郭海軍 黃思 黃莉莉 劉舒嘉

摘 要：在軌道交通車門系統(tǒng)中，安全性問題始終作為設(shè)計(jì)考慮的第一要素，在安全性分析中，有時(shí)候會(huì)因?yàn)槿鄙俟惨蚴Х治觯绕涫擒浖惨蚴Х治?，?dǎo)致分析結(jié)果不全面，帶來(lái)安全隱患。鑒于此，通過對(duì)車門控制系統(tǒng)特定工況進(jìn)行安全性分析，針對(duì)安全性問題提供解決方案。

關(guān)鍵詞：車門系統(tǒng);軟件共因失效;失效分析

中圖分類號(hào)：TP202+.1? ? 文獻(xiàn)標(biāo)志碼：A? ? 文章編號(hào)：1671-0797（2024）13-0020-04

DOI：10.19514/j.cnki.cn32-1628/tm.2024.13.006

0? ? 引言

隨著城市軌道交通的快速發(fā)展，越來(lái)越多的軌道車輛投入運(yùn)營(yíng)。車門作為乘客進(jìn)出車輛的入口裝置，安全性至關(guān)重要，為了保證乘客的安全，需要在設(shè)計(jì)時(shí)充分考慮各種因素失效導(dǎo)致的安全性風(fēng)險(xiǎn)。

軌道交通車輛通用安全設(shè)計(jì)標(biāo)準(zhǔn)IEC 62425—2007[1]中3.1.6以及EN 50129：2018[2]中3.1.4都定義了共因失效（Common-cause Failure，以下簡(jiǎn)稱CCF）的概念，共因失效是指導(dǎo)致完全獨(dú)立的兩個(gè)對(duì)象同時(shí)失效的一種失效[3-4]。共因失效是針對(duì)共同的原因造成的多點(diǎn)失效;為使軌道交通車門系統(tǒng)達(dá)到規(guī)定的安全水平，如果安全等級(jí)高于2級(jí)，系統(tǒng)需要采取2決2（2個(gè)結(jié)果對(duì)比，結(jié)果一致則執(zhí)行結(jié)果;結(jié)果不一致，則采取必要的安全措施）或者3決2（3個(gè)結(jié)果對(duì)比，執(zhí)行2個(gè)或者3個(gè)相同的結(jié)果;否則采取必要的安全措施）的架構(gòu)。

本文主要針對(duì)車門控制系統(tǒng)中可以導(dǎo)致共因失效的因素，提出對(duì)應(yīng)的解決方法。由于軌道交通車門系統(tǒng)同一個(gè)項(xiàng)目所有車門基本都采用相同的軟件，因此軟件也是共因失效需要考慮的因素。

1? ? 共因失效的安全影響

當(dāng)兩個(gè)獨(dú)立的事件通過與邏輯形成一個(gè)頂事件時(shí)，需要特別注意這兩個(gè)獨(dú)立的事件是否真正獨(dú)立，考慮時(shí)可以從物理、功能和過程三個(gè)方面出發(fā)。在過程方面，一般通過公司的體系保證，通過體系確保人力資源和產(chǎn)品生命周期的獨(dú)立性;物理獨(dú)立是指產(chǎn)品組件之間沒有公共部分，可以通過產(chǎn)品設(shè)計(jì)實(shí)現(xiàn);功能獨(dú)立是指不會(huì)由于系統(tǒng)錯(cuò)誤或者隨機(jī)錯(cuò)誤，引起一系列功能同時(shí)出錯(cuò)[3]，功能獨(dú)立不容易實(shí)現(xiàn)。因此，為了體現(xiàn)功能的獨(dú)立，設(shè)計(jì)時(shí)必須進(jìn)行常見故障分析。在車門系統(tǒng)設(shè)計(jì)時(shí)，通常采用故障樹（Failure Tree Analysis，F(xiàn)TA）分析方法對(duì)功能進(jìn)行分析，在FTA中如果一個(gè)功能不獨(dú)立，可以通過進(jìn)一步分解，把它分解為獨(dú)立的子功能和受CCF影響的子功能，如圖1所示。

如果受CCF影響的功能被忽略，那么頂事件會(huì)被認(rèn)為滿足安全性要求，導(dǎo)致設(shè)計(jì)中存在潛在的風(fēng)險(xiǎn)。

2? ? 共因失效的安全分析

在軌道交通領(lǐng)域，安全逃生有時(shí)候被認(rèn)為具有更高的優(yōu)先級(jí)，以車輛發(fā)生故障時(shí)車門安全逃生為例進(jìn)行安全性分析：軌道交通車輛一般設(shè)置多個(gè)車門，每個(gè)車門設(shè)置一個(gè)緊急出口裝置用于乘客在緊急情況下逃生。如果因?yàn)槟硞€(gè)外部因素導(dǎo)致整節(jié)車的緊急出口裝置失效，則會(huì)造成重大安全事故。因此，分析設(shè)計(jì)過程中是否存在共因問題十分必要。緊急逃生功能的實(shí)現(xiàn)涉及物理裝置和控制軟件兩個(gè)部分，物理裝置包括鎖閉裝置、緊急解鎖裝置、控制器。緊急解鎖功能是否能夠?qū)崿F(xiàn)，除了取決于物理裝置，還取決于軟件部分，如果軟件失效，軟件會(huì)控制電機(jī)實(shí)施堵轉(zhuǎn)，從而使緊急逃生功能失效。

2.1? ? 不考慮軟件共因失效的故障樹分析

在不考慮軟件共因失效的情況下，緊急逃生功能的實(shí)現(xiàn)涉及以下幾個(gè)部分：鎖閉裝置、緊急解鎖裝置、控制器。

當(dāng)乘客操作緊急解鎖時(shí)，手柄帶動(dòng)鋼絲繩進(jìn)行解鎖，當(dāng)鎖閉裝置離開鎖閉位置時(shí)，完成解鎖操作，此時(shí)乘客可以手動(dòng)打開車門。在不考慮軟件共因失效時(shí)，只要保證每個(gè)車門之間的緊急解鎖功能相關(guān)的組件物理獨(dú)立，則不存在共因因素導(dǎo)致任意兩車門均無(wú)法被緊急解鎖打開。不考慮軟件共因的故障樹分析如圖2所示。

根據(jù)圖2所示的故障樹分析，如果不考慮軟件共因因素，“任意兩個(gè)車門無(wú)法通過緊急解鎖打開”失效率在1.0×10-14這一量級(jí)。

2.2? ? 考慮軟件共因失效的故障樹分析

在考慮軟件共因失效時(shí)，需考慮軟件潛在故障導(dǎo)致任意兩車門同時(shí)無(wú)法被緊急解鎖打開?？紤]軟件共因的故障樹分析如圖3所示。

根據(jù)圖3所示的故障樹分析，在考慮了軟件共因因素后，由于軟件失效率大約為1.0×10-7，從而使頂事件整體失效率提高至1.0×10-7這個(gè)級(jí)別。

根據(jù)圖2和圖3對(duì)比可以發(fā)現(xiàn)，軟件作為共因失效的一個(gè)因素，會(huì)讓“任意兩個(gè)車門無(wú)法通過緊急解鎖打開”頂事件的失效率降低一個(gè)甚至幾個(gè)數(shù)量級(jí)，如表1所示。因此，消除軟件共因因素非常必要。

3? ? 應(yīng)對(duì)方案和措施

基于上述分析，如果“任意兩個(gè)車門無(wú)法通過緊急解鎖打開”這一風(fēng)險(xiǎn)的可容忍失效率（Tolerable Hazard Rate，THR[2]）要求不低于10-7 h-1，則可以不用考慮軟件共因因素（目前軟件SIL2即可滿足此要求）。如果該風(fēng)險(xiǎn)的THR要求低于10-7 h-1，則需要在設(shè)計(jì)中考慮軟件共因因素，并通過設(shè)計(jì)避免因軟件失效導(dǎo)致該功能無(wú)法達(dá)到相應(yīng)的安全等級(jí)。在實(shí)際項(xiàng)目設(shè)計(jì)中，通常通過物理切斷控制器與電機(jī)之間的連接來(lái)排除軟件共因可能帶來(lái)的影響。如果項(xiàng)目使用直流有刷電機(jī)，可以使用一個(gè)開關(guān)切斷電機(jī)的其中一相，該開關(guān)在操作緊急解鎖時(shí)動(dòng)作。如果項(xiàng)目使用直流無(wú)刷電機(jī)，可以使用一個(gè)開關(guān)切斷電機(jī)母線供電或者使用兩個(gè)開關(guān)切斷電機(jī)的兩相驅(qū)動(dòng)，開關(guān)同樣在操作緊急解鎖時(shí)動(dòng)作。如圖4所示，實(shí)施改進(jìn)措施后，“任意兩個(gè)車門無(wú)法通過緊急解鎖打開”失效率由10-7 h-1降低至10-15 h-1。

對(duì)于軌道交通車門控制系統(tǒng)，如果有THR要求，且無(wú)法通過物理方法排除軟件共因因素，可以通過以下方法來(lái)減輕軟件共因失效帶來(lái)的影響[5]：

（1）增加軟件測(cè)試的覆蓋率，避免軟件在某種情況下出現(xiàn)bug（缺陷或問題），導(dǎo)致車門無(wú)法被解鎖打開。

（2）嚴(yán)格遵循軟件開發(fā)流程，例如EN 50128：2011[6]、能力成熟度模型集成（Capability Maturity Model Integration，CMMI）等，減少軟件的缺陷，提高軟件成熟度。

（3）加強(qiáng)對(duì)于軟件開發(fā)工具的確認(rèn)，確保不會(huì)因?yàn)殚_發(fā)工具對(duì)軟件測(cè)試帶來(lái)影響。

4? ? 結(jié)束語(yǔ)

通過對(duì)軌道交通車門控制系統(tǒng)緊急解鎖功能的共因失效分析，可以幫助設(shè)計(jì)人員識(shí)別客戶需求，重新審視整體方案設(shè)計(jì)的安全性，無(wú)論客戶采用哪種要求，設(shè)計(jì)人員在設(shè)計(jì)方案中都需要考慮軟件共因因素，尤其是在客戶提出了THR要求時(shí)，必須考慮軟件共因因素。

[參考文獻(xiàn)]

[1] Railway applications-Communication，signalling and processing systems-Safety related electronics systems for signalling：IEC 62425[S].

[2] Railway applications-Communication，signalling and processing systems-Safety related electronics systems for signalling：EN 50129：2018[S].

[3] 譚邵波，唐岡林，黃愛萍.共因失效分析在軌道交通信號(hào)系統(tǒng)安全性計(jì)算中的應(yīng)用[J].控制與信息技術(shù)，2018（2）：69-72.

[4] 鮑黎濤，楊道建.考慮共因失效的故障樹分析方法及應(yīng)用[J].自動(dòng)化與信息工程，2018，39（6）：45-48.

[5] 方云根，曾小清，王剛.軌道交通列控系統(tǒng)共因失效分析[J].上海交通大學(xué)學(xué)報(bào)，2015，49（7）：1052-1057.

[6] Railway applications-Communication，signalling and processing systems-Software for railway control and protection systems：EN 50128：2011[S].

作者簡(jiǎn)介：郭海軍（1978—），男，內(nèi)蒙古烏蘭察布人，工程師，主要從事軌道交通車輛車門系統(tǒng)設(shè)計(jì)工作。