基于故障树分配的单轨司机驾驶辅助系统的SIL等级探究

2023-12-03王一先邵志威游星宇

轨道交通装备与技术 2023年5期

王一先,邵志威,游星宇

(中车浦镇阿尔斯通运输系统有限公司,安徽芜湖241060)

欧洲电工标准化委员会(CENELEC)发布的 EN 50126-2: 2017[1]中,简述了通过故障树分配将功能安全的需求分解到复杂的系统结构中,并通过SIL定性和定量地分配到子系统的功能中去。安全完整性要求在系统级别上表示为THR,与选定的系统架构定义的特定功能组成相关联,因此转换为可容忍功能失效率(TFFR)。THR的分配是通过使用各种方法如故障树进行因果分析,并考虑子系统或功能之间的逻辑相关性。然而,EN 50126标准中并未对具体如何实施该方法做介绍。

跨座式单轨系统(Straddle Monorail System),作为一种新型的轻轨交通系统[2],其安全驾驶辅助系统中安全目标的设定及管控受到越来越多的重视。本文应用故障树分配的方法,详细进行跨座式单轨司机驾驶辅助系统(MSRDS)安全目标的分配,分析得出了MSRDS各子系统SIL要求的一致性,论证了该方法在定量分配安全目标操作中的合理性。

1 SIL分配方法的介绍和应用

1.1 SIL的概念

SIL(Safety Integrity Level)即安全完整性等级英文首字母的组合[3]。IEC 61508—2010对SIL有了基本的定义,包括SIL1～SIL4的4个离散等级(SIL4为最高,SIL1为最低);而EN 50126—2017中对SIL等级对应的定量范围进行了明确的分级,同时定义了在系统性失效以及随机失效相对应的SIL。EN 50129[4]中对安全完整性的定义为:在所有规定的条件和规定的运行环境下以及规定的时间内,安全相关系统完成指定的安全功能的能力。

SIL的概念,在轨道交通系统集成项目,乃至信号或者车辆子系统中,都有着广泛的应用。EN 50126—2017对项目初期,提出了早期安全需求识别,对安全功能分配相应的SIL,并在EN 50128[5]和EN 50129标准中,通过安全技术手段,比如冗余结构方案来降低硬件系统故障,以及通过质量和安全管理的方法,来保证降低系统性故障的目标得以满足。

1.2 SIL分配的方法

参照EN 50126-2—2017(见图1),首先根据风险分析,提出系统的安全完整性要求,即系统层级危害的可容忍危害发生率THR;然后,将系统层级每一个危害与系统的安全功能关联,在保证系统功能独立的前提下,将此THR转换为系统最底层级功能的可容忍危害发生率TFFR;同时,根据对应关系,即可确定相应的SIL等级;最后,在实现安全功能的相关模块相互独立的前提下,可将功能的TFFR转化为模块的危害失效率分配至相关独立模块。

图1 THR分配的基本步骤

需要注意,危害和安全功能并不一定是一对一的,即一个特定危害可能对应多个安全功能。当一个安全功能用于控制多个危害时,其需要满足所有危害对应的TFFR,即对应最大的TFFRmax.。

当危害与系统功能并非一对一的关系,如多个安全功能对应同一个危害,在功能相互独立的前提下,可以通过故障树、因果分析或者马尔科夫模型等方法,对系统危害的THR进行分配,进而获得对应功能的TFFR。

需要注意的是,TFFR包括了随机失效安全完整性和系统失效安全完整性的要求,依据EN 50129和EN 50128标准,其分配方法也分为定量和定性,以及混合定性和定量数据。

1.3 单轨司机驾驶辅助系统

跨座式单轨司机驾驶辅助系统,又称为Manual Speed Restricted Detection System (MSRDS)系统,是一种跨座式单轨列车处于人工驾驶模式时,在特定场景提供超速报警或紧急制动的功能,国内首次应用在芜湖单轨1号线项目中[6]。跨座式单轨司机驾驶辅助系统包括了车载MSRDS控制单元、射频识别(RFID)读取器、天线、限速标签以及道岔分析柜等,其构架如图2所示。利用RFID的标签读取功能,实现对司机的超速报警以及车辆的紧急制动等功能。

图2 单轨司机驾驶辅助系统(MSRDS)构架

尽管跨座式单轨司机驾驶辅助系统主要应用于人工驾驶模式,但其涉及到列车超速报警、线路端部停车、以及道岔未对齐列车冲标后紧急制动等功能,针对危害的严重程度,对产品相应的安全需求以及安全完整性等级有待进一步研究和要求。

2 安全目标的分配方法

2.1 单一功能作为危害防护

当危害与系统功能是一对一的关系,则该危害的可容忍发生率THR应完全分配给防护该危害的功能,即该功能的TFFR等于对应危害的THR,如图3所示。

图3 单一功能的分配

2.2 多个功能作为危害防护

当多个功能组合时,应将THR进一步分配至下一层级危害以及可容忍的失效率,直至最后一个独立功能的水平。这个水平是指2个(或多个)功能在该水平共同控制同一危害,他们中的任何一个都能消除该水平的危害,不论另一个功能是否存在或效率不同;同时这些功能相互独立,既没有任何随机失效的共因故障可以危害安全,也没有任何系统失效的共因故障可以危害安全,如表1所示。

表1 系统失效和随机失效的分析方法

2.2.1系统和随机失效均为独立

如果在2个以上的电子功能中保证不发生系统和随机的临界共因故障,TFFR可以进一步分配,SIL可以分配到最底层,如图4所示。

图4 系统失效和随机失效均独立的分配

2.2.2仅系统失效独立

如果可以保证不受普通随机故障的影响,那么随机完整性要求(失效率)可以进一步分配到下一个较低的实现架构级别,但SIL保持不变(见图5)。

图5 只有独立的系统故障的分配

2.2.3系统和随机失效均不独立

TFFR无法被进一步分配,SIL应该和上一级保持一致,如图6所示。

图6 无独立性的系统故障和随机故障的分配

3 司机驾驶辅助系统的THR分配

考虑到MSRDS仅在人工驾驶模式(低需求)下有效使用,目前国内也未对车辆驾驶辅助系统有过明确的SIL要求。根据初步危害分析的结果,当MSRDS限速功能失效时,可能导致列车超速通过区段,从而造成司机伤亡及列车碰撞或脱轨。因此根据EN 50126建议的频率等级表(见表2),其对应的THR为1×10-9/h～1×10-7/h,对应频率等级E。

表2 频率等级表

3.1 TP1的THR分配

3.1.1确定TP1顶事件

当列车驶入未对齐的道岔时,将造成脱轨的风险,得到顶事件TP1-列车脱轨,其对应的严重度为II,即后果为单人死亡。故对应THR的范围为1×10-9/h～1×10-7/h,发生频率等级为E。列车驾驶辅助系统提供的防护功能为在司机未识别出道岔未允许通行的交通信号灯时,车载MSRDS控制单元将发出信号请求列车施加紧急制动。

3.1.2TP1的安全功能分解

根据图2中的系统构架,并考虑到各系统独立性原则,对防护TP1的安全功能进行进一步分解,如图7所示。

图7 TP1的安全功能分解

对于TP1-列车脱轨的防护,通过3个子功能A、B、C分别进行控制。其中,功能A是指通过操作人员按照操作流程以及列车司机驾驶辅助系统共同提供防护;功能B指列车手动控制系统(VIM)在接收到车载MSRDS控制单元发出的轨道末端(EOG)信号,通过控制列车触发紧急制动;功能C是指列车制动系统执行紧急制动。

3.1.3TP1的故障树分配

基于3.1.2节中安全功能的分解,对列车司机驾驶辅助系统的功能仍需要进一步分配。结合图2中的系统构架,考虑到列车辅助驾驶系统的总体设计达到车载MSRDS控制单元和轨旁设备如道岔分析柜(MSSA),可以进一步将THR向子系统层级进行分配,从而得到车载MSRDS控制单元和MSSA等轨旁子系统的TFFR和SIL要求。

利用故障树对TP1-列车脱轨进行THR的分配。需要注意的是,MSRDS防护功能的前提条件,是人为(列车司机)操作失误,未正确观察信号灯并按操作规程正确操作,根据EN 50126—2017标准中的定义,此类为系统性失效。而根据白皮书中收集到基本信息,发生的频率为D(1×10-7/h～1×10-5/h),即大约100年发生1次,即事件GT14。而VIM未施加紧急制动以及制动系统未执行紧急制动,合并为GT8,由车辆FTA转移获得。