李娜，談立成，燕春光，傅振亮，田雪艷

(中國北車集團(tuán) 唐山軌道客車有限責(zé)任公司 產(chǎn)品技術(shù)研究中心，河北 唐山 063035)*

0 引言

根據(jù)東南亞地區(qū)高溫高濕、炎熱、多雨的熱帶氣候以及基礎(chǔ)設(shè)施相對(duì)陳舊和落后、具有一定的維修能力但缺乏先進(jìn)的工具手段和技術(shù)水平的特點(diǎn)，在出口某內(nèi)燃動(dòng)車組的設(shè)計(jì)中采用“安全可靠、堅(jiān)固耐用、適風(fēng)適俗、成熟經(jīng)濟(jì)”的原則.該內(nèi)燃動(dòng)車組適用于某國最長運(yùn)輸距離為150 km軌鐵路的旅客運(yùn)輸.動(dòng)車組為3輛編組，兩輛動(dòng)車和一輛拖車.動(dòng)車組可以實(shí)現(xiàn)兩列重聯(lián)運(yùn)行.車體鋼結(jié)構(gòu)采用薄壁筒形整體承載焊接結(jié)構(gòu)，設(shè)計(jì)強(qiáng)度滿足標(biāo)準(zhǔn)EN12663中P-III的要求，牽引傳動(dòng)系統(tǒng)采用交—直—交傳動(dòng)技術(shù)，主要由柴油機(jī)、主發(fā)電機(jī)、逆變器和牽引電機(jī)等組成.

對(duì)于鐵路客車產(chǎn)品而言，安全可靠的運(yùn)營至關(guān)重要，在出口某內(nèi)燃動(dòng)車組設(shè)計(jì)過程中采用了系統(tǒng)安全工程的分析方法［1］，以識(shí)別車輛、子系統(tǒng)、接口、硬件、軟件、相關(guān)操作和運(yùn)營程序等可能導(dǎo)致的引起人員傷亡、系統(tǒng)損壞、運(yùn)營嚴(yán)重中斷的隱患事件，并根據(jù)事故影響的嚴(yán)重程度以及可能的發(fā)生概率評(píng)估其風(fēng)險(xiǎn)，提出了設(shè)計(jì)、制造、測(cè)試、維修程序等相關(guān)減輕措施，將該內(nèi)燃動(dòng)車組的安全風(fēng)險(xiǎn)控制在合理可接受的范圍，即符合國際標(biāo)準(zhǔn) EN50126“Railway applications-The specification and demonstration of Reliability，Availability，Maintainability and Safety(RAMS)”鐵路應(yīng)用可靠性，可用性，可維護(hù)性和安全性技術(shù)條件和驗(yàn)證(RAMS)中規(guī)定的ALAPP(風(fēng)險(xiǎn)降到可行)原則.

1 各階段安全性分析工作

在安全性研究的所有內(nèi)容中，最基本的是安全性分析和安全性評(píng)估［2］.根據(jù)EN50126標(biāo)準(zhǔn)中對(duì)RAMS工作的要求，并結(jié)合公司實(shí)際，內(nèi)燃動(dòng)車組在產(chǎn)品設(shè)計(jì)初期就將系統(tǒng)安全性分析的各項(xiàng)工作融入到了產(chǎn)品生命周期各階段中［3］，如圖1所示.隨著設(shè)計(jì)工作的進(jìn)展、可獲得的數(shù)據(jù)和信息的增多，相關(guān)技術(shù)人員對(duì)安全性分析結(jié)果及時(shí)進(jìn)行了更新、補(bǔ)充和完善.

圖1 項(xiàng)目各階段安全性分析工作

2 采用的安全性分析方法

系統(tǒng)安全性分析是安全系統(tǒng)工程的核心內(nèi)容，也是安全性評(píng)價(jià)的基礎(chǔ)［4］.通過對(duì)出口某內(nèi)燃動(dòng)車組的功能特性和運(yùn)行條件進(jìn)行分析，項(xiàng)目采用的系統(tǒng)安全分析方法主要有初步危害分析(PHA)、系統(tǒng)危害分析(SHA)、子系統(tǒng)危害分析(SSHA)、接口危害分析(IHA)、操作和保障危害分析(O＆SHA)、量化風(fēng)險(xiǎn)評(píng)估以及安全原則及規(guī)范要求的符合性評(píng)估.

在開展內(nèi)燃動(dòng)車組各項(xiàng)安全性分析之前，首先制定了系統(tǒng)安全性工作計(jì)劃［5］，該計(jì)劃包含用戶所提出的安全性工作項(xiàng)目要求，用來實(shí)現(xiàn)組織結(jié)構(gòu)、責(zé)任、工作流程和資源的合理安排，明確并安排所要開展工作項(xiàng)目、時(shí)間節(jié)點(diǎn)進(jìn)度，并同時(shí)保證系統(tǒng)能夠滿足合同及項(xiàng)目規(guī)定的安全性要求，安全性工作計(jì)劃隨著產(chǎn)品研發(fā)進(jìn)程不斷完善，并根據(jù)用戶要求對(duì)工作計(jì)劃做相應(yīng)更改.本內(nèi)燃動(dòng)車組項(xiàng)目中安全性分析流程如圖2所示.

圖2 安全性分析流程

2.1 系統(tǒng)定義

在項(xiàng)目設(shè)計(jì)初期對(duì)出口某內(nèi)燃動(dòng)車組進(jìn)行了系統(tǒng)定義，明確系統(tǒng)的主要功能及系統(tǒng)功能層次和約束條件，為安全性分析工作提供基礎(chǔ)［5］.同時(shí)，通過分析發(fā)現(xiàn)了許多低層次功能的接口問題，為系統(tǒng)接口隱患分析奠定了基礎(chǔ).此項(xiàng)分析也是可靠性分析工作，如功能FMEA、可靠性建模、可靠性分配、可靠性預(yù)計(jì)等的前導(dǎo)工作.

本項(xiàng)目中系統(tǒng)定義涉及到的主要內(nèi)容有系統(tǒng)功能和接口分析、成熟產(chǎn)品分析、環(huán)境條件及敏感部件分析等.

2.2 初步隱患分析(PHA )

隱患分析是針對(duì)系統(tǒng)的潛在隱患進(jìn)行系統(tǒng)的分析，確定系統(tǒng)的主要隱患清單是進(jìn)行初步隱患分析的基礎(chǔ)［6］.本項(xiàng)目中通過識(shí)別和車輛相關(guān)的隱患事件(參見表1)，確定了車輛系統(tǒng)安全要求，并進(jìn)一步驗(yàn)證了車輛系統(tǒng)架構(gòu)和功能設(shè)計(jì)是否滿足其安全要求，以確保系統(tǒng)從設(shè)計(jì)一開始便具備固有的安全屬性.

表1 主隱患清單

在項(xiàng)目設(shè)計(jì)初期進(jìn)行了車輛初步隱患分析，用以識(shí)別車輛系統(tǒng)可能涉及和需要控制的潛在隱患，并提出系統(tǒng)設(shè)計(jì)過程中需要執(zhí)行的措施以消除或減輕相關(guān)隱患.本項(xiàng)目中進(jìn)行的初步隱患分析如表2所示.

2.3 系統(tǒng)隱患分析、接口隱患分析以及操作和支持隱患分析

系統(tǒng)危害分析(SHA)用以識(shí)別和分析與子系統(tǒng)設(shè)計(jì)相關(guān)的、與安全關(guān)鍵設(shè)備功能和接口的相關(guān)的潛在隱患(如子系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、功能劃分等)，并提出相應(yīng)的隱患消除或減輕措施［6］.SHA將設(shè)備看作“黑盒”以識(shí)別其邊界范圍內(nèi)的隱患，并確定其相應(yīng)的安全需求.SHA的目的包括驗(yàn)證和確認(rèn)子系統(tǒng)結(jié)構(gòu)和功能設(shè)計(jì)是否滿足其安全要求;識(shí)別設(shè)備功能和接口故障以及人因錯(cuò)誤可能導(dǎo)致的潛在隱患及對(duì)子系統(tǒng)/系統(tǒng)的影響等.本項(xiàng)目中進(jìn)行的系統(tǒng)隱患分析如表3所示.

表2 初步隱患分析

表3 系統(tǒng)隱患分析

接口隱患分析(IHA)用以識(shí)別和分析與系統(tǒng)/子系統(tǒng)內(nèi)部以及外部的接口相關(guān)的潛在隱患，提出系統(tǒng)/子系統(tǒng)和相關(guān)接口系統(tǒng)/子系統(tǒng)需要執(zhí)行的隱患消除或減輕措施［6］.IHA關(guān)注接口功能中可能存在的潛在隱患，其識(shí)別出的隱患減輕措施可做為系統(tǒng)/子系統(tǒng)本身以及接口系統(tǒng)/子系統(tǒng)的安全需求.在分析過程中，一般也可采用系統(tǒng)隱患分析代替接口隱患分析.

操作和支持隱患分析(O＆SHA)用以識(shí)別和分析在系統(tǒng)/子系統(tǒng)/設(shè)備的運(yùn)營和維修過程中與人員和規(guī)程相關(guān)的潛在隱患，并提出需要執(zhí)行的隱患消除或減輕措施［6］.OSHA關(guān)注與人員操作相關(guān)的潛在隱患，其目的是優(yōu)化系統(tǒng)設(shè)計(jì)或運(yùn)維規(guī)程.本項(xiàng)目中進(jìn)行的系統(tǒng)隱患分析如表4所示.

2.4 隱患管理和關(guān)閉

出口某內(nèi)燃動(dòng)車組項(xiàng)目中所有識(shí)別出的隱患均記錄在隱患登記冊(cè)中.使用隱患登記冊(cè)對(duì)隱患關(guān)閉狀態(tài)以及證據(jù)進(jìn)行管理，定期更新隱患登記冊(cè)中有關(guān)隱患信息、預(yù)防/減輕措施相關(guān)證據(jù)、隱患關(guān)閉狀態(tài)等.車輛系統(tǒng)的隱患關(guān)閉遵循ALARP(風(fēng)險(xiǎn)降到可行)原則，隱患關(guān)閉過程如圖3所示.

圖3 車輛系統(tǒng)的隱患關(guān)閉過程

2.5 安全關(guān)鍵項(xiàng)

安全關(guān)鍵項(xiàng)(SCI)是一種工程項(xiàng)目，其安全完整性對(duì)列車的安全至關(guān)重要.本項(xiàng)目根據(jù)FMECA、危害分析和量化風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)顯著影響車輛安全運(yùn)營的設(shè)備或產(chǎn)品列入安全關(guān)鍵項(xiàng)清單，進(jìn)行重點(diǎn)關(guān)注和管理.本項(xiàng)目中納入安全關(guān)鍵項(xiàng)管理的項(xiàng)目包括:

(1)單一故障導(dǎo)致“嚴(yán)重的”或以上后果的部件或組件;

(2)單一故障導(dǎo)致初始風(fēng)險(xiǎn)等級(jí)為R1或R2的部件或組件;

(3)雙重故障導(dǎo)致“重大的”或以上后果的部件或組件.

其中形成的安全性關(guān)鍵項(xiàng)清單如表5所示.

3.安全性分析結(jié)果

通過對(duì)出口某內(nèi)燃動(dòng)車組開展上述系統(tǒng)安全分析，對(duì)車輛系統(tǒng)的各種潛在的隱患進(jìn)行了識(shí)別，對(duì)風(fēng)險(xiǎn)發(fā)生的可能性及后果嚴(yán)重性進(jìn)行了綜合分析，根據(jù)國際鐵路標(biāo)準(zhǔn)EN50126:1999中的規(guī)定，在本項(xiàng)目執(zhí)行過程中，依照表6定義的風(fēng)險(xiǎn)矩陣對(duì)所有危害進(jìn)行了風(fēng)險(xiǎn)等級(jí)評(píng)估:初始風(fēng)險(xiǎn)等級(jí)R1的12項(xiàng)，R2為22項(xiàng)，R3為84項(xiàng)，R4為102項(xiàng).各風(fēng)險(xiǎn)等級(jí)的定義如下:

(1)R1(不容許的):除特殊情況外，必須消除該類風(fēng)險(xiǎn)(Risk must be reduced save in exceptional circumstances);

(2)R2(不希望的):必須將風(fēng)險(xiǎn)減低至最低實(shí)際可行的水平(Risk must be reduced if it is reasonably practicable to do so);

(3)R3(容許的):可忍受的風(fēng)險(xiǎn)，但仍須按成本效益盡量減低風(fēng)險(xiǎn)(Risk is tolerable but should be further reduced if it is cost effective to do so);

(4)R4(可忽略的):可接受的風(fēng)險(xiǎn) (Risk is acceptable).

表5 安全關(guān)鍵項(xiàng)清單

表6 風(fēng)險(xiǎn)矩陣

通過以上的風(fēng)險(xiǎn)分析結(jié)果，在設(shè)計(jì)、制造、安裝、測(cè)試以及運(yùn)營維護(hù)等階段提出為消除危險(xiǎn)或?qū)L(fēng)險(xiǎn)減少到用戶可接受水平所需的安全性措施和替換方案，其中以在設(shè)計(jì)上采取糾正措施作為首選考慮，并在設(shè)計(jì)過程中制定了所采用的安全性設(shè)計(jì)準(zhǔn)則，例如，采用聯(lián)鎖、警告和過程指示等設(shè)計(jì)特性來避免會(huì)導(dǎo)致事故的人為差錯(cuò)等.車輛系統(tǒng)最終剩余風(fēng)險(xiǎn)R1為0項(xiàng)、R2為0項(xiàng)、R3為23項(xiàng)、R4為197項(xiàng).

3 結(jié)論

出口某內(nèi)燃動(dòng)車組項(xiàng)目通過在產(chǎn)品生命周期的不同階段開展PHA、SHA、IHA以及O＆SHA，識(shí)別出車輛、子系統(tǒng)、接口、硬件、軟件、相關(guān)操作和運(yùn)營程序等可能導(dǎo)致的引起人員傷亡、系統(tǒng)損壞、運(yùn)營嚴(yán)重中斷的隱患事件，并針對(duì)隱患提出了設(shè)計(jì)、制造、測(cè)試、維修程序等相關(guān)減輕措施.通過將PHA、SHA、IHA、O＆SHA 識(shí)別出的隱患和措施記錄在隱患登記冊(cè)，定期更新隱患登記冊(cè)中有關(guān)隱患信息、預(yù)防/減輕措施相關(guān)證據(jù)、隱患關(guān)閉狀態(tài)等，實(shí)現(xiàn)了改善系統(tǒng)的安全薄弱環(huán)節(jié)，有效降低了車輛產(chǎn)品的運(yùn)營風(fēng)險(xiǎn).

［1］周經(jīng)倫，龔時(shí)雨，顏兆林.系統(tǒng)安全性分析［M］.長沙:中南大學(xué)出版社，2003:14-19.

［2］艷萍，唐禎敏，武旭.地鐵行車安全保障系統(tǒng)的研究［J］.城市軌道交通研究，2004(5):23.

［3］張凌輝，王海峰，漁海雷.港口工程全壽命風(fēng)險(xiǎn)管理［J］.中國水運(yùn)，2008，8(8):56-57.

［4］沈斐敏.安全系統(tǒng)工程基礎(chǔ)與實(shí)踐［M］.2版，北京:煤炭工業(yè)出版社，1996.

［5］BSI.EN50126-1:1999 Railway applications-The specification and demonstration of Reliability，Availability，Maintainability and Safety(RAMS)(S).［s.l.］:［s.n.］，1999.

［6］MIL-STD-882C System Safety Program Requirements［S］.［s.l.］:［s.n.］，1996.