基于全寿命周期的车辆系统独立安全评估
2021-09-10高磊张志龙李智国王学亮
高磊 张志龙 李智国 王学亮
摘要:为探索城市轨道交通车辆系统独立安全评估方法和安全管理,本文以北京新机场线项目为例,介绍了车辆系统的独立安全评估过程,以及基于全寿命周期的安全管理和风险分析活动,对其潜在的危害进行风险评估和管控,使所有风险都达到可接受水平。通过独立安全评估可以更加客观地评价车辆系统的安全性水平,也为运营提供了安全保障。该独立安全评估方法和过程贯穿了车辆系统的全寿命周期,也为今后轨道交通其它系统提供借鉴和参考。
关键词:轨道车辆;独立安全评估;全寿命周期;风险分析;北京新机场线
中图分类号:U284;TP39 文献标识码:A 文章编号:1674-957X(2021)06-0203-03
0 引言
随着我国城市轨道交通的蓬勃发展,市场需求越来越强烈,更多的先进技术也逐步应用在轨道车辆上,对车辆系统也提出了更高的安全性要求。车辆系统是一个集机电于一体的复杂系统,如果在高速运行时发生致命故障,往往会造成灾难性的事故,也严重影响轨道线路的正常运营秩序,造成巨大的经济损失。为了有效降低事故风险,保障轨道车辆安全运营,有必要对车辆系统进行安全评估和风险管理。
国际上已颁布了轨道交通的安全性标准,在贯彻和实施的过程中形成了一整套的安全管理模式和风险评估理论,也为轨道交通的系统安全性评估提供了指导。最早的标准IEC61508——《电气/电子/可编程电子安全系统的功能安全》[1],在全世界得到推广和普及,也成为了轨道交通系统安全性评估的重要标准之一。在EN50126[2-3]标准中,将安全性的风险管理和要求与轨道交通装备生命周期中的各个阶段相对应。20世纪80年代初,系统安全工程的观念引入我国。近几年来通过消化吸收国外系统安全工程的方法,我国轨道交通系统也开始应用风险分析和评估方法。付新生[4]分别应用了故障模式及影响分析(FMEA)和故障树方法(FTA),以及模糊层次分析法,对城市轨道交通运营车辆风险和安全性进行了系统评估。
1 车辆系统独立安全评估介绍
在轨道交通领域,独立安全评估(ISA,Independent Safety Assessment)是指由国际公认的、有资质的独立第三方证明轨道车辆系统、信号系统或其它系统的安全性。
1.1 独立安全评估目标
独立安全评估是指独立于本项目的运营用户、车辆系统供应商的,且具有系统安全和风险管理,车辆系统技术知识的评估团队,根据铁路应用标准EN5012X,对车辆系统的安全进行评估和审计,判断是否达到既定的安全目标;评估各系统的功能和性能是否达到合同、设计文件及相关国家标准的要求和规定;根据项目工程阶段,颁发相应阶段的安全认证证书和评估报告。
1.2 评估方法
1.2.1 基于全寿命周期安全活动的方法
根据EN50126-1标准,将产品的全寿命周期划分为12个阶段,全寿命周期V模型如图1所示。项目执行时,可根据具体情况进行删减和整合。
1.2.2 基于文件审查、现场审核和测试见证的评估方法
独立安全评估方通过文件审查、现场审核和测试见证的形式和方法对评估系统进行客观的评价,依据提交的相关证据,判断和评估系统是否符合相关标准,安全管理和活动是否按照策划实施,技术性能指标是否满足。
①文件审查。
文件审查涵盖全寿命周期各阶段的文件,主要为安全分析文件和技术支持文件,包括计划文件、危害分析文件、技术方案、设计图纸、维护操作文件和试验报告等。根据相关标准和合同检查符合性、正确性以及完整性。
②现场审核。
现场审核是指设计、制造阶段等不同阶段进行的现场审核和见证,并审核是否依据安全计划、质量计划等开展相关活动,以及人员的独立性和资质要求;检查相关文件和见证制造过程。
③测试见证。
测试见证是指在试验阶段进行的厂内调试试验、正线调试试验的见证,确认试验记录和结果是否符合设计要求,是否符合相关测试标准和合同要求。
1.2.3 交互认可的方法
對于成熟平台通用产品的安全评估可采用了高效快捷的交互认可方法进行评估。避免了对该产品重复部分的认证工作,仅针对产品特定应用的差异进行详细的论证,证明以上差异并不影响既有通用安全认证的结论。
2 北京新机场线车辆系统安全评估过程
2.1 安全评估范围
北京新机场线一期工程车辆是以CRH6F型城际动车组技术平台为基础,采用8辆编组(4M4T)的编组形式。基于GOA4等级设计研发的全自动无人驾驶车辆系统,对安全性的要求也为最高等级,安全评估范围包含关键子系统及相关接口。
2.2 独立安全评估组织结构及沟通方式
为了满足本项目安全评估要求,更好地保证执行各阶段安全工作的有效进行,组建了安全管理组织,下设设计、工艺、供方管理、质量等工作团队,组织架构及其相互关系如图2所示。
■
2.3 项目的全寿命周期阶段
根据工程阶段,将车辆系统全寿命周期整合为设计,制造及安装,测试及启动,试运营/质保期等阶段。其中设计阶段对应概念、系统定义和操作环境、风险分析和评估、系统需求的规范、构架和分配、设计和实施阶段,制造及安装阶段对应制造和安装阶段,测试及启动阶段对应系统验证和系统验收阶段,试运营/质保期对应操作、维护和性能监测和退役阶段。
2.4 全寿周期的独立安全评估内容
北京新机场线项目独立安全评估内容主要包含质量管理、安全管理、设计实现、验证和确认四个方面工作。图3展示独立安全评估在全寿命周期各个阶段的各项工作内容和关系。
2.5 风险管理和危害分析方法
2.5.1 风险接受原则和风险管理
在进行风险分析和评估的过程中,系统地对车辆系统识别出所有可能的危害,并评估相关风险,判断相关风险是否可以被确认为“广泛接受”。若相关危害的风险认为被可广泛接受,则无需实施额外的安全措施。否则,需通过选择和应用风险接受原则(RAP)继续进行风险分析活动,风险接受原则如下:
①行业规范和相关标准的应用以及符合性。
②相似系统的评估。
③明确的风险评价和评估。
2.5.2 风险分析方法
①HAZOP 分析法。采用头脑风暴的方法进行危害识别,以关键词和引导词为引导,对系统可能面临的危险源进行识别,识别出车辆系统隐患,并列入隐患清单。
②初步危害分析(PHA)。在设计阶段初期,根据车辆系统应用的各种场景,对车辆系统进行分析,识别影响乘客、员工、承包商和公众安全或导致服务中断的初步危害,分析出危害发生原因、影响后果、拟采取的解决措施等,形成车辆系统的初步危害分析。
③系统危害分析(SHA)。在设计阶段中期,各子系统的方案和技术设计已逐步开展,伴随进行子系统层级的危害分析,识别各子系统及其组件层级的危害。
④接口危害分析(IHA)。在设计阶段中期,针对车辆系统的外部接口和内部接口进行的危害分析,识别机械、电气以及能源接口的危害。
⑤运营和维护危害分析(O&SHA)。设计阶段后期对车辆各子系统进行操作和维护危害分析,识别操作和维护过程中的危害。
⑥故障树(FTA)。故障树分析法是根据系统结构和功能原理,通过对引起该顶事件的各种因素进行逻辑因果分析,寻找能够导致其发生的各种可能的原因事件及组合的一种图形演绎分析方法。
⑦故障模式、影响及重要性分析(FMECA)。在设计阶段中期,应用故障模式、影响及重要性分析的归纳分析法,采取自下而上的方法,全面系统地识别潜在的故障模式,并进行影响和重要性分析。
通过以上危害风险分析,系统地识别出了车辆系统、接口、运营及维护等方面影响运行安全及乘客人身安全的隐患,针对特定的全自动无人驾驶的场景进行了风险分析,从设计、施工、试验、运营及维修方面分析并制定减轻措施,降低相关风险,并将所有的分析过程、减轻措施、验证证据等信息记录在危害登记册(HL)中,伴随全寿命周期进行记录管理和维护。
3 结论
北京新机场线项目车辆系统通过上述全寿命的安全管理、风险分析和第三方的独立安全评估,将所有识别出来的危害风险均已降低到可接受范围,满足项目的高安全性指标要求,也客观地评估了车辆的安全性能水平,增强了用户对车辆系统的安全信心。
由于车辆系统的独立安全评估在中国起步较晚,工程实践经验也相对较少。本文只是对基于全寿命周期安全管理和风险分析的车辆系统独立安全评估过程和方法进行初步研究和探讨,独立安全评估在轨道车辆上的应用,还需进一步深入的研究。
参考文献:
[1]IEC61508-2010. Functional safety of electrical / electronic / programmable electronic safety-related systems,2010.
[2]EN50126-1-2017. Railway Applications - The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) Part 1: Generic RAMS Process, 2017.
[3]EN50126-2-2017. Railway Applications - The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) Part 2: Systems Approach to Safety, 2017.
[4]付新生.城軌车辆运营技术故障风险综合评估方法的研究[D].北京:北京交通大学,2007.
[5]梁君海,吴越,孙超.独立安全评估在轨道交通车辆上的应用研究与建议[J].中国铁路,2018(11):55-60,98.
[6]李静.车辆运行状态安全评估方法与应用研究[D].北京:北京交通大学,2008.
