徐倩 張奕奕

摘 要：重點(diǎn)闡述接口危險(xiǎn)分析的具體方法，結(jié)合實(shí)際機(jī)車分析案例說(shuō)明從接口關(guān)系識(shí)別危險(xiǎn)源，對(duì)其進(jìn)行深入分析并提出適當(dāng)?shù)臏p輕措施使得風(fēng)險(xiǎn)控制在可接受水平，該方法應(yīng)用在軌道交通領(lǐng)域?yàn)楸Ｕ袭a(chǎn)品安全提供設(shè)計(jì)參考。

關(guān)鍵詞：接口;危險(xiǎn)分析;風(fēng)險(xiǎn)

0 引言

機(jī)車由車體、轉(zhuǎn)向架、電氣、制動(dòng)、控制等不同功能的大中型子系統(tǒng)組成，而各子系統(tǒng)同樣組成復(fù)雜，也是由多設(shè)備模塊構(gòu)成。顯而易見，無(wú)論是系統(tǒng)層面還是設(shè)備層面均需要通過(guò)接口交互從而實(shí)現(xiàn)相關(guān)功能。也就是說(shuō)，接口是連接它們的通道，使得它們彼此之間得以協(xié)同工作。然而一方面接口交互作用會(huì)導(dǎo)致兩個(gè)以上的系統(tǒng)之間的危險(xiǎn)傳遞，另一方面接口交互失效必然會(huì)影響系統(tǒng)的安全功能實(shí)現(xiàn)。為了保證系統(tǒng)運(yùn)用安全，對(duì)于接口的安全性分析不可或缺。

基于此本文將介紹接口危險(xiǎn)分析（Interface Hazard Analysis，IHA），目的是從接口關(guān)系角度發(fā)現(xiàn)危險(xiǎn)源、分析其形成機(jī)理和造成的后果、確定危險(xiǎn)程度，從而提出措施改進(jìn)設(shè)計(jì)以避免機(jī)車運(yùn)用過(guò)程發(fā)生事故。

1 接口危險(xiǎn)分析概述

系統(tǒng)接口涉及硬件、軟件、人機(jī)操作等方面，因此對(duì)于接口的安全性分析是一個(gè)復(fù)雜的過(guò)程。接口危險(xiǎn)分析首先需要選擇分析對(duì)象即識(shí)別接口。接口分為外部接口和內(nèi)部接口，外部接口為系統(tǒng)與系統(tǒng)之外其他系統(tǒng)之間的接口，內(nèi)部接口為系統(tǒng)本身內(nèi)部各子系統(tǒng)之間的接口。為了全面識(shí)別接口關(guān)系，可以根據(jù)系統(tǒng)設(shè)計(jì)架構(gòu)繪制系統(tǒng)邊界圖，圖1給出了典型的邊界圖示例。系統(tǒng)邊界圖將系統(tǒng)設(shè)計(jì)進(jìn)行簡(jiǎn)化，能夠清晰表示系統(tǒng)與外界之間的關(guān)系，還能夠清楚顯示系統(tǒng)內(nèi)部的子系統(tǒng)組成、各子系統(tǒng)功能之間的關(guān)系，是識(shí)別接口關(guān)系是有效途徑之一。

基于邊界圖識(shí)別系統(tǒng)的接口關(guān)系后，接著識(shí)別接口對(duì)象的危險(xiǎn)因素：通過(guò)分析接口對(duì)象技術(shù)本身失效以及在鐵路運(yùn)行內(nèi)的記錄基礎(chǔ)上，利用接口關(guān)系盡可能地確定接口對(duì)象的所有潛在危險(xiǎn)，潛在危險(xiǎn)是指可能引起人員傷亡或系統(tǒng)/環(huán)境損害的事故發(fā)生。設(shè)計(jì)人員可以使用危險(xiǎn)檢查表、以往的經(jīng)驗(yàn)以及事故調(diào)查，還可以借鑒類似系統(tǒng)已識(shí)別的危險(xiǎn)等，來(lái)幫助發(fā)現(xiàn)每個(gè)接口對(duì)象可能存在的危險(xiǎn)。

識(shí)別接口危險(xiǎn)后應(yīng)深入挖掘其產(chǎn)生的原因、影響并對(duì)風(fēng)險(xiǎn)進(jìn)行定量評(píng)價(jià)，通過(guò)分析提出改進(jìn)措施來(lái)減輕危險(xiǎn)。風(fēng)險(xiǎn)定量評(píng)估是綜合危險(xiǎn)發(fā)生頻率和危險(xiǎn)后果嚴(yán)重度兩種因素來(lái)得出風(fēng)險(xiǎn)等級(jí);定量對(duì)象包括識(shí)別的初始危險(xiǎn)和經(jīng)采取措施后減輕的殘余危險(xiǎn)。

將識(shí)別的接口、危險(xiǎn)、原因、影響、定量評(píng)估等分析結(jié)果記錄在可讀格式的表內(nèi)，便于設(shè)計(jì)人員進(jìn)行追溯。需要注意的是，接口危險(xiǎn)分析是為了發(fā)現(xiàn)接口危險(xiǎn)，并針對(duì)危險(xiǎn)輸出改進(jìn)措施從而促進(jìn)設(shè)計(jì)優(yōu)化，因此為了接口危險(xiǎn)分析的閉環(huán)關(guān)閉，改進(jìn)措施必須納入危險(xiǎn)日志中，通過(guò)驗(yàn)證確認(rèn)活動(dòng)進(jìn)行監(jiān)督，保證措施得以切實(shí)執(zhí)行。

對(duì)于外部接口需要與外部接口供應(yīng)商通過(guò)接口危險(xiǎn)分析表或者其它約定形式，開展接口危險(xiǎn)分析活動(dòng)，確定危險(xiǎn)控制措施且同樣需要納入危險(xiǎn)日志跟蹤直至措施實(shí)施關(guān)閉。

2 接口危險(xiǎn)分析的應(yīng)用

機(jī)車的核心功能之一是實(shí)現(xiàn)安全牽引，本節(jié)將以某型電力機(jī)車為例討論該功能部分的機(jī)車系統(tǒng)內(nèi)部及外部之間接口危險(xiǎn)分析，說(shuō)明接口危險(xiǎn)分析在機(jī)車安全性設(shè)計(jì)中的實(shí)際應(yīng)用。

2.1 接口識(shí)別

機(jī)車通過(guò)其內(nèi)部子系統(tǒng)和外部系統(tǒng)通過(guò)彼此之間接口交互共同實(shí)現(xiàn)牽引功能。首先識(shí)別接口關(guān)系，通過(guò)圖2所示的邊界圖可知：系統(tǒng)內(nèi)部包括供電系統(tǒng)、牽引系統(tǒng)、輔助系統(tǒng)以及控制系統(tǒng)，主變壓器的原邊通過(guò)受電弓、主斷路器得電，次邊向牽引變流器供電，牽引電機(jī)接受牽引變流器的電能轉(zhuǎn)換為驅(qū)動(dòng)行駛的機(jī)械能，同時(shí)TCMS接收各子系統(tǒng)運(yùn)行狀態(tài)并發(fā)出控制指令，輔助變壓器也從牽引變流器得電為控制系統(tǒng)提供電能;系統(tǒng)外部包括信號(hào)設(shè)備、通信設(shè)備，它們與機(jī)車交互運(yùn)行信息，機(jī)車TCMS視情調(diào)整牽引力輸出大小。由此得出10個(gè)內(nèi)部接口關(guān)系和2個(gè)外部接口。

2.2 危險(xiǎn)分析與評(píng)估

上述識(shí)別的接口作用有物理連接、能量供給、信息傳輸?shù)?，?duì)每一個(gè)接口對(duì)象逐項(xiàng)對(duì)照它們技術(shù)本身以及運(yùn)行歷史總結(jié)的故障清單確定它們的故障模式、可能存在的故障后果。經(jīng)分析識(shí)別，12個(gè)接口對(duì)象存在30項(xiàng)接口危險(xiǎn)，即導(dǎo)致人員受傷或者死亡有30項(xiàng)。

下面對(duì)這30項(xiàng)危險(xiǎn)進(jìn)行詳細(xì)分析，發(fā)現(xiàn)它們的危險(xiǎn)原因即引發(fā)危險(xiǎn)的情況或條件、危險(xiǎn)后果即對(duì)人員造成實(shí)際傷害的事件，再結(jié)合風(fēng)險(xiǎn)矩陣對(duì)危險(xiǎn)發(fā)生頻率、后果嚴(yán)重度進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估。文中采用EN50126標(biāo)準(zhǔn)定義的風(fēng)險(xiǎn)矩陣進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)，初始風(fēng)險(xiǎn)等級(jí)為不期望的數(shù)目為24，可接受的數(shù)目為6，為了使風(fēng)險(xiǎn)可控，設(shè)計(jì)人員可從以下四個(gè)方面采取措施降低風(fēng)險(xiǎn)等級(jí)：（1）最小風(fēng)險(xiǎn)設(shè)計(jì);（2）安全防護(hù)設(shè)計(jì);（3）告警設(shè)計(jì);（4）專用操作維護(hù)規(guī)程設(shè)計(jì)。在采取控制措施后，24條不期望的風(fēng)險(xiǎn)可降低為可接受的，6條可接受的風(fēng)險(xiǎn)降低為可忽略的。最后通過(guò)接口危險(xiǎn)分析表記錄危害識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)控制等內(nèi)容，其中對(duì)于外部接口，需要外部接口供應(yīng)商與機(jī)車設(shè)計(jì)人員協(xié)同完成危險(xiǎn)分析。接口危險(xiǎn)分析結(jié)果的示例如表1所示。

3 結(jié)論

采用接口危險(xiǎn)分析可以系統(tǒng)地識(shí)別對(duì)機(jī)車內(nèi)部接口以及外部接口，發(fā)掘它們可能發(fā)生的危險(xiǎn)及原因，并量化危險(xiǎn)的風(fēng)險(xiǎn)等級(jí)，使得設(shè)計(jì)人員更直觀了解系統(tǒng)的安全需求，使其具有目的性地尋找恰當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施，消除風(fēng)險(xiǎn)或減輕至可接受水平。

綜上應(yīng)用接口危險(xiǎn)分析，能夠全面有效地分析多個(gè)系統(tǒng)包括系統(tǒng)邊界之間接口交互危險(xiǎn)，與其它的安全分析如初步危險(xiǎn)分析、子系統(tǒng)危險(xiǎn)分析等共同保證系統(tǒng)安全分析的完備性，保障系統(tǒng)的運(yùn)用安全。

參考文獻(xiàn)：

[1]EN50126-2017，鐵路設(shè)施可靠性、可用性、維修性和安全性（RAMS）的規(guī)范和驗(yàn)證[S].

[2]李良巧.可靠性工程師手冊(cè)[M].北京：中國(guó)人民大學(xué)出版社，2012.

[3]盛銀勝.基于總包工程的接口危害分析[J].鐵路技術(shù)創(chuàng)新，2013（6）：99-101.

[4]王德春.基于PHA的中低速磁浮交通系統(tǒng)安全分析[J].通信設(shè)計(jì)與應(yīng)用，2020（5）：19-22.