打开文本图片集

摘要：随着我国轨道交通改革发展的需要，市场对于运输安全方面的需求日趋强烈，轨道交通安全性与可靠性问题已成为令人瞩目的重大课题，城轨车辆对于各子系统的安全性要求也日益增强。本文基于EN50126标准，深入探讨某全自动驾驶城轨项目的火灾报警功能安全性分析，为后续项目的子系统安全性分析提升和工程实践提供理论参考。

关键词：全自动驾驶 城轨车辆 火灾报警 安全性分析概述

随着全自动驾驶城轨车辆在全世界范围内的兴起，用户对于车辆及各子系统的安全性设计愈加关注。当列车发生火灾时，火灾报警系统能够及时预警、提醒乘客快速疏散，最大限度地降低人员以及财产的损失，故其自身的安全性设计尤为重要。

本文基于EN50126标准的要求，从火灾报警系统危害分析、安全完整度（SIL）分析、故障树分析三个方面系统阐述其安全性设计过程及控制方法，不仅使其能够满足本项目火灾报警系统的安全性设计需求，最大程度地保证运营过程中的安全性，也为后续同类型项目火灾报警系统及其他子系统的安全性分析提供了参考。

1.危害分析

轨道交通车辆在运营过程中无法保证系统的绝对安全，故只能在车辆的寿命周期内，尽可能识别、评价和控制系统中的风险，将其尽量降低至可以接受的水平。

危害分析的过程是采用系统的方法通过确定隐患及隐患产生的原因，识别、评价和消除隐患或将风险减少到可接受的水平，为后续安全性分析提供必要的输入。危害分析包括针对车辆级别的初步隐患分析（PHA）、针对子系统级别的子系统隐患分析（SSHA）、接口隐患分析（IHA）及操作与维护隐患分析（OSHA）。危害分析的过程可以分为危害识别（安全管理计划、识别隐患）、风险评估（评估隐患风险、识别隐患控制措施）和危害控制（减轻隐患风险、验证风险减轻措施、重新评估隐患分析、动态管理隐患）三个部分，详见图1：危害分析过程。

1.1. 危害识别

为全方位地识别车辆火灾报警系统在寿命周期内存在的所有风险，本文将从以下五个维度进行分析，详见图2：危害识别。

1）从“英国安全模型”清单库中挑选适合本项目车辆配置的危害。

2）根据相似类型产品的研制使用经验和安全性数据，识别本项目火灾报警系统危害。

通过以上两个维度，基本可以确定车辆级别的初步隐患（PHA）。

3）将车辆按照子系统进行划分，再根据项目特点对每个子系统进行功能定义，按照功能定义分析功能失效后的危害清单（SSHA）。

4）从外部接口、内部接口、电气接口、机械接口全方位分析各系统存在的接口风险，形成接口隐患分析（IHA）。

5）从车辆运营角度出发，分析维保人员、操作人员在实际操作过程中存在的危害，形成操作与维护隐患分析（OSHA）。

通过以上分析方法，火灾报警系统形成的风险清单如下，见下表1：

1.2. 风险评估

根据IEC 62278-2002、GB/T 21562-2008，风险的定义为：发生引起损害危险的概率及其损害的严重程度。 GJB/Z99-1997 中则定义风险为：用危险的可能性和危险的严重性表示的事故发生的可能性和影响。

风险评估需要考虑危险事件发生的频率及其产生的后果，以确定危险事件（事故）所产生风险的严重等级。根据EN50126标准，表2为危险事件的发生频率，表3为后果发生的严重度，表4为风险接受程度，表5为风险接受矩阵。

1.3. 危害控制

对于从风险评估中识别出来的风险，尤其是对于风险等级评估为R1（不可接受的）、R2（不期望的）的风险项点，一方面需从设计、试验、维护保养等各方面充分考虑可以实现的危害控制/减轻措施，从而降低风险等级，提升子系统的安全性。

另一方面，我们需要将以上减轻危害的措施落实在设计文件、试验大纲、维修保养手册中。待文件定稿后，RAMS设计师需要逐条核对前期提出的风险控制措施是否已在相关文件中落实。若该风险控制措施需要业主、信号系统等其他相关方配合完成，需将其列入风险转移清单，输出给相关方，共同保证车辆的安全运营。

综上，本项目火灾报警系统最终形成如下危害控制清单，见下表7：

2.安全完整度（SIL）分析

2.1概述

安全完整度分析（以下简称为SIL分析）对象为车辆执行安全功能的系统，这些系统的失效会对乘客、维护人员或者公众有安全方面的影响。IEC 61508和EN 50128的标准规定，电力/电子/与安全相关的可编程的系统属于SIL分析的范围。机械部件无需进行SIL分析，其安全要求通过设计、制造、质量控制过程以及整个服役生命过程中的预防性维修（含日常测试和检查）来满足。

IEC 62278-2002/（GB/T 21562-2008）对安全完整度分析（SIL分析）的定义是：用于确定安全功能的安全完整性要求的不连续界别。此安全功能属于与安全性相关的系统，安全完整性级别的数值越高则其级别越高。

SIL分为4个等级，SIL4代表最高的完整性等级，SIL1代表最低的完整性等级。SIL等级越高，所要求的安全功能越高，可容忍的危害率越低。

EN 50128和IEC 61508中明确定义了SIL和可容忍的危害率（TFFR）之间的关系。SIL和可容忍的危害率（TFFR）之间的关系见下表8：

2.2SIL分析方法

SIL是为了安全功能规定的。安全功能应分配到安全系统和/或降低风险的外部设备。由于安全功能是由独立的系统执行，因此SIL不能分配给系统之间的接口。

确定SIL的基本步骤如下：

确定与安全功能相关的系统/子系统，是通过危害分析定义出来的系统，比如子系统危害分析（SSHA）。

明确可能的故障和安全问题，针对可能造成人员伤亡且风险等级为R3以上的E/E/EP系统；

定义危害的严重度和相关的可容忍的危害率（TFFR）；

明确风险影响因子；

分配SIL给系统/子系统；

2.3SIL分析过程

本项目分析过程采用的是一种半定量的分析方法去定义安全功能的SIL，考虑了危害后果的严重度和三个风险减轻措施，通过这四个参数可估算可容忍的危害率（TFFR），具体的估算过程见下图3：

根据以上分析方法，火灾报警系统SIL等级分析结果如下表9：

整车制造商需将分析出来的结果反馈给部件供应商，要求部件供应商按照此结果做部件级别的SIL等级认证，并在规定的时间获取SIL等级认证证书。

3.故障树分析

故障树（Fault Tree）是一种特殊的倒立树状逻辑因果关系图，它用下述的事件符号、逻辑门符号和转移符号描述系统中各种事件之间的因果关系。逻辑门的输入事件是输出事件的“因”，逻辑门的输出事件是输入事件的“果”。

故障树分析（FTA， Fault Tree Analysis）：在系统设计过程中，通过对可能造成产品故障的硬件、环境、人为因素等因素进行分析，从而确定产品故障原因的各种可能组合或其发生概率，并采取相应的纠正措施，以提高系统安全性及可靠性的一种设计分析方法。

在创建故障树的过程中，需要逻辑门和事件用于故障树的构造，其说明如下表10所示：

针对SIL定义的功能开展定量的安全分析，通过采用倒立树状的逻辑因果关系图（包括顶事件，事件，门等），对可能造成功能或产品故障的原因进行分析，从而确定顶事件可能发生的各种组合和发生概率，通过不断的方案改进及部件优化，最终实现其定量的安全要求。

故障树分析的流程如下图4所示：

图4 故障树分析根据安全分析结果及SIL分析结果，火灾报警系统的故障树顶事件为：火灾报警功能失效。TFFR目标值（单位：1/h）为：10-7 ≤TFFR < 10-6。

火灾报警系统故障树如下图5所示：

图5 火灾报警系统故障树其中火灾报警漏报事件的故障率来源于火灾报警系统供应商提供的故障树分析结果。车辆RAMS设计师再结合本项目车辆电气原理图和FMECA分析文件，创建车辆级的火灾报警系统故障树。

经分析，火灾报警功能失效率为：5.71486E-009，满足TFFR目标值（单位：1/h）为：10-7 ≤TFFR < 10-6。

4.结论

本文基于EN50126标准的要求以及国内某城轨项目的火灾报警系统RAMS设计过程，全方位地进行了火灾报警功能安全性分析。为后续国内外类似项目的火灾报警系统安全性分析提供了借鉴与参考。

通过上述方法，可以最大限度地降低火灾报警系统在运营过程中发生的风险，有效地保证车辆的安全性，极大程度地降低车辆在火灾情况下存在的人员的伤亡和财产的损失。

参考文献：

[1]BS EN50126：2017铁路应用 – 可靠性、可用性、可维护性和安全性（RAMS）的规范和证明.

[2]师诚，杜玉峰，王大平，付亚博，邱星慧 符合欧洲市场动车组安全评估的危害控制方法-铁道机车与动车-2023年第2期.

[3]中国铁道出版社-轨道列车 可靠性、可用性、维修性和安全性（RAMS）。

作者简介：扶巧梅（1987.12-），女，本科，工程师，湖南株洲人，现任职于中车株洲电力机车有限公司。