常呂國，高慧麗，周 偉，彭 勇

（1.中車青島四方機車車輛股份有限公司，山東青島，266111；2.中南大學交通運輸工程學院，軌道交通安全教育部重點實驗室，湖南長沙，410075）

“安全第一，預防為主”[1]是鐵路運輸經(jīng)年不變的行業(yè)準則，對軌道交通車輛系統(tǒng)進行獨立安全評估，越來越在行業(yè)中得到推廣。歐盟鐵路發(fā)達國家及美國鐵路主要采用基于風險的安全管理[2]，將獨立安全評估作為事先安全預防管理的重要手段。在法律法規(guī)比較完整的部分歐洲國家，獨立安全評估已成為管理軌道交通安全的重要手段[3]，甚至將其強制規(guī)定為軌道交通車輛投入運營的基本前提。這一強制要求不僅在歐洲全面推廣，在很多采用歐標的國家和地區(qū)，如：中東，拉美，東南亞和中國香港、中國臺灣，都已被業(yè)內(nèi)廣泛接受。另外，美國的AAR 認證體系也有類似的安全審批要求，俄羅斯的海關(guān)聯(lián)盟認證體系對鐵路系統(tǒng)的安全要求寫入海關(guān)聯(lián)盟技術(shù)法規(guī)CU-TR 系列技術(shù)規(guī)范。近年來，隨著國內(nèi)軌道交通技術(shù)的發(fā)展以及標準的跟進，獨立安全評估越來越在行業(yè)中得到推廣：國內(nèi)從2008 年至2012 年，先后對歐洲獨立安全評估所參考的標準EN50126、EN50128、EN50129等進行了翻譯并形成對應的國家標準[4]。獨立安全評估從信號系統(tǒng)起步，并逐漸成為軌道交通行業(yè)有SIL 要求的產(chǎn)品認證的強制要求[5]，特別是“7.23事件”之后，成為中國鐵路總公司信號系統(tǒng)產(chǎn)品認證的強制要求。在機車車輛領(lǐng)域，獨立安全評估由最初克諾爾制動控制單元軟件故障造成的動車召回進入了行業(yè)視線，并且開始向控制系統(tǒng)逐步推廣，如TCMS 系統(tǒng)等。從2014 年起，國內(nèi)軌道交通運營單位開始對機車車輛整車系統(tǒng)提出了獨立安全評估的要求。目前，隨著城市軌道交通系統(tǒng)的多元化發(fā)展，如市域快速鐵路的發(fā)展、全自動無人駕駛系統(tǒng)的發(fā)展，對軌道交通車輛系統(tǒng)的獨立安全評估需求越來越多。

根據(jù)ISO/IEC 17020《合格評定–各類檢驗機構(gòu)的操作要求標準要求》，檢驗機構(gòu)可能是一個組織或一個組織的一部分，不論是何種形式，從事獨立安全評估工作均必須保證公正性和獨立性[6]。在此背景下，根據(jù)地鐵業(yè)主的要求，通過招標的形式，選擇了業(yè)內(nèi)業(yè)績口碑極好的國際知名獨立安全評估第三方，結(jié)合《C 城地鐵X 號線一、二期工程車輛系統(tǒng)獨立安全評估項目技術(shù)條件》，對C 城地鐵X號線項目車輛系統(tǒng)開展獨立安全評估工作。

1 項目評估簡介

C 城地鐵X 號線項目為時速140 公里的A+型地鐵車輛，在國內(nèi)屬于首次應用。開展獨立安全評估的目的是評估車輛系統(tǒng)的技術(shù)安全、質(zhì)量管理及安全管理與系統(tǒng)安全要求的符合性。通過安全評估和安全審核的活動，評估C 城地鐵X 號線車輛系統(tǒng)安全設(shè)計的完成情況，評估整車、安全子系統(tǒng)和其接口的安全完整性的符合性，評估車輛的風險分析及危害控制過程，以及車輛系統(tǒng)的風險是否處于可接受的狀態(tài)，評估C 城地鐵X 號線車輛系統(tǒng)的安全管理流程與EN50126、EN50129、EN50128 等標準的符合性，并對C 城地鐵X 號線車輛系統(tǒng)開始載客運營的安全準備進行評估。

2 評估范圍

根據(jù)EN 50126 標準定義，獨立安全評估是結(jié)合產(chǎn)品V 生命周期的概念、系統(tǒng)定義、風險分析、系統(tǒng)需求、系統(tǒng)需求分配、設(shè)計和實現(xiàn)、生產(chǎn)、集成、系統(tǒng)確認、系統(tǒng)驗收、運營和維護、系統(tǒng)退出的12 個階段來開展的[7]。

結(jié)合實際情況，C 城地鐵X 號線分為概念階段、設(shè)計階段、生產(chǎn)階段、測試驗證階段4 個階段開展車輛系統(tǒng)獨立安全評估，包含除運營和維護、系統(tǒng)退出以外的產(chǎn)品生命周期1～10 階段，具體如下：

·概念階段：覆蓋EN50126V 生命周期1，2，3，4 階段；

·設(shè)計階段：覆蓋EN50126V 生命周期5，6 階段；

·生產(chǎn)階段：覆蓋EN50126V 生命周期7，8 階段；

·測試驗證階段：覆蓋EN50126V 生命周期9，10 階段。

同時，C 城地鐵X 號線項目的獨立安全評估覆蓋整個車輛系統(tǒng)的安全管理以及RAM管理，涵蓋車輛系統(tǒng)的整車安全以及與行車安全功能相關(guān)的各子系統(tǒng)。包括：

·電氣牽引系統(tǒng)；

·輔助電源系統(tǒng)，包括蓄電池；

·列車控制及監(jiān)控系統(tǒng)；

·制動系統(tǒng)；

·廣播和乘客信息系統(tǒng)；

·空調(diào)系統(tǒng)；

·車體結(jié)構(gòu)（包括貫通道，門，窗，操縱臺和照明等）；

·車鉤及緩沖裝置；

·轉(zhuǎn)向架與輪對；

·火災探測和報警系統(tǒng)；

·車輛與車載信號系統(tǒng)的接口。

此外，根據(jù)合同技術(shù)文件的要求，C 城地鐵X號線車輛系統(tǒng)的獨立安全評估以及安全審核的技術(shù)范圍包括車輛的整車安全以及與行車安全功能相關(guān)的子系統(tǒng)SIL 交叉接受，如：車門控制系統(tǒng)SIL2 級，以及制動控制系統(tǒng)SIL4 級。該項目的安全評估是車輛系統(tǒng)特定應用層面的獨立安全評估，包括各功能安全相關(guān)的子系統(tǒng)特定應用層面的獨立安全評估。不包括這些子系統(tǒng)的通用應用或通用產(chǎn)品層面的評估，這些子系統(tǒng)的功能安全要求涉及的通用產(chǎn)品和通用應用需要供應商進行單獨的獨立安全評估，并獲得獨立安全評估報告和SIL 證書。獨立安全評估第三方對這些子系統(tǒng)的通用產(chǎn)品和通用應用的證書和報告依據(jù)CLC/TR 50506-1 標準進行交叉接受。

3 評估標準及策略

3.1 評估標準

獨立安全評估將主要依據(jù)歐洲電工標準委員會制定的標準方法來執(zhí)行，車輛系統(tǒng)的獨立安全評估主要涉及以下安全相關(guān)標準（在評估過程中，基于隱患登記冊的危害控制措施所采用的軌道交通系統(tǒng)國際標準或國家標準，以及行業(yè)廣泛接受的技術(shù)規(guī)范在此不一一列出）。

·EN 50126 鐵路應用- 可靠性，可用性，可維護性和安全性的規(guī)范和示例（RAMS），1999 年；

·EN 50126-1 鐵路應用- 可靠性，可用性，可維護性和安全性的規(guī)范和示例（RAMS），2017 年；

·EN 50128 鐵路應用- 鐵路控制和保護系統(tǒng)的軟件，2011 年；

·EN 50129 鐵路應用- 信號方面的安全相關(guān)電子系統(tǒng)，2003 年；

·EN 50129 鐵路應用- 信號方面的安全相關(guān)電子系統(tǒng)，2018 年；

·EN 50159 鐵路應用- 通信、信號和處理系統(tǒng)－傳輸系統(tǒng)中安全相關(guān)的通信，2010 年；

·ISO 9001 質(zhì)量管理體系–要求，2015 年；

·IEC 62290 鐵路設(shè)施- 城市自動化有軌運輸系統(tǒng)（AUGT）管理命令及控制系統(tǒng)，2014 年；

·CLC/TR 50506-1 鐵路應用- 通信，信號和過程系統(tǒng)-EN 50129 的應用指導第一部分-交叉接受，2007 年。

3.2 評估策略

獨立安全評估策略依據(jù)EN50126 定義的生命周期對C 城地鐵X 號線車輛系統(tǒng)生命周期各階段所輸出的安全文件開展獨立安全評估，各子系統(tǒng)供應商提供通用產(chǎn)品的安全評估報告及SIL 證書進行交叉接受。

車輛系統(tǒng)的獨立安全評估活動主要有安全評估、安全審核兩個方面的活動：

安全評估：安全評估是一個文檔審核的過程，通過該過程判斷正在開發(fā)的系統(tǒng)相關(guān)的風險是否得到控制并被（或?qū)⒈唬┙档偷角‘數(shù)乃?。本活動主要是文件的審核工作，對系統(tǒng)設(shè)計的技術(shù)安全進行評估。

安全審核：安全審核的目的是檢查車輛開發(fā)、設(shè)計、制造及驗證進行的安全管理活動和質(zhì)量管理活動是充分的，而且嚴格依照系統(tǒng)保證計劃進行了有效的實施。主要是現(xiàn)場的審核工作。此外C 城地鐵X 號線的評估員跟隨整個項目開發(fā)、制造流程，從初步設(shè)計階段直到項目的調(diào)試階段以及進入商業(yè)運營，在評估過程中的評估活動主要通過以下方式進行：

·文檔完整性和技術(shù)一致性的檢查；

·更新文檔的審核；

·質(zhì)量管理及安全管理的現(xiàn)場審核；

·實驗室和現(xiàn)場測試的見證。

4 評估關(guān)注點

4.1 質(zhì)量管理

質(zhì)量管理作為車輛系統(tǒng)安全實現(xiàn)的基礎(chǔ)，在評估中關(guān)注C 城地鐵X 號線車輛系統(tǒng)的質(zhì)量管理及結(jié)果，評估方將根據(jù)項目質(zhì)量管理（含配置管理）的策劃作為項目開展質(zhì)量管理審核活動的依據(jù)。

生產(chǎn)階段的質(zhì)量管理基于本項目質(zhì)量管理計劃開展，對生產(chǎn)階段的質(zhì)量管理進行了質(zhì)量策劃，并有指導生產(chǎn)的技術(shù)/工藝文件、質(zhì)量檢查文件/記錄、人員資質(zhì)要求/記錄、檢驗檢測工具校驗要求/記錄等，以及不合格品和不合格項的管理及改進要求等，以保證質(zhì)量和安全需求實現(xiàn)的持續(xù)性。

4.2 安全管理

安全管理作為車輛系統(tǒng)制造商控制系統(tǒng)性失效的必要措施，是實現(xiàn)車輛系統(tǒng)安全目標的必要手段，獨立安全評估第三方著重對C 城地鐵X 號線車輛系統(tǒng)的安全管理的充分性及完整性進行評估。

評估方重點關(guān)注車輛系統(tǒng)制造商在項目生命周期各階段貫徹項目安全管理計劃要求的情況，根據(jù)生命周期的各階段定義了相關(guān)的RAMS 管理活動，檢查生命周期各階段輸入輸出的活動及文件的要求，以及車輛在設(shè)計、生產(chǎn)、測試和運營階段的RAMS 工作中的具體任務和實施方法，以保證項目執(zhí)行周期內(nèi)的各個階段按本計劃的規(guī)定執(zhí)行，使本項目的安全管理工作能夠滿足規(guī)范、標準和合同規(guī)定的要求。

4.3 風險分析及危害控制

風險評估重點關(guān)注車輛系統(tǒng)的危害分析及危害控制，在既有的危害審查（Hazard Review）和檢查清單（Check List）的基礎(chǔ)上，參考以往既有項目的經(jīng)驗，在本項目的FMECA 分析的基礎(chǔ)上，針對C 城地鐵X 號線過程的特殊要求，識別出新的危害和風險。

評估確定C 城地鐵X 號線車輛系統(tǒng)初步危害分析的內(nèi)容完整合理、對危害產(chǎn)生的原因的分析合理、采取的危害控制措施合理有效、所有的危害在隱患登記冊中進行了登記，便于以后的跟蹤管理。評估危害識別、危害原因分析、危害控制措施之間的完整可追溯性。危害分析同時確定了相關(guān)系統(tǒng)的安全需求，分配了相應的定性安全完整性SIL 需求，達到風險分析的目的，符合EN50126 標準的要求。定性安全完整性等級確定方法主要有后果法[8]、風險矩陣法[8-12]、風險圖法[9]等 。

4.4 技術(shù)安全

針對車輛系統(tǒng)技術(shù)安全，評估方重點關(guān)注C城地鐵X 號線車輛系統(tǒng)的以下方面：

·車體：車體鋼結(jié)構(gòu)的靜強度、動態(tài)包絡(luò)線、被動安全及水密性安全等；

·車鉤及貫通道：靜強度、應力吸收及傳遞、自動車鉤的功能安全以及最小曲線通過能力等；

·轉(zhuǎn)向架：轉(zhuǎn)向架靜強度、疲勞強度、輪軌關(guān)系、模態(tài)分析及運行動力學安全等；

·客室側(cè)門：客室門結(jié)構(gòu)強度、硬件及軟件的功能安全、SIL 等級、防護功能的實現(xiàn)等；

·牽引系統(tǒng)：牽引性能、緊急牽引功能、動力制動功能等；

·網(wǎng)絡(luò)控制系統(tǒng)：列車狀態(tài)監(jiān)控功能、故障檢測功能、列車狀態(tài)和故障信息上報功能以及超速保護功能；

·空氣制動及供風系統(tǒng)：硬件及軟件的功能安全、緊急制動功能、停車制動功能、SIL 等級、制動能力的實現(xiàn)、制動能量的釋放或回收；

·電磁兼容EMC：車輛EMC 的管理及控制工程、空調(diào)、牽引逆變器、輔助電源逆變器、濾波電抗器、制動控制單元、客室門控制單元及其它車載EMC 相關(guān)電氣設(shè)備，電纜分類和布置方案對EMC的影響；

·防火安全：車輛防火安全的概念、非金屬材料、電線電纜的防火性能、地板及防火墻結(jié)構(gòu)的防火安全、電氣設(shè)備防火安全、乘客緊急疏散等；

·維修安全：安全防護、電擊安全、維護活動中安全性能的保持以及其他維修中的安全隱患等；

·電氣安全：接地概念、防電擊安全、雷擊安全及防護等；

·應急管理：應急電源的保證、緊急出口及照明、緊急通信設(shè)施及乘客逃生疏散的管理等；

·車輛系統(tǒng)與其他核心設(shè)備系統(tǒng)之間的接口安全：信號系統(tǒng)接口、通信系統(tǒng)接口等。

4.5 SIL 安全完整性等級

針對車輛系統(tǒng)功能安全相關(guān)的子系統(tǒng)，獨立安全評估第三方主要關(guān)注C 城地鐵X 號線車輛系統(tǒng)功能安全相關(guān)的子系統(tǒng)的安全完整性SIL 等級的符合性，在評估活動中對通用應用SIL 認證進行交叉接受的審核，并對C 城地鐵X 號線的特定應用的層面進行評估。包括制動控制系統(tǒng)以及車門控制系統(tǒng)的SIL 安全完整性等級的符合性，確認這兩個系統(tǒng)的安全功能在本項目的特定應用層面符合C 城地鐵X 號線分配的SIL 等級的要求：

·客室門控制系統(tǒng)安全功能的SIL 等級為2級；

·制動控制系統(tǒng)安全功能的SIL 等級為4 級。

4.6 防火安全

獨立安全評估第三方主要關(guān)注危害日志中關(guān)于防火安全相關(guān)的危害，并跟蹤建議的危害減輕措施，通過對車輛系統(tǒng)防火安全相關(guān)文檔的評估，確認C 城地鐵X 號線車輛系統(tǒng)的防火安全的管理是合理的；通過測試見證以及試驗報告的審核，確認車輛系統(tǒng)的防火安全性能符合C 城地鐵X 號線車輛系統(tǒng)的防火安全目標，通過以下措施可以降低車輛火災的風險并保證乘客和乘務人員的人身安全：

·非金屬材料的選擇符合標準要求；

·車輛結(jié)構(gòu)和設(shè)備設(shè)計所采取的防火措施；

·系統(tǒng)及緊急系統(tǒng)的控制和功能的實現(xiàn)。

4.7 驗證及確認

對C 城地鐵X 號線車輛系統(tǒng)的安全要求進行驗證及確認，獨立安全評估第三方首先對車輛系統(tǒng)的試驗大綱進行審核及確認，包括型式試驗大綱及例行試驗大綱的審核，重點審核安全相關(guān)的試驗，包括：限界試驗、絕緣耐壓試驗、制動性能試驗、牽引性能試驗（故障運行以及救援性能）、門系統(tǒng)試驗、運行動力學試驗、安全保護等，并通過這些試驗的現(xiàn)場見證，以確認相關(guān)試驗人員資質(zhì)符合試驗驗證的要求，確認試驗流程、試驗方法、測試設(shè)備符合對應型式試驗（為專業(yè)說法，沒問題的）大綱要求，并確認車輛系統(tǒng)的安全驗證活動的符合性。

5 評估發(fā)現(xiàn)

在C 城地鐵X 號線車輛系統(tǒng)的獨立安全評估過程中，獨立安全評估第三方通過技術(shù)筆記或開口項清單的形式對項目的安全管理、質(zhì)量管理以及車輛系統(tǒng)的技術(shù)安全的不符合性進行總結(jié)，并進行跟蹤管理，確保在評估過程中的發(fā)現(xiàn)得到糾正。開口項的評估結(jié)果見表1：

表1 地鐵車輛系統(tǒng)開口項評估結(jié)果

截至2020 年8 月，影響C 城地鐵X 號線車輛系統(tǒng)安全的A 類開口項共95 項，已經(jīng)得以關(guān)閉及解決。根據(jù)評估結(jié)果，車輛系統(tǒng)的相關(guān)階段識別的危害得到有效控制，風險處于可接受的水平，獨立安全評估第三方可以出具C 城地鐵X 號線車輛系統(tǒng)的評估報告及結(jié)論。

6 出具結(jié)論

（1）根據(jù)安全審核工作的開展，獨立安全評估第三方認為C 城地鐵X 號線車輛系統(tǒng)在本項目的安全管理和質(zhì)量管理是完善的，質(zhì)量管理符合ISO9001 質(zhì)量管理體系的要求，安全管理符合EN50126 標準的要求，安全管理及質(zhì)量管理人員的能力是充分的，C 城地鐵X 號線車輛系統(tǒng)在設(shè)計、生產(chǎn)、組裝、測試及調(diào)試階段的所有活動均有效地執(zhí)行了安全管理及質(zhì)量管理的要求。

（2）根據(jù)安全評估工作的開展，獨立安全評估第三方認為C 城地鐵X 號線車輛系統(tǒng)的風險分析以及危害控制符合相應的安全要求，根據(jù)風險分析的結(jié)果，通過危害日志的管理，執(zhí)行相應的危害控制措施及風險降低措施，系統(tǒng)的風險已被降低至合理可行的最低限度，并得到驗證，C 城地鐵X號線車輛系統(tǒng)技術(shù)安全的實現(xiàn)是完善的，車輛安全證明文件是可接受的。

（3）基于以上分析，獨立安全評估第三方認為C 城地鐵X 號線車輛系統(tǒng)的安全性符合“EN50126鐵路應用可靠性，可用性，可維護性及安全性（RAMS）”的要求，安全相關(guān)子系統(tǒng)的安全完整性等級符合EN50128 及EN50129 規(guī)定的要求，車輛系統(tǒng)的危害得到控制，風險處于可接受的水平，可以滿足地鐵運營的安全要求。