城市軌道交通車輛獨立安全評估策略

曹成鵬 李曉琳 高秋芙

(北京城市軌道交通咨詢有限公司, 100068, 北京)

ISA(獨立安全評估)是獨立于系統設計、開發或運營的團隊,依據證據,對計劃開發系統的安全需求是否恰當、充分,以及系統是否滿足這些既定的安全需求進行評估和判斷[1]。

在標準體系相對完善的歐洲,ISA是車輛準入或投入運營的普遍要求。我國城市軌道交通安全評估還處于初步發展階段,尚未形成較為完善的理論和規范化的標準。隨著城市軌道交通技術的不斷發展和標準化進程的不斷推進,建設單位及廠家的安全意識也不斷提升,ISA也不斷得到推廣[2]。

按照GB/T 30013—2013《城市軌道交通試運營基本條件》的要求,信號系統必須進行ISA[3]。近年來,隨著FAO(全自動運行)技術日臻成熟,FAO線路在國內迅猛發展。在FAO線路的建設過程中,ISA的范疇從原有單純的信號系統,拓展到車輛系統、專用通信系統、站臺門系統、軌道系統、電梯及自動扶梯、門禁等核心設備系統。目前,我國城市軌道交通FAO線路的車輛均進行了ISA。此外,一些異于常規項目的車輛,例如國內第一條真正意義上采用城市軌道交通模式運營的溫州軌道交通S1線,因其技術上的獨特性,也對車輛進行了ISA。本文結合國內已開通運營和在建的城市軌道交通FAO項目,對車輛ISA策略進行了總結提煉。

1 車輛ISA策略

車輛ISA策略以隱患識別和風險管控為中心,從而評估車輛系統是否存在無法接受的風險。

1.1 隱患識別

隱患識別指車輛系統所有合理可預見的隱患是否都已經識別出來。車輛系統隱患識別的輸入示例,如表1所示。

表1 車輛系統隱患識別輸入示例

1.2 風險管控

風險管控是指每條隱患所導致事故的風險等級是否可接受,通過證明其符合規范和相關標準,證明其與參考系統的安全性一致,以及證明剩余風險可接受等策略來完成。證明風險管控符合規范或標準的示例,如表2所示。

表2 證明風險管控符合規范或標準示例

證明剩余風險可接受的評估關注點為剩余風險等級分析和風險減輕措施落實,其中:剩余風險等級分析的評估范圍為隱患登記冊、SIL(安全完整性)認證、體系審計及故障數計算,風險減輕措施落實的評估范圍為隱患登記冊、安全需求管理報告及驗證與確認報告。

判斷風險等級并進行風險分析時,以最新設計方案為基準,通過風險矩陣方法對風險進行排序[4]。判定依據為:

1) 如果部分導致隱患發生的原因未得到有效管控,則原始風險等級為不可接受;

2) 如果所有導致隱患發生的原因都得到了有效控制,則原始風險等級為可接受;

3) 如果導致隱患演變成事故的原因也得到了有效管控,則原始風險等級為可忽略。

風險減輕措施的落實需要做到全面、準確、到位:全面是指風險減輕措施中涉及的所有子系統都要考慮;準確是指風險減輕措施的關閉證據要與減輕措施的要求一致,不能偏離;到位是指在諸多相關的證據中要采用最有力的證據關閉。

1.3 整車各階段評估策略

整車評估可分為設計、制造與試驗驗證等階段。設計階段的整車安全評估活動及安全證明體系要點,如表3所示。制造與試驗驗證階段的整車安全評估活動及安全證明體系要點,如表4所示。

表3 設計階段的整車安全評估活動及安全證明體系要點

表4 制造與驗證階段的整車安全評估活動及安全證明體系要點

1.4 FAO項目車輛特殊風險評估

FAO項目需根據IEC 62267:2009《軌道交通—都市自動化有軌運輸—安全性要求》中第7章定義的GOA4(無人干預列車運行)運營的危害場景,以及被評估項目的場景說明書,識別運營場景中可能存在的風險。FAO項目危害場景示例如表5所示。FAO項目車輛各階段評估活動與安全審計示例如表6所示。

表5 FAO項目危害場景示例

表6 FAO項目車輛各階段評估活動與安全審計示例

2 車輛ISA各環節內容

車輛ISA內容主要包括:安全文檔評估、測試報告審核、安全審計及現場見證測試等。上述安全評估需要貫穿整個車輛建設工期,并根據項目進展的情況,安排安全審計和現場見證。評估人員采用基于風險的評估方法,通過抽樣技術進行檢查和評估。

2.1 安全文檔評估

安全文檔評估的目標是審查和評估車輛廠家以及分包商的安全管理體系。安全文檔評估流程如圖1所示。

圖1 安全文檔評估流程

2.1.1 安全管理程序文檔評估

審查和評估車輛廠家的安全管理體系,以及車輛廠家及其供應商在設計、制造、安裝、測試及調試等階段開展的安全管理的穩定性。對其過程管理進行評估,并確保遵守相關的安全守則、標準、法規及規范。識別車輛廠家及其供應商對危害的辨識是否充分,且是否已對重要危害采取措施。檢查車輛廠家相關人員的資質,對車輛廠家是否配置足夠稱職的員工執行其合同進行評估。

2.1.2 針對具體項目的安全相關文檔評估

1) 對EN 50126-1:2017《鐵路應用—可靠性、可用性、可維護性和安全性的技術規范和證明》、EN 50128:2011《鐵路應用—通信、信號和處理系統—鐵路控制和保護系統軟件》及EN 50129:2018《鐵路

應用—通信、信號和處理系統—信號的安全相關電子系統》中安全相關的要求,以及合同中明確的SIL等級的響應進行匯總,評估車輛廠是否已按照相關標準的安全系統設計程序執行。

2) 對設計變更(包括軟件和硬件)和配置管理的驗證和鑒證過程進行評估。

3) 對安全隱患識別、分級、解決方案、記錄、監控、消除、追蹤及關閉的過程進行評估,以驗證風險是否已降低到最低合理可行的水平;審查車輛的設計、制造、安裝、試驗及測試的安全要求是否充分[5]。

4) 評估各系統的接口安全管理,確保系統間的接口危害識別和危害分析包含了危害消除、控制或減輕等內容[6]。

5) 對技術細節進行審查和評估,包括設計文檔、原理圖、分析報告、模擬結果、計算、試驗記錄,以及安全報告的見證與試驗和測試的見證,以確保關鍵子系統和相關接口的安全。

2.2 特殊風險安全評估

2.2.1 FAO系統評估

確保UTO(無人值守的全自動運行)系統符合所定義的技術規范的要求,盡早識別、降低工程項目的技術和進度風險,監督和評估車輛廠家的系統保障工作實施情況是否滿足最終UTO系統功能、質量和安全等方面的要求,確保UTO 系統運營準備工作(系統設備、組織架構及運營規程)滿足運營和維護的要求。

2.2.2 車輛系統特有重大風險評估

1) 對列車結構安全、車輛與各系統的防火安全、車輛與各系統的電磁兼容需求、車門與站臺門等系統的接口安全進行評估。

2) 對車輛廠驗證與確認過程進行評估,對測試計劃、測試案例、測試通過準則、測試過程、測試報告,以及應急措施等的驗證與確認管理進行評估;對試驗計劃、試驗方案、試驗通過的標準和流程、后續的試驗報告,以及試驗工程師的能力進行評估,對選定設備和系統的試驗進行見證。

3) 對于車輛廠質量管理體系的執行情況進行審查,并在相應的安全審查報告中對質量管理情況進行評價,并指出不足。

4) 對車輛廠故障原因、故障分析及糾正措施進行評估,對車輛廠采取的補救和改進措施的進展進行監控,并對其效果進行評估,將已確定的危害降低至用戶可以接受的程度。

2.3 現場安全審計

針對安全評估需求,評估團隊需根據車輛廠的設計、制造及調試計劃進行現場安全審計。審計方法包括:和工作人員進行面談,觀察與生產和安裝有關的工作條件,見證主要的試驗和調試,確認審計過程中所發現問題關閉的證據,參與主要的安全會議。

現場安全審計可分為4個環節,其中安全相關議題的分析報告須全部審查。現場安全審計流程如圖2所示。

圖2 現場安全審計流程

2.3.1 車輛方案設計完成階段的安全審計

此階段安全審計的目標是識別車輛方案設計與用戶需求的差距,以及對設計階段的安全管理流程進行審查。審查內容如下:

1) 對系統工程、質量管理(特別是設計質量管理)、設計變更處理、接口管理、配置管理、電磁兼容管理及防火管理等的流程進行審查。

2) 確定是否有足夠勝任的員工進行工作。

3) 如有必要,根據此階段的審查結果,以及與用戶需求的差距,對獨立審查計劃進行修訂。

4) 對如下文件進行審查:車輛系統保證計劃、驗證與確認計劃、車輛配置管理計劃、質量計劃、EMC管理計劃、防火管理計劃、車輛初步危害分析、車輛量化風險分析、安全原則及規范要求的符合性分析、車輛防撞性設計、車輛質量管理計劃、車輛制動等設備供應商業績、車軸與車輪強度計算、轉向架應力分析、車底設備支撐應力分析、車軸應力分析、車體結構分析、地板防火阻隔體性能驗證測試程序、電線與電纜規格。

此階段安全審查期間的重要關注點為:設計管理流程、系統保證及風險管理與質量保障等。

2.3.2 車輛最終設計完成階段的安全審計

此階段安全審查的目標是對車輛設計中是否按照安全相關標準和規定進行審計,對設計文件進行審查。審查內容如下:

1) 對配置管理、供應商管理及設計變更的管理流程進行審查。

2) 對如下文件進行審查:更新版的車輛系統保證計劃、驗證與確認計劃、車輛配置管理計劃、質量計劃、EMC管理計劃、防火管理計劃、車輛初步危害分析、車輛風險分析報告、安全原則及規范要求的符合性分析;車輛設計安全證明文件、車輛系統危害分析、車輛接口危害分析、車輛操作與支持危害分析;車輛防撞設計、車體強度分析、防火等車輛系統詳細設計文件;車輛與信號、通信、軌道、供電、站臺門等專門的接口設計。

此階段安全審查期間的重要關注點為:設計流程管理、系統保障(特別是安全危害管理)、質量保障管理及電磁兼容防火管理等。

2.3.3 車輛生產制造階段的安全審計

在車輛生產制造階段,需在車輛廠開展安全審計,重點查看生產安裝及試驗的要求。此階段的安全審計內容如下:

1) 見證廠內試驗。

2) 審查制造、調試、試驗、驗收需滿足的安全條件。

3) 對調試計劃、操作員及維護人員的培訓進行審查。

4) 對車輛焊接設備、車輛焊工資格認證、車輛電阻點焊及縫焊、車輛電弧焊接等程序文件進行審查。

此階段安全設計的重要關注點為:質量管理、試驗管理、配置管理、生產工藝文件管理、生產變更管理、現場組裝管理及試驗活動管理等。

2.3.4 車輛試運行階段的安全審計

在車輛試運行階段,需在用戶現場對車輛的調試及試驗進行安全審計。主要審查內容如下:

1) 見證正線試驗。

2) 對正線試驗中的安全條件進行審查。

3) 對轉向架疲勞負荷相關測試、轉向架結構強度相關測試、車門系統性能測試、制動性能測試、牽引整體動態性能測試及車輛完整性檢查的測試報告進行審查。

此階段安全設計的重要關注點為:試驗計劃、操作員及維護人員的培訓,安全管理,調試、試驗、聯調管理,綜合認證管理。

3 結語

近年來,國內已開通運營和在建的城市軌道交通FAO項目正在開展或已完成車輛ISA。通過上述文檔評估、安全審計、試驗見證等評估活動,證明車輛系統相關的風險控制達到了可以接受的程度,同時在評估策略、評估方法、評估報告等方面都積累了一定的理論和實踐經驗;但在專業化、系統化等方面仍存在不足,主要表現為部分FAO項目存在安全評估方介入時間較晚、評估重流程輕技術等問題。因此,需結合FAO項目車輛ISA的實踐,完善車輛ISA體系,形成我國車輛ISA的標準。