獨立安全評估技術及其在C 城地鐵X 號線的工程應用研究

常呂國，高慧麗，周 偉，彭 勇

（1.中車青島四方機車車輛股份有限公司，山東青島，266111；2.中南大學交通運輸工程學院，軌道交通安全教育部重點實驗室，湖南長沙，410075）

“安全第一，預防為主”[1]是鐵路運輸經年不變的行業準則，對軌道交通車輛系統進行獨立安全評估，越來越在行業中得到推廣。歐盟鐵路發達國家及美國鐵路主要采用基于風險的安全管理[2]，將獨立安全評估作為事先安全預防管理的重要手段。在法律法規比較完整的部分歐洲國家，獨立安全評估已成為管理軌道交通安全的重要手段[3]，甚至將其強制規定為軌道交通車輛投入運營的基本前提。這一強制要求不僅在歐洲全面推廣，在很多采用歐標的國家和地區，如：中東，拉美，東南亞和中國香港、中國臺灣，都已被業內廣泛接受。另外，美國的AAR 認證體系也有類似的安全審批要求，俄羅斯的海關聯盟認證體系對鐵路系統的安全要求寫入海關聯盟技術法規CU-TR 系列技術規范。近年來，隨著國內軌道交通技術的發展以及標準的跟進，獨立安全評估越來越在行業中得到推廣：國內從2008 年至2012 年，先后對歐洲獨立安全評估所參考的標準EN50126、EN50128、EN50129等進行了翻譯并形成對應的國家標準[4]。獨立安全評估從信號系統起步，并逐漸成為軌道交通行業有SIL 要求的產品認證的強制要求[5]，特別是“7.23事件”之后，成為中國鐵路總公司信號系統產品認證的強制要求。在機車車輛領域，獨立安全評估由最初克諾爾制動控制單元軟件故障造成的動車召回進入了行業視線，并且開始向控制系統逐步推廣，如TCMS 系統等。從2014 年起，國內軌道交通運營單位開始對機車車輛整車系統提出了獨立安全評估的要求。目前，隨著城市軌道交通系統的多元化發展，如市域快速鐵路的發展、全自動無人駕駛系統的發展，對軌道交通車輛系統的獨立安全評估需求越來越多。

根據ISO/IEC 17020《合格評定–各類檢驗機構的操作要求標準要求》，檢驗機構可能是一個組織或一個組織的一部分，不論是何種形式，從事獨立安全評估工作均必須保證公正性和獨立性[6]。在此背景下，根據地鐵業主的要求，通過招標的形式，選擇了業內業績口碑極好的國際知名獨立安全評估第三方，結合《C 城地鐵X 號線一、二期工程車輛系統獨立安全評估項目技術條件》，對C 城地鐵X號線項目車輛系統開展獨立安全評估工作。

1 項目評估簡介

C 城地鐵X 號線項目為時速140 公里的A+型地鐵車輛，在國內屬于首次應用。開展獨立安全評估的目的是評估車輛系統的技術安全、質量管理及安全管理與系統安全要求的符合性。通過安全評估和安全審核的活動，評估C 城地鐵X 號線車輛系統安全設計的完成情況，評估整車、安全子系統和其接口的安全完整性的符合性，評估車輛的風險分析及危害控制過程，以及車輛系統的風險是否處于可接受的狀態，評估C 城地鐵X 號線車輛系統的安全管理流程與EN50126、EN50129、EN50128 等標準的符合性，并對C 城地鐵X 號線車輛系統開始載客運營的安全準備進行評估。

2 評估范圍

根據EN 50126 標準定義，獨立安全評估是結合產品V 生命周期的概念、系統定義、風險分析、系統需求、系統需求分配、設計和實現、生產、集成、系統確認、系統驗收、運營和維護、系統退出的12 個階段來開展的[7]。

結合實際情況，C 城地鐵X 號線分為概念階段、設計階段、生產階段、測試驗證階段4 個階段開展車輛系統獨立安全評估，包含除運營和維護、系統退出以外的產品生命周期1～10 階段，具體如下：

·概念階段：覆蓋EN50126V 生命周期1，2，3，4 階段；

·設計階段：覆蓋EN50126V 生命周期5，6 階段；

·生產階段：覆蓋EN50126V 生命周期7，8 階段；

·測試驗證階段：覆蓋EN50126V 生命周期9，10 階段。

同時，C 城地鐵X 號線項目的獨立安全評估覆蓋整個車輛系統的安全管理以及RAM管理，涵蓋車輛系統的整車安全以及與行車安全功能相關的各子系統。包括：

·電氣牽引系統；

·輔助電源系統，包括蓄電池；

·列車控制及監控系統；

·制動系統；

·廣播和乘客信息系統；

·空調系統；

·車體結構（包括貫通道，門，窗，操縱臺和照明等）；

·車鉤及緩沖裝置；

·轉向架與輪對；

·火災探測和報警系統；

·車輛與車載信號系統的接口。

此外，根據合同技術文件的要求，C 城地鐵X號線車輛系統的獨立安全評估以及安全審核的技術范圍包括車輛的整車安全以及與行車安全功能相關的子系統SIL 交叉接受，如：車門控制系統SIL2 級，以及制動控制系統SIL4 級。該項目的安全評估是車輛系統特定應用層面的獨立安全評估，包括各功能安全相關的子系統特定應用層面的獨立安全評估。不包括這些子系統的通用應用或通用產品層面的評估，這些子系統的功能安全要求涉及的通用產品和通用應用需要供應商進行單獨的獨立安全評估，并獲得獨立安全評估報告和SIL 證書。獨立安全評估第三方對這些子系統的通用產品和通用應用的證書和報告依據CLC/TR 50506-1 標準進行交叉接受。

3 評估標準及策略

3.1 評估標準

獨立安全評估將主要依據歐洲電工標準委員會制定的標準方法來執行，車輛系統的獨立安全評估主要涉及以下安全相關標準（在評估過程中，基于隱患登記冊的危害控制措施所采用的軌道交通系統國際標準或國家標準，以及行業廣泛接受的技術規范在此不一一列出）。

·EN 50126 鐵路應用- 可靠性，可用性，可維護性和安全性的規范和示例（RAMS），1999 年；

·EN 50126-1 鐵路應用- 可靠性，可用性，可維護性和安全性的規范和示例（RAMS），2017 年；

·EN 50128 鐵路應用- 鐵路控制和保護系統的軟件，2011 年；

·EN 50129 鐵路應用- 信號方面的安全相關電子系統，2003 年；

·EN 50129 鐵路應用- 信號方面的安全相關電子系統，2018 年；

·EN 50159 鐵路應用- 通信、信號和處理系統－傳輸系統中安全相關的通信，2010 年；

·ISO 9001 質量管理體系–要求，2015 年；

·IEC 62290 鐵路設施- 城市自動化有軌運輸系統（AUGT）管理命令及控制系統，2014 年；

·CLC/TR 50506-1 鐵路應用- 通信，信號和過程系統-EN 50129 的應用指導第一部分-交叉接受，2007 年。

3.2 評估策略

獨立安全評估策略依據EN50126 定義的生命周期對C 城地鐵X 號線車輛系統生命周期各階段所輸出的安全文件開展獨立安全評估，各子系統供應商提供通用產品的安全評估報告及SIL 證書進行交叉接受。

車輛系統的獨立安全評估活動主要有安全評估、安全審核兩個方面的活動：

安全評估：安全評估是一個文檔審核的過程，通過該過程判斷正在開發的系統相關的風險是否得到控制并被（或將被）降低到恰當的水平。本活動主要是文件的審核工作，對系統設計的技術安全進行評估。

安全審核：安全審核的目的是檢查車輛開發、設計、制造及驗證進行的安全管理活動和質量管理活動是充分的，而且嚴格依照系統保證計劃進行了有效的實施。主要是現場的審核工作。此外C 城地鐵X 號線的評估員跟隨整個項目開發、制造流程，從初步設計階段直到項目的調試階段以及進入商業運營，在評估過程中的評估活動主要通過以下方式進行：

·文檔完整性和技術一致性的檢查；

·更新文檔的審核；

·質量管理及安全管理的現場審核；

·實驗室和現場測試的見證。

4 評估關注點

4.1 質量管理

質量管理作為車輛系統安全實現的基礎，在評估中關注C 城地鐵X 號線車輛系統的質量管理及結果，評估方將根據項目質量管理（含配置管理）的策劃作為項目開展質量管理審核活動的依據。

生產階段的質量管理基于本項目質量管理計劃開展，對生產階段的質量管理進行了質量策劃，并有指導生產的技術/工藝文件、質量檢查文件/記錄、人員資質要求/記錄、檢驗檢測工具校驗要求/記錄等，以及不合格品和不合格項的管理及改進要求等，以保證質量和安全需求實現的持續性。

4.2 安全管理

安全管理作為車輛系統制造商控制系統性失效的必要措施，是實現車輛系統安全目標的必要手段，獨立安全評估第三方著重對C 城地鐵X 號線車輛系統的安全管理的充分性及完整性進行評估。

評估方重點關注車輛系統制造商在項目生命周期各階段貫徹項目安全管理計劃要求的情況，根據生命周期的各階段定義了相關的RAMS 管理活動，檢查生命周期各階段輸入輸出的活動及文件的要求，以及車輛在設計、生產、測試和運營階段的RAMS 工作中的具體任務和實施方法，以保證項目執行周期內的各個階段按本計劃的規定執行，使本項目的安全管理工作能夠滿足規范、標準和合同規定的要求。

4.3 風險分析及危害控制

風險評估重點關注車輛系統的危害分析及危害控制，在既有的危害審查（Hazard Review）和檢查清單（Check List）的基礎上，參考以往既有項目的經驗，在本項目的FMECA 分析的基礎上，針對C 城地鐵X 號線過程的特殊要求，識別出新的危害和風險。

評估確定C 城地鐵X 號線車輛系統初步危害分析的內容完整合理、對危害產生的原因的分析合理、采取的危害控制措施合理有效、所有的危害在隱患登記冊中進行了登記，便于以后的跟蹤管理。評估危害識別、危害原因分析、危害控制措施之間的完整可追溯性。危害分析同時確定了相關系統的安全需求，分配了相應的定性安全完整性SIL 需求，達到風險分析的目的，符合EN50126 標準的要求。定性安全完整性等級確定方法主要有后果法[8]、風險矩陣法[8-12]、風險圖法[9]等 。

4.4 技術安全

針對車輛系統技術安全，評估方重點關注C城地鐵X 號線車輛系統的以下方面：

·車體：車體鋼結構的靜強度、動態包絡線、被動安全及水密性安全等；

·車鉤及貫通道：靜強度、應力吸收及傳遞、自動車鉤的功能安全以及最小曲線通過能力等；

·轉向架：轉向架靜強度、疲勞強度、輪軌關系、模態分析及運行動力學安全等；

·客室側門：客室門結構強度、硬件及軟件的功能安全、SIL 等級、防護功能的實現等；

·牽引系統：牽引性能、緊急牽引功能、動力制動功能等；

·網絡控制系統：列車狀態監控功能、故障檢測功能、列車狀態和故障信息上報功能以及超速保護功能；

·空氣制動及供風系統：硬件及軟件的功能安全、緊急制動功能、停車制動功能、SIL 等級、制動能力的實現、制動能量的釋放或回收；

·電磁兼容EMC：車輛EMC 的管理及控制工程、空調、牽引逆變器、輔助電源逆變器、濾波電抗器、制動控制單元、客室門控制單元及其它車載EMC 相關電氣設備，電纜分類和布置方案對EMC的影響；

·防火安全：車輛防火安全的概念、非金屬材料、電線電纜的防火性能、地板及防火墻結構的防火安全、電氣設備防火安全、乘客緊急疏散等；

·維修安全：安全防護、電擊安全、維護活動中安全性能的保持以及其他維修中的安全隱患等；

·電氣安全：接地概念、防電擊安全、雷擊安全及防護等；

·應急管理：應急電源的保證、緊急出口及照明、緊急通信設施及乘客逃生疏散的管理等；

·車輛系統與其他核心設備系統之間的接口安全：信號系統接口、通信系統接口等。

4.5 SIL 安全完整性等級

針對車輛系統功能安全相關的子系統，獨立安全評估第三方主要關注C 城地鐵X 號線車輛系統功能安全相關的子系統的安全完整性SIL 等級的符合性，在評估活動中對通用應用SIL 認證進行交叉接受的審核，并對C 城地鐵X 號線的特定應用的層面進行評估。包括制動控制系統以及車門控制系統的SIL 安全完整性等級的符合性，確認這兩個系統的安全功能在本項目的特定應用層面符合C 城地鐵X 號線分配的SIL 等級的要求：

·客室門控制系統安全功能的SIL 等級為2級；

·制動控制系統安全功能的SIL 等級為4 級。

4.6 防火安全

獨立安全評估第三方主要關注危害日志中關于防火安全相關的危害，并跟蹤建議的危害減輕措施，通過對車輛系統防火安全相關文檔的評估，確認C 城地鐵X 號線車輛系統的防火安全的管理是合理的；通過測試見證以及試驗報告的審核，確認車輛系統的防火安全性能符合C 城地鐵X 號線車輛系統的防火安全目標，通過以下措施可以降低車輛火災的風險并保證乘客和乘務人員的人身安全：

·非金屬材料的選擇符合標準要求；

·車輛結構和設備設計所采取的防火措施；

·系統及緊急系統的控制和功能的實現。

4.7 驗證及確認

對C 城地鐵X 號線車輛系統的安全要求進行驗證及確認，獨立安全評估第三方首先對車輛系統的試驗大綱進行審核及確認，包括型式試驗大綱及例行試驗大綱的審核，重點審核安全相關的試驗，包括：限界試驗、絕緣耐壓試驗、制動性能試驗、牽引性能試驗（故障運行以及救援性能）、門系統試驗、運行動力學試驗、安全保護等，并通過這些試驗的現場見證，以確認相關試驗人員資質符合試驗驗證的要求，確認試驗流程、試驗方法、測試設備符合對應型式試驗（為專業說法，沒問題的）大綱要求，并確認車輛系統的安全驗證活動的符合性。

5 評估發現

在C 城地鐵X 號線車輛系統的獨立安全評估過程中，獨立安全評估第三方通過技術筆記或開口項清單的形式對項目的安全管理、質量管理以及車輛系統的技術安全的不符合性進行總結，并進行跟蹤管理，確保在評估過程中的發現得到糾正。開口項的評估結果見表1：

表1 地鐵車輛系統開口項評估結果

截至2020 年8 月，影響C 城地鐵X 號線車輛系統安全的A 類開口項共95 項，已經得以關閉及解決。根據評估結果，車輛系統的相關階段識別的危害得到有效控制，風險處于可接受的水平，獨立安全評估第三方可以出具C 城地鐵X 號線車輛系統的評估報告及結論。

6 出具結論

（1）根據安全審核工作的開展，獨立安全評估第三方認為C 城地鐵X 號線車輛系統在本項目的安全管理和質量管理是完善的，質量管理符合ISO9001 質量管理體系的要求，安全管理符合EN50126 標準的要求，安全管理及質量管理人員的能力是充分的，C 城地鐵X 號線車輛系統在設計、生產、組裝、測試及調試階段的所有活動均有效地執行了安全管理及質量管理的要求。

（2）根據安全評估工作的開展，獨立安全評估第三方認為C 城地鐵X 號線車輛系統的風險分析以及危害控制符合相應的安全要求，根據風險分析的結果，通過危害日志的管理，執行相應的危害控制措施及風險降低措施，系統的風險已被降低至合理可行的最低限度，并得到驗證，C 城地鐵X號線車輛系統技術安全的實現是完善的，車輛安全證明文件是可接受的。

（3）基于以上分析，獨立安全評估第三方認為C 城地鐵X 號線車輛系統的安全性符合“EN50126鐵路應用可靠性，可用性，可維護性及安全性（RAMS）”的要求，安全相關子系統的安全完整性等級符合EN50128 及EN50129 規定的要求，車輛系統的危害得到控制，風險處于可接受的水平，可以滿足地鐵運營的安全要求。