郭海軍 黃思 黃莉莉 劉舒嘉

摘 要：在軌道交通車門系統(tǒng)中，安全性問題始終作為設(shè)計考慮的第一要素，在安全性分析中，有時候會因為缺少共因失效分析，尤其是軟件共因失效分析，導(dǎo)致分析結(jié)果不全面，帶來安全隱患。鑒于此，通過對車門控制系統(tǒng)特定工況進行安全性分析，針對安全性問題提供解決方案。

關(guān)鍵詞：車門系統(tǒng);軟件共因失效;失效分析

中圖分類號：TP202+.1? ? 文獻標(biāo)志碼：A? ? 文章編號：1671-0797（2024）13-0020-04

DOI：10.19514/j.cnki.cn32-1628/tm.2024.13.006

0? ? 引言

隨著城市軌道交通的快速發(fā)展，越來越多的軌道車輛投入運營。車門作為乘客進出車輛的入口裝置，安全性至關(guān)重要，為了保證乘客的安全，需要在設(shè)計時充分考慮各種因素失效導(dǎo)致的安全性風(fēng)險。

軌道交通車輛通用安全設(shè)計標(biāo)準(zhǔn)IEC 62425—2007[1]中3.1.6以及EN 50129：2018[2]中3.1.4都定義了共因失效（Common-cause Failure，以下簡稱CCF）的概念，共因失效是指導(dǎo)致完全獨立的兩個對象同時失效的一種失效[3-4]。共因失效是針對共同的原因造成的多點失效;為使軌道交通車門系統(tǒng)達到規(guī)定的安全水平，如果安全等級高于2級，系統(tǒng)需要采取2決2（2個結(jié)果對比，結(jié)果一致則執(zhí)行結(jié)果;結(jié)果不一致，則采取必要的安全措施）或者3決2（3個結(jié)果對比，執(zhí)行2個或者3個相同的結(jié)果;否則采取必要的安全措施）的架構(gòu)。

本文主要針對車門控制系統(tǒng)中可以導(dǎo)致共因失效的因素，提出對應(yīng)的解決方法。由于軌道交通車門系統(tǒng)同一個項目所有車門基本都采用相同的軟件，因此軟件也是共因失效需要考慮的因素。

1? ? 共因失效的安全影響

當(dāng)兩個獨立的事件通過與邏輯形成一個頂事件時，需要特別注意這兩個獨立的事件是否真正獨立，考慮時可以從物理、功能和過程三個方面出發(fā)。在過程方面，一般通過公司的體系保證，通過體系確保人力資源和產(chǎn)品生命周期的獨立性;物理獨立是指產(chǎn)品組件之間沒有公共部分，可以通過產(chǎn)品設(shè)計實現(xiàn);功能獨立是指不會由于系統(tǒng)錯誤或者隨機錯誤，引起一系列功能同時出錯[3]，功能獨立不容易實現(xiàn)。因此，為了體現(xiàn)功能的獨立，設(shè)計時必須進行常見故障分析。在車門系統(tǒng)設(shè)計時，通常采用故障樹（Failure Tree Analysis，F(xiàn)TA）分析方法對功能進行分析，在FTA中如果一個功能不獨立，可以通過進一步分解，把它分解為獨立的子功能和受CCF影響的子功能，如圖1所示。

如果受CCF影響的功能被忽略，那么頂事件會被認為滿足安全性要求，導(dǎo)致設(shè)計中存在潛在的風(fēng)險。

2? ? 共因失效的安全分析

在軌道交通領(lǐng)域，安全逃生有時候被認為具有更高的優(yōu)先級，以車輛發(fā)生故障時車門安全逃生為例進行安全性分析：軌道交通車輛一般設(shè)置多個車門，每個車門設(shè)置一個緊急出口裝置用于乘客在緊急情況下逃生。如果因為某個外部因素導(dǎo)致整節(jié)車的緊急出口裝置失效，則會造成重大安全事故。因此，分析設(shè)計過程中是否存在共因問題十分必要。緊急逃生功能的實現(xiàn)涉及物理裝置和控制軟件兩個部分，物理裝置包括鎖閉裝置、緊急解鎖裝置、控制器。緊急解鎖功能是否能夠?qū)崿F(xiàn)，除了取決于物理裝置，還取決于軟件部分，如果軟件失效，軟件會控制電機實施堵轉(zhuǎn)，從而使緊急逃生功能失效。

2.1? ? 不考慮軟件共因失效的故障樹分析

在不考慮軟件共因失效的情況下，緊急逃生功能的實現(xiàn)涉及以下幾個部分：鎖閉裝置、緊急解鎖裝置、控制器。

當(dāng)乘客操作緊急解鎖時，手柄帶動鋼絲繩進行解鎖，當(dāng)鎖閉裝置離開鎖閉位置時，完成解鎖操作，此時乘客可以手動打開車門。在不考慮軟件共因失效時，只要保證每個車門之間的緊急解鎖功能相關(guān)的組件物理獨立，則不存在共因因素導(dǎo)致任意兩車門均無法被緊急解鎖打開。不考慮軟件共因的故障樹分析如圖2所示。

根據(jù)圖2所示的故障樹分析，如果不考慮軟件共因因素，“任意兩個車門無法通過緊急解鎖打開”失效率在1.0×10-14這一量級。

2.2? ? 考慮軟件共因失效的故障樹分析

在考慮軟件共因失效時，需考慮軟件潛在故障導(dǎo)致任意兩車門同時無法被緊急解鎖打開?？紤]軟件共因的故障樹分析如圖3所示。

根據(jù)圖3所示的故障樹分析，在考慮了軟件共因因素后，由于軟件失效率大約為1.0×10-7，從而使頂事件整體失效率提高至1.0×10-7這個級別。

根據(jù)圖2和圖3對比可以發(fā)現(xiàn)，軟件作為共因失效的一個因素，會讓“任意兩個車門無法通過緊急解鎖打開”頂事件的失效率降低一個甚至幾個數(shù)量級，如表1所示。因此，消除軟件共因因素非常必要。

3? ? 應(yīng)對方案和措施

基于上述分析，如果“任意兩個車門無法通過緊急解鎖打開”這一風(fēng)險的可容忍失效率（Tolerable Hazard Rate，THR[2]）要求不低于10-7 h-1，則可以不用考慮軟件共因因素（目前軟件SIL2即可滿足此要求）。如果該風(fēng)險的THR要求低于10-7 h-1，則需要在設(shè)計中考慮軟件共因因素，并通過設(shè)計避免因軟件失效導(dǎo)致該功能無法達到相應(yīng)的安全等級。在實際項目設(shè)計中，通常通過物理切斷控制器與電機之間的連接來排除軟件共因可能帶來的影響。如果項目使用直流有刷電機，可以使用一個開關(guān)切斷電機的其中一相，該開關(guān)在操作緊急解鎖時動作。如果項目使用直流無刷電機，可以使用一個開關(guān)切斷電機母線供電或者使用兩個開關(guān)切斷電機的兩相驅(qū)動，開關(guān)同樣在操作緊急解鎖時動作。如圖4所示，實施改進措施后，“任意兩個車門無法通過緊急解鎖打開”失效率由10-7 h-1降低至10-15 h-1。

對于軌道交通車門控制系統(tǒng)，如果有THR要求，且無法通過物理方法排除軟件共因因素，可以通過以下方法來減輕軟件共因失效帶來的影響[5]：

（1）增加軟件測試的覆蓋率，避免軟件在某種情況下出現(xiàn)bug（缺陷或問題），導(dǎo)致車門無法被解鎖打開。

（2）嚴(yán)格遵循軟件開發(fā)流程，例如EN 50128：2011[6]、能力成熟度模型集成（Capability Maturity Model Integration，CMMI）等，減少軟件的缺陷，提高軟件成熟度。

（3）加強對于軟件開發(fā)工具的確認，確保不會因為開發(fā)工具對軟件測試帶來影響。

4? ? 結(jié)束語

通過對軌道交通車門控制系統(tǒng)緊急解鎖功能的共因失效分析，可以幫助設(shè)計人員識別客戶需求，重新審視整體方案設(shè)計的安全性，無論客戶采用哪種要求，設(shè)計人員在設(shè)計方案中都需要考慮軟件共因因素，尤其是在客戶提出了THR要求時，必須考慮軟件共因因素。

[參考文獻]

[1] Railway applications-Communication，signalling and processing systems-Safety related electronics systems for signalling：IEC 62425[S].

[2] Railway applications-Communication，signalling and processing systems-Safety related electronics systems for signalling：EN 50129：2018[S].

[3] 譚邵波，唐岡林，黃愛萍.共因失效分析在軌道交通信號系統(tǒng)安全性計算中的應(yīng)用[J].控制與信息技術(shù)，2018（2）：69-72.

[4] 鮑黎濤，楊道建.考慮共因失效的故障樹分析方法及應(yīng)用[J].自動化與信息工程，2018，39（6）：45-48.

[5] 方云根，曾小清，王剛.軌道交通列控系統(tǒng)共因失效分析[J].上海交通大學(xué)學(xué)報，2015，49（7）：1052-1057.

[6] Railway applications-Communication，signalling and processing systems-Software for railway control and protection systems：EN 50128：2011[S].

作者簡介：郭海軍（1978—），男，內(nèi)蒙古烏蘭察布人，工程師，主要從事軌道交通車輛車門系統(tǒng)設(shè)計工作。