故障-安全概念理解和应用

邱兆阳

（北京全路通信信号研究设计院集团有限公司，北京 100070）

1 概述

故障-安全是铁路信号行业永恒的主题，在轨道交通的发展早期阶段，人们已经认识到了故障-安全的重要性。鉴于当时使用的主要是简单的机械或者电气器件，其失效模式相对简单、容易确定，且不同的失效模式之间故障率存在很大差异，或者可以排除某些有害的失效模式，以使这样构建的系统的所有容许状态只有无故障时存在（换言之，存在故障时，系统不处于容许状态）。

通常，该概念的有效性以经验为基础，如《铁路信号故障安全原则》（TB/T 2615-2018）（以下简称TB/T 2615）中提到的，故障假设的应以对铁路信号设备在使用过程中已经发生的故障总结，以及经分析可能发生的故障合理分析作为基础，但由于计算机等复杂系统的使用，信号设备不再是单纯的简单器件，也无法穷尽分析其存在的故障模式或确定性地排除某个有害的故障模式，在这个背景下，基于确定性的故障安全方法已经不可行，对于复杂的系统，只能根据器件的失效率，使用概率法来实现故障-安全。

2 概念定义

2.1 TB/T 2615

在TB/T 2615中，对于故障-安全的定义如下：“故障以后导向安全”。

在TB/T 2615的3.1.2节中规定：当信号设备发生故障时，应以特殊的方式做出反应并导向安全。同时也指出，安全是基于概率的，应同时考虑经济性，信号设备并不是绝对安全的。

在TB/T 2615的3.3.7节给出了安全状态的要求：设备发生故障导向安全后，应处于规定的4种状态，即部分或全部的暂停、降级模式、给出故障报警、给出错误操作的表示（隐含着拒绝操作错误的要求）。这4种状态可以分为两类：或者降低性能、或者给出报警提示。

在TB/T 2615的3.2.7节规定了设备信号应考虑的故障类型，如表1所示。

表 1 应考虑的故障类型Tab.1 Fault types to be considered

铁路信号故障-安全原则是铁路信号行业的基础性标准，给出了故障-安全的原理，强调故障-安全并不是绝对安全 ；定义了采取故障-安全措施后，系统可能处于的状态，给故障-安全后采取的措施提供指导。标准还就应该考虑的故障类型进行规定，比如3.2.7节的前3项，基本上对应了GB/T 28809中的单点故障。

针对铁路信号的特点，标准还加入了对误操作的故障防护要求，这对于一些具备人机操作界面的设备来说，是特别有意义的，因为有一些操作是安全相关的操作，如果错误操作，可能带来严重的后果，将这类误操作等同于设备故障，进行安全防护，是非常有必要的 ；故障累积对安全的影响虽然没有单个故障那么明显，其危害性往往容易被忽略，所以标准特别强调了对累积故障的检测要求 ；对于其他标准未明显提及的防护元件动作时可能存在的风险，TB/T 2615中也明确要求按故障进行考虑。

2.2 TB/T 3177

在《铁路信号技术中采用电子元器件时应遵循的主要安全条件》（TB/T 3177-2007）（以下简称TB/T 3177）4.1节中，对采用故障-安全的原因，以及如何实现故障-安全，什么是故障-安全进行了说明。

该标准首先指出由于人的操作失误等原因，装备铁路信号设备的必要性，接着从器件有限可靠性的角度，承认器件必然存在故障，人也会存在操作失误，在这样的条件下，为保证行车安全，必须从技术上采取措施，以便当设备发生故障或出现人为错误时，立即以特殊方式做出反应并导向安全。

铁路信号保证行车安全方法的特殊性质称为“铁路信号设备的安全性”。这个特性是：一个产品在规定的时间内和使用条件下，不出现任何危险情况的概率。当故障影响到信号设备使用时，有可能丧失信号设备的全部功能或部分功能。

这种方法也称为“故障-安全原则”。即，考虑了规定的基本条件（故障假设），对有害故障进行检测，然后采取措施以较高的概率防止该系统产生对外的错误输出。

TB/T 3177在要求故障-安全的同时，也对信号设备的高可靠性提出了要求，即“实际经验表明，操作人员的错误率比信号设备的错误率高出几个数量级。操作人员的介入构成了一种新的危险源，从而进一步降低了整个人-机系统的安全性。在规定的时间和规定的使用环境下，由于信号设备发生故障而使系统处于限制状态的概率应该是很小的。”这是一种更广义的故障-安全理念，强调了从整个系统的安全性出发来考虑故障-安全的实现，而不是仅仅考虑信号设备本身，也应考虑信号设备本身故障导向安全后，对整个系统安全性的影响。

2.3 GB/T 28809

在《轨道交通 通信、信号和处理系统信号用安全相关电子系统》（GB/T 28809-2012）（以下简称GB/T 28809）中，对故障-安全给出的定义如下：“结合在产品设计内的一种观念，即发生失效事件时产品导向或维持在安全状态”。

在GB/T 28809中同样对安全状态进行了定义：“继续保持安全的状况”。

GB/T 28809要求，设备在正常条件下、故障影响下，以及外界影响下的运行，都应满足安全要求。针对故障-安全方面，强调的是故障影响下的运行要求，包括以下3个方面：

1）对于SIL3和SIL4系统来说，当可识别的任何一种单一随机硬件故障发生时，应保证其安全；

2）单一故障的检测间隔应满足检测时间的要求，并在满足要求的时间内进入或达到安全状态；

3）有危害的多重故障，其检测时间也应满足要求，并在检测到多重故障后进入或达到安全状态。

GB/T 28809对故障检测的定性要求与TB/T 2615基本一致，但GB/T 28809给出了故障检测的量化计算方法，以及对双重、三重故障检测时间间隔方面的要求，而且明确要求SIL3/SIL4系统在单点故障发生时，应处于安全的状态。

2.4 GB/T20438

众所周知，GB/T 28809标准是以GB/T 20438为基础标准而制订的铁路行业标准，需要注意的是，在GB/T 20438中提到，“并没有明确地使用故障-安全的概念”。然而，如果能够满足标准中相关条款的要求，则“故障-安全”的概念和“本质安全”的原则可能被应用，并且采用这些概念是可接受的。

2.5 本质安全

本质安全（Inherent Safety）指设备、设施或生产技术工艺含有的、内在的能够从根本上防止事故发生的功能。在安全仪表行业中较多的使用了本质安全。

本质安全一般包括两种安全功能：

1）失误-安全功能：在操作者操作失误的情况下，不发生伤害和其他事故。

2）故障-安全功能：设备或工艺等在故障条件下，能够短时间继续工作或进入安全状态。

在轨道交通发展的初期，复杂电子器件未大量应用，普遍使用具有能够排除有害故障模式的器件，比如铁路常用的信号安全继电器就具有本质安全的特性。

在GB/T 28809中提到，本质安全可作为故障-安全的一种实现机制，并给出如下的解释 ：“这种技术允许一个安全相关功能由单个对象执行，前提是假定对象的所有可信失效模式均为非危害的”。

2.6 相关概念

故障发生后，除了导向安全的处理外，还有一些其他的处理原则，列举如表2所示。

表 2 故障后的处理Tab.2 Handling after failure

现代化的基于计算机的高速铁路信号系统，已经普遍采用了故障-安全机制和故障-容错机制，随着自动驾驶和感知技术的应用，应从整个系统安全性保障出发，综合考虑故障-软化、故障-被动运行技术，实现大系统的故障-安全，最大程度的实现高可靠运营，不中断地提供安全的服务。

3 安全状态和系统安全

3.1 安全状态

故障导向安全，可以分成几个层面，比如设备层面、产品层面以及系统层面。故障以后导向安全，必然涉及系统和设备各层级的安全状态的识别。

应该指出的是，故障-安全并不等同于故障-停止(fail stop)，一般来说，检测到紧急情况后使列车停止运行，在大部分场景下是安全的，但在某些场景下则是不安全的，如：列车发生火灾时将车停在隧道中。

安全状态实际上是一个相对的概念，在进行安全分析的时候，应说明所在的具体场景，有些系统并不是在所有的情况下只对应一个安全状态。

如轨道电路模块，对外驱动轨道继电器来表示轨道的出清和占用状态，轨道电路模块发生故障时，驱动轨道继电器落下作为安全状态 ；联锁设备采集该继电器接点的状态，轨道继电器吸起时认为轨道是处于无车占用的空闲状态，轨道继电器处于落下状态时，认为有车占用，考虑以下轨道继电器处于落下状态（安全状态）但处于不同场景的情况，如表3所示。

表 3 轨道电路故障-安全场景Tab.3 Track circuit fail-safe scenario

表3中，情况1和3轨道继电器在有车占用区段时落下，轨道继电器状态与实际占用状态一致，没有风险 ；情况2指的是区段空闲，轨道电路模块本身的故障导致轨道继电器落下，在所分析的场景下，没有风险 ；情况4的分析场景是某区段当占用时即开始倒计时，倒计时结束，进行进路解锁的操作，如果车未驶入所在区段，但轨道模块故障时，轨道继电器落下，倒计时会错误提前开始，从而造成进路提前解锁，存在安全风险，在这种场景下，轨道继电器落下作为安全状态是不合适的。

针对第4种场景，实际一般采取以下方法来提高安全性：一是结合相邻区段的顺序相继占用条件，而不采用单一区段占用的条件来启动解锁倒计时，避免倒计时的错误启动 ；二是采用开路式轨道电路，这种轨道电路的安全状态与闭路式轨道电路是相反的，可以在这种场景下适用。

3.2 安全状态识别

如3.1节所述，安全状态应区分不同场景来识别分析，而不是笼统地只定义一种安全状态。

如3.1节的举例，列车检测到紧急情况，需要停车时，系统的安全状态可能有如表4所示的几种情况。

表 4 安全状态举例Tab.4 Safe state example

3.3 人因考虑

如TB/T 3177中所提到的，设备故障后将操作权转移到人时，由于人的可靠性比设备低很多，操作人员的介入， 实际上降低了整个人-机系统的安全性。

操作人员介入后，一般会降低整个系统的安全性，为了保证系统的整体安全性，信号设备的功能应具有较高的可靠性。换言之，在规定的工作时间内和规定的工作条件下，信号设备应该尽量避免由于故障而进入限制态。

提高设备的可靠性，除从可靠性角度考虑外，还应从故障容错（fault tolerant）的理念出发，采用fail-operational，fail-soft的方式，在设备故障后，采用故障软化、降级运行等技术，降低操作人员介入导致的风险，而不是将完全的设备为主直接切换为完全的人员操作。如图1所示。

降低人员介入风险的另一个措施是给操作人员提供足够的安全信息，以减少操作错误导致的风险。如TB/T 2615中所规定的，对操作人员的误操作应尽可能予以防止和给出故障表示。在TB/T 3482中也提到：对于每小时容许失效危害率大于1×10-5的功能，虽然没有直接的安全完整性要求，同样对安全性提升有很大的帮助，只要合理可行，应通过这些功能为安全功能提供二次防护，以减轻安全功能失效后果的严重性，如人机对话层的报警和提示。

3.4 风险降低原则

安全定义为不存在不可接受的风险，为了实现安全，必须降低风险，降低风险的原则和方法如图2所示。

图2右侧给出的是风险降级按优先级依次采用的技术和手段；左侧给出故障-安全的3种实现方式，以及从广义的系统安全性出发，系统安全设计需要考虑的几个方面。

风险降级优先选择固有安全设计，固有安全设计不可行时，采用主用的防护装置来降低风险，主用防护装置失效时，可以在降低性能的前提下，采用降级的运行模式，依赖辅助防护装置运行，但仍不需要大量的操作人员介入；辅助防护装置失效时，操作人员介入，此时系统仍应该尽可能的提供对操作错误的防护，原因如3.3节所述，操作人员的介入是新的危险源，且出错的概率较高，必须加以防护；最终所有防护装置失效时，只能依赖于人工操作。

4 总结和展望

故障-安全是铁路信号行业保证安全行车的重要安全理念，理解并运用故障-安全概念，有效地对安全状态进行识别，才能有效实现故障-安全的要求。近年来高速铁路、城市轨道交通发展迅速，列车运行密度、运行速度不断提升，铁路运行的高速度、以及城市轨道交通的高密度，无人驾驶的引入，使得运营风险也攀升到新的高度，故障-安全理论的应用也应从设备层面上升到系统层面，从开发安全的设备，提升为开发安全的系统，采用多重的安全防御技术来降低风险，为安全设置多道防线，实现纵深防御。