付 剛

（北京全路通信信號(hào)研究設(shè)計(jì)院有限公司，北京 100073）

鐵路行車要求鐵路信號(hào)設(shè)備在發(fā)生障礙、錯(cuò)誤、失效、人為失誤的情況下，應(yīng)具有導(dǎo)致減輕以至避免損失的功能，以確保行車安全，這一要求被稱為鐵路信號(hào)故障－安全原則。

鐵路信號(hào)的重要作用之一是保證列車運(yùn)行的安全，而傳統(tǒng)信號(hào)規(guī)定設(shè)備故障時(shí)把信號(hào)顯示變?yōu)樽屃熊囃Ｖ惯\(yùn)行的紅燈，以實(shí)現(xiàn)信號(hào)設(shè)備的整體性的故障-安全。但在實(shí)際設(shè)計(jì)運(yùn)用中，也意識(shí)到了“安全是一種概率”。

隨著可靠性理論的發(fā)展，促使對(duì)故障的分析建立在概率論的基礎(chǔ)上，進(jìn)而論證了故障-安全也應(yīng)是一個(gè)具有概率特性的概念。首先，客觀上可靠度為百分之百的信號(hào)設(shè)備是不存在的，也就是說設(shè)備的故障是不可避免的。用全故障率λt表示，我們希望它足夠小，但不可能為零；對(duì)設(shè)備的故障根據(jù)它所帶來的后果可以分為危險(xiǎn)側(cè)故障和安全側(cè)故障，分別用危險(xiǎn)側(cè)故障率λd和安全側(cè)故障率λs表示，則有λt=λd+λs。以信號(hào)繼電器為例，其危險(xiǎn)側(cè)故障率 λd 為 10-10h，安全側(cè)故障率 λs為 10-7h。危險(xiǎn)側(cè)故障率雖低，但并非是零。危險(xiǎn)側(cè)故障率λd相對(duì)全故障率λt小到可以忽略的程度時(shí)，該設(shè)備才是故障-安全的，即危險(xiǎn)比δ=λd/λt應(yīng)足夠小。

為了對(duì)故障-安全特性進(jìn)行進(jìn)一步的研究，對(duì)設(shè)備故障引起的事故用下面的關(guān)系式來描述：

[事故]=[故障]∪[危險(xiǎn)側(cè)]，若把[?]中的真值取為1，偽值取為0，即[?]中的變量為二值邏輯變量，則可將上式的否定形式認(rèn)為具有安全的含義，根據(jù)摩根法則可得下式：

[沒有事故]=[沒有故障]∩[安全側(cè)]，從一定意義上將安全性用下列邏輯式表示：

[安全性]=[高可靠性]∩[故障安全性]

因此，提高系統(tǒng)和設(shè)備的安全性基本可以從可靠性、故障-安全性出發(fā)，也就是要求設(shè)備或系統(tǒng)盡可能少出現(xiàn)故障，即便出現(xiàn)故障應(yīng)避免出現(xiàn)危險(xiǎn)側(cè)輸出。

1 可靠性

避免設(shè)備或系統(tǒng)出現(xiàn)故障勢(shì)必要提高其可靠性。傳統(tǒng)信號(hào)設(shè)備大部分采用繼電器、機(jī)械器材，單體設(shè)備或器材的可靠性較高，系統(tǒng)僅在一定范圍內(nèi)考慮了易損、易斷器材的冗余設(shè)計(jì)，如：電源采用雙環(huán)線，燈泡降額使用，雙燈絲燈泡，雙熔絲，雙引接線等。

現(xiàn)代鐵路信號(hào)更多采用計(jì)算機(jī)設(shè)備，在提高可靠性方面主要做法如下。

1）電路設(shè)計(jì)、元器件篩選、電磁兼容性設(shè)計(jì)等；

2）采用冗余技術(shù)，如硬件、軟件、信息、時(shí)間等冗余技術(shù)，如2×2取2結(jié)構(gòu)、3取2結(jié)構(gòu)、雙機(jī)熱備結(jié)構(gòu)；

3）采用避錯(cuò)技術(shù)，如故障診斷、差錯(cuò)自檢、校正、監(jiān)測(cè)預(yù)診斷；

4）采用應(yīng)急頂替技術(shù)，如電源故障時(shí)利用蓄電池供電的技術(shù)等。

由此，提高設(shè)備可靠性已經(jīng)不再是簡(jiǎn)單的硬件冗余設(shè)計(jì)，而是利用不同的技術(shù)、在不同方面進(jìn)行解決，如電磁兼容性技術(shù)、自診斷技術(shù)等。因此，在無法保證設(shè)備或系統(tǒng)不出現(xiàn)故障的情況下，應(yīng)利用科學(xué)方法、可靠手段，完成系統(tǒng)設(shè)計(jì)。

2 故障-安全性

2.1 安全側(cè)定義

傳統(tǒng)信號(hào)安全觀念的實(shí)現(xiàn)總是把“設(shè)備故障，讓列車停止運(yùn)行”為出發(fā)點(diǎn)，規(guī)定設(shè)備故障時(shí)把信號(hào)顯示變?yōu)樽屃熊囃Ｖ惯\(yùn)行的紅燈作為安全側(cè)，這種故障-安全的實(shí)現(xiàn)是以具有非對(duì)稱錯(cuò)誤特性的信號(hào)繼電器和閉路原理為基礎(chǔ)。

對(duì)于計(jì)算機(jī)系統(tǒng)來說，不能把安全側(cè)定義為“功能停止”，而必須定義為維持系統(tǒng)功能，應(yīng)根據(jù)系統(tǒng)的任務(wù)定義其安全側(cè)。

故障-安全性在基于系統(tǒng)任務(wù)的安全側(cè)定義同時(shí)，應(yīng)該是故障假設(shè)、故障積累條件下的考慮。

2.2 故障假設(shè)

故障假設(shè)分析方法是對(duì)某一過程可能出現(xiàn)故障的創(chuàng)造性分析方法，通過提出一系列“如果……怎么辦？”的問題，來發(fā)現(xiàn)可能和潛在的事故隱患從而對(duì)系統(tǒng)進(jìn)行徹底檢查的一種方法。

傳統(tǒng)信號(hào)電路中出現(xiàn)的故障主要有：熔斷器燒毀（斷路器斷路）、斷線、脫焊、擰接的螺絲松脫、繼電器線圈燒毀、元器件失效、插接件接觸不良、線間絕緣不良而相混（局部短路）、線路混入電源等。故障種類雖然很多，但就其對(duì)電路的影響來說，可歸納為兩大類：一類是斷線性質(zhì)的故障，一類是混線性質(zhì)的故障。研究信號(hào)電路的安全性，主要是研究解決斷線保護(hù)和混線保護(hù)。1840年出現(xiàn)了一架在牽引繩索折斷的情況下，能靠重力自動(dòng)向列車發(fā)出停車顯示的臂板信號(hào)機(jī)。此后，實(shí)現(xiàn)鐵路信號(hào)故障－安全的具體措施主要有：電路設(shè)計(jì)中采用斷線保護(hù)、混線保護(hù)、串并聯(lián)電路、延時(shí)電路、時(shí)序電路、極性繼電器電路等；防止錯(cuò)誤操縱而使用的各種聯(lián)鎖及閉塞技術(shù)等；故障后使功能軟化或降級(jí)使用技術(shù)，如自動(dòng)閉塞中綠燈故障改亮黃燈的技術(shù)；器件的降額使用技術(shù)，如信號(hào)燈泡的降壓使用等。

現(xiàn)代信號(hào)系統(tǒng)的計(jì)算機(jī)系統(tǒng)，主要的故障：系統(tǒng)宕機(jī)、雙系不同步、網(wǎng)絡(luò)中斷、硬件停機(jī)等，由于網(wǎng)絡(luò)化導(dǎo)致在出現(xiàn)故障時(shí)，無法通過物理設(shè)計(jì)來消除危險(xiǎn)側(cè)輸出，因此需要利用軟件、系統(tǒng)解決，比如：表決機(jī)制、同步比較、網(wǎng)絡(luò)中斷防護(hù)等。

故障假設(shè)分析方法鼓勵(lì)思考潛在的事故和后果，彌補(bǔ)了思維定勢(shì)的不足，進(jìn)而有針對(duì)性的提出安全措施。

2.3 故障積累

一個(gè)故障發(fā)生時(shí)，信號(hào)系統(tǒng)不輸出危及行車安全的狀態(tài)，這是鐵路信號(hào)“故障－安全”的基本要求。但正是因?yàn)橐淮喂收峡偸请y免的，而其二次故障和過負(fù)荷故障往往隨之發(fā)生，其發(fā)生概率并不是低于可接受的水平，故這種情況下信號(hào)系統(tǒng)亦應(yīng)給出安全側(cè)的輸出。

一個(gè)故障發(fā)生后，往往伴隨著繼發(fā)的二次故障或過負(fù)荷故障，后兩種繼發(fā)故障可能同時(shí)發(fā)生，也可能按因果關(guān)系發(fā)生。比如室外混線故障發(fā)生后，線路的電流隨之升高，過流保護(hù)元器件（熔斷器或斷路器）可能會(huì)動(dòng)作，使線路開路，作為對(duì)一次故障的保護(hù)。但其開路保護(hù)需要一個(gè)過程，在這個(gè)過程中，線路將處于過負(fù)荷狀態(tài)。

電路設(shè)計(jì)需考慮最低限度能防止一次故障與一次錯(cuò)誤辦理同時(shí)存在的情況下，可能產(chǎn)生危及行車安全的后果。對(duì)于直接涉及安全的按鈕或控制設(shè)備，可加封、設(shè)置密碼或設(shè)置必要的計(jì)數(shù)記錄設(shè)備等。

信號(hào)設(shè)備的故障需要及時(shí)被發(fā)現(xiàn)。如故障出現(xiàn)后不能及時(shí)被發(fā)現(xiàn)，當(dāng)不危及行車安全時(shí)，該故障可最遲在下一次使用過程中或?qū)ζ溥M(jìn)行檢修時(shí)發(fā)現(xiàn)，否則應(yīng)考慮按故障積累的原則進(jìn)行設(shè)計(jì)。由于系統(tǒng)對(duì)于本故障能滿足“故障－安全”要求，在第一個(gè)故障發(fā)生至其被發(fā)現(xiàn)的整個(gè)過程中出現(xiàn)另一個(gè)故障，系統(tǒng)也能滿足“故障－安全”要求，則兩個(gè)故障的“積累”也就能滿足“故障－安全”要求。

3 國(guó)外的典型理論

關(guān)于鐵路信號(hào)“故障－安全”理念，國(guó)際通用的風(fēng)險(xiǎn)控制ALARP原則（As?Low?As?Reasonably?Practicable，依實(shí)際情況盡可能合理地低）以及“風(fēng)險(xiǎn)矩陣”判定法，與我國(guó)是基本一致的。

風(fēng)險(xiǎn)控制ALARP原則的原理如圖1所示。

圖1中，“V”型風(fēng)險(xiǎn)控制圖由上至下反映了風(fēng)險(xiǎn)由大至小，其可接受程度逐漸升高。其大致可分為3個(gè)區(qū)域：①高風(fēng)險(xiǎn)區(qū)（不可接受）；②中度風(fēng)險(xiǎn)區(qū)（可容忍）；③輕微風(fēng)險(xiǎn)區(qū)（可接受）。對(duì)于信號(hào)系統(tǒng)的研究和設(shè)計(jì)，應(yīng)將風(fēng)險(xiǎn)程度盡量下移，減小高風(fēng)險(xiǎn)區(qū)范圍、擴(kuò)大輕微風(fēng)險(xiǎn)區(qū)范圍，并將中度風(fēng)險(xiǎn)區(qū)控制在“可接受程度判定標(biāo)準(zhǔn)”以內(nèi)。

“風(fēng)險(xiǎn)矩陣”判定法的原理如圖2所示。

圖2中，橫坐標(biāo)表示風(fēng)險(xiǎn)變?yōu)椤笆录睍r(shí)后果的嚴(yán)重性程度，縱坐標(biāo)表示風(fēng)險(xiǎn)發(fā)生的可能性（概率）。根據(jù)其對(duì)系統(tǒng)輸出的影響，可以兩個(gè)參數(shù)的“乘積”形式列出“風(fēng)險(xiǎn)矩陣”。與ALARP原理的“V”型圖類似，“風(fēng)險(xiǎn)矩陣”由右上角至左下角反映了風(fēng)險(xiǎn)由大至小，其可接受程度按單元格①至⑨逐漸升高。實(shí)際上各單元格之間的分界線并不是清晰的。對(duì)于信號(hào)系統(tǒng)的研究和設(shè)計(jì)，應(yīng)將風(fēng)險(xiǎn)程度盡量向左下角移動(dòng)：減小高風(fēng)險(xiǎn)區(qū)范圍、擴(kuò)大輕微風(fēng)險(xiǎn)區(qū)范圍，并將兩個(gè)參數(shù)“乘積”處于臨界狀態(tài)的區(qū)域控制在“可接受程度判定標(biāo)準(zhǔn)”以內(nèi)。

上述兩種方法都涉及到“可接受程度判定標(biāo)準(zhǔn)”，即能接受多大的風(fēng)險(xiǎn)。圖中以虛線“L1”和“L2”給出了兩種參考（L2嚴(yán)于L1）。

4 執(zhí)行中需注意的問題

信號(hào)系統(tǒng)工程中影響安全的因素很多，既包括系統(tǒng)內(nèi)部因素，也包括系統(tǒng)外部因素；既包括人的因素，也包括設(shè)備本身的因素，還包括環(huán)境影響等。以數(shù)學(xué)方式給出“可接受程度判定標(biāo)準(zhǔn)”的具體數(shù)值是難以做到的。

對(duì)于鐵路信號(hào)“故障－安全”原則，可從以下幾個(gè)方面來理解：首先，安全性是一種概率參數(shù)，信號(hào)設(shè)備不可能具備排除任何危險(xiǎn)的絕對(duì)安全；其次，對(duì)“故障－安全”的要求，應(yīng)是從技術(shù)上能夠?qū)崿F(xiàn)的；第三，安全程度的高低還受經(jīng)濟(jì)的制約。

正是因?yàn)榘踩皇墙^對(duì)的，所以有些特殊情況下產(chǎn)生的故障，設(shè)計(jì)中是難以考慮的。如一個(gè)電器設(shè)備（或元件）在兩端混入能使其錯(cuò)誤動(dòng)作的不同極性電源；電動(dòng)臂板信號(hào)機(jī)的機(jī)械卡阻而不能恢復(fù)定位等。這一類故障，除采用高質(zhì)量的產(chǎn)品和盡可能完善設(shè)計(jì)系統(tǒng)和電路外，還必須依靠加強(qiáng)檢查維修和測(cè)試監(jiān)督等間接手段，以防止危險(xiǎn)故障的發(fā)生，或?qū)⑽ｋU(xiǎn)性降到可接受的最低限度。

另外，隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)技術(shù)在邏輯判斷方面具有繼電電路無法比擬的先天性優(yōu)勢(shì)，尤其是對(duì)于結(jié)合部的驅(qū)動(dòng)／采集電路，在某些情況下（比如計(jì)算機(jī)設(shè)備驅(qū)動(dòng)繼電器動(dòng)作并進(jìn)行回采），是可以判斷室內(nèi)電路混線的。從這個(gè)角度來看，在計(jì)算機(jī)技術(shù)逐漸替代繼電電路的發(fā)展進(jìn)程中，對(duì)于系統(tǒng)防護(hù)也具備了一定的可行性。

實(shí)際上，鐵路信號(hào)系統(tǒng)應(yīng)用于不同的環(huán)境下，對(duì)安全程度的要求是不一樣的。客運(yùn)列車相對(duì)于貨物列車、主要干線相對(duì)于次要支線、客運(yùn)樞紐相對(duì)于駝峰編組場(chǎng)、客運(yùn)專線和高速鐵路相對(duì)于普速鐵路而言，前者的安全等級(jí)相對(duì)后者要高。如果以后者的“可接受程度判定標(biāo)準(zhǔn)”來判定前者的安全等級(jí)，則社會(huì)輿論及用戶等相關(guān)方不能接受；如果以前者的“可接受程度判定標(biāo)準(zhǔn)”來判定后者的安全等級(jí)，則需增加經(jīng)濟(jì)投入。

我國(guó)目前未直接使用ALARP原則、風(fēng)險(xiǎn)矩陣和“可接受程度判定標(biāo)準(zhǔn)”等術(shù)語，但故障－安全理念是與國(guó)際通用理論沒有本質(zhì)的不同。不過，根據(jù)不同的情況給出真正具有操作性的“可接受程度判定標(biāo)準(zhǔn)”，需要與其他各相關(guān)專業(yè)，有時(shí)還需與鐵路外部各相關(guān)方共同研究確定（比如道口安全問題），還需進(jìn)一步做探討。

[1]中華人民共和國(guó)鐵道部 鐵路技術(shù)管理規(guī)程[S].北京：中國(guó)鐵道出版社，2006.

[2] TB10007-2006 鐵路信號(hào)設(shè)計(jì)規(guī)范[S].北京，中國(guó)鐵道出版社，2006.

[3] TB10071-2006/J77-2001 鐵路信號(hào)站內(nèi)聯(lián)鎖設(shè)計(jì)規(guī)范[S].北京：中國(guó)鐵道出版社，2001.

[4] TB/T 2615 鐵路信號(hào)故障－安全原則[S].北京：中國(guó)鐵道出版社，1994.

[5] 英國(guó)鐵道安全和標(biāo)準(zhǔn)委員會(huì).Engineering Safety Management（The Yellow Book）[S].

[6] EN50126 鐵路應(yīng)用—可靠性、可用性、可維護(hù)性和安全性[S].