杨 明
七阶段法在地铁信号系统风险评估中的应用
杨 明
摘 要:以目标距离模式ATP系统项目为基础,阐述七阶段法的风险评估应用。结合故障树分析 (FTA)和事件树分析 (ETA),对目标距离模式ATP系统中的车载ATP控制单元的某个危害进行了详细的分析。
关键词:安全性;故障树分析 (FTA);事件树分析 (ETA);七阶段
杨 明:北京大成通号轨道交通设备有限公司 工程师 100096北京
北京市交通委员会科技计划项目:既有线运力提升信号设备技术升级研发 (2012kj-009)
北京市科学技术委员会科技计划项目:北京市既有轨道交通线路
ATO系统改造升级 (Z111100059411010)、北京既有线列车自动防护系统升级技术研究及示范 (D131100004113001)
第1阶段,危害识别,包括对危害的识别和分级。
第2阶段,原因分析,包括确定可能导致危害的主要原因,并估计每个危害的可能性。
第3阶段,后果分析,包括确定由危害引起的中间状态和最终后果,并估计每个危害引起事故的可能性。
原因分析和后果分析可以并行进行。
第4阶段,损失分析,每种危害的后果可能与一些损失有关 (即对人员的伤害、对环境的破坏或商业损失)。在考虑选择某种措施降低风险之前,需要对安全损失的大小进行估计 (即对人员的伤害)。
第5阶段,方案分析,风险的降低和控制需要对每种危害的潜在风险降低措施范围进行识别,方案分析包括对哪些措施进行确定。
DI-S:0为牙面上无软垢;1为软垢覆盖面积<牙面1 3;2为软垢覆盖面积占牙面1 3~2 3;3为软垢覆盖面积> 牙面2/3。牙面1
第6阶段,影响分析,包括根据风险降低程度来评估实施了每种风险降低措施后取得的净效益。
第7阶段,符合性证实,包括确定应该实施哪些风险降低措施,并证明接受所有剩余风险是正确的。
ATP的功能主要由车载ATP控制单元来完成。针对车载ATP控制单元的运行权限功能进行危害分析,评估其风险。选用定性半定量的评分值方法,评估危害引发的风险大小,以确定其可接受程度。
车载ATP控制单元,将接收的轨道码和配置的地理数据进行轨道码译码,分析列车前方空闲轨道区段数量,计算列车前方不允许超过的位置,以及为了使列车运行到指定的区域而列车前方必须遵循的唯一进路。
风险频度后果矩阵定义见表1。
表1 风险频度后果矩阵
危害识别的来源:①已经应用的类似产品的危害记录;②专家的观点;③以往项目的危害分析;④其他可以借鉴的分析技术。
采用HAZOP分析法对危害进行识别,根据类似危害记录和专家观点,对于运行权限功能,最严酷的危害为“DTG模式下运行权限错误”。DTG模式为目标距离模式,而ATP即为目标距离模式。
采用故障树分析法查找导致“DTG模式下运行权限错误”的原因,该故障树如图1所示。
图1 运行权限错误的故障树
该故障树的最小割集为: {X1}; {X2};{X3};{X4};{X5};{X6};{X7};{X8}。即以上割集之一均可直接导致“DTG模式下运行权限错误”。根据以往项目经验和专家意见,经分析,该危害发生的频度为“很少”,评分值为3。
采用事件树分析法对“DTG模式下运行权限错误”所造成的后果进行分析,绘制运行权限事件树如图2,图3所示。
可以看出,当出现“DTG模式下运行权限错误”的危害时,若安全条件具备,则不会造成事故;若触发了不安全条件,则会造成撞车或出轨的事故,所以,该危害造成事故的严酷度是“灾难性的”,评分值为4。
经确认的突发事件 (后果)包括:①安全;②出轨;③列车撞人,人员伤亡;④撞车,人员轻微伤害;⑤撞车,人员伤亡。
其中,“①”不会造成损失,其余各项后果均会造成安全损失。“②”在最严酷的条件下,可能会造成2到3人死亡。 “③”会造成1人死亡。“④”会造成2名乘客的轻微伤害。“⑤”在最严酷的条件下,可能会造成2到3名乘客死亡。
该危害发生的频度为“很少”,严酷度为“灾难性的”,因此其风险值为12,查表1知,该风险不可接受,需要采取控制措施。
为预防由运行权限错误导致的事故,针对不同的危害原因,采取相应的控制措施,具体措施见表2。
影响分析即对采取措施后的风险重新评估,确定其剩余风险。
1.对于由 X1和X2引起的运行权限错误,通过采取表2中的控制措施,可最大限度地降低运行权限计算错误和轨道码译码错误的概率,从而可降低危害发生的概率。
图2 运行权限错误的事件树 (1)
2.对于由X3引起的运行权限错误,采用3取2的冗余解码算法,可在规定的时间内确定解码的正确结果,既保证可用性,又保证安全性;汉宁窗技术可以降低偶然解码错误的概率;采用基于频域的快速FFT变换算法,可减少运算量,简化算法,准确解析出功率谱最强的频率数值。
3.由X4引起的运行权限错误不是由车载ATP控制单元自身错误引起的,而是由外部接口设备错误引起,采取表2所述的控制措施可有效预防这样的失效。
4.对于由X5引起的运行权限错误,通过提供故障安全的地面ATP设备接口,可使车载ATP控制单元在接口故障时,导向安全侧,以保障安全。
5.对于由X6、X7和X8引起的运行权限错误,做好培训工作,并将此问题的严重性告知用户,以引起用户对此问题的重视,在进行设计联络时会注意这方面的沟通,避免发生错误;轨道码译码功能对地理数据中不一致的码序表和载频顺序表进行防护,可以起到防护作用,降低危害发生的概率;RM模式允许司机在规定的低速 (向前 25 km/h,向后20 km/h)运行,ATP发现道岔异常时,只允许RM模式,保证此时列车仍能安全运行,从而降低危害发生的概率。
采取以上措施后,可大大降低危害发生的概率,其频度可降低至“难以置信的”,其剩余风险为“容许的”,剩余风险值为4,所以该项危害的剩余风险在可接受范围。
表2 备选方案列表
图3 运行权限错误的事件树 (2)
采用七阶段法对系统风险进行阶段性、条理性地分析,可最大限度地找出危害的原因,以便有针对性地提出控制措施,有助于及时发现系统设计缺陷,并进行修正,对于系统安全设计有非常重要的指导意义。
[1]戎珈,姜尚.共因失效在地铁联锁系统可靠性分析中的应用[J].计算机与现代化.2010,(3).
[2]宋红霞、王玉松、王利锋、况长虹.列车自动防护系统安全计算机可靠性与安全性分析[J].工业控制计算机,2008,21(1)
[3]ISBN 978-0-9551435-2-6.Engineering Safety Management(The Yellow Book).
[4]EN 50126:1999.铁路应用-轨道交通可靠性、可用性、可维护性和安全性规范及展示[S].1999.
[5]EN 50129:2003.铁路应用-用于信号的安全相关的电子系统[S].2003.
Abstract:This paper is based on a project of distance-to-go mode ATP system and describes the application of seven-stage process risk assessment method.Combined with fault tree analysis and event tree analysis,this paper detailed analyzed certain hazards of onboard ATP control unit in the ATP system of distance-to-go mode.
Key words:Safety;Fault Tree Analysis;Event Tree Analysis;Seven-stage
2013-05-10
(责任编辑:诸 红)