李葛亮 劉 明 呂遠(yuǎn)斌

(1.南寧軌道交通集團(tuán)有限責(zé)任公司， 530029， 南寧； 2.中車株洲電力機(jī)車有限公司， 412001， 株洲∥第一作者， 工程師)

20世紀(jì)90年代，歐洲著手開展軌道交通領(lǐng)域信號、車輛系統(tǒng)的安全性研究，引入RAMS(可靠性、可用性、可維修性、安全性)管理體系，制定了安全相關(guān)系統(tǒng)功能安全的基礎(chǔ)標(biāo)準(zhǔn)——IEC 61508—2000《電氣/電子/可編程電子安全系統(tǒng)的功能安全》，并在此基礎(chǔ)上制定了EN 50126—1999《鐵路應(yīng)用—可靠性、可用性、可維護(hù)性和安全性》、EN 50128—2001《鐵路應(yīng)用—通信、信號和處理系統(tǒng)—鐵路控制和防護(hù)系統(tǒng)軟件》和EN 50129—2003《鐵路應(yīng)用—通信、信號、處理系統(tǒng)-信號安全相關(guān)電子系統(tǒng)》。隨后我國發(fā)布了對應(yīng)的標(biāo)準(zhǔn)——GB/T 21562—2008《軌道交通可靠性、可用性、可維修性和安全性規(guī)范及示例》、GB/T 28808—2012《軌道交通 通信、信號和處理系統(tǒng)控制和防護(hù)系統(tǒng)軟件》和GB/T 28809—2012《軌道交通 通信、信號和處理系統(tǒng) 信號用安全相關(guān)電子系統(tǒng)》。

在進(jìn)行車輛系統(tǒng)設(shè)計(jì)時(shí)，按照上述標(biāo)準(zhǔn)對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，分析和評估系統(tǒng)的THR(可容忍的危害率)，確保安全子系統(tǒng)和安全功能滿足相應(yīng)的SIL(安全完整性等級)要求[1]。SIL用于確定安全功能的安全完整性要求的不連續(xù)界別，分為1級至4級。級別越大，表示系統(tǒng)安全功能的完整性要求越高，需要采用更復(fù)雜、更高成本的技術(shù)來實(shí)現(xiàn)[2]。因此，在滿足安全需求的前提下，避免資源的過度投入和成本支出，合理確定系統(tǒng)的SIL是非常必要的。本文從城市軌道交通列車客室側(cè)門、網(wǎng)絡(luò)控制、空氣制動等關(guān)鍵子系統(tǒng)的安全功能角度出發(fā)，通過HAZOP(危險(xiǎn)與可操作性分析)識別系統(tǒng)的潛在風(fēng)險(xiǎn)，在其基礎(chǔ)上進(jìn)行SIL分析，并將SIL評估方法應(yīng)用到實(shí)際的工程項(xiàng)目中。

1 基于HAZOP原則的風(fēng)險(xiǎn)識別

HAZOP旨在對系統(tǒng)的用戶需求、設(shè)計(jì)開發(fā)、生產(chǎn)組裝過程及工藝流程等方面進(jìn)行安全評估，找出在此過程中可能產(chǎn)生的風(fēng)險(xiǎn)及其后果，并進(jìn)行詳細(xì)分析，最后給出相應(yīng)的預(yù)防措施。HAZOP是一種具有系統(tǒng)性、創(chuàng)造性的分析方法[3]，適用于城市軌道交通車輛系統(tǒng)的風(fēng)險(xiǎn)識別，能夠較為全面地識別危害?；贖AZOP技術(shù)，可將列車的設(shè)計(jì)、制造全過程分為以下幾個(gè)主要階段：

1) 對系統(tǒng)進(jìn)行定義，明確系統(tǒng)的功能需求，選擇專業(yè)團(tuán)隊(duì)，確定風(fēng)險(xiǎn)矩陣，進(jìn)行初步危害分析；

2) 收集系統(tǒng)危害及損失的數(shù)據(jù)，編制風(fēng)險(xiǎn)識別流程計(jì)劃，進(jìn)行系統(tǒng)危害分析；

3) 將整個(gè)系統(tǒng)劃分為相關(guān)的子系統(tǒng)，定義每個(gè)子系統(tǒng)的功能設(shè)計(jì)，進(jìn)行子系統(tǒng)危害分析、接口危害分析、操作和支持危害分析；

4) 確定風(fēng)險(xiǎn)等級，提出建議措施；

5) 確定列車整體系統(tǒng)的設(shè)計(jì)、生產(chǎn)制造方案；

6) 跟蹤方案的實(shí)施，做好過程記錄，最后輸出分析報(bào)告。

2 SIL分析

2.1 安全完整性

在對風(fēng)險(xiǎn)進(jìn)行識別后，確定其后果嚴(yán)重度，依據(jù)最低合理可行的風(fēng)險(xiǎn)接受準(zhǔn)則可得到風(fēng)險(xiǎn)的THR。系統(tǒng)功能的安全完整性可通過結(jié)構(gòu)、方法、工具和技術(shù)的有效組合來實(shí)現(xiàn)，并且與其安全功能失效的THR相關(guān)。

安全完整性的定義是“在所有規(guī)定條件下和規(guī)定時(shí)間內(nèi)，系統(tǒng)實(shí)現(xiàn)安全功能的可能性”[4]，通常是定量因素(硬件失效)和非定量因素(技術(shù)、文件、程序等的失效)的組合。風(fēng)險(xiǎn)的產(chǎn)生是由于其相對應(yīng)安全功能失效造成的，因此必須根據(jù)各子系統(tǒng)安全功能的影響程度，將系統(tǒng)的THR按一定的比例分配，每個(gè)安全功能均應(yīng)有對應(yīng)的THR值Rth。IEC 61508—2010規(guī)定了SIL與Rth的關(guān)系，如表1所示。

表1 SIL與Rth的關(guān)系

2.2 SIL分析方法

SIL分析的方法主要有定性、定量2類，其中：定性分析方法采用定性的描述，通過風(fēng)險(xiǎn)可能性及后果確定SIL，主要有風(fēng)險(xiǎn)圖法、風(fēng)險(xiǎn)矩陣法；定量分析方法通過計(jì)算Rth得到對應(yīng)的SIL，主要有保護(hù)層分析法[5]。在實(shí)際操作中，大多采用基于風(fēng)險(xiǎn)矩陣法的半定量分析方法，根據(jù)風(fēng)險(xiǎn)矩陣為每個(gè)安全功能分配SIL，但這種方法可能會導(dǎo)致系統(tǒng)對SIL的過度要求。為了更合理地確定SIL，本文采用半定量的分析方法[6]。確定SIL的基本步驟如下：①通過HAZOP原則中的子系統(tǒng)危害分析確定系統(tǒng)/子系統(tǒng)的安全功能風(fēng)險(xiǎn)，分析可能的故障和安全問題；②定義后果嚴(yán)重度和相關(guān)的Rth；③明確風(fēng)險(xiǎn)減輕因子，分別為風(fēng)險(xiǎn)群體成員/乘客暴露在危險(xiǎn)下的可能性E、減少事故的可能性P及減輕后果的可能性C；④分配SIL給系統(tǒng)/子系統(tǒng)的安全功能。

后果嚴(yán)重度等級的定義如表2所示。風(fēng)險(xiǎn)減輕因子定義及參數(shù)的取值[7]如表3所示。

表2 后果嚴(yán)重度等級定義

表3 風(fēng)險(xiǎn)減輕因子的定義及參數(shù)選取

根據(jù)后果嚴(yán)重度的定義可以得到安全功能風(fēng)險(xiǎn)可容忍率的初始值Rth-i，結(jié)合EPC風(fēng)險(xiǎn)減輕因子E、P、C的取值，計(jì)算出該安全功能最終的Rth，再根據(jù)Rth與SIL的對應(yīng)關(guān)系可以確定該功能的SIL。Rth的計(jì)算式為：

Rth=Rth-i/(EPC)

(1)

此SIL分析方法考慮了系統(tǒng)在運(yùn)營中可能產(chǎn)生風(fēng)險(xiǎn)的非技術(shù)條件，可更合理地確定安全功能的SIL，避免安全性的過度設(shè)計(jì)。

3 應(yīng)用實(shí)例

本文以南寧軌道交通4號線的列車安全完整性分析工作為例，從列車車門、列車網(wǎng)絡(luò)控制、空氣制動等關(guān)鍵系統(tǒng)必須實(shí)現(xiàn)的安全功能出發(fā)，通過HAZOP識別出系統(tǒng)的潛在風(fēng)險(xiǎn)，確定各子系統(tǒng)的Rth-i，在此基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)減輕因子的SIL分析，最終確定該線列車關(guān)鍵系統(tǒng)安全功能的SIL。列車關(guān)鍵子系統(tǒng)主要安全功能的SIL分析如表4所示。

表4 列車關(guān)鍵子系統(tǒng)主要的安全功能的SIL分析表

該線列車為4動2拖編組的B型車，線路等級速度為80 km/h。列車客室側(cè)門采用雙扇電控塞拉門，車門的電控電動裝置采用微處理器控制的電動機(jī)驅(qū)動裝置，可與列車總線網(wǎng)絡(luò)進(jìn)行通信；列車采用總線網(wǎng)絡(luò)及后備列車導(dǎo)線控制方式，總線由具有冗余結(jié)構(gòu)的多功能車輛總線組成，可對關(guān)鍵區(qū)域提供部分冗余；該車型采用架控的模擬式空氣制動系統(tǒng)，主要實(shí)現(xiàn)常用制動(含快速制動、保持制動)、緊急制動、防滑以及停放制動等功能。

通過HAZOP識別出上述關(guān)鍵子系統(tǒng)主要的安全功能有：乘客上下車時(shí)開關(guān)門、牽引制動控制、列車限速運(yùn)行、常用制動、防滑、緊急制動。這些安全功能一旦失效，可能會造成乘客的跌落、受傷或死亡，以及列車碰撞、車輪損傷。分析上述安全功能的后果嚴(yán)重度，確定各子系統(tǒng)的Rth-i，采用EPC分析方法得到最終的Rth，最后確定SIL。

根據(jù)目前的行業(yè)經(jīng)驗(yàn)及運(yùn)營安全需求，各關(guān)鍵子系統(tǒng)目前采用的安全完整性等級如下：客室側(cè)門的安全完整性等級為SIL2，網(wǎng)絡(luò)控制的安全完整性等級為SIL2，制動系統(tǒng)中常用制動功能的安全完整性等級為SIL2，緊急制動功能的安全完整性等級為SIL4。與表4相比可得到結(jié)論，客室側(cè)門及空氣制動系統(tǒng)的安全功能均符合目前的行業(yè)及運(yùn)營需求，而網(wǎng)絡(luò)控制的部分安全功能可通過設(shè)置風(fēng)險(xiǎn)減輕措施，適當(dāng)降低其SIL的要求，從而避免為追求安全性而造成過度的資源浪費(fèi)。

4 結(jié)語

目前國內(nèi)的城市軌道交通領(lǐng)域尚缺少一個(gè)系統(tǒng)、完整的安全完整性等級知識體系，許多用戶、產(chǎn)品設(shè)計(jì)人員、RAMS管理人員并未完全理解SIL的概念并掌握SIL的分析方法，刻意追求安全功能的SIL等級，或是將SIL作為產(chǎn)品競爭的要素之一，造成了資源的過度浪費(fèi)，曲解了安全完整性的意義。本文闡述的SIL分析方法有助于合理地確定列車關(guān)鍵子系統(tǒng)的安全完整性等級，可為從事相關(guān)工作的人員提供參考。