张冰

(上海电气自动化设计研究所有限公司，上海 200023)

0 引 言

在轨道交通综合监控系统中，本文采用了可靠性(reliability)、可用性(availability)、可维修性(maintainability)和安全性(safety)管理(RAMS)，确保系统在全生命周期中的风险均控制在可接受水平。采用了危险与可操作性评估(HAZOP)、接口安全隐患分(IHA)、量化风险分析(QRA)、故障模式和影响分析(FMECA)、故障分析和更正程序(FRACAS)等方法，分成初步设计,详细设计,采购与制造,调试与移交,以及运营和质保等时间阶段，实现了风险可预测、问题可追溯的闭环控制。其中，FMECA也可以采用故障树分析(FTA)、事件树分析(ETA)、贝叶斯网络(BN)、人工神经网络(ANNS)等评估方法。

1 设计方法

RAMS设计分成可靠性、可用性、可维修性和安全性四个方面。可靠性指系统在规定条件下和时间内，能够无故障地完成所要求功能的概率。可用性指在所需外部条件已经全部满足的前提下，系统在给定的条件和时间间隔内，完成所要求功能的能力[1]。可维修性指在给定的条件下，按照指定的程序，使用给定的资源进行维护工作，可在指定的时间间隔内完成指定维护工作的可能性[2]。安全性指没有无法接受的伤害风险，本质上属于风险管理。

系统的设计要求为系统平均无故障间隔时间(MTBF)≥ 10 000 h，系统平均修复时间(MTTR)≤1 h，总体系统服务可使用性目标达到 99.95%。

1.1 可靠性设计

1.1.1 串联系统

在一个系统中，任何一个子系统故障，都会导致整个系统故障，这种系统称为串联系统[3]。可靠性的计算如下：

(1)

式中:Rs(t)为系统在t时的可靠性；Ri(t)为第i个子系统在t时的可靠性；Fs(t)为系统在t时不可靠性；Fi(t)为第i个子系统在t时不可靠性；n为单元数目。若各个子系统的故障率服从指数分布，则：

(2)

式中:λi为第i个子系统的故障率；MTTF为系统平均故障间隔时间。

1.1.2 并联系统

在一个系统中，组成系统的所有子系统同时工作，只要有一个子系统在工作，整个系统就能完成规定的功能，这种系统称为并联系统。其可靠性的计算如下：

(3)

若n个子系统相同，则：

(4)

子系统越多，可靠性越大，平均寿命越长。

1.1.3r/n系统

在一个系统中，组成系统的所有子系统同时工作，至少r个在工作，整个系统才能完成规定的功能，这种系统称为r/n系统。若各子系统相同，其可靠性的计算如下：

(5)

1.2 可用性设计

可用性本质上是系统在任务开始时处于可使用状态的概率。其设计吸取在轨道交通系统方面的经验，使用其反馈数据。努力消除任何隐患。可用性的计算如下：

(6)

式中:A为可用度;U为产品的可用时间;D为产品的不可用时间;D为维修性。减低D可以使A提高，D可用MTBF表示，U可用MTTR表示。故可用性的计算如式(7)所示。

(7)

MTBF根据系统不同，计算如下。

(8)

并联系统：MTBF并联=MTBF1×MTBF2×…×MTBFn

(9)

r/n系统：MTBFr/n=MIN(MTBF1,MTBF2,…,MTBFn)

(10)

式中：MIN(·)为取最小值。

1.3 可维修性设计

可维修性本质上可用MTTR来衡量。可维修性的计算如下：

(11)

式中:ti为第i个子系统的修复时间；N为修复次数。当系统由n个可修复子系统组成时，可维修性可用式(12)计算。

(12)

1.4 安全性设计

安全性设计需符合安全完善度等级(SIL)中的等级2，如表1所示。

表1 SIL等级

2 实施

2.1 HAZOP实施

危险与可操作性评估(hazard and operability，HAZOP)，用于识别设计缺陷、过程危险及操作性问题，本质上是通过系列的会议对工艺图样和操作规程进行分析[4]。在实施过程中，由各专业人员组按规定的方式系统地研究每一个分析节点，识别出具有潜在危险的偏差，对每个有意义的偏差进行分析，分析它们的可能原因、后果和已有安全保护等，提出应该采取的措施[5]。HAZOP实施流程如图1所示。

图1 HAZOP实施流程

2.2 IHA实施

接口安全隐患分析(interface hazard analysis，IHA)，用于识别和分析系统内部和外部接口相关的潜在隐患，分析需要执行的隐患消除或减轻措施。

以综合监控系统(ISCS)和闭路电视监控系统(CCTV)之间的接口举例，如图2所示。

当ISCS发出联动请求时，CCTV系统可根据预先设定的模式自动显示相应的画面，实现联动控制功能。ISCS实时监视CCTV设备运行状态、网络通信状态和故障报警信息，实现设备监控功能。

IHA在后续寿命周期阶段中不断修改，以确定改进是否引入隐患。

2.3 QRA实施

本文系统RAMS的安全隐患管理包括安全隐患识别、安全隐患分析和安全隐患评估。其中，安全隐患评估采用的方法是量化风险分析(quantitative risk assessment，QRA)[6]。

通过QRA实施，比较不同设计的安全隐患，确定关键因素、重要条件和关键子系统。分析不同安全隐患控制措施的效果，改善其中的安全薄弱环节，确定系统能够满足安全性要求，并采用预防措施，有效降低全寿命周期安全隐患损伤概率。

图2 接口划分图

2.4 FMECA实施

故障模式和影响分析(failure mode and effect criticality analysis,FMECA)，包括故障模式、影响分析(FMEA)和危害性分析(CA)两部分，前者属定性分析，后者属定量分析[7]。

本文系统RAMS的FMECA实施流程图如图3所示。

图3 FMECA实施流程

2.5 FRACAS实施

故障分析和更正程序(failure report analysis and corrective action system，FRACAS)。本文系统的RAMS实施了FRACAS，实现了及时报告产品故障和分析故障原因，采取了有效的纠正措施以防止故障再现，改善了产品可靠性和维修性。

实施的FRACAS基于系统配置数据管理，整合了运营等各单位对故障信息数据分析的需求，量化了故障信息采集字段，形成了从功能、时间、里程、区域、模式和技术等多个维度进行聚合分析的故障数据库。实施后，能够追溯系统发生的故障等事件信息，利用得到的数据拟合出功能系统寿命分布威布尔曲线，以预测风险。

3 结果分析

轨道交通综合监控系统的RAMS，通过系统的上线运行，验证了实施效果。系统的RAMS活动符合管理计划组织和程序等，得到了有效的执行，进行了纠正、预防和改进。确保安全保证和保障的可追溯性达到了以下目标：通过系统和子系统要求、设计和工程报告、支持程序，确保执行安全要求可追溯性；通过测试和试运转报告，确保检验安全和保障要求的执行的可追溯性；通过系统开发各个阶段中产生的质量保证记录，确保用于设计、开发和系统分析程序和标准执行的可追溯性；通过安全隐患记录，确保可追溯性与安全要求一致。

通过RAMS设计与实施，保证了系统性能指标符合运营需求，并且风险在可接受范围内。以系统控制时间性能指标举例，如表2所示。

表2 系统控制时间性能指标

4 结束语

本文系统的RAMS实施采用的FMECA，也可以用FTA、ETA、BN或ANNS等评估方法替代。

在RAMS设计中，采用前期分析的结果，为每一子系统定义了指标，这样便可以将系统设计纳入以前开发的安全模式，这些现有的安全文件在系统后期或是将来的系统中可以合理地被重新利用。

具体RAMS文件应考虑到发展状态的级别，为所有子系统定义发展状态。发展状态作为项目交付的一部分，在各时间阶段完成之前，需要对发展状态级别进行更改修正。

本文系统已经上线运行，但RAMS的实施是全生命周期的。在系统的后期活动中也应继续协调、管理和审核，其目的是为了说明现有的证据是否能证明系统的后期发展保持了RAMS设计，对以前的安全模式进行控制，同时对相关文件进行维护，使文件或报告等具有可追溯性。