城市軌道交通列車關鍵子系統的安全完整性等級分析

李葛亮 劉 明 呂遠斌

(1.南寧軌道交通集團有限責任公司， 530029， 南寧； 2.中車株洲電力機車有限公司， 412001， 株洲∥第一作者， 工程師)

20世紀90年代，歐洲著手開展軌道交通領域信號、車輛系統的安全性研究，引入RAMS(可靠性、可用性、可維修性、安全性)管理體系，制定了安全相關系統功能安全的基礎標準——IEC 61508—2000《電氣/電子/可編程電子安全系統的功能安全》，并在此基礎上制定了EN 50126—1999《鐵路應用—可靠性、可用性、可維護性和安全性》、EN 50128—2001《鐵路應用—通信、信號和處理系統—鐵路控制和防護系統軟件》和EN 50129—2003《鐵路應用—通信、信號、處理系統-信號安全相關電子系統》。隨后我國發布了對應的標準——GB/T 21562—2008《軌道交通可靠性、可用性、可維修性和安全性規范及示例》、GB/T 28808—2012《軌道交通 通信、信號和處理系統控制和防護系統軟件》和GB/T 28809—2012《軌道交通 通信、信號和處理系統 信號用安全相關電子系統》。

在進行車輛系統設計時，按照上述標準對系統進行風險評估，分析和評估系統的THR(可容忍的危害率)，確保安全子系統和安全功能滿足相應的SIL(安全完整性等級)要求[1]。SIL用于確定安全功能的安全完整性要求的不連續界別，分為1級至4級。級別越大，表示系統安全功能的完整性要求越高，需要采用更復雜、更高成本的技術來實現[2]。因此，在滿足安全需求的前提下，避免資源的過度投入和成本支出，合理確定系統的SIL是非常必要的。本文從城市軌道交通列車客室側門、網絡控制、空氣制動等關鍵子系統的安全功能角度出發，通過HAZOP(危險與可操作性分析)識別系統的潛在風險，在其基礎上進行SIL分析，并將SIL評估方法應用到實際的工程項目中。

1 基于HAZOP原則的風險識別

HAZOP旨在對系統的用戶需求、設計開發、生產組裝過程及工藝流程等方面進行安全評估，找出在此過程中可能產生的風險及其后果，并進行詳細分析，最后給出相應的預防措施。HAZOP是一種具有系統性、創造性的分析方法[3]，適用于城市軌道交通車輛系統的風險識別，能夠較為全面地識別危害。基于HAZOP技術，可將列車的設計、制造全過程分為以下幾個主要階段：

1) 對系統進行定義，明確系統的功能需求，選擇專業團隊，確定風險矩陣，進行初步危害分析；

2) 收集系統危害及損失的數據，編制風險識別流程計劃，進行系統危害分析；

3) 將整個系統劃分為相關的子系統，定義每個子系統的功能設計，進行子系統危害分析、接口危害分析、操作和支持危害分析；

4) 確定風險等級，提出建議措施；

5) 確定列車整體系統的設計、生產制造方案；

6) 跟蹤方案的實施，做好過程記錄，最后輸出分析報告。

2 SIL分析

2.1 安全完整性

在對風險進行識別后，確定其后果嚴重度，依據最低合理可行的風險接受準則可得到風險的THR。系統功能的安全完整性可通過結構、方法、工具和技術的有效組合來實現，并且與其安全功能失效的THR相關。

安全完整性的定義是“在所有規定條件下和規定時間內，系統實現安全功能的可能性”[4]，通常是定量因素(硬件失效)和非定量因素(技術、文件、程序等的失效)的組合。風險的產生是由于其相對應安全功能失效造成的，因此必須根據各子系統安全功能的影響程度，將系統的THR按一定的比例分配，每個安全功能均應有對應的THR值Rth。IEC 61508—2010規定了SIL與Rth的關系，如表1所示。

表1 SIL與Rth的關系

2.2 SIL分析方法

SIL分析的方法主要有定性、定量2類，其中：定性分析方法采用定性的描述，通過風險可能性及后果確定SIL，主要有風險圖法、風險矩陣法；定量分析方法通過計算Rth得到對應的SIL，主要有保護層分析法[5]。在實際操作中，大多采用基于風險矩陣法的半定量分析方法，根據風險矩陣為每個安全功能分配SIL，但這種方法可能會導致系統對SIL的過度要求。為了更合理地確定SIL，本文采用半定量的分析方法[6]。確定SIL的基本步驟如下：①通過HAZOP原則中的子系統危害分析確定系統/子系統的安全功能風險，分析可能的故障和安全問題；②定義后果嚴重度和相關的Rth；③明確風險減輕因子，分別為風險群體成員/乘客暴露在危險下的可能性E、減少事故的可能性P及減輕后果的可能性C；④分配SIL給系統/子系統的安全功能。

后果嚴重度等級的定義如表2所示。風險減輕因子定義及參數的取值[7]如表3所示。

表2 后果嚴重度等級定義

表3 風險減輕因子的定義及參數選取

根據后果嚴重度的定義可以得到安全功能風險可容忍率的初始值Rth-i，結合EPC風險減輕因子E、P、C的取值，計算出該安全功能最終的Rth，再根據Rth與SIL的對應關系可以確定該功能的SIL。Rth的計算式為：

Rth=Rth-i/(EPC)

(1)

此SIL分析方法考慮了系統在運營中可能產生風險的非技術條件，可更合理地確定安全功能的SIL，避免安全性的過度設計。

3 應用實例

本文以南寧軌道交通4號線的列車安全完整性分析工作為例，從列車車門、列車網絡控制、空氣制動等關鍵系統必須實現的安全功能出發，通過HAZOP識別出系統的潛在風險，確定各子系統的Rth-i，在此基礎上進行風險減輕因子的SIL分析，最終確定該線列車關鍵系統安全功能的SIL。列車關鍵子系統主要安全功能的SIL分析如表4所示。

表4 列車關鍵子系統主要的安全功能的SIL分析表

該線列車為4動2拖編組的B型車，線路等級速度為80 km/h。列車客室側門采用雙扇電控塞拉門，車門的電控電動裝置采用微處理器控制的電動機驅動裝置，可與列車總線網絡進行通信；列車采用總線網絡及后備列車導線控制方式，總線由具有冗余結構的多功能車輛總線組成，可對關鍵區域提供部分冗余；該車型采用架控的模擬式空氣制動系統，主要實現常用制動(含快速制動、保持制動)、緊急制動、防滑以及停放制動等功能。

通過HAZOP識別出上述關鍵子系統主要的安全功能有：乘客上下車時開關門、牽引制動控制、列車限速運行、常用制動、防滑、緊急制動。這些安全功能一旦失效，可能會造成乘客的跌落、受傷或死亡，以及列車碰撞、車輪損傷。分析上述安全功能的后果嚴重度，確定各子系統的Rth-i，采用EPC分析方法得到最終的Rth，最后確定SIL。

根據目前的行業經驗及運營安全需求，各關鍵子系統目前采用的安全完整性等級如下：客室側門的安全完整性等級為SIL2，網絡控制的安全完整性等級為SIL2，制動系統中常用制動功能的安全完整性等級為SIL2，緊急制動功能的安全完整性等級為SIL4。與表4相比可得到結論，客室側門及空氣制動系統的安全功能均符合目前的行業及運營需求，而網絡控制的部分安全功能可通過設置風險減輕措施，適當降低其SIL的要求，從而避免為追求安全性而造成過度的資源浪費。

4 結語

目前國內的城市軌道交通領域尚缺少一個系統、完整的安全完整性等級知識體系，許多用戶、產品設計人員、RAMS管理人員并未完全理解SIL的概念并掌握SIL的分析方法，刻意追求安全功能的SIL等級，或是將SIL作為產品競爭的要素之一，造成了資源的過度浪費，曲解了安全完整性的意義。本文闡述的SIL分析方法有助于合理地確定列車關鍵子系統的安全完整性等級，可為從事相關工作的人員提供參考。