楊 娟 張小林

（上海富欣智能交通控制有限公司安全管理部，201203，上?！蔚谝蛔髡?，工程師）

現(xiàn)代有軌電車運(yùn)行可靠、舒適、節(jié)能、環(huán)保、實(shí)用，作為城市新興的一種先進(jìn)的公交方式，已完成了從傳統(tǒng)到現(xiàn)代化的轉(zhuǎn)變，在世界上被廣泛推廣，充滿了光明的前景。

隨著有軌電車的快速發(fā)展，信號控制系統(tǒng)的安全性也越來越受到人們關(guān)注。目前對有軌電車信號控制系統(tǒng)的安全完善度等級（Safety Integrity Level,SIL）進(jìn)行評估，主要采用基于風(fēng)險(xiǎn)矩陣的評估方法，通過對系統(tǒng)風(fēng)險(xiǎn)性質(zhì)的分析，導(dǎo)出信號設(shè)備所需達(dá)到的SIL。

本文闡述了一種基于EPC（Exposure，Probaility，Consequence）因子的現(xiàn)代有軌電車信號系統(tǒng)的SIL評估方法。這種方法忽略那些不會(huì)導(dǎo)致災(zāi)難性后果的危害，減少對信號系統(tǒng)安全完善度等級的過度要求，有助于增強(qiáng)對有軌電車信號系統(tǒng)在工程應(yīng)用中實(shí)施安全評估的合理性。

1 現(xiàn)代有軌電車信號控制系統(tǒng)

現(xiàn)代有軌電車信號系統(tǒng)主要包括正線道岔控制子系統(tǒng)、轉(zhuǎn)轍機(jī)、信號機(jī)、軌道檢測設(shè)備、平交道口信號控制子系統(tǒng)、車載子系統(tǒng)、操作維護(hù)子系統(tǒng)和車輛段聯(lián)鎖子系統(tǒng)。

信號系統(tǒng)提供自動(dòng)控制功能（允許司機(jī)專注于運(yùn)行的安全），并且提供降級和后備手動(dòng)控制模式（允許司機(jī)進(jìn)行本地控制操作）。當(dāng)出現(xiàn)OCC（Operating Control Center）中心系統(tǒng)故障時(shí)，其具備車載自動(dòng)控制功能，當(dāng)所有支持中央和車載自動(dòng)運(yùn)營的設(shè)備均出現(xiàn)故障時(shí)，正線運(yùn)行的有軌電車能夠通過司機(jī)的手動(dòng)控制繼續(xù)保持運(yùn)行，由司機(jī)操作線路上的道岔。

正線道岔控制器通過進(jìn)路、信號機(jī)、轉(zhuǎn)轍機(jī)之間的安全聯(lián)鎖實(shí)現(xiàn)信號顯示及轉(zhuǎn)轍機(jī)控制功能，從而保證進(jìn)路排列的安全和有軌電車通過的安全。

平交道口控制功能主要實(shí)現(xiàn)有軌電車通過交叉路口的控制功能，與交管部門共同完成路口信號系統(tǒng)的功能擴(kuò)充，實(shí)現(xiàn)各種交通車輛有序、高效通過運(yùn)行。

信號控制系統(tǒng)用于對現(xiàn)代有軌電車系統(tǒng)中的信號設(shè)備（包括車載設(shè)備和地面設(shè)備）進(jìn)行實(shí)時(shí)監(jiān)督和控制，有軌電車無ATP（Automectie Train Protection）保護(hù)功能時(shí)，司機(jī)需使用人工駕駛模式看信號機(jī)顯示來目視行車，以確保行車安全。

典型現(xiàn)代有軌電車信號系統(tǒng)的結(jié)構(gòu)圖如圖1所示。

圖1 系統(tǒng)架構(gòu)框圖

2 基于EPC的SIL評估

2.1 初步風(fēng)險(xiǎn)評估

信號系統(tǒng)安全功能所要求的SIL，是通過對安全功能的風(fēng)險(xiǎn)分析確定的，據(jù)此需要對安全功能相關(guān)的危害后果嚴(yán)重程度、危害發(fā)生頻率和風(fēng)險(xiǎn)等級進(jìn)行定義。將特定危害發(fā)生頻率和危害后果嚴(yán)重程度進(jìn)行綜合，即得到風(fēng)險(xiǎn)矩陣。風(fēng)險(xiǎn)矩陣是結(jié)合了安全監(jiān)管要求、風(fēng)險(xiǎn)自身性質(zhì)、既有項(xiàng)目經(jīng)驗(yàn)積累和軌道交通項(xiàng)目客戶要求在內(nèi)的，對信號系統(tǒng)安全功能所涉及風(fēng)險(xiǎn)的整體評價(jià)工具。

表1～3分別給出了危害后果嚴(yán)重程度分級、危害頻率分級和風(fēng)險(xiǎn)可接受等級定義。表4是在其基礎(chǔ)上形成的風(fēng)險(xiǎn)矩陣［1～3］。

上述各表構(gòu)成了對信號系統(tǒng)安全功能進(jìn)行風(fēng)險(xiǎn)分析方法的基礎(chǔ)。一方面，對一個(gè)特定的信號系統(tǒng)安全功能相關(guān)危害，在明確了其發(fā)生的頻率（A-F）及其導(dǎo)致的后果（I-III）之后，即可根據(jù)風(fēng)險(xiǎn)矩陣得出該危害的初始風(fēng)險(xiǎn)等級（R1-R3），以及需要緩解到的風(fēng)險(xiǎn)等級。另一方面，風(fēng)險(xiǎn)矩陣同時(shí)指出了兩種風(fēng)險(xiǎn)緩解的方法：①降低危害事件的后果；②降低危害事件發(fā)生的頻率。

表1 危害的嚴(yán)重程度及其后果

表2 危害發(fā)生的頻率

表3 風(fēng)險(xiǎn)接受準(zhǔn)則

表4 風(fēng)險(xiǎn)矩陣

對于有軌電車信號系統(tǒng)，降低危害事件的后果在技術(shù)上難度較大，一般通過降低危害事件的發(fā)生頻率來降低整體的風(fēng)險(xiǎn)等級。在具體的信號系統(tǒng)工程項(xiàng)目中，理想情況是所有風(fēng)險(xiǎn)均應(yīng)被緩解至R3。

2.2 EPC因子

上述基于風(fēng)險(xiǎn)矩陣的半定量風(fēng)險(xiǎn)分析方法是按照危害后果的嚴(yán)重程度和危害發(fā)生的頻率，根據(jù)風(fēng)險(xiǎn)矩陣為該功能分配一定的SIL等級。在有軌電車信號系統(tǒng)項(xiàng)目實(shí)踐中，這種方法可能會(huì)忽略影響風(fēng)險(xiǎn)的其他因素（特別是對那些不會(huì)導(dǎo)致災(zāi)難性后果的危害），從而導(dǎo)致對信號系統(tǒng)安全完善度等級的過度要求。

為了解決這個(gè)問題，參考文獻(xiàn)［4-5］，引入了3組潛在風(fēng)險(xiǎn)影響因子：①暴露于危害（Exposure)的概率E；②降低事故發(fā)生可能性（Probability）的概率P；③避免事故發(fā)生（Consequence）的概率C。

上述3個(gè)因子總稱EPC因子，它們用于考慮除了安全設(shè)計(jì)和操作運(yùn)營之外，其他有助于降低風(fēng)險(xiǎn)的因素?；陲L(fēng)險(xiǎn)矩陣對風(fēng)險(xiǎn)進(jìn)行數(shù)量級逐步減輕的原則，上述風(fēng)險(xiǎn)影響因子可以進(jìn)行如下定義。

2.2.1 暴露于危害的概率E

因子E用于評估人員是否會(huì)暴露于持續(xù)發(fā)生的危害場景中。E的取值如表5所示。

表5 暴露于危害的概率E

2.2.2 降低事故發(fā)生可能性的概率P

因子P用于評估可用于降低事故發(fā)生概率的附加防護(hù)手段（這些防護(hù)手段也可以認(rèn)為是降低了相關(guān)的風(fēng)險(xiǎn)）。P的取值如表6所示。

表6 降低事故發(fā)生可能性的概率P

2.2.3 避免發(fā)生事故的概率C

因子C用于評估可用于避免發(fā)生危害事故的額外防護(hù)手段。C的取值如表7所示。

表7 避免事故后果的概率C

2.3 在SIL評估中應(yīng)用EPC因子

表8給出了EN 50129［1］中SIL和相應(yīng)容許故障率（tolerable hazard rate）RTH之間關(guān)系的要求。對一項(xiàng)特定的信號系統(tǒng)相關(guān)風(fēng)險(xiǎn)，在確定了其所需達(dá)到的RTH后，即可確定其對應(yīng)的安全功能的SIL，即相應(yīng)給出了對承擔(dān)該安全功能的信號設(shè)備的要求。

表8 SIL與RTH的關(guān)系

如上文所述，信號系統(tǒng)的風(fēng)險(xiǎn)緩解主要依靠降低相關(guān)危害的發(fā)生頻率，這可以通過在RTH的基礎(chǔ)上綜合考慮EPC因子的影響來實(shí)現(xiàn)。在考慮EPC因子的情況下，風(fēng)險(xiǎn)嚴(yán)重性等級與對應(yīng)的安全功能所要求的SIL之間的關(guān)系可寫為：

風(fēng)險(xiǎn)后果的嚴(yán)重性等級n→ RTH，m=RTH，n/FEPC=LSI，m。

這里的 RTH，n是指原始失效率；RTH，m是指考慮了EPC之后的失效率；LSI，m是指考慮了EPC之后的安全完善度等級；FEPC為EPC因子；m是介于1和4之間的自然數(shù)?？紤]EPC各種評估情況的組合，則可得到風(fēng)險(xiǎn)嚴(yán)重性和對應(yīng)的LSI，m之間的關(guān)系，如表9所示。

表9 EPC因子FEPC及SIL等級

這樣，對一個(gè)特定的安全功能，可根據(jù)其失效的后果及所容忍的風(fēng)險(xiǎn)得到相應(yīng)的RTH，然后在考慮EPC的基礎(chǔ)上導(dǎo)出對應(yīng)的SIL，即完成了該安全功能的SIL評估。這一過程充分考慮了信號系統(tǒng)實(shí)際運(yùn)營過程中可能影響安全風(fēng)險(xiǎn)的非技術(shù)因素，增強(qiáng)了所得到的SIL對項(xiàng)目實(shí)踐的匹配程度，提高了系統(tǒng)功能安全要求在工程應(yīng)用中的合理性。

2.4 信號設(shè)備的SIL確定

通過上述風(fēng)險(xiǎn)評估過程得到的SIL，是安全功能的識別，應(yīng)經(jīng)過專門的功能風(fēng)險(xiǎn)分析（如失效模式及后果分析，F(xiàn)MEA），并將其功能職責(zé)合理分配到相關(guān)信號設(shè)備中，達(dá)到對信號設(shè)備生成功能SIL要求的目的。

3 應(yīng)用實(shí)例

以現(xiàn)代有軌電車信號系統(tǒng)（正線）的道岔控制器和道岔轉(zhuǎn)轍機(jī)為例，結(jié)合上文所述方法，分析在未引入EPC之前和引入EPC因子之后，對各個(gè)設(shè)備所承擔(dān)安全功能對應(yīng)的SIL進(jìn)行評估的過程。

3.1 正線轉(zhuǎn)轍機(jī)

不同的正線轉(zhuǎn)轍機(jī)故障模式，其所選取的EPC因子也不相同，本文分別對各種模式下的EPC因子選取進(jìn)行了說明。

1）故障模式1：道岔密貼失效，即道岔實(shí)際沒有密貼到位但還是給出了相應(yīng)位置表示，導(dǎo)致列車高速通過道岔時(shí)脫軌，后果等級保守估計(jì)為I，則相應(yīng)的發(fā)生頻率（RTH）需要達(dá)到10-9～10-8，才能達(dá)到R3的風(fēng)險(xiǎn)水平。為此：

E選擇為1，保守估計(jì)為乘客連續(xù)暴露在該危害下。

P選擇為0.1，定期的檢修可以發(fā)現(xiàn)道岔密貼故障，正線道岔轉(zhuǎn)轍機(jī)只具有簡單的硬件電路，沒有軟件，并且由于其功能簡單，一次人工例檢可以遍歷其所有的功能，進(jìn)而可以檢測出所有的故障。

C選擇為1，沒有其他的措施可以避免發(fā)生事故的概率。

根據(jù) RTH，1=RTH/FEPC=10-8～ 10-7，對應(yīng)的安全等級為SIL3。

2）故障模式2：道岔鎖閉失效，即道岔在列車高速通過時(shí)由于列車的沖擊和震動(dòng)而存在移動(dòng)，造成脫軌，后果等級保守估計(jì)為I；但道岔鎖閉的機(jī)制一般為機(jī)械鎖閉，不屬于功能安全的范疇，因此不適用于SIL的應(yīng)用。該風(fēng)險(xiǎn)的防范主要通過機(jī)械的設(shè)計(jì)以及機(jī)械材料的選擇，通過測試以及后期的維護(hù)保養(yǎng)來保證。

3）故障模式3：道岔位置表示錯(cuò)誤，即給出了不正確的道岔位置，如實(shí)際反位但卻給出定位表示，列車通過時(shí)造成高速脫軌，后果等級保守估計(jì)為II，則相應(yīng)的發(fā)生頻率（RTH）需要達(dá)到10-9～10-8,才能達(dá)到R3的風(fēng)險(xiǎn)水平。為此：

E選擇為1，保守估計(jì)為乘客連續(xù)暴露在該危害下。

P選擇為0.01，有兩重因素降低該危害發(fā)展成事故（Accident）的概率。因素1為定期的檢修可以發(fā)現(xiàn)道岔表示故障，因素2為道岔控制器對于道岔表示的監(jiān)測，如同時(shí)為定位和反位的合理性檢查，同時(shí)還有道岔命令和表示的閉環(huán)一致性檢查。

C選擇為1，沒有其他的措施可以避免發(fā)生事故的概率。

根據(jù) RTH，3=RTH/FEPC=10-7～ 10-6，對應(yīng)的安全等級為SIL2。

4）故障模式4：道岔處于機(jī)械動(dòng)作模式但未給出正確的模式表示，在人工機(jī)械動(dòng)作模式時(shí)道岔控制器輸出動(dòng)作道岔，導(dǎo)致操作人員受傷，后果等級保守估計(jì)為I，則相應(yīng)的發(fā)生頻率（RTH）需要達(dá)到10-9～10-8，才能達(dá)到R3的風(fēng)險(xiǎn)水平。為此：

E選擇為0.1，平時(shí)工作在電操模式，只有在維護(hù)或人工機(jī)械操作道岔時(shí)才會(huì)暴露在該危害下。

P選擇為0.1，當(dāng)?shù)啦碓跈C(jī)械操作模式時(shí)會(huì)自動(dòng)斷開電操電路。

C選擇為0.1，操作流程規(guī)定在本地機(jī)械動(dòng)作道岔時(shí)人員遠(yuǎn)離道岔動(dòng)作部分

根據(jù) RTH，4=RTH/FEPC=10-6～ 10-5，對應(yīng)的安全等級為SIL1。

3.2 正線道岔控制系統(tǒng)

故障模式1：聯(lián)鎖功能失效導(dǎo)致列車撞車或道岔錯(cuò)誤轉(zhuǎn)動(dòng)致列車脫軌，后果等級保守估計(jì)為I，則相應(yīng)的發(fā)生頻率（RTH）需要達(dá)到10-9～10-8，才能達(dá)到R3的風(fēng)險(xiǎn)水平。為此：

E選擇為1，保守估計(jì)為乘客連續(xù)暴露在該危害下。

P選擇為1，無法降低事故發(fā)生的概率，正線道岔控制系統(tǒng)有復(fù)雜的控制邏輯，僅靠日常簡單的例檢可能尚不足以發(fā)現(xiàn)一些故障。

C選擇為1，沒有其他的措施可以避免發(fā)生事故的概率。

根據(jù) RTH，1=RTH/FEPC=10-9～ 10-8，對應(yīng)的安全等級為SIL4。

3.3 小結(jié)

按照標(biāo)準(zhǔn)［5］規(guī)定，如果系統(tǒng)中不同安全功能的SIL等級不相同，整個(gè)系統(tǒng)的安全等級由SIL等級最高的決定。在引入EPC因子之前，正線道岔控制器和轉(zhuǎn)轍機(jī)的安全完善度等級均需達(dá)到SIL4；引入EPC因子以后，正線有軌道岔控制系統(tǒng)的安全等級需要達(dá)到SIL4，正線轉(zhuǎn)轍機(jī)的安全等級可以降到SIL3。

4 結(jié)語

本文闡述了一種基于EPC因子的現(xiàn)代有軌電車信號系統(tǒng)的SIL評估方法。該方法利用風(fēng)險(xiǎn)矩陣對系統(tǒng)各組件所承擔(dān)的安全功能進(jìn)行風(fēng)險(xiǎn)分析，并引入EPC因子導(dǎo)出系統(tǒng)各組件所需達(dá)到的安全完善度等級。在現(xiàn)代有軌電車信號系統(tǒng)中應(yīng)用該方法的實(shí)例表明，通過引入EPC因子，可以得到對包括道岔控制器、轉(zhuǎn)轍機(jī)、軌道檢測設(shè)備在內(nèi)的關(guān)鍵信號設(shè)備功能且更加符合系統(tǒng)運(yùn)營情況和工程項(xiàng)目實(shí)踐的SIL要求。

信號系統(tǒng)的安全完善度等級的合理確定，有助于提高信號系統(tǒng)的安全性和穩(wěn)定性。而安全完善度等級的確認(rèn)與風(fēng)險(xiǎn)矩陣的選取有直接關(guān)系。目前在現(xiàn)代有軌電車領(lǐng)域，尚缺少權(quán)威統(tǒng)一的風(fēng)險(xiǎn)矩陣。制定統(tǒng)一的行業(yè)風(fēng)險(xiǎn)評價(jià)標(biāo)準(zhǔn)和風(fēng)險(xiǎn)矩陣，是現(xiàn)代有軌電車向更深層次發(fā)展過程中需要重點(diǎn)解決的問題之一，應(yīng)引起行業(yè)主管部門的充分重視。

［1］ European committee for electrotechnical standardization：EN 50129—2003［S］.

［2］ European committee for electrotechnical standardization：EN 50126—1999［S］.

［3］ European committee for electrotechnical standardization:EN 50451—2007［S］.

［4］ Functionalsafetyofelectrical/electronic/programmableelectronic safety-related systems：IEC 615080—2010［S］.

［5］ MOD safe modular urban transport safety and security analysis WP4-D4.1，state of the art analysis and review of results from previous projects［R］.［S.l.］：European Commission，Seventh Framework Programme，2010.