1 概述

  随着城市轨道交通的发展,国内轨道交通信号系统的地位越来越重要,如何研发安全的信号系统也成为关键的命题。近年来,CENELEC EN 5012X标准在国内广泛应用,按照安全完善度等级(SIL)研发已经渐渐成为行业默认的规范。CENELEC EN 5012X标准中关注功能完善度等级和软件完善度等级的定义和要求,却未指出如何进行完善度等级确定和分配的方法。IEC 61508-5中给出功能完善度等级的确定方法示例,黄皮书(Yellow Book)中给出系统完善度分配的一些原则,但从工程应用角度关注更多的是如何将这些完善度确定方法、原则转换成系统的分配方法,以便按照分配的完善度等级对照标准的要求进行开发。综合IEC 61508-5推荐的风险图方法和黄皮书中的原则,结合工程实践总结提出一套简单易用的功能和系统SIL分配方法,以便为后续的工程应用提供一定参考。

2 安全完善度等级(SIL)

  安全完善度等级(Safety Integrity Level,SIL),指的是在一定条件一定时间内系统满足规定安全特性的置信度的数字。安全完善度等级是一组分级数字,它确定了系统达到要求的安全特性所需要的置信度[1,2]。

  通常,铁路地铁信号系统/功能的安全完善度等级被分成5个等级[1]。

  1)最高等级也被叫做SIL4, 意味着系统中的整个功能对于铁路和地铁运输是至关重要的,并且系统是安全苛求系统,需要进行故障-安全设计。

  2)高等级也被叫做SIL3,意味着系统对于铁路和地铁运输是至关重要的,并且系统是安全苛求系统,需要高完善度的安全设计。

  3)中等级也被叫做SIL2,意味着系统功能对铁路和地铁运输是必要的,同时系统需要中等完善度的安全设计。

  4)低等级也叫做SIL1,意味着系统功能对于铁路和地铁运输是基本的,系统安全设计是基本完善度。

  5)零等级SIL0,意味着系统功能对于铁路和地铁运输是基本的,系统被广泛的认为是非安全相关的,且没有安全需求说明。

  软件安全完善度等级:(Software Safety Integrity Level,SWSIL),是一组分级数字,决定了为减少剩余软件故障以达到合适的水平(比如由EN 50128定义的水平)而采用的技术和措施。软件安全完善度等级应当在软件使用的风险水平基础上确定。

  EN 50128说明了软件安全完善度等级的5个层次[3],如表1所示。

  从以上的定义可以看出,安全完善度等级分配时,需要确立以下类别的安全完善度等级:

  1) 系统安全完善度等级也叫系统SIL等级;

  2) 功能的安全完善度等级也叫功能SIL等级;

  3) 软件安全完善度等级也叫软件SIL等级。

3 SIL分配
3.1 系统/功能的安全完善度等级

  系统SIL等级的定性分析分为以下情况。

  1) 采用以往类似系统的SIL等级:若公司或行业中已有类似的系统,可以采取类似系统的SIL等级作为所开发系统的安全完善度等级。

  2) 根据标准、法律、法规中的规定确定系统的安全完善度等级:若在国家或国际标准、法律法规中已经对此系统的安全完善度等级进行了规定,则可以采取被客户或安全权威机构认可的标准、法律、法规中规定的SIL等级,例如TB/T 3027-2002 计算机联锁技术条件中规定“计算机联锁软件的安全性完善度等级宜划分为4级”,那么联锁系统中安全相关功能的等级可建议分为SIL4级[4]。

  3) 根据所分配的功能SIL确定系统的SIL,本文将介绍此种方法。

  在确定系统SIL时,除了上述的1),2)情况外,首先需要确定系统所具有功能的SIL,IEC 61508中的风险图即是确定功能SIL的方法之一。此方法是基于功能的风险水平确定SIL等级。风险图有4个纬度:后果的严重程度,暴露在危险中的时间,避免危险的可能性,没有安全功能时不期望事件的发生概率。这个方法是以危险源相关的风险因素作为对象,输出是安全功能所需要达到的安全水平[5]。IEC 61508推荐风险图[6]如图1所示。

  以运营正线列车超速为例,列车超速导致的后果可能为脱轨或者冲撞,在运营线路上乘客人数较多,因此首先确定后果的严重程度指标为C4多人死亡。运营线路上没有信号系统防护的列车通常也是由有经验的司机驾驶,司机在超速前可能降低速度,减少超速,因此暴露在这种风险的时间可以认为是F1不经常(rare)到经常(frequent)之间。若司机能提前介入减速控制,那么可能避免列车超速,因此避免危险的可能性应为P1。没有信号系统安全功能时,防止超速的控制主要是人工控制,因此发生超速的概率还是很高的,选择W3。由以上分析可以得出,信号系统防护列车超速的功能SIL等级为SIL4。

  对系统功能进行SIL分析后,可以获得一系列的功能SIL等级,当这些功能组成系统时,系统的SIL应当至少与它最苛刻功能的SIL等级相同。

  如表2所示,子系统SIL的分配和系统架构分配是相互联系的,获得初步的系统架构图后,根据子系统和功能的对照表可以得出每个子系统的功能SIL,选取SIL最高的作为子系统的SIL。这里的子系统和功能必须具有一定的独立性,独立性指的是如下两种情况[7]:

  1)物理上独立:使用不同的处理器、存储器;

  2)接口防御机制:某一部件的故障只对部件本身有影响,不会影响到其他部件,例如可以通过内存保护、代码分析保证此部件的内存不会被其他部件写入等方法。

  实际情况中,除了物理上的独立性很容易被证明外,接口防御机制通常需要进行大量的分析且不容易被证明,因此实际应用中并不建议使用。

3.2 软件安全完善度等级分配

  建立功能与软件的对应关系,某一软件的SIL等级初步确定为其所包含功能的最高SIL等级。如表3所示,子系统1中包含软件SW1和SW2,SW1包含的安全相关功能为F1,故SW1的SIL暂定为SIL1,而SW2不包含任何安全相关功能,因此SIL等级暂定为SIL0,即非安全相关系统。

  值得注意的是,功能SIL的分配是按照风险去确定的,但是并不代表功能的开发流程就要按照功能SIL进行。例如,如果一个功能按照风险分析确定是SIL0的,但是不代表承载这个功能的软件要按照EN 50128 SIL0要求开发。这取决于软件运行的设备是否具有独立性,独立性要求如子系统独立性要求。如图2所示。

  情况1中两个软件运行于独立的硬件平台上,两者使用了不同的处理器、不同的存储器,具有较低SIL等级的SW2并不影响具有较高SIL等级的SW1,因此SW2可以具有低于SW1的SIL等级;

  情况2中两个软件运行于同一个硬件平台上,共用同一个处理器和存储器,具有较低SIL等级的SW2会影响具有较高SIL等级的SW1,此情况下SW2的SIL等级应当与SW1相同。

4 总结

  通过以上的分析与举例,确定了轨道交通信号系统SIL分配的3个重要参数即系统SIL,功能SIL及软件SIL。首先根据IEC 61508的风险图原理确定功能的SIL,然后根据系统所包含的功能确定系统SIL,最后根据软件所具有的功能、软件所运行的子系统硬件确定软件最终的SIL。系统、子系统即根据EN 50126,EN 50129中SIL要求进行实施,软件即根据EN 50128中SIL要求进行实施。

5 改进与建议

  本文中基于IEC 61508中风险图确定了功能、系统、软件等的SIL,但是在SIL所对应的系统结构设计方面并未深入展开。如果存在保护机制(硬件或者软件)以阻止软件导致系统进入不安全状态,模块的软件安全完善度等级可以减少。(在这种情况下,保护机制的安全完善度等级应当至少与系统的安全完善度等级相同。这里的保护机制包括(但不限于):使用冗余架构来建立高等级的SIL;具有一个“连接器”(比如表决机制)。如表4所示,列举了黄皮书[7]中可以被接受的连接器机制,前提条件是:低等级的功能物理上独立且使用了不同的设计原则;如果其中一个较低等级的功能失效,此连接器将抑制由此失效导致的所有危险源;连接器需继承最高的SIL等级。因此,如何从不牺牲功能安全的角度出发,提高系统结构设计的合理性和有效性是研究的一个重要方向。

参考文献

  [1] CENELEC.EN 50129 Railway applications Communication, signaling and processing systems Safety related electronic systems for signaling[S].UK:British Standards Institution(BSI), 2003.

  [2] CENELEC.EN 50126 Railway application-The Specification and demonstration of Reliability,Availability,Maintainability and Safety (RAMS) [S].UK:British Standards Institution (BSI), 1999.

  [3] CENELEC.EN 50128 Railway applications Communication, signaling and processing systems Software for railway control and protection systems[S].UK: British Standards Institution (BSI),2011.

  [4]中华人民共和国铁道部.TB 3027-2002 计算机联锁技术条件[S]. 北京:中国铁道出版社,2002.

  [5] Beugin.J,Renaux.D,Cauffriez.L.A SIL quantification approach based on an operating situation model for safety evaluation in complex guided transportation systems[J].Reliability Engineering and System Safety,2007(92):1686-1700.

  [6] IEC.IEC 61508-5 Functional safety of electrical/electronic/programmable electronic safety-related systems Part 5:Examples of methods for the determination of safety integrity levels[S].UK:International Electrotechnical Commission,2000.

  [7] Rail Safety and Standards Board. Engineering Safety Management (The Yellow Book) Volumes 1 and 2 Fundamentals and Guidance [M].UK:Rail Safety and Standards Board,2007.

  [8]郭海涛,阳宪惠.一种安全仪表系统SIL分配的定量方法[J].化工自动化及仪表,2006, 3(6):65-67.

  [9]曹启滨.城市轨道交通延长线路信号系统贯通方案分析[J].铁路通信信号工程技术,2017,14(1):69-70.