某一具体系统要求可以分为:安全要求和非安全要求.安全要求又分:安全功能要求和安全完善度要求.安全功能要求是指系统要实际实现的安全相关功能; 每个安全功能所要求的安全完善度等级则由安全完善度要求规定, 如图2所示.

图2

Fig.2

	Figure Option ViewDownloadNew Window
	图2 安全完善度要求Fig.2 SIL requirements

安全相关功能完善性受系统失效、随机失效和外部影响三项因素影响^[5].系统安全依赖于系统所采用的预防或容忍系统失效及控制随机故障的适当措施.要达到系统足够高的SIL, 需要兼顾系统失效安全完善度以避免系统失效, 随机失效安全完善度以控制随机失效, 从而保证系统安全性的实现.

1)系统故障完善度.

它在安全完善度中是一个非定量的部分, 它与系统的软硬件的系统故障有关, 通常是由整个生命周期内人为因素造成的.因此, 系统故障完善度是需要通过质量管理和安全管理来达到的, 同时在技术上给予相应的要求.

2)随机故障完善度.

它是随机故障相关的安全完善度的部分, 它是系统硬件可靠性的体现.随机故障完善度是通过安全技术措施达到的.随机故障完善度的定量评估就是进行系统风险和危害可能性的计算, 在计算前必须知道整个系统或设备的硬件器件的故障失效率和相应的故障模式.

英国黄页第4版^[6]给出了冗余结构实现SIL的方案, 如表2所示, 前提条件是:低等级的功能物理上独立且使用了不同的设计原则; 如果其中一个较低等级的功能失效, 此连接器将抑制由此失效导致的所有危险源; 连接器需继承最高的SIL.

表2

Tab.2

表2(Tab.2)

表2 连接器机制可接受SIL分配表 Tab.2 SIL allocation for connector 最高的SIL 下一级安全功能的SIL 连接器 主要 其他 SIL4 无 无 SIL4 SIL4 SIL2 SIL4 SIL3 SIL3 SIL4 SIL3 无 无 SIL3 SIL3 SIL1 SIL3 SIL2 SIL2 SIL3 SIL2 SIL2 无 无 SIL1 SIL1 SIL2 SIL1 SIL1 无 无

表2 连接器机制可接受SIL分配表 Tab.2 SIL allocation for connector

在工程项目中有一些使用SIL概念的误区.在轨道交通行业.如一条线路的信号系统是由若干子系统组成的, 如果每个子系统的安全功能满足SIL4要求, 就认为整个信号系统就满足SIL4要求, 这也是对于SIL概念的错误认识.当某个产品获得SIL4证书, 说明其主要的安全功能可以达到SIL4所规定的要求, 不过当若干不同的产品组合在一起, 它们所共同完成的功能可能会发生变化, 这时需要进行系统性分析, 看看这时候的安全功能是什么, 它的表现如何.另外在一整条线路中, 设备的数量是很多的, 这时候不光要关注SIL, 更需要从整条线路的安全目标考虑, 分配给信号系统的安全目标是多少, 能否达到要求.如假设一个安全苛求系统是由10个满足SIL4安全功能要求的产品组成的, 每个安全功能的THR应小于10^-8/h, 如果简单的去累加这些功能, 10个安全功能串接在一起, THR是累加的概念, 整个系统的安全功能的THR只能达到10^-7/h, 也就是说只能满足SIL3要求, 因为这个系统当中的10个安全功能是各不相同, 不能够像可靠性指标一样进行计算.

还有一类SIL概念的错误使用误区, 就是将系统可靠性、可用性方面的要求用SIL进行表达.如现在大地铁的轨道交通运营压力都很大, 一旦发生故障, 线路很容易出现延误等影响运营的情况.为了提高轨道交通可用性, 会发现对于轨道交通通信、电源供电、人机显示功能等相关设备和功能提出SIL2要求, 这就是错误的把可靠性和可用性方面的要求用安全性的要求表达出来, 这不仅不能有效解决可靠性和可用性方面的问题, 反而会降低系统的相关性能, 为了提高系统的安全性, 往往会采用冗余和故障导向安全等技术手段.但为了保证安全性而增加系统组成的设备数量, 往往会降低整个系统的可靠性和可用性, 牺牲一些可靠性的指标要求.

对于任何安全苛求系统绝对安全是不存在的, 通过国际通行的原则(ALARP、GAMAB、MEM等)采用一定范围数字的方法来确定可容忍风险指标, 即什么样的危险可能性是能接受的.

1)可容忍目标.在铁路交通运输系统通常规定为 Ri≤ 10^-5灾难性危险/人· 年.信号系统在铁路运输中要求较高的安全性, 因此在一般信号系统的可容忍目标在分析和评估中规定为 Ri≤ 10^-6灾难性危险/人· 年, 并且将该值认为是 ATP车载设备的 THR.

2)单点风险率.对每个风险进行估计, 可以用下式来描述单点风险率(Individual Risk of Fatality, IRF )

IRFi=∑所有危险HjNi{(HRj×(Dj+Eij))∑事故AkCjk×Fik}(1)

式中: N_i 是系统或设备特定功能的使用次数(每年或每小时); HR_j 是风险模式下造成的危害率, 可以作为THR_j 的参考值; D_j是系统或设备暴露在危险状态的时间; E_ij 是系统或设备在故障状态的时间; $C^{k}_{j}$ 是风险模式的危害度; $F^{i}_{k}$是灾难事故的概率.

配合行业权威部门制订的单风险容忍度TIR, 计算出每个风险的IRF为

IRFi≤TIR=10-6(2)

式中:单风险的THR_i 就通过满足该目标可容忍度下的HR≤ THR_i 得出.

取每个安全功能的THR_n 中后最小值作为一个子系统或设备的THR_s, 即

THRs=min[THR1, THR2, THR3, …, THRn](3)SILs=max[SIL1, SIL2, SIL3, …, SILn](4)

最终系统的SIL就可以对照标准的THR范围确定.

以列车运行控制系统完成的超速防护功能为例, 说明如何确定SIL.先设定列车运行控制系统的基本参数如下.

1)预估行驶中列车每小时遇到红灯的最大次数为4次, 每次遇到红灯进行处理的时间为100 s, 设备的处理周期为100 ms, 则ATP车载设备处理红灯安全防护功能的总次数为

4×(100/0.1)=4000, 设Ni=4000.

2)车载设备强大的自检功能可以在出现故障时很快检测出, 并实施紧急制动使列车停车, 因此设定车载ATP设备处于危险状态的时间 Di最大为5 s.结合车载ATP设备的故障检测和回段处理等过程修复时间, 设定在停车后车载ATP设备处于故障状态的时间为 Ei=4 h.

3)由于车载设备出现安全故障, 则其危害程度将相当严重, 认定为将有10~100人处于危险之中, 则$C^{k}_{1}$=10^-2, 同时对于严重危险和危害程度较大的风险, 认定$F^{k}_{i}$=1.根据式(1)、式(2)得出

IRFi=Ni(HR1×(D1+Ei)×∑C1k×Fik)=4000×(HR1×(4+5/3600)×10-2×1)≤TIR=10-6.

要求上式满足, 则需要 HR1≤6.25×10-9,则可以认为 THR1=6.25×10-9.

通过和IEC61508的SIL表和EN50129的SIL表, 列车超速防护功能的SIL为SIL4.

以上只是对一个安全功能的计算和分配, 如果想得到整个ATP车载设备的评估, 必须对每个功能的THR_i 和SIL_i进行分析.根据式(3)、式(4)的系统THR_s和系统SIL_s确定整个车载ATP设备SIL的数值.

确定功能与子系统的对应关系, 找出每个子系统中功能的最高SIL, 将此SIL作为子系统的SIL.如表3所示, 子系统2包含安全相关功能F2、F4, F2为SIL2, F4为SIL4, 因此子系统2的SIL等级应当与F4的SIL相同为SIL4.

表3

Tab.3

表3(Tab.3)

表3 子系统SIL分配表 Tab.3 Allocation table of subsystem SIL 功能 SIL等级 子系统1 子系统2 … 子系统 n F1 1 √ — √ F2 2 — √ … — F3 2 — — √ F4 4 — √ — 最高 SIL - 1 4 … 2 3 注:√ 表示承担安全功能; -表示不适应.

表3 子系统SIL分配表 Tab.3 Allocation table of subsystem SIL

IEC 61508标准采用风险图确定SIL等级:此方法是基于功能的风险水平确定SIL等级.功能的风险水平由公式R=f× C.其中, R是安全相关系统的风险; f是安全相关系统的危险源频率; C是危险源发生后果(后果可以是对于人的伤害、财产损失或是对于环境的破坏).

危险源频率 f由3个因素组成:1)危险源发生频率和危险区域暴露时间; 2)避免危险源发生概率; 3)无任何安全相关系统(但是存在外部风险减轻设施)时危险源发生概率— 被称作非期望事故的概率.

因此风险包括以下4个参数^[8]:1)危险源后果C; 2)危险源发生频率和危险区域暴露时间F; 3)避免危险源的概率P; 4)非期望事故的概率W.

依据图3的风险图确定其风险减轻值, 取值可能是 a、b、c、d、e、f,然后对照表4得出该功能的SIL等级.确定每个功能的以上4个参数的等级见表5.

图3

Fig.3

	Figure Option ViewDownloadNew Window
	图3 风险图Fig.3 Risk map

表4

Tab. 4

表4(Tab. 4)

表4 W中各等级的定义 Tab. 4 Definitions of grades in W 最少需要的风险减轻值 安全完善度等级SIL - 无安全要求 a 无特殊安全要求 b, c 1 d 2 e, f 3 g 4 h 单个安全相关系统不能满足要求

表4 W中各等级的定义 Tab. 4 Definitions of grades in W

表5

Tab.5

表5(Tab.5)

表5 参数定义 Tab.5 Parameter definitions 风险参数 等级 备注 后果(C) C1 发生轻伤 C2 发生重伤、多人轻伤或对环境有较严重威胁 C3 单人死亡, 多人重伤或对环境造成严重破坏 - C4 多人死亡或对环境造成重大破坏 危险源发生频率和 危险区域暴露时间(F) F1 几乎不到经常暴露在危险区域 - F2 频繁到永久暴露在危险区域 避免危险源的概率(P) P1 在一定条件下可能 这个参数需考虑: 监控或者未监控(如由技术熟练或技术不熟练人员)的流程; 危险源发展速率(如突然、快速或缓慢); 危险识别的难易(如很容易被识别, 通过技术措施检测或无须任何技术措施就可检测); 危险源规避(如可能的、不可能的或者一定条件下可能的逃避路线); 实际的安全经验(在一些相同或类似的受控设备中存在的类似安全经验) P2 几乎不可能 非期望事故的概率(W) W1 非期望事故发生概率很小, 且有很少数的事故可能发生 - W2 非期望事故有发生的可能性, 有一些且非期望事故可能发生 W参数的目的是在没有任何安全相关系统情况下(但是包含外部风险减轻设施), 评估非期望事故发生的概率. 如果受控设备没有存在或者存在很少的经验, W因素的评估可能需要计算获得.在这种情况下, 需考虑最坏的情况. W3 非期望事故发生的可能性相对较高, 且频繁的非期望事故可能发生 -

表5 参数定义 Tab.5 Parameter definitions

图3中各参数的定义见表4和表5.

计算机联锁系统是一个对于安全性要求很高的信号产品, 它通过列车进路、信号机和道岔直接的联锁关系保证列车行车的安全^[9], 表6列举了联锁系统相关功能.

表6

Tab. 6

表6(Tab. 6)

表6 联锁功能列表 Tab. 6 Interlocking functions list 参考编号 相关功能 3.1 联锁功能 3.1.1 进路控制 3.1.1.1 办理列车进路 3.1.1.2 办理折返进路 3.1.1.3 调车进路 3.1.1.4 引导进路 3.1.2 进路解锁 3.1.2.1 自动解锁 3.1.2.2 非自动解锁 3.1.3 道岔信号机控制 3.1.3.1 信号关闭 3.1.3.2 信号重开 3.1.3.3 信号单操 3.1.3.4 信号单锁 3.1.3.5 信号单解 3.1.3.6 信号强扳 3.1.3.7 封锁功能

表6 联锁功能列表 Tab. 6 Interlocking functions list

以表6中的3.1.1.1办理列车进路功能为例说明确定SIL等级, 办理列车进路如果处理不当可能造成列车相撞等严重事故, 后果等级设定为C₄, 非期望事故概率设定为W₂, 通过图3得知这个安全功能的SIL等级应该划分为SIL4级, 如图4所示.

图4

Fig. 4

	Figure Option ViewDownloadNew Window
	图4 办理列车进路功能的SIL分配Fig. 4 SIL allocation for train route function

定性方法使用矩阵评估风险, 以文字方式而不是数字方式描述.如用类似“ 灾难性的” 或者“ 严重的” 之类的短语形容严重程度.定性的方法依赖于用户选择风险参数所基于的假设和判断.定性的方法可能会使用模棱两可的说明短语, 需要由次方法的不同的用户商讨得出共识.如“ 灾难性” 或“ 严重的” 的两个短语可以用来表示风险的严重程度的定义需要有度量标准.当选择了一个错误的风险参数时, 由于定性的方法使用一定范围和短语相结合粗略的描述风险参数, 在选错误数量级会立即导致不同的结果.

定量的方法使用明确的(或一定范围)的数字作为安全目标计算的输入.如危险出现的频率可以使用每小时的事件数表示.定量的方法可能更容易出现计算结果的错误.对于定量方法, 可能会出现参数的轻微变化, 并不一定会导致不同的结果.

但是, 无论什么方法, 如果无法准确估计参数, 应该选取保守的结果.此外, 过于复杂的应用计算或分析方法要求安全人员拥有更多的成功的应用的经验和诀窍.