中车青岛四方机车车辆股份有限公司□陈文禄 张爱霞

城市轨道交通车辆的车门系统是机械和电气技术高度集成的产品， 在车辆上配置数量多、 操作频繁， 与车辆安全性及可靠性密切相关。 为避免在运营过程中出现安全事故， 城轨车辆车门系统需要达到特定的安全性和可靠性要求。 目前轨道交通比较成熟的安全标准为欧盟电子技术标准委员会（CENELE） 的EN 50126/50128/50129 系列标准。

安全完整性等级SIL 是针对安全领域的安全相关系统执行的安全功能提出的特定要求， SIL构建了用户、 车辆主机厂和设备供应商之间的安全领域共同语言。 合理确定车门系统安全完整性等级（SIL） 对城轨车辆研制尤为重要， 过低的SIL 等级会导致安全相关系统安全功能失效概率过高， 会导致受控设备危险失控； 过高的系统SIL 等级则会增加研发周期和成本， 不能达到合理控制、 降低风险的效果。

危害识别： 根据设定的分析范围、 结合相关科学方法和手段， 识别出所分析系统的所有危害事件。 为确保危害识别的有效性和完整性，应定义所分析系统的边界条件， 收集与系统安全相关的信息， 并按照给定的条件和变量， 全面找出系统中存在的潜在危险因素， 明确相关的联系和影响。

风险分析： 确认危害、 危害原因和与其可能性相关的要求偏差， 并分析危害结果的承受程度进行分析的过程。 风险分析的核心是危害分析，即对不期望事件的识别及其后果的分析。

安全完整性： 指在规定的条件下和时间内，由E/E/PE 安全相关系统成功实现所要求功能的概率， 即系统安全完整的置信度。

根据IEC 61508 《电气/电子/可编程电子安全系统的功能安全》、 EN 50129 《铁路应用 通信、信号和过程控制系统 信号的安全相关电子系统》标准， 安全完整性分为SIL1～SIL4共四个等级，SIL4表示最高等级， SIL1表示最低等级， SIL0表示无安全性需求。 SIL 等级是对系统所要求的安全完整性水平的一种定量指标， 与执行安全功能的相关系统的性能相关。 SIL 定级有多种方法， 工程上较常用的方法有风险矩阵法、 保护层分析法和风险图法。

（1） 风险矩阵法

在标准IEC 61508-5 《电气/电子/可编程电子安全系统的功能安全 第5 部分： 确定安全整体水平方法的实例》 附录G 中对风险矩阵法进行了应用说明， 这种方法是基于对危害事件可能性和后果的定性分析， 应用示例如图1 所示。 依据风险边界， 找出每一种严重度对应的可容忍风险概率。 徐阳、 李俊红等人采用风险矩阵法对轨道车辆安全完整性等级评定进行了分析研究。

图1 IEC 61508-5 风险矩阵法应用示例

（2） 保护层分析法（LOPA）

保护层分析法是一种半定量的风险分析方法， 分析中针对特定的事故场景， 识别能够预防和减轻风险的保护层， 并对每个保护层所能提供的风险降低水平进行评估。 该方法主要由危险事件发生频率、 初始事件的严重度等级、 不包括E/E/PE 安全相关系统的独立保护层的平均失效概率、 危险事件降低的后果等参数构成。

（3） 风险图法

风险图法是基于功能的风险水平确定SIL 等级， 即通过分析某项功能的C、 F、 P、 W 指标，确定该功能的SIL 等级。 其中C、 F、 P、 W 为风险图分析的四个维度， 分别为危险事件后果参数、 频率和暴露时间危险参数、 避开危险源概率参数及不期望事件发生概率。 风险图表法通过四个参数之间的关系， 反映出当安全功能故障或未设置安全功能时可能出现的危险状态， 见图2。

图2 IEC 61508-5 推荐的风险图

参考IEC 61508-5 附录D， 图2 中的参数分类和含义如表1 所示：

表1 风险图的参数分类和含义说明

本文选用风险图法作为车辆车门系统SIL等级确定的方法。 首先对车辆车门开展故障模式与影响分析 （FMEA）， 对车辆等级隐患进行识别和分析， 基于项目合同需求分析和初步隐患分析提出减轻措施， 识别出车辆车门各子系统的相关安全功能， 为潜在的相关危险参数的确定提供依据。

经分析本项目车门系统安全功能主要有： 车门准确开闭功能、 关门锁闭功能、 紧急解锁功能、 防夹功能、 门状态指示功能及非零速保护功能六种。 六种安全功能分别通过影响和后果分析可确定危险事件后果参数C， 通过原因分析可确定频率和暴露时间危险参数F， 通过场景分析可确定避开危险源概率参数P， 通过综合分析确定不期望事件发生概率W。

根据图2 所示流程， 可以确定车门系统各安全功能的安全完整性等级， 见表2。

同时， 依据公式（1） 可计算出车门系统的SIL 等级。

公式 （1） 中SIL1～SIL6表示车门所确定的六个安全功能所对应的SIL 等级。 本项目中

最终可以得出本项目车门的SIL 等级为SIL2。

表2 车门安全功能风险图参数和SIL 等级

本文重点介绍了依据风险图分析法所开展的SIL 等级评定方法， 通过对车门系统FMEA 分析、 安全功能分析， 得出风险图参数， 依据风险图分析流程和系统安全功能等级确定原则， 有效评定了车门系统SIL 等级。 安全完整性以可靠性为重要基础， 后续需要在项目执行过程中， 收集车门系统可靠性数据， 持续修正车门系统该SIL评级方法的风险图参数。