張冰

(上海電氣自動(dòng)化設(shè)計(jì)研究所有限公司，上海 200023)

0 引 言

在軌道交通綜合監(jiān)控系統(tǒng)中，本文采用了可靠性(reliability)、可用性(availability)、可維修性(maintainability)和安全性(safety)管理(RAMS)，確保系統(tǒng)在全生命周期中的風(fēng)險(xiǎn)均控制在可接受水平。采用了危險(xiǎn)與可操作性評(píng)估(HAZOP)、接口安全隱患分(IHA)、量化風(fēng)險(xiǎn)分析(QRA)、故障模式和影響分析(FMECA)、故障分析和更正程序(FRACAS)等方法，分成初步設(shè)計(jì),詳細(xì)設(shè)計(jì),采購(gòu)與制造,調(diào)試與移交,以及運(yùn)營(yíng)和質(zhì)保等時(shí)間階段，實(shí)現(xiàn)了風(fēng)險(xiǎn)可預(yù)測(cè)、問(wèn)題可追溯的閉環(huán)控制。其中，F(xiàn)MECA也可以采用故障樹分析(FTA)、事件樹分析(ETA)、貝葉斯網(wǎng)絡(luò)(BN)、人工神經(jīng)網(wǎng)絡(luò)(ANNS)等評(píng)估方法。

1 設(shè)計(jì)方法

RAMS設(shè)計(jì)分成可靠性、可用性、可維修性和安全性四個(gè)方面?？煽啃灾赶到y(tǒng)在規(guī)定條件下和時(shí)間內(nèi)，能夠無(wú)故障地完成所要求功能的概率。可用性指在所需外部條件已經(jīng)全部滿足的前提下，系統(tǒng)在給定的條件和時(shí)間間隔內(nèi)，完成所要求功能的能力[1]?？删S修性指在給定的條件下，按照指定的程序，使用給定的資源進(jìn)行維護(hù)工作，可在指定的時(shí)間間隔內(nèi)完成指定維護(hù)工作的可能性[2]。安全性指沒(méi)有無(wú)法接受的傷害風(fēng)險(xiǎn)，本質(zhì)上屬于風(fēng)險(xiǎn)管理。

系統(tǒng)的設(shè)計(jì)要求為系統(tǒng)平均無(wú)故障間隔時(shí)間(MTBF)≥ 10 000 h，系統(tǒng)平均修復(fù)時(shí)間(MTTR)≤1 h，總體系統(tǒng)服務(wù)可使用性目標(biāo)達(dá)到 99.95%。

1.1 可靠性設(shè)計(jì)

1.1.1 串聯(lián)系統(tǒng)

在一個(gè)系統(tǒng)中，任何一個(gè)子系統(tǒng)故障，都會(huì)導(dǎo)致整個(gè)系統(tǒng)故障，這種系統(tǒng)稱為串聯(lián)系統(tǒng)[3]。可靠性的計(jì)算如下：

(1)

式中:Rs(t)為系統(tǒng)在t時(shí)的可靠性；Ri(t)為第i個(gè)子系統(tǒng)在t時(shí)的可靠性；Fs(t)為系統(tǒng)在t時(shí)不可靠性；Fi(t)為第i個(gè)子系統(tǒng)在t時(shí)不可靠性；n為單元數(shù)目。若各個(gè)子系統(tǒng)的故障率服從指數(shù)分布，則：

(2)

式中:λi為第i個(gè)子系統(tǒng)的故障率；MTTF為系統(tǒng)平均故障間隔時(shí)間。

1.1.2 并聯(lián)系統(tǒng)

在一個(gè)系統(tǒng)中，組成系統(tǒng)的所有子系統(tǒng)同時(shí)工作，只要有一個(gè)子系統(tǒng)在工作，整個(gè)系統(tǒng)就能完成規(guī)定的功能，這種系統(tǒng)稱為并聯(lián)系統(tǒng)。其可靠性的計(jì)算如下：

(3)

若n個(gè)子系統(tǒng)相同，則：

(4)

子系統(tǒng)越多，可靠性越大，平均壽命越長(zhǎng)。

1.1.3r/n系統(tǒng)

在一個(gè)系統(tǒng)中，組成系統(tǒng)的所有子系統(tǒng)同時(shí)工作，至少r個(gè)在工作，整個(gè)系統(tǒng)才能完成規(guī)定的功能，這種系統(tǒng)稱為r/n系統(tǒng)。若各子系統(tǒng)相同，其可靠性的計(jì)算如下：

(5)

1.2 可用性設(shè)計(jì)

可用性本質(zhì)上是系統(tǒng)在任務(wù)開始時(shí)處于可使用狀態(tài)的概率。其設(shè)計(jì)吸取在軌道交通系統(tǒng)方面的經(jīng)驗(yàn)，使用其反饋數(shù)據(jù)。努力消除任何隱患?？捎眯缘挠?jì)算如下：

(6)

式中:A為可用度;U為產(chǎn)品的可用時(shí)間;D為產(chǎn)品的不可用時(shí)間;D為維修性。減低D可以使A提高，D可用MTBF表示，U可用MTTR表示。故可用性的計(jì)算如式(7)所示。

(7)

MTBF根據(jù)系統(tǒng)不同，計(jì)算如下。

(8)

并聯(lián)系統(tǒng)：MTBF并聯(lián)=MTBF1×MTBF2×…×MTBFn

(9)

r/n系統(tǒng)：MTBFr/n=MIN(MTBF1,MTBF2,…,MTBFn)

(10)

式中：MIN(·)為取最小值。

1.3 可維修性設(shè)計(jì)

可維修性本質(zhì)上可用MTTR來(lái)衡量?？删S修性的計(jì)算如下：

(11)

式中:ti為第i個(gè)子系統(tǒng)的修復(fù)時(shí)間；N為修復(fù)次數(shù)。當(dāng)系統(tǒng)由n個(gè)可修復(fù)子系統(tǒng)組成時(shí)，可維修性可用式(12)計(jì)算。

(12)

1.4 安全性設(shè)計(jì)

安全性設(shè)計(jì)需符合安全完善度等級(jí)(SIL)中的等級(jí)2，如表1所示。

表1 SIL等級(jí)

2 實(shí)施

2.1 HAZOP實(shí)施

危險(xiǎn)與可操作性評(píng)估(hazard and operability，HAZOP)，用于識(shí)別設(shè)計(jì)缺陷、過(guò)程危險(xiǎn)及操作性問(wèn)題，本質(zhì)上是通過(guò)系列的會(huì)議對(duì)工藝圖樣和操作規(guī)程進(jìn)行分析[4]。在實(shí)施過(guò)程中，由各專業(yè)人員組按規(guī)定的方式系統(tǒng)地研究每一個(gè)分析節(jié)點(diǎn)，識(shí)別出具有潛在危險(xiǎn)的偏差，對(duì)每個(gè)有意義的偏差進(jìn)行分析，分析它們的可能原因、后果和已有安全保護(hù)等，提出應(yīng)該采取的措施[5]。HAZOP實(shí)施流程如圖1所示。

圖1 HAZOP實(shí)施流程

2.2 IHA實(shí)施

接口安全隱患分析(interface hazard analysis，IHA)，用于識(shí)別和分析系統(tǒng)內(nèi)部和外部接口相關(guān)的潛在隱患，分析需要執(zhí)行的隱患消除或減輕措施。

以綜合監(jiān)控系統(tǒng)(ISCS)和閉路電視監(jiān)控系統(tǒng)(CCTV)之間的接口舉例，如圖2所示。

當(dāng)ISCS發(fā)出聯(lián)動(dòng)請(qǐng)求時(shí)，CCTV系統(tǒng)可根據(jù)預(yù)先設(shè)定的模式自動(dòng)顯示相應(yīng)的畫面，實(shí)現(xiàn)聯(lián)動(dòng)控制功能。ISCS實(shí)時(shí)監(jiān)視CCTV設(shè)備運(yùn)行狀態(tài)、網(wǎng)絡(luò)通信狀態(tài)和故障報(bào)警信息，實(shí)現(xiàn)設(shè)備監(jiān)控功能。

IHA在后續(xù)壽命周期階段中不斷修改，以確定改進(jìn)是否引入隱患。

2.3 QRA實(shí)施

本文系統(tǒng)RAMS的安全隱患管理包括安全隱患識(shí)別、安全隱患分析和安全隱患評(píng)估。其中，安全隱患評(píng)估采用的方法是量化風(fēng)險(xiǎn)分析(quantitative risk assessment，QRA)[6]。

通過(guò)QRA實(shí)施，比較不同設(shè)計(jì)的安全隱患，確定關(guān)鍵因素、重要條件和關(guān)鍵子系統(tǒng)。分析不同安全隱患控制措施的效果，改善其中的安全薄弱環(huán)節(jié)，確定系統(tǒng)能夠滿足安全性要求，并采用預(yù)防措施，有效降低全壽命周期安全隱患損傷概率。

圖2 接口劃分圖

2.4 FMECA實(shí)施

故障模式和影響分析(failure mode and effect criticality analysis,FMECA)，包括故障模式、影響分析(FMEA)和危害性分析(CA)兩部分，前者屬定性分析，后者屬定量分析[7]。

本文系統(tǒng)RAMS的FMECA實(shí)施流程圖如圖3所示。

圖3 FMECA實(shí)施流程

2.5 FRACAS實(shí)施

故障分析和更正程序(failure report analysis and corrective action system，F(xiàn)RACAS)。本文系統(tǒng)的RAMS實(shí)施了FRACAS，實(shí)現(xiàn)了及時(shí)報(bào)告產(chǎn)品故障和分析故障原因，采取了有效的糾正措施以防止故障再現(xiàn)，改善了產(chǎn)品可靠性和維修性。

實(shí)施的FRACAS基于系統(tǒng)配置數(shù)據(jù)管理，整合了運(yùn)營(yíng)等各單位對(duì)故障信息數(shù)據(jù)分析的需求，量化了故障信息采集字段，形成了從功能、時(shí)間、里程、區(qū)域、模式和技術(shù)等多個(gè)維度進(jìn)行聚合分析的故障數(shù)據(jù)庫(kù)。實(shí)施后，能夠追溯系統(tǒng)發(fā)生的故障等事件信息，利用得到的數(shù)據(jù)擬合出功能系統(tǒng)壽命分布威布爾曲線，以預(yù)測(cè)風(fēng)險(xiǎn)。

3 結(jié)果分析

軌道交通綜合監(jiān)控系統(tǒng)的RAMS，通過(guò)系統(tǒng)的上線運(yùn)行，驗(yàn)證了實(shí)施效果。系統(tǒng)的RAMS活動(dòng)符合管理計(jì)劃組織和程序等，得到了有效的執(zhí)行，進(jìn)行了糾正、預(yù)防和改進(jìn)。確保安全保證和保障的可追溯性達(dá)到了以下目標(biāo)：通過(guò)系統(tǒng)和子系統(tǒng)要求、設(shè)計(jì)和工程報(bào)告、支持程序，確保執(zhí)行安全要求可追溯性；通過(guò)測(cè)試和試運(yùn)轉(zhuǎn)報(bào)告，確保檢驗(yàn)安全和保障要求的執(zhí)行的可追溯性；通過(guò)系統(tǒng)開發(fā)各個(gè)階段中產(chǎn)生的質(zhì)量保證記錄，確保用于設(shè)計(jì)、開發(fā)和系統(tǒng)分析程序和標(biāo)準(zhǔn)執(zhí)行的可追溯性；通過(guò)安全隱患記錄，確保可追溯性與安全要求一致。

通過(guò)RAMS設(shè)計(jì)與實(shí)施，保證了系統(tǒng)性能指標(biāo)符合運(yùn)營(yíng)需求，并且風(fēng)險(xiǎn)在可接受范圍內(nèi)。以系統(tǒng)控制時(shí)間性能指標(biāo)舉例，如表2所示。

表2 系統(tǒng)控制時(shí)間性能指標(biāo)

4 結(jié)束語(yǔ)

本文系統(tǒng)的RAMS實(shí)施采用的FMECA，也可以用FTA、ETA、BN或ANNS等評(píng)估方法替代。

在RAMS設(shè)計(jì)中，采用前期分析的結(jié)果，為每一子系統(tǒng)定義了指標(biāo)，這樣便可以將系統(tǒng)設(shè)計(jì)納入以前開發(fā)的安全模式，這些現(xiàn)有的安全文件在系統(tǒng)后期或是將來(lái)的系統(tǒng)中可以合理地被重新利用。

具體RAMS文件應(yīng)考慮到發(fā)展?fàn)顟B(tài)的級(jí)別，為所有子系統(tǒng)定義發(fā)展?fàn)顟B(tài)。發(fā)展?fàn)顟B(tài)作為項(xiàng)目交付的一部分，在各時(shí)間階段完成之前，需要對(duì)發(fā)展?fàn)顟B(tài)級(jí)別進(jìn)行更改修正。

本文系統(tǒng)已經(jīng)上線運(yùn)行，但RAMS的實(shí)施是全生命周期的。在系統(tǒng)的后期活動(dòng)中也應(yīng)繼續(xù)協(xié)調(diào)、管理和審核，其目的是為了說(shuō)明現(xiàn)有的證據(jù)是否能證明系統(tǒng)的后期發(fā)展保持了RAMS設(shè)計(jì)，對(duì)以前的安全模式進(jìn)行控制，同時(shí)對(duì)相關(guān)文件進(jìn)行維護(hù)，使文件或報(bào)告等具有可追溯性。