中車青島四方機車車輛股份有限公司□陳文祿 張愛霞

城市軌道交通車輛的車門系統(tǒng)是機械和電氣技術高度集成的產(chǎn)品， 在車輛上配置數(shù)量多、 操作頻繁， 與車輛安全性及可靠性密切相關。 為避免在運營過程中出現(xiàn)安全事故， 城軌車輛車門系統(tǒng)需要達到特定的安全性和可靠性要求。 目前軌道交通比較成熟的安全標準為歐盟電子技術標準委員會（CENELE） 的EN 50126/50128/50129 系列標準。

安全完整性等級SIL 是針對安全領域的安全相關系統(tǒng)執(zhí)行的安全功能提出的特定要求， SIL構建了用戶、 車輛主機廠和設備供應商之間的安全領域共同語言。 合理確定車門系統(tǒng)安全完整性等級（SIL） 對城軌車輛研制尤為重要， 過低的SIL 等級會導致安全相關系統(tǒng)安全功能失效概率過高， 會導致受控設備危險失控； 過高的系統(tǒng)SIL 等級則會增加研發(fā)周期和成本， 不能達到合理控制、 降低風險的效果。

危害識別： 根據(jù)設定的分析范圍、 結合相關科學方法和手段， 識別出所分析系統(tǒng)的所有危害事件。 為確保危害識別的有效性和完整性，應定義所分析系統(tǒng)的邊界條件， 收集與系統(tǒng)安全相關的信息， 并按照給定的條件和變量， 全面找出系統(tǒng)中存在的潛在危險因素， 明確相關的聯(lián)系和影響。

風險分析： 確認危害、 危害原因和與其可能性相關的要求偏差， 并分析危害結果的承受程度進行分析的過程。 風險分析的核心是危害分析，即對不期望事件的識別及其后果的分析。

安全完整性： 指在規(guī)定的條件下和時間內，由E/E/PE 安全相關系統(tǒng)成功實現(xiàn)所要求功能的概率， 即系統(tǒng)安全完整的置信度。

根據(jù)IEC 61508 《電氣/電子/可編程電子安全系統(tǒng)的功能安全》、 EN 50129 《鐵路應用 通信、信號和過程控制系統(tǒng) 信號的安全相關電子系統(tǒng)》標準， 安全完整性分為SIL1～SIL4共四個等級，SIL4表示最高等級， SIL1表示最低等級， SIL0表示無安全性需求。 SIL 等級是對系統(tǒng)所要求的安全完整性水平的一種定量指標， 與執(zhí)行安全功能的相關系統(tǒng)的性能相關。 SIL 定級有多種方法， 工程上較常用的方法有風險矩陣法、 保護層分析法和風險圖法。

（1） 風險矩陣法

在標準IEC 61508-5 《電氣/電子/可編程電子安全系統(tǒng)的功能安全 第5 部分： 確定安全整體水平方法的實例》 附錄G 中對風險矩陣法進行了應用說明， 這種方法是基于對危害事件可能性和后果的定性分析， 應用示例如圖1 所示。 依據(jù)風險邊界， 找出每一種嚴重度對應的可容忍風險概率。 徐陽、 李俊紅等人采用風險矩陣法對軌道車輛安全完整性等級評定進行了分析研究。

圖1 IEC 61508-5 風險矩陣法應用示例

（2） 保護層分析法（LOPA）

保護層分析法是一種半定量的風險分析方法， 分析中針對特定的事故場景， 識別能夠預防和減輕風險的保護層， 并對每個保護層所能提供的風險降低水平進行評估。 該方法主要由危險事件發(fā)生頻率、 初始事件的嚴重度等級、 不包括E/E/PE 安全相關系統(tǒng)的獨立保護層的平均失效概率、 危險事件降低的后果等參數(shù)構成。

（3） 風險圖法

風險圖法是基于功能的風險水平確定SIL 等級， 即通過分析某項功能的C、 F、 P、 W 指標，確定該功能的SIL 等級。 其中C、 F、 P、 W 為風險圖分析的四個維度， 分別為危險事件后果參數(shù)、 頻率和暴露時間危險參數(shù)、 避開危險源概率參數(shù)及不期望事件發(fā)生概率。 風險圖表法通過四個參數(shù)之間的關系， 反映出當安全功能故障或未設置安全功能時可能出現(xiàn)的危險狀態(tài)， 見圖2。

圖2 IEC 61508-5 推薦的風險圖

參考IEC 61508-5 附錄D， 圖2 中的參數(shù)分類和含義如表1 所示：

表1 風險圖的參數(shù)分類和含義說明

本文選用風險圖法作為車輛車門系統(tǒng)SIL等級確定的方法。 首先對車輛車門開展故障模式與影響分析 （FMEA）， 對車輛等級隱患進行識別和分析， 基于項目合同需求分析和初步隱患分析提出減輕措施， 識別出車輛車門各子系統(tǒng)的相關安全功能， 為潛在的相關危險參數(shù)的確定提供依據(jù)。

經(jīng)分析本項目車門系統(tǒng)安全功能主要有： 車門準確開閉功能、 關門鎖閉功能、 緊急解鎖功能、 防夾功能、 門狀態(tài)指示功能及非零速保護功能六種。 六種安全功能分別通過影響和后果分析可確定危險事件后果參數(shù)C， 通過原因分析可確定頻率和暴露時間危險參數(shù)F， 通過場景分析可確定避開危險源概率參數(shù)P， 通過綜合分析確定不期望事件發(fā)生概率W。

根據(jù)圖2 所示流程， 可以確定車門系統(tǒng)各安全功能的安全完整性等級， 見表2。

同時， 依據(jù)公式（1） 可計算出車門系統(tǒng)的SIL 等級。

公式 （1） 中SIL1～SIL6表示車門所確定的六個安全功能所對應的SIL 等級。 本項目中

最終可以得出本項目車門的SIL 等級為SIL2。

表2 車門安全功能風險圖參數(shù)和SIL 等級

本文重點介紹了依據(jù)風險圖分析法所開展的SIL 等級評定方法， 通過對車門系統(tǒng)FMEA 分析、 安全功能分析， 得出風險圖參數(shù)， 依據(jù)風險圖分析流程和系統(tǒng)安全功能等級確定原則， 有效評定了車門系統(tǒng)SIL 等級。 安全完整性以可靠性為重要基礎， 后續(xù)需要在項目執(zhí)行過程中， 收集車門系統(tǒng)可靠性數(shù)據(jù)， 持續(xù)修正車門系統(tǒng)該SIL評級方法的風險圖參數(shù)。