常吕国，高慧丽，周 伟，彭 勇

（1.中车青岛四方机车车辆股份有限公司，山东青岛，266111；2.中南大学交通运输工程学院，轨道交通安全教育部重点实验室，湖南长沙，410075）

“安全第一，预防为主”[1]是铁路运输经年不变的行业准则，对轨道交通车辆系统进行独立安全评估，越来越在行业中得到推广。欧盟铁路发达国家及美国铁路主要采用基于风险的安全管理[2]，将独立安全评估作为事先安全预防管理的重要手段。在法律法规比较完整的部分欧洲国家，独立安全评估已成为管理轨道交通安全的重要手段[3]，甚至将其强制规定为轨道交通车辆投入运营的基本前提。这一强制要求不仅在欧洲全面推广，在很多采用欧标的国家和地区，如：中东，拉美，东南亚和中国香港、中国台湾，都已被业内广泛接受。另外，美国的AAR 认证体系也有类似的安全审批要求，俄罗斯的海关联盟认证体系对铁路系统的安全要求写入海关联盟技术法规CU-TR 系列技术规范。近年来，随着国内轨道交通技术的发展以及标准的跟进，独立安全评估越来越在行业中得到推广：国内从2008 年至2012 年，先后对欧洲独立安全评估所参考的标准EN50126、EN50128、EN50129等进行了翻译并形成对应的国家标准[4]。独立安全评估从信号系统起步，并逐渐成为轨道交通行业有SIL 要求的产品认证的强制要求[5]，特别是“7.23事件”之后，成为中国铁路总公司信号系统产品认证的强制要求。在机车车辆领域，独立安全评估由最初克诺尔制动控制单元软件故障造成的动车召回进入了行业视线，并且开始向控制系统逐步推广，如TCMS 系统等。从2014 年起，国内轨道交通运营单位开始对机车车辆整车系统提出了独立安全评估的要求。目前，随着城市轨道交通系统的多元化发展，如市域快速铁路的发展、全自动无人驾驶系统的发展，对轨道交通车辆系统的独立安全评估需求越来越多。

根据ISO/IEC 17020《合格评定–各类检验机构的操作要求标准要求》，检验机构可能是一个组织或一个组织的一部分，不论是何种形式，从事独立安全评估工作均必须保证公正性和独立性[6]。在此背景下，根据地铁业主的要求，通过招标的形式，选择了业内业绩口碑极好的国际知名独立安全评估第三方，结合《C 城地铁X 号线一、二期工程车辆系统独立安全评估项目技术条件》，对C 城地铁X号线项目车辆系统开展独立安全评估工作。

1 项目评估简介

C 城地铁X 号线项目为时速140 公里的A+型地铁车辆，在国内属于首次应用。开展独立安全评估的目的是评估车辆系统的技术安全、质量管理及安全管理与系统安全要求的符合性。通过安全评估和安全审核的活动，评估C 城地铁X 号线车辆系统安全设计的完成情况，评估整车、安全子系统和其接口的安全完整性的符合性，评估车辆的风险分析及危害控制过程，以及车辆系统的风险是否处于可接受的状态，评估C 城地铁X 号线车辆系统的安全管理流程与EN50126、EN50129、EN50128 等标准的符合性，并对C 城地铁X 号线车辆系统开始载客运营的安全准备进行评估。

2 评估范围

根据EN 50126 标准定义，独立安全评估是结合产品V 生命周期的概念、系统定义、风险分析、系统需求、系统需求分配、设计和实现、生产、集成、系统确认、系统验收、运营和维护、系统退出的12 个阶段来开展的[7]。

结合实际情况，C 城地铁X 号线分为概念阶段、设计阶段、生产阶段、测试验证阶段4 个阶段开展车辆系统独立安全评估，包含除运营和维护、系统退出以外的产品生命周期1～10 阶段，具体如下：

·概念阶段：覆盖EN50126V 生命周期1，2，3，4 阶段；

·设计阶段：覆盖EN50126V 生命周期5，6 阶段；

·生产阶段：覆盖EN50126V 生命周期7，8 阶段；

·测试验证阶段：覆盖EN50126V 生命周期9，10 阶段。

同时，C 城地铁X 号线项目的独立安全评估覆盖整个车辆系统的安全管理以及RAM管理，涵盖车辆系统的整车安全以及与行车安全功能相关的各子系统。包括：

·电气牵引系统；

·辅助电源系统，包括蓄电池；

·列车控制及监控系统；

·制动系统；

·广播和乘客信息系统；

·空调系统；

·车体结构（包括贯通道，门，窗，操纵台和照明等）；

·车钩及缓冲装置；

·转向架与轮对；

·火灾探测和报警系统；

·车辆与车载信号系统的接口。

此外，根据合同技术文件的要求，C 城地铁X号线车辆系统的独立安全评估以及安全审核的技术范围包括车辆的整车安全以及与行车安全功能相关的子系统SIL 交叉接受，如：车门控制系统SIL2 级，以及制动控制系统SIL4 级。该项目的安全评估是车辆系统特定应用层面的独立安全评估，包括各功能安全相关的子系统特定应用层面的独立安全评估。不包括这些子系统的通用应用或通用产品层面的评估，这些子系统的功能安全要求涉及的通用产品和通用应用需要供应商进行单独的独立安全评估，并获得独立安全评估报告和SIL 证书。独立安全评估第三方对这些子系统的通用产品和通用应用的证书和报告依据CLC/TR 50506-1 标准进行交叉接受。

3 评估标准及策略

3.1 评估标准

独立安全评估将主要依据欧洲电工标准委员会制定的标准方法来执行，车辆系统的独立安全评估主要涉及以下安全相关标准（在评估过程中，基于隐患登记册的危害控制措施所采用的轨道交通系统国际标准或国家标准，以及行业广泛接受的技术规范在此不一一列出）。

·EN 50126 铁路应用- 可靠性，可用性，可维护性和安全性的规范和示例（RAMS），1999 年；

·EN 50126-1 铁路应用- 可靠性，可用性，可维护性和安全性的规范和示例（RAMS），2017 年；

·EN 50128 铁路应用- 铁路控制和保护系统的软件，2011 年；

·EN 50129 铁路应用- 信号方面的安全相关电子系统，2003 年；

·EN 50129 铁路应用- 信号方面的安全相关电子系统，2018 年；

·EN 50159 铁路应用- 通信、信号和处理系统－传输系统中安全相关的通信，2010 年；

·ISO 9001 质量管理体系–要求，2015 年；

·IEC 62290 铁路设施- 城市自动化有轨运输系统（AUGT）管理命令及控制系统，2014 年；

·CLC/TR 50506-1 铁路应用- 通信，信号和过程系统-EN 50129 的应用指导第一部分-交叉接受，2007 年。

3.2 评估策略

独立安全评估策略依据EN50126 定义的生命周期对C 城地铁X 号线车辆系统生命周期各阶段所输出的安全文件开展独立安全评估，各子系统供应商提供通用产品的安全评估报告及SIL 证书进行交叉接受。

车辆系统的独立安全评估活动主要有安全评估、安全审核两个方面的活动：

安全评估：安全评估是一个文档审核的过程，通过该过程判断正在开发的系统相关的风险是否得到控制并被（或将被）降低到恰当的水平。本活动主要是文件的审核工作，对系统设计的技术安全进行评估。

安全审核：安全审核的目的是检查车辆开发、设计、制造及验证进行的安全管理活动和质量管理活动是充分的，而且严格依照系统保证计划进行了有效的实施。主要是现场的审核工作。此外C 城地铁X 号线的评估员跟随整个项目开发、制造流程，从初步设计阶段直到项目的调试阶段以及进入商业运营，在评估过程中的评估活动主要通过以下方式进行：

·文档完整性和技术一致性的检查；

·更新文档的审核；

·质量管理及安全管理的现场审核；

·实验室和现场测试的见证。

4 评估关注点

4.1 质量管理

质量管理作为车辆系统安全实现的基础，在评估中关注C 城地铁X 号线车辆系统的质量管理及结果，评估方将根据项目质量管理（含配置管理）的策划作为项目开展质量管理审核活动的依据。

生产阶段的质量管理基于本项目质量管理计划开展，对生产阶段的质量管理进行了质量策划，并有指导生产的技术/工艺文件、质量检查文件/记录、人员资质要求/记录、检验检测工具校验要求/记录等，以及不合格品和不合格项的管理及改进要求等，以保证质量和安全需求实现的持续性。

4.2 安全管理

安全管理作为车辆系统制造商控制系统性失效的必要措施，是实现车辆系统安全目标的必要手段，独立安全评估第三方着重对C 城地铁X 号线车辆系统的安全管理的充分性及完整性进行评估。

评估方重点关注车辆系统制造商在项目生命周期各阶段贯彻项目安全管理计划要求的情况，根据生命周期的各阶段定义了相关的RAMS 管理活动，检查生命周期各阶段输入输出的活动及文件的要求，以及车辆在设计、生产、测试和运营阶段的RAMS 工作中的具体任务和实施方法，以保证项目执行周期内的各个阶段按本计划的规定执行，使本项目的安全管理工作能够满足规范、标准和合同规定的要求。

4.3 风险分析及危害控制

风险评估重点关注车辆系统的危害分析及危害控制，在既有的危害审查（Hazard Review）和检查清单（Check List）的基础上，参考以往既有项目的经验，在本项目的FMECA 分析的基础上，针对C 城地铁X 号线过程的特殊要求，识别出新的危害和风险。

评估确定C 城地铁X 号线车辆系统初步危害分析的内容完整合理、对危害产生的原因的分析合理、采取的危害控制措施合理有效、所有的危害在隐患登记册中进行了登记，便于以后的跟踪管理。评估危害识别、危害原因分析、危害控制措施之间的完整可追溯性。危害分析同时确定了相关系统的安全需求，分配了相应的定性安全完整性SIL 需求，达到风险分析的目的，符合EN50126 标准的要求。定性安全完整性等级确定方法主要有后果法[8]、风险矩阵法[8-12]、风险图法[9]等 。

4.4 技术安全

针对车辆系统技术安全，评估方重点关注C城地铁X 号线车辆系统的以下方面：

·车体：车体钢结构的静强度、动态包络线、被动安全及水密性安全等；

·车钩及贯通道：静强度、应力吸收及传递、自动车钩的功能安全以及最小曲线通过能力等；

·转向架：转向架静强度、疲劳强度、轮轨关系、模态分析及运行动力学安全等；

·客室侧门：客室门结构强度、硬件及软件的功能安全、SIL 等级、防护功能的实现等；

·牵引系统：牵引性能、紧急牵引功能、动力制动功能等；

·网络控制系统：列车状态监控功能、故障检测功能、列车状态和故障信息上报功能以及超速保护功能；

·空气制动及供风系统：硬件及软件的功能安全、紧急制动功能、停车制动功能、SIL 等级、制动能力的实现、制动能量的释放或回收；

·电磁兼容EMC：车辆EMC 的管理及控制工程、空调、牵引逆变器、辅助电源逆变器、滤波电抗器、制动控制单元、客室门控制单元及其它车载EMC 相关电气设备，电缆分类和布置方案对EMC的影响；

·防火安全：车辆防火安全的概念、非金属材料、电线电缆的防火性能、地板及防火墙结构的防火安全、电气设备防火安全、乘客紧急疏散等；

·维修安全：安全防护、电击安全、维护活动中安全性能的保持以及其他维修中的安全隐患等；

·电气安全：接地概念、防电击安全、雷击安全及防护等；

·应急管理：应急电源的保证、紧急出口及照明、紧急通信设施及乘客逃生疏散的管理等；

·车辆系统与其他核心设备系统之间的接口安全：信号系统接口、通信系统接口等。

4.5 SIL 安全完整性等级

针对车辆系统功能安全相关的子系统，独立安全评估第三方主要关注C 城地铁X 号线车辆系统功能安全相关的子系统的安全完整性SIL 等级的符合性，在评估活动中对通用应用SIL 认证进行交叉接受的审核，并对C 城地铁X 号线的特定应用的层面进行评估。包括制动控制系统以及车门控制系统的SIL 安全完整性等级的符合性，确认这两个系统的安全功能在本项目的特定应用层面符合C 城地铁X 号线分配的SIL 等级的要求：

·客室门控制系统安全功能的SIL 等级为2级；

·制动控制系统安全功能的SIL 等级为4 级。

4.6 防火安全

独立安全评估第三方主要关注危害日志中关于防火安全相关的危害，并跟踪建议的危害减轻措施，通过对车辆系统防火安全相关文档的评估，确认C 城地铁X 号线车辆系统的防火安全的管理是合理的；通过测试见证以及试验报告的审核，确认车辆系统的防火安全性能符合C 城地铁X 号线车辆系统的防火安全目标，通过以下措施可以降低车辆火灾的风险并保证乘客和乘务人员的人身安全：

·非金属材料的选择符合标准要求；

·车辆结构和设备设计所采取的防火措施；

·系统及紧急系统的控制和功能的实现。

4.7 验证及确认

对C 城地铁X 号线车辆系统的安全要求进行验证及确认，独立安全评估第三方首先对车辆系统的试验大纲进行审核及确认，包括型式试验大纲及例行试验大纲的审核，重点审核安全相关的试验，包括：限界试验、绝缘耐压试验、制动性能试验、牵引性能试验（故障运行以及救援性能）、门系统试验、运行动力学试验、安全保护等，并通过这些试验的现场见证，以确认相关试验人员资质符合试验验证的要求，确认试验流程、试验方法、测试设备符合对应型式试验（为专业说法，没问题的）大纲要求，并确认车辆系统的安全验证活动的符合性。

5 评估发现

在C 城地铁X 号线车辆系统的独立安全评估过程中，独立安全评估第三方通过技术笔记或开口项清单的形式对项目的安全管理、质量管理以及车辆系统的技术安全的不符合性进行总结，并进行跟踪管理，确保在评估过程中的发现得到纠正。开口项的评估结果见表1：

表1 地铁车辆系统开口项评估结果

截至2020 年8 月，影响C 城地铁X 号线车辆系统安全的A 类开口项共95 项，已经得以关闭及解决。根据评估结果，车辆系统的相关阶段识别的危害得到有效控制，风险处于可接受的水平，独立安全评估第三方可以出具C 城地铁X 号线车辆系统的评估报告及结论。

6 出具结论

（1）根据安全审核工作的开展，独立安全评估第三方认为C 城地铁X 号线车辆系统在本项目的安全管理和质量管理是完善的，质量管理符合ISO9001 质量管理体系的要求，安全管理符合EN50126 标准的要求，安全管理及质量管理人员的能力是充分的，C 城地铁X 号线车辆系统在设计、生产、组装、测试及调试阶段的所有活动均有效地执行了安全管理及质量管理的要求。

（2）根据安全评估工作的开展，独立安全评估第三方认为C 城地铁X 号线车辆系统的风险分析以及危害控制符合相应的安全要求，根据风险分析的结果，通过危害日志的管理，执行相应的危害控制措施及风险降低措施，系统的风险已被降低至合理可行的最低限度，并得到验证，C 城地铁X号线车辆系统技术安全的实现是完善的，车辆安全证明文件是可接受的。

（3）基于以上分析，独立安全评估第三方认为C 城地铁X 号线车辆系统的安全性符合“EN50126铁路应用可靠性，可用性，可维护性及安全性（RAMS）”的要求，安全相关子系统的安全完整性等级符合EN50128 及EN50129 规定的要求，车辆系统的危害得到控制，风险处于可接受的水平，可以满足地铁运营的安全要求。