吴耀东

（上海富欣智能交通控制有限公司，上海 201203）

1 概述

现代有轨电车的正线道岔控制功能是一项安全相关功能，如果出现错误,可能导致列车出轨的事故。对于正线道岔控制功能的安全等级到底如何定义,目前国内有较多的争议，一种观点认为应该参照地铁把安全等级定义为SIL4，另一种观点认为有轨电车运行环境和地铁不同，事故风险也较低，应该定义为SIL3。下文将对此问题进行讨论。

2 国外有轨标准和相关经验

欧洲的有轨电车有着十分悠久的历史，在一些欧洲城市，如布拉格、布莱克浦、斯特拉斯堡、罗马以及维也纳都有广泛的有轨电车网络，这些有轨电车网络兼具轨道交通和道路交通的特征，所以在安全保障方面也是自成体系，没有完全采用地铁的模式。

经过调查，国外有轨电车相关的一些参考标准如表1所示。

表1 国外有轨电车相关标准

经过调查，国外有轨电车出轨事故统计如表2所示。

表2 国外有轨电车事故统计表

经过调查，欧洲的有轨电车正线道岔控制多满足SIL3的安全等级标准。例如：

布拉格有轨电车，捷克共和国 (SIL3)；

布莱克浦有轨电车，英国 (SIL3)；

布尔萨有轨电车, 土耳其 (SIL3)；

加济安泰普有轨电车，土耳其(SIL3)。

3 根据安全标准分析SIL等级

安全等级的确定需要遵循严格的技术流程，并基于一定的历史统计数据，下文将据此来对有轨电车的安全等级进行推导。

3.1 流程

根据相关安全标准，确定SIL等级的流程如下：

1）识别整个系统边界内可能发生的事故；

2）识别会造成事故的危险；

3）识别可以对危险进行控制的措施，即安全相关功能；

4）评估危险所造成事故的频率和后果，根据事故的频率和后果确定事故的风险；

5）根据事故的风险及风险接受准则，确定安全相关功能的SIL等级，同时接受残存的风险。

3.2 风险评估

风险评估是确定SIL等级的关键环节，风险评估基于事故发生的频率和后果来确定。对于风险评估需要注意以下几点。

1）风险评估是权威部门的责任，供应商只有建议权；

2）事故发生的频率和后果的判断是主观的，所以不同的权威部门基于自身的经验和统计数据会得出不同的风险评估结果。

不同的权威部门对于风险矩阵有不同的定义方式。

根据上海和北京轨道交通领域经验，基于事故频率和后果的典型的风险矩阵如图1所示。

图1 风险矩阵

不同的权威部门对于事故风险的接受有不同的准则。

根据上海和北京轨道交通领域经验，对于风险矩阵中的风险典型的接受准则如表3所示。

表3 风险接受标准表

3.3 确定SIL等级

对于有轨电车的道岔控制功能，按照以上流程确定SIL等级，如表4所示。

表4 SIL等级的确定流程

3.4 需要注意的问题

以下问题需要注意。

1)标准的差异性问题：不同的标准对于风险的评估和风险接受是有差异的。

2)标准的模糊性问题：标准中只是确定了风险的评估和风险接受的框架，而把一些具体的要求由各个权威部门自己来确定，所以具体要求是模糊的。

3)评估结果的不确定性：不同的标准和不同的权威部门，基于不同的专家经验会得到不同的评估结果。

4 讨论和结论

4.1 讨论

从参照国外经验的角度，可以把道岔控制定义为SIL3。

从国外事故数据以及定性比较的角度，有轨电车的出轨事故造成的后果要小于地铁列车出轨事故的后果。所以把道岔控制定义为SIL3，略低于地铁的SIL4是有合理性的。

从本文3.3的分析结论的角度，有轨电车道岔控制可以考虑定义为SIL3。

从国内有轨电车的建设和发展情况看，未来有轨电车的运营模式并未完全确定，事故风险尚未有统计数据，从这个角度考虑有轨电车道岔控制的SIL的定义尚有待讨论。

从设备情况看，国外用于有轨电车的轨道电路和转辙机设备多满足SIL3，国内的道岔控制器多具备SIL4的条件。计轴设备虽然满足SIL4，但是是否完全适用于有轨仍有待验证。

4.2 结论

综合各个因素，建议对于道岔控制的总体SIL要求定义为SIL3。

同时对于国内基础较好的道岔控制器，可以考虑对其提出SIL4的要求，这样通过提高该关键环节的等级一定程度增强了总体的安全性。

[1]夏进波.有轨电车正线道岔控制方案的设计研究[J].铁路通信信号工程技术，2016（3）：70-71.

[2] VICTORRIA T.S.2012 Annual incident statistics [M].Melbourne: Transport Safety Victoria,2013.

[3] CENELEC.EN50126-1999 Railway applications-The specification and demonstration of Reliability,Availability,Maintainability and Safety[S]. Brussels:CENELEC,1999.

[4] CENELEC.EN50128-2011 Railway applications-Communication,signalling and processing systems-Software for railway control and protection systems[S].Brussels:CENELEC,2011.

[5] CENELEC.EN50129-2003 Railway applications-Communication,signalling and processing systems-Safety related electronic systems for signaling[S].Brussels:CENELEC,2003.

[6] CENELEC.EN50159-1 Railway applications-Communication,signalling and processing systems-Part 1 Safety-related communication in closed transmission systems[S].Brussels:CENELEC,2001.

[7] CENELEC.EN50159-2 Railway applications-Communication,signalling and processing systems-Part 2 Safety-related communication in open transmission systems[S].Brussels:CENELEC,2001.

[8] CENELEC.EN50451-2007 Railway applications Systematic allocation of safety integrity requirements[S].Brussels:CENELEC,2007.