吴炳昊 邱兆阳 李艳峰

我国产品进行欧洲CENELEC标准 （EN 50126、EN 50128、EN 50129等）的认证已经多年，国内也颁布了相应的国标 （GB／T 21562－2008、GB／T 28808－2012、GB／T 28809－2012）。SIL4安全设备包括地面列控设备、车载列控设备、联锁设备等，也已经为业内熟知。SIL （Safety Integrity Level）是 由 其 THR （Tolerable Hazard Rate）得来的；可以说，THR对应并决定SIL。本文将对THR及THR分配进行分析。

1 THR的定义

THR是 “容许危害率”的简称，代表着对某种危害发生频率的容忍程度或接受程度。在特定环境下某种危害的发生，则意味着特定事故的特定概率发生，即该危害的发生，对应着特定后果。

风险，是危害事件发生的频度或频率与其后果的组合。安全主管部门根据社会公众对风险的可接受程度，并考虑该危害对应的后果，就可以提出对该危害的容许危害率 （即THR）。因此，THR是安全主管部门提出的要求，反映对危害发生频率的接受程度。

直观来看，导致后果较小的危害 （如导致单个乘客轻微擦伤的危害），其发生的频率略高，也较容易接受，对应的SIL亦低；导致后果较大的危害 （如导致大量乘客伤亡的危害），其发生的频率很低，也很难接受，对应的SIL亦高。

与THR不同，HR （Hazard Rate）意味着特定设备或在特定设备上运行的特定安全功能，在特定环境下工作时的危害发生频率。HR可以认为是该设备或该设备上的某一安全功能对应的固有的、确定的危害发生率。若HR低于THR，则认为THR得到满足；反之，则不满足。

2 工程中THR的意义

根据定义，一条实际线路中信号系统的THR，是对该信号系统灾难性危害发生频率的接受程度。以CBTC系统为例，IEEE Std 1474．1对CBTC系统THR进行了定义，其平均危害间隔时间 （MTBHE，mean time between hazardous event）不小于109h，即 THR 为 10－9hour－1。同 时，对 该MTBHE进行了以下限定。

1．线路为连续的CBTC单向运营线路。

2．线路长度不大于列车以最大允许运营速度运行1h走过的距离。

3．列车间距按照行车密度为最大运营车辆数量时考虑。

4．危害为系统层面的严重、灾难性危害，IEEE Std 1474．1列出 （CBTC系统根据业主要求进行相应危害的防护，一些危害可能不在某些CBTC系统的防护范围），例如：列车与列车相撞、列车与建筑物相撞、列车脱轨、列车与公路汽车相撞、工作人员及工程车防护 （通过区段封锁、临时限速防护）、车门异常打开 （通过车门防护）、轨道异物防护等。

需要说明的是：不同规模的信号系统，其THR是相同的？还是应按照信号系统的规模进行相应调整？IEEE Std 1474．1的解释是，对于线路长度超过“列车以最大允许运营速度运行1h走过的距离”，MTBHE应按照比例进行调整。例如：线路长度若为2h最大运行速度走过的距离，则MTBHE调整为0．5×109h。

同样，ETCS系统规定的THR为2．0×10－9hour－1train－1，其含义为1位乘客乘坐列车1h发生ETCS核心危害 （超过安全速度，或越过安全距离）的可能性不应大于2．0×10－9。ETCS不但限定了THR的线路范围 （乘坐列车1h），还将其限定在1列车上。

因此，THR应根据其系统规模进行相应调整。原因很简单：随着系统规模的扩大，危害发生的可能性也会相应增大。无视系统规模，片面地强调THR是没有意义的。

3 THR的分配

安全主管部门提出系统总体的THR后，需要将THR分配到各子系统，形成各子系统的THR，以对各子系统提出具体的要求。由于安全相关的失效对应着安全功能的失效，因此，应仅需向安全相关子系统 （即承担安全功能的子系统）分配THR；对非安全子系统分配THR没有意义。虽然安全系统本身承担安全功能，但构成安全系统的单个器件（如ROM、RAM、非安全CPU、电阻、电容、电感等）并不承担安全功能，向这些器件分配THR同样没有意义。

可以借鉴ETCS系统的THR分配方法：针对ETCS系统的顶层危害 （越过ETCS系统建议的安全速度或安全距离）的THR定义为2．0×10－9hour－1train－1，其分配方式如图1所示。

图1 ETCS系统THR分配图

图1中需要说明的是：

1．THR单位均为hour－1train－1。

2．分类位于车载部分的BTM、LTM，其安全功能为正确地解析应答器、无线信道、环线的报文；其危险侧是将应答器、环线的错误报文解析为正确报文。

3．分类位于车载及地面部分的车载无线、地面无线，其安全功能为正确地发送及解析无线信息；其危险侧是将发生讹变的无线信息发送为合法信息或解析为正确信息。

4．传输部分的安全功能是安全编码应能对安全信息进行防护；其危险侧是安全编码未能对安全信息进行防护。

由于ETCS的THR定义是针对1位乘客 （即1列车）而言的，因此对于ETCS车载部分，其THR车载＝ 0．67×10－9hour－1train－1＝ 0．67×10－9hour－1。对于装备 ETCS车载系统的列车而言，其移动授权来源是ETCS－1或ETCS－2，而不是ETCS－1和ETCS－2同时为其提供移动授权。因此，ETCS－1地面系统 （LEU）及ETCS－2地面系统的THR地面均为0．67×10－9hour－1train－1。

ERTMS／ETCS SUBSET－088－3中对 ETCS运营场景进行了描述，高速铁路1h列车经过3个RBC；若RBC核心逻辑安全功能与地面无线信息收发安全功能均运行在1套2oo2安全平台上，则单套RBC（含RBC核心逻辑安全功能、地面无线信息收发安全功能）的THRRBC＝THR地面／3＝0．22×10－9hour－1train－1。

4 THR的单位

在之前对THR的描述中，出现了多种 “单位”表述，如 “hour－1train－1”、 “hour－1function－1”、 “hour－1”。搞清这些 “单位”的区别和联系是理解THR的前提。

THRETCS为2．0×10－9hour－1train－1，IEEE Std 1474．1推荐的THRCBTC为1．0×10－9hour－1。原因是ETCS的顶层危险源限定为 “1位乘客乘坐列车”，即1列列车所发生的危险事件，而CBTC顶层危险源未限定为1列车。因此， “1hour－1train－1的THR”较 “1hour－1的THR”，容许危害率要高。可见，ETCS提出的THR比IEEE Std 1474．1的要求低。可能的原因是IEEE Std 1474．1是非强制性标准；而ETCS代表的是实施规范，其考虑了技术的可实现性。

ETCS地面设备采用的 “单位”是 “hour－1train－1”，但是对于ETCS地面设备而言，其危害的发生意味着在其范围内运行的所有列车，均处在危险事件影响范围内。因此，在这里， “hour－1train－1”与 “hour－1”是等价的。ERTMS／ETCS SUBSET－088－3对地面设备的THR单位就直接采用了 “hour－1”。

在衡量系统／子系统的THR时，一般采用“hour－1”作为 “单位”。而对于系统危害而言，系统本身需通过安全功能对其进行防护。也就是说，安全功能的失效，意味着危害的发生。因此，“hour－1function－1”亦可作为 THR 的衡量单位，且这里的function指的是安全功能。若系统／子系统的所有安全功能完全耦合 （即该系统／子系统的安全功能或者一同正常工作，或者一同故障），则各安全功能的 THR （单位为hour－1function－1）相同，且与该系统／子系统的 THR （单位为hour－1）数值相同。若系统／子系统的所有安全功能完全独立 （即该系统／子系统各安全功能的正常或故障互不影响），则对于该系统／子系统而言，使用 “hour－1function－1”或 “hour－1”来衡量 THR是等价的，该系统／子系统的 THR （单位为hour－1function－1或 hour－1）数值为各安全功能THR （单位为hour－1function－1）数值之和。

5 结束语

THR代表着对危害发生率的容许程度，其数值越高，表示对安全性的要求越低；其数值越低，表示对安全性的要求越高。在提出THR时，应限定相应的范围，这样才是有意义的。在进行THR分配时，应根据限定的范围，将THR分配给承担安全功能的系统／子系统；不应对不承担安全功能的系统／子系统分配THR。

［1］ GB／T 28809．轨道交通 通信、信号和处理系统信号用安全相关电子系统［S］．2012．

［2］ ERTMS／ETCS SUBSET－026－2：System Requirements Specification Chapter 2Basic System Description［EB／0L］．http：／／www．era．europa．eu／Document－Register／Pages／．Set－2－System－Requirements－Specification．aspx．

［3］ IEEE Std 1474．1．IEEE Standard for Communications－Based Train Control（CBTC）Performance and FunctionalRequirements［S］．2004．

［4］ ERTMS／ETCS SUBSET－088－3：ETCS Application Levels 1 ＆2－Safety AnalysisPart 3－THR Apportionment［EB／0L］．http：／／www．era．europa．eu／Document－Register／Pages／SUBSET－088．aspx．