铁路信号控制系统安全评估简介
2009在第45卷增刊
RAILWAY
铁道通信信号
2009
Vok45
Supplement
SIGNAⅢNG&COMMUNlCArn0N
铁路信号控制系统安全评估简介
张英’
摘要:首先介绍了铁路信号控制系统进行安全评估的必要性,其次介绍了相关的安全国际标准和国外安全认证体系,最后介绍了我国CTCS一3级列控系统安全评估的基本原则。关键词:铁路信号控制系统;安全认证;安全相关系统
Abstract:Firstlythisarticleintroducesthenecessaryforthesafetvassessmentoftherailwaysignalsys.ten,secondlytheinternationalstandardsandthesafetyassessmentsystemabouttherailwaysignalcontrolsystem.andthebasicprinciplesofthesafetyassessmentaboutCTCS一3TCCsystemfinally.Keywords:Railwaysignalcontrolsystem;Safetyassessment;Safetybelongs
由于铁路交通具有运量大、安全正点、快捷舒适及污染小等特点,因此建立高速交通系统就成为解决城市问交通拥堵问题的重要途径。人们对于铁路运输的要求越来越高,如何实现列车安全、高速、高效的运行,是目前铁路迫切需要解决的问题。
铁路信号控制系统就是运用技术手段,以指挥列车安全运行,保证行车安全,提高运营效率。为此,需专门考虑在系统出现故障,或操作人员不慎进行错误操作的情况下,系统仍能最大限度地保证安全。通过安全评估,可以系统地从计划、设计、制造、运行等全过程中,考虑信号系统的安全技术和安全管理问题,发现系统开发过程中固有的或潜在的危险因素,搞清引起系统灾害的工程技术现状,论证由设计、工艺、材料和设备更新等方面技术措施的合理性等。因此,学习国际安全标准和相关的安全评估、认证体系,结合中国铁路实际,确立我国铁路信号控制系统的安全评估原则,势在必行1
的精髓,制定行业标准。欧洲电气化标准委员会(CENELEC)下属SC9XA委员会,制定了以计算机控制的信号系统作为对象的铁道信号标准,包括以下4个部分:①EN50126铁路应用——可靠性、可用性、可维护性和安全性(RAMS)规范和说
明;②EN50128铁路应用——通信、信号和处理
系统一铁路控制和防护系统的软件;③EN
50129
铁路应用——安全相关的信号电子系统;④EN50159铁路应用——通信、信号和处理系统一安全
相关的通信系统。它们的相互关系和涉及到的具体信号领域如图1所示。
1相关国际标准
世界发达国家经过不断总结经验教训,完善管理,已形成了一整套科学的安全评估、认证、管理体系,制定了一系列切实可行的安全评估技术标准。
IEC
图1
EN50126、EN50128、EN50129和EN50159—1标准相互关系
61508是国际电子电工委员会(IEC)制
1.1IEC
61508标准
定的《电气/电子/可编程电子安全相关系统的功能安全》国际标准。它是进行轨道交通安全评估和论证的重要参考标准。
欧洲国家在宣传和介绍IEC61508国际标准的同时,以IEC61508国际标准为基础,吸收该标准
}北京交通大学硕十研究生,100044北京收稿日期:2009-04.Il
国际标准IEC
61508规范了电影电子/可编程
电子安全相关系统软、硬件生存周期的各个阶段的
任务和目标,提供一个制定安全需求规范的方法。
现已转化为GB/T20438,它由7个部分组成:第1部分,总的要求;第2部分,电气/电子/可编程电子系统的需求;第3部分,软件需求;第4部分,定义和缩略语;第5部分,确定安全完整性级别的方法实
一47—
铁道通信信号2009年第45卷增刊
例;第6部分,GB/T20428.2和GB/
T
20428.3应用指南;第7部分,技
术和措施概述。
其主要目标:①对所有的包括
软、硬件在内的安全相关系统的元器件生命周期范围,提供一个安全监督的系统方法;②提供一个确定安全相关系统安全功能要求的方法;③建立一个基础标准,使其可直接应用于所有工业领域,同时,亦可指导其他领域的标准,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等);④让使用者和维护者放心使用以计算机为基础的技术;⑤建立一个概念统一、协调一致的标准。
在IEC61508中有个重要概念:安全生命周期。它是指从方案的确定阶段开始,到所有的电气/电子/可编程电子安全相关系统、其他技术的安全相关系统、外部风险降低设备不再可用时为止,这个时间周期内发生为实现安全相关系统所必需的活动。61508描述的系统整体安全生命周期。
1.2
图2系统整体安全生命周期
图2是IEC
证提出了相关的规范和设计标准。在该标准中,对铁路控制和防护系统的软件进行了安全完善度等级的划分,针对不同的安全要求制定了相应的标准,按不同等级对整个软件开发、检查、评估、检测过程,包括对软件需求规格书、测试规格书、软件结构、软件设计开发、软件检验和测试、软硬件集成、软件确认评估、质量保证、生命周期、文档等,提出相应的程序与规范的要求。
3.EN
EN标准
1.EN
50126。该标准定义了系统的RAMS
(Reliability、Availability、Maintainability和Safety),即可靠性、可用性、可维护性和安全性,并且规定了安全生命周期内各个阶段对RAMS的管理和要求。但是在该标准中,未定义RAMS的具体定量目标。此处的生命周期和IEC61508中安全生命周期是一个概念。RAMS作为系统服务质量衡量的一个重要特征,是在整个系统安全生命周期内的各个阶段,通过设计理念、技术方法而得到的。为了达到规定的RAMS,必须针对前面的RAMS影响因
50129。这个标准定义了为了保证安全
相关的铁路信号电子系统/子系统/设备安全所必须满足的条件。这些条件包括:质量管理措施,安全管理措施。功能和技术安全措施,安全接受和沦证。作为一个安全相关系统,要做到系统的安全能够得到接受和论证,必须经过前3个步骤。EN50129就是针对一个安全事例来指导系统研究开发人员在整个系统研制开发生命周期内,所要完成的质量管理、安全管理和相关的技术安全措施的实施。对于安全管理,引入IEC61508提出的安全生命周期概念,就是说对于安全相关系统的安全部分,在设计时按照该步骤进行设计,并且需要进行全程的安全评估和验证,目的是进一步减少和安全相关的人为失误,进而减小系统故障风险。
素,在整个系统的生命周期内有效控制RAMS的
影响因素,即系统的随机故障和系统故障。EN50126要求在整个安全生命周期进行RAMS管理,针对每个阶段给出应需要完成的RAMS任务,同时给出相关的具体文档和要求。
2.EN
50128。由于在信号系统中采用计算机
(包括微机、单片机)越来越广泛,由软件来承担安全性需求的比重越来越大,因此软件安全性问题变得更加突出。为此EN50128针对软件的安全保
一48~
RAILWAYsIGNALUNG&COMMUNICATIONV01.45
Supplement
2009
2国外的系统安全评估体系
欧美国家开展铁路信号控制系统的安全研究比较早,已形成了比较完善的系统安全评估体系,如英国CASS安全评估框架,德国TuV评估体系等。它们主要以EN铁路标准为基准,依托第三方评估机构,对已有线路和在建项目的信号系统进行安全性论证。下面以英国CASS安全评估框架为例进行介绍。
1.英国铁路工程安全评估原则和方法。目前英国在铁路安全管理中普遍应用ALARP原则(As
LowAsReasonable
Practicable),它是将安全相关系
统的风险分成以下3类:①足够大的风险,我们不能接受;②足够小的风险,我们可以忽略;③介于
以上2种风险之间的风险,我们必须采取适当的、可行的、合理成本下的方法,将其降到可以接受的最低水平。
对于第3种风险,采用ALARP原则进行风险的减低。该原则的含义是采用尽可能低的成本,合理的、可行的方法进行风险降低。图3描述了以上3种风险和ALARP原则。
可忽略的风险
图3允许风险和ALARP原则
在图3的最上层,该部分的风险被认为是不可接受的风险,在任何情况下都不能,必须拒绝;在不可接受风险等级以下,采用ALARP原则进行风险的减低,且必须对风险减低而花费的代价进行评估,在风险和代价之间进行平衡;在可接受区域边缘以下的风险有些微不足道,可以忽略,不需要采用任何方式或方法去减低它,当然必须将该区域的风险始终保持在该等级水平上。
3
CTCS-3级列控系统的安全评估原则
目前,针对我国铁路CTCS-3级列控系统
(TCC),已确立如下安全评估原则。
1.独立性原则。为保证评估结果的客观性、
图4英国ALARP原则的应用结构
公正性和权威性,CTCS.3级列控系统评估工作由相对独立于生产、设计的质检部门、质量体系认证机构和铁道部授权的国内知名专家或审查组承担。
2.系统性原则。系统评估涵盖从方案论证、设计开发、生产制造、施工调试,直到试运行的工程实施整个过程,目的是为了进一步减小系统寿命周期内的安全隐患,从而降低CTCS-3级列控系统的安全风险。
3.整体性原则。对CTCS-3级列控系统特定应用的安全案例进行审查,包括所有核心部件、设备、子系统的必要信息和安全证据,进行全方位的整体评价。
4.评审和试验相结合的原则。系统评估除了对用户需求、系统需求、安全案例等相关文档进行审查外,更重要的是通过室内软、硬件测试检验、环行线实车运行试验,以及现场联调、联试和试运行等多种手段,来测试和验证CTCS-3级列控系统的功能及技术性能。
5.相互认可的原则。如果产品已获得安全认
可,可采用相互认可的做法,不需要重复评审。对于国外供应商供货的子系统、部件,应按照合同要求经过国外授权机构安全认可,提供安全案例、评估报告及安全证书;对于国内供应商供货的子系统/部件,需提供现行成果鉴定、技术评审、企业认定和产品认证等审批文件。
学习和了解系统安全评估的国际标准,有助于更好地理解铁路信号控制系统的安全评估与认证体系的必要性,建立科学的、适合我国铁路的安全评估理念,提高安全风险意识,促进我国铁路信号控制系统的研制开发和应用逐步走向规范化、系统化,从而切实保障铁路的运行安全。
★★★
..—.49—-—-
4结论
铁路信号控制系统安全评估简介
作者:作者单位:刊名:英文刊名:年,卷(期):被引用次数:
张英, Zhang Ying
北京交通大学,100044,北京
铁道通信信号
RAILWAY SIGNALLING & COMMUNICATION2009,45(z1)2次
本文读者也读过(8条)
1. 徐中伟. 黄银霞. 呼爱蝉. 陈帮兴 安全评估国际标准转化框架体系的研究[期刊论文]-铁道技术监督2008,36(1)2. 王红军. WANG Hong-jun CTCS3与GSM-R优化在郑西客运专线中的应用[期刊论文]-山西建筑2011,37(13)3. 赵阳. 张萍. 王鲲. Zhao Yang. Zhang Ping. Wang Kun 我国铁路信号系统安全评估的研究[期刊论文]-铁道通信信号2010,46(2)
4. 黄银霞. 孙超. 崔勇. 呼爱蝉 铁路信号系统安全评估体系构架的研究[会议论文]-20085. 顾恒涛 电力系统自动规划中智能技术的有效使用分析[期刊论文]-中国科技纵横2011(6)6. 彭军成 论当代我国铁路信号控制系统的发展趋势[期刊论文]-中国科技纵横2010(11)
7. 陈巧平. CHEN Qiao-ping 度洛西汀治疗广泛性焦虑症的对照研究[期刊论文]-中国临床实用医学2009,3(11)8. 《中国中西医结合杂志》稿约[期刊论文]-中国中西医结合杂志2008,28(1)
引证文献(1条)
1. 张素阳,窦道飞,苏欢乐 铁路信号集中监测系统中心网络[期刊论文]-铁道通信信号 2011(08)
引用本文格式:张英. Zhang Ying 铁路信号控制系统安全评估简介[期刊论文]-铁道通信信号 2009(z1)