当前位置:网站首页 > 新闻动态 > 基于风险图的轨道交通信号系统SIL分配方法

基于风险图的轨道交通信号系统SIL分配方法

随着城市轨道交通的发展,国内轨道交通信号系统的地位越来越重要,如何研发安全的信号系统也成为关键的命题。近年来,CENELEC EN 5012X标准在国内广泛应用,按照安全完善度等级(SIL)研发已经渐渐成为行业默认的规范。CENELEC EN 5012X标准中关注功能完善度等级和软件完善度等级的定义和要求,却未指出如何进行完善度等级确定和分配的方法。IEC 61508-5中给出功能完善度等级的确定方法示例,黄皮书(Yellow Book)中给出系统完善度分配的一些原则,但从工程应用角度关注更多的是如何将这些完善度确定方法、原则转换成系统的分配方法,以便按照分配的完善度等级对照标准的要求进行开发。综合IEC 61508-5推荐的风险图方法和黄皮书中的原则,结合工程实践总结提出一套简单易用的功能和系统SIL分配方法,以便为后续的工程应用提供一定参考。

SIL分配

一、系统/功能的安全完善度等级

系统SIL等级的定性分析分为以下情况。

1) 采用以往类似系统的SIL等级:若公司或行业中已有类似的系统,可以采取类似系统的SIL等级作为所开发系统的安全完善度等级。

2) 根据标准、法律、法规中的规定确定系统的安全完善度等级:若在国家或国际标准、法律法规中已经对此系统的安全完善度等级进行了规定,则可以采取被客户或安全权威机构认可的标准、法律、法规中规定的SIL等级,例如TB/T 3027-2002 计算机联锁技术条件中规定“计算机联锁软件的安全性完善度等级宜划分为4级”,那么联锁系统中安全相关功能的等级可建议分为SIL4级[4]。

3) 根据所分配的功能SIL确定系统的SIL。

二、软件安全完善度等级分配

建立功能与软件的对应关系,某一软件的SIL等级初步确定为其所包含功能的最高SIL等级。如子系统中包含软件SW1和SW2,SW1包含的安全相关功能为F1,故SW1的SIL暂定为SIL1,而SW2不包含任何安全相关功能,因此SIL等级暂定为SIL0,即非安全相关系统。

功能SIL的分配是按照风险去确定的,但是并不代表功能的开发流程就要按照功能SIL进行。例如,如果一个功能按照风险分析确定是SIL0的,但是不代表承载这个功能的软件要按照EN 50128 SIL0要求开发。这取决于软件运行的设备是否具有独立性,独立性要求如子系统独立性要求