第四節(jié)　故障—安全與安全通信

一、故障—安全的基本概念

故障—安全的概念最早產(chǎn)生于鐵路信號控制領域，至今已發(fā)展到其他領域，成為安全工程學中的最基本、最重要的概念之一。

傳統(tǒng)的故障—安全概念強調(diào)：一個系統(tǒng)，當其內(nèi)部發(fā)生任何故障時，該系統(tǒng)能夠給出一個預定的輸出值，這樣的系統(tǒng)稱為故障—安全系統(tǒng)。預定輸出值指的是能夠控制設備于安全側(cè)的輸出值。

，號系統(tǒng)的故障—安全，建立了一種絕對化的故障—安全概念，盡管有時難以做到絕對，但在盡力爭取。

隨著科學技術(shù)的發(fā)展，安全苛求系統(tǒng)為了實現(xiàn)更多的功能，并簡化系統(tǒng)結(jié)構(gòu)，大量使用了嵌入式計算機、電子元器件，以及通信通道，這些元素都不具有非對稱故障特性，因此需要引入可靠性理論，對故障的分析建立在概率論的基礎上。于是不具有非對稱故障的電子元器件和非安全通信通道也可用于列車運行控制系統(tǒng)，通過采用各種可靠性技術(shù)、容錯技術(shù)和安全通信技術(shù)等來實現(xiàn)列車運行控制系統(tǒng)通信子系統(tǒng)的故障—安全特性。

可靠性理論的誕生和發(fā)展，促使對故障的分析建立在概率論的科學基礎上，進而揭示了故障—安全也應是一個具有概率特性的概念?？煽啃岳碚撌谷藗儗收稀踩拍钫J識的深度和廣度都發(fā)生了巨大的改變。新概念認為：設備或系統(tǒng)的故障不可避免，可以足夠小，但不可能為零，故障的后果可分為危險側(cè)和安全側(cè)，危險側(cè)故障概率應足夠小，安全側(cè)故障也應盡量小，不然可用性就差。

客觀上可靠度為百分之百的系統(tǒng)是不存在的，也就是說設備的故障是不可避免的，可用全故障率λt表示，只能希望它足夠小。

對設備的故障根據(jù)它帶來的后果可以分為危險側(cè)故障和安全側(cè)故障，分別用危險側(cè)故障率λd和安全側(cè)故障率λs表示，則有：λt=λd+λs。

由于危險側(cè)的故障率無論如何低不可能等于零，因此故障—安全的概念不是絕對的。

在考慮了設備的所有故障的情況下，危險側(cè)故障率λd相對全故障率λt小到可以忽略的程度時（但永遠不會為0），該設備才是故障—安全的，即危險比δ為：δ=λd/λt，δ應該足夠?。沪?λd/λs稱為非對稱錯誤率，它應該足夠小。

但要注意，故障—安全真正的目標是要λd的絕對值要小，通過減小λd來減小δ或γ。否則會造成錯覺：盡管λd并不小而λs卻很大，使得δ或γ很小，從而把設備看成是故障—安全的。這樣一來，安全側(cè)故障率λs越大，會導致系統(tǒng)恢復時間變長，這不僅降低系統(tǒng)運行效率，而且還容易誘發(fā)其他重大事故。因此λs也應盡可能小。

總之，從故障—安全的實現(xiàn)來看，危險側(cè)和安全側(cè)的故障率都應盡可能的小，在此前提下，達到小的危險比和非對稱錯誤率。換言之，信號設備的故障—安全性是建立在設備的高可靠性基礎之上的。

安全系統(tǒng)必須有概率的安全目標，并對安全系統(tǒng)進行概率的安全評價，總之要對系統(tǒng)的安全程度做出概率的量化。

由于不同系統(tǒng)的安全側(cè)狀態(tài)會根據(jù)系統(tǒng)的使命而有所不同，因此廣義的故障—安全概念可以定義為：若任意一個系統(tǒng)產(chǎn)生故障時，能夠繼續(xù)維持正常工作時的輸出值，或者產(chǎn)生預定的非正確輸出值，則稱該系統(tǒng)是故障—安全的。

與狹義性故障—安全概念不同之處是認為系統(tǒng)在產(chǎn)生故障的情況下，若能繼續(xù)保持正常工作的外部特性，也算是安全的。

故障—安全概念發(fā)展的意義在于，第一允許采用通用元器件來構(gòu)造安全系統(tǒng)；第二可以充分利用通用技術(shù)的低成本、高性能等好處，為冗余技術(shù)在安全系統(tǒng)中的應用提供了理論依據(jù)，因為采用冗余技術(shù)可以大大提高產(chǎn)生故障的系統(tǒng)仍繼續(xù)提供正確輸出值的可能性。

在進行功能安全相關領域的研究、開發(fā)或集成應用中，國際電工委員會發(fā)布的IEC 61508標準是普遍認可并需遵循的一個功能安全基礎標準，即《電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》，與之對應的我國國家標準GB/T20438已經(jīng)發(fā)布。IEC 61508針對由電氣/電子/可編程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)（E/E/PES）的整體安全生命周期，定義了一個基礎的方法和技術(shù)框架，用于系統(tǒng)地處理安全相關的所有活動，對以電子為基礎的安全相關系統(tǒng)提出一個一致的、合理的技術(shù)方針。參照IEC 61508，CENELEC在鐵路應用方面頒布了EN 5012x系列標準，EN 50129定義的SIL等級見表1-1。

列車運行控制系統(tǒng)的目標之一是保證列車運行安全，因此，列車運行控制系統(tǒng)中的所有設備都屬于安全相關的設備，具有較高的故障—安全性。我國列車運行控制系統(tǒng)的設備分為SIL4級設備和SIL2級設備。地面運行控制子系統(tǒng)中的聯(lián)鎖設備、軌道電路、列控中心（CTC）、無線閉塞中心（RBC）、臨時限速服務器、應答器/軌旁電子單元（LEU），以及車載運行控制子系統(tǒng)（除DMI外）均為SIL4級設備；中央運行控制子系統(tǒng)的設備、聯(lián)鎖操作終端、車載運行控制子系統(tǒng)中的DMI為SIL2級設備；在列車運行控制系統(tǒng)中承載安全信息的通信網(wǎng)絡子系統(tǒng)的安全性也要求達到SIL4的安全等級。

二、安全通信

列車運行控制系統(tǒng)是一個由網(wǎng)絡通信子系統(tǒng)將中央運行控制子系統(tǒng)、地面運行控制子系統(tǒng)和車載運行控制子系統(tǒng)有機結(jié)合在一起的分布式、復雜的安全苛求系統(tǒng)，負責子系統(tǒng)之間故障—安全數(shù)據(jù)交換的網(wǎng)絡通信子系統(tǒng)是故障—安全相關系統(tǒng)的一個重要組成部分。為了保證列車運行控制系統(tǒng)的安全等級，國際上，安全相關設備通常按照EN 50126、EN 50128和EN 50129等安全標準來設計和制造。

列車運行控制系統(tǒng)使用了大量通用的信息傳輸技術(shù)，屬于非安全通信通道。為了確保安全相關設備之間和內(nèi)部信息傳輸?shù)目煽啃院桶踩?，需要使用EN 50159（鐵路應用—通信、信號和處理系統(tǒng)—傳輸系統(tǒng)中的安全相關通信）建議的安全通信技術(shù)，將非安全通信通道構(gòu)建成安全通信通道，實現(xiàn)安全通信。新版EN 50159合并了原有EN 50159-1和EN 50159-2兩個標準，傳輸系統(tǒng)的分類從封閉/開放兩種變?yōu)槿N：類別1的封閉系統(tǒng)、類別2的開放系統(tǒng)、類別3的開放系統(tǒng)。列車運行控制系統(tǒng)中的通信網(wǎng)絡子系統(tǒng)應根據(jù)新版EN 50159明確的鐵路信號領域常見傳輸系統(tǒng)分類，針對其不同特點采用不同的防護技術(shù)來保證信息傳輸?shù)陌踩?/p>

圖1-8描述了EN 5012x系列標準之間的關系，以及它們在列車運行控制系統(tǒng)中的作用。