城市轨道交通车辆系统安全完整性等级分析
2019-11-12付世亮
付世亮
(中车浦镇庞巴迪运输系统有限公司,241060,芜湖//工程师)
与常规的轨道交通相比,全自动运行的轨道交通系统更强调系统的可用性和安全性,要求关键运行设备采用冗余设计,减少运行故障,并在满足系统正常运行的前提下,具备较强的抗干扰能力及故障恢复能力。因此,针对全自动运行线路车辆系统的安全也提出了新的需求。
国际标准IEC 61508—2010[1]和欧洲电工标准化委员会(CENELEC)制定的EN 50126-1—2017[2]、CLC/TR 50126-2—2007[3]、EN 50657—2017[4]等铁路安全防护标准都提出了安全相关系统的“安全完整性等级(Safety Integrity Level,简称SIL)”概念。目前轨道交通行业非全自动运行系统中,主要围绕信号系统中涉及的安全功能提出了SIL要求。信号系统主要基于风险图方法来确认系统的SIL[5]。
本文通过对轨道交通车辆系统的风险辨识、安全功能、安全完整性、安全要求等方面的内在联系进行分析,提出了一种基于风险图进行车辆系统SIL分配的方法。
1 安全完整性等级(SIL)
IEC 61508—2010标准将SIL定义为一种离散的等级,共有4种可能等级,分别对应不同的安全完整性量值范围。其中:安全完整性等级4(SIL4)最高,安全完整性等级1(SIL1)最低。EN 50126-1—2017和EN 50657—2017则是将SIL定义为多种离散的等级,用于指定相关功能的安全完整性要求,以便分配给与之相关的安全系统。
SIL的定义[6]可以概括为3个方面:安全功能、定量指标、SIL的分配。因此,SIL不仅是安全相关系统开发、设计的要求,也是安全相关系统评价的依据。
1. 1 SIL的安全功能
唯一确保安全的功能是安全功能。安全相关功能是一种系统失效影响安全的功能,因此,所有安全功能都是与安全相关的,反之亦然。
目前,轨道交通车辆系统安全功能识别方法有3种:
1) 常规方法:通过识别危害清单进行风险分析,从而确认其安全功能。主要的风险识别方法包括初步危害分析(PHA)、危害与可操作性分析(HAZOP)、失效模式及影响(FMEA)、检查表等。但是,常规的识别方法主要依靠人的主观判定和经验,如通过头脑风暴法、专家评审法等进行识别。由于分析人员分析经验及主观判定等的局限性,造成安全功能识别的不完整,或安全判定存在偏差。针对此问题,可采用工程文件及历史故障经验梳理相结合的方式,全面、完整地识别出轨道交通车辆系统的安全功能。
2) 根据工程文件确定安全功能。运用需求管理逐条识别工程文件(技术合同)中技术章节,通过评审识别相应的功能需求,梳理出安全功能和非安全功能。例如,轨道交通项目车辆系统的招标文件经常要求将车辆制动系统紧急制动功能的安全等级定为SIL4。
3) 根据车辆系统的历史经验确定安全功能。由于轨道交通车辆系统并非是全新设计,而是在以往项目的基础上进行改建或优化,因此,可以直接使用以前项目确认的安全功能或者过往项目的涉及到安全的故障信息,用以确定车辆系统的安全功能。
通过以上3种方法分析或识别轨道交通车辆的安全功能后,再进行交叉检验和完整性确认,则可全面地识别出轨道交通车辆系统的安全功能。
1. 2 SIL的定量指标
安全完整性是在规定时间段内和规定条件下,安全相关系统成功执行规定安全功能的概率。安全完整性越高,安全相关系统未能按要求执行规定的安全功能或未能实现规定状态的概率就越低。安全完整性由硬件安全完整性和系统性安全完整性共同构成。
IEC 61508—2010定义了电气/电子/可编程电子类安全相关系统的功能安全,可应用在电子、宇航、汽车、原子能、化工、冶金等多个领域。该标准定义了4个级别的SIL,并对“要求时危险失效平均概率”(PFDavg)这一指标进行了量化。
铁路安全防护标准EN 50126-1—2017则定义了“每个功能可容忍故障率”(TFFR)的概念。表1是SIL与失效概率的对应关系[2]。
表1 SIL与失效概率的对应关系
通过表1对PFDavg和TFFR进行对比可以看出,IEC 61508—2010同样适用于轨道交通行业,但在进行具体的应用时,需要结合EN 50126-1—2017对参数进行优化。
1. 3 SIL的分配方法
IEC 61508—2010推荐以风险图法作为SIL的分配方法。风险图法最早源于德国的安全标准,主要用于考察对人员造成的影响。德国高铁监管部门基于风险图方法,也制定了可用于确定轨道交通各系统SIL等级的方法。
基于定性和基于分级的方法,采用可能性、后果、处于危险区域的时间(暴露时间、暴露频率)和避免危害事件的可能性等4个参数来确定安全完整性水平。每一个参数都已有相应的分级标准,具体定义如下:
1) 后果用C表示。基中:C1表示发生人员轻微伤害的事件;C2表示造成对1人以上造成严重的永久性伤害或个人死亡的事件;C3表示造成多人死亡的重大事件;C4表示造成非常多人死亡的严重事件。
2) 危害区域的频率和暴露时间:用F表示。其中:F1表示很少在危害区域暴露;F2表示经常在危害区域长期暴露。
3) 避免危害事件的可能性:用P表示。其中:P1表示在某些情况下可能;P2表示几乎不可能;
4) 不期望事件发生的概率:用W表示。其中:W1表示非常低,即有害事件发生的可能性非常小,只有少数有害事件可能发生;W2表示低,即有害事件发生的可能性小,有害事件很少发生;W3表示高,即有害事件发生的可能性相当高,可能频繁发生。
风险图法根据不同风险对人员、环境和财产的影响程度、发生频率等方面,以及人员出现频率和是否能避免事故发生等情况,确定SIL等级。图1为IEC 61508—2010推荐的风险图。
值得注意的是,由于铁路安全防护标准EN 50126—2017中第E.10条对风险图法的使用存在疑问,特别指出在安全完整性等级中如果采用风险图方法,其参数和类型中并没有在轨道交通行业内达成一致。
但是仅从轨道交通车辆系统角度看,车辆系统的复杂程度远低于整个轨道交通系统,而且,因车辆系统造成的危害场景和后果可以通过分析进行预判。因此,本文认为通过对风险图中4个参数和SIL定量指标的校核,风险图法可用于轨道交通车辆系统进行SIL分配,并可确定车辆系统各安全功能的SIL。
图1 IEC 61508—2010推荐的风险图
2 轨道交通车辆系统SIL分配的过程
城市轨道交通车辆系统是集合机械、电气、通信于一体的综合系统,各部分通过连接共同完成车辆系统的功能和安全功能。通常根据功能和物理架构将车辆系统分为多个子系统,如:车体、车体外部设备、车门、转向架、车内设备、空调系统、牵引辅助系统、制动系统、乘客信息系统、列车信息系统、防火安全系统等。针对车辆系统组成的复杂程度,在进行安全完整性等级分析时,需要从车辆系统顶层功能识别开始,直到明确各子系统/子功能的安全要求。整个SIL分配过程流程图如图2所示。
2. 1 车辆系统安全功能识别
轨道交通项目车辆系统的招标文件(客户的技术规格书)中给出了部分功能需求。首先对车辆系统中相关功能并且可由E/E/PE执行的功能进行识别,再结合历史经验和工程经验进行查漏补缺。
对客户的技术规格书中功能列表和公司历史经验进行汇总形成功能列表后,进行交叉检查和完整性确认,使车辆系统安全功能列表更加完整。
2. 2 危害识别
在进行车辆系统的风险分析之前,除了要确认系统安全相关控制功能之外,还需要对系统可能出现的功能性故障及由于该故障引起的危害进行分析。通常将由于车辆系统故障造成的危害等级分为4级:灾难性的、严重性的、次要的和轻微的。
对IEC 61508—2010和EN 50126-1—2017中严重等级的定义进行对比,表2列出2个标准间严重级别的关系。IEC 61508—2010将重大损失分别考虑(C4多人死亡),这主要是由于IEC 61508—2010还涉及到与化工、核电等行业。因此,在风险图法参数“后果C”中需要校核C4的定义。严重等级C4只适用于会导致非常极端后果的危害。
图2 轨道交通车辆系统SIL分配流程图
2. 3 风险图参数的校准
IEC推荐的风险图法是一种定性分析方法,各参数缺少定量的指标。因此需要对风检图进行校准,为风险图的各参数进行赋值。因此,给每个参数分配1个指标或标准定义,使得当组合应用时,也可以对缺乏特定安全功能下存在的风险进行分析。这样做的其目的是通过某种方法描述所有参数,使分析人员或团队能根据风险图的具体应用进行客观和易于理解的判断,确保轨道交通车辆系统的SIL符合相应的风险准则;通过实际应用也可进一步验证参数选择的正确性。此外,这样做还确保了安全功能分配的安全完整性等级符合项目或实际的风险标准,并考虑了其他来源的风险。因此给每个参数赋予1个指标或标准定义,也可以对缺乏特定安全功能下存在的风险进行分析。表3列出了后果参数C校准后的分类;表4列出了危害区域的频率和暴露时间参数F校准后的分类;表5列出了避免危害事件的可能性参数P校准后的分类。表6列出了不期望事件发生概率W校准后的分类。
表2 EN 50126和IEC 61508严重性级别的关系
表3 后果(C)参数校准后分类
表4 危害区域的频率和暴露时间(F)校准后的分类
表5 避免危害事件的可能性(P)校准后的分类
表6 不期望事件发生的概率(W)校准后分类
2. 4 车辆系统安全功能SIL分配应用
图3 车辆制动系统的功能框图
根据轨道交通车辆功能描述及其定义,确定车辆制动系统的主要功能为:提供减速度和维持车辆静止状态。图3为车辆制动系统顶层的功能框图。由图3可以看出,通过对车辆功能的危害分析,“使车辆降速(行车制动)”是制动系统的常规功能,并不属于安全功能;“防止故障(监测和诊断)”是制动系统的辅助功能,该功能属于安全功能。车辆制动系统的SIL要求为:①“防止列车超速和相撞(紧急制动)”功能应达到SIL4;②“防止故障(监测和诊断)”功能应达到SIL2;③“施加和释放驻车制动”的功能应达到SIL2;④“提供驻车制动器的状态”功能应达到SIL1;
据工程和历史经验,车辆制动系统在完成提供减速度时,“紧急制动”功能独立运行,且与行车制动并行。因此,将SIL4的要求分配在这2种功能之间。
分析和梳理车辆制动系统的子功能,包含了获取制动需求、优先考虑制动需求并选择制动模式、分配制动力、施加和缓解制动力、提供车轮滑行保护等方面。根据“防止列车超速和相撞(紧急制动)”功能应达到SIL4的要求,这些子功能的实现方式至少需要1条路径达到SIL4才能满足要求。
基于各子功能架构描述和确定边界,分析得到制动系统各子功能的安全完整性等级要求为:①获取制动需求:“分配制动力的列车线路径”功能应达到SIL4,或TFFR<1×10-8/h(列车线独立于列车控制与管理系统、制动控制单元和牵引控制单元);②分配制动力:“紧急制动阀施加100%制动力(超越制动控制单元的命令)和牵引控制单元用以打开高速断路器(抑制和取消了电制动)”功能应达到SIL4,或TFFR<1×10-8/h;③施加和缓解制动力:“施加制动力(紧急制动阀)的列车线路径”功能应达SIL4,或TFFR<1×10-8/h(紧急制动阀的激活和功能独立于制动控制单元和牵引控制单元);④提供车轮滑行保护:电制动和空气制动不会在同一转向架上并行工作,“车辆滑行的时候切除电制动仅保留空气制动的硬件路径”功能应达到SIL4,或TFFR<1×10-8/h。
全自动运行系统中车辆系统承担的功能与整个运行系统的功能目标、安全功能分配、与其他系统的接口等密切相关,应从工程项目和系统角度出发对具体的车辆系统进行系统性的分析。
3 结语
城市轨道交通车辆系统安全完整性SIL的研究可为全自动运行系统中的车辆系统安全设计及评估提供依据。在新建项目的设计中,更需要识别安全功能及SIL的定量分析和项目特定应用的安全评估。针对全自动运行系统的其他核心设备,如综合监控、通信、站台门等,同样适用基于风险图法来确定系统的SIL。