论文部分内容阅读
CTCS(China Train Control System)是我国自主研发的列车运行控制系统,其自动列车防护系统(Automatic Train Protection,以下简称ATP)是保证行车安全的信号系统,传统基于技术规范的安全保障方法不能满足其较高的安全要求。为了保证设计的CTCS1级车载ATP能在可接受的风险水平下实现要求的功能,并且能达到规定的安全完整性等级(Safety Integrity Level,以下简称SIL),本文在国际功能安全标准IEC61508的整体框架下,根据欧洲铁路安全标准EN50126、 EN50128、EN50129的要求,研究了车载ATP的功能安全评估技术。使用基于功能故障树和HAZOP的分析方法建立ATP系统的失效模型。将ATP的主功能分别从信息检测、信息运算、输出控制指令三个环节分析,并根据具体的信息参数或指令区分出每个环节的所有子功能。通过把每个子功能对应到执行模块上系统地分析出车载ATP每个模块单元的全部子功能,即模块的设计意图。然后在危害识别阶段根据模块的每个设计意图涉及的可变参数,应用危害和可操作性研究(Hazard and Operability study,以下简称HAZOP)方法分析每个设计意图的所有可能偏差,并把能引起ATP系统功能失效的偏差确定为危害偏差。接着在风险分析阶段对危害偏差的发生概率和所引起后果的严重程度进行专家评估,并使用基于最低合理可行原则(As Low As Reasonably Practicable,以下简称ALARP)的风险评价矩阵确定危害偏差的风险水平。在风险降低阶段对风险水平处于当前不可接受范围的危害偏差增加风险控制选项,主要考虑硬件提升措施、软件提升措施以及诊断功能和维护措施。最后使用可靠性分析平台Reliability Workbench的Fault Tree+单元建造ATP功能的硬件失效故障树。分析计算硬件失效故障树底层模块的失效概率进而计算得到ATP功能的SIL。计算结果显示CTCS1级车载ATP达到了规定的SIL4要求。该CTCS1级车载ATP产品获得英国劳氏认证机构的SIL4级认证。