城市軌道交通車輛系統(tǒng)安全完整性等級(jí)分析

付世亮

(中車浦鎮(zhèn)龐巴迪運(yùn)輸系統(tǒng)有限公司，241060，蕪湖//工程師)

與常規(guī)的軌道交通相比，全自動(dòng)運(yùn)行的軌道交通系統(tǒng)更強(qiáng)調(diào)系統(tǒng)的可用性和安全性，要求關(guān)鍵運(yùn)行設(shè)備采用冗余設(shè)計(jì)，減少運(yùn)行故障，并在滿足系統(tǒng)正常運(yùn)行的前提下，具備較強(qiáng)的抗干擾能力及故障恢復(fù)能力。因此，針對(duì)全自動(dòng)運(yùn)行線路車輛系統(tǒng)的安全也提出了新的需求。

國際標(biāo)準(zhǔn)IEC 61508—2010[1]和歐洲電工標(biāo)準(zhǔn)化委員會(huì)(CENELEC)制定的EN 50126-1—2017[2]、CLC/TR 50126-2—2007[3]、EN 50657—2017[4]等鐵路安全防護(hù)標(biāo)準(zhǔn)都提出了安全相關(guān)系統(tǒng)的“安全完整性等級(jí)(Safety Integrity Level,簡稱SIL)”概念。目前軌道交通行業(yè)非全自動(dòng)運(yùn)行系統(tǒng)中，主要圍繞信號(hào)系統(tǒng)中涉及的安全功能提出了SIL要求。信號(hào)系統(tǒng)主要基于風(fēng)險(xiǎn)圖方法來確認(rèn)系統(tǒng)的SIL[5]。

本文通過對(duì)軌道交通車輛系統(tǒng)的風(fēng)險(xiǎn)辨識(shí)、安全功能、安全完整性、安全要求等方面的內(nèi)在聯(lián)系進(jìn)行分析，提出了一種基于風(fēng)險(xiǎn)圖進(jìn)行車輛系統(tǒng)SIL分配的方法。

1 安全完整性等級(jí)(SIL)

IEC 61508—2010標(biāo)準(zhǔn)將SIL定義為一種離散的等級(jí)，共有4種可能等級(jí)，分別對(duì)應(yīng)不同的安全完整性量值范圍。其中：安全完整性等級(jí)4(SIL4)最高，安全完整性等級(jí)1(SIL1)最低。EN 50126-1—2017和EN 50657—2017則是將SIL定義為多種離散的等級(jí)，用于指定相關(guān)功能的安全完整性要求，以便分配給與之相關(guān)的安全系統(tǒng)。

SIL的定義[6]可以概括為3個(gè)方面：安全功能、定量指標(biāo)、SIL的分配。因此，SIL不僅是安全相關(guān)系統(tǒng)開發(fā)、設(shè)計(jì)的要求，也是安全相關(guān)系統(tǒng)評(píng)價(jià)的依據(jù)。

1. 1 SIL的安全功能

唯一確保安全的功能是安全功能。安全相關(guān)功能是一種系統(tǒng)失效影響安全的功能，因此，所有安全功能都是與安全相關(guān)的，反之亦然。

目前，軌道交通車輛系統(tǒng)安全功能識(shí)別方法有3種：

1) 常規(guī)方法：通過識(shí)別危害清單進(jìn)行風(fēng)險(xiǎn)分析，從而確認(rèn)其安全功能。主要的風(fēng)險(xiǎn)識(shí)別方法包括初步危害分析(PHA)、危害與可操作性分析(HAZOP)、失效模式及影響(FMEA)、檢查表等。但是，常規(guī)的識(shí)別方法主要依靠人的主觀判定和經(jīng)驗(yàn)，如通過頭腦風(fēng)暴法、專家評(píng)審法等進(jìn)行識(shí)別。由于分析人員分析經(jīng)驗(yàn)及主觀判定等的局限性，造成安全功能識(shí)別的不完整，或安全判定存在偏差。針對(duì)此問題，可采用工程文件及歷史故障經(jīng)驗(yàn)梳理相結(jié)合的方式，全面、完整地識(shí)別出軌道交通車輛系統(tǒng)的安全功能。

2) 根據(jù)工程文件確定安全功能。運(yùn)用需求管理逐條識(shí)別工程文件(技術(shù)合同)中技術(shù)章節(jié)，通過評(píng)審識(shí)別相應(yīng)的功能需求，梳理出安全功能和非安全功能。例如，軌道交通項(xiàng)目車輛系統(tǒng)的招標(biāo)文件經(jīng)常要求將車輛制動(dòng)系統(tǒng)緊急制動(dòng)功能的安全等級(jí)定為SIL4。

3) 根據(jù)車輛系統(tǒng)的歷史經(jīng)驗(yàn)確定安全功能。由于軌道交通車輛系統(tǒng)并非是全新設(shè)計(jì)，而是在以往項(xiàng)目的基礎(chǔ)上進(jìn)行改建或優(yōu)化，因此，可以直接使用以前項(xiàng)目確認(rèn)的安全功能或者過往項(xiàng)目的涉及到安全的故障信息，用以確定車輛系統(tǒng)的安全功能。

通過以上3種方法分析或識(shí)別軌道交通車輛的安全功能后，再進(jìn)行交叉檢驗(yàn)和完整性確認(rèn)，則可全面地識(shí)別出軌道交通車輛系統(tǒng)的安全功能。

1. 2 SIL的定量指標(biāo)

安全完整性是在規(guī)定時(shí)間段內(nèi)和規(guī)定條件下，安全相關(guān)系統(tǒng)成功執(zhí)行規(guī)定安全功能的概率。安全完整性越高，安全相關(guān)系統(tǒng)未能按要求執(zhí)行規(guī)定的安全功能或未能實(shí)現(xiàn)規(guī)定狀態(tài)的概率就越低。安全完整性由硬件安全完整性和系統(tǒng)性安全完整性共同構(gòu)成。

IEC 61508—2010定義了電氣/電子/可編程電子類安全相關(guān)系統(tǒng)的功能安全，可應(yīng)用在電子、宇航、汽車、原子能、化工、冶金等多個(gè)領(lǐng)域。該標(biāo)準(zhǔn)定義了4個(gè)級(jí)別的SIL，并對(duì)“要求時(shí)危險(xiǎn)失效平均概率”(PFDavg)這一指標(biāo)進(jìn)行了量化。

鐵路安全防護(hù)標(biāo)準(zhǔn)EN 50126-1—2017則定義了“每個(gè)功能可容忍故障率”(TFFR)的概念。表1是SIL與失效概率的對(duì)應(yīng)關(guān)系[2]。

表1 SIL與失效概率的對(duì)應(yīng)關(guān)系

通過表1對(duì)PFDavg和TFFR進(jìn)行對(duì)比可以看出，IEC 61508—2010同樣適用于軌道交通行業(yè)，但在進(jìn)行具體的應(yīng)用時(shí)，需要結(jié)合EN 50126-1—2017對(duì)參數(shù)進(jìn)行優(yōu)化。

1. 3 SIL的分配方法

IEC 61508—2010推薦以風(fēng)險(xiǎn)圖法作為SIL的分配方法。風(fēng)險(xiǎn)圖法最早源于德國的安全標(biāo)準(zhǔn)，主要用于考察對(duì)人員造成的影響。德國高鐵監(jiān)管部門基于風(fēng)險(xiǎn)圖方法，也制定了可用于確定軌道交通各系統(tǒng)SIL等級(jí)的方法。

基于定性和基于分級(jí)的方法，采用可能性、后果、處于危險(xiǎn)區(qū)域的時(shí)間(暴露時(shí)間、暴露頻率)和避免危害事件的可能性等4個(gè)參數(shù)來確定安全完整性水平。每一個(gè)參數(shù)都已有相應(yīng)的分級(jí)標(biāo)準(zhǔn)，具體定義如下：

1) 后果用C表示?；校篊1表示發(fā)生人員輕微傷害的事件；C2表示造成對(duì)1人以上造成嚴(yán)重的永久性傷害或個(gè)人死亡的事件；C3表示造成多人死亡的重大事件；C4表示造成非常多人死亡的嚴(yán)重事件。

2) 危害區(qū)域的頻率和暴露時(shí)間：用F表示。其中：F1表示很少在危害區(qū)域暴露；F2表示經(jīng)常在危害區(qū)域長期暴露。

3) 避免危害事件的可能性：用P表示。其中：P1表示在某些情況下可能；P2表示幾乎不可能；

4) 不期望事件發(fā)生的概率：用W表示。其中：W1表示非常低，即有害事件發(fā)生的可能性非常小，只有少數(shù)有害事件可能發(fā)生；W2表示低，即有害事件發(fā)生的可能性小，有害事件很少發(fā)生；W3表示高，即有害事件發(fā)生的可能性相當(dāng)高，可能頻繁發(fā)生。

風(fēng)險(xiǎn)圖法根據(jù)不同風(fēng)險(xiǎn)對(duì)人員、環(huán)境和財(cái)產(chǎn)的影響程度、發(fā)生頻率等方面，以及人員出現(xiàn)頻率和是否能避免事故發(fā)生等情況，確定SIL等級(jí)。圖1為IEC 61508—2010推薦的風(fēng)險(xiǎn)圖。

值得注意的是，由于鐵路安全防護(hù)標(biāo)準(zhǔn)EN 50126—2017中第E.10條對(duì)風(fēng)險(xiǎn)圖法的使用存在疑問，特別指出在安全完整性等級(jí)中如果采用風(fēng)險(xiǎn)圖方法，其參數(shù)和類型中并沒有在軌道交通行業(yè)內(nèi)達(dá)成一致。

但是僅從軌道交通車輛系統(tǒng)角度看，車輛系統(tǒng)的復(fù)雜程度遠(yuǎn)低于整個(gè)軌道交通系統(tǒng)，而且，因車輛系統(tǒng)造成的危害場(chǎng)景和后果可以通過分析進(jìn)行預(yù)判。因此，本文認(rèn)為通過對(duì)風(fēng)險(xiǎn)圖中4個(gè)參數(shù)和SIL定量指標(biāo)的校核，風(fēng)險(xiǎn)圖法可用于軌道交通車輛系統(tǒng)進(jìn)行SIL分配，并可確定車輛系統(tǒng)各安全功能的SIL。

圖1 IEC 61508—2010推薦的風(fēng)險(xiǎn)圖

2 軌道交通車輛系統(tǒng)SIL分配的過程

城市軌道交通車輛系統(tǒng)是集合機(jī)械、電氣、通信于一體的綜合系統(tǒng)，各部分通過連接共同完成車輛系統(tǒng)的功能和安全功能。通常根據(jù)功能和物理架構(gòu)將車輛系統(tǒng)分為多個(gè)子系統(tǒng)，如：車體、車體外部設(shè)備、車門、轉(zhuǎn)向架、車內(nèi)設(shè)備、空調(diào)系統(tǒng)、牽引輔助系統(tǒng)、制動(dòng)系統(tǒng)、乘客信息系統(tǒng)、列車信息系統(tǒng)、防火安全系統(tǒng)等。針對(duì)車輛系統(tǒng)組成的復(fù)雜程度，在進(jìn)行安全完整性等級(jí)分析時(shí)，需要從車輛系統(tǒng)頂層功能識(shí)別開始，直到明確各子系統(tǒng)/子功能的安全要求。整個(gè)SIL分配過程流程圖如圖2所示。

2. 1 車輛系統(tǒng)安全功能識(shí)別

軌道交通項(xiàng)目車輛系統(tǒng)的招標(biāo)文件(客戶的技術(shù)規(guī)格書)中給出了部分功能需求。首先對(duì)車輛系統(tǒng)中相關(guān)功能并且可由E/E/PE執(zhí)行的功能進(jìn)行識(shí)別，再結(jié)合歷史經(jīng)驗(yàn)和工程經(jīng)驗(yàn)進(jìn)行查漏補(bǔ)缺。

對(duì)客戶的技術(shù)規(guī)格書中功能列表和公司歷史經(jīng)驗(yàn)進(jìn)行匯總形成功能列表后，進(jìn)行交叉檢查和完整性確認(rèn)，使車輛系統(tǒng)安全功能列表更加完整。

2. 2 危害識(shí)別

在進(jìn)行車輛系統(tǒng)的風(fēng)險(xiǎn)分析之前，除了要確認(rèn)系統(tǒng)安全相關(guān)控制功能之外，還需要對(duì)系統(tǒng)可能出現(xiàn)的功能性故障及由于該故障引起的危害進(jìn)行分析。通常將由于車輛系統(tǒng)故障造成的危害等級(jí)分為4級(jí)：災(zāi)難性的、嚴(yán)重性的、次要的和輕微的。

對(duì)IEC 61508—2010和EN 50126-1—2017中嚴(yán)重等級(jí)的定義進(jìn)行對(duì)比，表2列出2個(gè)標(biāo)準(zhǔn)間嚴(yán)重級(jí)別的關(guān)系。IEC 61508—2010將重大損失分別考慮(C4多人死亡)，這主要是由于IEC 61508—2010還涉及到與化工、核電等行業(yè)。因此，在風(fēng)險(xiǎn)圖法參數(shù)“后果C”中需要校核C4的定義。嚴(yán)重等級(jí)C4只適用于會(huì)導(dǎo)致非常極端后果的危害。

圖2 軌道交通車輛系統(tǒng)SIL分配流程圖

2. 3 風(fēng)險(xiǎn)圖參數(shù)的校準(zhǔn)

IEC推薦的風(fēng)險(xiǎn)圖法是一種定性分析方法，各參數(shù)缺少定量的指標(biāo)。因此需要對(duì)風(fēng)檢圖進(jìn)行校準(zhǔn)，為風(fēng)險(xiǎn)圖的各參數(shù)進(jìn)行賦值。因此，給每個(gè)參數(shù)分配1個(gè)指標(biāo)或標(biāo)準(zhǔn)定義，使得當(dāng)組合應(yīng)用時(shí)，也可以對(duì)缺乏特定安全功能下存在的風(fēng)險(xiǎn)進(jìn)行分析。這樣做的其目的是通過某種方法描述所有參數(shù)，使分析人員或團(tuán)隊(duì)能根據(jù)風(fēng)險(xiǎn)圖的具體應(yīng)用進(jìn)行客觀和易于理解的判斷，確保軌道交通車輛系統(tǒng)的SIL符合相應(yīng)的風(fēng)險(xiǎn)準(zhǔn)則；通過實(shí)際應(yīng)用也可進(jìn)一步驗(yàn)證參數(shù)選擇的正確性。此外，這樣做還確保了安全功能分配的安全完整性等級(jí)符合項(xiàng)目或?qū)嶋H的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，并考慮了其他來源的風(fēng)險(xiǎn)。因此給每個(gè)參數(shù)賦予1個(gè)指標(biāo)或標(biāo)準(zhǔn)定義，也可以對(duì)缺乏特定安全功能下存在的風(fēng)險(xiǎn)進(jìn)行分析。表3列出了后果參數(shù)C校準(zhǔn)后的分類；表4列出了危害區(qū)域的頻率和暴露時(shí)間參數(shù)F校準(zhǔn)后的分類；表5列出了避免危害事件的可能性參數(shù)P校準(zhǔn)后的分類。表6列出了不期望事件發(fā)生概率W校準(zhǔn)后的分類。

表2 EN 50126和IEC 61508嚴(yán)重性級(jí)別的關(guān)系

表3 后果(C)參數(shù)校準(zhǔn)后分類

表4 危害區(qū)域的頻率和暴露時(shí)間(F)校準(zhǔn)后的分類

表5 避免危害事件的可能性(P)校準(zhǔn)后的分類

表6 不期望事件發(fā)生的概率(W)校準(zhǔn)后分類

2. 4 車輛系統(tǒng)安全功能SIL分配應(yīng)用

圖3 車輛制動(dòng)系統(tǒng)的功能框圖

根據(jù)軌道交通車輛功能描述及其定義，確定車輛制動(dòng)系統(tǒng)的主要功能為：提供減速度和維持車輛靜止?fàn)顟B(tài)。圖3為車輛制動(dòng)系統(tǒng)頂層的功能框圖。由圖3可以看出,通過對(duì)車輛功能的危害分析，“使車輛降速(行車制動(dòng))”是制動(dòng)系統(tǒng)的常規(guī)功能,并不屬于安全功能;“防止故障(監(jiān)測(cè)和診斷)”是制動(dòng)系統(tǒng)的輔助功能,該功能屬于安全功能。車輛制動(dòng)系統(tǒng)的SIL要求為：①“防止列車超速和相撞(緊急制動(dòng))”功能應(yīng)達(dá)到SIL4；②“防止故障(監(jiān)測(cè)和診斷)”功能應(yīng)達(dá)到SIL2；③“施加和釋放駐車制動(dòng)”的功能應(yīng)達(dá)到SIL2；④“提供駐車制動(dòng)器的狀態(tài)”功能應(yīng)達(dá)到SIL1；

據(jù)工程和歷史經(jīng)驗(yàn)，車輛制動(dòng)系統(tǒng)在完成提供減速度時(shí)，“緊急制動(dòng)”功能獨(dú)立運(yùn)行，且與行車制動(dòng)并行。因此，將SIL4的要求分配在這2種功能之間。

分析和梳理車輛制動(dòng)系統(tǒng)的子功能，包含了獲取制動(dòng)需求、優(yōu)先考慮制動(dòng)需求并選擇制動(dòng)模式、分配制動(dòng)力、施加和緩解制動(dòng)力、提供車輪滑行保護(hù)等方面。根據(jù)“防止列車超速和相撞(緊急制動(dòng))”功能應(yīng)達(dá)到SIL4的要求，這些子功能的實(shí)現(xiàn)方式至少需要1條路徑達(dá)到SIL4才能滿足要求。

基于各子功能架構(gòu)描述和確定邊界，分析得到制動(dòng)系統(tǒng)各子功能的安全完整性等級(jí)要求為：①獲取制動(dòng)需求：“分配制動(dòng)力的列車線路徑”功能應(yīng)達(dá)到SIL4，或TFFR<1×10-8/h(列車線獨(dú)立于列車控制與管理系統(tǒng)、制動(dòng)控制單元和牽引控制單元)；②分配制動(dòng)力：“緊急制動(dòng)閥施加100%制動(dòng)力(超越制動(dòng)控制單元的命令)和牽引控制單元用以打開高速斷路器(抑制和取消了電制動(dòng))”功能應(yīng)達(dá)到SIL4，或TFFR<1×10-8/h；③施加和緩解制動(dòng)力：“施加制動(dòng)力(緊急制動(dòng)閥)的列車線路徑”功能應(yīng)達(dá)SIL4，或TFFR<1×10-8/h(緊急制動(dòng)閥的激活和功能獨(dú)立于制動(dòng)控制單元和牽引控制單元)；④提供車輪滑行保護(hù)：電制動(dòng)和空氣制動(dòng)不會(huì)在同一轉(zhuǎn)向架上并行工作，“車輛滑行的時(shí)候切除電制動(dòng)僅保留空氣制動(dòng)的硬件路徑”功能應(yīng)達(dá)到SIL4，或TFFR<1×10-8/h。

全自動(dòng)運(yùn)行系統(tǒng)中車輛系統(tǒng)承擔(dān)的功能與整個(gè)運(yùn)行系統(tǒng)的功能目標(biāo)、安全功能分配、與其他系統(tǒng)的接口等密切相關(guān)，應(yīng)從工程項(xiàng)目和系統(tǒng)角度出發(fā)對(duì)具體的車輛系統(tǒng)進(jìn)行系統(tǒng)性的分析。

3 結(jié)語

城市軌道交通車輛系統(tǒng)安全完整性SIL的研究可為全自動(dòng)運(yùn)行系統(tǒng)中的車輛系統(tǒng)安全設(shè)計(jì)及評(píng)估提供依據(jù)。在新建項(xiàng)目的設(shè)計(jì)中，更需要識(shí)別安全功能及SIL的定量分析和項(xiàng)目特定應(yīng)用的安全評(píng)估。針對(duì)全自動(dòng)運(yùn)行系統(tǒng)的其他核心設(shè)備，如綜合監(jiān)控、通信、站臺(tái)門等，同樣適用基于風(fēng)險(xiǎn)圖法來確定系統(tǒng)的SIL。