曹成鹏 李晓琳 高秋芙

(北京城市轨道交通咨询有限公司, 100068, 北京)

ISA(独立安全评估)是独立于系统设计、开发或运营的团队,依据证据,对计划开发系统的安全需求是否恰当、充分,以及系统是否满足这些既定的安全需求进行评估和判断[1]。

在标准体系相对完善的欧洲,ISA是车辆准入或投入运营的普遍要求。我国城市轨道交通安全评估还处于初步发展阶段,尚未形成较为完善的理论和规范化的标准。随着城市轨道交通技术的不断发展和标准化进程的不断推进,建设单位及厂家的安全意识也不断提升,ISA也不断得到推广[2]。

按照GB/T 30013—2013《城市轨道交通试运营基本条件》的要求,信号系统必须进行ISA[3]。近年来,随着FAO(全自动运行)技术日臻成熟,FAO线路在国内迅猛发展。在FAO线路的建设过程中,ISA的范畴从原有单纯的信号系统,拓展到车辆系统、专用通信系统、站台门系统、轨道系统、电梯及自动扶梯、门禁等核心设备系统。目前,我国城市轨道交通FAO线路的车辆均进行了ISA。此外,一些异于常规项目的车辆,例如国内第一条真正意义上采用城市轨道交通模式运营的温州轨道交通S1线,因其技术上的独特性,也对车辆进行了ISA。本文结合国内已开通运营和在建的城市轨道交通FAO项目,对车辆ISA策略进行了总结提炼。

1 车辆ISA策略

车辆ISA策略以隐患识别和风险管控为中心,从而评估车辆系统是否存在无法接受的风险。

1.1 隐患识别

隐患识别指车辆系统所有合理可预见的隐患是否都已经识别出来。车辆系统隐患识别的输入示例,如表1所示。

表1 车辆系统隐患识别输入示例

1.2 风险管控

风险管控是指每条隐患所导致事故的风险等级是否可接受,通过证明其符合规范和相关标准,证明其与参考系统的安全性一致,以及证明剩余风险可接受等策略来完成。证明风险管控符合规范或标准的示例,如表2所示。

表2 证明风险管控符合规范或标准示例

证明剩余风险可接受的评估关注点为剩余风险等级分析和风险减轻措施落实,其中:剩余风险等级分析的评估范围为隐患登记册、SIL(安全完整性)认证、体系审计及故障数计算,风险减轻措施落实的评估范围为隐患登记册、安全需求管理报告及验证与确认报告。

判断风险等级并进行风险分析时,以最新设计方案为基准,通过风险矩阵方法对风险进行排序[4]。判定依据为:

1) 如果部分导致隐患发生的原因未得到有效管控,则原始风险等级为不可接受;

2) 如果所有导致隐患发生的原因都得到了有效控制,则原始风险等级为可接受;

3) 如果导致隐患演变成事故的原因也得到了有效管控,则原始风险等级为可忽略。

风险减轻措施的落实需要做到全面、准确、到位:全面是指风险减轻措施中涉及的所有子系统都要考虑;准确是指风险减轻措施的关闭证据要与减轻措施的要求一致,不能偏离;到位是指在诸多相关的证据中要采用最有力的证据关闭。

1.3 整车各阶段评估策略

整车评估可分为设计、制造与试验验证等阶段。设计阶段的整车安全评估活动及安全证明体系要点,如表3所示。制造与试验验证阶段的整车安全评估活动及安全证明体系要点,如表4所示。

表3 设计阶段的整车安全评估活动及安全证明体系要点

表4 制造与验证阶段的整车安全评估活动及安全证明体系要点

1.4 FAO项目车辆特殊风险评估

FAO项目需根据IEC 62267:2009《轨道交通—都市自动化有轨运输—安全性要求》中第7章定义的GOA4(无人干预列车运行)运营的危害场景,以及被评估项目的场景说明书,识别运营场景中可能存在的风险。FAO项目危害场景示例如表5所示。FAO项目车辆各阶段评估活动与安全审计示例如表6所示。

表5 FAO项目危害场景示例

表6 FAO项目车辆各阶段评估活动与安全审计示例

2 车辆ISA各环节内容

车辆ISA内容主要包括:安全文档评估、测试报告审核、安全审计及现场见证测试等。上述安全评估需要贯穿整个车辆建设工期,并根据项目进展的情况,安排安全审计和现场见证。评估人员采用基于风险的评估方法,通过抽样技术进行检查和评估。

2.1 安全文档评估

安全文档评估的目标是审查和评估车辆厂家以及分包商的安全管理体系。安全文档评估流程如图1所示。

图1 安全文档评估流程

2.1.1 安全管理程序文档评估

审查和评估车辆厂家的安全管理体系,以及车辆厂家及其供应商在设计、制造、安装、测试及调试等阶段开展的安全管理的稳定性。对其过程管理进行评估,并确保遵守相关的安全守则、标准、法规及规范。识别车辆厂家及其供应商对危害的辨识是否充分,且是否已对重要危害采取措施。检查车辆厂家相关人员的资质,对车辆厂家是否配置足够称职的员工执行其合同进行评估。

2.1.2 针对具体项目的安全相关文档评估

1) 对EN 50126-1:2017《铁路应用—可靠性、可用性、可维护性和安全性的技术规范和证明》、EN 50128:2011《铁路应用—通信、信号和处理系统—铁路控制和保护系统软件》及EN 50129:2018《铁路

应用—通信、信号和处理系统—信号的安全相关电子系统》中安全相关的要求,以及合同中明确的SIL等级的响应进行汇总,评估车辆厂是否已按照相关标准的安全系统设计程序执行。

2) 对设计变更(包括软件和硬件)和配置管理的验证和鉴证过程进行评估。

3) 对安全隐患识别、分级、解决方案、记录、监控、消除、追踪及关闭的过程进行评估,以验证风险是否已降低到最低合理可行的水平;审查车辆的设计、制造、安装、试验及测试的安全要求是否充分[5]。

4) 评估各系统的接口安全管理,确保系统间的接口危害识别和危害分析包含了危害消除、控制或减轻等内容[6]。

5) 对技术细节进行审查和评估,包括设计文档、原理图、分析报告、模拟结果、计算、试验记录,以及安全报告的见证与试验和测试的见证,以确保关键子系统和相关接口的安全。

2.2 特殊风险安全评估

2.2.1 FAO系统评估

确保UTO(无人值守的全自动运行)系统符合所定义的技术规范的要求,尽早识别、降低工程项目的技术和进度风险,监督和评估车辆厂家的系统保障工作实施情况是否满足最终UTO系统功能、质量和安全等方面的要求,确保UTO 系统运营准备工作(系统设备、组织架构及运营规程)满足运营和维护的要求。

2.2.2 车辆系统特有重大风险评估

1) 对列车结构安全、车辆与各系统的防火安全、车辆与各系统的电磁兼容需求、车门与站台门等系统的接口安全进行评估。

2) 对车辆厂验证与确认过程进行评估,对测试计划、测试案例、测试通过准则、测试过程、测试报告,以及应急措施等的验证与确认管理进行评估;对试验计划、试验方案、试验通过的标准和流程、后续的试验报告,以及试验工程师的能力进行评估,对选定设备和系统的试验进行见证。

3) 对于车辆厂质量管理体系的执行情况进行审查,并在相应的安全审查报告中对质量管理情况进行评价,并指出不足。

4) 对车辆厂故障原因、故障分析及纠正措施进行评估,对车辆厂采取的补救和改进措施的进展进行监控,并对其效果进行评估,将已确定的危害降低至用户可以接受的程度。

2.3 现场安全审计

针对安全评估需求,评估团队需根据车辆厂的设计、制造及调试计划进行现场安全审计。审计方法包括:和工作人员进行面谈,观察与生产和安装有关的工作条件,见证主要的试验和调试,确认审计过程中所发现问题关闭的证据,参与主要的安全会议。

现场安全审计可分为4个环节,其中安全相关议题的分析报告须全部审查。现场安全审计流程如图2所示。

图2 现场安全审计流程

2.3.1 车辆方案设计完成阶段的安全审计

此阶段安全审计的目标是识别车辆方案设计与用户需求的差距,以及对设计阶段的安全管理流程进行审查。审查内容如下:

1) 对系统工程、质量管理(特别是设计质量管理)、设计变更处理、接口管理、配置管理、电磁兼容管理及防火管理等的流程进行审查。

2) 确定是否有足够胜任的员工进行工作。

3) 如有必要,根据此阶段的审查结果,以及与用户需求的差距,对独立审查计划进行修订。

4) 对如下文件进行审查:车辆系统保证计划、验证与确认计划、车辆配置管理计划、质量计划、EMC管理计划、防火管理计划、车辆初步危害分析、车辆量化风险分析、安全原则及规范要求的符合性分析、车辆防撞性设计、车辆质量管理计划、车辆制动等设备供应商业绩、车轴与车轮强度计算、转向架应力分析、车底设备支撑应力分析、车轴应力分析、车体结构分析、地板防火阻隔体性能验证测试程序、电线与电缆规格。

此阶段安全审查期间的重要关注点为:设计管理流程、系统保证及风险管理与质量保障等。

2.3.2 车辆最终设计完成阶段的安全审计

此阶段安全审查的目标是对车辆设计中是否按照安全相关标准和规定进行审计,对设计文件进行审查。审查内容如下:

1) 对配置管理、供应商管理及设计变更的管理流程进行审查。

2) 对如下文件进行审查:更新版的车辆系统保证计划、验证与确认计划、车辆配置管理计划、质量计划、EMC管理计划、防火管理计划、车辆初步危害分析、车辆风险分析报告、安全原则及规范要求的符合性分析;车辆设计安全证明文件、车辆系统危害分析、车辆接口危害分析、车辆操作与支持危害分析;车辆防撞设计、车体强度分析、防火等车辆系统详细设计文件;车辆与信号、通信、轨道、供电、站台门等专门的接口设计。

此阶段安全审查期间的重要关注点为:设计流程管理、系统保障(特别是安全危害管理)、质量保障管理及电磁兼容防火管理等。

2.3.3 车辆生产制造阶段的安全审计

在车辆生产制造阶段,需在车辆厂开展安全审计,重点查看生产安装及试验的要求。此阶段的安全审计内容如下:

1) 见证厂内试验。

2) 审查制造、调试、试验、验收需满足的安全条件。

3) 对调试计划、操作员及维护人员的培训进行审查。

4) 对车辆焊接设备、车辆焊工资格认证、车辆电阻点焊及缝焊、车辆电弧焊接等程序文件进行审查。

此阶段安全设计的重要关注点为:质量管理、试验管理、配置管理、生产工艺文件管理、生产变更管理、现场组装管理及试验活动管理等。

2.3.4 车辆试运行阶段的安全审计

在车辆试运行阶段,需在用户现场对车辆的调试及试验进行安全审计。主要审查内容如下:

1) 见证正线试验。

2) 对正线试验中的安全条件进行审查。

3) 对转向架疲劳负荷相关测试、转向架结构强度相关测试、车门系统性能测试、制动性能测试、牵引整体动态性能测试及车辆完整性检查的测试报告进行审查。

此阶段安全设计的重要关注点为:试验计划、操作员及维护人员的培训,安全管理,调试、试验、联调管理,综合认证管理。

3 结语

近年来,国内已开通运营和在建的城市轨道交通FAO项目正在开展或已完成车辆ISA。通过上述文档评估、安全审计、试验见证等评估活动,证明车辆系统相关的风险控制达到了可以接受的程度,同时在评估策略、评估方法、评估报告等方面都积累了一定的理论和实践经验;但在专业化、系统化等方面仍存在不足,主要表现为部分FAO项目存在安全评估方介入时间较晚、评估重流程轻技术等问题。因此,需结合FAO项目车辆ISA的实践,完善车辆ISA体系,形成我国车辆ISA的标准。