邱兆陽

（北京全路通信信號研究設(shè)計院集團(tuán)有限公司，北京 100070）

1 概述

故障-安全是鐵路信號行業(yè)永恒的主題，在軌道交通的發(fā)展早期階段，人們已經(jīng)認(rèn)識到了故障-安全的重要性。鑒于當(dāng)時使用的主要是簡單的機(jī)械或者電氣器件，其失效模式相對簡單、容易確定，且不同的失效模式之間故障率存在很大差異，或者可以排除某些有害的失效模式，以使這樣構(gòu)建的系統(tǒng)的所有容許狀態(tài)只有無故障時存在（換言之，存在故障時，系統(tǒng)不處于容許狀態(tài)）。

通常，該概念的有效性以經(jīng)驗(yàn)為基礎(chǔ)，如《鐵路信號故障安全原則》（TB/T 2615-2018）（以下簡稱TB/T 2615）中提到的，故障假設(shè)的應(yīng)以對鐵路信號設(shè)備在使用過程中已經(jīng)發(fā)生的故障總結(jié)，以及經(jīng)分析可能發(fā)生的故障合理分析作為基礎(chǔ)，但由于計算機(jī)等復(fù)雜系統(tǒng)的使用，信號設(shè)備不再是單純的簡單器件，也無法窮盡分析其存在的故障模式或確定性地排除某個有害的故障模式，在這個背景下，基于確定性的故障安全方法已經(jīng)不可行，對于復(fù)雜的系統(tǒng)，只能根據(jù)器件的失效率，使用概率法來實(shí)現(xiàn)故障-安全。

2 概念定義

2.1 TB/T 2615

在TB/T 2615中，對于故障-安全的定義如下：“故障以后導(dǎo)向安全”。

在TB/T 2615的3.1.2節(jié)中規(guī)定：當(dāng)信號設(shè)備發(fā)生故障時，應(yīng)以特殊的方式做出反應(yīng)并導(dǎo)向安全。同時也指出，安全是基于概率的，應(yīng)同時考慮經(jīng)濟(jì)性，信號設(shè)備并不是絕對安全的。

在TB/T 2615的3.3.7節(jié)給出了安全狀態(tài)的要求：設(shè)備發(fā)生故障導(dǎo)向安全后，應(yīng)處于規(guī)定的4種狀態(tài)，即部分或全部的暫停、降級模式、給出故障報警、給出錯誤操作的表示（隱含著拒絕操作錯誤的要求）。這4種狀態(tài)可以分為兩類：或者降低性能、或者給出報警提示。

在TB/T 2615的3.2.7節(jié)規(guī)定了設(shè)備信號應(yīng)考慮的故障類型，如表1所示。

表 1 應(yīng)考慮的故障類型Tab.1 Fault types to be considered

鐵路信號故障-安全原則是鐵路信號行業(yè)的基礎(chǔ)性標(biāo)準(zhǔn)，給出了故障-安全的原理，強(qiáng)調(diào)故障-安全并不是絕對安全 ；定義了采取故障-安全措施后，系統(tǒng)可能處于的狀態(tài)，給故障-安全后采取的措施提供指導(dǎo)。標(biāo)準(zhǔn)還就應(yīng)該考慮的故障類型進(jìn)行規(guī)定，比如3.2.7節(jié)的前3項(xiàng)，基本上對應(yīng)了GB/T 28809中的單點(diǎn)故障。

針對鐵路信號的特點(diǎn)，標(biāo)準(zhǔn)還加入了對誤操作的故障防護(hù)要求，這對于一些具備人機(jī)操作界面的設(shè)備來說，是特別有意義的，因?yàn)橛幸恍┎僮魇前踩嚓P(guān)的操作，如果錯誤操作，可能帶來嚴(yán)重的后果，將這類誤操作等同于設(shè)備故障，進(jìn)行安全防護(hù)，是非常有必要的 ；故障累積對安全的影響雖然沒有單個故障那么明顯，其危害性往往容易被忽略，所以標(biāo)準(zhǔn)特別強(qiáng)調(diào)了對累積故障的檢測要求 ；對于其他標(biāo)準(zhǔn)未明顯提及的防護(hù)元件動作時可能存在的風(fēng)險，TB/T 2615中也明確要求按故障進(jìn)行考慮。

2.2 TB/T 3177

在《鐵路信號技術(shù)中采用電子元器件時應(yīng)遵循的主要安全條件》（TB/T 3177-2007）（以下簡稱TB/T 3177）4.1節(jié)中，對采用故障-安全的原因，以及如何實(shí)現(xiàn)故障-安全，什么是故障-安全進(jìn)行了說明。

該標(biāo)準(zhǔn)首先指出由于人的操作失誤等原因，裝備鐵路信號設(shè)備的必要性，接著從器件有限可靠性的角度，承認(rèn)器件必然存在故障，人也會存在操作失誤，在這樣的條件下，為保證行車安全，必須從技術(shù)上采取措施，以便當(dāng)設(shè)備發(fā)生故障或出現(xiàn)人為錯誤時，立即以特殊方式做出反應(yīng)并導(dǎo)向安全。

鐵路信號保證行車安全方法的特殊性質(zhì)稱為“鐵路信號設(shè)備的安全性”。這個特性是：一個產(chǎn)品在規(guī)定的時間內(nèi)和使用條件下，不出現(xiàn)任何危險情況的概率。當(dāng)故障影響到信號設(shè)備使用時，有可能喪失信號設(shè)備的全部功能或部分功能。

這種方法也稱為“故障-安全原則”。即，考慮了規(guī)定的基本條件（故障假設(shè)），對有害故障進(jìn)行檢測，然后采取措施以較高的概率防止該系統(tǒng)產(chǎn)生對外的錯誤輸出。

TB/T 3177在要求故障-安全的同時，也對信號設(shè)備的高可靠性提出了要求，即“實(shí)際經(jīng)驗(yàn)表明，操作人員的錯誤率比信號設(shè)備的錯誤率高出幾個數(shù)量級。操作人員的介入構(gòu)成了一種新的危險源，從而進(jìn)一步降低了整個人-機(jī)系統(tǒng)的安全性。在規(guī)定的時間和規(guī)定的使用環(huán)境下，由于信號設(shè)備發(fā)生故障而使系統(tǒng)處于限制狀態(tài)的概率應(yīng)該是很小的?！边@是一種更廣義的故障-安全理念，強(qiáng)調(diào)了從整個系統(tǒng)的安全性出發(fā)來考慮故障-安全的實(shí)現(xiàn)，而不是僅僅考慮信號設(shè)備本身，也應(yīng)考慮信號設(shè)備本身故障導(dǎo)向安全后，對整個系統(tǒng)安全性的影響。

2.3 GB/T 28809

在《軌道交通 通信、信號和處理系統(tǒng)信號用安全相關(guān)電子系統(tǒng)》（GB/T 28809-2012）（以下簡稱GB/T 28809）中，對故障-安全給出的定義如下：“結(jié)合在產(chǎn)品設(shè)計內(nèi)的一種觀念，即發(fā)生失效事件時產(chǎn)品導(dǎo)向或維持在安全狀態(tài)”。

在GB/T 28809中同樣對安全狀態(tài)進(jìn)行了定義：“繼續(xù)保持安全的狀況”。

GB/T 28809要求，設(shè)備在正常條件下、故障影響下，以及外界影響下的運(yùn)行，都應(yīng)滿足安全要求。針對故障-安全方面，強(qiáng)調(diào)的是故障影響下的運(yùn)行要求，包括以下3個方面：

1）對于SIL3和SIL4系統(tǒng)來說，當(dāng)可識別的任何一種單一隨機(jī)硬件故障發(fā)生時，應(yīng)保證其安全；

2）單一故障的檢測間隔應(yīng)滿足檢測時間的要求，并在滿足要求的時間內(nèi)進(jìn)入或達(dá)到安全狀態(tài)；

3）有危害的多重故障，其檢測時間也應(yīng)滿足要求，并在檢測到多重故障后進(jìn)入或達(dá)到安全狀態(tài)。

GB/T 28809對故障檢測的定性要求與TB/T 2615基本一致，但GB/T 28809給出了故障檢測的量化計算方法，以及對雙重、三重故障檢測時間間隔方面的要求，而且明確要求SIL3/SIL4系統(tǒng)在單點(diǎn)故障發(fā)生時，應(yīng)處于安全的狀態(tài)。

2.4 GB/T20438

眾所周知，GB/T 28809標(biāo)準(zhǔn)是以GB/T 20438為基礎(chǔ)標(biāo)準(zhǔn)而制訂的鐵路行業(yè)標(biāo)準(zhǔn)，需要注意的是，在GB/T 20438中提到，“并沒有明確地使用故障-安全的概念”。然而，如果能夠滿足標(biāo)準(zhǔn)中相關(guān)條款的要求，則“故障-安全”的概念和“本質(zhì)安全”的原則可能被應(yīng)用，并且采用這些概念是可接受的。

2.5 本質(zhì)安全

本質(zhì)安全（Inherent Safety）指設(shè)備、設(shè)施或生產(chǎn)技術(shù)工藝含有的、內(nèi)在的能夠從根本上防止事故發(fā)生的功能。在安全儀表行業(yè)中較多的使用了本質(zhì)安全。

本質(zhì)安全一般包括兩種安全功能：

1）失誤-安全功能：在操作者操作失誤的情況下，不發(fā)生傷害和其他事故。

2）故障-安全功能：設(shè)備或工藝等在故障條件下，能夠短時間繼續(xù)工作或進(jìn)入安全狀態(tài)。

在軌道交通發(fā)展的初期，復(fù)雜電子器件未大量應(yīng)用，普遍使用具有能夠排除有害故障模式的器件，比如鐵路常用的信號安全繼電器就具有本質(zhì)安全的特性。

在GB/T 28809中提到，本質(zhì)安全可作為故障-安全的一種實(shí)現(xiàn)機(jī)制，并給出如下的解釋 ：“這種技術(shù)允許一個安全相關(guān)功能由單個對象執(zhí)行，前提是假定對象的所有可信失效模式均為非危害的”。

2.6 相關(guān)概念

故障發(fā)生后，除了導(dǎo)向安全的處理外，還有一些其他的處理原則，列舉如表2所示。

表 2 故障后的處理Tab.2 Handling after failure

現(xiàn)代化的基于計算機(jī)的高速鐵路信號系統(tǒng)，已經(jīng)普遍采用了故障-安全機(jī)制和故障-容錯機(jī)制，隨著自動駕駛和感知技術(shù)的應(yīng)用，應(yīng)從整個系統(tǒng)安全性保障出發(fā)，綜合考慮故障-軟化、故障-被動運(yùn)行技術(shù)，實(shí)現(xiàn)大系統(tǒng)的故障-安全，最大程度的實(shí)現(xiàn)高可靠運(yùn)營，不中斷地提供安全的服務(wù)。

3 安全狀態(tài)和系統(tǒng)安全

3.1 安全狀態(tài)

故障導(dǎo)向安全，可以分成幾個層面，比如設(shè)備層面、產(chǎn)品層面以及系統(tǒng)層面。故障以后導(dǎo)向安全，必然涉及系統(tǒng)和設(shè)備各層級的安全狀態(tài)的識別。

應(yīng)該指出的是，故障-安全并不等同于故障-停止(fail stop)，一般來說，檢測到緊急情況后使列車停止運(yùn)行，在大部分場景下是安全的，但在某些場景下則是不安全的，如：列車發(fā)生火災(zāi)時將車停在隧道中。

安全狀態(tài)實(shí)際上是一個相對的概念，在進(jìn)行安全分析的時候，應(yīng)說明所在的具體場景，有些系統(tǒng)并不是在所有的情況下只對應(yīng)一個安全狀態(tài)。

如軌道電路模塊，對外驅(qū)動軌道繼電器來表示軌道的出清和占用狀態(tài)，軌道電路模塊發(fā)生故障時，驅(qū)動軌道繼電器落下作為安全狀態(tài) ；聯(lián)鎖設(shè)備采集該繼電器接點(diǎn)的狀態(tài)，軌道繼電器吸起時認(rèn)為軌道是處于無車占用的空閑狀態(tài)，軌道繼電器處于落下狀態(tài)時，認(rèn)為有車占用，考慮以下軌道繼電器處于落下狀態(tài)（安全狀態(tài)）但處于不同場景的情況，如表3所示。

表 3 軌道電路故障-安全場景Tab.3 Track circuit fail-safe scenario

表3中，情況1和3軌道繼電器在有車占用區(qū)段時落下，軌道繼電器狀態(tài)與實(shí)際占用狀態(tài)一致，沒有風(fēng)險 ；情況2指的是區(qū)段空閑，軌道電路模塊本身的故障導(dǎo)致軌道繼電器落下，在所分析的場景下，沒有風(fēng)險 ；情況4的分析場景是某區(qū)段當(dāng)占用時即開始倒計時，倒計時結(jié)束，進(jìn)行進(jìn)路解鎖的操作，如果車未駛?cè)胨趨^(qū)段，但軌道模塊故障時，軌道繼電器落下，倒計時會錯誤提前開始，從而造成進(jìn)路提前解鎖，存在安全風(fēng)險，在這種場景下，軌道繼電器落下作為安全狀態(tài)是不合適的。

針對第4種場景，實(shí)際一般采取以下方法來提高安全性：一是結(jié)合相鄰區(qū)段的順序相繼占用條件，而不采用單一區(qū)段占用的條件來啟動解鎖倒計時，避免倒計時的錯誤啟動 ；二是采用開路式軌道電路，這種軌道電路的安全狀態(tài)與閉路式軌道電路是相反的，可以在這種場景下適用。

3.2 安全狀態(tài)識別

如3.1節(jié)所述，安全狀態(tài)應(yīng)區(qū)分不同場景來識別分析，而不是籠統(tǒng)地只定義一種安全狀態(tài)。

如3.1節(jié)的舉例，列車檢測到緊急情況，需要停車時，系統(tǒng)的安全狀態(tài)可能有如表4所示的幾種情況。

表 4 安全狀態(tài)舉例Tab.4 Safe state example

3.3 人因考慮

如TB/T 3177中所提到的，設(shè)備故障后將操作權(quán)轉(zhuǎn)移到人時，由于人的可靠性比設(shè)備低很多，操作人員的介入， 實(shí)際上降低了整個人-機(jī)系統(tǒng)的安全性。

操作人員介入后，一般會降低整個系統(tǒng)的安全性，為了保證系統(tǒng)的整體安全性，信號設(shè)備的功能應(yīng)具有較高的可靠性。換言之，在規(guī)定的工作時間內(nèi)和規(guī)定的工作條件下，信號設(shè)備應(yīng)該盡量避免由于故障而進(jìn)入限制態(tài)。

提高設(shè)備的可靠性，除從可靠性角度考慮外，還應(yīng)從故障容錯（fault tolerant）的理念出發(fā)，采用fail-operational，fail-soft的方式，在設(shè)備故障后，采用故障軟化、降級運(yùn)行等技術(shù)，降低操作人員介入導(dǎo)致的風(fēng)險，而不是將完全的設(shè)備為主直接切換為完全的人員操作。如圖1所示。

降低人員介入風(fēng)險的另一個措施是給操作人員提供足夠的安全信息，以減少操作錯誤導(dǎo)致的風(fēng)險。如TB/T 2615中所規(guī)定的，對操作人員的誤操作應(yīng)盡可能予以防止和給出故障表示。在TB/T 3482中也提到：對于每小時容許失效危害率大于1×10-5的功能，雖然沒有直接的安全完整性要求，同樣對安全性提升有很大的幫助，只要合理可行，應(yīng)通過這些功能為安全功能提供二次防護(hù)，以減輕安全功能失效后果的嚴(yán)重性，如人機(jī)對話層的報警和提示。

3.4 風(fēng)險降低原則

安全定義為不存在不可接受的風(fēng)險，為了實(shí)現(xiàn)安全，必須降低風(fēng)險，降低風(fēng)險的原則和方法如圖2所示。

圖2右側(cè)給出的是風(fēng)險降級按優(yōu)先級依次采用的技術(shù)和手段；左側(cè)給出故障-安全的3種實(shí)現(xiàn)方式，以及從廣義的系統(tǒng)安全性出發(fā)，系統(tǒng)安全設(shè)計需要考慮的幾個方面。

風(fēng)險降級優(yōu)先選擇固有安全設(shè)計，固有安全設(shè)計不可行時，采用主用的防護(hù)裝置來降低風(fēng)險，主用防護(hù)裝置失效時，可以在降低性能的前提下，采用降級的運(yùn)行模式，依賴輔助防護(hù)裝置運(yùn)行，但仍不需要大量的操作人員介入；輔助防護(hù)裝置失效時，操作人員介入，此時系統(tǒng)仍應(yīng)該盡可能的提供對操作錯誤的防護(hù)，原因如3.3節(jié)所述，操作人員的介入是新的危險源，且出錯的概率較高，必須加以防護(hù)；最終所有防護(hù)裝置失效時，只能依賴于人工操作。

4 總結(jié)和展望

故障-安全是鐵路信號行業(yè)保證安全行車的重要安全理念，理解并運(yùn)用故障-安全概念，有效地對安全狀態(tài)進(jìn)行識別，才能有效實(shí)現(xiàn)故障-安全的要求。近年來高速鐵路、城市軌道交通發(fā)展迅速，列車運(yùn)行密度、運(yùn)行速度不斷提升，鐵路運(yùn)行的高速度、以及城市軌道交通的高密度，無人駕駛的引入，使得運(yùn)營風(fēng)險也攀升到新的高度，故障-安全理論的應(yīng)用也應(yīng)從設(shè)備層面上升到系統(tǒng)層面，從開發(fā)安全的設(shè)備，提升為開發(fā)安全的系統(tǒng)，采用多重的安全防御技術(shù)來降低風(fēng)險，為安全設(shè)置多道防線，實(shí)現(xiàn)縱深防御。