方云根 潘 鋒 胡小莉

(1.同濟(jì)大學(xué)交通運(yùn)輸工程學(xué)院， 201804， 上海； 2.中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)， 100062， 北京； 3.上海軌道交通檢測(cè)技術(shù)有限公司， 200434， 上海∥第一作者， 工程師)

列車(chē)運(yùn)行控制系統(tǒng)是采用通信、計(jì)算機(jī)、控制等技術(shù)構(gòu)成的用以保障行車(chē)安全的關(guān)鍵系統(tǒng)，通常會(huì)基于如傳感器、執(zhí)行單元、通信模塊、實(shí)時(shí)操作系統(tǒng)、安全計(jì)算機(jī)等既有部件進(jìn)行列車(chē)自動(dòng)運(yùn)行、進(jìn)路聯(lián)鎖控制等具體安全應(yīng)用的設(shè)計(jì)開(kāi)發(fā)，用以節(jié)省研發(fā)成本，加快開(kāi)發(fā)進(jìn)度。由于既有部件不一定是專(zhuān)門(mén)針對(duì)軌道交通安全控制系統(tǒng)定制開(kāi)發(fā)的，不能直接滿(mǎn)足軌道交通行業(yè)的安全要求，如何在系統(tǒng)開(kāi)發(fā)早期選擇并確定既有部件，開(kāi)發(fā)過(guò)程中如何對(duì)既有部件進(jìn)行安全分析，如何確定既有部件的失效檢測(cè)和控制策略，如何針對(duì)既有部件進(jìn)行驗(yàn)證和確認(rèn)，如何證明基于既有部件能夠滿(mǎn)足系統(tǒng)功能的安全完整度等級(jí)(SIL)要求，以上這些是軌道交通列車(chē)運(yùn)行控制系統(tǒng)安全評(píng)估過(guò)程中經(jīng)常面臨的問(wèn)題。

1 既有部件的類(lèi)型和特點(diǎn)

既有部件，是指相對(duì)于正在開(kāi)發(fā)設(shè)計(jì)的系統(tǒng)來(lái)說(shuō)已經(jīng)存在且不是為當(dāng)前系統(tǒng)開(kāi)發(fā)的部件。從列車(chē)運(yùn)行控制系統(tǒng)來(lái)看，常用的既有部件有商用實(shí)時(shí)操作系統(tǒng)、安全計(jì)算機(jī)平臺(tái)、工控機(jī)、服務(wù)器、智能傳感器等。從不同的角度，既有部件的分類(lèi)如表1所示。

表1 既有部件的分類(lèi)

按照分類(lèi)，有SIL證明的既有部件是按照軌道交通安全保障過(guò)程開(kāi)發(fā)的，滿(mǎn)足功能安全要求，并且能為新開(kāi)發(fā)系統(tǒng)提供開(kāi)發(fā)所要求的所有安全相關(guān)信息，如接口協(xié)議、既有部件的安全功能規(guī)范、硬件和軟件配置、危險(xiǎn)失效率、系統(tǒng)使用的限制和約束、定期檢測(cè)和維護(hù)要求、安裝和集成要求、安全相關(guān)應(yīng)用條件、運(yùn)行環(huán)境等信息。低復(fù)雜部件的特征是已經(jīng)很好確定了每個(gè)獨(dú)立元器件的失效模式，可以完全確定部件在故障情況下引發(fā)的行為。以上兩種類(lèi)型的既有部件應(yīng)用相對(duì)簡(jiǎn)單，本文主要研究分析無(wú)SIL證明、通過(guò)市場(chǎng)采購(gòu)或者企業(yè)以往開(kāi)發(fā)的復(fù)雜既有部件的應(yīng)用安全評(píng)估。

按照軌道交通安全標(biāo)準(zhǔn)的要求，為證明列車(chē)運(yùn)行控制系統(tǒng)安全功能滿(mǎn)足特定的SIL等級(jí)，需要提供整個(gè)系統(tǒng)開(kāi)發(fā)過(guò)程的安全相關(guān)證據(jù)。從這個(gè)角度來(lái)說(shuō)，既有部件存在以下特點(diǎn)：

1) 缺少或不能提供全系統(tǒng)生命周期的質(zhì)量和安全管理的過(guò)程證據(jù)，開(kāi)發(fā)過(guò)程不以功能安全為導(dǎo)向，不能確保既有部件沒(méi)有系統(tǒng)性失效。

2) 缺少或不能提供功能和技術(shù)安全的證據(jù)，技術(shù)特性和功能是完全或部分未知的，或者從安全角度來(lái)看不能保證。由于設(shè)計(jì)不一定是安全導(dǎo)向的，并且沒(méi)有提供用于容錯(cuò)和故障管理的嵌入式措施，因此無(wú)法確保控制系統(tǒng)性失效和隨機(jī)性失效。

由于以上兩個(gè)特點(diǎn)，使得在列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程中采用既有部件需要進(jìn)行安全分析并進(jìn)行控制，以確保系統(tǒng)的安全功能滿(mǎn)足SIL要求。

2 應(yīng)用過(guò)程和需考慮問(wèn)題

按照安全標(biāo)準(zhǔn)要求，作為安全關(guān)鍵系統(tǒng)，列車(chē)運(yùn)行控制系統(tǒng)的開(kāi)發(fā)需遵循系統(tǒng)安全生命周期，分階段進(jìn)行設(shè)計(jì)和開(kāi)發(fā)，并在每一個(gè)階段進(jìn)行驗(yàn)證工作。由于既有部件在列車(chē)運(yùn)行控制系統(tǒng)中承載部分系統(tǒng)功能，影響系統(tǒng)的安全性，需要在系統(tǒng)架構(gòu)及需求分配階段分析并確定既有部件應(yīng)用的相關(guān)問(wèn)題，如圖1所示。

在系統(tǒng)架構(gòu)及需求分配階段，基于所考慮的系統(tǒng)規(guī)模和復(fù)雜度，設(shè)計(jì)人員將需求分配給指定的子系統(tǒng)(軟件、硬件或者軟硬件)，并且確定所有子系統(tǒng)之間的接口。在這個(gè)過(guò)程中，如果確定采用既有部件，則需要考慮如下問(wèn)題：①既有部件是否滿(mǎn)足功能、性能和接口的需求？②采用什么類(lèi)型的既有部件來(lái)滿(mǎn)足系統(tǒng)需求？③既有部件的功能、性能、接口和應(yīng)用條件如何？④既有部件的失效是否會(huì)危及系統(tǒng)相關(guān)的安全需求？⑤如何在系統(tǒng)集成過(guò)程中集成既有部件？⑥既有部件有哪些可獲得的安全證明證據(jù)？

3 安全分析及證明

3.1 安全分析

列車(chē)運(yùn)行控制系統(tǒng)是保障軌道交通行車(chē)安全的關(guān)鍵系統(tǒng)，其需要完成列車(chē)運(yùn)行進(jìn)路安全,追蹤列車(chē)間距、列車(chē)運(yùn)行速度、列車(chē)加速和制動(dòng)等核心的安全功能。為完成這些安全功能，列車(chē)運(yùn)行控制系統(tǒng)需要實(shí)時(shí)采集列車(chē)和線(xiàn)路的動(dòng)態(tài)信息，進(jìn)行邏輯運(yùn)算后輸出控制動(dòng)作。從控制功能數(shù)據(jù)流的角度，既有部件在列車(chē)運(yùn)行控制系統(tǒng)中有兩種形式。

圖1 基于部件的列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程

在第一種形式中(見(jiàn)圖2)，既有部件作為安全控制數(shù)據(jù)流的一個(gè)獨(dú)立節(jié)點(diǎn)，執(zhí)行系統(tǒng)安全功能，如計(jì)算機(jī)聯(lián)鎖系統(tǒng)中采用外購(gòu)的既有全電子執(zhí)行單元。第二種方式如圖3所示，既有部件和新開(kāi)發(fā)部件一起作為系統(tǒng)安全控制數(shù)據(jù)流的一個(gè)獨(dú)立節(jié)點(diǎn)，如軌旁的區(qū)域控制器采用安全計(jì)算機(jī)作為軌旁列車(chē)自動(dòng)控制軟件的應(yīng)用平臺(tái)。這兩種形式中，既有部件都承擔(dān)相應(yīng)的安全功能，其失效都會(huì)影響整個(gè)列車(chē)控制系統(tǒng)安全功能的實(shí)現(xiàn)，因此需要采取相應(yīng)的控制措施。

既有部件失效導(dǎo)致列車(chē)運(yùn)行控制系統(tǒng)功能失效，從而不能完成安全控制功能的根本原因有隨機(jī)性失效和系統(tǒng)性失效[1]。隨機(jī)性失效發(fā)生在硬件上，主要是由于硬件本身固有物理、化學(xué)、機(jī)械等特性決定的退化機(jī)理而產(chǎn)生的，是在隨機(jī)時(shí)間出現(xiàn)的失效，這類(lèi)失效發(fā)生的概率可以預(yù)計(jì)，但具體發(fā)生的時(shí)間不可確定。系統(tǒng)性失效是由于系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)、制造過(guò)程中，或者是運(yùn)用和維護(hù)過(guò)程中由于人為錯(cuò)誤造成的失效，系統(tǒng)性失效只有針對(duì)失效原因進(jìn)行修改后才能消除，其發(fā)生的概率不可精確預(yù)計(jì)。從安全的角度，系統(tǒng)開(kāi)發(fā)過(guò)程中需要識(shí)別并控制既有部件以上兩種類(lèi)型的失效。

圖2 既有部件作為獨(dú)立的節(jié)點(diǎn)

圖3 既有部件作為節(jié)點(diǎn)的一部分

3.2 安全證明策略

為保證系統(tǒng)安全，需要對(duì)既有部件引起的隨機(jī)性失效和系統(tǒng)性失效進(jìn)行識(shí)別并提出相應(yīng)的控制措施。按照標(biāo)準(zhǔn)要求，系統(tǒng)失效的安全風(fēng)險(xiǎn)管控需要從質(zhì)量管理、安全管理、技術(shù)安全設(shè)計(jì)和量化安全指標(biāo)計(jì)算方面進(jìn)行，如圖4所示。

圖4 既有部件的安全保障過(guò)程

從失效的控制策略執(zhí)行的角度，可以采用兩種方式證明基于既有部件的列車(chē)控制系統(tǒng)滿(mǎn)足系統(tǒng)的安全要求：①既有部件本身滿(mǎn)足分配的安全功能要求和安全完整度要求；②在系統(tǒng)中采用措施消除或控制既有部件失效對(duì)系統(tǒng)安全功能的影響。

4 對(duì)既有部件的安全評(píng)估要求

列車(chē)運(yùn)行控制系統(tǒng)中采用的既有部件應(yīng)滿(mǎn)足相關(guān)系統(tǒng)安全功能所分配的SIL要求，根據(jù)既有部件類(lèi)型和控制策略，針對(duì)既有部件有如下安全評(píng)估的要求。

4.1 既有軟件

既有軟件作為一種常見(jiàn)的既有部件存在形式，應(yīng)用于所有SIL的系統(tǒng)中，為執(zhí)行開(kāi)發(fā)過(guò)程中的安全分析、開(kāi)發(fā)、驗(yàn)證和確認(rèn)工作，開(kāi)發(fā)人員應(yīng)確保獲取既有軟件的以下信息：①開(kāi)發(fā)中分配給既有軟件的功能和性能要求；②既有軟件已經(jīng)具有的功能和性能；③既有軟件對(duì)應(yīng)用環(huán)境的要求；④既有軟件的外部接口；⑤既有軟件的具體配置?；谝陨闲畔ⅲ_(kāi)發(fā)人員在系統(tǒng)開(kāi)發(fā)過(guò)程中將既有軟件集成于系統(tǒng)的開(kāi)發(fā)、測(cè)試、驗(yàn)證和確認(rèn),并形成相應(yīng)的文件證據(jù)。

既有軟件用于SIL3或SIL4的系統(tǒng)中，除了以上要求之外，還應(yīng)預(yù)防既有軟件可能出現(xiàn)的失效及其對(duì)整個(gè)軟件系統(tǒng)的影響，同時(shí)采取相應(yīng)措施，以檢測(cè)既有軟件的失效，并保護(hù)系統(tǒng)不受這些失效的影響[2]。在系統(tǒng)驗(yàn)證和確認(rèn)過(guò)程中應(yīng)確保：①既有軟件滿(mǎn)足所分配的需求；②系統(tǒng)可以檢測(cè)到既有軟件發(fā)生的失效，并可以保護(hù)系統(tǒng)不受既有軟件失效的影響；③系統(tǒng)滿(mǎn)足對(duì)既有軟件的接口和環(huán)境條件。

4.2 包含軟硬件的既有部件

系統(tǒng)采用由軟硬件組成的既有部件，開(kāi)發(fā)人員需要獲得以下關(guān)于既有部件的信息：①所能滿(mǎn)足的功能和性能；②對(duì)外接口；③應(yīng)用限制條件；④失效率；⑤應(yīng)用環(huán)境條件；⑥具體的配置信息。

開(kāi)發(fā)人員需要采用IHA(接口危害分析)或者FMECA(失效模式及影響分析)來(lái)識(shí)別既有部件引起的危險(xiǎn)功能失效。對(duì)于識(shí)別出來(lái)的既有部件每種危險(xiǎn)功能失效，都需要根據(jù)相關(guān)安全功能的SIL(SIL1～SIL4)要求進(jìn)行如下證明：①由于既有部件內(nèi)部結(jié)構(gòu)、數(shù)據(jù)結(jié)構(gòu)或固有物理特性，這些危險(xiǎn)功能失效不會(huì)發(fā)生；②或者為既有部件按照要求的SIL提供完整的安全證明；③或者在外部消除既有部件引起的危險(xiǎn)失效，并在規(guī)定的時(shí)間內(nèi)強(qiáng)制達(dá)到安全狀態(tài)，以達(dá)到規(guī)定的安全目標(biāo)。

在分析過(guò)程中，由于既有部件的失效模式不能追溯到失效的實(shí)際原因。因此，當(dāng)既有部件執(zhí)行安全功能時(shí)，計(jì)算系統(tǒng)的危險(xiǎn)失效率計(jì)算中應(yīng)將既有部件的所有失效率(安全失效和危險(xiǎn)失效)納入計(jì)算，必須證明既有部件的失效率與系統(tǒng)安全功能所需的TFFR(可接受危險(xiǎn)失效率)相匹配。

4.3 采用使用經(jīng)驗(yàn)證明的要求

有的既有部件雖然在開(kāi)發(fā)過(guò)程中沒(méi)有遵循安全標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)，但經(jīng)過(guò)長(zhǎng)時(shí)間的實(shí)際應(yīng)用表明其可靠性和安全性達(dá)到了一定的水平，如果列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程中采用了這一類(lèi)既有部件，則可以考慮采用使用經(jīng)驗(yàn)證明(Proven in Use)其安全性或可靠性的要求。采用這一方法時(shí)，進(jìn)行安全評(píng)估時(shí)要考慮以下方面的證據(jù)：①既有部件在應(yīng)用過(guò)程中的配置沒(méi)有發(fā)生變化；②系統(tǒng)所需要的功能在既有部件的應(yīng)用中已經(jīng)使用；③既有部件至少在10個(gè)以上的不同地點(diǎn)進(jìn)行1年以上的應(yīng)用[1]；④具有嚴(yán)格的故障報(bào)告記錄系統(tǒng)，可以提供既有部件在應(yīng)用過(guò)程中發(fā)生的所有故障信息；⑤根據(jù)SIL確定的具體無(wú)安全相關(guān)故障運(yùn)行時(shí)間證明。

對(duì)于既有部件需要具有的無(wú)危險(xiǎn)性失效的運(yùn)行時(shí)間，參照基礎(chǔ)安全標(biāo)準(zhǔn)IEC 61508中[3]的要求，針對(duì)不同的SIL和數(shù)據(jù)置信度，其要求的無(wú)失效總運(yùn)行小時(shí)如表2所示。

表2 既有部件的分類(lèi)

5 結(jié)語(yǔ)

列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程中采用既有部件可以加快開(kāi)發(fā)進(jìn)度，但既有部件的使用應(yīng)滿(mǎn)足系統(tǒng)所分配的安全要求。通過(guò)以上分析可知，采用既有部件承擔(dān)部分列車(chē)運(yùn)行控制系統(tǒng)安全功能是一個(gè)可行的做法，但需要針對(duì)既有部件的類(lèi)型和特點(diǎn)進(jìn)行安全分析，并將既有部件納入到系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、驗(yàn)證和確認(rèn)活動(dòng)中，在這個(gè)過(guò)程中收集既有部件的相關(guān)信息和安全證據(jù)。同時(shí)，根據(jù)系統(tǒng)安全要求，開(kāi)發(fā)設(shè)計(jì)過(guò)程中需要采取相應(yīng)的安全措施，以檢測(cè)并控制既有部件的失效。