全部博文(230)
分类:
2011-03-20 21:02:43
轨 道交通系统作为大容量公共交通工具,其安全性直接关系到广大乘客的生命安全,为保证该系统有计划、有组织、安全、高效地运行,需要有制定行车计划和组织行 车的行车组织系统、保障各个部门协调工作的通信联络系统及指挥列车按计划、安全、高效运行的信号系统。计算机技术在铁路信号域的应用,由于计算机设备的硬 件和软件十分复杂,要设计绝对安全的计算机系统十分困难,而计算机在铁路信号领域的应用,又有极高的安全要求[2]。
为此,美国、欧洲、澳大利亚和日本等国家和地区已建立了比较完善的安全评估和安全管理体系,制定了一系列切实可行的安全评估的技术标准。比如,英国工商部和健康安全部门提出了一个CASS[5]安全评估框架,并且成立了CASS公司,负责对评估员进行考核,监督评估过程。另外,国际标准化组织也十分关注轨道交通信号系统安全问题,提出了一系列标准,包括以IEC61508为代表的标准簇,以及ERTMS/ETCS、IEEE等国际组织也在关注轨道交通信号安全,提出了相应的规范和标准,如ERTMS/ETCS02S1266[6]、IEEE 1474.1- 1999[4]等。
IEC61508[7]是国际电子电工委员会(IEC)制定的《电气/电子/可编程电子安全相关系统的功能安全》国际标准,是进行轨道交通安全评估和论证重要的参考标准。目前欧洲各国铁路主要以EN(European)铁路标准为基准,依托第三方评估机构,对既有线和在建的项目进行安全性论证。我国台湾高速铁路尽管部分采用了日本设备,但也按EN 系列标准进行独立验证与确认[4]。
欧洲电气化标准委员会(CENELEC)[8]下属SC9XA委员会,制定了以计算机控制的信号系统作为对象的铁道信号标准,包4个部分:①EN-50126铁路应用[9]:可靠性、可用性、可维护性和安全性(RAMS)规范和说明;②EN-50129 铁路应用[10]:安全相关电子系统;③EN-50128 铁路应用[11]:铁路控制和防护系统的软件;④EN-50159.1铁路应用[12]:通信、信号和处理系统,其相互关系如下图所示.
IEC61508和EN 50126/EN 50129的概念是兼容的[13]。两者都是基于风险控制的方法,安全生命周期的概念、关于安全目标设置的方法也基本相同。但系统协议等级(EN 50126/EN 50129)、操作模式的使用(EN 50126/EN 50129)、RAM和安全的集成(IEC 61508只考虑安全)、安全案例概念(IEC 61508不详细涉及)略有差异。
IEC61508规范了电气/电子/可编程电子安全相关系统软硬件生存周期的各个阶段的任务和目标,提供一个制定安全需求规范的方法。其主要目标是 对所有包括软硬件在内的安全相关系统的元器件生命周期范围提供安全监督的系统方法; 提供确定安全相关系统的安全功能要求的方法;建立一个基础标准,使其可直接应用于所有工业领域,同时,亦可指导其他领域的标准,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等);让使用者和维护者放心使用以计算机为基础的技术; 建立概念统一、协调一致的标准。并且提出了安全生命周期和安全完整度等级(SIL,Safety Integrity Level)的概念。
EN50126标准[9]定义了轨道交通运输一般系统RAMS(Reliability,Availability,Maintainability and Safety,即可靠性、可用性、可维护性和安全性),在整个系统的生命周期内,给出了各个阶段RAMS的管理和要求。RAMS是衡量系统服务质量的一个重要特征。如果系统的可靠性和可维护性在系统给定的时间内能够满足要求,则系统的安全性和可用性将得到保证。为了达到规定的RAMS,必须针对影响RAMS的因素,在整个系统的生命周期内有效控制RAMS的影响因素,即在系统设计和实现阶段要考虑系统的随机故障和系统故障。
EN50129标准[10]适用于铁路信号应用中与安全相关的电子系统(包括子系统和设备)。可用于所有与安全相关的铁路信号系统、子系统或设备。标准建议对所有铁路信号系统、子系统或设备,都需要EN 50126和本标准中定义的危险分析和风险评估过程。该标准不仅适用于完整的信号系统的规范、设计、构建、安装、接受、运行、维护和修改/扩 展阶段,也适用于系统中子系统和设备。该标准定义了质量管理措施、安全管理措施、功能和技术安全措施以及安全接受和论证四个方面。对于安全案例,系统研究 开发人员应按照标准在整个系统研制开发生命周期内所要完成的质量管理、安全管理和相关的技术安全措施的实施。其中在安全管理方面需要进行全程的安全评估和 验证,进一步减少与安全相关的人为失误,减少系统故障风险。
EN50128[11]关注软件安全完整性等级的方法,并利用这些方法来提供满足安全完整性要求的软件。安全完整性通过在软件上加载广泛的安全考虑而达到安全的目的。该标准的大部分研究方向源自于IEC/TC 65第九工作组(Working Group 9, WG 9)的早期工作。WG 9的工作成果已成为软件安全系统的通用标准,现在则是IEC 61508标准的一部分。本标准同样包含了所有五个软件完整性等级,软件失效所产生的后果越严重,那么对软件安全完整性等级就越高。
EN50159.1标准[12],铁路应用:通信、信号和过程控制系统在铁路中应用第一部分:封闭传输系统中安全相关通信。这个标准适用于采用封闭传输系统实现通信目的的安全相关系统。对安全相关设备和传输系统的通信接口信息传输提出安全要求。
此外,ERTMS/ETCS、IEEE等国际组织也在关注轨道交通信号安全,并提出了相应的规范和标准。
ERTMS/ETCS 2000年欧洲轨道交通联盟与欧洲委员会针对欧洲轨道交通运输管理系统(European Rail Traffic Management System)中欧洲列车控制系统 (European Train Control System)的信号技术—简称ERTMS/ETCS—制定的系统RAM需求规范02S1266[6]。
IEEE关于CBTC需求规范1474.1- 1999[4]标准是为基于通信的列车控制CBTC (Communication Based Train Control)系统制定的功能和需求规范。CBTC是一种连续的、采用高效列车定位技术、不依赖于轨道电路的,采用连续、大容量、双向的车地数据通信技术的自动列车控制系统,即移动闭塞。该标准不但定义了ATP车载及轨旁、ATO、ATS系统的功能需求,而且定义了系统可用性〔包括可靠性和维修性)、安全性及列车间隔等要求。但由于CBTC 系统作为一种新技术尚在试验阶段,因此,标准中未提出具体的量化指标和验收准则。
在制定安全标准的同时,由于对信号系统安全的认知差别,目前欧洲形成了三种安全原则和理念,这些原则对划分系统安全完整度等级起着原则性作用,包括[10]:
①GAMAB (Globalement Au Moins Aussi Bon) ,法国的安全原则,对于所有新的交通运输系统必须提供最好的安全性能,至少也要与现有同类系统的安全性能相当。对于该原则,没对系统提供商提出具体的要求。
②ALARP (As Low as Reasonably Practicable) ,英国的安全原则,根据实际应用,尽可能降低故障率。它风险分成以下3类:①足够大的风险,不能接受:②足够小风险,可以忽略; ③介于以上两种风险之间的风险,必须采适当的、可行的、合理成本下的方法将其降到可以接收的最低程度。对于第3种风险,采用ALARP原则进行风险的减低,该原则的含义是采用尽可能低的成本、合理并且可行方法进行风险降低。
③MEM (Minimum Endogenous Mortality),德国的安全原则新系统的应用不能增加人员伤亡的概率。在发达国家,一般规定为 灾难性危险/人×年以内。
