施泳，習(xí)年生，王瀾

（1.中國鐵路總公司 安全監(jiān)督管理局，北京 100844；2.中國鐵道科學(xué)研究院集團有限公司 鐵道科學(xué)技術(shù)研究發(fā)展中心，北京 100081）

1 概述

我國高速鐵路正處于快速發(fā)展階段，截至2018年底高速鐵路運營里程已超2.9萬km。隨著高速鐵路路網(wǎng)規(guī)模的擴展，處于地震VII度區(qū)及以上的高速鐵路里程約達(dá)10 000 km以上。我國大陸地震區(qū)分布較廣，震源分散、復(fù)雜，對高速鐵路安全運營影響較大。對運行于地震VII度區(qū)及以上的高速鐵路設(shè)立地震緊急處置系統(tǒng)，是保障高速鐵路運營安全的需要。為此，迫切需要研究適合我國高速鐵路現(xiàn)狀、可行的地震緊急處置技術(shù)。

日本、法國、中國臺灣等高速鐵路較為發(fā)達(dá)的國家和地區(qū)均建立了相應(yīng)的地震緊急處置系統(tǒng)[1-4]。目前，國外地震緊急處置系統(tǒng)控制列車的模式主要有2種：一是以法國地中海線為代表的列控系統(tǒng)控制模式，即接到報警時，由列控系統(tǒng)發(fā)出控制列車運行的信號，自動控制列車停止運行；二是以日本新干線為代表的牽引供電系統(tǒng)控制模式，即接到報警時，牽引變電所停止向接觸網(wǎng)供電，列車車載裝置檢出接觸網(wǎng)斷電后立即自動采取緊急制動措施。

我國在高速動車組制動控制系統(tǒng)研究的基礎(chǔ)上，研發(fā)了全新的、適合我國高速鐵路實際需求的、具有自主知識產(chǎn)權(quán)的車載地震緊急處置裝置（簡稱車載地震裝置），由該裝置接收地震預(yù)警信息并采取相應(yīng)的控車方式（限速或緊急停車）[4-6]。目前，車載地震裝置已研制完成試驗樣機，并進行了實驗室功能驗證和現(xiàn)場試驗驗證。

危險與可操作性分析（Hazard & Operability Analysis，HAZOP）方法[7]是以系統(tǒng)工程為基礎(chǔ)的一種可用于定性分析或定量評價的危險性評價法，它全面考察分析對象，主要采用頭腦風(fēng)暴法，對每一個與設(shè)計要求不一致（即發(fā)生偏差）的地方提出問題，進而進一步分析偏差出現(xiàn)的原因及其產(chǎn)生的后果，并提出相應(yīng)的對策。HAZOP分析方法能有效地識別系統(tǒng)（產(chǎn)品）在不同運行狀態(tài)下的危險和潛在問題，成為衡量系統(tǒng)（產(chǎn)品）安全設(shè)計水平的重要標(biāo)志。

基于HAZOP分析方法，對車載地震裝置進行安全風(fēng)險分析，驗證其安全性，對我國高速鐵路地震安全具有重大的經(jīng)濟和社會意義。

2 車載地震裝置

2.1 主要功能

車載地震裝置安裝在動車組上，由車載地震主機、車載地震終端及天線等構(gòu)成[8]。其中，車載地震主機安裝在動車組兩端車載設(shè)備間，車載地震終端安裝在司機室控制臺或附近，天線安裝在動車組車頭車頂。為保證系統(tǒng)各組成部分的可維修性，在設(shè)計上要保證各組成部分及各模塊的相對獨立，各組成部分、各模塊的功能、數(shù)據(jù)、故障等特性都必須進行嚴(yán)格封裝，以便在需要更換或存在外界干擾時，能夠有效屏蔽對內(nèi)部通信產(chǎn)生的干擾和沖擊。

車載地震裝置用于接收地震緊急處置信息，發(fā)出警示信息并觸發(fā)列車制動裝置，主要具有3方面功能：

（1）基于GPRS方式的GSM-R無線數(shù)據(jù)收發(fā)，實現(xiàn)緊急處置信息的接收與應(yīng)答；

（2）對于Ⅱ級、Ⅲ級地震緊急處置，自動觸發(fā)緊急制動停車；

（3）對于Ⅰ級、Ⅱ級、Ⅲ級地震緊急處置，在司機室進行相應(yīng)的語音及顯示報警。

2.2 操作環(huán)境及外部接口

車載地震裝置在使用過程中，基本上是免操作的，個別情況下需司機簡單操作車載地震終端。車載地震裝置一旦出現(xiàn)嚴(yán)重故障，可通過斷開位于司機室的隔離開關(guān)，通過其緊急制動觸發(fā)功能進行隔離。

車載地震裝置在動車組檢修庫進行維護，正常情況下為日常檢測，故障情況下則采用備件臨時替換。

通過車載地震主機、車載地震終端及天線，車載地震裝置分別與動車組、動車組司機、地震預(yù)警監(jiān)測系統(tǒng)[9]進行關(guān)聯(lián)（見圖1）。車載地震裝置與外部的接口或界面主要有：外部電源接口；緊急繼電器接口；GSM-R無線通信網(wǎng)；語音/顯示報警。

圖1 車載地震裝置系統(tǒng)邊界

3 安全風(fēng)險分析

3.1 HAZOP分析方法

HAZOP的目標(biāo)是通過識別系統(tǒng)（產(chǎn)品）設(shè)計、操作程序和設(shè)備中的潛在危險，將系統(tǒng)（產(chǎn)品）中的危險盡可能消滅在系統(tǒng)（產(chǎn)品）實施的早期階段，幫助實現(xiàn)系統(tǒng)（產(chǎn)品）的過程安全控制。HAZOP分析小組一般由4～8人組成，每個成員都能為所分析系統(tǒng)（產(chǎn)品）提供知識和經(jīng)驗。小組成員的知識、技術(shù)與經(jīng)驗應(yīng)能夠覆蓋所分析系統(tǒng)（產(chǎn)品）的領(lǐng)域，但應(yīng)盡可能小，應(yīng)讓小組的每個成員都發(fā)揮作用。

為對車載地震裝置進行HAZOP分析，組建由產(chǎn)品開發(fā)人員、測試工程師、維修工程師、安全工程師等組成的8人小組（見表1）。由表1可知，HAZOP分析小組成員在安全科學(xué)技術(shù)領(lǐng)域具有堅實的理論基礎(chǔ)和豐富的實踐經(jīng)驗，熟悉鐵路安全產(chǎn)品的相關(guān)標(biāo)準(zhǔn)，深刻了解車載地震裝置的結(jié)構(gòu)、功能及其實現(xiàn)，因而能夠有效地查找和提出車載地震裝置存在的安全風(fēng)險。

表1 HAZOP分析小組成員基本情況

3.2 風(fēng)險等級及應(yīng)對要求

為便于進行風(fēng)險分析并考察風(fēng)險大小，考慮風(fēng)險發(fā)生頻率、危害程度，參考《軌道交通可靠性、可用性、可維修性和安全性規(guī)范及示例》[10]《鐵路交通事故調(diào)查處理規(guī)則》[11]，結(jié)合鐵路交通事故管理實際，提出綜合評估風(fēng)險大小的風(fēng)險等級矩陣（見圖2）。矩陣中，風(fēng)險發(fā)生頻率考慮了6種半定量劃分，危害程度考慮了7種半定量劃分，風(fēng)險等級劃分為4種。

針對不同風(fēng)險等級，給出所要求的應(yīng)對措施（見表2）。

3.3 風(fēng)險分析

針對所需實現(xiàn)的主要功能，HAZOP分析小組依據(jù)HAZOP分析引導(dǎo)詞（No or Not，More，Less，As Well As，Part Of Reverse，Other Than），經(jīng)過多次討論，針對每一個與設(shè)計要求不一致（即發(fā)生偏差）的地方提出問題，共確定108項有效功能偏差。

圖2 風(fēng)險等級矩陣

通過進一步分析偏差出現(xiàn)的原因及其產(chǎn)生的后果，分別對GSM-R無線數(shù)據(jù)收發(fā)、自動觸發(fā)緊急制動、語音及顯示報警等主要功能偏差進行描述（見圖3），其中車載地震主機62項，車載地震終端46項。分析功能偏差產(chǎn)生的原因及其危害，通過風(fēng)險發(fā)生頻率、危害程度來評估風(fēng)險等級，最后提出推薦對策措施。結(jié)果表明，在108項功能偏差情況下，風(fēng)險等級“可忍受的”為75項，“普遍可接受的”為33項。對其中3項功能偏差進行安全風(fēng)險分析的示例見表3。

表2 不同風(fēng)險等級所要求的應(yīng)對措施

3.4 安全措施

通過采用HAZOP方法進行分析，提出22條在設(shè)計或運營階段建議采取的安全措施（見表4）。

圖3 車載地震裝置安全風(fēng)險分析中功能偏差數(shù)量分布

表3 基于HAZOP方法進行安全風(fēng)險分析示例

表4 建議采取的安全措施

4 結(jié)論

（1）結(jié)合HAZOP方法進行功能分析，可以有效、系統(tǒng)地識別車載地震裝置各功能可能存在的偏差。通過識別，車載地震裝置共有108項主要偏差，其中車載地震主機62項，車載地震終端46項。

（2）基于HAZOP方法進行車載地震裝置安全風(fēng)險分析，能夠獲得清晰明確的安全風(fēng)險評估結(jié)果，驗證車載地震裝置的安全性。安全風(fēng)險分析結(jié)果表明，在108項功能偏差情況下，車載地震裝置風(fēng)險等級“可忍受的”為75項，“普遍可接受的”為33項。

（3）采用HAZOP方法能夠方便地進行車載地震裝置安全風(fēng)險分析，可為類似鐵路安全產(chǎn)品的安全風(fēng)險分析提供借鑒。針對車載地震裝置的108項功能偏差，依次進行危害描述，分析找出產(chǎn)生原因及其后果，然后進行風(fēng)險等級評估，提出在設(shè)計和運營階段應(yīng)采取的安全措施。