楊 明

七階段法在地鐵信號(hào)系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的應(yīng)用

楊 明

摘 要：以目標(biāo)距離模式ATP系統(tǒng)項(xiàng)目為基礎(chǔ)，闡述七階段法的風(fēng)險(xiǎn)評(píng)估應(yīng)用。結(jié)合故障樹分析 (FTA)和事件樹分析 (ETA)，對(duì)目標(biāo)距離模式ATP系統(tǒng)中的車載ATP控制單元的某個(gè)危害進(jìn)行了詳細(xì)的分析。

關(guān)鍵詞：安全性;故障樹分析 (FTA);事件樹分析 (ETA);七階段

楊 明：北京大成通號(hào)軌道交通設(shè)備有限公司 工程師 100096北京

北京市交通委員會(huì)科技計(jì)劃項(xiàng)目：既有線運(yùn)力提升信號(hào)設(shè)備技術(shù)升級(jí)研發(fā) (2012kj－009)

北京市科學(xué)技術(shù)委員會(huì)科技計(jì)劃項(xiàng)目：北京市既有軌道交通線路

ATO系統(tǒng)改造升級(jí) (Z111100059411010)、北京既有線列車自動(dòng)防護(hù)系統(tǒng)升級(jí)技術(shù)研究及示范 (D131100004113001)

1 七階段法簡(jiǎn)介

1.1 基本內(nèi)容

第1階段，危害識(shí)別，包括對(duì)危害的識(shí)別和分級(jí)。

第2階段，原因分析，包括確定可能導(dǎo)致危害的主要原因，并估計(jì)每個(gè)危害的可能性。

第3階段，后果分析，包括確定由危害引起的中間狀態(tài)和最終后果，并估計(jì)每個(gè)危害引起事故的可能性。

原因分析和后果分析可以并行進(jìn)行。

第4階段，損失分析，每種危害的后果可能與一些損失有關(guān) (即對(duì)人員的傷害、對(duì)環(huán)境的破壞或商業(yè)損失)。在考慮選擇某種措施降低風(fēng)險(xiǎn)之前，需要對(duì)安全損失的大小進(jìn)行估計(jì) (即對(duì)人員的傷害)。

第5階段，方案分析，風(fēng)險(xiǎn)的降低和控制需要對(duì)每種危害的潛在風(fēng)險(xiǎn)降低措施范圍進(jìn)行識(shí)別，方案分析包括對(duì)哪些措施進(jìn)行確定。

DI-S：0為牙面上無軟垢；1為軟垢覆蓋面積<牙面1 3；2為軟垢覆蓋面積占牙面1 3～2 3；3為軟垢覆蓋面積> 牙面2/3。牙面1

第6階段，影響分析，包括根據(jù)風(fēng)險(xiǎn)降低程度來評(píng)估實(shí)施了每種風(fēng)險(xiǎn)降低措施后取得的凈效益。

第7階段，符合性證實(shí)，包括確定應(yīng)該實(shí)施哪些風(fēng)險(xiǎn)降低措施，并證明接受所有剩余風(fēng)險(xiǎn)是正確的。

1.2 運(yùn)行權(quán)限

ATP的功能主要由車載ATP控制單元來完成。針對(duì)車載ATP控制單元的運(yùn)行權(quán)限功能進(jìn)行危害分析，評(píng)估其風(fēng)險(xiǎn)。選用定性半定量的評(píng)分值方法，評(píng)估危害引發(fā)的風(fēng)險(xiǎn)大小，以確定其可接受程度。

車載ATP控制單元，將接收的軌道碼和配置的地理數(shù)據(jù)進(jìn)行軌道碼譯碼，分析列車前方空閑軌道區(qū)段數(shù)量，計(jì)算列車前方不允許超過的位置，以及為了使列車運(yùn)行到指定的區(qū)域而列車前方必須遵循的唯一進(jìn)路。

1.3 風(fēng)險(xiǎn)定義

風(fēng)險(xiǎn)頻度后果矩陣定義見表1。

表1 風(fēng)險(xiǎn)頻度后果矩陣

2 風(fēng)險(xiǎn)評(píng)估過程

2.1 危害識(shí)別

危害識(shí)別的來源：①已經(jīng)應(yīng)用的類似產(chǎn)品的危害記錄;②專家的觀點(diǎn);③以往項(xiàng)目的危害分析;④其他可以借鑒的分析技術(shù)。

采用HAZOP分析法對(duì)危害進(jìn)行識(shí)別，根據(jù)類似危害記錄和專家觀點(diǎn)，對(duì)于運(yùn)行權(quán)限功能，最嚴(yán)酷的危害為“DTG模式下運(yùn)行權(quán)限錯(cuò)誤”。DTG模式為目標(biāo)距離模式，而ATP即為目標(biāo)距離模式。

2.2 原因分析

采用故障樹分析法查找導(dǎo)致“DTG模式下運(yùn)行權(quán)限錯(cuò)誤”的原因，該故障樹如圖1所示。

圖1 運(yùn)行權(quán)限錯(cuò)誤的故障樹

該故障樹的最小割集為： {X1}; {X2};{X3};{X4};{X5};{X6};{X7};{X8}。即以上割集之一均可直接導(dǎo)致“DTG模式下運(yùn)行權(quán)限錯(cuò)誤”。根據(jù)以往項(xiàng)目經(jīng)驗(yàn)和專家意見，經(jīng)分析，該危害發(fā)生的頻度為“很少”，評(píng)分值為3。

2.3 后果分析

采用事件樹分析法對(duì)“DTG模式下運(yùn)行權(quán)限錯(cuò)誤”所造成的后果進(jìn)行分析，繪制運(yùn)行權(quán)限事件樹如圖2，圖3所示。

可以看出，當(dāng)出現(xiàn)“DTG模式下運(yùn)行權(quán)限錯(cuò)誤”的危害時(shí)，若安全條件具備，則不會(huì)造成事故;若觸發(fā)了不安全條件，則會(huì)造成撞車或出軌的事故，所以，該危害造成事故的嚴(yán)酷度是“災(zāi)難性的”，評(píng)分值為4。

2.4 損失分析

經(jīng)確認(rèn)的突發(fā)事件 (后果)包括：①安全;②出軌;③列車撞人，人員傷亡;④撞車，人員輕微傷害;⑤撞車，人員傷亡。

其中，“①”不會(huì)造成損失，其余各項(xiàng)后果均會(huì)造成安全損失?！阿凇痹谧顕?yán)酷的條件下，可能會(huì)造成2到3人死亡。 “③”會(huì)造成1人死亡?！阿堋睍?huì)造成2名乘客的輕微傷害。“⑤”在最嚴(yán)酷的條件下，可能會(huì)造成2到3名乘客死亡。

該危害發(fā)生的頻度為“很少”，嚴(yán)酷度為“災(zāi)難性的”，因此其風(fēng)險(xiǎn)值為12，查表1知，該風(fēng)險(xiǎn)不可接受，需要采取控制措施。

2.5 方案分析

為預(yù)防由運(yùn)行權(quán)限錯(cuò)誤導(dǎo)致的事故，針對(duì)不同的危害原因，采取相應(yīng)的控制措施，具體措施見表2。

2.6 影響分析

影響分析即對(duì)采取措施后的風(fēng)險(xiǎn)重新評(píng)估，確定其剩余風(fēng)險(xiǎn)。

1．對(duì)于由 X1和X2引起的運(yùn)行權(quán)限錯(cuò)誤，通過采取表2中的控制措施，可最大限度地降低運(yùn)行權(quán)限計(jì)算錯(cuò)誤和軌道碼譯碼錯(cuò)誤的概率，從而可降低危害發(fā)生的概率。

圖2 運(yùn)行權(quán)限錯(cuò)誤的事件樹 (1)

2．對(duì)于由X3引起的運(yùn)行權(quán)限錯(cuò)誤，采用3取2的冗余解碼算法，可在規(guī)定的時(shí)間內(nèi)確定解碼的正確結(jié)果，既保證可用性，又保證安全性;漢寧窗技術(shù)可以降低偶然解碼錯(cuò)誤的概率;采用基于頻域的快速FFT變換算法，可減少運(yùn)算量，簡(jiǎn)化算法，準(zhǔn)確解析出功率譜最強(qiáng)的頻率數(shù)值。

3．由X4引起的運(yùn)行權(quán)限錯(cuò)誤不是由車載ATP控制單元自身錯(cuò)誤引起的，而是由外部接口設(shè)備錯(cuò)誤引起，采取表2所述的控制措施可有效預(yù)防這樣的失效。

4．對(duì)于由X5引起的運(yùn)行權(quán)限錯(cuò)誤，通過提供故障安全的地面ATP設(shè)備接口，可使車載ATP控制單元在接口故障時(shí)，導(dǎo)向安全側(cè)，以保障安全。

5．對(duì)于由X6、X7和X8引起的運(yùn)行權(quán)限錯(cuò)誤，做好培訓(xùn)工作，并將此問題的嚴(yán)重性告知用戶，以引起用戶對(duì)此問題的重視，在進(jìn)行設(shè)計(jì)聯(lián)絡(luò)時(shí)會(huì)注意這方面的溝通，避免發(fā)生錯(cuò)誤;軌道碼譯碼功能對(duì)地理數(shù)據(jù)中不一致的碼序表和載頻順序表進(jìn)行防護(hù)，可以起到防護(hù)作用，降低危害發(fā)生的概率;RM模式允許司機(jī)在規(guī)定的低速 (向前 25 km/h，向后20 km/h)運(yùn)行，ATP發(fā)現(xiàn)道岔異常時(shí)，只允許RM模式，保證此時(shí)列車仍能安全運(yùn)行，從而降低危害發(fā)生的概率。

2.7 符合性證實(shí)

采取以上措施后，可大大降低危害發(fā)生的概率，其頻度可降低至“難以置信的”，其剩余風(fēng)險(xiǎn)為“容許的”，剩余風(fēng)險(xiǎn)值為4，所以該項(xiàng)危害的剩余風(fēng)險(xiǎn)在可接受范圍。

表2 備選方案列表

圖3 運(yùn)行權(quán)限錯(cuò)誤的事件樹 (2)

3 結(jié)論

采用七階段法對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行階段性、條理性地分析，可最大限度地找出危害的原因，以便有針對(duì)性地提出控制措施，有助于及時(shí)發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)缺陷，并進(jìn)行修正，對(duì)于系統(tǒng)安全設(shè)計(jì)有非常重要的指導(dǎo)意義。

［1］戎珈，姜尚．共因失效在地鐵聯(lián)鎖系統(tǒng)可靠性分析中的應(yīng)用［J］．計(jì)算機(jī)與現(xiàn)代化.2010，(3).

［2］宋紅霞、王玉松、王利鋒、況長虹.列車自動(dòng)防護(hù)系統(tǒng)安全計(jì)算機(jī)可靠性與安全性分析［J］．工業(yè)控制計(jì)算機(jī)，2008，21(1)

［3］ISBN 978-0-9551435-2-6.Engineering Safety Management(The Yellow Book).

［4］EN 50126：1999.鐵路應(yīng)用-軌道交通可靠性、可用性、可維護(hù)性和安全性規(guī)范及展示［S］.1999.

［5］EN 50129：2003.鐵路應(yīng)用-用于信號(hào)的安全相關(guān)的電子系統(tǒng)［S］.2003.

Abstract:This paper is based on a project of distance-to-go mode ATP system and describes the application of seven-stage process risk assessment method．Combined with fault tree analysis and event tree analysis，this paper detailed analyzed certain hazards of onboard ATP control unit in the ATP system of distance-to-go mode．

Key words:Safety;Fault Tree Analysis;Event Tree Analysis;Seven-stage

2013-05-10

(責(zé)任編輯：諸 紅)