鐵路信號系統安全保障策略研究

安卓

（中土集團福州勘察設計研究院有限公司，福州 350011）

1 鐵路信號系統應用現狀

我國學者普遍認為鐵路信號系統是向行車人員傳送行車條件、行車狀態的相關技術指標。 鐵路信號系統建設需滿足設計標準、區域條件，我國目前普遍應用調度指揮系統、閉塞系統、聯鎖系統等來保障鐵路行車安全[1]。 國外對信號系統安全的研究起步更早，安全系統體系比較完善，如法國推廣的列車運行控制系統（TVM），具有良好的安全性和兼容性。本文在綜合國內外研究現狀的基礎上，從風險識別、風險評估、風險預警的角度保障鐵路信號系統的安全性， 在安全管理體系上進行創新，建立完善的鐵路信號系統安全控制體系。

鐵路信號系統的穩定性會對列車調度效率產生影響，近年來，國外鐵路因鐵路信號系統不穩定，出現了列車未按時運行、車輛的調度效率較低等問題，存在嚴重的安全隱患。 鐵路信號系統的應用由多個子系統組合而成，其中包括列控中心、調度指揮系統、聯鎖系統等。 系統根據聯鎖條件在時序下進行車輛調度，可以預防系統失誤操作行為的產生。

鐵道系統信號系統按照應用模式分為一般應用模式、 一般產品、特殊應用。信號交叉接收模式的應用通過信號遞進方式滿足安全需要。目前，針對信號系統的安全保障模式針對上述3 個交叉應用接收模式采取不同的安全保障措施， 具體內容如圖1所示。

圖1 信號系統安全保障應用圖

特殊應用的信號系統需出具獨立的安全評估報告， 通過安全例證參考后方可使用，該系統支持商業運營模式。 一般應用系統需根據不同子系統出具評估報告， 并采用例證的方式對安全性進行參考。 信號系統一般安全保障產品的數量較多，需采用多種安全證書，對系統的安全性進行評估。

2 案例分析

2021 年， 某鐵路局1 條CTCS-2 級線路多個站點列空中心間發出網絡通信中斷告警，信號安全數據網的EMS 系統也同時發出告警。 告警網絡的組網交換機設備存在異常，且交換機顯示端口丟包率和端口出入量存在異常。

分析后得知， 導致本次事故出現的原因是中繼站網絡交換機的CPU 使用率過高， 致使環協議報文無法被有效處理，受此影響，主站交換機做出環網中存在斷點的判定，于是打開阻塞端口，再加上故障交換機的轉發功能正常，最終使網絡受損，引發網絡風暴。

基于故障成因，維護人員將交換機組環網端口物理通道斷開，使環形網絡變為單一鏈路，故障被成功解決，告警消失。 之后，在天窗點內采集交換機數據，在檢查完成后，對故障交換機進行重啟處理，使物理通道恢復，網絡工作狀態得以運行。

3 鐵路信號系統安全保障措施

結合上述案例可知， 故障交換機接收大量未知報文是導致信號系統故障的主要原因，為此，筆者認為相關部門應采取下述安全保障措施。

3.1 鐵路信號系統安全管理

鐵路信號系統安全保障措施應建立安全管理模式， 通過對集成信號系統的綜合安全管理， 避免出現影響信號系統穩定性和安全性的因素。 按照鐵路信號系統安全管理流程，通過管理計劃、配置計劃、項目進度等進行信號安全保障項目的評估。 在信號系統建設初期，應預先制訂安全管理計劃，并在信號系統管理計劃中對管理組織、管理活動等進行明確，計劃經由審批后方可落實。 計劃內容應包括系統的生命周期及維護措施等，如系統進行更新、調整，應進一步對安全計劃進行更新，編制與信號系統匹配程度更高的計劃[2]。

信號系統的安全管理是一項綜合性活動， 需采取科學的組織結構對其進行執行， 并對鐵路信號系統的責任人進行劃分，確定角色責任人。 根據信號系統的安全管理組織結構劃分安全等級，并保障管理項目的獨立性。 例如，信號系統中包括SIL3（安全完整性等級）、SIL4（功能安全認證）兩類經過認證的產品，安全確認工作的落實應根據不同項目進行獨立評估。具體安全管理組織架構如圖2 所示。

圖2 安全管理組織架構圖

在安全管理組織架構中，由項目經理負責安全工作，信號系統的設計人員和驗證人員對項目經理負責， 確認人員和評估人員對安全風險、安全等級的認定。 在明確安全管理組織架構后，要確定項目的安全生命周期，明確信號系統項目的組成序列，管理工作的落實應伴隨多個活動，根據不同階段采取不同的活動，將活動聯系起來明確信號系統的安全生命周期，根據生命周期對危害產品的管理過程進行明確，具體過程如圖3所示。

圖3 信號系統危害管理過程圖

3.2 鐵路信號系統風險識別

對鐵路信號系統進行安全管理的過程中， 應對可能產生的安全風險進行識別。 識別是安全管理的基礎工作，以識別結果為依據制訂特殊的行為方案， 或采用風險消除或采用風險控制方法，降低危害的發生概率。 對于信號系統和子系統，危害具有層次性，且在信號系統開發過程中對層次進行了劃分，可重復進行危害識別。

對危害進行識別后，需采用原因分析法分析風險原因，應從信號系統本身和安全管理2 個角度出發評估危害產生的可能性，判斷相關措施處理的可能性。 通常采用定性分析和定量分析相結合的故障樹分析法。

對原因進行分析后，了解信號系統風險產生的主要原因，并根據危害性質和危害內容對可能產生的后果進行綜合分析。 后果分析需要分析人員具備專業知識，可編制量化分析表進行風險的量化評估，或采用故障樹的方法及因果圖的方法，結合經驗予以定性分析。

風險識別是風險評估的前提， 主要是結合分析對象的實際情況進行初步的危害分析， 同時針對信號系統和子系統進行接口風險分析。 為貫徹落實安全管理的整體性原則，也要對信號系統設備連接的接口位置進行分析。 每個項目的風險識別和風險分析應具有獨立性，且應按照流程進行識別、原因分析、結果分析[3]。

3.3 鐵路信號系統風險評估

鐵路信號的安全保障工作應在科學的風險分析的基礎上進行風險的量化評估，判斷風險是否可以接受。 鐵路信號系統安全影響因素可分為人員、設備、方法、環境、系統等5 個部分，將評估結果分為不可接受、可接受及可容忍區域3 種，分別定義為一級風險、二級風險、三級風險。

一級風險是指不可接受的風險，具有極大的危害性，需采取相應的措施，包括信號系統維護、信號系統調試、系統安全防護更新等。 二級風險是可接受風險，該類風險等級較小，可忽略不計，即識別后可以不采取措施對其進行治理，僅對風險因素進行監測即可。 可容忍區域風險被列為三級風險，該等級的風險通常不會爆發事故，具有一定的可容忍性，但可能隨著時間的推移不斷擴大，因此，需要采用監測手段將風險事故產生的可能性降至最低。

安全風險評估是保障鐵路信號系統安全的主要措施，根據評估結果采取不同的處置辦法。 處置辦法應以科學性、效益性為基本原則，需在維系安全保障下使性能和成本達到平衡。

3.4 鐵路信號系統的運行維護

鐵路信號系統的安全管理是在識別和評估的基礎上，明確信號系統運行的安全需求，按照標準、記錄、規范、環境等，對應用條件進行明確，同時對制度需求、功能需求進行完善，按照信號系統的生命周期將安全需求貫徹落實到整個階段之中。 例如，危害記錄主要對詳細的風險信息進行記錄，將其作為安全管理的主要依據， 通過記錄可以實現對風險的追蹤管理。 此外，按照安全管理計劃，應對安全進行驗證和確認，由專業人員進行信號系統的安全驗證， 判斷信號系統整個生命周期階段是否滿足安全需求，并根據驗證結果出具相關報告。 信號系統在投入運行過程中要定期對其進行測試， 采用白盒測試和黑盒測試相結合的方式進行安全分析， 如果存在安全隱患需及時調試、維護。

部分采用安全例證的方式判斷其是否滿足具體的安全需求，分析所應用的管理措施是否在允許范圍內，風險等級是否可以被接受。 根據例證規范，針對一般產品和特殊應用采取不同的例證方法，確保信號系統的應用條件始終良好。 特殊應用的安全例證工作應將條件結果上傳給運營商，對其進行優化。在信號系統投入使用后，需要定期對其進行維護，由專業人員對系統的運行環境及運行狀態等進行調查明確， 并對安全應用條件進行優化， 針對風險問題可以采用變更的方式進行調試，從而保障系統應用效果良好。 維護計劃制訂應根據產品的生命周期，按照階段采取不同的維護措施，從而達到消除安全隱患的目標。

4 結語

綜上所述，鐵路信號系統的安全問題解決應貫徹落實“預防為主、處理為輔”的基本原則，通過風險識別、風險評估、風險預警、反思等方式，打造完整的信號系統安全管理體系。 以IPIS 標準為指導建立信號集成系統，采取相應的保障措施，進而有效提高鐵路信號系統的穩定性、安全性。