基于風(fēng)險圖法的城軌車輛車門SIL等級評定應(yīng)用研究

中車青島四方機車車輛股份有限公司□陳文祿 張愛霞

城市軌道交通車輛的車門系統(tǒng)是機械和電氣技術(shù)高度集成的產(chǎn)品， 在車輛上配置數(shù)量多、 操作頻繁， 與車輛安全性及可靠性密切相關(guān)。 為避免在運營過程中出現(xiàn)安全事故， 城軌車輛車門系統(tǒng)需要達到特定的安全性和可靠性要求。 目前軌道交通比較成熟的安全標(biāo)準(zhǔn)為歐盟電子技術(shù)標(biāo)準(zhǔn)委員會（CENELE） 的EN 50126/50128/50129 系列標(biāo)準(zhǔn)。

安全完整性等級SIL 是針對安全領(lǐng)域的安全相關(guān)系統(tǒng)執(zhí)行的安全功能提出的特定要求， SIL構(gòu)建了用戶、 車輛主機廠和設(shè)備供應(yīng)商之間的安全領(lǐng)域共同語言。 合理確定車門系統(tǒng)安全完整性等級（SIL） 對城軌車輛研制尤為重要， 過低的SIL 等級會導(dǎo)致安全相關(guān)系統(tǒng)安全功能失效概率過高， 會導(dǎo)致受控設(shè)備危險失控； 過高的系統(tǒng)SIL 等級則會增加研發(fā)周期和成本， 不能達到合理控制、 降低風(fēng)險的效果。

危害識別： 根據(jù)設(shè)定的分析范圍、 結(jié)合相關(guān)科學(xué)方法和手段， 識別出所分析系統(tǒng)的所有危害事件。 為確保危害識別的有效性和完整性，應(yīng)定義所分析系統(tǒng)的邊界條件， 收集與系統(tǒng)安全相關(guān)的信息， 并按照給定的條件和變量， 全面找出系統(tǒng)中存在的潛在危險因素， 明確相關(guān)的聯(lián)系和影響。

風(fēng)險分析： 確認(rèn)危害、 危害原因和與其可能性相關(guān)的要求偏差， 并分析危害結(jié)果的承受程度進行分析的過程。 風(fēng)險分析的核心是危害分析，即對不期望事件的識別及其后果的分析。

安全完整性： 指在規(guī)定的條件下和時間內(nèi)，由E/E/PE 安全相關(guān)系統(tǒng)成功實現(xiàn)所要求功能的概率， 即系統(tǒng)安全完整的置信度。

根據(jù)IEC 61508 《電氣/電子/可編程電子安全系統(tǒng)的功能安全》、 EN 50129 《鐵路應(yīng)用 通信、信號和過程控制系統(tǒng) 信號的安全相關(guān)電子系統(tǒng)》標(biāo)準(zhǔn)， 安全完整性分為SIL1～SIL4共四個等級，SIL4表示最高等級， SIL1表示最低等級， SIL0表示無安全性需求。 SIL 等級是對系統(tǒng)所要求的安全完整性水平的一種定量指標(biāo)， 與執(zhí)行安全功能的相關(guān)系統(tǒng)的性能相關(guān)。 SIL 定級有多種方法， 工程上較常用的方法有風(fēng)險矩陣法、 保護層分析法和風(fēng)險圖法。

（1） 風(fēng)險矩陣法

在標(biāo)準(zhǔn)IEC 61508-5 《電氣/電子/可編程電子安全系統(tǒng)的功能安全 第5 部分： 確定安全整體水平方法的實例》 附錄G 中對風(fēng)險矩陣法進行了應(yīng)用說明， 這種方法是基于對危害事件可能性和后果的定性分析， 應(yīng)用示例如圖1 所示。 依據(jù)風(fēng)險邊界， 找出每一種嚴(yán)重度對應(yīng)的可容忍風(fēng)險概率。 徐陽、 李俊紅等人采用風(fēng)險矩陣法對軌道車輛安全完整性等級評定進行了分析研究。

圖1 IEC 61508-5 風(fēng)險矩陣法應(yīng)用示例

（2） 保護層分析法（LOPA）

保護層分析法是一種半定量的風(fēng)險分析方法， 分析中針對特定的事故場景， 識別能夠預(yù)防和減輕風(fēng)險的保護層， 并對每個保護層所能提供的風(fēng)險降低水平進行評估。 該方法主要由危險事件發(fā)生頻率、 初始事件的嚴(yán)重度等級、 不包括E/E/PE 安全相關(guān)系統(tǒng)的獨立保護層的平均失效概率、 危險事件降低的后果等參數(shù)構(gòu)成。

（3） 風(fēng)險圖法

風(fēng)險圖法是基于功能的風(fēng)險水平確定SIL 等級， 即通過分析某項功能的C、 F、 P、 W 指標(biāo)，確定該功能的SIL 等級。 其中C、 F、 P、 W 為風(fēng)險圖分析的四個維度， 分別為危險事件后果參數(shù)、 頻率和暴露時間危險參數(shù)、 避開危險源概率參數(shù)及不期望事件發(fā)生概率。 風(fēng)險圖表法通過四個參數(shù)之間的關(guān)系， 反映出當(dāng)安全功能故障或未設(shè)置安全功能時可能出現(xiàn)的危險狀態(tài)， 見圖2。

圖2 IEC 61508-5 推薦的風(fēng)險圖

參考IEC 61508-5 附錄D， 圖2 中的參數(shù)分類和含義如表1 所示：

表1 風(fēng)險圖的參數(shù)分類和含義說明

本文選用風(fēng)險圖法作為車輛車門系統(tǒng)SIL等級確定的方法。 首先對車輛車門開展故障模式與影響分析 （FMEA）， 對車輛等級隱患進行識別和分析， 基于項目合同需求分析和初步隱患分析提出減輕措施， 識別出車輛車門各子系統(tǒng)的相關(guān)安全功能， 為潛在的相關(guān)危險參數(shù)的確定提供依據(jù)。

經(jīng)分析本項目車門系統(tǒng)安全功能主要有： 車門準(zhǔn)確開閉功能、 關(guān)門鎖閉功能、 緊急解鎖功能、 防夾功能、 門狀態(tài)指示功能及非零速保護功能六種。 六種安全功能分別通過影響和后果分析可確定危險事件后果參數(shù)C， 通過原因分析可確定頻率和暴露時間危險參數(shù)F， 通過場景分析可確定避開危險源概率參數(shù)P， 通過綜合分析確定不期望事件發(fā)生概率W。

根據(jù)圖2 所示流程， 可以確定車門系統(tǒng)各安全功能的安全完整性等級， 見表2。

同時， 依據(jù)公式（1） 可計算出車門系統(tǒng)的SIL 等級。

公式 （1） 中SIL1～SIL6表示車門所確定的六個安全功能所對應(yīng)的SIL 等級。 本項目中

最終可以得出本項目車門的SIL 等級為SIL2。

表2 車門安全功能風(fēng)險圖參數(shù)和SIL 等級

本文重點介紹了依據(jù)風(fēng)險圖分析法所開展的SIL 等級評定方法， 通過對車門系統(tǒng)FMEA 分析、 安全功能分析， 得出風(fēng)險圖參數(shù)， 依據(jù)風(fēng)險圖分析流程和系統(tǒng)安全功能等級確定原則， 有效評定了車門系統(tǒng)SIL 等級。 安全完整性以可靠性為重要基礎(chǔ)， 后續(xù)需要在項目執(zhí)行過程中， 收集車門系統(tǒng)可靠性數(shù)據(jù)， 持續(xù)修正車門系統(tǒng)該SIL評級方法的風(fēng)險圖參數(shù)。