第四节　故障—安全与安全通信

一、故障—安全的基本概念

故障—安全的概念最早产生于铁路信号控制领域，至今已发展到其他领域，成为安全工程学中的最基本、最重要的概念之一。

传统的故障—安全概念强调：一个系统，当其内部发生任何故障时，该系统能够给出一个预定的输出值，这样的系统称为故障—安全系统。预定输出值指的是能够控制设备于安全侧的输出值。

，号系统的故障—安全，建立了一种绝对化的故障—安全概念，尽管有时难以做到绝对，但在尽力争取。

随着科学技术的发展，安全苛求系统为了实现更多的功能，并简化系统结构，大量使用了嵌入式计算机、电子元器件，以及通信通道，这些元素都不具有非对称故障特性，因此需要引入可靠性理论，对故障的分析建立在概率论的基础上。于是不具有非对称故障的电子元器件和非安全通信通道也可用于列车运行控制系统，通过采用各种可靠性技术、容错技术和安全通信技术等来实现列车运行控制系统通信子系统的故障—安全特性。

可靠性理论的诞生和发展，促使对故障的分析建立在概率论的科学基础上，进而揭示了故障—安全也应是一个具有概率特性的概念。可靠性理论使人们对故障—安全概念认识的深度和广度都发生了巨大的改变。新概念认为：设备或系统的故障不可避免，可以足够小，但不可能为零，故障的后果可分为危险侧和安全侧，危险侧故障概率应足够小，安全侧故障也应尽量小，不然可用性就差。

客观上可靠度为百分之百的系统是不存在的，也就是说设备的故障是不可避免的，可用全故障率λt表示，只能希望它足够小。

对设备的故障根据它带来的后果可以分为危险侧故障和安全侧故障，分别用危险侧故障率λd和安全侧故障率λs表示，则有：λt=λd+λs。

由于危险侧的故障率无论如何低不可能等于零，因此故障—安全的概念不是绝对的。

在考虑了设备的所有故障的情况下，危险侧故障率λd相对全故障率λt小到可以忽略的程度时（但永远不会为0），该设备才是故障—安全的，即危险比δ为：δ=λd/λt，δ应该足够小；γ=λd/λs称为非对称错误率，它应该足够小。

但要注意，故障—安全真正的目标是要λd的绝对值要小，通过减小λd来减小δ或γ。否则会造成错觉：尽管λd并不小而λs却很大，使得δ或γ很小，从而把设备看成是故障—安全的。这样一来，安全侧故障率λs越大，会导致系统恢复时间变长，这不仅降低系统运行效率，而且还容易诱发其他重大事故。因此λs也应尽可能小。

总之，从故障—安全的实现来看，危险侧和安全侧的故障率都应尽可能的小，在此前提下，达到小的危险比和非对称错误率。换言之，信号设备的故障—安全性是建立在设备的高可靠性基础之上的。

安全系统必须有概率的安全目标，并对安全系统进行概率的安全评价，总之要对系统的安全程度做出概率的量化。

由于不同系统的安全侧状态会根据系统的使命而有所不同，因此广义的故障—安全概念可以定义为：若任意一个系统产生故障时，能够继续维持正常工作时的输出值，或者产生预定的非正确输出值，则称该系统是故障—安全的。

与狭义性故障—安全概念不同之处是认为系统在产生故障的情况下，若能继续保持正常工作的外部特性，也算是安全的。

故障—安全概念发展的意义在于，第一允许采用通用元器件来构造安全系统；第二可以充分利用通用技术的低成本、高性能等好处，为冗余技术在安全系统中的应用提供了理论依据，因为采用冗余技术可以大大提高产生故障的系统仍继续提供正确输出值的可能性。

在进行功能安全相关领域的研究、开发或集成应用中，国际电工委员会发布的IEC 61508标准是普遍认可并需遵循的一个功能安全基础标准，即《电气/电子/可编程电子安全相关系统的功能安全》，与之对应的我国国家标准GB/T20438已经发布。IEC 61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统（E/E/PES）的整体安全生命周期，定义了一个基础的方法和技术框架，用于系统地处理安全相关的所有活动，对以电子为基础的安全相关系统提出一个一致的、合理的技术方针。参照IEC 61508，CENELEC在铁路应用方面颁布了EN 5012x系列标准，EN 50129定义的SIL等级见表1-1。

列车运行控制系统的目标之一是保证列车运行安全，因此，列车运行控制系统中的所有设备都属于安全相关的设备，具有较高的故障—安全性。我国列车运行控制系统的设备分为SIL4级设备和SIL2级设备。地面运行控制子系统中的联锁设备、轨道电路、列控中心（CTC）、无线闭塞中心（RBC）、临时限速服务器、应答器/轨旁电子单元（LEU），以及车载运行控制子系统（除DMI外）均为SIL4级设备；中央运行控制子系统的设备、联锁操作终端、车载运行控制子系统中的DMI为SIL2级设备；在列车运行控制系统中承载安全信息的通信网络子系统的安全性也要求达到SIL4的安全等级。

二、安全通信

列车运行控制系统是一个由网络通信子系统将中央运行控制子系统、地面运行控制子系统和车载运行控制子系统有机结合在一起的分布式、复杂的安全苛求系统，负责子系统之间故障—安全数据交换的网络通信子系统是故障—安全相关系统的一个重要组成部分。为了保证列车运行控制系统的安全等级，国际上，安全相关设备通常按照EN 50126、EN 50128和EN 50129等安全标准来设计和制造。

列车运行控制系统使用了大量通用的信息传输技术，属于非安全通信通道。为了确保安全相关设备之间和内部信息传输的可靠性和安全性，需要使用EN 50159（铁路应用—通信、信号和处理系统—传输系统中的安全相关通信）建议的安全通信技术，将非安全通信通道构建成安全通信通道，实现安全通信。新版EN 50159合并了原有EN 50159-1和EN 50159-2两个标准，传输系统的分类从封闭/开放两种变为三种：类别1的封闭系统、类别2的开放系统、类别3的开放系统。列车运行控制系统中的通信网络子系统应根据新版EN 50159明确的铁路信号领域常见传输系统分类，针对其不同特点采用不同的防护技术来保证信息传输的安全。

图1-8描述了EN 5012x系列标准之间的关系，以及它们在列车运行控制系统中的作用。