付世亮

(中車浦鎮(zhèn)龐巴迪運輸系統(tǒng)有限公司，241060，蕪湖//工程師)

與常規(guī)的軌道交通相比，全自動運行的軌道交通系統(tǒng)更強(qiáng)調(diào)系統(tǒng)的可用性和安全性，要求關(guān)鍵運行設(shè)備采用冗余設(shè)計，減少運行故障，并在滿足系統(tǒng)正常運行的前提下，具備較強(qiáng)的抗干擾能力及故障恢復(fù)能力。因此，針對全自動運行線路車輛系統(tǒng)的安全也提出了新的需求。

國際標(biāo)準(zhǔn)IEC 61508—2010[1]和歐洲電工標(biāo)準(zhǔn)化委員會(CENELEC)制定的EN 50126-1—2017[2]、CLC/TR 50126-2—2007[3]、EN 50657—2017[4]等鐵路安全防護(hù)標(biāo)準(zhǔn)都提出了安全相關(guān)系統(tǒng)的“安全完整性等級(Safety Integrity Level,簡稱SIL)”概念。目前軌道交通行業(yè)非全自動運行系統(tǒng)中，主要圍繞信號系統(tǒng)中涉及的安全功能提出了SIL要求。信號系統(tǒng)主要基于風(fēng)險圖方法來確認(rèn)系統(tǒng)的SIL[5]。

本文通過對軌道交通車輛系統(tǒng)的風(fēng)險辨識、安全功能、安全完整性、安全要求等方面的內(nèi)在聯(lián)系進(jìn)行分析，提出了一種基于風(fēng)險圖進(jìn)行車輛系統(tǒng)SIL分配的方法。

1 安全完整性等級(SIL)

IEC 61508—2010標(biāo)準(zhǔn)將SIL定義為一種離散的等級，共有4種可能等級，分別對應(yīng)不同的安全完整性量值范圍。其中：安全完整性等級4(SIL4)最高，安全完整性等級1(SIL1)最低。EN 50126-1—2017和EN 50657—2017則是將SIL定義為多種離散的等級，用于指定相關(guān)功能的安全完整性要求，以便分配給與之相關(guān)的安全系統(tǒng)。

SIL的定義[6]可以概括為3個方面：安全功能、定量指標(biāo)、SIL的分配。因此，SIL不僅是安全相關(guān)系統(tǒng)開發(fā)、設(shè)計的要求，也是安全相關(guān)系統(tǒng)評價的依據(jù)。

1. 1 SIL的安全功能

唯一確保安全的功能是安全功能。安全相關(guān)功能是一種系統(tǒng)失效影響安全的功能，因此，所有安全功能都是與安全相關(guān)的，反之亦然。

目前，軌道交通車輛系統(tǒng)安全功能識別方法有3種：

1) 常規(guī)方法：通過識別危害清單進(jìn)行風(fēng)險分析，從而確認(rèn)其安全功能。主要的風(fēng)險識別方法包括初步危害分析(PHA)、危害與可操作性分析(HAZOP)、失效模式及影響(FMEA)、檢查表等。但是，常規(guī)的識別方法主要依靠人的主觀判定和經(jīng)驗，如通過頭腦風(fēng)暴法、專家評審法等進(jìn)行識別。由于分析人員分析經(jīng)驗及主觀判定等的局限性，造成安全功能識別的不完整，或安全判定存在偏差。針對此問題，可采用工程文件及歷史故障經(jīng)驗梳理相結(jié)合的方式，全面、完整地識別出軌道交通車輛系統(tǒng)的安全功能。

2) 根據(jù)工程文件確定安全功能。運用需求管理逐條識別工程文件(技術(shù)合同)中技術(shù)章節(jié)，通過評審識別相應(yīng)的功能需求，梳理出安全功能和非安全功能。例如，軌道交通項目車輛系統(tǒng)的招標(biāo)文件經(jīng)常要求將車輛制動系統(tǒng)緊急制動功能的安全等級定為SIL4。

3) 根據(jù)車輛系統(tǒng)的歷史經(jīng)驗確定安全功能。由于軌道交通車輛系統(tǒng)并非是全新設(shè)計，而是在以往項目的基礎(chǔ)上進(jìn)行改建或優(yōu)化，因此，可以直接使用以前項目確認(rèn)的安全功能或者過往項目的涉及到安全的故障信息，用以確定車輛系統(tǒng)的安全功能。

通過以上3種方法分析或識別軌道交通車輛的安全功能后，再進(jìn)行交叉檢驗和完整性確認(rèn)，則可全面地識別出軌道交通車輛系統(tǒng)的安全功能。

1. 2 SIL的定量指標(biāo)

安全完整性是在規(guī)定時間段內(nèi)和規(guī)定條件下，安全相關(guān)系統(tǒng)成功執(zhí)行規(guī)定安全功能的概率。安全完整性越高，安全相關(guān)系統(tǒng)未能按要求執(zhí)行規(guī)定的安全功能或未能實現(xiàn)規(guī)定狀態(tài)的概率就越低。安全完整性由硬件安全完整性和系統(tǒng)性安全完整性共同構(gòu)成。

IEC 61508—2010定義了電氣/電子/可編程電子類安全相關(guān)系統(tǒng)的功能安全，可應(yīng)用在電子、宇航、汽車、原子能、化工、冶金等多個領(lǐng)域。該標(biāo)準(zhǔn)定義了4個級別的SIL，并對“要求時危險失效平均概率”(PFDavg)這一指標(biāo)進(jìn)行了量化。

鐵路安全防護(hù)標(biāo)準(zhǔn)EN 50126-1—2017則定義了“每個功能可容忍故障率”(TFFR)的概念。表1是SIL與失效概率的對應(yīng)關(guān)系[2]。

表1 SIL與失效概率的對應(yīng)關(guān)系

通過表1對PFDavg和TFFR進(jìn)行對比可以看出，IEC 61508—2010同樣適用于軌道交通行業(yè)，但在進(jìn)行具體的應(yīng)用時，需要結(jié)合EN 50126-1—2017對參數(shù)進(jìn)行優(yōu)化。

1. 3 SIL的分配方法

IEC 61508—2010推薦以風(fēng)險圖法作為SIL的分配方法。風(fēng)險圖法最早源于德國的安全標(biāo)準(zhǔn)，主要用于考察對人員造成的影響。德國高鐵監(jiān)管部門基于風(fēng)險圖方法，也制定了可用于確定軌道交通各系統(tǒng)SIL等級的方法。

基于定性和基于分級的方法，采用可能性、后果、處于危險區(qū)域的時間(暴露時間、暴露頻率)和避免危害事件的可能性等4個參數(shù)來確定安全完整性水平。每一個參數(shù)都已有相應(yīng)的分級標(biāo)準(zhǔn)，具體定義如下：

1) 后果用C表示。基中：C1表示發(fā)生人員輕微傷害的事件；C2表示造成對1人以上造成嚴(yán)重的永久性傷害或個人死亡的事件；C3表示造成多人死亡的重大事件；C4表示造成非常多人死亡的嚴(yán)重事件。

2) 危害區(qū)域的頻率和暴露時間：用F表示。其中：F1表示很少在危害區(qū)域暴露；F2表示經(jīng)常在危害區(qū)域長期暴露。

3) 避免危害事件的可能性：用P表示。其中：P1表示在某些情況下可能；P2表示幾乎不可能；

4) 不期望事件發(fā)生的概率：用W表示。其中：W1表示非常低，即有害事件發(fā)生的可能性非常小，只有少數(shù)有害事件可能發(fā)生；W2表示低，即有害事件發(fā)生的可能性小，有害事件很少發(fā)生；W3表示高，即有害事件發(fā)生的可能性相當(dāng)高，可能頻繁發(fā)生。

風(fēng)險圖法根據(jù)不同風(fēng)險對人員、環(huán)境和財產(chǎn)的影響程度、發(fā)生頻率等方面，以及人員出現(xiàn)頻率和是否能避免事故發(fā)生等情況，確定SIL等級。圖1為IEC 61508—2010推薦的風(fēng)險圖。

值得注意的是，由于鐵路安全防護(hù)標(biāo)準(zhǔn)EN 50126—2017中第E.10條對風(fēng)險圖法的使用存在疑問，特別指出在安全完整性等級中如果采用風(fēng)險圖方法，其參數(shù)和類型中并沒有在軌道交通行業(yè)內(nèi)達(dá)成一致。

但是僅從軌道交通車輛系統(tǒng)角度看，車輛系統(tǒng)的復(fù)雜程度遠(yuǎn)低于整個軌道交通系統(tǒng)，而且，因車輛系統(tǒng)造成的危害場景和后果可以通過分析進(jìn)行預(yù)判。因此，本文認(rèn)為通過對風(fēng)險圖中4個參數(shù)和SIL定量指標(biāo)的校核，風(fēng)險圖法可用于軌道交通車輛系統(tǒng)進(jìn)行SIL分配，并可確定車輛系統(tǒng)各安全功能的SIL。

圖1 IEC 61508—2010推薦的風(fēng)險圖

2 軌道交通車輛系統(tǒng)SIL分配的過程

城市軌道交通車輛系統(tǒng)是集合機(jī)械、電氣、通信于一體的綜合系統(tǒng)，各部分通過連接共同完成車輛系統(tǒng)的功能和安全功能。通常根據(jù)功能和物理架構(gòu)將車輛系統(tǒng)分為多個子系統(tǒng)，如：車體、車體外部設(shè)備、車門、轉(zhuǎn)向架、車內(nèi)設(shè)備、空調(diào)系統(tǒng)、牽引輔助系統(tǒng)、制動系統(tǒng)、乘客信息系統(tǒng)、列車信息系統(tǒng)、防火安全系統(tǒng)等。針對車輛系統(tǒng)組成的復(fù)雜程度，在進(jìn)行安全完整性等級分析時，需要從車輛系統(tǒng)頂層功能識別開始，直到明確各子系統(tǒng)/子功能的安全要求。整個SIL分配過程流程圖如圖2所示。

2. 1 車輛系統(tǒng)安全功能識別

軌道交通項目車輛系統(tǒng)的招標(biāo)文件(客戶的技術(shù)規(guī)格書)中給出了部分功能需求。首先對車輛系統(tǒng)中相關(guān)功能并且可由E/E/PE執(zhí)行的功能進(jìn)行識別，再結(jié)合歷史經(jīng)驗和工程經(jīng)驗進(jìn)行查漏補(bǔ)缺。

對客戶的技術(shù)規(guī)格書中功能列表和公司歷史經(jīng)驗進(jìn)行匯總形成功能列表后，進(jìn)行交叉檢查和完整性確認(rèn)，使車輛系統(tǒng)安全功能列表更加完整。

2. 2 危害識別

在進(jìn)行車輛系統(tǒng)的風(fēng)險分析之前，除了要確認(rèn)系統(tǒng)安全相關(guān)控制功能之外，還需要對系統(tǒng)可能出現(xiàn)的功能性故障及由于該故障引起的危害進(jìn)行分析。通常將由于車輛系統(tǒng)故障造成的危害等級分為4級：災(zāi)難性的、嚴(yán)重性的、次要的和輕微的。

對IEC 61508—2010和EN 50126-1—2017中嚴(yán)重等級的定義進(jìn)行對比，表2列出2個標(biāo)準(zhǔn)間嚴(yán)重級別的關(guān)系。IEC 61508—2010將重大損失分別考慮(C4多人死亡)，這主要是由于IEC 61508—2010還涉及到與化工、核電等行業(yè)。因此，在風(fēng)險圖法參數(shù)“后果C”中需要校核C4的定義。嚴(yán)重等級C4只適用于會導(dǎo)致非常極端后果的危害。

圖2 軌道交通車輛系統(tǒng)SIL分配流程圖

2. 3 風(fēng)險圖參數(shù)的校準(zhǔn)

IEC推薦的風(fēng)險圖法是一種定性分析方法，各參數(shù)缺少定量的指標(biāo)。因此需要對風(fēng)檢圖進(jìn)行校準(zhǔn)，為風(fēng)險圖的各參數(shù)進(jìn)行賦值。因此，給每個參數(shù)分配1個指標(biāo)或標(biāo)準(zhǔn)定義，使得當(dāng)組合應(yīng)用時，也可以對缺乏特定安全功能下存在的風(fēng)險進(jìn)行分析。這樣做的其目的是通過某種方法描述所有參數(shù)，使分析人員或團(tuán)隊能根據(jù)風(fēng)險圖的具體應(yīng)用進(jìn)行客觀和易于理解的判斷，確保軌道交通車輛系統(tǒng)的SIL符合相應(yīng)的風(fēng)險準(zhǔn)則；通過實際應(yīng)用也可進(jìn)一步驗證參數(shù)選擇的正確性。此外，這樣做還確保了安全功能分配的安全完整性等級符合項目或?qū)嶋H的風(fēng)險標(biāo)準(zhǔn)，并考慮了其他來源的風(fēng)險。因此給每個參數(shù)賦予1個指標(biāo)或標(biāo)準(zhǔn)定義，也可以對缺乏特定安全功能下存在的風(fēng)險進(jìn)行分析。表3列出了后果參數(shù)C校準(zhǔn)后的分類；表4列出了危害區(qū)域的頻率和暴露時間參數(shù)F校準(zhǔn)后的分類；表5列出了避免危害事件的可能性參數(shù)P校準(zhǔn)后的分類。表6列出了不期望事件發(fā)生概率W校準(zhǔn)后的分類。

表2 EN 50126和IEC 61508嚴(yán)重性級別的關(guān)系

表3 后果(C)參數(shù)校準(zhǔn)后分類

表4 危害區(qū)域的頻率和暴露時間(F)校準(zhǔn)后的分類

表5 避免危害事件的可能性(P)校準(zhǔn)后的分類

表6 不期望事件發(fā)生的概率(W)校準(zhǔn)后分類

2. 4 車輛系統(tǒng)安全功能SIL分配應(yīng)用

圖3 車輛制動系統(tǒng)的功能框圖

根據(jù)軌道交通車輛功能描述及其定義，確定車輛制動系統(tǒng)的主要功能為：提供減速度和維持車輛靜止?fàn)顟B(tài)。圖3為車輛制動系統(tǒng)頂層的功能框圖。由圖3可以看出,通過對車輛功能的危害分析，“使車輛降速(行車制動)”是制動系統(tǒng)的常規(guī)功能,并不屬于安全功能;“防止故障(監(jiān)測和診斷)”是制動系統(tǒng)的輔助功能,該功能屬于安全功能。車輛制動系統(tǒng)的SIL要求為：①“防止列車超速和相撞(緊急制動)”功能應(yīng)達(dá)到SIL4；②“防止故障(監(jiān)測和診斷)”功能應(yīng)達(dá)到SIL2；③“施加和釋放駐車制動”的功能應(yīng)達(dá)到SIL2；④“提供駐車制動器的狀態(tài)”功能應(yīng)達(dá)到SIL1；

據(jù)工程和歷史經(jīng)驗，車輛制動系統(tǒng)在完成提供減速度時，“緊急制動”功能獨立運行，且與行車制動并行。因此，將SIL4的要求分配在這2種功能之間。

分析和梳理車輛制動系統(tǒng)的子功能，包含了獲取制動需求、優(yōu)先考慮制動需求并選擇制動模式、分配制動力、施加和緩解制動力、提供車輪滑行保護(hù)等方面。根據(jù)“防止列車超速和相撞(緊急制動)”功能應(yīng)達(dá)到SIL4的要求，這些子功能的實現(xiàn)方式至少需要1條路徑達(dá)到SIL4才能滿足要求。

基于各子功能架構(gòu)描述和確定邊界，分析得到制動系統(tǒng)各子功能的安全完整性等級要求為：①獲取制動需求：“分配制動力的列車線路徑”功能應(yīng)達(dá)到SIL4，或TFFR<1×10-8/h(列車線獨立于列車控制與管理系統(tǒng)、制動控制單元和牽引控制單元)；②分配制動力：“緊急制動閥施加100%制動力(超越制動控制單元的命令)和牽引控制單元用以打開高速斷路器(抑制和取消了電制動)”功能應(yīng)達(dá)到SIL4，或TFFR<1×10-8/h；③施加和緩解制動力：“施加制動力(緊急制動閥)的列車線路徑”功能應(yīng)達(dá)SIL4，或TFFR<1×10-8/h(緊急制動閥的激活和功能獨立于制動控制單元和牽引控制單元)；④提供車輪滑行保護(hù)：電制動和空氣制動不會在同一轉(zhuǎn)向架上并行工作，“車輛滑行的時候切除電制動僅保留空氣制動的硬件路徑”功能應(yīng)達(dá)到SIL4，或TFFR<1×10-8/h。

全自動運行系統(tǒng)中車輛系統(tǒng)承擔(dān)的功能與整個運行系統(tǒng)的功能目標(biāo)、安全功能分配、與其他系統(tǒng)的接口等密切相關(guān)，應(yīng)從工程項目和系統(tǒng)角度出發(fā)對具體的車輛系統(tǒng)進(jìn)行系統(tǒng)性的分析。

3 結(jié)語

城市軌道交通車輛系統(tǒng)安全完整性SIL的研究可為全自動運行系統(tǒng)中的車輛系統(tǒng)安全設(shè)計及評估提供依據(jù)。在新建項目的設(shè)計中，更需要識別安全功能及SIL的定量分析和項目特定應(yīng)用的安全評估。針對全自動運行系統(tǒng)的其他核心設(shè)備，如綜合監(jiān)控、通信、站臺門等，同樣適用基于風(fēng)險圖法來確定系統(tǒng)的SIL。