軌道交通車輛獨立安全評估方法的研究與應用

袁文靜，程建峰，王前選，周偉

（1.中車青島四方機車車輛股份有限公司，山東 青島 266111；2.五邑大學 軌道交通學院，廣東 江門 529020；3.中南大學 交通運輸工程學院，軌道交通安全教育部重點實驗室，湖南 長沙 410075）

軌道交通車輛運營質量關系到旅客的生命財產(chǎn)安全，隨著軌道交通車輛技術的創(chuàng)新性發(fā)展，對安全運營的要求持續(xù)提高，安全需求規(guī)范日漸完善. 安全需求是否已經(jīng)落地，除了制造商本身確認外，運營方也亟需專業(yè)機構從第三方角度做出公正評估以增加對安全的信心，于是獨立安全評估應時而生. 獨立安全評估是判定系統(tǒng)（產(chǎn)品）是否達到規(guī)定的安全要求的過程，并且會形成一個關于系統(tǒng)（產(chǎn)品）是否滿足預期的特定安全目的的評判. 其名詞中的獨立是對評估員獨立性的要求，即評估員應始終不受項目經(jīng)理的管轄，具體詳見EN50126-2：2017中7.1節(jié)之規(guī)定.

我國從2008年至2012年，先后對歐洲獨立安全評估所參考的標準EN50126、EN50128、EN50129等進行了翻譯并形成相應的國家標準[1]. 深圳地鐵 3號線是中國大陸各城市城軌項目中較早引進系統(tǒng)化安全管理與獨立安全評估的工程之一[2]. 獨立安全評估應評估安全管理標準的要求是否已得到遵守、安全流程是否落實到位、所考慮的系統(tǒng)（從安全角度出發(fā)）是否與其預期目的相適應[3]. 目前開展軌道交通車輛獨立安全評估主要是為車輛系統(tǒng)相關安全的結論提供足夠的信心[4]，確保車輛系統(tǒng)識別的風險已被控制并已經(jīng)降低到可以接受的程度. 獨立安全評估的任務主要包括：確認本項目充分識別了車輛的風險，且風險均被充分管理；確認本項目所識別的風險均具有充分、恰當?shù)目刂拼胧?，并且這些控制措施都被有效記錄并管理；確認制定的風險控制措施均充分實施并得以充分驗證，確保風險已經(jīng)降低到可以允許或接受的程度.

1 軌道交通車輛獨立安全評估策略

1.1 獨立安全評估的方法

面對中國鐵路迅猛的發(fā)展趨勢，國外許多安全評估機構都預見到了中國鐵路行業(yè)發(fā)展新的機遇.萊茵公司、必維公司、里卡多公司等在國內軌道交通領域開展的獨立安全評估項目的推進，展示了他們在該領域的優(yōu)勢[5]. 目前評估機構對獨立安全評估的操作指南研究較多[6]，但對于軌道交通車輛的整車獨立安全評估方法研究較少，溫州市域鐵路 S1線車輛是在我國率先進行整車第三方獨立安全評估的項目[7].

目前歐盟鐵路發(fā)達國家及美國鐵路主要采用基于風險的安全管理[8]，EN50126-2：2017介紹了風險評估和危險控制的沙漏模型，該模型主要說明了兩方面的內容：一是通過風險評估形成操作和技術方面的安全要求；二是危險控制，通過確定和分析原因，設計和實現(xiàn)控制措施來達到上層系統(tǒng)規(guī)定的功能安全要求. 基于風險的方法和基礎概念要求重點關注高風險區(qū)域，該方法采用持續(xù)的風險管理活動來保證獨立安全評估采取的方向與系統(tǒng)安全的風險和問題保持一致.

考慮車輛系統(tǒng)復雜程度較高、運行場景復雜，尤其在車輛系統(tǒng)的獨立安全評估逐步推廣階段，本文提出了綜合運用“基于風險評估”和“符合性評估”的方法對車輛系統(tǒng)設計方案進行獨立安全評估，詳見圖 1. 對于每一個系統(tǒng)的設計方案，既要考慮是否滿足了合同和相關標準的安全需求，又要考慮項目特定應用場景和可能危害場景中采取的防護措施是否充分. 針對項目特定子系統(tǒng)側重點會不同，一般來說對于有明確設計標準的機械系統(tǒng)來說主要進行符合性評估，對于電氣控制相關的系統(tǒng)則更多考慮采用基于風險的評估. 綜合運用“基于風險評估”和“符合性評估”的評估方法還可根據(jù)車輛系統(tǒng)項目的特征，在進行獨立安全評估具體方案時對兩方面的側重點進行具體規(guī)劃.尤其對那些從設計到生產(chǎn)周期較長的重點問題、高風險問題應投入更多資源，以保證項目計劃不會被影響、潛在的安全問題全方位展現(xiàn)并得到有效控制.

圖1 獨立安全評估方法

1.2 獨立安全評估的流程策略

車輛系統(tǒng)的獨立安全評估基于EN50126標準中生命周期1～9階段的產(chǎn)品安全活動，審核的主要系統(tǒng)包含但不限于車體、轉向架、門、窗、貫通道、網(wǎng)絡通信、制動系統(tǒng)、牽引系統(tǒng)、輔助系統(tǒng)、空調系統(tǒng)、通風系統(tǒng)以及重量管理、防火管理、EMC管理、噪音管理等，車輛系統(tǒng)功能龐大，系統(tǒng)及零部件眾多，不同的車輛制造工廠的子系統(tǒng)分類或名稱略有不同，詳見表1.

表1 軌道交通車輛專業(yè)分類（參考）

對于車輛整車的獨立安全評估，首先應從整車系統(tǒng)層面作為啟動和切入點進行評估，然后再對各個子系統(tǒng)進行評估，最后將整個系統(tǒng)層面評估的結果與各個子系統(tǒng)的評估結果進行整合分析，確認安全風險得到了有效控制. 本文提出的車輛整車安全評估策略的思路是結合生命周期進行安全需求評估.

1.2.1 結合安全生命周期的評估思路

安全管理過程的各階段和活動與 EN50126標準中定義的 12個系統(tǒng)生命周期階段和活動是一致的，同時與安全生命周期密切相連. 對于一個整車車輛的獨立安全評估工作，絕大部分需要評估的內容是設計階段的活動. 系統(tǒng)生命周期的設計階段可以看作是一個“自上而下”的過程或活動，之后進行整車系統(tǒng)集成和確認活動，其中的確認活動是一個“自下而上”的過程，整個設計確認過程呈“V”型結構，如圖2所示.

圖2 生命安全周期的設計和確認階段

車輛整車的獨立安全評估過程可根據(jù)設計確認的“V”型過程進行，從車輛集成層面進行綜合危害分析與風險評估，識別出安全需求，再分解到子系統(tǒng)，整車過程具備逐層向下分解的能力，各子系統(tǒng)的設計確認也按照此模型進行危害分析與風險評估，子系統(tǒng)完成集成與接口確認，最后再到系統(tǒng)整車集成與接口層面確認.

1.2.2 結合車輛安全需求的評估思路

車輛系統(tǒng)設計開發(fā)的過程中，要求設計師從車輛系統(tǒng)的技術需求中識別出安全相關的需求，該安全需求可以不獨立生成文檔，但是要能明確識別并從系統(tǒng)需求中分離出安全需求和非安全需求.車輛進行獨立安全評估時，重點對安全需求進行評估，確認其風險并分別識別、管理，直至降低到可接受的水平.

如圖 3所示，在車輛的獨立安全評估過程中，安全需求分為安全功能需求和其他安全需求. 功能安全需求又分為電子安全功能（承擔安全功能的系統(tǒng)、設備或部件有電子、電氣和可編程器件）需求和機械功能安全需求. 電子安全功能需求指的是安全完整性等級要求.

系統(tǒng)完整性失效和機械系統(tǒng)失效的風險管控是一個定性的分析過程，無法進行量化計算[9]. 首先要保證設計過程是在一個有效穩(wěn)定運行的質量管理體系下完成，例如 ISO9001、IRIS22163等，這樣就確保了系統(tǒng)設計過程中的風險已經(jīng)降低到一般行業(yè)領域的水平；通過有效的安全管理過程，可以進行定性的分析，通過采取一定的有效措施后，最終使剩余風險達到可接受水平.

對于隨機完整性失效則通過功能的SIL認證、提高元器件的可靠性等方式進行風險控制；機械的隨機失效通過標準規(guī)范的符合性確認滿足系統(tǒng)分配的可容忍危害率THR（Tolerable Hazard Rate）.隨機完整性失效和隨機失效可進行量化的風險分析和計算，通過采取技術措施降低風險.

圖3 基于安全需求的評估思路

對于非安全功能的其他安全需求，除確保在有效穩(wěn)定的質量管理體系下完成設計和確認活動外，僅進行符合性內容的確認即可，例如符合顧客要求、符合技術標準等. 其中值得注意的是，實施安全功能評估需要功能安全評估人員獨立于項目且有相應的能力[10].

在車輛的獨立安全評估過程中，由于系統(tǒng)龐大，無論設計還是評估單靠一個或幾個人員難以實現(xiàn)，而接口方面的設計和評估容易出現(xiàn)遺漏，因此接口的風險評估尤其重要. 接口分為系統(tǒng)內部的接口，比如車輛系統(tǒng)中車門與 TCMS 系統(tǒng)的接口；也包括系統(tǒng)的外部接口，比如車輛系統(tǒng)與軌道系統(tǒng)的接口. 接口間只有遵守一定的規(guī)則才有可能有機地連結和銜接，才能安全、可靠地實現(xiàn)系統(tǒng)的整體功能和各自的功能.

因此在獨立安全評估過程中，需要將風險的接口作為分析評估的專題，比如車輛與信號系統(tǒng)的接口，其中轉向架、走行部及導向系統(tǒng)與軌道的接口. 特殊的以及復雜的接口，可在基于場景分析的評估中進行梳理，得出需要特別關注的接口，進一步細化分析評估. 不同類型的接口，其分析評估的方法有一定的區(qū)別，比如控制電路和通信的接口與機械結構的接口就有著截然不同的特性，因此將采用不同的分析評估方法.

2 車輛系統(tǒng)安全技術要求及應用

2.1 安全完整性等級

顧客招標過程對于安全完整性的通常要求如表 2所示. 根據(jù)車輛的運營場景不同，以下安全功能會有所增加或安全完整性等級更高. 例如跨座車輛除了通常采用膠輪轉向架，還應考慮胎壓監(jiān)測功能的SIL2要求.

表2 軌道交通車輛系統(tǒng)安全完整性等級一般要求

2.2 技術安全要求的分析應用

由于車輛系統(tǒng)較為復雜，安全功能及執(zhí)行安全功能的子系統(tǒng)所涉及的安全技術要求錯綜復雜，獨立安全評估的內容就是識別圍繞安全功能的技術要求是否滿足，所采取的技術措施是否有效落地.圖4以車輛的高壓牽引子系統(tǒng)所執(zhí)行的安全要求為例，介紹如何評估子系統(tǒng)的技術安全要求.

圖4 牽引高壓系統(tǒng)的安全技術要求

根據(jù)本文提出的評估方法和策略，針對車輛的牽引高壓系統(tǒng)的安全功能需求包含三項：牽引切除功能SIL2、再生制動功能SIL2和方向控制功能SIL1；其他技術安全需求主要涉及超速保護能力、故障運行能力、坡道救援能力、接地保護措施、防雷電設計和弓網(wǎng)受流性能，也包含設備件的強度設計.

2.3 子系統(tǒng)SIL認證接受原則

根據(jù)EN50126的要求以及目前鐵路行業(yè)SIL認證的實際情況，一般各子系統(tǒng)供應商提供的SIL認證證書分為三類：通用產(chǎn)品、通用應用和特定應用. 在對整車車輛進行獨立安全評估時，根據(jù)證書類別的不同，采取如下接受原則：

1）通用產(chǎn)品和通用應用證書. 目前國內鐵路車輛行業(yè)大部分SIL證書為通用類證書，對于這類證書，評估方在交互認可時，除了審核證書的認證范圍和安全功能清單，還將重點審核通用證書與本項目特定應用之間的差異：如果評估方認為差異與安全無關，則接受通用 SIL證書+差異性分析報告；如果差異存在安全方面的影響，那么根據(jù)安全影響程度評估方可要求供應商對差異部分繼續(xù)進行SIL認證，此時最終接受的形式為通用證書+差異性分析報告+差異部分的SIL認證.

2）特定應用證書. 如果供應商能夠提供特定應用SIL證書，則對證書使用條件進行核對確認，并確認認證的產(chǎn)品無任何變更；如果由于周期問題未獲得證書，則可審核SIL認證機構資質，待獲得SIL評估報告的結論后，并評估方可直接接受特定應用證書.

3 結論

本文結合車輛系統(tǒng)的設計經(jīng)驗和車輛系統(tǒng)的獨立安全評估經(jīng)驗，在不斷總結評估思路和安全技術要求的基礎上，創(chuàng)新性地提出了符合性評估和基于風險評估相結合的評估方法，提出了伴隨安全生命周期、伴隨安全需求和關注系統(tǒng)接口的評估策略，并探討了該方法和策略在軌道交通車輛獨立安全評估中的實際應用，希望能給從事軌道交通車輛獨立安全評估的人員提供一定的幫助和借鑒.在未來軌道交通車輛獨立安全評估體系成熟后，相信軌道交通車輛產(chǎn)品獨立安全評估將成為車輛是否可以上線運營的重要標準之一，為我國軌道交通行業(yè)提供進一步的安全保障.