付世亮

(中車浦鎮(zhèn)龐巴迪運輸系統(tǒng)有限公司，241060，蕪湖//工程師)

與常規(guī)的軌道交通相比，全自動運行的軌道交通系統(tǒng)更強調(diào)系統(tǒng)的可用性和安全性，要求關(guān)鍵運行設(shè)備采用冗余設(shè)計，減少運行故障，并在滿足系統(tǒng)正常運行的前提下，具備較強的抗干擾能力及故障恢復(fù)能力。因此，針對全自動運行線路車輛系統(tǒng)的安全也提出了新的需求。

國際標準IEC 61508—2010[1]和歐洲電工標準化委員會(CENELEC)制定的EN 50126-1—2017[2]、CLC/TR 50126-2—2007[3]、EN 50657—2017[4]等鐵路安全防護標準都提出了安全相關(guān)系統(tǒng)的“安全完整性等級(Safety Integrity Level,簡稱SIL)”概念。目前軌道交通行業(yè)非全自動運行系統(tǒng)中，主要圍繞信號系統(tǒng)中涉及的安全功能提出了SIL要求。信號系統(tǒng)主要基于風(fēng)險圖方法來確認系統(tǒng)的SIL[5]。

本文通過對軌道交通車輛系統(tǒng)的風(fēng)險辨識、安全功能、安全完整性、安全要求等方面的內(nèi)在聯(lián)系進行分析，提出了一種基于風(fēng)險圖進行車輛系統(tǒng)SIL分配的方法。

1 安全完整性等級(SIL)

IEC 61508—2010標準將SIL定義為一種離散的等級，共有4種可能等級，分別對應(yīng)不同的安全完整性量值范圍。其中：安全完整性等級4(SIL4)最高，安全完整性等級1(SIL1)最低。EN 50126-1—2017和EN 50657—2017則是將SIL定義為多種離散的等級，用于指定相關(guān)功能的安全完整性要求，以便分配給與之相關(guān)的安全系統(tǒng)。

SIL的定義[6]可以概括為3個方面：安全功能、定量指標、SIL的分配。因此，SIL不僅是安全相關(guān)系統(tǒng)開發(fā)、設(shè)計的要求，也是安全相關(guān)系統(tǒng)評價的依據(jù)。

1. 1 SIL的安全功能

唯一確保安全的功能是安全功能。安全相關(guān)功能是一種系統(tǒng)失效影響安全的功能，因此，所有安全功能都是與安全相關(guān)的，反之亦然。

目前，軌道交通車輛系統(tǒng)安全功能識別方法有3種：

1) 常規(guī)方法：通過識別危害清單進行風(fēng)險分析，從而確認其安全功能。主要的風(fēng)險識別方法包括初步危害分析(PHA)、危害與可操作性分析(HAZOP)、失效模式及影響(FMEA)、檢查表等。但是，常規(guī)的識別方法主要依靠人的主觀判定和經(jīng)驗，如通過頭腦風(fēng)暴法、專家評審法等進行識別。由于分析人員分析經(jīng)驗及主觀判定等的局限性，造成安全功能識別的不完整，或安全判定存在偏差。針對此問題，可采用工程文件及歷史故障經(jīng)驗梳理相結(jié)合的方式，全面、完整地識別出軌道交通車輛系統(tǒng)的安全功能。

2) 根據(jù)工程文件確定安全功能。運用需求管理逐條識別工程文件(技術(shù)合同)中技術(shù)章節(jié)，通過評審識別相應(yīng)的功能需求，梳理出安全功能和非安全功能。例如，軌道交通項目車輛系統(tǒng)的招標文件經(jīng)常要求將車輛制動系統(tǒng)緊急制動功能的安全等級定為SIL4。

3) 根據(jù)車輛系統(tǒng)的歷史經(jīng)驗確定安全功能。由于軌道交通車輛系統(tǒng)并非是全新設(shè)計，而是在以往項目的基礎(chǔ)上進行改建或優(yōu)化，因此，可以直接使用以前項目確認的安全功能或者過往項目的涉及到安全的故障信息，用以確定車輛系統(tǒng)的安全功能。

通過以上3種方法分析或識別軌道交通車輛的安全功能后，再進行交叉檢驗和完整性確認，則可全面地識別出軌道交通車輛系統(tǒng)的安全功能。

1. 2 SIL的定量指標

安全完整性是在規(guī)定時間段內(nèi)和規(guī)定條件下，安全相關(guān)系統(tǒng)成功執(zhí)行規(guī)定安全功能的概率。安全完整性越高，安全相關(guān)系統(tǒng)未能按要求執(zhí)行規(guī)定的安全功能或未能實現(xiàn)規(guī)定狀態(tài)的概率就越低。安全完整性由硬件安全完整性和系統(tǒng)性安全完整性共同構(gòu)成。

IEC 61508—2010定義了電氣/電子/可編程電子類安全相關(guān)系統(tǒng)的功能安全，可應(yīng)用在電子、宇航、汽車、原子能、化工、冶金等多個領(lǐng)域。該標準定義了4個級別的SIL，并對“要求時危險失效平均概率”(PFDavg)這一指標進行了量化。

鐵路安全防護標準EN 50126-1—2017則定義了“每個功能可容忍故障率”(TFFR)的概念。表1是SIL與失效概率的對應(yīng)關(guān)系[2]。

表1 SIL與失效概率的對應(yīng)關(guān)系

通過表1對PFDavg和TFFR進行對比可以看出，IEC 61508—2010同樣適用于軌道交通行業(yè)，但在進行具體的應(yīng)用時，需要結(jié)合EN 50126-1—2017對參數(shù)進行優(yōu)化。

1. 3 SIL的分配方法

IEC 61508—2010推薦以風(fēng)險圖法作為SIL的分配方法。風(fēng)險圖法最早源于德國的安全標準，主要用于考察對人員造成的影響。德國高鐵監(jiān)管部門基于風(fēng)險圖方法，也制定了可用于確定軌道交通各系統(tǒng)SIL等級的方法。

基于定性和基于分級的方法，采用可能性、后果、處于危險區(qū)域的時間(暴露時間、暴露頻率)和避免危害事件的可能性等4個參數(shù)來確定安全完整性水平。每一個參數(shù)都已有相應(yīng)的分級標準，具體定義如下：

1) 后果用C表示。基中：C1表示發(fā)生人員輕微傷害的事件；C2表示造成對1人以上造成嚴重的永久性傷害或個人死亡的事件；C3表示造成多人死亡的重大事件；C4表示造成非常多人死亡的嚴重事件。

2) 危害區(qū)域的頻率和暴露時間：用F表示。其中：F1表示很少在危害區(qū)域暴露；F2表示經(jīng)常在危害區(qū)域長期暴露。

3) 避免危害事件的可能性：用P表示。其中：P1表示在某些情況下可能；P2表示幾乎不可能；

4) 不期望事件發(fā)生的概率：用W表示。其中：W1表示非常低，即有害事件發(fā)生的可能性非常小，只有少數(shù)有害事件可能發(fā)生；W2表示低，即有害事件發(fā)生的可能性小，有害事件很少發(fā)生；W3表示高，即有害事件發(fā)生的可能性相當(dāng)高，可能頻繁發(fā)生。

風(fēng)險圖法根據(jù)不同風(fēng)險對人員、環(huán)境和財產(chǎn)的影響程度、發(fā)生頻率等方面，以及人員出現(xiàn)頻率和是否能避免事故發(fā)生等情況，確定SIL等級。圖1為IEC 61508—2010推薦的風(fēng)險圖。

值得注意的是，由于鐵路安全防護標準EN 50126—2017中第E.10條對風(fēng)險圖法的使用存在疑問，特別指出在安全完整性等級中如果采用風(fēng)險圖方法，其參數(shù)和類型中并沒有在軌道交通行業(yè)內(nèi)達成一致。

但是僅從軌道交通車輛系統(tǒng)角度看，車輛系統(tǒng)的復(fù)雜程度遠低于整個軌道交通系統(tǒng)，而且，因車輛系統(tǒng)造成的危害場景和后果可以通過分析進行預(yù)判。因此，本文認為通過對風(fēng)險圖中4個參數(shù)和SIL定量指標的校核，風(fēng)險圖法可用于軌道交通車輛系統(tǒng)進行SIL分配，并可確定車輛系統(tǒng)各安全功能的SIL。

圖1 IEC 61508—2010推薦的風(fēng)險圖

2 軌道交通車輛系統(tǒng)SIL分配的過程

城市軌道交通車輛系統(tǒng)是集合機械、電氣、通信于一體的綜合系統(tǒng)，各部分通過連接共同完成車輛系統(tǒng)的功能和安全功能。通常根據(jù)功能和物理架構(gòu)將車輛系統(tǒng)分為多個子系統(tǒng)，如：車體、車體外部設(shè)備、車門、轉(zhuǎn)向架、車內(nèi)設(shè)備、空調(diào)系統(tǒng)、牽引輔助系統(tǒng)、制動系統(tǒng)、乘客信息系統(tǒng)、列車信息系統(tǒng)、防火安全系統(tǒng)等。針對車輛系統(tǒng)組成的復(fù)雜程度，在進行安全完整性等級分析時，需要從車輛系統(tǒng)頂層功能識別開始，直到明確各子系統(tǒng)/子功能的安全要求。整個SIL分配過程流程圖如圖2所示。

2. 1 車輛系統(tǒng)安全功能識別

軌道交通項目車輛系統(tǒng)的招標文件(客戶的技術(shù)規(guī)格書)中給出了部分功能需求。首先對車輛系統(tǒng)中相關(guān)功能并且可由E/E/PE執(zhí)行的功能進行識別，再結(jié)合歷史經(jīng)驗和工程經(jīng)驗進行查漏補缺。

對客戶的技術(shù)規(guī)格書中功能列表和公司歷史經(jīng)驗進行匯總形成功能列表后，進行交叉檢查和完整性確認，使車輛系統(tǒng)安全功能列表更加完整。

2. 2 危害識別

在進行車輛系統(tǒng)的風(fēng)險分析之前，除了要確認系統(tǒng)安全相關(guān)控制功能之外，還需要對系統(tǒng)可能出現(xiàn)的功能性故障及由于該故障引起的危害進行分析。通常將由于車輛系統(tǒng)故障造成的危害等級分為4級：災(zāi)難性的、嚴重性的、次要的和輕微的。

對IEC 61508—2010和EN 50126-1—2017中嚴重等級的定義進行對比，表2列出2個標準間嚴重級別的關(guān)系。IEC 61508—2010將重大損失分別考慮(C4多人死亡)，這主要是由于IEC 61508—2010還涉及到與化工、核電等行業(yè)。因此，在風(fēng)險圖法參數(shù)“后果C”中需要校核C4的定義。嚴重等級C4只適用于會導(dǎo)致非常極端后果的危害。

圖2 軌道交通車輛系統(tǒng)SIL分配流程圖

2. 3 風(fēng)險圖參數(shù)的校準

IEC推薦的風(fēng)險圖法是一種定性分析方法，各參數(shù)缺少定量的指標。因此需要對風(fēng)檢圖進行校準，為風(fēng)險圖的各參數(shù)進行賦值。因此，給每個參數(shù)分配1個指標或標準定義，使得當(dāng)組合應(yīng)用時，也可以對缺乏特定安全功能下存在的風(fēng)險進行分析。這樣做的其目的是通過某種方法描述所有參數(shù)，使分析人員或團隊能根據(jù)風(fēng)險圖的具體應(yīng)用進行客觀和易于理解的判斷，確保軌道交通車輛系統(tǒng)的SIL符合相應(yīng)的風(fēng)險準則；通過實際應(yīng)用也可進一步驗證參數(shù)選擇的正確性。此外，這樣做還確保了安全功能分配的安全完整性等級符合項目或?qū)嶋H的風(fēng)險標準，并考慮了其他來源的風(fēng)險。因此給每個參數(shù)賦予1個指標或標準定義，也可以對缺乏特定安全功能下存在的風(fēng)險進行分析。表3列出了后果參數(shù)C校準后的分類；表4列出了危害區(qū)域的頻率和暴露時間參數(shù)F校準后的分類；表5列出了避免危害事件的可能性參數(shù)P校準后的分類。表6列出了不期望事件發(fā)生概率W校準后的分類。

表2 EN 50126和IEC 61508嚴重性級別的關(guān)系

表3 后果(C)參數(shù)校準后分類

表4 危害區(qū)域的頻率和暴露時間(F)校準后的分類

表5 避免危害事件的可能性(P)校準后的分類

表6 不期望事件發(fā)生的概率(W)校準后分類

2. 4 車輛系統(tǒng)安全功能SIL分配應(yīng)用

圖3 車輛制動系統(tǒng)的功能框圖

根據(jù)軌道交通車輛功能描述及其定義，確定車輛制動系統(tǒng)的主要功能為：提供減速度和維持車輛靜止?fàn)顟B(tài)。圖3為車輛制動系統(tǒng)頂層的功能框圖。由圖3可以看出,通過對車輛功能的危害分析，“使車輛降速(行車制動)”是制動系統(tǒng)的常規(guī)功能,并不屬于安全功能;“防止故障(監(jiān)測和診斷)”是制動系統(tǒng)的輔助功能,該功能屬于安全功能。車輛制動系統(tǒng)的SIL要求為：①“防止列車超速和相撞(緊急制動)”功能應(yīng)達到SIL4；②“防止故障(監(jiān)測和診斷)”功能應(yīng)達到SIL2；③“施加和釋放駐車制動”的功能應(yīng)達到SIL2；④“提供駐車制動器的狀態(tài)”功能應(yīng)達到SIL1；

據(jù)工程和歷史經(jīng)驗，車輛制動系統(tǒng)在完成提供減速度時，“緊急制動”功能獨立運行，且與行車制動并行。因此，將SIL4的要求分配在這2種功能之間。

分析和梳理車輛制動系統(tǒng)的子功能，包含了獲取制動需求、優(yōu)先考慮制動需求并選擇制動模式、分配制動力、施加和緩解制動力、提供車輪滑行保護等方面。根據(jù)“防止列車超速和相撞(緊急制動)”功能應(yīng)達到SIL4的要求，這些子功能的實現(xiàn)方式至少需要1條路徑達到SIL4才能滿足要求。

基于各子功能架構(gòu)描述和確定邊界，分析得到制動系統(tǒng)各子功能的安全完整性等級要求為：①獲取制動需求：“分配制動力的列車線路徑”功能應(yīng)達到SIL4，或TFFR<1×10-8/h(列車線獨立于列車控制與管理系統(tǒng)、制動控制單元和牽引控制單元)；②分配制動力：“緊急制動閥施加100%制動力(超越制動控制單元的命令)和牽引控制單元用以打開高速斷路器(抑制和取消了電制動)”功能應(yīng)達到SIL4，或TFFR<1×10-8/h；③施加和緩解制動力：“施加制動力(緊急制動閥)的列車線路徑”功能應(yīng)達SIL4，或TFFR<1×10-8/h(緊急制動閥的激活和功能獨立于制動控制單元和牽引控制單元)；④提供車輪滑行保護：電制動和空氣制動不會在同一轉(zhuǎn)向架上并行工作，“車輛滑行的時候切除電制動僅保留空氣制動的硬件路徑”功能應(yīng)達到SIL4，或TFFR<1×10-8/h。

全自動運行系統(tǒng)中車輛系統(tǒng)承擔(dān)的功能與整個運行系統(tǒng)的功能目標、安全功能分配、與其他系統(tǒng)的接口等密切相關(guān)，應(yīng)從工程項目和系統(tǒng)角度出發(fā)對具體的車輛系統(tǒng)進行系統(tǒng)性的分析。

3 結(jié)語

城市軌道交通車輛系統(tǒng)安全完整性SIL的研究可為全自動運行系統(tǒng)中的車輛系統(tǒng)安全設(shè)計及評估提供依據(jù)。在新建項目的設(shè)計中，更需要識別安全功能及SIL的定量分析和項目特定應(yīng)用的安全評估。針對全自動運行系統(tǒng)的其他核心設(shè)備，如綜合監(jiān)控、通信、站臺門等，同樣適用基于風(fēng)險圖法來確定系統(tǒng)的SIL。