李岳恒
(铁道部运输局 装备部,北京100844)
从世界铁路安全管理的实践来看,采用不同的安全装备、不同的管理思路,会构成不同的铁路固有安全性。固有安全性是指依靠系统自身良好的安全设计、具有完备的安全措施和功能完好的安全装备,在发生人员误操作或故障时,设备和系统仍能安全运行的能力[1]。影响铁路固有安全性主要有:规章的水平和有效性、设备和系统的可靠性保障、安全方面的人工干预程度等。固有安全性高的铁路其规章水平和有效性、设备和系统可靠性保障水平高,安全方面的人工干预少;反之亦然。机车空气制动机是机车的重要设备,不仅影响到铁路运输安全,其设计水平还关系到铁路的固有安全性,应该引起足够的重视。
机车制动机关系到列车的制动控制,除保证列车制动系统的基本性能外,开发制动机时还应对可靠性方面提出要求,要进行安全评估、失效分析,采用故障安全设计和设计后的风险评估等。在设计中特别在采用人工干预(如人工后备制动)时,要注意对铁路固有安全性的影响,不应忽视单机运行工况制动失效的分析。
机车空气制动机应具有控制列车的制动功能,除充风、减压排风、紧急制动、单机制动性能指标等必须满足我国铁路的要求外,还必须有可靠性方面的要求,即在规定的工作条件下、在规定的工作时间内保证列车的制动安全。没有可靠性保障,机车制动机的性能无法正常体现,铁路的安全运输将受到影响。制动机的可靠性涉及到整个机车制动系统中每个零部件的可靠性,包括软件的可靠性。评价可靠性要有量化的指标,在设计时就应该按照可靠性指标进行设计,在制造、使用、维修环节中,对制动机能够达到的可靠性指标加以验证,对不能实现的指标要开展工作,直至满足可靠性要求。可靠性的量化指标是可靠性管理的基础[2],模糊地描述可靠性高低是不能满足现代安全管理要求的[1]。
对于列车的制动应该是故障—安全的设计。在列车分离、制动机故障时,制动系统都应使系统导向安全,即故障失效后不延长给定条件下的停车距离,如果是电气控制的制动机应是故障后不延长电控制动条件下的停车距离,而不应该在电控故障失效后把控制权交给空气制动机来制动停车。前者的结果是故障后以最快的反应实施制动动作;后者则是故障导致电控失效,失去了电气控制作用,把任务交给空气制动机去执行,延误了停车命令,有可能造成事故,没有起到故障—安全的作用。因此,对于制动机的故障—安全设计,不仅限于故障发生时能够停车,而应是不会延误停车命令,不延长系统特定的停车距离来保证安全。
在进行制动机开发时,除采用低故障率的零部件外,还应该对每个零部件(含模块、软件)在使用的所有工况下失效导致的后果进行分析确定,要避免失效后状态不确定的设计,根据失效后果采取可靠性设计。然后再次对整体设计进行失效分析工作,最终提出各零部件(含模块、软件)和整个系统失效的分析报告。例如某机车制动机曾经导致旅客列车连挂作业冲突事故,究其原因,是设计时没有对制动机作用部进行失效分析。若进行失效分析,就会发现其作用部故障虽然不会影响列车制动,牵引列车时可以利用车辆制动机将列车停下,但是单机运行就会表现出制动失灵,使机车的制动失效。若按照现代安全管理的要求,不允许存在侥幸,就能采取措施改进设计,避免发生事故。如此看来,失效分析和安全评估是必不可少的,这就是现代安全管理中的危险性辨识[1]。
在可靠性指标不能满足需要时,可以考虑冗余设计,即采用一套以上的完成给定任务的设备。技术引进以来,国外机车制动机模块化设计带来了新的设计思路,其设计思想之一就是当某个模块故障后其他模块最大限度地实现自动转换、替代故障模块,减少系统的故障率,使列车正常运行,这是制动机的一种冗余设计。
运输工作牵涉到安全和效率的问题,实际上是争取最大运输效益下的安全风险问题。在铁路安全管理中,应该进行风险评估。铁路企业必须明确为了经济效益和社会效益所能承受的最大事故风险[1]。机车制动机属于安全设备,设计原则是故障导向安全。上述机车制动机作用部的故障不能导致安全停车,是不应该容忍的。
这里着重讨论人工冗余即人工后备制动问题。人工后备制动是在电气控制类型的机车空气制动机故障时,由电气控制人工转换到气动控制方式的列车制动,目的是维持列车的继续运行。这在早期故障率高的电控制动机上是无奈的设计。随着可靠性技术的发展,故障率的降低,先进的机车制动装备已不再强调必须设置人工后备制动。
设置后备制动会带来以下问题:⑴增加机车的整备时间。乘务员交接班需要检查后备制动设备的时间;⑵增加机车的维修量。需要检修后备制动设备;⑶降低铁路固有安全性。增加人工干预安全的程度,对于偶尔使用不经常发生故障的设备,司机操作的正确和熟练程度存在更多的不确定性,还增加了对人行为管理的要求。设置人工后备制动会带来上述问题,用户提出要求设置的理由意味着设备存在瑕疵。笔者认为,解决机车制动机途中故障的设计,应该对可靠性提出要求,采用可靠性保障技术,如自动冗余,而不是设置人工转换,增大人工干预的程度,增加对人行为管理的要求。从提高铁路固有安全性看,设置机车人工后备制动是不妥的。
在微机控制的机车制动机中,应有事件记录的功能,能够将故障事件的时间、命令状态、执行状态等加以记录保存,以便事故分析和系统的改进。在制动机结构方面采用模块化设计时应尽量集成化,要考虑人机关系、操作习惯、操作繁简程度、可维修性、与机车系统的通讯、铁路大系统控制结构等方面的问题。如果开发对列车制动管贯通的检测功能,应该是实时的自动监测,这样能够发现列车制动系统折角塞门突然关闭事件,给机车乘务员处理突发故障创造条件。
系统安全采用事前预防模式[1]的铁路,注重危险性辨识和危险性预测。对危险性进行辨识是现代安全管理的要求,在开发机车制动机等安全装备时,必须进行失效分析,进行危险性辨识工作,以便对危害程度进行确定、采取对策。设备、系统的可靠性保障水平和安全方面的人工干预程度,直接影响铁路的固有安全性,应该使安全管理的重点由传统的对人行为的管理,向对安全设备的可靠性管理方面转移。在开发、改造设备、系统时,应遵循有利于提高铁路固有安全性的原则,使我国铁路固有安全性达到世界先进水平。
[1]李岳恒.关于铁路运输安全的探讨[J].铁道安全,1998,(3):62-65.
[2]李岳恒,江 淦.机车可靠性管理探讨[J].内燃机车,1997,(5):13-16.