徐倩 張奕奕

摘 要：重點闡述接口危險分析的具體方法，結(jié)合實際機車分析案例說明從接口關(guān)系識別危險源，對其進行深入分析并提出適當?shù)臏p輕措施使得風(fēng)險控制在可接受水平，該方法應(yīng)用在軌道交通領(lǐng)域為保障產(chǎn)品安全提供設(shè)計參考。

關(guān)鍵詞：接口;危險分析;風(fēng)險

0 引言

機車由車體、轉(zhuǎn)向架、電氣、制動、控制等不同功能的大中型子系統(tǒng)組成，而各子系統(tǒng)同樣組成復(fù)雜，也是由多設(shè)備模塊構(gòu)成。顯而易見，無論是系統(tǒng)層面還是設(shè)備層面均需要通過接口交互從而實現(xiàn)相關(guān)功能。也就是說，接口是連接它們的通道，使得它們彼此之間得以協(xié)同工作。然而一方面接口交互作用會導(dǎo)致兩個以上的系統(tǒng)之間的危險傳遞，另一方面接口交互失效必然會影響系統(tǒng)的安全功能實現(xiàn)。為了保證系統(tǒng)運用安全，對于接口的安全性分析不可或缺。

基于此本文將介紹接口危險分析（Interface Hazard Analysis，IHA），目的是從接口關(guān)系角度發(fā)現(xiàn)危險源、分析其形成機理和造成的后果、確定危險程度，從而提出措施改進設(shè)計以避免機車運用過程發(fā)生事故。

1 接口危險分析概述

系統(tǒng)接口涉及硬件、軟件、人機操作等方面，因此對于接口的安全性分析是一個復(fù)雜的過程。接口危險分析首先需要選擇分析對象即識別接口。接口分為外部接口和內(nèi)部接口，外部接口為系統(tǒng)與系統(tǒng)之外其他系統(tǒng)之間的接口，內(nèi)部接口為系統(tǒng)本身內(nèi)部各子系統(tǒng)之間的接口。為了全面識別接口關(guān)系，可以根據(jù)系統(tǒng)設(shè)計架構(gòu)繪制系統(tǒng)邊界圖，圖1給出了典型的邊界圖示例。系統(tǒng)邊界圖將系統(tǒng)設(shè)計進行簡化，能夠清晰表示系統(tǒng)與外界之間的關(guān)系，還能夠清楚顯示系統(tǒng)內(nèi)部的子系統(tǒng)組成、各子系統(tǒng)功能之間的關(guān)系，是識別接口關(guān)系是有效途徑之一。

基于邊界圖識別系統(tǒng)的接口關(guān)系后，接著識別接口對象的危險因素：通過分析接口對象技術(shù)本身失效以及在鐵路運行內(nèi)的記錄基礎(chǔ)上，利用接口關(guān)系盡可能地確定接口對象的所有潛在危險，潛在危險是指可能引起人員傷亡或系統(tǒng)/環(huán)境損害的事故發(fā)生。設(shè)計人員可以使用危險檢查表、以往的經(jīng)驗以及事故調(diào)查，還可以借鑒類似系統(tǒng)已識別的危險等，來幫助發(fā)現(xiàn)每個接口對象可能存在的危險。

識別接口危險后應(yīng)深入挖掘其產(chǎn)生的原因、影響并對風(fēng)險進行定量評價，通過分析提出改進措施來減輕危險。風(fēng)險定量評估是綜合危險發(fā)生頻率和危險后果嚴重度兩種因素來得出風(fēng)險等級;定量對象包括識別的初始危險和經(jīng)采取措施后減輕的殘余危險。

將識別的接口、危險、原因、影響、定量評估等分析結(jié)果記錄在可讀格式的表內(nèi)，便于設(shè)計人員進行追溯。需要注意的是，接口危險分析是為了發(fā)現(xiàn)接口危險，并針對危險輸出改進措施從而促進設(shè)計優(yōu)化，因此為了接口危險分析的閉環(huán)關(guān)閉，改進措施必須納入危險日志中，通過驗證確認活動進行監(jiān)督，保證措施得以切實執(zhí)行。

對于外部接口需要與外部接口供應(yīng)商通過接口危險分析表或者其它約定形式，開展接口危險分析活動，確定危險控制措施且同樣需要納入危險日志跟蹤直至措施實施關(guān)閉。

2 接口危險分析的應(yīng)用

機車的核心功能之一是實現(xiàn)安全牽引，本節(jié)將以某型電力機車為例討論該功能部分的機車系統(tǒng)內(nèi)部及外部之間接口危險分析，說明接口危險分析在機車安全性設(shè)計中的實際應(yīng)用。

2.1 接口識別

機車通過其內(nèi)部子系統(tǒng)和外部系統(tǒng)通過彼此之間接口交互共同實現(xiàn)牽引功能。首先識別接口關(guān)系，通過圖2所示的邊界圖可知：系統(tǒng)內(nèi)部包括供電系統(tǒng)、牽引系統(tǒng)、輔助系統(tǒng)以及控制系統(tǒng)，主變壓器的原邊通過受電弓、主斷路器得電，次邊向牽引變流器供電，牽引電機接受牽引變流器的電能轉(zhuǎn)換為驅(qū)動行駛的機械能，同時TCMS接收各子系統(tǒng)運行狀態(tài)并發(fā)出控制指令，輔助變壓器也從牽引變流器得電為控制系統(tǒng)提供電能;系統(tǒng)外部包括信號設(shè)備、通信設(shè)備，它們與機車交互運行信息，機車TCMS視情調(diào)整牽引力輸出大小。由此得出10個內(nèi)部接口關(guān)系和2個外部接口。

2.2 危險分析與評估

上述識別的接口作用有物理連接、能量供給、信息傳輸?shù)?，對每一個接口對象逐項對照它們技術(shù)本身以及運行歷史總結(jié)的故障清單確定它們的故障模式、可能存在的故障后果。經(jīng)分析識別，12個接口對象存在30項接口危險，即導(dǎo)致人員受傷或者死亡有30項。

下面對這30項危險進行詳細分析，發(fā)現(xiàn)它們的危險原因即引發(fā)危險的情況或條件、危險后果即對人員造成實際傷害的事件，再結(jié)合風(fēng)險矩陣對危險發(fā)生頻率、后果嚴重度進行風(fēng)險等級評估。文中采用EN50126標準定義的風(fēng)險矩陣進行風(fēng)險評價，初始風(fēng)險等級為不期望的數(shù)目為24，可接受的數(shù)目為6，為了使風(fēng)險可控，設(shè)計人員可從以下四個方面采取措施降低風(fēng)險等級：（1）最小風(fēng)險設(shè)計;（2）安全防護設(shè)計;（3）告警設(shè)計;（4）專用操作維護規(guī)程設(shè)計。在采取控制措施后，24條不期望的風(fēng)險可降低為可接受的，6條可接受的風(fēng)險降低為可忽略的。最后通過接口危險分析表記錄危害識別、風(fēng)險評價、風(fēng)險控制等內(nèi)容，其中對于外部接口，需要外部接口供應(yīng)商與機車設(shè)計人員協(xié)同完成危險分析。接口危險分析結(jié)果的示例如表1所示。

3 結(jié)論

采用接口危險分析可以系統(tǒng)地識別對機車內(nèi)部接口以及外部接口，發(fā)掘它們可能發(fā)生的危險及原因，并量化危險的風(fēng)險等級，使得設(shè)計人員更直觀了解系統(tǒng)的安全需求，使其具有目的性地尋找恰當?shù)娘L(fēng)險控制措施，消除風(fēng)險或減輕至可接受水平。

綜上應(yīng)用接口危險分析，能夠全面有效地分析多個系統(tǒng)包括系統(tǒng)邊界之間接口交互危險，與其它的安全分析如初步危險分析、子系統(tǒng)危險分析等共同保證系統(tǒng)安全分析的完備性，保障系統(tǒng)的運用安全。

參考文獻：

[1]EN50126-2017，鐵路設(shè)施可靠性、可用性、維修性和安全性（RAMS）的規(guī)范和驗證[S].

[2]李良巧.可靠性工程師手冊[M].北京：中國人民大學(xué)出版社，2012.

[3]盛銀勝.基于總包工程的接口危害分析[J].鐵路技術(shù)創(chuàng)新，2013（6）：99-101.

[4]王德春.基于PHA的中低速磁浮交通系統(tǒng)安全分析[J].通信設(shè)計與應(yīng)用，2020（5）：19-22.