轨道分享① | 如何切入轨道交通产品的功能安全工作
产品功能安全如此重要,但由于构成轨道交通系统的产品繁多,供应各个产品的企业水平参差不齐,导致所供应产品的质量安全水平存在差距,主要原因为:
(1) 非传统轨道交通企业进入轨道交通市场参与竞争,其对轨道交通行业应用标准要求的理解水平存在差距;
(2) 传统轨道交通企业在质量安全保证能力方面的投入差距导致产品功能安全水平存在差距。
然而决定一个系统的功能安全性不是仅仅只保证某个或某一种系统的功能安全性即可,功能安全性的水平高低,强调“完整性”,正如“木桶效应”一样,同等安全性要求的产品,产品功能安全性水平必须保持一致,且企业的质量安全保证能力要求应在同一个水平线上,而不同等级安全性要求的产品,企业的质量安全保证能力要求也应在同一个水平线上。只有这样,复杂系统功能安全的完整性才能得以保证,系统运行的安全性才能得以保证。
图1 轨道沙龙系列示意图
基于上述构思,此次轨道沙龙系列计划分享如下内容:
2.通过概念明晰功能安全的工作边界
轨道交通行业从业者们对于EN5012x系列标准的重要性是有共识的,但是应用标准时,仍存在不知从何入手的情况,或是存在不好理解该系列标准的要求与功能安全保证到底有何关系的情况,在此,笔者给各位读者分享一个“功能安全”工作的切入点——从“功能安全”的概念入手,明晰功能安全的工作边界,从而达到明确“功能安全”工作线索的目的。
“功能安全”概念可从IEC61508.1-2010《电气/电子/可编程电子安全相关系统的功能安全 第1部分:一般要求》找到线索,标准指出:“由电气和电子器件等构成的系统,多年来在许多应用领域中执行其安全功能。以计算机为基础(一般指可编程电子系统)在其应用领域中用于执行其非安全功能,并且也越来越多地用于执行“安全功能”。如果要安全并有效地使用计算机技术,有关决策者十分必要在安全方面应有充足的指导并据此做出决定。”
针对电气、电子以及可编程电子安全相关系统的功能安全的研究随着技术的不断更新而推陈出新,用以规范相关应用领域系统的功能安全实现,促进安全系统的安全性能不断提升。
功能安全的概念是什么呢?IEC61508.4-2010《电气/电子/可编程电子安全相关系统的功能安全 第4部分:定义和缩略语》3.1.12给出了定义:功能安全是指整体安全中与EUC和EUC控制系统相关的部分,他取决于E/E/PE安全相关系统和其他风险降低措施正确执行其功能。
其中:
EUC是指“受控设备”;
EUC控制系统是指“通过响应输入信号,产生输出信号使受控设备(EUC)按预期方式工作的系统”;
E/E/PE安全相关系统应满足“执行要求的安全功能足以实现或保持EUC的安全状态”,并且“自身与其他E/E/PE安全相关系统、其他风险降低措施一起,能够实现要求的安全功能所需的安全完整性”;
其他风险降低措施是指“截然不同于E/E/PE安全相关系统的风险降低措施。”
标准的语言描述往往是晦涩难懂的,这就需要将概念“庖丁解牛”,把标准语言翻译得便于理解一些。
(1) 功能安全概念指出其是整体安全中与EUC和EUC控制系统相关的部分,也就是说功能安全只是整体安全中的一部分,如图所示。
图2 功能安全与整体安全关系示意
(2) 标准中的第二句话表明功能安全取决于E/E/PE安全相关系统和其他风险降低措施。
图3 功能安全”三要素示意图
由此可以看出:
功能安全FS={A,B, C}
功能安全三要素示意图表明,要实现功能安全,“EUC/EUC控制系统”这个主体不能少,“E/E/PE安全相关系统”这个安全防护措施不可或缺,另外,“其他风险降低措施”也是必不可少的,比如驾车过程中,油门驱动车辆行驶,刹车控制车辆遇到紧急情况时能够制动,驾驶员的安全操作是保证驾驶安全的重要保证,由此,对于驾车安全的关键要素,驱动装置(A)、制动装置(B)以及安全操作要求(C)都是缺一不可的。当然至于“E/E/PE安全相关系统”和“其他风险降低措施”将风险缓解到何种程度,取决于风险接受准则(如:ALARP准则)。
由此,一般情况下,我们可以理解A为功能安全主体,B为安全防护设计要求,而C为EUC/EUC控制系统实现功能安全的安全相关应用条件。
功能安全公式可表述为:
FS={功能安全主体, 安全防护设计要求, 安全相关应用条件}
请注意,功能安全概念在轨道交通领域应用时,“EUC/EUC控制系统相关的部分”与“E/E/PE安全相关系统”可能指同一系统,这区别于过程仪表控制领域的应用。也就是说轨道交通领域中,功能安全主体功能要求和安全防护设计要求集成在同一系统中实现。例如,列车超速自动防护系统(ATP)既要完成行车相关控制功能,又要完成列车超速的自动防御,既包括了功能安全主体,也包括了安全防护设计要求,而在过程仪表应用领域,分布式控制系统(DCS)完成控制功能,其安全防护由安全仪表系统(SIS)来完成,上述应用均体现了功能安全概念应用的要求,只是实现方式存在一些差异,这是需要注意的。
无论实现方式如何,FS={功能安全主体, 安全防护设计要求, 安全相关应用条件}的全集要素不可或缺。
为更好理解功能安全概念所呈现的功能安全要求,我们现在以列车超速防护系统(ATP)为例进行说明,列车超速防护系统(ATP)系统结构示意如图所示:
图4 列车超速防护系统(ATP)结构示意图
依据功能安全概念的“功能安全”三要素示意图,列车超速防护系统功能安全保证的全集要素如图所示:
图5 列车超速自动防护系统(ATP)的功能安全要素示意图
列车超速自动防护系统(ATP)的功能安全要素集合为:
{ATP行车控制,ATP列车超速防护, (应答器,应答器天线,应答器信息接收单元,其他接口设备,维护要求,人员要求,运营要求,环境要求等)}
功能安全概念的“功能安全”三要素示意图在列车超速自动防护系统(ATP)中的应用,只有列车超速自动防护系统(ATP)的功能安全要素完整,其功能安全性才能满足要求。
人们往往对于ATP行车控制和ATP列车超速防护的设计要求强调为重中之重,确实,该部分是列车超速自动防护系统(ATP)功能安全保证的核心,但是,研发人员如若不站在设备使用者的角度去考虑设计,如对司机人员的培训要求、线路特殊场景下的操作说明等只是寥寥数笔交代,作为用户而言,其不如研发人员了解设备的内部设计,在设备操作中则有可能造成操作失误,从而引发功能安全问题。
因此,功能安全要素一定要强调完整性,功能安全主体、安全防护设计要求和安全相关应用条件三大要素缺一不可。
3. 基于概念明确功能安全的工作主线
功能安全的目的是为了降低系统应用的风险,那么,首先应找到系统的危害因素,然后对危害加以控制。究竟如何控制呢?则需要安全防护设计来正向防御危害转化成事故的风险,以及辅助的安全相关应用条件防御危害转化成事故的风险。实现路径如下图示例:
图6 功能安全保证路线图
注:A指功能安全主体,B指安全防护设计要求,C指安全相关应用条件
由图6可知,基于图3所示“功能安全”三要素,我们整合出了“功能安全”工作的主线,即:
主线1: 功能安全设计主线,该主线包含了“功能安全”三要素中的功能安全主体要求设计及安全防护设计,该主线细分为故障安全设计要求和设计过程保障要求;
主线2: 安全应用主线,该主线包含了“功能安全”三要素中的安全相关应用条件,该主线细分为系统应用限制要求和限制要求落实的过程保障要求。
以图5示意为例,为保证列车超速自动防护系统的功能安全,行车控制功能和列车超速防护功能的安全设计主线应得到满足,除此之外,包含了“应答器,应答器天线,应答器信息接收单元,其他接口设备,维护要求,人员要求,运营要求,环境要求等”的安全应用主线也应得到满足,两条主线缺一不可。
图7 列车超速自动防护系统的功能安全工作主线示意图
通过图6和图7的示意,我们通过功能安全基本概念的理解,探寻到了“功能安全”的工作主线,从安全设计主线和安全应用主线入手功能安全工作,可有效保证系统的功能安全性,两条主线相互依存,缺一不可。
4. 结语
- 用户评论
