CN113077186B

CN113077186B - 轨道交通安全完整性等级的识别方法和识别系统

Info

Publication number: CN113077186B
Application number: CN202110460829.XA
Authority: CN
Inventors: 南楠; 黄鸿; 张辉; 刘晓; 徐国平; 高勇; 李明栋; 乌晓雯
Original assignee: Casco Signal Ltd
Current assignee: Casco Signal Ltd
Priority date: 2021-04-27
Filing date: 2021-04-27
Publication date: 2023-04-28
Anticipated expiration: 2041-04-27
Also published as: CN113077186A

Abstract

本发明提供了一种轨道交通安全完整性等级的识别方法，包括：根据目标功能的事故严重度等级S的层级获取对应的可容许事故率TAR；根据所述目标功能的风险降低因子的层级获取对应的风险降低系数值RRF；根据所述可容忍事故率TAR和所述风险降低系数值RRF，计算得出所述目标功能的可容忍危害发生率THR；根据可容忍危害发生率THR和安全完整性等级SIL的标准关联表，确定与所述目标功能的可容忍危害发生率THR相匹配的安全完整性等级SIL，作为所述目标功能的安全完整性等级SIL。该识别方法仅需较少的评估要素即可识别得出轨道交通目标功能的SIL，并可依据该识别方法建立轨道交通安全完整性等级SIL的分配矩阵。

Description

轨道交通安全完整性等级的识别方法和识别系统

技术领域

本发明涉及列车安全领域，特别涉及一种轨道交通安全完整性等级的识别方法、识别系统、电子设备和可读储存介质。

背景技术

目前多采用矩阵法或者图表法来分析一个系统中与安全相关的目标功能的安全完整性等级(Safety Integrity Level，简称SIL)。

所谓矩阵法是指建立SIL矩阵，通过评估待识别的目标功能在功能失效的情况下所产生危害的可能性和后果的严重性，利用头脑风暴的方式，定性确定该装置或者目标功能的SIL。例如，可以将危害发生的可能性分为频繁、经常、有时、很少四种类型，危害严重程度分为灾难、重大、次要、轻微四种情况，构成一个4×4的矩阵模型，如下表1所示。

表1

表1中NR表示无安全等级要求，1、2、3、4分别表示四个安全完整性等级。通过分析目标功能失效危害发生的可能性和产生的危害严重程度，然后查找SIL矩阵，就可确定目标功能对应的安全完整性等级。

现有的图表法中考虑包括后果、处于危险的时间和频率、避开危险的概率和事件发生的频率四个因素，当待识别的目标功能出现功能失效这一事件，采用事件树与矩阵表相结合的方式对事件进行分析，以确定该事件的安全完整性等级。

对于轨道交通的安全完整性等级的识别而言，建立上述两种方法模型时要么根据业内其他类似产品或标准要求定义，要么通过初始和剩余风险评估得到THR(可容忍的危害发生率)，根据THR和SIL的关联表得到功能的安全完整性等级。这两种建立方法都存在问题，前者不适合新目标功能或者新产品，且功能和产品的相似性不易评估，而且缺乏评估依据；后者对于初始风险，危害发生的频率通常较难评价，一般采用的方法是“最差估计”和“专家经验”，“最差估计”可能造成风险评估的结果过高，投入过多的资源和成本，“专家经验”对专家的经验依赖度高，且权威性和数字的合理性容易受到质疑和挑战，并且后者需要多次进行风险评估，工作量大，主观因素占比过大，对过程的复核的带来很大的困难。

下表2为传统方法下FMEA(失效模式与影响分析)及风险评估表，分析人员需填写严酷度等级、初始频率、初始风险、安全完整性等级、剩余严酷度、剩余频率、剩余风险等7个要素，其中初始风险和剩余风险可以根据标准表格推导，其余5个要素均需要分析人员进行评估，且可能要进行多次评估，评估工作量大，这些要素的评估难度较大且难以量化，在风险分析过程中，对专家经验的依赖度高，主观因素占比过大。

表2

因此，有必要提供一种轨道交通安全完整性等级的识别方法，该方法在有评估依据的基础上可以减少评估要素的数量，以及评估要素的评估难度，并且适用于多种目标功能。

发明内容

本发明提供了一种轨道交通安全完整性等级的识别方法，该识别方法仅需较少的评估要素即可识别得出轨道交通多种目标功能的安全完整性等级SIL，并可依据该识别方法建立轨道交通安全完整性等级SIL的分配矩阵，此外，评估要素有依据，该方法适用于多种目标功能的评估。

为实现上述目的和其他相关目的，本发明提供了一种轨道交通安全完整性等级的识别方法，包括如下步骤：

根据目标功能的事故严重度等级S的层级获取对应的可容许事故率TAR；

根据所述目标功能的风险降低因子的层级获取对应的风险降低系数值RRF；

根据所述可容忍事故率TAR和所述风险降低系数值RRF，计算得出所述目标功能的可容忍危害发生率THR；

根据可容忍危害发生率THR和安全完整性等级SIL的标准关联表，确定与所述目标功能的可容忍危害发生率THR相匹配的安全完整性等级SIL，作为所述目标功能的安全完整性等级SIL。

优选地，所述可容忍危害发生率THR和所述安全完整性等级SIL的标准关联表采用欧盟标准关联表。

优选地，所述可容忍危害发生率THR和所述安全完整性等级SIL的标准关联表采用EN50126标准关联表；

所述风险降低因子的层级包括5级，并按照降低风险的可能性由小到大排列，且各层对应的风险降低系数值RRF分别为1、10、102、103和104；

所述可容忍的危害发生率THR的计算公式为：THR＝TAR/RRF。

优选地，所述风险降低因子至少包括操作环境和防护措施。

优选地，所述事故严重度S的层级的评估内容至少包括：所述目标功能及其失效影响、潜在事故。

基于同一发明构想，本发明还提供了一种轨道交通安全完整性等级的识别方法，包括：

输入安全完整性等级SIL分配矩阵；

获取目标功能的事故严重度S的层级和风险降低因子的层级；

根据所述输入安全完整性等级SIL分配矩阵确定所述事故严重度S的层级和风险降低因子的层级相匹配的安全完整性等级SIL，作为所述目标功能的安全完整性等级SIL；

其中，所述安全完整性等级SIL分配矩阵包括：多个事故严重度S的层级，多个风险降低因子的层级，每个所述事故严重度S的层级对应的可容忍事故率TAR的数值或者数值范围，任一个所述事故严重度S的层级和任一个所述风险降低因子的层级对应的所述可容忍危害发生率THR的数值或者数值范围，所述可容忍危害发生率THR的数值或者数值范围对应的安全完整性等级SIL；所述可容忍危害发生率THR的数值或者数值范围是根据所述可容忍事故率TAR的数值或者数值范围与所述风险降低因子的层级对应的所述风险降低系数值RRF计算得到。

所述可容忍的危害发生率THR的计算公式为：THR＝TAR/RRF。

优选地，所述风险降低因子的层级的评估内容至少包括所述目标功能的操作环境和防护措施。

基于同一发明构想，本发明还提供了一种轨道交通安全完整性等级的识别系统，包括：

评估模块，通过输入目标功能的事故严重度S的层级和风险降低因子的层级得到对应的可容许事故率TAR和风险降低系数值RRF，并输出；

计算模块，输入所述可容许事故率TAR和所述风险降低系数值RRF，计算得到所述目标功能的可容忍危害发生率THR，并输出；

关联模块：输入所述可容忍危害发生率THR，通过内置的可容忍危害发生率THR和安全完整性等级SIL的标准关联表，确定与所述目标功能的可容忍危害发生率THR相匹配的安全完整性等级SIL，作为所述目标功能的安全完整性等级SIL，并输出。

基于同一发明构想，本发明还提供了一种电子设备，包括处理器和存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现上文任一项所述的方法。

基于同一发明构想，本发明还提供一种可读存储介质，所述可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时，实现上文任一项所述的方法。

综上所述，本发明提供的轨道交通安全完整性等级的识别方法，仅需要提供两个有依据的评估要素：事故严重度S和风险降低因子，即可识别得到对应目标功能的安全完整性等级，减少需评估的要素数量，简化安全完整性等级的分配过程，克服了现有技术中安全完整性等级识别过程复杂，评估难以量化、高度依赖专家经验而主观性过强等问题；并且，通过该方法可以建立安全完整性等级分配矩阵，作为识别工具，使用者只需要评估较少的可量化因子，即可根据分配矩阵查出目标功能的安全完整性等级；最后，该方法适用于多种目标功能的评估。

附图说明

图1为本发明一实施例提供的轨道交通安全完整性等级的识别方法建立逻辑示意图；

图2为本发明一实施例提供的轨道交通安全完整性等级的识别方法识别流程示意图。

具体实施方式

以下结合附图1、2和具体实施方式对本发明提出的轨道交通安全完整性等级的识别方法作进一步详细说明。根据下面说明，本发明的优点和特征将更清楚。需要说明的是，附图采用非常简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本发明实施方式的目的。为了使本发明的目的、特征和优点能够更加明显易懂，请参阅附图。须知，本说明书所附图式所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。

参阅图2，本发明一实施例提供了一种轨道交通安全完整性等级的识别方法，可以使用该识别方法对目标功能进行安全完整性等级的识别，该识别方法包括如下步骤：

S1：评估一目标功能失效可能发生的潜在事故，得出事故严重度S的层级，每个所述事故严重度S的层级对应一个可容忍的事故率TAR；

S2：评估所述目标功能的风险降低因子，得出所述风险降低因子的层级，每个所述风险降低因子的层级对应一个风险降低系数值RRF；

S3：根据所述可容忍事故率TAR和所述风险降低系数值RRF，计算得出所述目标功能的可容忍危害发生率THR；

S4：根据所述可容忍危害发生率THR和安全完整性等级SIL的标准关联表，确定与所述目标功能的所述可容忍危害发生率THR相匹配的所述安全完整性等级SIL，作为所述目标功能的所述安全完整性等级SIL。

一般而言，所述识别方法依据的THR和SIL的标准关联表为欧盟标准关联表，以下通过依据EN50126标准建立的识别方法讲述所述识别方法的建立逻辑。

参阅图1，所述可容忍的事故率TAR、所述风险降低系数值RRF和所述可容忍的危害发生率THR三者之间具有相关性，降低风险的可能性越大，危害发生的概率越小。如下表3所示，从逻辑上将所述可容忍的危害发生率THR和所述风险降低系数值RRF在数值上设定为负相关，可设定THR＝TAR/RRF，降低风险的可能性越大，所述风险降低系数值RRF数值越大，所述可容忍的危害发生率THR越小。

表3

根据EN50126标准，可以将所述风险降低因子设置为5个层级，至少考虑操作环境和防护措施两个评估要素，5个层级分别为层级a、层级b、层级c、层级d和层级e，所述层级a、层级b、层级c、层级d和层级e表示降低风险的可能性由小到大，所述层级a、层级b、层级c、层级d和层级e分别对应的所述RRF数值分别为1、10、10²、10³和10⁴。

下表4为EN50126标准下的所述THR和SIL关联表，下表5为EN50126标准下的所述事故严重度S层级表。

表4

安全完整性等级(SIL)	可容许的危害率发生率(THR)
		4	<![CDATA[10<sup>-9</sup>≤THR＜10<sup>-8</sup>]]>
3	<![CDATA[10<sup>-8</sup>≤THR＜10<sup>-7</sup>]]>
		2	<![CDATA[10<sup>-7</sup>≤THR＜10<sup>-6</sup>]]>
1	<![CDATA[10<sup>-6</sup>≤THR＜10<sup>-5</sup>]]>
		0	<![CDATA[10<sup>-5</sup>≤THR]]>

表5

安全管理的目的就是要将风险降低到可接受(NE)等级，因此对应不同的危害严重度，所述可容忍的事故率TAR可以根据EN50126标准下事故严重性S的等级设定、所述THR的数值和之前对于所述RRF的数值设定，设定所述TAR的数值，如下表6所示。

表6

通过上述逻辑以及对于数值的设定，对于所述THR、所述TAR和所述RRF的方程：THR＝TAR/RRF，实际上需要评估得到的是所述TAR和所述RRF的值，即评估者需要评估目标功能的事故严重度S，通过表6得到所述TAR的数值，还需要评估目标功能的风险降低因子层级，从而得到所述RRF的数值，然后通过上述方程计算得出所述THR的数值，再根据EN50126标准下的所述THR和SIL关联表，即表4得出目标功能的安全完整性等级SIL，进而完成整个识别过程。

基于相同的发明构思，本发明的另一实施例提供了另一种轨道交通安全完整性等级的识别方法，包括：

输入安全完整性等级SIL分配矩阵；

获取目标功能的事故严重度S的层级和风险降低因子的层级；

如下表7所示，所述SIL分配矩阵包括所述事故严重度S的层级、所述TAR的数值或者数值范围、所述THR的数值或者数值范围、所述风险降低因子层级和所述SIL。建立构建SIL分配矩阵后，评估者通过对于两个要素：事故严重度S和风险降低因子层级的判断可直接通过该分配矩阵得出目标功能的安全完整性等级SIL。

表7

在具体实施的时候，评估的过程也是非常重要的，评估过程实际上是得出两个评估要素：事故严重度S和风险降低因子层级的过程，它是正确得出安全完整性等级SIL的关键。首先可以建立风险分析表格，根据风险分析方法生成结构化表格。如FMEA分析，可生成包含功能、失效模式、原因、影响、潜在事故、缓解措施、风险评估等因素的结构化分析表格，如下表8所示。若使用其他风险分析方法也可根据所需元素生成类似的结构化表格，此处将以FMEA为例进行说明。

表8

下面以轨道交通中列车的两个目标功能进行分析，两个目标功能分别为：在轨道交通路线(SGD)中定位列车和列车停靠站台，首先分析两个目标功能的功能、失效模式、原因、影响、潜在事故、缓解措施、风险评估等因素，分析后在表8中填写分析结果，根据事故的严重程度，对照表5得出事故严重度S的等级，也填写在表8中，得出下表9。

表9

再根据表3评估风险降低因子层级，对于在SGD中定位列车的功能，在有人驾驶情况下，当车辆超速或越过信号机，司机应当通过紧急制动避免事故发生，因此风险降低因子为b；对于列车停靠站台的功能，在发生在疏散、救援等特殊场景下，且当乘客被困，若同时发生火灾、毒气等才可能导致乘客窒息、中毒等事故，场景的发生概率很低，因此风险降低因子为d，根据表7即可定位得到相应的SIL，均填写在表9中，得到下表10，从而完成整个评估过程。

表10

基于同一发明构想，本发明还提供了一种电子设备，包括处理器和存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现所述轨道交通安全完整性识别的方法。

得到“严重度等级”和“风险降低因子”后，点击计算，工具即可计算得出该功能的安全完整性等级。

所述处理器在一些实施例中可以是中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器(例如GPU(Graphics Processing Unit-图形处理器))、或其他数据处理芯片。该处理器通常用于控制所述电子设备的总体操作。本实施例中，所述处理器用于运行所述存储器中存储的程序代码或者处理数据，例如运行所述轨道交通安全完整性识别方法的程序代码。

所述存储器至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中，所述存储器可以是所述电子设备的内部存储单元，例如该电子设备的硬盘或内存。在另一些实施例中，所述存储器也可以是所述电子设备的外部存储设备，例如该电子设备上配备的插接式硬盘，智能存储卡(SmartMedia Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。当然，所述存储器还可以既包括所述电子设备的内部存储单元也包括其外部存储设备。本实施例中，所述存储器通常用于存储安装于所述电子设备的操作方法和各类应用软件，例如所述轨道交通安全完整性识别方法的程序代码等。此外，所述存储器还可以用于暂时地存储已经输出或者将要输出的各类数据。

基于同一发明构想，本发明还提供一种可读存储介质，所述可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时，实现所述轨道交通安全完整性识别的方法。

综上所述，本发明的优点在于仅需要提供两个有依据的评估要素：事故严重度S和风险降低因子，即可识别得到对应目标功能的安全完整性等级，减少需评估的要素数量，简化安全完整性等级的分配过程，克服了现有技术中安全完整性等级识别过程复杂，评估难以量化、高度依赖专家经验而主观性过强等问题；并且，通过该方法可以建立安全完整性等级分配矩阵，作为识别工具，使用者只需要评估较少的可量化因子，即可根据分配矩阵查出目标功能的安全完整性等级；最后，该方法适用于多种目标功能的评估。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。

Claims

1.一种轨道交通安全完整性等级的识别方法，其特征在于，包括如下步骤：

根据目标功能的事故严重度等级S的层级获取对应的可容忍事故率TAR；

根据可容忍危害发生率THR和安全完整性等级SIL的标准关联表，确定与所述目标功能的可容忍危害发生率THR相匹配的安全完整性等级SIL，作为所述目标功能的安全完整性等级SIL；

所述可容忍危害发生率THR的计算公式为：THR＝TAR/RRF；

所述风险降低因子至少包括操作环境和防护措施；所述风险降低系数值RRF表示降低风险的可能性大小。

2.如权利要求1所述的轨道交通安全完整性等级的识别方法，其特征在于，所述可容忍危害发生率THR和所述安全完整性等级SIL的标准关联表采用欧盟标准关联表。

3.如权利要求2所述的轨道交通安全完整性等级的识别方法，其特征在于，所述可容忍危害发生率THR和所述安全完整性等级SIL的标准关联表采用EN50126标准关联表；

所述风险降低因子的层级包括5级，并按照降低风险的可能性由小到大排列，且各层对应的风险降低系数值RRF分别为1、10、10²、10³和10⁴。

4.如权利要求1所述的轨道交通安全完整性等级的识别方法，其特征在于，所述事故严重度S的层级的评估内容包括：所述目标功能及其失效影响、潜在事故。

5.一种轨道交通安全完整性等级的识别方法，其特征在于，包括：

输入安全完整性等级SIL分配矩阵；

获取目标功能的事故严重度S的层级和风险降低因子的层级；

其中，所述安全完整性等级SIL分配矩阵包括：多个事故严重度S的层级，多个风险降低因子的层级，每个所述事故严重度S的层级对应的可容忍事故率TAR的数值或者数值范围，任一个所述事故严重度S的层级和任一个所述风险降低因子的层级对应的可容忍危害发生率THR的数值或者数值范围，所述可容忍危害发生率THR的数值或者数值范围对应的安全完整性等级SIL；所述可容忍危害发生率THR的数值或者数值范围是根据所述可容忍事故率TAR的数值或者数值范围与所述风险降低因子的层级对应的风险降低系数值RRF计算得到；

所述可容忍危害发生率THR的计算公式为：THR＝TAR/RRF；

所述风险降低因子的层级的评估内容至少包括所述目标功能的操作环境和防护措施；所述风险降低系数值RRF表示降低风险的可能性大小。

6.如权利要求5所述的轨道交通安全完整性等级的识别方法，其特征在于，所述可容忍危害发生率THR和所述安全完整性等级SIL的标准关联表采用欧盟标准关联表。

7.如权利要求6所述的轨道交通安全完整性等级的识别方法，其特征在于，所述可容忍危害发生率THR和所述安全完整性等级SIL的标准关联表采用EN50126标准关联表；

8.如权利要求5所述的轨道交通安全完整性等级的识别方法，其特征在于，所述事故严重度S的层级的评估内容至少包括：所述目标功能及其失效影响、潜在事故。

9.一种轨道交通安全完整性等级的识别系统，其特征在于，包括：

评估模块，通过输入目标功能的事故严重度S的层级和风险降低因子的层级得到对应的可容忍事故率TAR和风险降低系数值RRF，并输出；

计算模块，输入所述可容忍事故率TAR和所述风险降低系数值RRF，计算得到所述目标功能的可容忍危害发生率THR，并输出；

关联模块：输入所述可容忍危害发生率THR，通过内置的可容忍危害发生率THR和安全完整性等级SIL的标准关联表，确定与所述目标功能的可容忍危害发生率THR相匹配的安全完整性等级SIL，作为所述目标功能的安全完整性等级SIL，并输出；

所述可容忍危害发生率THR的计算公式为：THR＝TAR/RRF；

10.一种电子设备，其特征在于，包括处理器和存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现权利要求1至8中任一项所述的方法。

11.一种可读存储介质，其特征在于，所述可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时，实现权利要求1至8中任一项所述的方法。