軌道交通車輛關鍵系統安全性分析

(中車株洲電力機車有限公司產品研發中心，湖南 株洲 412000)

0 引言

軌道交通車輛安全的重要性不言而喻，很多風險直接關乎人員傷亡與財產損失。如2011年國內某地發生的動車組追尾事故，直接導致多人傷亡，直接財產損失近2億元。經事后分析，該次事故是因列控中心設備存在嚴重設計缺陷、上道使用審查把關不嚴、雷擊導致設備故障后應急處置不力等因素造成的。為避免因車輛缺陷導致的此次事故的再次發生，針對軌道交通車輛關鍵子系統的安全性分析就發揮著至關重要的作用。

軌道交通車輛關鍵子系統是安全性分析的主體，各類故障、事故都是安全性分析的對象。其中，最嚴重的故障是設計缺陷，這種故障的特征是單元出故障的時間和條件不可預見，故障率高于預期的可靠性設計目標。設計缺陷通常需要糾正措施來改進，而制造缺陷則意味著需要更好的工藝或質量控制方法。在軌道交通車輛整車系統中，關鍵子系統包括制動系統、牽引系統、控制系統、車鉤、轉向架、車門等。以車門為例，對于載客的軌道車輛，若車門故障，可能導致車輛在運行的過程中開門，使乘客意外跌落車外；還可能導致車輛內部起火的時候，乘客無法逃生等安全事故。

1 風險評估矩陣

風險評估是進行安全性分析的基本信息，一般由危險所造成后果的嚴重性和發生的可能性來衡量危險的風險等級。一般情況下，優先考慮合同規定的危險可能性等級、危險嚴重性等級和風險控制矩陣。若合同無明確規定，則建議依據EN 50126-1(2017)標準，參考如下風險評估的矩陣方式，其中，表1～表4作為危險評估的準則。需要說明的是，2017版EN 50126-1標準，較之前的版本有所變更，增加了風險發生度頻率的量化說明，同時在危害等級中，增加了對環境的影響。

根據表1來評估每個危險事件的發生頻率。

根據表2來評估每個危險事件可能導致的嚴重性。

根據事件發生頻率和事故嚴重性共同評價風險，風險矩陣如表3所示。

其中，風險類別定義如表4所示。

表1 風險發生度頻率

表2 危害等級

表3 風險矩陣

表4 危險類別定義

2 子系統隱患分析

在開展關鍵子系統安全性分析時，需先著手對該系統的功能進行全面梳理，識別出該系統與功能相關的所有安全隱患。需要說明的是，安全隱患與車輛所處的工況和操作模式緊密相關。圖1為關鍵系統安全性分析過程簡單介紹，以車門為例。

1)確定功能，如開關門功能。

2)分析實現該功能可能發生的所有風險，如車輛在運行時開門。

3)分析風險發生的原因及車輛所處的操作模式。原因如：①乘客錯誤地操作緊急解鎖裝置。②門控單元失效。③門關緊與鎖閉狀態顯示錯誤。④緊急解鎖后非安全狀態下，車輛運行中車門突然打開。⑤門控回路失效。操作模式如，整車運營。

4)分析風險導致的后果，并評估初始風險等級(包括發生度頻率、危害等級、風險類別)。后果如，乘客跌落，致乘客受傷或死亡。評估的風險等級見圖1。

5)確定風險減輕措施。如，a)使用警示說明、標識，提示乘客不要誤操作；b)在非零速狀態下，如操作緊急解鎖裝置，開門力不小于300N，且時間持續不小于3 min；c)按照EN 50128標準開發軟件，且進行嚴格測試；d)設置門鎖好安全回路，并通過EDCU向HMI發出信號并顯示；e)維保人員按照維修手冊及檢修修程要求，定期開展車門的檢修與保養活動等等。

6)評估殘余風險等級，風險類別至少需為“可允許風險”，否則需重新進行分析。評估的風險等級見圖1。

7)將分析結果轉移至風險登記冊，對減輕措施進行跟蹤管理。

針對上文中開關門功能的初步分析評估和殘余風險評估結果見圖1。該風險的嚴酷度為4(災難)，通過風險減輕措施的實現，將風險發生頻率由C(3)級(偶爾)降低到E(5)級(不可能)，則對應的風險水平由Ⅰ級(不可允許風險)降低為Ⅲ級(可容許風險)。

圖1 開關門功能的風險評估結果

3 接口隱患分析

接口分析涉及的信息為子系統硬件、軟件、功能和操作使用方面的接口，所有與車輛及其子系統相關的內部及外部接口，一般采用邊界圖或接口矩陣法來發現接口隱患。本文介紹的為接口矩陣法，接口包括車輛內部接口和外部接口。以車門為例，整車一級子系統與車門的內部接口矩陣圖見圖2。

圖2整車一級子系統與車門的內部接口矩陣圖

車門系統的接口隱患分析示例見表5。

表5車門接口安全性分析示例

4 操作與維護隱患分析

操作與維護隱患分析的對象主要是人的操作程序與過程，包含正常操作、誤操作、緊急狀態、設計不當等方面的隱患。在隱患確定后，需分析隱患產生的原因及影響，最終提出消除或減輕隱患的措施。車門系統關于操作與維護隱患主要是維保人員觸電的風險。因維保人員誤操作，導致被點擊或受試，因此，分析要求：①車門設置接觸保護功能，防止維保人員接觸到帶電裝置。②維保人員在開展車門的維修活動前，車輛需斷電并接地。

5 結語

實施子系統安全性分析可以借鑒FMECA及設計邏輯等，是驗證和確認關鍵子系統架構和功能設計是否滿足其安全要求的重要方法。在識別了隱患后，需要確定可能造成隱患的原因因素，以便更準確地評估隱患發生的可能性，識別降低其發生可能性的措施。原因分析中需要注意的關鍵因素包括，識別共因故障模式、故障之間的獨立性以及原因發生的邏輯關系等。