基于EPC因子的有轨电车信号系统安全完善度等级(SIL)评估
2018-05-02张小林
杨 娟 张小林
(上海富欣智能交通控制有限公司安全管理部,201203,上海∥第一作者,工程师)
现代有轨电车运行可靠、舒适、节能、环保、实用,作为城市新兴的一种先进的公交方式,已完成了从传统到现代化的转变,在世界上被广泛推广,充满了光明的前景。
随着有轨电车的快速发展,信号控制系统的安全性也越来越受到人们关注。目前对有轨电车信号控制系统的安全完善度等级(Safety Integrity Level,SIL)进行评估,主要采用基于风险矩阵的评估方法,通过对系统风险性质的分析,导出信号设备所需达到的SIL。
本文阐述了一种基于EPC(Exposure,Probaility,Consequence)因子的现代有轨电车信号系统的SIL评估方法。这种方法忽略那些不会导致灾难性后果的危害,减少对信号系统安全完善度等级的过度要求,有助于增强对有轨电车信号系统在工程应用中实施安全评估的合理性。
1 现代有轨电车信号控制系统
现代有轨电车信号系统主要包括正线道岔控制子系统、转辙机、信号机、轨道检测设备、平交道口信号控制子系统、车载子系统、操作维护子系统和车辆段联锁子系统。
信号系统提供自动控制功能(允许司机专注于运行的安全),并且提供降级和后备手动控制模式(允许司机进行本地控制操作)。当出现OCC(Operating Control Center)中心系统故障时,其具备车载自动控制功能,当所有支持中央和车载自动运营的设备均出现故障时,正线运行的有轨电车能够通过司机的手动控制继续保持运行,由司机操作线路上的道岔。
正线道岔控制器通过进路、信号机、转辙机之间的安全联锁实现信号显示及转辙机控制功能,从而保证进路排列的安全和有轨电车通过的安全。
平交道口控制功能主要实现有轨电车通过交叉路口的控制功能,与交管部门共同完成路口信号系统的功能扩充,实现各种交通车辆有序、高效通过运行。
信号控制系统用于对现代有轨电车系统中的信号设备(包括车载设备和地面设备)进行实时监督和控制,有轨电车无ATP(Automectie Train Protection)保护功能时,司机需使用人工驾驶模式看信号机显示来目视行车,以确保行车安全。
典型现代有轨电车信号系统的结构图如图1所示。
图1 系统架构框图
2 基于EPC的SIL评估
2.1 初步风险评估
信号系统安全功能所要求的SIL,是通过对安全功能的风险分析确定的,据此需要对安全功能相关的危害后果严重程度、危害发生频率和风险等级进行定义。将特定危害发生频率和危害后果严重程度进行综合,即得到风险矩阵。风险矩阵是结合了安全监管要求、风险自身性质、既有项目经验积累和轨道交通项目客户要求在内的,对信号系统安全功能所涉及风险的整体评价工具。
表1~3分别给出了危害后果严重程度分级、危害频率分级和风险可接受等级定义。表4是在其基础上形成的风险矩阵[1~3]。
上述各表构成了对信号系统安全功能进行风险分析方法的基础。一方面,对一个特定的信号系统安全功能相关危害,在明确了其发生的频率(A-F)及其导致的后果(I-III)之后,即可根据风险矩阵得出该危害的初始风险等级(R1-R3),以及需要缓解到的风险等级。另一方面,风险矩阵同时指出了两种风险缓解的方法:①降低危害事件的后果;②降低危害事件发生的频率。
表1 危害的严重程度及其后果
表2 危害发生的频率
表3 风险接受准则
表4 风险矩阵
对于有轨电车信号系统,降低危害事件的后果在技术上难度较大,一般通过降低危害事件的发生频率来降低整体的风险等级。在具体的信号系统工程项目中,理想情况是所有风险均应被缓解至R3。
2.2 EPC因子
上述基于风险矩阵的半定量风险分析方法是按照危害后果的严重程度和危害发生的频率,根据风险矩阵为该功能分配一定的SIL等级。在有轨电车信号系统项目实践中,这种方法可能会忽略影响风险的其他因素(特别是对那些不会导致灾难性后果的危害),从而导致对信号系统安全完善度等级的过度要求。
为了解决这个问题,参考文献[4-5],引入了3组潜在风险影响因子:①暴露于危害(Exposure)的概率E;②降低事故发生可能性(Probability)的概率P;③避免事故发生(Consequence)的概率C。
上述3个因子总称EPC因子,它们用于考虑除了安全设计和操作运营之外,其他有助于降低风险的因素。基于风险矩阵对风险进行数量级逐步减轻的原则,上述风险影响因子可以进行如下定义。
2.2.1 暴露于危害的概率E
因子E用于评估人员是否会暴露于持续发生的危害场景中。E的取值如表5所示。
表5 暴露于危害的概率E
2.2.2 降低事故发生可能性的概率P
因子P用于评估可用于降低事故发生概率的附加防护手段(这些防护手段也可以认为是降低了相关的风险)。P的取值如表6所示。
表6 降低事故发生可能性的概率P
2.2.3 避免发生事故的概率C
因子C用于评估可用于避免发生危害事故的额外防护手段。C的取值如表7所示。
表7 避免事故后果的概率C
2.3 在SIL评估中应用EPC因子
表8给出了EN 50129[1]中SIL和相应容许故障率(tolerable hazard rate)RTH之间关系的要求。对一项特定的信号系统相关风险,在确定了其所需达到的RTH后,即可确定其对应的安全功能的SIL,即相应给出了对承担该安全功能的信号设备的要求。
表8 SIL与RTH的关系
如上文所述,信号系统的风险缓解主要依靠降低相关危害的发生频率,这可以通过在RTH的基础上综合考虑EPC因子的影响来实现。在考虑EPC因子的情况下,风险严重性等级与对应的安全功能所要求的SIL之间的关系可写为:
风险后果的严重性等级n→ RTH,m=RTH,n/FEPC=LSI,m。
这里的 RTH,n是指原始失效率;RTH,m是指考虑了EPC之后的失效率;LSI,m是指考虑了EPC之后的安全完善度等级;FEPC为EPC因子;m是介于1和4之间的自然数。考虑EPC各种评估情况的组合,则可得到风险严重性和对应的LSI,m之间的关系,如表9所示。
表9 EPC因子FEPC及SIL等级
这样,对一个特定的安全功能,可根据其失效的后果及所容忍的风险得到相应的RTH,然后在考虑EPC的基础上导出对应的SIL,即完成了该安全功能的SIL评估。这一过程充分考虑了信号系统实际运营过程中可能影响安全风险的非技术因素,增强了所得到的SIL对项目实践的匹配程度,提高了系统功能安全要求在工程应用中的合理性。
2.4 信号设备的SIL确定
通过上述风险评估过程得到的SIL,是安全功能的识别,应经过专门的功能风险分析(如失效模式及后果分析,FMEA),并将其功能职责合理分配到相关信号设备中,达到对信号设备生成功能SIL要求的目的。
3 应用实例
以现代有轨电车信号系统(正线)的道岔控制器和道岔转辙机为例,结合上文所述方法,分析在未引入EPC之前和引入EPC因子之后,对各个设备所承担安全功能对应的SIL进行评估的过程。
3.1 正线转辙机
不同的正线转辙机故障模式,其所选取的EPC因子也不相同,本文分别对各种模式下的EPC因子选取进行了说明。
1)故障模式1:道岔密贴失效,即道岔实际没有密贴到位但还是给出了相应位置表示,导致列车高速通过道岔时脱轨,后果等级保守估计为I,则相应的发生频率(RTH)需要达到10-9~10-8,才能达到R3的风险水平。为此:
E选择为1,保守估计为乘客连续暴露在该危害下。
P选择为0.1,定期的检修可以发现道岔密贴故障,正线道岔转辙机只具有简单的硬件电路,没有软件,并且由于其功能简单,一次人工例检可以遍历其所有的功能,进而可以检测出所有的故障。
C选择为1,没有其他的措施可以避免发生事故的概率。
根据 RTH,1=RTH/FEPC=10-8~ 10-7,对应的安全等级为SIL3。
2)故障模式2:道岔锁闭失效,即道岔在列车高速通过时由于列车的冲击和震动而存在移动,造成脱轨,后果等级保守估计为I;但道岔锁闭的机制一般为机械锁闭,不属于功能安全的范畴,因此不适用于SIL的应用。该风险的防范主要通过机械的设计以及机械材料的选择,通过测试以及后期的维护保养来保证。
3)故障模式3:道岔位置表示错误,即给出了不正确的道岔位置,如实际反位但却给出定位表示,列车通过时造成高速脱轨,后果等级保守估计为II,则相应的发生频率(RTH)需要达到10-9~10-8,才能达到R3的风险水平。为此:
E选择为1,保守估计为乘客连续暴露在该危害下。
P选择为0.01,有两重因素降低该危害发展成事故(Accident)的概率。因素1为定期的检修可以发现道岔表示故障,因素2为道岔控制器对于道岔表示的监测,如同时为定位和反位的合理性检查,同时还有道岔命令和表示的闭环一致性检查。
C选择为1,没有其他的措施可以避免发生事故的概率。
根据 RTH,3=RTH/FEPC=10-7~ 10-6,对应的安全等级为SIL2。
4)故障模式4:道岔处于机械动作模式但未给出正确的模式表示,在人工机械动作模式时道岔控制器输出动作道岔,导致操作人员受伤,后果等级保守估计为I,则相应的发生频率(RTH)需要达到10-9~10-8,才能达到R3的风险水平。为此:
E选择为0.1,平时工作在电操模式,只有在维护或人工机械操作道岔时才会暴露在该危害下。
P选择为0.1,当道岔在机械操作模式时会自动断开电操电路。
C选择为0.1,操作流程规定在本地机械动作道岔时人员远离道岔动作部分
根据 RTH,4=RTH/FEPC=10-6~ 10-5,对应的安全等级为SIL1。
3.2 正线道岔控制系统
故障模式1:联锁功能失效导致列车撞车或道岔错误转动致列车脱轨,后果等级保守估计为I,则相应的发生频率(RTH)需要达到10-9~10-8,才能达到R3的风险水平。为此:
E选择为1,保守估计为乘客连续暴露在该危害下。
P选择为1,无法降低事故发生的概率,正线道岔控制系统有复杂的控制逻辑,仅靠日常简单的例检可能尚不足以发现一些故障。
C选择为1,没有其他的措施可以避免发生事故的概率。
根据 RTH,1=RTH/FEPC=10-9~ 10-8,对应的安全等级为SIL4。
3.3 小结
按照标准[5]规定,如果系统中不同安全功能的SIL等级不相同,整个系统的安全等级由SIL等级最高的决定。在引入EPC因子之前,正线道岔控制器和转辙机的安全完善度等级均需达到SIL4;引入EPC因子以后,正线有轨道岔控制系统的安全等级需要达到SIL4,正线转辙机的安全等级可以降到SIL3。
4 结语
本文阐述了一种基于EPC因子的现代有轨电车信号系统的SIL评估方法。该方法利用风险矩阵对系统各组件所承担的安全功能进行风险分析,并引入EPC因子导出系统各组件所需达到的安全完善度等级。在现代有轨电车信号系统中应用该方法的实例表明,通过引入EPC因子,可以得到对包括道岔控制器、转辙机、轨道检测设备在内的关键信号设备功能且更加符合系统运营情况和工程项目实践的SIL要求。
信号系统的安全完善度等级的合理确定,有助于提高信号系统的安全性和稳定性。而安全完善度等级的确认与风险矩阵的选取有直接关系。目前在现代有轨电车领域,尚缺少权威统一的风险矩阵。制定统一的行业风险评价标准和风险矩阵,是现代有轨电车向更深层次发展过程中需要重点解决的问题之一,应引起行业主管部门的充分重视。
[1] European committee for electrotechnical standardization:EN 50129—2003[S].
[2] European committee for electrotechnical standardization:EN 50126—1999[S].
[3] European committee for electrotechnical standardization:EN 50451—2007[S].
[4] Functionalsafetyofelectrical/electronic/programmableelectronic safety-related systems:IEC 615080—2010[S].
[5] MOD safe modular urban transport safety and security analysis WP4-D4.1,state of the art analysis and review of results from previous projects[R].[S.l.]:European Commission,Seventh Framework Programme,2010.