王一先,邵志威,游星宇

(中車浦鎮(zhèn)阿爾斯通運(yùn)輸系統(tǒng)有限公司,安徽 蕪湖241060)

歐洲電工標(biāo)準(zhǔn)化委員會(huì)(CENELEC)發(fā)布的 EN 50126-2: 2017[1]中,簡(jiǎn)述了通過(guò)故障樹分配將功能安全的需求分解到復(fù)雜的系統(tǒng)結(jié)構(gòu)中,并通過(guò)SIL定性和定量地分配到子系統(tǒng)的功能中去。安全完整性要求在系統(tǒng)級(jí)別上表示為THR,與選定的系統(tǒng)架構(gòu)定義的特定功能組成相關(guān)聯(lián),因此轉(zhuǎn)換為可容忍功能失效率(TFFR)。THR的分配是通過(guò)使用各種方法如故障樹進(jìn)行因果分析,并考慮子系統(tǒng)或功能之間的邏輯相關(guān)性。然而,EN 50126標(biāo)準(zhǔn)中并未對(duì)具體如何實(shí)施該方法做介紹。

跨座式單軌系統(tǒng)(Straddle Monorail System),作為一種新型的輕軌交通系統(tǒng)[2],其安全駕駛輔助系統(tǒng)中安全目標(biāo)的設(shè)定及管控受到越來(lái)越多的重視。本文應(yīng)用故障樹分配的方法,詳細(xì)進(jìn)行跨座式單軌司機(jī)駕駛輔助系統(tǒng)(MSRDS)安全目標(biāo)的分配,分析得出了MSRDS各子系統(tǒng)SIL要求的一致性,論證了該方法在定量分配安全目標(biāo)操作中的合理性。

1 SIL分配方法的介紹和應(yīng)用

1.1 SIL的概念

SIL(Safety Integrity Level)即安全完整性等級(jí)英文首字母的組合[3]。IEC 61508—2010對(duì)SIL有了基本的定義,包括SIL1～SIL4的4個(gè)離散等級(jí)(SIL4為最高,SIL1為最低);而EN 50126—2017中對(duì)SIL等級(jí)對(duì)應(yīng)的定量范圍進(jìn)行了明確的分級(jí),同時(shí)定義了在系統(tǒng)性失效以及隨機(jī)失效相對(duì)應(yīng)的SIL。EN 50129[4]中對(duì)安全完整性的定義為:在所有規(guī)定的條件和規(guī)定的運(yùn)行環(huán)境下以及規(guī)定的時(shí)間內(nèi),安全相關(guān)系統(tǒng)完成指定的安全功能的能力。

SIL的概念,在軌道交通系統(tǒng)集成項(xiàng)目,乃至信號(hào)或者車輛子系統(tǒng)中,都有著廣泛的應(yīng)用。EN 50126—2017對(duì)項(xiàng)目初期,提出了早期安全需求識(shí)別,對(duì)安全功能分配相應(yīng)的SIL,并在EN 50128[5]和EN 50129標(biāo)準(zhǔn)中,通過(guò)安全技術(shù)手段,比如冗余結(jié)構(gòu)方案來(lái)降低硬件系統(tǒng)故障,以及通過(guò)質(zhì)量和安全管理的方法,來(lái)保證降低系統(tǒng)性故障的目標(biāo)得以滿足。

1.2 SIL分配的方法

參照EN 50126-2—2017(見圖1),首先根據(jù)風(fēng)險(xiǎn)分析,提出系統(tǒng)的安全完整性要求,即系統(tǒng)層級(jí)危害的可容忍危害發(fā)生率THR;然后,將系統(tǒng)層級(jí)每一個(gè)危害與系統(tǒng)的安全功能關(guān)聯(lián),在保證系統(tǒng)功能獨(dú)立的前提下,將此THR轉(zhuǎn)換為系統(tǒng)最底層級(jí)功能的可容忍危害發(fā)生率TFFR;同時(shí),根據(jù)對(duì)應(yīng)關(guān)系,即可確定相應(yīng)的SIL等級(jí);最后,在實(shí)現(xiàn)安全功能的相關(guān)模塊相互獨(dú)立的前提下,可將功能的TFFR轉(zhuǎn)化為模塊的危害失效率分配至相關(guān)獨(dú)立模塊。

圖1 THR分配的基本步驟

需要注意,危害和安全功能并不一定是一對(duì)一的,即一個(gè)特定危害可能對(duì)應(yīng)多個(gè)安全功能。當(dāng)一個(gè)安全功能用于控制多個(gè)危害時(shí),其需要滿足所有危害對(duì)應(yīng)的TFFR,即對(duì)應(yīng)最大的TFFRmax.。

當(dāng)危害與系統(tǒng)功能并非一對(duì)一的關(guān)系,如多個(gè)安全功能對(duì)應(yīng)同一個(gè)危害,在功能相互獨(dú)立的前提下,可以通過(guò)故障樹、因果分析或者馬爾科夫模型等方法,對(duì)系統(tǒng)危害的THR進(jìn)行分配,進(jìn)而獲得對(duì)應(yīng)功能的TFFR。

需要注意的是,TFFR包括了隨機(jī)失效安全完整性和系統(tǒng)失效安全完整性的要求,依據(jù)EN 50129和EN 50128標(biāo)準(zhǔn),其分配方法也分為定量和定性,以及混合定性和定量數(shù)據(jù)。

1.3 單軌司機(jī)駕駛輔助系統(tǒng)

跨座式單軌司機(jī)駕駛輔助系統(tǒng),又稱為Manual Speed Restricted Detection System (MSRDS)系統(tǒng),是一種跨座式單軌列車處于人工駕駛模式時(shí),在特定場(chǎng)景提供超速報(bào)警或緊急制動(dòng)的功能,國(guó)內(nèi)首次應(yīng)用在蕪湖單軌1號(hào)線項(xiàng)目中[6]?？缱絾诬壦緳C(jī)駕駛輔助系統(tǒng)包括了車載MSRDS控制單元、射頻識(shí)別(RFID)讀取器、天線、限速標(biāo)簽以及道岔分析柜等,其構(gòu)架如圖2所示。利用RFID的標(biāo)簽讀取功能,實(shí)現(xiàn)對(duì)司機(jī)的超速報(bào)警以及車輛的緊急制動(dòng)等功能。

圖2 單軌司機(jī)駕駛輔助系統(tǒng)(MSRDS)構(gòu)架

盡管跨座式單軌司機(jī)駕駛輔助系統(tǒng)主要應(yīng)用于人工駕駛模式,但其涉及到列車超速報(bào)警、線路端部停車、以及道岔未對(duì)齊列車沖標(biāo)后緊急制動(dòng)等功能,針對(duì)危害的嚴(yán)重程度,對(duì)產(chǎn)品相應(yīng)的安全需求以及安全完整性等級(jí)有待進(jìn)一步研究和要求。

2 安全目標(biāo)的分配方法

2.1 單一功能作為危害防護(hù)

當(dāng)危害與系統(tǒng)功能是一對(duì)一的關(guān)系,則該危害的可容忍發(fā)生率THR應(yīng)完全分配給防護(hù)該危害的功能,即該功能的TFFR等于對(duì)應(yīng)危害的THR,如圖3所示。

圖3 單一功能的分配

2.2 多個(gè)功能作為危害防護(hù)

當(dāng)多個(gè)功能組合時(shí),應(yīng)將THR進(jìn)一步分配至下一層級(jí)危害以及可容忍的失效率,直至最后一個(gè)獨(dú)立功能的水平。這個(gè)水平是指2個(gè)(或多個(gè))功能在該水平共同控制同一危害,他們中的任何一個(gè)都能消除該水平的危害,不論另一個(gè)功能是否存在或效率不同;同時(shí)這些功能相互獨(dú)立,既沒有任何隨機(jī)失效的共因故障可以危害安全,也沒有任何系統(tǒng)失效的共因故障可以危害安全,如表1所示。

表1 系統(tǒng)失效和隨機(jī)失效的分析方法

2.2.1系統(tǒng)和隨機(jī)失效均為獨(dú)立

如果在2個(gè)以上的電子功能中保證不發(fā)生系統(tǒng)和隨機(jī)的臨界共因故障,TFFR可以進(jìn)一步分配,SIL可以分配到最底層,如圖4所示。

圖4 系統(tǒng)失效和隨機(jī)失效均獨(dú)立的分配

2.2.2僅系統(tǒng)失效獨(dú)立

如果可以保證不受普通隨機(jī)故障的影響,那么隨機(jī)完整性要求(失效率)可以進(jìn)一步分配到下一個(gè)較低的實(shí)現(xiàn)架構(gòu)級(jí)別,但SIL保持不變(見圖5)。

圖5 只有獨(dú)立的系統(tǒng)故障的分配

2.2.3系統(tǒng)和隨機(jī)失效均不獨(dú)立

TFFR無(wú)法被進(jìn)一步分配,SIL應(yīng)該和上一級(jí)保持一致,如圖6所示。

圖6 無(wú)獨(dú)立性的系統(tǒng)故障和隨機(jī)故障的分配

3 司機(jī)駕駛輔助系統(tǒng)的THR分配

考慮到MSRDS僅在人工駕駛模式(低需求)下有效使用,目前國(guó)內(nèi)也未對(duì)車輛駕駛輔助系統(tǒng)有過(guò)明確的SIL要求。根據(jù)初步危害分析的結(jié)果,當(dāng)MSRDS限速功能失效時(shí),可能導(dǎo)致列車超速通過(guò)區(qū)段,從而造成司機(jī)傷亡及列車碰撞或脫軌。因此根據(jù)EN 50126建議的頻率等級(jí)表(見表2),其對(duì)應(yīng)的THR為1×10-9/h～1×10-7/h,對(duì)應(yīng)頻率等級(jí)E。

表2 頻率等級(jí)表

3.1 TP1的THR分配

3.1.1確定TP1頂事件

當(dāng)列車駛?cè)胛磳?duì)齊的道岔時(shí),將造成脫軌的風(fēng)險(xiǎn),得到頂事件TP1-列車脫軌,其對(duì)應(yīng)的嚴(yán)重度為II,即后果為單人死亡。故對(duì)應(yīng)THR的范圍為1×10-9/h～1×10-7/h,發(fā)生頻率等級(jí)為E。列車駕駛輔助系統(tǒng)提供的防護(hù)功能為在司機(jī)未識(shí)別出道岔未允許通行的交通信號(hào)燈時(shí),車載MSRDS控制單元將發(fā)出信號(hào)請(qǐng)求列車施加緊急制動(dòng)。

3.1.2TP1的安全功能分解

根據(jù)圖2中的系統(tǒng)構(gòu)架,并考慮到各系統(tǒng)獨(dú)立性原則,對(duì)防護(hù)TP1的安全功能進(jìn)行進(jìn)一步分解,如圖7所示。

圖7 TP1的安全功能分解

對(duì)于TP1-列車脫軌的防護(hù),通過(guò)3個(gè)子功能A、B、C分別進(jìn)行控制。其中,功能A是指通過(guò)操作人員按照操作流程以及列車司機(jī)駕駛輔助系統(tǒng)共同提供防護(hù);功能B指列車手動(dòng)控制系統(tǒng)(VIM)在接收到車載MSRDS控制單元發(fā)出的軌道末端(EOG)信號(hào),通過(guò)控制列車觸發(fā)緊急制動(dòng);功能C是指列車制動(dòng)系統(tǒng)執(zhí)行緊急制動(dòng)。

3.1.3TP1的故障樹分配

基于3.1.2節(jié)中安全功能的分解,對(duì)列車司機(jī)駕駛輔助系統(tǒng)的功能仍需要進(jìn)一步分配。結(jié)合圖2中的系統(tǒng)構(gòu)架,考慮到列車輔助駕駛系統(tǒng)的總體設(shè)計(jì)達(dá)到車載MSRDS控制單元和軌旁設(shè)備如道岔分析柜(MSSA),可以進(jìn)一步將THR向子系統(tǒng)層級(jí)進(jìn)行分配,從而得到車載MSRDS控制單元和MSSA等軌旁子系統(tǒng)的TFFR和SIL要求。

利用故障樹對(duì)TP1-列車脫軌進(jìn)行THR的分配。需要注意的是,MSRDS防護(hù)功能的前提條件,是人為(列車司機(jī))操作失誤,未正確觀察信號(hào)燈并按操作規(guī)程正確操作,根據(jù)EN 50126—2017標(biāo)準(zhǔn)中的定義,此類為系統(tǒng)性失效。而根據(jù)白皮書中收集到基本信息,發(fā)生的頻率為D(1×10-7/h～1×10-5/h),即大約100年發(fā)生1次,即事件GT14。而VIM未施加緊急制動(dòng)以及制動(dòng)系統(tǒng)未執(zhí)行緊急制動(dòng),合并為GT8,由車輛FTA轉(zhuǎn)移獲得。

3.2 TP2的THR分配

3.2.1確定TP2頂事件

當(dāng)列車行駛至線路末端時(shí),如果司機(jī)未按操作規(guī)程制動(dòng)停車,可能導(dǎo)致列車碰撞排障器等,產(chǎn)生人員傷亡,因此得到頂事件TP2-列車碰撞,其對(duì)應(yīng)的嚴(yán)重度為II。依照風(fēng)險(xiǎn)矩陣,此時(shí)的THR應(yīng)該為E(1×10-9/h～1×10-7/h)。

列車駕駛輔助系統(tǒng)在讀取到無(wú)源標(biāo)簽后,將觸發(fā)緊急制動(dòng)功能,以使防護(hù)車輛不會(huì)發(fā)生碰撞。同樣,其防護(hù)功能的實(shí)現(xiàn),是在列車司機(jī)操作錯(cuò)誤的前提下才會(huì)產(chǎn)生。

3.2.2TP2的故障樹分配

利用故障樹對(duì)TP2-列車碰撞進(jìn)行THR的分配,結(jié)果如圖8所示。

圖8 TP2的THR分配

針對(duì)TP2-列車碰撞,進(jìn)一步解釋為在列車接近線路末端未施加緊急制動(dòng),首先該危害是僅在人工駕駛模式下產(chǎn)生,但在故障樹分配中默認(rèn)該條件成立(EV9)。

列車未施加緊急制動(dòng)一方面是由于未發(fā)出緊急制動(dòng)信號(hào)(GT25),包括司機(jī)未按操作規(guī)程施加(GT14),以及列車駕駛輔助系統(tǒng)故障,這里指的是車載MSRDS系統(tǒng)未發(fā)出EOG信號(hào)。

另一方面,列車手動(dòng)控制系統(tǒng)(VIM)在收到MSRDS發(fā)出的信號(hào)未控制列車線發(fā)出緊急制動(dòng),或者制動(dòng)系統(tǒng)未執(zhí)行緊急制動(dòng)。由于這2個(gè)事件相互獨(dú)立且為“或”關(guān)系,因此相加作為子事件GT7,其分配的THR參考車輛子系統(tǒng)的失效率。

3.3 TP3的故障樹分配

3.3.1確定TP3頂事件

在某些線路限速區(qū)域,諸如彎道、道岔區(qū)等,需要保證列車速度不能超過(guò)設(shè)計(jì)限值,否則將發(fā)生碰撞等危害。

當(dāng)司機(jī)手動(dòng)駕駛列車經(jīng)過(guò)這些區(qū)域前,如果不能按照操作規(guī)程減速,將產(chǎn)生頂事件TP3-列車碰撞,其對(duì)應(yīng)的嚴(yán)重度為II。參照風(fēng)險(xiǎn)矩陣,此時(shí)的THR頻率等級(jí)應(yīng)該為E(1×10-9/h～1×10-7/h)。

3.3.2TP3的故障樹分配

利用故障樹對(duì)TP3-列車碰撞進(jìn)行THR的分配,結(jié)果如圖9所示。

圖9 TP3的THR分配

針對(duì)TP3-列車碰撞,進(jìn)一步解釋為緊急制動(dòng)在超速通過(guò)限速區(qū)域時(shí)未施加,首先該危害僅在人工駕駛模式下產(chǎn)生,但在故障樹分配中默認(rèn)該條件成立。

列車未施加緊急制動(dòng)一方面是由于未發(fā)出緊急制動(dòng)信號(hào)(GT15),包括司機(jī)未按操作規(guī)程施加(GT26),以及列車駕駛輔助系統(tǒng)故障,這里指的是車載MSRDS控制單元未發(fā)出EOG信號(hào)。

另一方面,列車手動(dòng)控制系統(tǒng)(VIM)在收到車載MSRDS控制單元發(fā)出的信號(hào)未控制列車線發(fā)出緊急制動(dòng),或者制動(dòng)系統(tǒng)未執(zhí)行緊急制動(dòng)。這里將這兩個(gè)事件相加作為子事件GT9。

4 駕駛輔助系統(tǒng)功能的TFFR和SIL確定

通過(guò)TP1、TP2和TP3對(duì)識(shí)別出3種頂事件危害的故障樹分配結(jié)果,可以獲得駕駛輔助系統(tǒng)的功能TFFR以及對(duì)應(yīng)的SIL等級(jí),結(jié)果如表3所示。

表3 駕駛輔助系統(tǒng)的功能TFFR及SIL等級(jí)

根據(jù)EN 50129標(biāo)準(zhǔn)中的SIL對(duì)照表4,車載MSRDS控制單元、軌旁設(shè)備包括MSSA和標(biāo)簽控制盒均需要滿足SIL1的要求。

表4 SIL對(duì)照表

作為系統(tǒng)集成方,在對(duì)駕駛輔助系統(tǒng)的TFFR和SIL分配僅到子系統(tǒng)層級(jí),如果需要進(jìn)一步對(duì)設(shè)備進(jìn)行TFFR的確定,則需要供應(yīng)商提供進(jìn)一步的子系統(tǒng)配置和故障率等信息,以保證分配的完整性和正確性。

5 結(jié)束語(yǔ)

跨座式單軌司機(jī)駕駛輔助系統(tǒng)作為一種新型的對(duì)司機(jī)駕駛安全的防護(hù)系統(tǒng),在無(wú)人駕駛的大背景下使用頻率較低。因此,不應(yīng)該過(guò)分依賴于其對(duì)安全的保障功能。本文通過(guò)故障樹分配的方法在該安全防護(hù)系統(tǒng)上進(jìn)行實(shí)踐,并獲得SIL1的安全需求,但在具體的安全設(shè)備設(shè)計(jì)過(guò)程中,還需要就安全完整性的滿足進(jìn)行具體論證。