基于風(fēng)險(xiǎn)圖法的城軌車輛車門SIL等級(jí)評(píng)定應(yīng)用研究

中車青島四方機(jī)車車輛股份有限公司□陳文祿 張愛(ài)霞

城市軌道交通車輛的車門系統(tǒng)是機(jī)械和電氣技術(shù)高度集成的產(chǎn)品， 在車輛上配置數(shù)量多、 操作頻繁， 與車輛安全性及可靠性密切相關(guān)。 為避免在運(yùn)營(yíng)過(guò)程中出現(xiàn)安全事故， 城軌車輛車門系統(tǒng)需要達(dá)到特定的安全性和可靠性要求。 目前軌道交通比較成熟的安全標(biāo)準(zhǔn)為歐盟電子技術(shù)標(biāo)準(zhǔn)委員會(huì)（CENELE） 的EN 50126/50128/50129 系列標(biāo)準(zhǔn)。

安全完整性等級(jí)SIL 是針對(duì)安全領(lǐng)域的安全相關(guān)系統(tǒng)執(zhí)行的安全功能提出的特定要求， SIL構(gòu)建了用戶、 車輛主機(jī)廠和設(shè)備供應(yīng)商之間的安全領(lǐng)域共同語(yǔ)言。 合理確定車門系統(tǒng)安全完整性等級(jí)（SIL） 對(duì)城軌車輛研制尤為重要， 過(guò)低的SIL 等級(jí)會(huì)導(dǎo)致安全相關(guān)系統(tǒng)安全功能失效概率過(guò)高， 會(huì)導(dǎo)致受控設(shè)備危險(xiǎn)失控； 過(guò)高的系統(tǒng)SIL 等級(jí)則會(huì)增加研發(fā)周期和成本， 不能達(dá)到合理控制、 降低風(fēng)險(xiǎn)的效果。

危害識(shí)別： 根據(jù)設(shè)定的分析范圍、 結(jié)合相關(guān)科學(xué)方法和手段， 識(shí)別出所分析系統(tǒng)的所有危害事件。 為確保危害識(shí)別的有效性和完整性，應(yīng)定義所分析系統(tǒng)的邊界條件， 收集與系統(tǒng)安全相關(guān)的信息， 并按照給定的條件和變量， 全面找出系統(tǒng)中存在的潛在危險(xiǎn)因素， 明確相關(guān)的聯(lián)系和影響。

風(fēng)險(xiǎn)分析： 確認(rèn)危害、 危害原因和與其可能性相關(guān)的要求偏差， 并分析危害結(jié)果的承受程度進(jìn)行分析的過(guò)程。 風(fēng)險(xiǎn)分析的核心是危害分析，即對(duì)不期望事件的識(shí)別及其后果的分析。

安全完整性： 指在規(guī)定的條件下和時(shí)間內(nèi)，由E/E/PE 安全相關(guān)系統(tǒng)成功實(shí)現(xiàn)所要求功能的概率， 即系統(tǒng)安全完整的置信度。

根據(jù)IEC 61508 《電氣/電子/可編程電子安全系統(tǒng)的功能安全》、 EN 50129 《鐵路應(yīng)用 通信、信號(hào)和過(guò)程控制系統(tǒng) 信號(hào)的安全相關(guān)電子系統(tǒng)》標(biāo)準(zhǔn)， 安全完整性分為SIL1～SIL4共四個(gè)等級(jí)，SIL4表示最高等級(jí)， SIL1表示最低等級(jí)， SIL0表示無(wú)安全性需求。 SIL 等級(jí)是對(duì)系統(tǒng)所要求的安全完整性水平的一種定量指標(biāo)， 與執(zhí)行安全功能的相關(guān)系統(tǒng)的性能相關(guān)。 SIL 定級(jí)有多種方法， 工程上較常用的方法有風(fēng)險(xiǎn)矩陣法、 保護(hù)層分析法和風(fēng)險(xiǎn)圖法。

（1） 風(fēng)險(xiǎn)矩陣法

在標(biāo)準(zhǔn)IEC 61508-5 《電氣/電子/可編程電子安全系統(tǒng)的功能安全 第5 部分： 確定安全整體水平方法的實(shí)例》 附錄G 中對(duì)風(fēng)險(xiǎn)矩陣法進(jìn)行了應(yīng)用說(shuō)明， 這種方法是基于對(duì)危害事件可能性和后果的定性分析， 應(yīng)用示例如圖1 所示。 依據(jù)風(fēng)險(xiǎn)邊界， 找出每一種嚴(yán)重度對(duì)應(yīng)的可容忍風(fēng)險(xiǎn)概率。 徐陽(yáng)、 李俊紅等人采用風(fēng)險(xiǎn)矩陣法對(duì)軌道車輛安全完整性等級(jí)評(píng)定進(jìn)行了分析研究。

圖1 IEC 61508-5 風(fēng)險(xiǎn)矩陣法應(yīng)用示例

（2） 保護(hù)層分析法（LOPA）

保護(hù)層分析法是一種半定量的風(fēng)險(xiǎn)分析方法， 分析中針對(duì)特定的事故場(chǎng)景， 識(shí)別能夠預(yù)防和減輕風(fēng)險(xiǎn)的保護(hù)層， 并對(duì)每個(gè)保護(hù)層所能提供的風(fēng)險(xiǎn)降低水平進(jìn)行評(píng)估。 該方法主要由危險(xiǎn)事件發(fā)生頻率、 初始事件的嚴(yán)重度等級(jí)、 不包括E/E/PE 安全相關(guān)系統(tǒng)的獨(dú)立保護(hù)層的平均失效概率、 危險(xiǎn)事件降低的后果等參數(shù)構(gòu)成。

（3） 風(fēng)險(xiǎn)圖法

風(fēng)險(xiǎn)圖法是基于功能的風(fēng)險(xiǎn)水平確定SIL 等級(jí)， 即通過(guò)分析某項(xiàng)功能的C、 F、 P、 W 指標(biāo)，確定該功能的SIL 等級(jí)。 其中C、 F、 P、 W 為風(fēng)險(xiǎn)圖分析的四個(gè)維度， 分別為危險(xiǎn)事件后果參數(shù)、 頻率和暴露時(shí)間危險(xiǎn)參數(shù)、 避開(kāi)危險(xiǎn)源概率參數(shù)及不期望事件發(fā)生概率。 風(fēng)險(xiǎn)圖表法通過(guò)四個(gè)參數(shù)之間的關(guān)系， 反映出當(dāng)安全功能故障或未設(shè)置安全功能時(shí)可能出現(xiàn)的危險(xiǎn)狀態(tài)， 見(jiàn)圖2。

圖2 IEC 61508-5 推薦的風(fēng)險(xiǎn)圖

參考IEC 61508-5 附錄D， 圖2 中的參數(shù)分類和含義如表1 所示：

表1 風(fēng)險(xiǎn)圖的參數(shù)分類和含義說(shuō)明

本文選用風(fēng)險(xiǎn)圖法作為車輛車門系統(tǒng)SIL等級(jí)確定的方法。 首先對(duì)車輛車門開(kāi)展故障模式與影響分析 （FMEA）， 對(duì)車輛等級(jí)隱患進(jìn)行識(shí)別和分析， 基于項(xiàng)目合同需求分析和初步隱患分析提出減輕措施， 識(shí)別出車輛車門各子系統(tǒng)的相關(guān)安全功能， 為潛在的相關(guān)危險(xiǎn)參數(shù)的確定提供依據(jù)。

經(jīng)分析本項(xiàng)目車門系統(tǒng)安全功能主要有： 車門準(zhǔn)確開(kāi)閉功能、 關(guān)門鎖閉功能、 緊急解鎖功能、 防夾功能、 門狀態(tài)指示功能及非零速保護(hù)功能六種。 六種安全功能分別通過(guò)影響和后果分析可確定危險(xiǎn)事件后果參數(shù)C， 通過(guò)原因分析可確定頻率和暴露時(shí)間危險(xiǎn)參數(shù)F， 通過(guò)場(chǎng)景分析可確定避開(kāi)危險(xiǎn)源概率參數(shù)P， 通過(guò)綜合分析確定不期望事件發(fā)生概率W。

根據(jù)圖2 所示流程， 可以確定車門系統(tǒng)各安全功能的安全完整性等級(jí)， 見(jiàn)表2。

同時(shí)， 依據(jù)公式（1） 可計(jì)算出車門系統(tǒng)的SIL 等級(jí)。

公式 （1） 中SIL1～SIL6表示車門所確定的六個(gè)安全功能所對(duì)應(yīng)的SIL 等級(jí)。 本項(xiàng)目中

最終可以得出本項(xiàng)目車門的SIL 等級(jí)為SIL2。

表2 車門安全功能風(fēng)險(xiǎn)圖參數(shù)和SIL 等級(jí)

本文重點(diǎn)介紹了依據(jù)風(fēng)險(xiǎn)圖分析法所開(kāi)展的SIL 等級(jí)評(píng)定方法， 通過(guò)對(duì)車門系統(tǒng)FMEA 分析、 安全功能分析， 得出風(fēng)險(xiǎn)圖參數(shù)， 依據(jù)風(fēng)險(xiǎn)圖分析流程和系統(tǒng)安全功能等級(jí)確定原則， 有效評(píng)定了車門系統(tǒng)SIL 等級(jí)。 安全完整性以可靠性為重要基礎(chǔ)， 后續(xù)需要在項(xiàng)目執(zhí)行過(guò)程中， 收集車門系統(tǒng)可靠性數(shù)據(jù)， 持續(xù)修正車門系統(tǒng)該SIL評(píng)級(jí)方法的風(fēng)險(xiǎn)圖參數(shù)。