袁文静，程建峰，王前选，周伟

（1.中车青岛四方机车车辆股份有限公司，山东 青岛 266111；2.五邑大学 轨道交通学院，广东 江门 529020；3.中南大学 交通运输工程学院，轨道交通安全教育部重点实验室，湖南 长沙 410075）

轨道交通车辆运营质量关系到旅客的生命财产安全，随着轨道交通车辆技术的创新性发展，对安全运营的要求持续提高，安全需求规范日渐完善. 安全需求是否已经落地，除了制造商本身确认外，运营方也亟需专业机构从第三方角度做出公正评估以增加对安全的信心，于是独立安全评估应时而生. 独立安全评估是判定系统（产品）是否达到规定的安全要求的过程，并且会形成一个关于系统（产品）是否满足预期的特定安全目的的评判. 其名词中的独立是对评估员独立性的要求，即评估员应始终不受项目经理的管辖，具体详见EN50126-2：2017中7.1节之规定.

我国从2008年至2012年，先后对欧洲独立安全评估所参考的标准EN50126、EN50128、EN50129等进行了翻译并形成相应的国家标准[1]. 深圳地铁 3号线是中国大陆各城市城轨项目中较早引进系统化安全管理与独立安全评估的工程之一[2]. 独立安全评估应评估安全管理标准的要求是否已得到遵守、安全流程是否落实到位、所考虑的系统（从安全角度出发）是否与其预期目的相适应[3]. 目前开展轨道交通车辆独立安全评估主要是为车辆系统相关安全的结论提供足够的信心[4]，确保车辆系统识别的风险已被控制并已经降低到可以接受的程度. 独立安全评估的任务主要包括：确认本项目充分识别了车辆的风险，且风险均被充分管理；确认本项目所识别的风险均具有充分、恰当的控制措施，并且这些控制措施都被有效记录并管理；确认制定的风险控制措施均充分实施并得以充分验证，确保风险已经降低到可以允许或接受的程度.

1 轨道交通车辆独立安全评估策略

1.1 独立安全评估的方法

面对中国铁路迅猛的发展趋势，国外许多安全评估机构都预见到了中国铁路行业发展新的机遇.莱茵公司、必维公司、里卡多公司等在国内轨道交通领域开展的独立安全评估项目的推进，展示了他们在该领域的优势[5]. 目前评估机构对独立安全评估的操作指南研究较多[6]，但对于轨道交通车辆的整车独立安全评估方法研究较少，温州市域铁路 S1线车辆是在我国率先进行整车第三方独立安全评估的项目[7].

目前欧盟铁路发达国家及美国铁路主要采用基于风险的安全管理[8]，EN50126-2：2017介绍了风险评估和危险控制的沙漏模型，该模型主要说明了两方面的内容：一是通过风险评估形成操作和技术方面的安全要求；二是危险控制，通过确定和分析原因，设计和实现控制措施来达到上层系统规定的功能安全要求. 基于风险的方法和基础概念要求重点关注高风险区域，该方法采用持续的风险管理活动来保证独立安全评估采取的方向与系统安全的风险和问题保持一致.

考虑车辆系统复杂程度较高、运行场景复杂，尤其在车辆系统的独立安全评估逐步推广阶段，本文提出了综合运用“基于风险评估”和“符合性评估”的方法对车辆系统设计方案进行独立安全评估，详见图 1. 对于每一个系统的设计方案，既要考虑是否满足了合同和相关标准的安全需求，又要考虑项目特定应用场景和可能危害场景中采取的防护措施是否充分. 针对项目特定子系统侧重点会不同，一般来说对于有明确设计标准的机械系统来说主要进行符合性评估，对于电气控制相关的系统则更多考虑采用基于风险的评估. 综合运用“基于风险评估”和“符合性评估”的评估方法还可根据车辆系统项目的特征，在进行独立安全评估具体方案时对两方面的侧重点进行具体规划.尤其对那些从设计到生产周期较长的重点问题、高风险问题应投入更多资源，以保证项目计划不会被影响、潜在的安全问题全方位展现并得到有效控制.

图1 独立安全评估方法

1.2 独立安全评估的流程策略

车辆系统的独立安全评估基于EN50126标准中生命周期1～9阶段的产品安全活动，审核的主要系统包含但不限于车体、转向架、门、窗、贯通道、网络通信、制动系统、牵引系统、辅助系统、空调系统、通风系统以及重量管理、防火管理、EMC管理、噪音管理等，车辆系统功能庞大，系统及零部件众多，不同的车辆制造工厂的子系统分类或名称略有不同，详见表1.

表1 轨道交通车辆专业分类（参考）

对于车辆整车的独立安全评估，首先应从整车系统层面作为启动和切入点进行评估，然后再对各个子系统进行评估，最后将整个系统层面评估的结果与各个子系统的评估结果进行整合分析，确认安全风险得到了有效控制. 本文提出的车辆整车安全评估策略的思路是结合生命周期进行安全需求评估.

1.2.1 结合安全生命周期的评估思路

安全管理过程的各阶段和活动与 EN50126标准中定义的 12个系统生命周期阶段和活动是一致的，同时与安全生命周期密切相连. 对于一个整车车辆的独立安全评估工作，绝大部分需要评估的内容是设计阶段的活动. 系统生命周期的设计阶段可以看作是一个“自上而下”的过程或活动，之后进行整车系统集成和确认活动，其中的确认活动是一个“自下而上”的过程，整个设计确认过程呈“V”型结构，如图2所示.

图2 生命安全周期的设计和确认阶段

车辆整车的独立安全评估过程可根据设计确认的“V”型过程进行，从车辆集成层面进行综合危害分析与风险评估，识别出安全需求，再分解到子系统，整车过程具备逐层向下分解的能力，各子系统的设计确认也按照此模型进行危害分析与风险评估，子系统完成集成与接口确认，最后再到系统整车集成与接口层面确认.

1.2.2 结合车辆安全需求的评估思路

车辆系统设计开发的过程中，要求设计师从车辆系统的技术需求中识别出安全相关的需求，该安全需求可以不独立生成文档，但是要能明确识别并从系统需求中分离出安全需求和非安全需求.车辆进行独立安全评估时，重点对安全需求进行评估，确认其风险并分别识别、管理，直至降低到可接受的水平.

如图 3所示，在车辆的独立安全评估过程中，安全需求分为安全功能需求和其他安全需求. 功能安全需求又分为电子安全功能（承担安全功能的系统、设备或部件有电子、电气和可编程器件）需求和机械功能安全需求. 电子安全功能需求指的是安全完整性等级要求.

系统完整性失效和机械系统失效的风险管控是一个定性的分析过程，无法进行量化计算[9]. 首先要保证设计过程是在一个有效稳定运行的质量管理体系下完成，例如 ISO9001、IRIS22163等，这样就确保了系统设计过程中的风险已经降低到一般行业领域的水平；通过有效的安全管理过程，可以进行定性的分析，通过采取一定的有效措施后，最终使剩余风险达到可接受水平.

对于随机完整性失效则通过功能的SIL认证、提高元器件的可靠性等方式进行风险控制；机械的随机失效通过标准规范的符合性确认满足系统分配的可容忍危害率THR（Tolerable Hazard Rate）.随机完整性失效和随机失效可进行量化的风险分析和计算，通过采取技术措施降低风险.

图3 基于安全需求的评估思路

对于非安全功能的其他安全需求，除确保在有效稳定的质量管理体系下完成设计和确认活动外，仅进行符合性内容的确认即可，例如符合顾客要求、符合技术标准等. 其中值得注意的是，实施安全功能评估需要功能安全评估人员独立于项目且有相应的能力[10].

在车辆的独立安全评估过程中，由于系统庞大，无论设计还是评估单靠一个或几个人员难以实现，而接口方面的设计和评估容易出现遗漏，因此接口的风险评估尤其重要. 接口分为系统内部的接口，比如车辆系统中车门与 TCMS 系统的接口；也包括系统的外部接口，比如车辆系统与轨道系统的接口. 接口间只有遵守一定的规则才有可能有机地连结和衔接，才能安全、可靠地实现系统的整体功能和各自的功能.

因此在独立安全评估过程中，需要将风险的接口作为分析评估的专题，比如车辆与信号系统的接口，其中转向架、走行部及导向系统与轨道的接口. 特殊的以及复杂的接口，可在基于场景分析的评估中进行梳理，得出需要特别关注的接口，进一步细化分析评估. 不同类型的接口，其分析评估的方法有一定的区别，比如控制电路和通信的接口与机械结构的接口就有着截然不同的特性，因此将采用不同的分析评估方法.

2 车辆系统安全技术要求及应用

2.1 安全完整性等级

顾客招标过程对于安全完整性的通常要求如表 2所示. 根据车辆的运营场景不同，以下安全功能会有所增加或安全完整性等级更高. 例如跨座车辆除了通常采用胶轮转向架，还应考虑胎压监测功能的SIL2要求.

表2 轨道交通车辆系统安全完整性等级一般要求

2.2 技术安全要求的分析应用

由于车辆系统较为复杂，安全功能及执行安全功能的子系统所涉及的安全技术要求错综复杂，独立安全评估的内容就是识别围绕安全功能的技术要求是否满足，所采取的技术措施是否有效落地.图4以车辆的高压牵引子系统所执行的安全要求为例，介绍如何评估子系统的技术安全要求.

图4 牵引高压系统的安全技术要求

根据本文提出的评估方法和策略，针对车辆的牵引高压系统的安全功能需求包含三项：牵引切除功能SIL2、再生制动功能SIL2和方向控制功能SIL1；其他技术安全需求主要涉及超速保护能力、故障运行能力、坡道救援能力、接地保护措施、防雷电设计和弓网受流性能，也包含设备件的强度设计.

2.3 子系统SIL认证接受原则

根据EN50126的要求以及目前铁路行业SIL认证的实际情况，一般各子系统供应商提供的SIL认证证书分为三类：通用产品、通用应用和特定应用. 在对整车车辆进行独立安全评估时，根据证书类别的不同，采取如下接受原则：

1）通用产品和通用应用证书. 目前国内铁路车辆行业大部分SIL证书为通用类证书，对于这类证书，评估方在交互认可时，除了审核证书的认证范围和安全功能清单，还将重点审核通用证书与本项目特定应用之间的差异：如果评估方认为差异与安全无关，则接受通用 SIL证书+差异性分析报告；如果差异存在安全方面的影响，那么根据安全影响程度评估方可要求供应商对差异部分继续进行SIL认证，此时最终接受的形式为通用证书+差异性分析报告+差异部分的SIL认证.

2）特定应用证书. 如果供应商能够提供特定应用SIL证书，则对证书使用条件进行核对确认，并确认认证的产品无任何变更；如果由于周期问题未获得证书，则可审核SIL认证机构资质，待获得SIL评估报告的结论后，并评估方可直接接受特定应用证书.

3 结论

本文结合车辆系统的设计经验和车辆系统的独立安全评估经验，在不断总结评估思路和安全技术要求的基础上，创新性地提出了符合性评估和基于风险评估相结合的评估方法，提出了伴随安全生命周期、伴随安全需求和关注系统接口的评估策略，并探讨了该方法和策略在轨道交通车辆独立安全评估中的实际应用，希望能给从事轨道交通车辆独立安全评估的人员提供一定的帮助和借鉴.在未来轨道交通车辆独立安全评估体系成熟后，相信轨道交通车辆产品独立安全评估将成为车辆是否可以上线运营的重要标准之一，为我国轨道交通行业提供进一步的安全保障.