功能安全技术与应用知识讲座__第八讲_相关系统_系统性失效及其控制方法_冯晓升.pdf

专家讲座Lectures

系统性失效是人的错误导致的设备失效。如2011年“7·23”甬温线特

别重大铁路交通事故，就是一个典型的系统性失效的案例。系统性失效的控制，

是针对系统所需的安全完整性水平，对安全相关系统实现生命周期的每个步骤

规定必须采取的方法。

“功能安全技术与应用知识讲座”到本讲已全部结束，感谢广大读者的关注。

功能安全技术与应用知识讲座

第八讲安全相关系统

——系统性失效及其控制方法

文冯晓升

随机硬件失效和系统性失效是完全不同的两类失有贯彻故障安全原则。

效，前者是由于设备的零件磨损和（或）器件性能改变当今铁路高效安全运行的简单机制是，将铁路（一

而造成的失效，后者则是人的错误导致的设备失效。个方向）分为若干段，每一段铁路只允许一列火车运行，

而每段铁路都由铁路信号系统分割以控制安全（见图1）。

什么是系统性失效

系统性失效是指原因确定的失效，只有对设计或制

造过程、操作规程、文档或其他相关因素进行修改后，

才有可能排除这种失效。系统性失效涵盖了以下特征：

一是仅仅进行正确维护而不加修改，无法排除失效原因。

图1铁路信号系统分割控制安全示意图

二是通过模拟失效原因可以导致系统失效。三是人为错

误引起的系统失效原因如安全要求规范的错误；硬件的当列车通过铁路信号系统A，进入X段后，铁路信

设计、制造、安装、操作的错误；软件的设计和实现的号系统A向后面的列车发出不可通行的信号；当列车通

错误等。四是在标准IEC61508《电气/电子/可编程电过铁路信号系统B，驶出X段后，铁路信号系统A向后

子安全系统的功能安全》中，安全相关系统的失效被分面的列车发出可通行的信号，允许下一列火车进入X段。

为随机硬件失效和系统化失效。“7·23”事故的情况是：铁路信号系统A遭到雷击

2011年7月23日，浙江温州境内发生一起动车追并损坏，损坏前向上位机发出的是可通行信号；前一列

尾事故——“7·23”甬温线特别重大铁路交通事故，动车进入X段后临时停车。而该系统设计思路是，如果

造成了40人死亡、172人受伤的惨剧。这起事故是由上位机定期向铁路信号系统进行数据更新时，铁路信号

一系列事件导致的。其原因之一是前一列动车因故临系统未发出数据，则以原数据复新。这样一来，已损坏

时停车；原因之二是铁路信号系统遭雷击并损坏，导的信号系统不会再发数据，上位机不断以原数据（即可

致后一列动车未能接收到停车信号，从而未作停车处通行信号）复新，后面的列车得到的就只能是可通行信

理。当司机用肉眼发现前面的列车时，紧急制动已经号。所以，后面的列车在得到可通行信号的情况下进入

来不及了，最终造成了事故。这是一个典型的系统性了X段，结果发生了惨剧。显然这是一个设计上的错误，

失效的案例，失效的关键在于安全相关系统的设计没错误的原因是设计思路没有贯彻故障安全原则。

易安网

112

Lectures专家讲座

故障安全原则，是指组成安全相关系统的各环节自并维护与其他软件的相容性，以及对于网络及其他外来

身出现故障的概率不可能为零，且外部环境的变化（如恶