曹成鵬 李曉琳 高秋芙

(北京城市軌道交通咨詢有限公司, 100068, 北京)

ISA(獨(dú)立安全評估)是獨(dú)立于系統(tǒng)設(shè)計(jì)、開發(fā)或運(yùn)營的團(tuán)隊(duì),依據(jù)證據(jù),對計(jì)劃開發(fā)系統(tǒng)的安全需求是否恰當(dāng)、充分,以及系統(tǒng)是否滿足這些既定的安全需求進(jìn)行評估和判斷[1]。

在標(biāo)準(zhǔn)體系相對完善的歐洲,ISA是車輛準(zhǔn)入或投入運(yùn)營的普遍要求。我國城市軌道交通安全評估還處于初步發(fā)展階段,尚未形成較為完善的理論和規(guī)范化的標(biāo)準(zhǔn)。隨著城市軌道交通技術(shù)的不斷發(fā)展和標(biāo)準(zhǔn)化進(jìn)程的不斷推進(jìn),建設(shè)單位及廠家的安全意識也不斷提升,ISA也不斷得到推廣[2]。

按照GB/T 30013—2013《城市軌道交通試運(yùn)營基本條件》的要求,信號系統(tǒng)必須進(jìn)行ISA[3]。近年來,隨著FAO(全自動運(yùn)行)技術(shù)日臻成熟,FAO線路在國內(nèi)迅猛發(fā)展。在FAO線路的建設(shè)過程中,ISA的范疇從原有單純的信號系統(tǒng),拓展到車輛系統(tǒng)、專用通信系統(tǒng)、站臺門系統(tǒng)、軌道系統(tǒng)、電梯及自動扶梯、門禁等核心設(shè)備系統(tǒng)。目前,我國城市軌道交通FAO線路的車輛均進(jìn)行了ISA。此外,一些異于常規(guī)項(xiàng)目的車輛,例如國內(nèi)第一條真正意義上采用城市軌道交通模式運(yùn)營的溫州軌道交通S1線,因其技術(shù)上的獨(dú)特性,也對車輛進(jìn)行了ISA。本文結(jié)合國內(nèi)已開通運(yùn)營和在建的城市軌道交通FAO項(xiàng)目,對車輛ISA策略進(jìn)行了總結(jié)提煉。

1 車輛ISA策略

車輛ISA策略以隱患識別和風(fēng)險管控為中心,從而評估車輛系統(tǒng)是否存在無法接受的風(fēng)險。

1.1 隱患識別

隱患識別指車輛系統(tǒng)所有合理可預(yù)見的隱患是否都已經(jīng)識別出來。車輛系統(tǒng)隱患識別的輸入示例,如表1所示。

表1 車輛系統(tǒng)隱患識別輸入示例

1.2 風(fēng)險管控

風(fēng)險管控是指每條隱患所導(dǎo)致事故的風(fēng)險等級是否可接受,通過證明其符合規(guī)范和相關(guān)標(biāo)準(zhǔn),證明其與參考系統(tǒng)的安全性一致,以及證明剩余風(fēng)險可接受等策略來完成。證明風(fēng)險管控符合規(guī)范或標(biāo)準(zhǔn)的示例,如表2所示。

表2 證明風(fēng)險管控符合規(guī)范或標(biāo)準(zhǔn)示例

證明剩余風(fēng)險可接受的評估關(guān)注點(diǎn)為剩余風(fēng)險等級分析和風(fēng)險減輕措施落實(shí),其中:剩余風(fēng)險等級分析的評估范圍為隱患登記冊、SIL(安全完整性)認(rèn)證、體系審計(jì)及故障數(shù)計(jì)算,風(fēng)險減輕措施落實(shí)的評估范圍為隱患登記冊、安全需求管理報告及驗(yàn)證與確認(rèn)報告。

判斷風(fēng)險等級并進(jìn)行風(fēng)險分析時,以最新設(shè)計(jì)方案為基準(zhǔn),通過風(fēng)險矩陣方法對風(fēng)險進(jìn)行排序[4]。判定依據(jù)為:

1) 如果部分導(dǎo)致隱患發(fā)生的原因未得到有效管控,則原始風(fēng)險等級為不可接受;

2) 如果所有導(dǎo)致隱患發(fā)生的原因都得到了有效控制,則原始風(fēng)險等級為可接受;

3) 如果導(dǎo)致隱患演變成事故的原因也得到了有效管控,則原始風(fēng)險等級為可忽略。

風(fēng)險減輕措施的落實(shí)需要做到全面、準(zhǔn)確、到位:全面是指風(fēng)險減輕措施中涉及的所有子系統(tǒng)都要考慮;準(zhǔn)確是指風(fēng)險減輕措施的關(guān)閉證據(jù)要與減輕措施的要求一致,不能偏離;到位是指在諸多相關(guān)的證據(jù)中要采用最有力的證據(jù)關(guān)閉。

1.3 整車各階段評估策略

整車評估可分為設(shè)計(jì)、制造與試驗(yàn)驗(yàn)證等階段。設(shè)計(jì)階段的整車安全評估活動及安全證明體系要點(diǎn),如表3所示。制造與試驗(yàn)驗(yàn)證階段的整車安全評估活動及安全證明體系要點(diǎn),如表4所示。

表3 設(shè)計(jì)階段的整車安全評估活動及安全證明體系要點(diǎn)

表4 制造與驗(yàn)證階段的整車安全評估活動及安全證明體系要點(diǎn)

1.4 FAO項(xiàng)目車輛特殊風(fēng)險評估

FAO項(xiàng)目需根據(jù)IEC 62267:2009《軌道交通—都市自動化有軌運(yùn)輸—安全性要求》中第7章定義的GOA4(無人干預(yù)列車運(yùn)行)運(yùn)營的危害場景,以及被評估項(xiàng)目的場景說明書,識別運(yùn)營場景中可能存在的風(fēng)險。FAO項(xiàng)目危害場景示例如表5所示。FAO項(xiàng)目車輛各階段評估活動與安全審計(jì)示例如表6所示。

表5 FAO項(xiàng)目危害場景示例

表6 FAO項(xiàng)目車輛各階段評估活動與安全審計(jì)示例

2 車輛ISA各環(huán)節(jié)內(nèi)容

車輛ISA內(nèi)容主要包括:安全文檔評估、測試報告審核、安全審計(jì)及現(xiàn)場見證測試等。上述安全評估需要貫穿整個車輛建設(shè)工期,并根據(jù)項(xiàng)目進(jìn)展的情況,安排安全審計(jì)和現(xiàn)場見證。評估人員采用基于風(fēng)險的評估方法,通過抽樣技術(shù)進(jìn)行檢查和評估。

2.1 安全文檔評估

安全文檔評估的目標(biāo)是審查和評估車輛廠家以及分包商的安全管理體系。安全文檔評估流程如圖1所示。

圖1 安全文檔評估流程

2.1.1 安全管理程序文檔評估

審查和評估車輛廠家的安全管理體系,以及車輛廠家及其供應(yīng)商在設(shè)計(jì)、制造、安裝、測試及調(diào)試等階段開展的安全管理的穩(wěn)定性。對其過程管理進(jìn)行評估,并確保遵守相關(guān)的安全守則、標(biāo)準(zhǔn)、法規(guī)及規(guī)范。識別車輛廠家及其供應(yīng)商對危害的辨識是否充分,且是否已對重要危害采取措施。檢查車輛廠家相關(guān)人員的資質(zhì),對車輛廠家是否配置足夠稱職的員工執(zhí)行其合同進(jìn)行評估。

2.1.2 針對具體項(xiàng)目的安全相關(guān)文檔評估

1) 對EN 50126-1:2017《鐵路應(yīng)用—可靠性、可用性、可維護(hù)性和安全性的技術(shù)規(guī)范和證明》、EN 50128:2011《鐵路應(yīng)用—通信、信號和處理系統(tǒng)—鐵路控制和保護(hù)系統(tǒng)軟件》及EN 50129:2018《鐵路

應(yīng)用—通信、信號和處理系統(tǒng)—信號的安全相關(guān)電子系統(tǒng)》中安全相關(guān)的要求,以及合同中明確的SIL等級的響應(yīng)進(jìn)行匯總,評估車輛廠是否已按照相關(guān)標(biāo)準(zhǔn)的安全系統(tǒng)設(shè)計(jì)程序執(zhí)行。

2) 對設(shè)計(jì)變更(包括軟件和硬件)和配置管理的驗(yàn)證和鑒證過程進(jìn)行評估。

3) 對安全隱患識別、分級、解決方案、記錄、監(jiān)控、消除、追蹤及關(guān)閉的過程進(jìn)行評估,以驗(yàn)證風(fēng)險是否已降低到最低合理可行的水平;審查車輛的設(shè)計(jì)、制造、安裝、試驗(yàn)及測試的安全要求是否充分[5]。

4) 評估各系統(tǒng)的接口安全管理,確保系統(tǒng)間的接口危害識別和危害分析包含了危害消除、控制或減輕等內(nèi)容[6]。

5) 對技術(shù)細(xì)節(jié)進(jìn)行審查和評估,包括設(shè)計(jì)文檔、原理圖、分析報告、模擬結(jié)果、計(jì)算、試驗(yàn)記錄,以及安全報告的見證與試驗(yàn)和測試的見證,以確保關(guān)鍵子系統(tǒng)和相關(guān)接口的安全。

2.2 特殊風(fēng)險安全評估

2.2.1 FAO系統(tǒng)評估

確保UTO(無人值守的全自動運(yùn)行)系統(tǒng)符合所定義的技術(shù)規(guī)范的要求,盡早識別、降低工程項(xiàng)目的技術(shù)和進(jìn)度風(fēng)險,監(jiān)督和評估車輛廠家的系統(tǒng)保障工作實(shí)施情況是否滿足最終UTO系統(tǒng)功能、質(zhì)量和安全等方面的要求,確保UTO 系統(tǒng)運(yùn)營準(zhǔn)備工作(系統(tǒng)設(shè)備、組織架構(gòu)及運(yùn)營規(guī)程)滿足運(yùn)營和維護(hù)的要求。

2.2.2 車輛系統(tǒng)特有重大風(fēng)險評估

1) 對列車結(jié)構(gòu)安全、車輛與各系統(tǒng)的防火安全、車輛與各系統(tǒng)的電磁兼容需求、車門與站臺門等系統(tǒng)的接口安全進(jìn)行評估。

2) 對車輛廠驗(yàn)證與確認(rèn)過程進(jìn)行評估,對測試計(jì)劃、測試案例、測試通過準(zhǔn)則、測試過程、測試報告,以及應(yīng)急措施等的驗(yàn)證與確認(rèn)管理進(jìn)行評估;對試驗(yàn)計(jì)劃、試驗(yàn)方案、試驗(yàn)通過的標(biāo)準(zhǔn)和流程、后續(xù)的試驗(yàn)報告,以及試驗(yàn)工程師的能力進(jìn)行評估,對選定設(shè)備和系統(tǒng)的試驗(yàn)進(jìn)行見證。

3) 對于車輛廠質(zhì)量管理體系的執(zhí)行情況進(jìn)行審查,并在相應(yīng)的安全審查報告中對質(zhì)量管理情況進(jìn)行評價,并指出不足。

4) 對車輛廠故障原因、故障分析及糾正措施進(jìn)行評估,對車輛廠采取的補(bǔ)救和改進(jìn)措施的進(jìn)展進(jìn)行監(jiān)控,并對其效果進(jìn)行評估,將已確定的危害降低至用戶可以接受的程度。

2.3 現(xiàn)場安全審計(jì)

針對安全評估需求,評估團(tuán)隊(duì)需根據(jù)車輛廠的設(shè)計(jì)、制造及調(diào)試計(jì)劃進(jìn)行現(xiàn)場安全審計(jì)。審計(jì)方法包括:和工作人員進(jìn)行面談,觀察與生產(chǎn)和安裝有關(guān)的工作條件,見證主要的試驗(yàn)和調(diào)試,確認(rèn)審計(jì)過程中所發(fā)現(xiàn)問題關(guān)閉的證據(jù),參與主要的安全會議。

現(xiàn)場安全審計(jì)可分為4個環(huán)節(jié),其中安全相關(guān)議題的分析報告須全部審查?，F(xiàn)場安全審計(jì)流程如圖2所示。

圖2 現(xiàn)場安全審計(jì)流程

2.3.1 車輛方案設(shè)計(jì)完成階段的安全審計(jì)

此階段安全審計(jì)的目標(biāo)是識別車輛方案設(shè)計(jì)與用戶需求的差距,以及對設(shè)計(jì)階段的安全管理流程進(jìn)行審查。審查內(nèi)容如下:

1) 對系統(tǒng)工程、質(zhì)量管理(特別是設(shè)計(jì)質(zhì)量管理)、設(shè)計(jì)變更處理、接口管理、配置管理、電磁兼容管理及防火管理等的流程進(jìn)行審查。

2) 確定是否有足夠勝任的員工進(jìn)行工作。

3) 如有必要,根據(jù)此階段的審查結(jié)果,以及與用戶需求的差距,對獨(dú)立審查計(jì)劃進(jìn)行修訂。

4) 對如下文件進(jìn)行審查:車輛系統(tǒng)保證計(jì)劃、驗(yàn)證與確認(rèn)計(jì)劃、車輛配置管理計(jì)劃、質(zhì)量計(jì)劃、EMC管理計(jì)劃、防火管理計(jì)劃、車輛初步危害分析、車輛量化風(fēng)險分析、安全原則及規(guī)范要求的符合性分析、車輛防撞性設(shè)計(jì)、車輛質(zhì)量管理計(jì)劃、車輛制動等設(shè)備供應(yīng)商業(yè)績、車軸與車輪強(qiáng)度計(jì)算、轉(zhuǎn)向架應(yīng)力分析、車底設(shè)備支撐應(yīng)力分析、車軸應(yīng)力分析、車體結(jié)構(gòu)分析、地板防火阻隔體性能驗(yàn)證測試程序、電線與電纜規(guī)格。

此階段安全審查期間的重要關(guān)注點(diǎn)為:設(shè)計(jì)管理流程、系統(tǒng)保證及風(fēng)險管理與質(zhì)量保障等。

2.3.2 車輛最終設(shè)計(jì)完成階段的安全審計(jì)

此階段安全審查的目標(biāo)是對車輛設(shè)計(jì)中是否按照安全相關(guān)標(biāo)準(zhǔn)和規(guī)定進(jìn)行審計(jì),對設(shè)計(jì)文件進(jìn)行審查。審查內(nèi)容如下:

1) 對配置管理、供應(yīng)商管理及設(shè)計(jì)變更的管理流程進(jìn)行審查。

2) 對如下文件進(jìn)行審查:更新版的車輛系統(tǒng)保證計(jì)劃、驗(yàn)證與確認(rèn)計(jì)劃、車輛配置管理計(jì)劃、質(zhì)量計(jì)劃、EMC管理計(jì)劃、防火管理計(jì)劃、車輛初步危害分析、車輛風(fēng)險分析報告、安全原則及規(guī)范要求的符合性分析;車輛設(shè)計(jì)安全證明文件、車輛系統(tǒng)危害分析、車輛接口危害分析、車輛操作與支持危害分析;車輛防撞設(shè)計(jì)、車體強(qiáng)度分析、防火等車輛系統(tǒng)詳細(xì)設(shè)計(jì)文件;車輛與信號、通信、軌道、供電、站臺門等專門的接口設(shè)計(jì)。

此階段安全審查期間的重要關(guān)注點(diǎn)為:設(shè)計(jì)流程管理、系統(tǒng)保障(特別是安全危害管理)、質(zhì)量保障管理及電磁兼容防火管理等。

2.3.3 車輛生產(chǎn)制造階段的安全審計(jì)

在車輛生產(chǎn)制造階段,需在車輛廠開展安全審計(jì),重點(diǎn)查看生產(chǎn)安裝及試驗(yàn)的要求。此階段的安全審計(jì)內(nèi)容如下:

1) 見證廠內(nèi)試驗(yàn)。

2) 審查制造、調(diào)試、試驗(yàn)、驗(yàn)收需滿足的安全條件。

3) 對調(diào)試計(jì)劃、操作員及維護(hù)人員的培訓(xùn)進(jìn)行審查。

4) 對車輛焊接設(shè)備、車輛焊工資格認(rèn)證、車輛電阻點(diǎn)焊及縫焊、車輛電弧焊接等程序文件進(jìn)行審查。

此階段安全設(shè)計(jì)的重要關(guān)注點(diǎn)為:質(zhì)量管理、試驗(yàn)管理、配置管理、生產(chǎn)工藝文件管理、生產(chǎn)變更管理、現(xiàn)場組裝管理及試驗(yàn)活動管理等。

2.3.4 車輛試運(yùn)行階段的安全審計(jì)

在車輛試運(yùn)行階段,需在用戶現(xiàn)場對車輛的調(diào)試及試驗(yàn)進(jìn)行安全審計(jì)。主要審查內(nèi)容如下:

1) 見證正線試驗(yàn)。

2) 對正線試驗(yàn)中的安全條件進(jìn)行審查。

3) 對轉(zhuǎn)向架疲勞負(fù)荷相關(guān)測試、轉(zhuǎn)向架結(jié)構(gòu)強(qiáng)度相關(guān)測試、車門系統(tǒng)性能測試、制動性能測試、牽引整體動態(tài)性能測試及車輛完整性檢查的測試報告進(jìn)行審查。

此階段安全設(shè)計(jì)的重要關(guān)注點(diǎn)為:試驗(yàn)計(jì)劃、操作員及維護(hù)人員的培訓(xùn),安全管理,調(diào)試、試驗(yàn)、聯(lián)調(diào)管理,綜合認(rèn)證管理。

3 結(jié)語

近年來,國內(nèi)已開通運(yùn)營和在建的城市軌道交通FAO項(xiàng)目正在開展或已完成車輛ISA。通過上述文檔評估、安全審計(jì)、試驗(yàn)見證等評估活動,證明車輛系統(tǒng)相關(guān)的風(fēng)險控制達(dá)到了可以接受的程度,同時在評估策略、評估方法、評估報告等方面都積累了一定的理論和實(shí)踐經(jīng)驗(yàn);但在專業(yè)化、系統(tǒng)化等方面仍存在不足,主要表現(xiàn)為部分FAO項(xiàng)目存在安全評估方介入時間較晚、評估重流程輕技術(shù)等問題。因此,需結(jié)合FAO項(xiàng)目車輛ISA的實(shí)踐,完善車輛ISA體系,形成我國車輛ISA的標(biāo)準(zhǔn)。