,要么避免,或者明确说明;

集成电路单故障的防护:主要预防器件的永久故

ATP车载设备作为安全完善度等级(SIL)为SIL4的安全控制设备,在整个研发过程中按照CENELEN标准的要求开发并编写相应报告,主要内容有:

(1)ATP车载设备的系统安全计划,包括:制订整个安全生命周期内每个阶段的安全计划;安全计划变化后的说明;

各种文档的检查,要求文档格式符合标准的要求。(2)系统要求,包括:

划分ATP车载设备的安全功能和非安全功能,进行两者间接口的分析;

进行ATP车载设备的系统描述(包括框图);对功能进行划分,提出满足模块化要求的技术方案;

采用形式化或半形式化方法进行计算机辅助设计;

建立整个生命周期的风险危害日志;系统要求的各种文档:系统的框图描述;接口描述;

电磁兼容(EMC)描述;修改程序;维修手册;制造加工文档;使用文档。(3)系统组织,包括:

在课题组内进行安全标准的培训和学习,保证每个研究人员具有安全设计的意识和能力;

保证相对的独立性。目前在一个课题组此部分难以保证,但基本流程是一样的。

:

障和短暂故障;

故障的检测:根据安全目标设定检测时间;

安全状态的保持能力:在ATP车载设备检测出危险故障后,使设备处于安全状态,如自动死机,实施紧急制动;

故障动态检测:在线自检、指示,故障时自动死机,保持在安全状态;

程序监督:检测、指示,故障时自动死机,保持在安全状态;

温升测量:温升检测,必要时自动死机,保持在安全状态;

软件结构:参照EN50128进行。

(6)系统和产品设计的验证和审核,包括:仿真、模拟;

系统功能测试;

在各种环境下功能测试;

应急免疫测试:比临界值还高的测试;故障率的计算;

文档检查;

确定加工过程不会危及安全:质量管理、安全管理组织;

测试设备:测试设备应由非系统设计人员设计;确定安装和维护过程不会危及安全:规定安装和维护要求,安全管理组织的审计;

通过应用高可信度描述:至少2年的运行经验。3.2 系统要求

在整个研发过程的安全管理中,系统的需求分析至关重要。通过分析国外高速铁路信号系统的特点,特别是欧洲列车运行控制(ETCS)系统的规范和标准,给出很多启示,列车运行控制系统正在向以车载设

第1期基于CENELEC铁路标准的列车自动防护系统车载设备研究与设计

105

实际,研究中国列车运行控制系统(CTCS)的发展战略,研究适于高速或客运专线的ATP车载设备,并且该车载设备的技术方案应符合中国铁路信号系统的技术路线。因此,必须对列车自动防护ATP车载设备的结构组成提出明确要求。根据铁道部CTCS技术发展政策,ATP车载设备组成包括以下4个独立模块结构,见图5。

出风险;(3)分析风险;(4)确定安全完善度等级(SIL),并且风险分析贯串于系统的整个生命周期的各个阶段。

安全完善度等级SIL(SafetyIntegrityLevel)是对系统所要求的安全性完善水平的一种定量指标,是将安全完善度根据安全功能失效的频率和产生的危险严重程度划分成的等级。一般分为4个安全完善度等级,SIL4为最高安全等级。

1级: 10-6h-1[THR<10-5h-1

2级: 10-7h-1[THR<10-6h-13级: 10h[THR<10h4级: 10-9h-1[THR<10-8h-1

其中THR(TolerableHazardRateperHourandperFunction),为每小时每项功能的可容忍危险侧失效率。

(1)可容忍风险目标THR

对任何一个安全系统而言,绝对安全是没有的,为确定能接受的危险可能性,目前国际有一些通行的原则(如ALARP、GAMAB、MEM等)对该指标提出了建议。即考虑采用一种非确定性的数字方法,提议采用一种原则性的建议来确定可容忍风险指标。(ⅰ)ALARP(AsLowAsReasonablePractica-ble)原则[2]

目前在英国实施,可以将安全相关系统的风险分成以下3类:

a.足够大的风险,不能接收;

b.足够小的风险,可以忽略;

c.介于以上两种风险之间的风险,必须采取适当的、可行的、合理成本下的方法将其降到可以接收的最低程度。

对于第三种风险,采用ALARP原则进行风险的减低,该原则的含义是采用尽可能低的成本,合理的、可行的方法进行风险降低。将以上三种风险在图6中进行描述。

-8

-1

-7

-1

[2]

(1)安全计算机模块。安全计算机是车载设备的核心,主要完成信息输入、比较、处理、比较和输出的任务,对列车实施安全控制。

(2)点式接收模块。接收地面点式设备(主要是应答器信息)发送到列车上的线路数据和临时命令信息。

(3)轨道电路接收模块。接收轨道电路的连续信息,与点式信息共同形成中国铁路的点连式列车自动防护系统。

(4)无线通信接收模块。与无线通信接口的车载设备,通过无线实现车)地之间的双向连续信息传输,为以后的基于无线通信的列车运行控制系统(CBTC系统)的实现提供接口条件。

3.3 风险分析和安全完善度等级(SIL)的确定

一般在确定系统需求后,需要将系统功能划分为安全功能和非安全功能,并针对每个安全功能进行风险分析,确定每个功能的SIL等级,进而确定系统的SIL等级。

风险分析是指用于估计威胁发生的可能性以及由于系统易于受到攻击的脆弱性而引起的潜在损失的步骤,是对一些不确定时间在一定的时间周期内所引起的潜在损失进行定量或定性的测量。风险分析是风险管理的重要组成部分,是对计算机信息系统实施安全等级保护的基本前提。风险分析的主要内容是对计算机系统硬件、软件、数据等资源脆弱性和形形色色威胁的分析,以及在此基础上的风险评估。

风险分析的最终目的是有的放矢地确保计算机信息系统的完整性、安全性、可用性和可控性,帮助选择安全防护措施并将风险降低到可接受的程度。一般说

来,(ⅱ)GAMAB(GlobalementAuMoinsAussi

[2]

106

铁 道 学 报第28卷

目前该原则在法国施行。该原则的意思是对于所有新的交通运输系统必须提供至少与目前已有相当系统一样好的风险等级的证明。对于该原则,没有对系统提供商提出具体的要求,可以进行定量或定性的确定。

(ⅲ)MEM(MinimumEndogenousMortality)原则

[2]

式中,Ni为系统或设备特定功能的使用次数(每年或每小时);HRi为风险模式下造成的危害率,可以作为THRi的参考值;Dj为系统或设备暴露在危险状态的时间;Eij为系统或设备在故障状态的时间;Cj为风险模式危害度;Fi为灾难事故的概率。

需要特殊说明一下风险模式危害度Cj,它是系统在特定严重性类别下的那些风险模式中的某一风险模式所具有的危害度数值。在EN50126标准中,针对风险模式危害度作了以下定义,见表2。

表2 风险模式危害度

暴露在危险中的人员数量风险模式危害度Cj

11

1010-1

目前该原则在德国施行。该原则的意思是确定系统的最小内在死亡率。在发达国家,一般将其规定在RM=2@10-4灾难性危险/(人#年)。

对于一个新的交通运输系统来说,一般有以下定义:

R1[10-5 灾难性危险/(人#年); R2[10-4 灾难性危险/(人#年); R3[10

-3

10010-2

10001000010-3

10-4

在计算出每个风险的IRF后,需要与行业权威部门制订的单风险容忍目标Ri进行配合。

-5

灾难性危险/(人#年);

灾

对于铁路运输系统的可容忍目标为Ri[10

难性危险/(人#年),另外考虑到铁路运输中的信号系统的高安全性,在一般系统分析和评估中将信号系统的可容忍目标定义为Ri[10-6灾难性危险/(人#年)。

(2)风险树分析

风险树分析法是一种演绎的风险分析法。首先要根据系统的结构和功能确定风险树的顶事件。ATP车载设备是一种保证行车安全的设备,应当将ATP车载设备失去安全防护功能作为风险树的顶事件。图7分析了ATP车载设备故障的风险树。

[5,6,7]

IRFi[Ri=10-6(2)

得出要满足该目标可容忍度下的HR[THRi,则单风险的THRi就得到确定。在得出每个安全功能的THRn后,取其中的最小值作为一个子系统或设备的THRs,即

THRs=min[THR1,THR2,THR3,,,THRn](3)

SILs=max[SIL1,SIL2,SIL3,,,SILn](4)对照标准的THR范围,就可确定系统的SIL等级。

(3)ATP车载设备的SIL[5,8,9]

按照上面ATP车载设备的风险树分析,可以对每个功能的每个事件进行详细的风险树分析,逐步细化到每个功能。以ATP车载设备完成其中一个功能HR1:红灯防冒进功能为例,来具体分析该功能的THR1和SIL。

先设定ATP车载设备的基本参数:

①安装ATP车载设备的列车,每小时在线运行遇到红灯的最大次数为4次(估计值),每次遇到红灯进行处理的时间为80s,设备的处理周期为100ms,则ATP车载设备处理红灯安全防护功能的总次数为4@(80/0.1)=3200,故设Ni=3200次/h-。

②当ATP车载设备出现故障后,由于ATP车载具有强大的自检功能,很快就能检测出故障,检测出故障后立即实施紧急制动,使列车停车,因而ATP车载设备处于危险状态的时间Di设定为最大5s,在停车后列车ATP车载设备处于故障状态的时间设定为Ei=4h,该4h为ATP车载设备的故障检测和修复时间(考虑到回段处理等过程)。

③由于ATP车载设备出现安全故障,则其危害根据上面的分析方法,可以对风险树的树枝进行逐步分析,最终对每个风险进行估计,可以用以下公式来描述单点风险率IRF。IRFi=

所有危险H

6

Ni{(HRi@(Dj+Eij))

j

事故A

6

k

Ckj@Fi}

k

(1)

第1期

-2

基于CENELEC铁路标准的列车自动防护系统车载设备研究与设计

107

中,则C1k=10,同时对于严重危险和危害程度较大的风险,认定Fik=1。

根据式(1)得出

IRFi=Ni(HR1@(D1+Ei)@

Ri=10

-9

-6

-9

后采取相应的操作模式进行行车。 /3取20是一个高可靠、高安全性冗余结构,在各国轨道交通和磁悬浮的安全控制设备中都有采用。

EC

1k

@Fik)=@1)[

3200@(HR1@(4+5/3600)@10

-2

4 结论

本文通过基于CENELEC标准的ATP车载设备研究开发说明制订或引进国际信号系统安全设计和评估标准的必要性和迫切性。由于轨道交通信号系统是一个综合安全控制系统,牵涉到的专业和学科非常广泛,建立一个信号系统的安全认证体系将是一个长期的工程,而安全设计和评估标准的制订和统一是基础,只有国内信号系统的研制单位、用户、安全评估机构在安全标准统一的情况下才能完成信号系统的安全评估和认证,否则,建立安全认证体系将会经历更长的时间。

参考文献:

[1]IEC61508-2000,FunctionalSafetyofelectrical/electronic/

programmableelectronicsafety-relatedsystems[S].[2]CENELECEN50129-1999,RailwayApplications:Safety

relatedelectronicsystemsforsignalling[S].

[3]CENELECEN50126-1999,RailwayApplications:The

specificationanddemonstrationofReliability,Availabil-ity,MaintainabilityandSafety(RAMS)[S].

[4]CENELECEN50128-1998,RailwayApplications:Software

forRailwayControlandProtectionSystems[S].

[5]郜春海.轨道交通安全相关系统的安全设计与评估体系的

研究[D].北京:北京交通大学,2003.

[6]CENELECRailwayapplications:SystematicAllocationof

SafetyIntegrityRequirements[R].UIC:Brussels,1999.prR009-004.

[7]YujiHIRAO,IkuoWATANABE.SafetyGuidelinesfor

ComputerisedTrainControlandProtectionSystems[J].

要求上式满足,则需要HR1[7.8@10,则认为THR1=7.8@10。通过和CENELEC标准SIL等

级表对照,ATP车载设备的SIL等级为SIL4级。以上只是对ATP防冒进功能的计算和分配,如果想得到整个ATP车载设备的评估,必须对每个功能的THRi和SILi进行分析。最后根据式(3)、式(4)的系统THRs和系统SILs进行整个ATP车载设备SIL的确定。

3.4 安全结构

在确定系统的SIL等级后,参照CENELEC标准SIL4的安全设计和管理要求进行系统的硬件和软件设计。

[5]

为了使ATP车载设备达到SIL4的安全等级要求,在系统硬件和软件设计时采用了/3取20的容错技术。所有输入信息、数据交换、信息比较、数据处理、输出比较、输出控制都是独立3重冗余设计,控制流程见图8。在任何时间,3个ATP车载设备通道都被供电和工作,在一个通道故障情况下,不影响设备的正常工作;只有当两通道故障时,系统才采取紧急制动停车,使系统处于安全状态(如死机状态或紧急制动)。停车

QRofRTRI,1998,39(4).

[8]J.BrabandRailwayapplications:AllocationofSILsforIn-teroperabilityLevelCrossingExample[R].UIC:Brussels,1999.SC9XAWGA10.

[9]AdtranzCompany.EstablishingSafetyIntegrityLevel

(SILs)fromfrequencyoffailure[R].UIC:Brussels,1998.

(责任编辑 江 峰)

本文来源：https://www.bwwdw.com/article/emxq.html