接口危险分析技术在机车安全性设计中的应用

徐倩 张奕奕

摘 要：重点阐述接口危险分析的具体方法，结合实际机车分析案例说明从接口关系识别危险源，对其进行深入分析并提出适当的减轻措施使得风险控制在可接受水平，该方法应用在轨道交通领域为保障产品安全提供设计参考。

关键词：接口;危险分析;风险

0 引言

机车由车体、转向架、电气、制动、控制等不同功能的大中型子系统组成，而各子系统同样组成复杂，也是由多设备模块构成。显而易见，无论是系统层面还是设备层面均需要通过接口交互从而实现相关功能。也就是说，接口是连接它们的通道，使得它们彼此之间得以协同工作。然而一方面接口交互作用会导致两个以上的系统之间的危险传递，另一方面接口交互失效必然会影响系统的安全功能实现。为了保证系统运用安全，对于接口的安全性分析不可或缺。

基于此本文将介绍接口危险分析（Interface Hazard Analysis，IHA），目的是从接口关系角度发现危险源、分析其形成机理和造成的后果、确定危险程度，从而提出措施改进设计以避免机车运用过程发生事故。

1 接口危险分析概述

系统接口涉及硬件、软件、人机操作等方面，因此对于接口的安全性分析是一个复杂的过程。接口危险分析首先需要选择分析对象即识别接口。接口分为外部接口和内部接口，外部接口为系统与系统之外其他系统之间的接口，内部接口为系统本身内部各子系统之间的接口。为了全面识别接口关系，可以根据系统设计架构绘制系统边界图，图1给出了典型的边界图示例。系统边界图将系统设计进行简化，能够清晰表示系统与外界之间的关系，还能够清楚显示系统内部的子系统组成、各子系统功能之间的关系，是识别接口关系是有效途径之一。

基于边界图识别系统的接口关系后，接着识别接口对象的危险因素：通过分析接口对象技术本身失效以及在铁路运行内的记录基础上，利用接口关系尽可能地确定接口对象的所有潜在危险，潜在危险是指可能引起人员伤亡或系统/环境损害的事故发生。设计人员可以使用危险检查表、以往的经验以及事故调查，还可以借鉴类似系统已识别的危险等，来帮助发现每个接口对象可能存在的危险。

识别接口危险后应深入挖掘其产生的原因、影响并对风险进行定量评价，通过分析提出改进措施来减轻危险。风险定量评估是综合危险发生频率和危险后果严重度两种因素来得出风险等级;定量对象包括识别的初始危险和经采取措施后减轻的残余危险。

将识别的接口、危险、原因、影响、定量评估等分析结果记录在可读格式的表内，便于设计人员进行追溯。需要注意的是，接口危险分析是为了发现接口危险，并针对危险输出改进措施从而促进设计优化，因此为了接口危险分析的闭环关闭，改进措施必须纳入危险日志中，通过验证确认活动进行监督，保证措施得以切实执行。

对于外部接口需要与外部接口供应商通过接口危险分析表或者其它约定形式，开展接口危险分析活动，确定危险控制措施且同样需要纳入危险日志跟踪直至措施实施关闭。

2 接口危险分析的应用

机车的核心功能之一是实现安全牵引，本节将以某型电力机车为例讨论该功能部分的机车系统内部及外部之间接口危险分析，说明接口危险分析在机车安全性设计中的实际应用。

2.1 接口识别

机车通过其内部子系统和外部系统通过彼此之间接口交互共同实现牵引功能。首先识别接口关系，通过图2所示的边界图可知：系统内部包括供电系统、牵引系统、辅助系统以及控制系统，主变压器的原边通过受电弓、主断路器得电，次边向牵引变流器供电，牵引电机接受牵引变流器的电能转换为驱动行驶的机械能，同时TCMS接收各子系统运行状态并发出控制指令，辅助变压器也从牵引变流器得电为控制系统提供电能;系统外部包括信号设备、通信设备，它们与机车交互运行信息，机车TCMS视情调整牵引力输出大小。由此得出10个内部接口关系和2个外部接口。

2.2 危险分析与评估

上述识别的接口作用有物理连接、能量供给、信息传输等，对每一个接口对象逐项对照它们技术本身以及运行历史总结的故障清单确定它们的故障模式、可能存在的故障后果。经分析识别，12个接口对象存在30项接口危险，即导致人员受伤或者死亡有30项。

下面对这30项危险进行详细分析，发现它们的危险原因即引发危险的情况或条件、危险后果即对人员造成实际伤害的事件，再结合风险矩阵对危险发生频率、后果严重度进行风险等级评估。文中采用EN50126标准定义的风险矩阵进行风险评价，初始风险等级为不期望的数目为24，可接受的数目为6，为了使风险可控，设计人员可从以下四个方面采取措施降低风险等级：（1）最小风险设计;（2）安全防护设计;（3）告警设计;（4）专用操作维护规程设计。在采取控制措施后，24条不期望的风险可降低为可接受的，6条可接受的风险降低为可忽略的。最后通过接口危险分析表记录危害识别、风险评价、风险控制等内容，其中对于外部接口，需要外部接口供应商与机车设计人员协同完成危险分析。接口危险分析结果的示例如表1所示。

3 结论

采用接口危险分析可以系统地识别对机车内部接口以及外部接口，发掘它们可能发生的危险及原因，并量化危险的风险等级，使得设计人员更直观了解系统的安全需求，使其具有目的性地寻找恰当的风险控制措施，消除風险或减轻至可接受水平。

综上应用接口危险分析，能够全面有效地分析多个系统包括系统边界之间接口交互危险，与其它的安全分析如初步危险分析、子系统危险分析等共同保证系统安全分析的完备性，保障系统的运用安全。

参考文献：

[1]EN50126-2017，铁路设施可靠性、可用性、维修性和安全性（RAMS）的规范和验证[S].

[2]李良巧.可靠性工程师手册[M].北京：中国人民大学出版社，2012.

[3]盛银胜.基于总包工程的接口危害分析[J].铁路技术创新，2013（6）：99-101.

[4]王德春.基于PHA的中低速磁浮交通系统安全分析[J].通信设计与应用，2020（5）：19-22.