李葛亮 刘 明 吕远斌
(1.南宁轨道交通集团有限责任公司, 530029, 南宁; 2.中车株洲电力机车有限公司, 412001, 株洲∥第一作者, 工程师)
20世纪90年代,欧洲着手开展轨道交通领域信号、车辆系统的安全性研究,引入RAMS(可靠性、可用性、可维修性、安全性)管理体系,制定了安全相关系统功能安全的基础标准——IEC 61508—2000《电气/电子/可编程电子安全系统的功能安全》,并在此基础上制定了EN 50126—1999《铁路应用—可靠性、可用性、可维护性和安全性》、EN 50128—2001《铁路应用—通信、信号和处理系统—铁路控制和防护系统软件》和EN 50129—2003《铁路应用—通信、信号、处理系统-信号安全相关电子系统》。随后我国发布了对应的标准——GB/T 21562—2008《轨道交通可靠性、可用性、可维修性和安全性规范及示例》、GB/T 28808—2012《轨道交通 通信、信号和处理系统控制和防护系统软件》和GB/T 28809—2012《轨道交通 通信、信号和处理系统 信号用安全相关电子系统》。
在进行车辆系统设计时,按照上述标准对系统进行风险评估,分析和评估系统的THR(可容忍的危害率),确保安全子系统和安全功能满足相应的SIL(安全完整性等级)要求[1]。SIL用于确定安全功能的安全完整性要求的不连续界别,分为1级至4级。级别越大,表示系统安全功能的完整性要求越高,需要采用更复杂、更高成本的技术来实现[2]。因此,在满足安全需求的前提下,避免资源的过度投入和成本支出,合理确定系统的SIL是非常必要的。本文从城市轨道交通列车客室侧门、网络控制、空气制动等关键子系统的安全功能角度出发,通过HAZOP(危险与可操作性分析)识别系统的潜在风险,在其基础上进行SIL分析,并将SIL评估方法应用到实际的工程项目中。
HAZOP旨在对系统的用户需求、设计开发、生产组装过程及工艺流程等方面进行安全评估,找出在此过程中可能产生的风险及其后果,并进行详细分析,最后给出相应的预防措施。HAZOP是一种具有系统性、创造性的分析方法[3],适用于城市轨道交通车辆系统的风险识别,能够较为全面地识别危害。基于HAZOP技术,可将列车的设计、制造全过程分为以下几个主要阶段:
1) 对系统进行定义,明确系统的功能需求,选择专业团队,确定风险矩阵,进行初步危害分析;
2) 收集系统危害及损失的数据,编制风险识别流程计划,进行系统危害分析;
3) 将整个系统划分为相关的子系统,定义每个子系统的功能设计,进行子系统危害分析、接口危害分析、操作和支持危害分析;
4) 确定风险等级,提出建议措施;
5) 确定列车整体系统的设计、生产制造方案;
6) 跟踪方案的实施,做好过程记录,最后输出分析报告。
在对风险进行识别后,确定其后果严重度,依据最低合理可行的风险接受准则可得到风险的THR。系统功能的安全完整性可通过结构、方法、工具和技术的有效组合来实现,并且与其安全功能失效的THR相关。
安全完整性的定义是“在所有规定条件下和规定时间内,系统实现安全功能的可能性”[4],通常是定量因素(硬件失效)和非定量因素(技术、文件、程序等的失效)的组合。风险的产生是由于其相对应安全功能失效造成的,因此必须根据各子系统安全功能的影响程度,将系统的THR按一定的比例分配,每个安全功能均应有对应的THR值Rth。IEC 61508—2010规定了SIL与Rth的关系,如表1所示。
表1 SIL与Rth的关系
SIL分析的方法主要有定性、定量2类,其中:定性分析方法采用定性的描述,通过风险可能性及后果确定SIL,主要有风险图法、风险矩阵法;定量分析方法通过计算Rth得到对应的SIL,主要有保护层分析法[5]。在实际操作中,大多采用基于风险矩阵法的半定量分析方法,根据风险矩阵为每个安全功能分配SIL,但这种方法可能会导致系统对SIL的过度要求。为了更合理地确定SIL,本文采用半定量的分析方法[6]。确定SIL的基本步骤如下:①通过HAZOP原则中的子系统危害分析确定系统/子系统的安全功能风险,分析可能的故障和安全问题;②定义后果严重度和相关的Rth;③明确风险减轻因子,分别为风险群体成员/乘客暴露在危险下的可能性E、减少事故的可能性P及减轻后果的可能性C;④分配SIL给系统/子系统的安全功能。
后果严重度等级的定义如表2所示。风险减轻因子定义及参数的取值[7]如表3所示。
表2 后果严重度等级定义
表3 风险减轻因子的定义及参数选取
根据后果严重度的定义可以得到安全功能风险可容忍率的初始值Rth-i,结合EPC风险减轻因子E、P、C的取值,计算出该安全功能最终的Rth,再根据Rth与SIL的对应关系可以确定该功能的SIL。Rth的计算式为:
Rth=Rth-i/(EPC)
(1)
此SIL分析方法考虑了系统在运营中可能产生风险的非技术条件,可更合理地确定安全功能的SIL,避免安全性的过度设计。
本文以南宁轨道交通4号线的列车安全完整性分析工作为例,从列车车门、列车网络控制、空气制动等关键系统必须实现的安全功能出发,通过HAZOP识别出系统的潜在风险,确定各子系统的Rth-i,在此基础上进行风险减轻因子的SIL分析,最终确定该线列车关键系统安全功能的SIL。列车关键子系统主要安全功能的SIL分析如表4所示。
表4 列车关键子系统主要的安全功能的SIL分析表
该线列车为4动2拖编组的B型车,线路等级速度为80 km/h。列车客室侧门采用双扇电控塞拉门,车门的电控电动装置采用微处理器控制的电动机驱动装置,可与列车总线网络进行通信;列车采用总线网络及后备列车导线控制方式,总线由具有冗余结构的多功能车辆总线组成,可对关键区域提供部分冗余;该车型采用架控的模拟式空气制动系统,主要实现常用制动(含快速制动、保持制动)、紧急制动、防滑以及停放制动等功能。
通过HAZOP识别出上述关键子系统主要的安全功能有:乘客上下车时开关门、牵引制动控制、列车限速运行、常用制动、防滑、紧急制动。这些安全功能一旦失效,可能会造成乘客的跌落、受伤或死亡,以及列车碰撞、车轮损伤。分析上述安全功能的后果严重度,确定各子系统的Rth-i,采用EPC分析方法得到最终的Rth,最后确定SIL。
根据目前的行业经验及运营安全需求,各关键子系统目前采用的安全完整性等级如下:客室侧门的安全完整性等级为SIL2,网络控制的安全完整性等级为SIL2,制动系统中常用制动功能的安全完整性等级为SIL2,紧急制动功能的安全完整性等级为SIL4。与表4相比可得到结论,客室侧门及空气制动系统的安全功能均符合目前的行业及运营需求,而网络控制的部分安全功能可通过设置风险减轻措施,适当降低其SIL的要求,从而避免为追求安全性而造成过度的资源浪费。
目前国内的城市轨道交通领域尚缺少一个系统、完整的安全完整性等级知识体系,许多用户、产品设计人员、RAMS管理人员并未完全理解SIL的概念并掌握SIL的分析方法,刻意追求安全功能的SIL等级,或是将SIL作为产品竞争的要素之一,造成了资源的过度浪费,曲解了安全完整性的意义。本文阐述的SIL分析方法有助于合理地确定列车关键子系统的安全完整性等级,可为从事相关工作的人员提供参考。