1引言
1.1选题背景及意义
高速铁路的建设与发展是我们正处在的这个时代的产物,代表的是国家发展战略的意志,高速铁路系统也是现代化国家发展和科技创新的标志,是我国加快城市化进程和社会经济发展的最佳手段,是与建设创新型国家的规划相适应的国家行为w。以京沪线,武广线和郑西线为代表的中国列车控制系统CTCS-3《ChinaTrain Control System Level 3)级,以无线通信为主和点式信息传输系统与轨道电路占用检查为辅的车地信息传输方式,代表着我国在高速铁路领域的最高水平。CTCS-3级高速线路对铁路信号提出了很多需求,在过去五年中大大促进了铁路信号的发展,无论从概念、原则、构成、技术上都带来了很大的变化。主要包括.高速铁路信号系统由传统的车区间闭塞、调度监督、车站联锁发展为列控系统,综合行车调度和车站联锁;2.铁路信号的主体由以车站联锁为中心向以列车运行控制系统为中心的转变;3.行车调度由以往的"调度员-车站值班员-司机”的三级管理方式向调度员直接指挥行进列车的直接调度方式转变;4.行车控制由以人控车为主向车载设备自动智能控车转变;5.车地信息传输数据量显著增大,线路数据由预先存储车载设备方式向车地实时传输不断更新转变;6.闭塞方式由以往的三显示、四显示向准移动闭塞的转变;7.信号显示制式从进路式、速差式转变为目标距离显示方式,由地面信号为主转变为车载信号为主,甚至取代地面信号机;8.列车制动方式有分级制动转变为模式曲线一次制动,制动控制方式由失电制动转变为得电制动和失电制动优化组合的转变;9.信号设备由以继电、电子技术为主转变为以计算机技术为基础的通信技术与信号处理控制技术的综合;10.车站联锁由继电器联锁方式转变为计算机联锁;11.信号系统由相对孤立的格局转变为在先进通信手段支撑下的大系统网络;12.信息传输由轨道电路单一连续式传输方式为主转变为以点式应答器和无线通信技术为主的通信方式;13.调度指挥系统从调度监督转变为分散自律的调度集中方式,形成大型调度中心;14.安全理念由传统的绝对安全转变为基于风险控制可接受的现代安全理念,在欧洲铁路安全标准体系的指导下保障安全,所有信号设备必须通过国际第三方安全认证才能上道使用。
由此可见,与传统铁路信号设备相比,高速铁路信号系统的提升是全方位的,这也使我们不得不考虑,作为铁路信号系统第一要务的系统安全性也要相应进行全新概念上的安全评估与分析。这样我们很自然地去向欧洲列车运行控制系统ETCS(Europe Train Control System)那里获取更多的经验。从总体上看,CTCS-3级列控系统与ETCS-2级列控系统处在同一技术水平上,ETCS在经过多年的设计、分析和实现中积累了很多安全相关的重要成果,主要体现在UNISIG subset系列标准中。另外欧洲铁路通信信号安全标准体系完善,形成了以EN 50126,EN50128161和EN 50129m为核心指导的安全评估认证体系,以德国SIEMENS,意大利ANSALDO,法国ALSTOM等为代表的国际知名铁路信号企业的研发经验都成为可以借鉴的重要来源,也是引进消化吸收创新的重要任务。另外高速铁路的安全性很容易触动社会的敏感神经。2011年7月23日发生了全国高度关注的“7.23甬温线特别重大轨道交通事故”引起了社会对铁路安全问题的关注,这场事故不仅仅影响了铁路事业的形象,更造成了严重的人员伤亡和财产损失,也使得社会对铁路安全的要求更加严格,从一定程度上更加苛刻了风险的接受性。就CTCS-3级列控系统[3]来看,车载设备自动列车防护(ATP)是保障列车行车安全的核心所在,从系统总体设计来看[4],车载设备是所有整个系统中信息流的终点,需要采集综合处理和执行来自地面提供的各种信息。而在车载设备中,车载安全计算机的关键性变得更为突出,因为信息的处理和决策在这里进行,直接关系到行车安全,所以它是一个安全苟求系统(safety critical system),根据欧洲标准EN 50129的定义,安全完整性等级(safety integrity level)属于SIL4最高级。
2 C3车载安全计算机的安全分析
根据EN 50129的要求,安全分析过程的步骤如图2.1所示。图2.1给出了一个风险分析流程示例,以下的子条款更详细地阐述了流程步骤。系统研发单位的职责包括:根据铁路主管部门要求定义系统(与技术实现无关),识别与系统相关的隐患。隐患识别包括对产品、流程、系统或任务进行系统的分析,以确定在整个生命周期中可能发生的能造成人员伤害或环境破坏的不利因素。对隐患的系统化和结构化识别包含两个阶段:经验阶段(使用以往的经验,如检查表);创造阶段(专家会议形式的头脑风暴,结构化的假设分析和经典隐患识别方法)。隐患识别的经验阶段和创造阶段相互补充,增强了已覆盖潜在的隐患空间和已识别所有重大隐患的置信度。隐患依赖于系统定义,特别是系统边界,这允许针对系统和子系统的隐患进行分层构建。这也意味着隐患识别和因果分析应在系统研发的几个细节阶段重复进行。如图2.2所示,在系统层面一个隐患产生的原因可认为是子系统级的一个隐患(针对子系统边界)。因此这一定义给出了一个结构化和层次化隐患分析和隐患跟踪的方法。为了进一步保证隐患评估关注于最重要的隐患,所识别的隐患宜按风险等级排序。所有已识别的隐患和其它相关信息应记录在隐患日志中。风险评估和允许隐患率(THR)分配系统研发单位应主动开展后果分析,如损失,伤亡等的分析;定义允许风险准则;导出允许隐患率,并确保产生的风险是允许的。分析方法包括:明确地估计(单个)风险的后果;与现有系统的性能进行对照或依据公认的技术准则,利用统计或分析方法导出允许隐患率;若某些定性方法定义了一个隐患清单和相应的允许隐患率,则可利用这些方法获得允许隐患率。
3 安全论证与安全证明文件.......... 49
3.1 安全证明文件......... 49
3.1.1安全证据与论证......... 49
3.1.2安全证明文件......... 50
3.1.3安全证明文件的编制......... 52
3.2 GSN方法的应用......... 53
3.2.1 GSN方法介绍......... 53
3.2.2如何使用GSN方法......... 55
3.3 系统安全论证框架......... 57
4 安全管理和技术安全论证......... 59
4.1 安全管理和技术安全论证......... 59
4.1.1安全管理报告的论证结构......... 59
4.1.2安全管理报告子目标的论证......... 61
4.2 功能与技术安全的安全论证......... 70
4.2.1技术安全报告的论证结构......... 70
4.2.2技术安全报告子目标的论证......... 72
5结论.........79
结论
本文对CTCS-3级列控系统的安全计算机VC进行了详细的系统的安全分析,在生命周期“V”字模型的指导下,定义了分析对象,详细描述了系统的功能和结构,定义了安全计算机的核心功能,通过功能失效分析,识别了各功能的失效模式,并通过分析各功能失效模式分析了对应的后果,判定了相应的严重性等级,同时识别了安全相关功能和非安全相关功能,并对所有系统接口进行了 FMEA分析,对相关的运营维护流程进行了基于Hazop的隐患分析,建立了隐患群。通过建立系统的功能故障树得到了顶层隐患的原因即最小割集,最终导出了系统的安全需求。另外通过EN 50126检查表和yellow book检查表识别了非功能安全相关的系统安全隐患,识别了系统边界外围需要满足的安全相关应用条件。在系统安全分析工作的最后,应用目标结构语言GSN方法,根据EN 50129对安全证明文件的要求,详细描述了 “安全计算机需要满足系统安全性达到风可接受”的目标,分别建立了通用的适用于铁路信号系统的安全证明文件论证模板,为一般铁路信号设备的开发做出了一定了尝试,也为系统开发和集成企业参与独立第三方安全认证高效建立安全论证模板做出了一定的参考。
参考文献
[1]高速列车科技发展“十二五”专项规划
[2]傅世善.傅世善铁路信号论文选集[M].第1版.北京.中国铁道出版社.2012.3
[3] CTCS-3级列控系统车载设备技术规范V0.2.2008.9
[4] CTCS-3级列控系统技术创新总体方案?铁道部科技司.2008.
[5] CENELEC, EN 50126’ Railway applications -The specification and demonstration ofReliability, Availability, Maintainability and Safety (RAMS): BSI, 1999.
[6] CENELEC, EN 50128. Railway applications -Communications, signaling and processingsystems -Software for railway control and protection systems: BSI,2011;
[7] CENELEC, EN 50129. Railway applications -Communication, signaling and processingsystems -Safety related electronic systems for signaling: BSI, 2003,
[8] “7.23”甬温线特别重大铁路交通事故调查报告.国务院“7.23”甬温线特别重大铁路交通事故调查组.2011.12
[9] Engineering Safety Management (The Yellow Book),Volumes land 2,Issue 4.
[10] Timothy Patrick Kelly. Arguing Safety - A Systematic Approach to Managing SafetyCases [D]. PhD Dissertation. University of York. 1999.