湖南中车时代通信信号有限公司 湖南长沙 410100

1 概述

列车运行控制系统是实时控制列车安全运行间隔，防止列车超速运行的铁路核心技术装备和安全关键系统。本文主要分析列车运行控制系统产品研发阶段如何引入和分析操作与支持阶段的安全风险，以达到降低安全风险、提高列车运行控制系统安全性，确保铁路安全和科学发展的目的。

2 安全风险评估原理

安全风险评估作为系统安全学科的一个重要内容，从风险的视角研究系统的安全问题，代表着系统安全工程的最新理念和发展方向。安全风险评估的基本思想是通过缜密地辨识系统中各种潜在的危险源，并且科学地分析危险源的安全风险水平，达到了解、掌握风险的目的，然后釆取有效的控制措施，消除或降低危险源的风险，将系统的安全风险水平控制在可接受范围之内，从而实现系统安全的目标。ALARP是风险评估原理之一。ALARP根据接受准则边界来划分风险区域，并确定以下三个区域：(1)应采取减轻措施的上部风险区域；(2)分析评估减轻措施的中部风险区域；(3)可不采取进一步措施，便可接受风险的下部风险区域。风险处于不能接受的区域时候，必须采取控制措施，使得风险能够降低到可容忍的区域及以下。

3 操作与支持风险识别方法

操作及支持风险分析就是系统在初始研发过程中提前识别和评价系统在制造、配置、软件安装、系统装配、测试、操作、维护、维修、运输、贮存、修改、停用与处置等过程中与环境、人员、规程和设备有关的风险，并给出具体的解决措施，将具体的解决措施纳入到系统的需求规范中，以使得系统更加的安全、可靠。如何识别操作与支持阶段的安全风险是整个安全风险管理的基础和关键环节，风险识别是否全面、准确，都会直接影响系统安全风险分析与控制的效果。主要通过HAZOP 危害和可操作性分析方法进行。危险与可操作性分析法，是以会议的形式，组织一个背景不同、经验丰富的专家小组共同完成，包括制造、服务、销售、质量等方面的专家。通过引导词与节点的参数构成的偏差来逐步引导、启发专家组成员的思维，对系统中潜在的危险以及操作性问题进行全面和系统地辨识，并分析危险源发生的原因和可能导致的后果，提出风险控制措施，最后将分析结果详细记录在HAZOP记录表中。会议的记录表在会议后将会议成果反馈给各位专家，以便专家确认和修改。

表1 操作、维护阶段危险列表

4 列控系统操作与支持风险分析具体实施

4.1 操作与支持风险分析的内容

操作与支持风险分析主要是对规程和人为差错进行分析。操作与支持危险分析包括两个部分的分析工作：第一部分分析的目的是使设计人员制定的操作与支持规程导致人员伤亡的概率降至最低；第二部分分析是研究由于操作人员偏离设计人员制定的规程可能导致意外的伤亡事故，通过控制可能产生危险的行动来消除危险或者减轻危险。针对操作人员的动作可能造成或诱发意外的伤亡事故，列出任何可用于设计或规程的措施，以消除或降低产生危险的概率，假如不能消除其危险动作的产生，则采取措施，以避免或尽量减少可能发生意外事故的不利影响。列出应当写入手册、说明书或设备标签上的任何警告、提示或其他注意事项。需要分析操作与支持阶段的主要活动内容，其各阶段主要的任务有哪些，以便从这些任务中分析出可能存在的危险，其主要的相关任务内容如下：制造阶段：（a)产品制造计划；（b)器件管理；（c)零部件的制造；（d)出厂检测；配置、软件安装、系统装配阶段：（a)应用设计模板；（b)设备组装；（c)安装外设；（d)配线；（e)生成配置数据；操作、维护阶段：（a)开关机；（b)热插拔；（c)更新程序；（d)下载数据；（e)设备使用；维修阶段：（a)定位故障；（b)修复设备；（c)更换设备；运输、贮存阶段：运输、贮存过程中防振动、静电和潮湿处理程序，贮存长时间后再次使用处理程序；修改阶段：（a)实施修改请求程序；（b)实施修改与更新程序；（c)考虑修改和更新的安全蕴涵；停用与处置阶段：（a)编制停用和报废处置计划；（b)执行停用；（c)进行处置。

4.2 危害和可操作性分析HAZOP分析

列车运行监控记录装置（LKJ）属于列车运行控制系统设备，是中国技术人员自主研究开发的以防止列车冒进信号、运行超速和辅助司机提高操纵能力为主要目标的列车速度控制系统。是列车运行控制车载系统重要的设备，目前国内正在进行第三代LKJ新设备的研发，以满足行车安全装备的要求的进一步提高。为了进一步提高新一代LKJ设备的系统安全性，通过HAZOP会议形式对新一代LKJ车载设备进行操作与支持风险分析，根据操作与支持各阶段任务表进一步分析得出其中操作、维护阶段的HAZOP会议记录如下所列，分析出导致的顶层危害为：未按预期输出紧急制动指令。

4.3 操作与支持风险分析结果及其追踪

操作与支持危险分析在HAZOP会议讨论出危险源发生的原因和可能导致的后果，以及风险控制措施的记录表以后，再进行相应的完善，形成完整的危险记录册。依据ALARP风险评估原理得出危险的原始风险发生的频率和严重性以及风险等级，通过各种风险控制措施实施后，探讨是否能有效的将风险控制到了可接受的范围内；其次确定风险控制措施有效以后，将风险控制措施纳入到系统需求规范，以及确定减轻措施的管控人员；再而检查风险控制措施在后续设计与实现阶段的具体的执行情况，如没有执行，则要求更改设计方案；检查风险控制措施在制造安装阶段的具体执行情况，如无完成，则需要增加相应的用户手册内容，并通过模拟危险故障，检查系统是否达到了系统需求规范的设计要求，以及规章制度的查核情况；最后在所有查核记录都达到了完成状态的情况下，对该条危险进行关闭，以达到最终风险闭环控制的效果，系统的安全性能得到了保障。

5 结语

随着计算机技术在列车运行控制系统中的广泛应用，系统的复杂性和不确定性大大增加，传统的安全技术和评估方法已经不能适应列车运行控制系统安全性的要求，需要我们提前从整个系统安全生命周期去考虑列车运行控制系统的安全问题，而不仅仅在系统设计开发完成之后出现问题再做补救。基于HAZOP方法的危险源辨识方法使得我们在进行安全系统设计时，便可以知晓系统中潜在的事故因素，便于在系统设计时及时采取安全措施，为整个系统安全性的保障打下了坚实的基础。