接口危險分析技術在機車安全性設計中的應用

徐倩 張奕奕

摘 要：重點闡述接口危險分析的具體方法，結合實際機車分析案例說明從接口關系識別危險源，對其進行深入分析并提出適當的減輕措施使得風險控制在可接受水平，該方法應用在軌道交通領域為保障產品安全提供設計參考。

關鍵詞：接口;危險分析;風險

0 引言

機車由車體、轉向架、電氣、制動、控制等不同功能的大中型子系統組成，而各子系統同樣組成復雜，也是由多設備模塊構成。顯而易見，無論是系統層面還是設備層面均需要通過接口交互從而實現相關功能。也就是說，接口是連接它們的通道，使得它們彼此之間得以協同工作。然而一方面接口交互作用會導致兩個以上的系統之間的危險傳遞，另一方面接口交互失效必然會影響系統的安全功能實現。為了保證系統運用安全，對于接口的安全性分析不可或缺。

基于此本文將介紹接口危險分析（Interface Hazard Analysis，IHA），目的是從接口關系角度發現危險源、分析其形成機理和造成的后果、確定危險程度，從而提出措施改進設計以避免機車運用過程發生事故。

1 接口危險分析概述

系統接口涉及硬件、軟件、人機操作等方面，因此對于接口的安全性分析是一個復雜的過程。接口危險分析首先需要選擇分析對象即識別接口。接口分為外部接口和內部接口，外部接口為系統與系統之外其他系統之間的接口，內部接口為系統本身內部各子系統之間的接口。為了全面識別接口關系，可以根據系統設計架構繪制系統邊界圖，圖1給出了典型的邊界圖示例。系統邊界圖將系統設計進行簡化，能夠清晰表示系統與外界之間的關系，還能夠清楚顯示系統內部的子系統組成、各子系統功能之間的關系，是識別接口關系是有效途徑之一。

基于邊界圖識別系統的接口關系后，接著識別接口對象的危險因素：通過分析接口對象技術本身失效以及在鐵路運行內的記錄基礎上，利用接口關系盡可能地確定接口對象的所有潛在危險，潛在危險是指可能引起人員傷亡或系統/環境損害的事故發生。設計人員可以使用危險檢查表、以往的經驗以及事故調查，還可以借鑒類似系統已識別的危險等，來幫助發現每個接口對象可能存在的危險。

識別接口危險后應深入挖掘其產生的原因、影響并對風險進行定量評價，通過分析提出改進措施來減輕危險。風險定量評估是綜合危險發生頻率和危險后果嚴重度兩種因素來得出風險等級;定量對象包括識別的初始危險和經采取措施后減輕的殘余危險。

將識別的接口、危險、原因、影響、定量評估等分析結果記錄在可讀格式的表內，便于設計人員進行追溯。需要注意的是，接口危險分析是為了發現接口危險，并針對危險輸出改進措施從而促進設計優化，因此為了接口危險分析的閉環關閉，改進措施必須納入危險日志中，通過驗證確認活動進行監督，保證措施得以切實執行。

對于外部接口需要與外部接口供應商通過接口危險分析表或者其它約定形式，開展接口危險分析活動，確定危險控制措施且同樣需要納入危險日志跟蹤直至措施實施關閉。

2 接口危險分析的應用

機車的核心功能之一是實現安全牽引，本節將以某型電力機車為例討論該功能部分的機車系統內部及外部之間接口危險分析，說明接口危險分析在機車安全性設計中的實際應用。

2.1 接口識別

機車通過其內部子系統和外部系統通過彼此之間接口交互共同實現牽引功能。首先識別接口關系，通過圖2所示的邊界圖可知：系統內部包括供電系統、牽引系統、輔助系統以及控制系統，主變壓器的原邊通過受電弓、主斷路器得電，次邊向牽引變流器供電，牽引電機接受牽引變流器的電能轉換為驅動行駛的機械能，同時TCMS接收各子系統運行狀態并發出控制指令，輔助變壓器也從牽引變流器得電為控制系統提供電能;系統外部包括信號設備、通信設備，它們與機車交互運行信息，機車TCMS視情調整牽引力輸出大小。由此得出10個內部接口關系和2個外部接口。

2.2 危險分析與評估

上述識別的接口作用有物理連接、能量供給、信息傳輸等，對每一個接口對象逐項對照它們技術本身以及運行歷史總結的故障清單確定它們的故障模式、可能存在的故障后果。經分析識別，12個接口對象存在30項接口危險，即導致人員受傷或者死亡有30項。

下面對這30項危險進行詳細分析，發現它們的危險原因即引發危險的情況或條件、危險后果即對人員造成實際傷害的事件，再結合風險矩陣對危險發生頻率、后果嚴重度進行風險等級評估。文中采用EN50126標準定義的風險矩陣進行風險評價，初始風險等級為不期望的數目為24，可接受的數目為6，為了使風險可控，設計人員可從以下四個方面采取措施降低風險等級：（1）最小風險設計;（2）安全防護設計;（3）告警設計;（4）專用操作維護規程設計。在采取控制措施后，24條不期望的風險可降低為可接受的，6條可接受的風險降低為可忽略的。最后通過接口危險分析表記錄危害識別、風險評價、風險控制等內容，其中對于外部接口，需要外部接口供應商與機車設計人員協同完成危險分析。接口危險分析結果的示例如表1所示。

3 結論

采用接口危險分析可以系統地識別對機車內部接口以及外部接口，發掘它們可能發生的危險及原因，并量化危險的風險等級，使得設計人員更直觀了解系統的安全需求，使其具有目的性地尋找恰當的風險控制措施，消除風險或減輕至可接受水平。

綜上應用接口危險分析，能夠全面有效地分析多個系統包括系統邊界之間接口交互危險，與其它的安全分析如初步危險分析、子系統危險分析等共同保證系統安全分析的完備性，保障系統的運用安全。

參考文獻：

[1]EN50126-2017，鐵路設施可靠性、可用性、維修性和安全性（RAMS）的規范和驗證[S].

[2]李良巧.可靠性工程師手冊[M].北京：中國人民大學出版社，2012.

[3]盛銀勝.基于總包工程的接口危害分析[J].鐵路技術創新，2013（6）：99-101.

[4]王德春.基于PHA的中低速磁浮交通系統安全分析[J].通信設計與應用，2020（5）：19-22.