楊 明

七階段法在地鐵信號系統(tǒng)風險評估中的應用

楊 明

摘 要：以目標距離模式ATP系統(tǒng)項目為基礎(chǔ)，闡述七階段法的風險評估應用。結(jié)合故障樹分析 (FTA)和事件樹分析 (ETA)，對目標距離模式ATP系統(tǒng)中的車載ATP控制單元的某個危害進行了詳細的分析。

關(guān)鍵詞：安全性;故障樹分析 (FTA);事件樹分析 (ETA);七階段

楊 明：北京大成通號軌道交通設備有限公司 工程師 100096北京

北京市交通委員會科技計劃項目：既有線運力提升信號設備技術(shù)升級研發(fā) (2012kj－009)

北京市科學技術(shù)委員會科技計劃項目：北京市既有軌道交通線路

ATO系統(tǒng)改造升級 (Z111100059411010)、北京既有線列車自動防護系統(tǒng)升級技術(shù)研究及示范 (D131100004113001)

1 七階段法簡介

1.1 基本內(nèi)容

第1階段，危害識別，包括對危害的識別和分級。

第2階段，原因分析，包括確定可能導致危害的主要原因，并估計每個危害的可能性。

第3階段，后果分析，包括確定由危害引起的中間狀態(tài)和最終后果，并估計每個危害引起事故的可能性。

原因分析和后果分析可以并行進行。

第4階段，損失分析，每種危害的后果可能與一些損失有關(guān) (即對人員的傷害、對環(huán)境的破壞或商業(yè)損失)。在考慮選擇某種措施降低風險之前，需要對安全損失的大小進行估計 (即對人員的傷害)。

第5階段，方案分析，風險的降低和控制需要對每種危害的潛在風險降低措施范圍進行識別，方案分析包括對哪些措施進行確定。

DI-S：0為牙面上無軟垢；1為軟垢覆蓋面積<牙面1 3；2為軟垢覆蓋面積占牙面1 3～2 3；3為軟垢覆蓋面積> 牙面2/3。牙面1

第6階段，影響分析，包括根據(jù)風險降低程度來評估實施了每種風險降低措施后取得的凈效益。

第7階段，符合性證實，包括確定應該實施哪些風險降低措施，并證明接受所有剩余風險是正確的。

1.2 運行權(quán)限

ATP的功能主要由車載ATP控制單元來完成。針對車載ATP控制單元的運行權(quán)限功能進行危害分析，評估其風險。選用定性半定量的評分值方法，評估危害引發(fā)的風險大小，以確定其可接受程度。

車載ATP控制單元，將接收的軌道碼和配置的地理數(shù)據(jù)進行軌道碼譯碼，分析列車前方空閑軌道區(qū)段數(shù)量，計算列車前方不允許超過的位置，以及為了使列車運行到指定的區(qū)域而列車前方必須遵循的唯一進路。

1.3 風險定義

風險頻度后果矩陣定義見表1。

表1 風險頻度后果矩陣

2 風險評估過程

2.1 危害識別

危害識別的來源：①已經(jīng)應用的類似產(chǎn)品的危害記錄;②專家的觀點;③以往項目的危害分析;④其他可以借鑒的分析技術(shù)。

采用HAZOP分析法對危害進行識別，根據(jù)類似危害記錄和專家觀點，對于運行權(quán)限功能，最嚴酷的危害為“DTG模式下運行權(quán)限錯誤”。DTG模式為目標距離模式，而ATP即為目標距離模式。

2.2 原因分析

采用故障樹分析法查找導致“DTG模式下運行權(quán)限錯誤”的原因，該故障樹如圖1所示。

圖1 運行權(quán)限錯誤的故障樹

該故障樹的最小割集為： {X1}; {X2};{X3};{X4};{X5};{X6};{X7};{X8}。即以上割集之一均可直接導致“DTG模式下運行權(quán)限錯誤”。根據(jù)以往項目經(jīng)驗和專家意見，經(jīng)分析，該危害發(fā)生的頻度為“很少”，評分值為3。

2.3 后果分析

采用事件樹分析法對“DTG模式下運行權(quán)限錯誤”所造成的后果進行分析，繪制運行權(quán)限事件樹如圖2，圖3所示。

可以看出，當出現(xiàn)“DTG模式下運行權(quán)限錯誤”的危害時，若安全條件具備，則不會造成事故;若觸發(fā)了不安全條件，則會造成撞車或出軌的事故，所以，該危害造成事故的嚴酷度是“災難性的”，評分值為4。

2.4 損失分析

經(jīng)確認的突發(fā)事件 (后果)包括：①安全;②出軌;③列車撞人，人員傷亡;④撞車，人員輕微傷害;⑤撞車，人員傷亡。

其中，“①”不會造成損失，其余各項后果均會造成安全損失。“②”在最嚴酷的條件下，可能會造成2到3人死亡。 “③”會造成1人死亡?！阿堋睍斐?名乘客的輕微傷害。“⑤”在最嚴酷的條件下，可能會造成2到3名乘客死亡。

該危害發(fā)生的頻度為“很少”，嚴酷度為“災難性的”，因此其風險值為12，查表1知，該風險不可接受，需要采取控制措施。

2.5 方案分析

為預防由運行權(quán)限錯誤導致的事故，針對不同的危害原因，采取相應的控制措施，具體措施見表2。

2.6 影響分析

影響分析即對采取措施后的風險重新評估，確定其剩余風險。

1．對于由 X1和X2引起的運行權(quán)限錯誤，通過采取表2中的控制措施，可最大限度地降低運行權(quán)限計算錯誤和軌道碼譯碼錯誤的概率，從而可降低危害發(fā)生的概率。

圖2 運行權(quán)限錯誤的事件樹 (1)

2．對于由X3引起的運行權(quán)限錯誤，采用3取2的冗余解碼算法，可在規(guī)定的時間內(nèi)確定解碼的正確結(jié)果，既保證可用性，又保證安全性;漢寧窗技術(shù)可以降低偶然解碼錯誤的概率;采用基于頻域的快速FFT變換算法，可減少運算量，簡化算法，準確解析出功率譜最強的頻率數(shù)值。

3．由X4引起的運行權(quán)限錯誤不是由車載ATP控制單元自身錯誤引起的，而是由外部接口設備錯誤引起，采取表2所述的控制措施可有效預防這樣的失效。

4．對于由X5引起的運行權(quán)限錯誤，通過提供故障安全的地面ATP設備接口，可使車載ATP控制單元在接口故障時，導向安全側(cè)，以保障安全。

5．對于由X6、X7和X8引起的運行權(quán)限錯誤，做好培訓工作，并將此問題的嚴重性告知用戶，以引起用戶對此問題的重視，在進行設計聯(lián)絡時會注意這方面的溝通，避免發(fā)生錯誤;軌道碼譯碼功能對地理數(shù)據(jù)中不一致的碼序表和載頻順序表進行防護，可以起到防護作用，降低危害發(fā)生的概率;RM模式允許司機在規(guī)定的低速 (向前 25 km/h，向后20 km/h)運行，ATP發(fā)現(xiàn)道岔異常時，只允許RM模式，保證此時列車仍能安全運行，從而降低危害發(fā)生的概率。

2.7 符合性證實

采取以上措施后，可大大降低危害發(fā)生的概率，其頻度可降低至“難以置信的”，其剩余風險為“容許的”，剩余風險值為4，所以該項危害的剩余風險在可接受范圍。

表2 備選方案列表

圖3 運行權(quán)限錯誤的事件樹 (2)

3 結(jié)論

采用七階段法對系統(tǒng)風險進行階段性、條理性地分析，可最大限度地找出危害的原因，以便有針對性地提出控制措施，有助于及時發(fā)現(xiàn)系統(tǒng)設計缺陷，并進行修正，對于系統(tǒng)安全設計有非常重要的指導意義。

［1］戎珈，姜尚．共因失效在地鐵聯(lián)鎖系統(tǒng)可靠性分析中的應用［J］．計算機與現(xiàn)代化.2010，(3).

［2］宋紅霞、王玉松、王利鋒、況長虹.列車自動防護系統(tǒng)安全計算機可靠性與安全性分析［J］．工業(yè)控制計算機，2008，21(1)

［3］ISBN 978-0-9551435-2-6.Engineering Safety Management(The Yellow Book).

［4］EN 50126：1999.鐵路應用-軌道交通可靠性、可用性、可維護性和安全性規(guī)范及展示［S］.1999.

［5］EN 50129：2003.鐵路應用-用于信號的安全相關(guān)的電子系統(tǒng)［S］.2003.

Abstract:This paper is based on a project of distance-to-go mode ATP system and describes the application of seven-stage process risk assessment method．Combined with fault tree analysis and event tree analysis，this paper detailed analyzed certain hazards of onboard ATP control unit in the ATP system of distance-to-go mode．

Key words:Safety;Fault Tree Analysis;Event Tree Analysis;Seven-stage

2013-05-10

(責任編輯：諸 紅)