目录

一、背景

二、定义

2.1 相关概念介绍如下：

2.2 扩展

2.3 注意事项

三、区分航空GNSS完好性监测中的误警率（False Alarm Rate）与列车安全完整性中的容忍故障发生率THR（Tolerable Hazard Rate）

3.1 航空GNSS完好性监测中的误警率

3.2 列车安全完整性中的容忍故障发生率

3.3 区别与联系

一、背景

在轨道交通行业中，安全完善度等级（SIL，Safety Integrity Level）是一个至关重要的概念，它用于评估安全相关系统（如信号系统、列车超速防护系统(Automatic Train Protec—tion．简称ATP等）的性能和可靠性。 SIL是国际上公认的一种功能安全认证，其依据是国际电工委员会（IEC）颁布的功能安全标准，如IEC61508等。它代表了安全系统性能或SIF（安全仪表功能）或SIS（安全仪表系统）的按需失效概率（PFD）的度量。SIL等级越高，对安全系统的需求失败概率越低，系统性能越好。

二、定义

• 安全完善度（SI，Safety Integrity）：在安全系统中体现确保安全的能力。其定量指标可以采用在给定时刻系统维持安全功能完善的概率来表示。
• 安全完善度等级（SIL，Safety Integrity Level）：是对系统所要求的安全性完善水平的一种定量指标。它是将安全完善度根据安全功能失效的频率和产生的危险严重程度划分成的等级。SIL反映的是电子系统按照预期要求执行安全功能的置信水平。系统功能失效导致的风险越大，系统功能要求的SIL等级要求越高。

根据安全功能失效的频率及失效后产生危险严重程度将安全完 善 度 划 分 SIL１－SIL４的４个 等 级，不同等级的定量要求如表１所示．

2.1 相关概念介绍如下：

THR（Tolerable Hazard Rate）：对于铁路运营方或铁路主管部门（railway duty holder）可承受的危害发生的概率，THR与危害发生后导致事故的严重度相关。

TFFR（Tolerable Functional Failure Rate）：可承受的系统功能导向危险失效的概率。当危害THR使用系统的功能进行防护时，对应的功能失效概率称之为TFFR。例如在轨道的道岔区域存在列车侧冲风险发生概率称为THR，则采用信号系统联锁进行侧冲防护的功能失效概率为对应的TFFR。

2.2 扩展

系统危害在铁路整个系统级还可以通过外部控制措施来降低危害发生的可能性和降低事故发生后后果的严重度。因此从运营方最终要达到的安全目标考虑，即控制发生事故的严重度和概率组合，考虑了降低危害发生概率和事故严重度的外部控制措施，最后分配给系统的危害发生概率为THR。

        例如：（1）未能控制列车的正常速度导致超速，事故后果是列车脱轨或发生碰撞，这种事故可承受的发生概率是10e-8~10e-9/h，在没有外部控制措施来降低发生概率和事故的严重度时，危害一旦发生就会导致事故，则危害（信号系统未能控制列车的正确速度导致超速）的THR是10e-8~10e-9/h，而这种危害在系统功能层面是由信号系统列车超速防护功能实现的，即信号系统超速防护功能的失效将会导致列车超速危害的发生，则TFFR（信号系统超速防护功能失效率）等于THR（未能控制列车的正确速度导致超速）。

      （2）如果仅依赖系统的功能无法达到运营方的THR要求，或受限于现有技术水平，没有符合要求的系统。例如车辆的障碍物探测功能，当前的技术还未出现完全依赖车辆障碍物探测功能，可以检测到轨道上的所有障碍物。因此，需要外部控制措施，如每日早上巡检的轧道车，容易跌落异物的区域增加视频监控等，来降低系统功能的安全要求。这种情况下，TFFR（车辆障碍物探测功能）低于THR（异物跌落在轨道限界内）。

2.3 注意事项

• SIL等级对应的是系统安全功能失效从而导向危险侧的发生概率，它不等于系统总体的失效率。总体失效率包括安全失效和危险失效。
• SIL等级是根据每小时发生的危险失效概率来区分的，它表示在规定的时间段内和规定的条件下，安全相关系统成功执行规定的安全功能的概率。

三、区分航空GNSS完好性监测中的误警率（False Alarm Rate）与列车安全完整性中的容忍故障发生率THR（Tolerable Hazard Rate）

3.1 航空GNSS完好性监测中的误警率

• 在航空GNSS完好性监测中，误警率是一个关键的性能指标。它指的是在导航系统正常运行，没有实际故障发生时，系统错误地发出告警的概率。这种误警可能会给飞行员带来不必要的困扰，甚至在某些情况下可能影响到飞行安全。因此，降低误警率是GNSS完好性监测研究中的一个重要方向。
• 误警率的高低通常与完好性监测算法的准确性、接收机的性能以及环境因素等多种因素有关。为了确保航空安全，GNSS完好性监测系统需要尽可能减少误警的发生，同时保持对实际故障的敏感性和及时告警的能力。

3.2 列车安全完整性中的容忍故障发生率

• 在列车安全完整性领域，容忍故障发生率并不是一个直接对应的术语，但我们可以从系统安全完整性的角度来理解其潜在含义。列车安全完整性强调的是系统在设计时考虑到各种可能的故障情况，并采取措施来确保在故障发生时能够保持系统的安全状态。
• 这里的“容忍故障发生率”可以理解为系统在设计时所允许的一定范围内的故障发生率，或者系统在面临故障时能够保持安全运行的能力。这通常与安全完整性级别（SIL）等相关概念紧密相关，SIL级别越高，系统对故障的容忍能力通常也越强。

3.3 区别与联系

• 定义和应用场景不同：误警率是GNSS完好性监测中的一个具体性能指标，主要关注于导航系统在无故障状态下的错误告警情况；而容忍故障发生率则更多地体现在列车安全完整性设计中，关注于系统对故障的容忍能力和安全性能。

• 目的不同：降低误警率是为了提高GNSS完好性监测的准确性和可靠性，确保飞行安全；而提高系统的容忍故障发生率则是为了确保列车在面临故障时能够保持安全运行状态，减少事故发生的可能性。

• 评估方法不同：误警率通常通过统计分析和实验测试来评估；而容忍故障发生率则可能需要结合系统安全设计、故障模式分析等多种方法来综合评估。

综上所述，虽然航空GNSS完好性监测中的误警率和列车安全完整性中的容忍故障发生率在字面上有一定的相似性，但它们在定义、应用场景、目的和评估方法等方面都存在明显的区别。