基于HAZOP方法的车载地震紧急处置装置安全风险分析研究

施泳，习年生，王澜

（1.中国铁路总公司 安全监督管理局，北京 100844；2.中国铁道科学研究院集团有限公司 铁道科学技术研究发展中心，北京 100081）

1 概述

我国高速铁路正处于快速发展阶段，截至2018年底高速铁路运营里程已超2.9万km。随着高速铁路路网规模的扩展，处于地震VII度区及以上的高速铁路里程约达10 000 km以上。我国大陆地震区分布较广，震源分散、复杂，对高速铁路安全运营影响较大。对运行于地震VII度区及以上的高速铁路设立地震紧急处置系统，是保障高速铁路运营安全的需要。为此，迫切需要研究适合我国高速铁路现状、可行的地震紧急处置技术。

日本、法国、中国台湾等高速铁路较为发达的国家和地区均建立了相应的地震紧急处置系统[1-4]。目前，国外地震紧急处置系统控制列车的模式主要有2种：一是以法国地中海线为代表的列控系统控制模式，即接到报警时，由列控系统发出控制列车运行的信号，自动控制列车停止运行；二是以日本新干线为代表的牵引供电系统控制模式，即接到报警时，牵引变电所停止向接触网供电，列车车载装置检出接触网断电后立即自动采取紧急制动措施。

我国在高速动车组制动控制系统研究的基础上，研发了全新的、适合我国高速铁路实际需求的、具有自主知识产权的车载地震紧急处置装置（简称车载地震装置），由该装置接收地震预警信息并采取相应的控车方式（限速或紧急停车）[4-6]。目前，车载地震装置已研制完成试验样机，并进行了实验室功能验证和现场试验验证。

危险与可操作性分析（Hazard & Operability Analysis，HAZOP）方法[7]是以系统工程为基础的一种可用于定性分析或定量评价的危险性评价法，它全面考察分析对象，主要采用头脑风暴法，对每一个与设计要求不一致（即发生偏差）的地方提出问题，进而进一步分析偏差出现的原因及其产生的后果，并提出相应的对策。HAZOP分析方法能有效地识别系统（产品）在不同运行状态下的危险和潜在问题，成为衡量系统（产品）安全设计水平的重要标志。

基于HAZOP分析方法，对车载地震装置进行安全风险分析，验证其安全性，对我国高速铁路地震安全具有重大的经济和社会意义。

2 车载地震装置

2.1 主要功能

车载地震装置安装在动车组上，由车载地震主机、车载地震终端及天线等构成[8]。其中，车载地震主机安装在动车组两端车载设备间，车载地震终端安装在司机室控制台或附近，天线安装在动车组车头车顶。为保证系统各组成部分的可维修性，在设计上要保证各组成部分及各模块的相对独立，各组成部分、各模块的功能、数据、故障等特性都必须进行严格封装，以便在需要更换或存在外界干扰时，能够有效屏蔽对内部通信产生的干扰和冲击。

车载地震装置用于接收地震紧急处置信息，发出警示信息并触发列车制动装置，主要具有3方面功能：

（1）基于GPRS方式的GSM-R无线数据收发，实现紧急处置信息的接收与应答；

（2）对于Ⅱ级、Ⅲ级地震紧急处置，自动触发紧急制动停车；

（3）对于Ⅰ级、Ⅱ级、Ⅲ级地震紧急处置，在司机室进行相应的语音及显示报警。

2.2 操作环境及外部接口

车载地震装置在使用过程中，基本上是免操作的，个别情况下需司机简单操作车载地震终端。车载地震装置一旦出现严重故障，可通过断开位于司机室的隔离开关，通过其紧急制动触发功能进行隔离。

车载地震装置在动车组检修库进行维护，正常情况下为日常检测，故障情况下则采用备件临时替换。

通过车载地震主机、车载地震终端及天线，车载地震装置分别与动车组、动车组司机、地震预警监测系统[9]进行关联（见图1）。车载地震装置与外部的接口或界面主要有：外部电源接口；紧急继电器接口；GSM-R无线通信网；语音/显示报警。

图1 车载地震装置系统边界

3 安全风险分析

3.1 HAZOP分析方法

HAZOP的目标是通过识别系统（产品）设计、操作程序和设备中的潜在危险，将系统（产品）中的危险尽可能消灭在系统（产品）实施的早期阶段，帮助实现系统（产品）的过程安全控制。HAZOP分析小组一般由4～8人组成，每个成员都能为所分析系统（产品）提供知识和经验。小组成员的知识、技术与经验应能够覆盖所分析系统（产品）的领域，但应尽可能小，应让小组的每个成员都发挥作用。

为对车载地震装置进行HAZOP分析，组建由产品开发人员、测试工程师、维修工程师、安全工程师等组成的8人小组（见表1）。由表1可知，HAZOP分析小组成员在安全科学技术领域具有坚实的理论基础和丰富的实践经验，熟悉铁路安全产品的相关标准，深刻了解车载地震装置的结构、功能及其实现，因而能够有效地查找和提出车载地震装置存在的安全风险。

表1 HAZOP分析小组成员基本情况

3.2 风险等级及应对要求

为便于进行风险分析并考察风险大小，考虑风险发生频率、危害程度，参考《轨道交通可靠性、可用性、可维修性和安全性规范及示例》[10]《铁路交通事故调查处理规则》[11]，结合铁路交通事故管理实际，提出综合评估风险大小的风险等级矩阵（见图2）。矩阵中，风险发生频率考虑了6种半定量划分，危害程度考虑了7种半定量划分，风险等级划分为4种。

针对不同风险等级，给出所要求的应对措施（见表2）。

3.3 风险分析

针对所需实现的主要功能，HAZOP分析小组依据HAZOP分析引导词（No or Not，More，Less，As Well As，Part Of Reverse，Other Than），经过多次讨论，针对每一个与设计要求不一致（即发生偏差）的地方提出问题，共确定108项有效功能偏差。

图2 风险等级矩阵

通过进一步分析偏差出现的原因及其产生的后果，分别对GSM-R无线数据收发、自动触发紧急制动、语音及显示报警等主要功能偏差进行描述（见图3），其中车载地震主机62项，车载地震终端46项。分析功能偏差产生的原因及其危害，通过风险发生频率、危害程度来评估风险等级，最后提出推荐对策措施。结果表明，在108项功能偏差情况下，风险等级“可忍受的”为75项，“普遍可接受的”为33项。对其中3项功能偏差进行安全风险分析的示例见表3。

表2 不同风险等级所要求的应对措施

3.4 安全措施

通过采用HAZOP方法进行分析，提出22条在设计或运营阶段建议采取的安全措施（见表4）。

图3 车载地震装置安全风险分析中功能偏差数量分布

表3 基于HAZOP方法进行安全风险分析示例

表4 建议采取的安全措施

4 结论

（1）结合HAZOP方法进行功能分析，可以有效、系统地识别车载地震装置各功能可能存在的偏差。通过识别，车载地震装置共有108项主要偏差，其中车载地震主机62项，车载地震终端46项。

（2）基于HAZOP方法进行车载地震装置安全风险分析，能够获得清晰明确的安全风险评估结果，验证车载地震装置的安全性。安全风险分析结果表明，在108项功能偏差情况下，车载地震装置风险等级“可忍受的”为75项，“普遍可接受的”为33项。

（3）采用HAZOP方法能够方便地进行车载地震装置安全风险分析，可为类似铁路安全产品的安全风险分析提供借鉴。针对车载地震装置的108项功能偏差，依次进行危害描述，分析找出产生原因及其后果，然后进行风险等级评估，提出在设计和运营阶段应采取的安全措施。