张荧驿，侯 鑫，田雪艳，李 娜，傅振亮

(中车唐山机车车辆有限公司 产品研发中心，河北 唐山 064000)

功能危害分析(Function Hazard Analysis,FHA)是一种适航安全性分析技术，民机适航合格审定过程中，需要对系统进行安全性评估[1-2]。在投入大量时间和人力进行系统安全性评估之前，通常要对系统预期的功能进行FHA。FHA的优点在于能在设计的早期，在没有也不需要有细节设计信息时，就能提供关键性的设计指南。

近年来，FHA正在作为一种执行危害识别的方法逐渐被推荐使用，并在轨道交通行业得到了广泛的应用[3-4]。但是由于它是演绎式的，所以不可能证明分析是否完全彻底。因此为了得到一个可靠的结论必须采用完善的系统分析方法来完成FHA。

目前，国内多家主机厂在铁道车辆的设计、生产等环节应用了编码标识系统[5]。欧洲制定的一系列编码标识系统标准中，EN 15380-4：2013《铁路应用 铁道车辆分级系统 第4部分 功能组》(以下称EN 15380-4)规定了功能导向结构标识的原则，根据标准化的功能列表来构建功能要求和用例，从概念开始，并扩展到整个产品生命周期[6]。EN 15380-4适用于欧洲所有类型的机车车辆，但是部分功能不适用于我国铁道车辆，需要根据具体的分析对象进行识别[6]。

因此，本文提出了一种基于EN 15380-4的功能危害分析的新方法，是对现有的铁道车辆安全性分析技术的补充和完善。

1 传统功能危害分析

传统FHA是将产品的功能以清单的方式列出，以检查产品的各个功能，识别其功能失效状态，并根据严重程度对其进行分类的一种安全性分析方法。

FHA过程是一种自上而下的确定功能的故障状态并对其影响进行评估的方法，具体分析过程如下[1]：

(1) 确定与所分析产品层次相关的所有功能及完成功能的有关环境条件，包括内部功能和交互功能；

(2) 确定并描述与功能相关的故障状态，考虑正常和退化环境中单个或多重故障的情形；

(3) 确定故障状态的影响；

(4) 确定故障状态对整机的影响分级。

2 基于EN 15380-4的功能危害分析

基于EN 15380-4的功能危害分析流程如下：

(1) 对产品进行系统分析，绘制产品的边界图和功能框图；

(2) 根据EN 15380-4的格式对车辆进行功能分析，形成功能分解结构(Functional Breakdown Structure,FBS)；

(3) 根据FBS，对车辆功能进行功能危害分析(FHA)；

(4) 根据FHA的结果，识别安全关键功能(严重度等级为Ⅰ或Ⅱ)和安全相关功能(严重度等级为Ⅲ或Ⅳ)；

(5) 将识别的结果填入相应表格中。

2.1 基于边界图和功能框图的系统分析

首先对系统进行分析和定义，明确系统的输入和输出关系，主要包括结构边界、接口、预期功能等，从而确定危害分析的范围。

采用边界图方法，描述分析的边界范围和接口，说明各组件、零部件之间的关系，一般包括物理接口(P)、能量接口(E)、材料接口(M)和信息接口(I)四方面(图1)。

图1 边界图示例

2.2 基于EN 15380-4的功能分解结构

按照EN 15380-4将车辆的功能按层级进行分解，称之为FBS。根据实际的层级需求进行定义，可以延伸到5级功能[6]：1级，通常是车辆的一般规范或车辆系统的需求，如表1所示；2级，为完成1级功能的扩充主功能；3级，为完成2级功能的扩充子功能；4级，为完成3级功能而贡献的任务功能；5级，执行4级功能所必要的活动的功能。

表1 EN 15380-4的1级功能

EN 15380-4对功能的定义包括功能编号、功能描述、说明三部分，涵盖了与系统和设备(如轮对和转向架、车门、制动和牵引)相关的功能。以车门系统的“开启外部车门”5级FBS为例进行说明，如表2所示。

表2 EN 15380-4的5级FBS示例

2.3 基于EN 15380-4的功能危害分析

在EN 15380-4系统FBS的基础上，确定和描述各项功能的失效状态和产生的影响，并根据影响的严重程度等级划分，识别出安全相关的功能，称之为FHA，表3所示为FHA模板。

根据EN 50126-1：2017规定的危害严重度等级[7]划分严重度等级，如表4所示。

根据MIL-STD-882E的安全关键功能定义[8]，将严重度等级为Ⅰ和Ⅱ的安全功能归类为安全关键功能(Safety-Critical Function，SCF)；将严重度等级为Ⅲ和Ⅳ的安全功能归类为安全相关功能(Safety-Related Function，SRF)。

表3 基于EN 15380-4的FHA模板

表4 危害严重度等级

3 功能危害分析实例

以铁路客车塞拉门为例进行分析。

3.1 系统分析

塞拉门由门扇、承载驱动机构、导向装置、气控单元、锁闭机构、故障隔离锁、紧急解锁装置、内/外操作装置、防冻装置、电控系统等组成[9]。基本原理为：气控单元通过各种气路元件及控制阀的作用，控制无杆风缸及开关锁风缸、解锁风缸的动作，实现门的电控气动开关。当车速小于5 km/h时，判定“车辆静止”，门控器处于“非安全状态”，门可以打开；当车速大于5 km/h时，判定“车辆不静止”，门控器处于“安全状态”，除了紧急解锁外，其他方式均不能将车门打开[10]。

对塞拉门进行边界图分析，如图2所示。

图2 塞拉门边界图

对塞拉门的外部接口功能及实现形式进行分析，如表5所示。

表5 塞拉门外部交互关系清单

3.2 功能分解结构

依据表2所示的EN 15380-4的5级FBS，识别出符合塞拉门功能的FBS如表6所示。

3.3 功能危害分析

在表6塞拉门FBS的基础上，采用表3的模板进行FHA，确定和描述塞拉门各项功能的失效状态和产生的影响，并根据表4所示的危害严重度等级划分，识别出塞拉门的SCF和SRF，如表7所示。

从以上分析得出，“紧急情况下塞拉门无法开启”和“列车运行时塞拉门异常开启”对应的功能“确保紧急情况下塞拉门能够开启”和“阻止塞拉门异常开启时列车运行”为塞拉门的SCF，因此在早期设计阶段，将其定义成较高的安全性要求，以便在以后的设计阶段进行安全设计和控制，转换为可实施的硬件和软件。

表6 塞拉门FBS示例

表7 基于EN 15380-4的塞拉门FHA示例

4 结论

本文从安全功能分析的角度建立了基于EN 15380-4的功能危害分析方法，是对现有的铁道车辆的安全性分析技术的补充和完善。依据EN 15380-4

识别铁道车辆的功能分解结构，并对每个功能节点进行功能危害分析，识别出安全关键功能和安全相关功能，可为后续产品的正向设计提供指导。