(中車株洲電力機(jī)車有限公司產(chǎn)品研發(fā)中心，湖南 株洲 412000)

0 引言

軌道交通車輛安全的重要性不言而喻，很多風(fēng)險(xiǎn)直接關(guān)乎人員傷亡與財(cái)產(chǎn)損失。如2011年國內(nèi)某地發(fā)生的動車組追尾事故，直接導(dǎo)致多人傷亡，直接財(cái)產(chǎn)損失近2億元。經(jīng)事后分析，該次事故是因列控中心設(shè)備存在嚴(yán)重設(shè)計(jì)缺陷、上道使用審查把關(guān)不嚴(yán)、雷擊導(dǎo)致設(shè)備故障后應(yīng)急處置不力等因素造成的。為避免因車輛缺陷導(dǎo)致的此次事故的再次發(fā)生，針對軌道交通車輛關(guān)鍵子系統(tǒng)的安全性分析就發(fā)揮著至關(guān)重要的作用。

軌道交通車輛關(guān)鍵子系統(tǒng)是安全性分析的主體，各類故障、事故都是安全性分析的對象。其中，最嚴(yán)重的故障是設(shè)計(jì)缺陷，這種故障的特征是單元出故障的時(shí)間和條件不可預(yù)見，故障率高于預(yù)期的可靠性設(shè)計(jì)目標(biāo)。設(shè)計(jì)缺陷通常需要糾正措施來改進(jìn)，而制造缺陷則意味著需要更好的工藝或質(zhì)量控制方法。在軌道交通車輛整車系統(tǒng)中，關(guān)鍵子系統(tǒng)包括制動系統(tǒng)、牽引系統(tǒng)、控制系統(tǒng)、車鉤、轉(zhuǎn)向架、車門等。以車門為例，對于載客的軌道車輛，若車門故障，可能導(dǎo)致車輛在運(yùn)行的過程中開門，使乘客意外跌落車外；還可能導(dǎo)致車輛內(nèi)部起火的時(shí)候，乘客無法逃生等安全事故。

1 風(fēng)險(xiǎn)評估矩陣

風(fēng)險(xiǎn)評估是進(jìn)行安全性分析的基本信息，一般由危險(xiǎn)所造成后果的嚴(yán)重性和發(fā)生的可能性來衡量危險(xiǎn)的風(fēng)險(xiǎn)等級。一般情況下，優(yōu)先考慮合同規(guī)定的危險(xiǎn)可能性等級、危險(xiǎn)嚴(yán)重性等級和風(fēng)險(xiǎn)控制矩陣。若合同無明確規(guī)定，則建議依據(jù)EN 50126-1(2017)標(biāo)準(zhǔn)，參考如下風(fēng)險(xiǎn)評估的矩陣方式，其中，表1～表4作為危險(xiǎn)評估的準(zhǔn)則。需要說明的是，2017版EN 50126-1標(biāo)準(zhǔn)，較之前的版本有所變更，增加了風(fēng)險(xiǎn)發(fā)生度頻率的量化說明，同時(shí)在危害等級中，增加了對環(huán)境的影響。

根據(jù)表1來評估每個(gè)危險(xiǎn)事件的發(fā)生頻率。

根據(jù)表2來評估每個(gè)危險(xiǎn)事件可能導(dǎo)致的嚴(yán)重性。

根據(jù)事件發(fā)生頻率和事故嚴(yán)重性共同評價(jià)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)矩陣如表3所示。

其中，風(fēng)險(xiǎn)類別定義如表4所示。

表1 風(fēng)險(xiǎn)發(fā)生度頻率

表2 危害等級

表3 風(fēng)險(xiǎn)矩陣

表4 危險(xiǎn)類別定義

2 子系統(tǒng)隱患分析

在開展關(guān)鍵子系統(tǒng)安全性分析時(shí)，需先著手對該系統(tǒng)的功能進(jìn)行全面梳理，識別出該系統(tǒng)與功能相關(guān)的所有安全隱患。需要說明的是，安全隱患與車輛所處的工況和操作模式緊密相關(guān)。圖1為關(guān)鍵系統(tǒng)安全性分析過程簡單介紹，以車門為例。

1)確定功能，如開關(guān)門功能。

2)分析實(shí)現(xiàn)該功能可能發(fā)生的所有風(fēng)險(xiǎn)，如車輛在運(yùn)行時(shí)開門。

3)分析風(fēng)險(xiǎn)發(fā)生的原因及車輛所處的操作模式。原因如：①乘客錯(cuò)誤地操作緊急解鎖裝置。②門控單元失效。③門關(guān)緊與鎖閉狀態(tài)顯示錯(cuò)誤。④緊急解鎖后非安全狀態(tài)下，車輛運(yùn)行中車門突然打開。⑤門控回路失效。操作模式如，整車運(yùn)營。

4)分析風(fēng)險(xiǎn)導(dǎo)致的后果，并評估初始風(fēng)險(xiǎn)等級(包括發(fā)生度頻率、危害等級、風(fēng)險(xiǎn)類別)。后果如，乘客跌落，致乘客受傷或死亡。評估的風(fēng)險(xiǎn)等級見圖1。

5)確定風(fēng)險(xiǎn)減輕措施。如，a)使用警示說明、標(biāo)識，提示乘客不要誤操作；b)在非零速狀態(tài)下，如操作緊急解鎖裝置，開門力不小于300N，且時(shí)間持續(xù)不小于3 min；c)按照EN 50128標(biāo)準(zhǔn)開發(fā)軟件，且進(jìn)行嚴(yán)格測試；d)設(shè)置門鎖好安全回路，并通過EDCU向HMI發(fā)出信號并顯示；e)維保人員按照維修手冊及檢修修程要求，定期開展車門的檢修與保養(yǎng)活動等等。

6)評估殘余風(fēng)險(xiǎn)等級，風(fēng)險(xiǎn)類別至少需為“可允許風(fēng)險(xiǎn)”，否則需重新進(jìn)行分析。評估的風(fēng)險(xiǎn)等級見圖1。

7)將分析結(jié)果轉(zhuǎn)移至風(fēng)險(xiǎn)登記冊，對減輕措施進(jìn)行跟蹤管理。

針對上文中開關(guān)門功能的初步分析評估和殘余風(fēng)險(xiǎn)評估結(jié)果見圖1。該風(fēng)險(xiǎn)的嚴(yán)酷度為4(災(zāi)難)，通過風(fēng)險(xiǎn)減輕措施的實(shí)現(xiàn)，將風(fēng)險(xiǎn)發(fā)生頻率由C(3)級(偶爾)降低到E(5)級(不可能)，則對應(yīng)的風(fēng)險(xiǎn)水平由Ⅰ級(不可允許風(fēng)險(xiǎn))降低為Ⅲ級(可容許風(fēng)險(xiǎn))。

圖1 開關(guān)門功能的風(fēng)險(xiǎn)評估結(jié)果

3 接口隱患分析

接口分析涉及的信息為子系統(tǒng)硬件、軟件、功能和操作使用方面的接口，所有與車輛及其子系統(tǒng)相關(guān)的內(nèi)部及外部接口，一般采用邊界圖或接口矩陣法來發(fā)現(xiàn)接口隱患。本文介紹的為接口矩陣法，接口包括車輛內(nèi)部接口和外部接口。以車門為例，整車一級子系統(tǒng)與車門的內(nèi)部接口矩陣圖見圖2。

圖2整車一級子系統(tǒng)與車門的內(nèi)部接口矩陣圖

車門系統(tǒng)的接口隱患分析示例見表5。

表5車門接口安全性分析示例

4 操作與維護(hù)隱患分析

操作與維護(hù)隱患分析的對象主要是人的操作程序與過程，包含正常操作、誤操作、緊急狀態(tài)、設(shè)計(jì)不當(dāng)?shù)确矫娴碾[患。在隱患確定后，需分析隱患產(chǎn)生的原因及影響，最終提出消除或減輕隱患的措施。車門系統(tǒng)關(guān)于操作與維護(hù)隱患主要是維保人員觸電的風(fēng)險(xiǎn)。因維保人員誤操作，導(dǎo)致被點(diǎn)擊或受試，因此，分析要求：①車門設(shè)置接觸保護(hù)功能，防止維保人員接觸到帶電裝置。②維保人員在開展車門的維修活動前，車輛需斷電并接地。

5 結(jié)語

實(shí)施子系統(tǒng)安全性分析可以借鑒FMECA及設(shè)計(jì)邏輯等，是驗(yàn)證和確認(rèn)關(guān)鍵子系統(tǒng)架構(gòu)和功能設(shè)計(jì)是否滿足其安全要求的重要方法。在識別了隱患后，需要確定可能造成隱患的原因因素，以便更準(zhǔn)確地評估隱患發(fā)生的可能性，識別降低其發(fā)生可能性的措施。原因分析中需要注意的關(guān)鍵因素包括，識別共因故障模式、故障之間的獨(dú)立性以及原因發(fā)生的邏輯關(guān)系等。