方云根 潘 鋒 胡小莉
(1.同濟(jì)大學(xué)交通運(yùn)輸工程學(xué)院, 201804, 上海; 2.中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì), 100062, 北京; 3.上海軌道交通檢測(cè)技術(shù)有限公司, 200434, 上海∥第一作者, 工程師)
列車(chē)運(yùn)行控制系統(tǒng)是采用通信、計(jì)算機(jī)、控制等技術(shù)構(gòu)成的用以保障行車(chē)安全的關(guān)鍵系統(tǒng),通常會(huì)基于如傳感器、執(zhí)行單元、通信模塊、實(shí)時(shí)操作系統(tǒng)、安全計(jì)算機(jī)等既有部件進(jìn)行列車(chē)自動(dòng)運(yùn)行、進(jìn)路聯(lián)鎖控制等具體安全應(yīng)用的設(shè)計(jì)開(kāi)發(fā),用以節(jié)省研發(fā)成本,加快開(kāi)發(fā)進(jìn)度。由于既有部件不一定是專(zhuān)門(mén)針對(duì)軌道交通安全控制系統(tǒng)定制開(kāi)發(fā)的,不能直接滿(mǎn)足軌道交通行業(yè)的安全要求,如何在系統(tǒng)開(kāi)發(fā)早期選擇并確定既有部件,開(kāi)發(fā)過(guò)程中如何對(duì)既有部件進(jìn)行安全分析,如何確定既有部件的失效檢測(cè)和控制策略,如何針對(duì)既有部件進(jìn)行驗(yàn)證和確認(rèn),如何證明基于既有部件能夠滿(mǎn)足系統(tǒng)功能的安全完整度等級(jí)(SIL)要求,以上這些是軌道交通列車(chē)運(yùn)行控制系統(tǒng)安全評(píng)估過(guò)程中經(jīng)常面臨的問(wèn)題。
既有部件,是指相對(duì)于正在開(kāi)發(fā)設(shè)計(jì)的系統(tǒng)來(lái)說(shuō)已經(jīng)存在且不是為當(dāng)前系統(tǒng)開(kāi)發(fā)的部件。從列車(chē)運(yùn)行控制系統(tǒng)來(lái)看,常用的既有部件有商用實(shí)時(shí)操作系統(tǒng)、安全計(jì)算機(jī)平臺(tái)、工控機(jī)、服務(wù)器、智能傳感器等。從不同的角度,既有部件的分類(lèi)如表1所示。
表1 既有部件的分類(lèi)
按照分類(lèi),有SIL證明的既有部件是按照軌道交通安全保障過(guò)程開(kāi)發(fā)的,滿(mǎn)足功能安全要求,并且能為新開(kāi)發(fā)系統(tǒng)提供開(kāi)發(fā)所要求的所有安全相關(guān)信息,如接口協(xié)議、既有部件的安全功能規(guī)范、硬件和軟件配置、危險(xiǎn)失效率、系統(tǒng)使用的限制和約束、定期檢測(cè)和維護(hù)要求、安裝和集成要求、安全相關(guān)應(yīng)用條件、運(yùn)行環(huán)境等信息。低復(fù)雜部件的特征是已經(jīng)很好確定了每個(gè)獨(dú)立元器件的失效模式,可以完全確定部件在故障情況下引發(fā)的行為。以上兩種類(lèi)型的既有部件應(yīng)用相對(duì)簡(jiǎn)單,本文主要研究分析無(wú)SIL證明、通過(guò)市場(chǎng)采購(gòu)或者企業(yè)以往開(kāi)發(fā)的復(fù)雜既有部件的應(yīng)用安全評(píng)估。
按照軌道交通安全標(biāo)準(zhǔn)的要求,為證明列車(chē)運(yùn)行控制系統(tǒng)安全功能滿(mǎn)足特定的SIL等級(jí),需要提供整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程的安全相關(guān)證據(jù)。從這個(gè)角度來(lái)說(shuō),既有部件存在以下特點(diǎn):
1) 缺少或不能提供全系統(tǒng)生命周期的質(zhì)量和安全管理的過(guò)程證據(jù),開(kāi)發(fā)過(guò)程不以功能安全為導(dǎo)向,不能確保既有部件沒(méi)有系統(tǒng)性失效。
2) 缺少或不能提供功能和技術(shù)安全的證據(jù),技術(shù)特性和功能是完全或部分未知的,或者從安全角度來(lái)看不能保證。由于設(shè)計(jì)不一定是安全導(dǎo)向的,并且沒(méi)有提供用于容錯(cuò)和故障管理的嵌入式措施,因此無(wú)法確保控制系統(tǒng)性失效和隨機(jī)性失效。
由于以上兩個(gè)特點(diǎn),使得在列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程中采用既有部件需要進(jìn)行安全分析并進(jìn)行控制,以確保系統(tǒng)的安全功能滿(mǎn)足SIL要求。
按照安全標(biāo)準(zhǔn)要求,作為安全關(guān)鍵系統(tǒng),列車(chē)運(yùn)行控制系統(tǒng)的開(kāi)發(fā)需遵循系統(tǒng)安全生命周期,分階段進(jìn)行設(shè)計(jì)和開(kāi)發(fā),并在每一個(gè)階段進(jìn)行驗(yàn)證工作。由于既有部件在列車(chē)運(yùn)行控制系統(tǒng)中承載部分系統(tǒng)功能,影響系統(tǒng)的安全性,需要在系統(tǒng)架構(gòu)及需求分配階段分析并確定既有部件應(yīng)用的相關(guān)問(wèn)題,如圖1所示。
在系統(tǒng)架構(gòu)及需求分配階段,基于所考慮的系統(tǒng)規(guī)模和復(fù)雜度,設(shè)計(jì)人員將需求分配給指定的子系統(tǒng)(軟件、硬件或者軟硬件),并且確定所有子系統(tǒng)之間的接口。在這個(gè)過(guò)程中,如果確定采用既有部件,則需要考慮如下問(wèn)題:①既有部件是否滿(mǎn)足功能、性能和接口的需求?②采用什么類(lèi)型的既有部件來(lái)滿(mǎn)足系統(tǒng)需求?③既有部件的功能、性能、接口和應(yīng)用條件如何?④既有部件的失效是否會(huì)危及系統(tǒng)相關(guān)的安全需求?⑤如何在系統(tǒng)集成過(guò)程中集成既有部件?⑥既有部件有哪些可獲得的安全證明證據(jù)?
列車(chē)運(yùn)行控制系統(tǒng)是保障軌道交通行車(chē)安全的關(guān)鍵系統(tǒng),其需要完成列車(chē)運(yùn)行進(jìn)路安全,追蹤列車(chē)間距、列車(chē)運(yùn)行速度、列車(chē)加速和制動(dòng)等核心的安全功能。為完成這些安全功能,列車(chē)運(yùn)行控制系統(tǒng)需要實(shí)時(shí)采集列車(chē)和線(xiàn)路的動(dòng)態(tài)信息,進(jìn)行邏輯運(yùn)算后輸出控制動(dòng)作。從控制功能數(shù)據(jù)流的角度,既有部件在列車(chē)運(yùn)行控制系統(tǒng)中有兩種形式。
圖1 基于部件的列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程
在第一種形式中(見(jiàn)圖2),既有部件作為安全控制數(shù)據(jù)流的一個(gè)獨(dú)立節(jié)點(diǎn),執(zhí)行系統(tǒng)安全功能,如計(jì)算機(jī)聯(lián)鎖系統(tǒng)中采用外購(gòu)的既有全電子執(zhí)行單元。第二種方式如圖3所示,既有部件和新開(kāi)發(fā)部件一起作為系統(tǒng)安全控制數(shù)據(jù)流的一個(gè)獨(dú)立節(jié)點(diǎn),如軌旁的區(qū)域控制器采用安全計(jì)算機(jī)作為軌旁列車(chē)自動(dòng)控制軟件的應(yīng)用平臺(tái)。這兩種形式中,既有部件都承擔(dān)相應(yīng)的安全功能,其失效都會(huì)影響整個(gè)列車(chē)控制系統(tǒng)安全功能的實(shí)現(xiàn),因此需要采取相應(yīng)的控制措施。
既有部件失效導(dǎo)致列車(chē)運(yùn)行控制系統(tǒng)功能失效,從而不能完成安全控制功能的根本原因有隨機(jī)性失效和系統(tǒng)性失效[1]。隨機(jī)性失效發(fā)生在硬件上,主要是由于硬件本身固有物理、化學(xué)、機(jī)械等特性決定的退化機(jī)理而產(chǎn)生的,是在隨機(jī)時(shí)間出現(xiàn)的失效,這類(lèi)失效發(fā)生的概率可以預(yù)計(jì),但具體發(fā)生的時(shí)間不可確定。系統(tǒng)性失效是由于系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)、制造過(guò)程中,或者是運(yùn)用和維護(hù)過(guò)程中由于人為錯(cuò)誤造成的失效,系統(tǒng)性失效只有針對(duì)失效原因進(jìn)行修改后才能消除,其發(fā)生的概率不可精確預(yù)計(jì)。從安全的角度,系統(tǒng)開(kāi)發(fā)過(guò)程中需要識(shí)別并控制既有部件以上兩種類(lèi)型的失效。
圖2 既有部件作為獨(dú)立的節(jié)點(diǎn)
圖3 既有部件作為節(jié)點(diǎn)的一部分
為保證系統(tǒng)安全,需要對(duì)既有部件引起的隨機(jī)性失效和系統(tǒng)性失效進(jìn)行識(shí)別并提出相應(yīng)的控制措施。按照標(biāo)準(zhǔn)要求,系統(tǒng)失效的安全風(fēng)險(xiǎn)管控需要從質(zhì)量管理、安全管理、技術(shù)安全設(shè)計(jì)和量化安全指標(biāo)計(jì)算方面進(jìn)行,如圖4所示。
圖4 既有部件的安全保障過(guò)程
從失效的控制策略執(zhí)行的角度,可以采用兩種方式證明基于既有部件的列車(chē)控制系統(tǒng)滿(mǎn)足系統(tǒng)的安全要求:①既有部件本身滿(mǎn)足分配的安全功能要求和安全完整度要求;②在系統(tǒng)中采用措施消除或控制既有部件失效對(duì)系統(tǒng)安全功能的影響。
列車(chē)運(yùn)行控制系統(tǒng)中采用的既有部件應(yīng)滿(mǎn)足相關(guān)系統(tǒng)安全功能所分配的SIL要求,根據(jù)既有部件類(lèi)型和控制策略,針對(duì)既有部件有如下安全評(píng)估的要求。
既有軟件作為一種常見(jiàn)的既有部件存在形式,應(yīng)用于所有SIL的系統(tǒng)中,為執(zhí)行開(kāi)發(fā)過(guò)程中的安全分析、開(kāi)發(fā)、驗(yàn)證和確認(rèn)工作,開(kāi)發(fā)人員應(yīng)確保獲取既有軟件的以下信息:①開(kāi)發(fā)中分配給既有軟件的功能和性能要求;②既有軟件已經(jīng)具有的功能和性能;③既有軟件對(duì)應(yīng)用環(huán)境的要求;④既有軟件的外部接口;⑤既有軟件的具體配置?;谝陨闲畔ⅲ_(kāi)發(fā)人員在系統(tǒng)開(kāi)發(fā)過(guò)程中將既有軟件集成于系統(tǒng)的開(kāi)發(fā)、測(cè)試、驗(yàn)證和確認(rèn),并形成相應(yīng)的文件證據(jù)。
既有軟件用于SIL3或SIL4的系統(tǒng)中,除了以上要求之外,還應(yīng)預(yù)防既有軟件可能出現(xiàn)的失效及其對(duì)整個(gè)軟件系統(tǒng)的影響,同時(shí)采取相應(yīng)措施,以檢測(cè)既有軟件的失效,并保護(hù)系統(tǒng)不受這些失效的影響[2]。在系統(tǒng)驗(yàn)證和確認(rèn)過(guò)程中應(yīng)確保:①既有軟件滿(mǎn)足所分配的需求;②系統(tǒng)可以檢測(cè)到既有軟件發(fā)生的失效,并可以保護(hù)系統(tǒng)不受既有軟件失效的影響;③系統(tǒng)滿(mǎn)足對(duì)既有軟件的接口和環(huán)境條件。
系統(tǒng)采用由軟硬件組成的既有部件,開(kāi)發(fā)人員需要獲得以下關(guān)于既有部件的信息:①所能滿(mǎn)足的功能和性能;②對(duì)外接口;③應(yīng)用限制條件;④失效率;⑤應(yīng)用環(huán)境條件;⑥具體的配置信息。
開(kāi)發(fā)人員需要采用IHA(接口危害分析)或者FMECA(失效模式及影響分析)來(lái)識(shí)別既有部件引起的危險(xiǎn)功能失效。對(duì)于識(shí)別出來(lái)的既有部件每種危險(xiǎn)功能失效,都需要根據(jù)相關(guān)安全功能的SIL(SIL1~SIL4)要求進(jìn)行如下證明:①由于既有部件內(nèi)部結(jié)構(gòu)、數(shù)據(jù)結(jié)構(gòu)或固有物理特性,這些危險(xiǎn)功能失效不會(huì)發(fā)生;②或者為既有部件按照要求的SIL提供完整的安全證明;③或者在外部消除既有部件引起的危險(xiǎn)失效,并在規(guī)定的時(shí)間內(nèi)強(qiáng)制達(dá)到安全狀態(tài),以達(dá)到規(guī)定的安全目標(biāo)。
在分析過(guò)程中,由于既有部件的失效模式不能追溯到失效的實(shí)際原因。因此,當(dāng)既有部件執(zhí)行安全功能時(shí),計(jì)算系統(tǒng)的危險(xiǎn)失效率計(jì)算中應(yīng)將既有部件的所有失效率(安全失效和危險(xiǎn)失效)納入計(jì)算,必須證明既有部件的失效率與系統(tǒng)安全功能所需的TFFR(可接受危險(xiǎn)失效率)相匹配。
有的既有部件雖然在開(kāi)發(fā)過(guò)程中沒(méi)有遵循安全標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā),但經(jīng)過(guò)長(zhǎng)時(shí)間的實(shí)際應(yīng)用表明其可靠性和安全性達(dá)到了一定的水平,如果列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程中采用了這一類(lèi)既有部件,則可以考慮采用使用經(jīng)驗(yàn)證明(Proven in Use)其安全性或可靠性的要求。采用這一方法時(shí),進(jìn)行安全評(píng)估時(shí)要考慮以下方面的證據(jù):①既有部件在應(yīng)用過(guò)程中的配置沒(méi)有發(fā)生變化;②系統(tǒng)所需要的功能在既有部件的應(yīng)用中已經(jīng)使用;③既有部件至少在10個(gè)以上的不同地點(diǎn)進(jìn)行1年以上的應(yīng)用[1];④具有嚴(yán)格的故障報(bào)告記錄系統(tǒng),可以提供既有部件在應(yīng)用過(guò)程中發(fā)生的所有故障信息;⑤根據(jù)SIL確定的具體無(wú)安全相關(guān)故障運(yùn)行時(shí)間證明。
對(duì)于既有部件需要具有的無(wú)危險(xiǎn)性失效的運(yùn)行時(shí)間,參照基礎(chǔ)安全標(biāo)準(zhǔn)IEC 61508中[3]的要求,針對(duì)不同的SIL和數(shù)據(jù)置信度,其要求的無(wú)失效總運(yùn)行小時(shí)如表2所示。
表2 既有部件的分類(lèi)
列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程中采用既有部件可以加快開(kāi)發(fā)進(jìn)度,但既有部件的使用應(yīng)滿(mǎn)足系統(tǒng)所分配的安全要求。通過(guò)以上分析可知,采用既有部件承擔(dān)部分列車(chē)運(yùn)行控制系統(tǒng)安全功能是一個(gè)可行的做法,但需要針對(duì)既有部件的類(lèi)型和特點(diǎn)進(jìn)行安全分析,并將既有部件納入到系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、驗(yàn)證和確認(rèn)活動(dòng)中,在這個(gè)過(guò)程中收集既有部件的相關(guān)信息和安全證據(jù)。同時(shí),根據(jù)系統(tǒng)安全要求,開(kāi)發(fā)設(shè)計(jì)過(guò)程中需要采取相應(yīng)的安全措施,以檢測(cè)并控制既有部件的失效。