城轨车辆牵引系统安全功能的确定方法与设计策略研究.docxVIP

年来，受益于现代通信、自动控制、计算机等技术快速发展，全自动驾驶系统在轨道交通行业的应用日趋稳定成熟。车辆作为轨道交通运行系统的重要载体，对车辆相关功能的安全性要求高于常规运行系统。根据铁路应用系列安全标准要求，车辆子系统的安全功能应达到相应的SIL等级；最新发布的DB32/T4320—2022《城市轨道交通全自动运行线路初期运营前安全评估技术规范》中同样明确规定了车辆子系统安全功能的SIL等级（表1）。

1、基本概念

1.1?风险矩阵

风险矩阵根据风险发生的频率和严重程度来评估风险等级。轨道交通主管部门按照风险可接受原则，明确不同等级的风险应采取的管理方式和措施，以降低风险等级，保证系统的安全性。表2为某全自动驾驶地铁线路技术规范中要求的风险概念和定义表，表3为风险矩阵表。

1.2?安全完整性等级

安全完整性等级是对系统所要求的安全完整性水平的一种定量指标。根据EN50129标准[2]，SIL等级划分是以每小时每种功能的可容忍危害率（THR）衡量，如表4所示，分为4个等级，即SIL1～SIL4，其中SIL等级越高，则系统安全功能失效的可能性就越小[3]。若某一种风险的等级被评估为不容许或不能接受，在风险严重程度已知的情况下，需要采取使风险发生频率降低的措施实现降低风险等级的目的。提高系统安全功能的SIL等级是措施之一，从系统设计阶段开始，对安全功能的THR提出要求，采用技术手段对功能的THR进行控制，从而降低风险发生频率。由此可见，风险发生频率与THR相对应，可将风险等级降至可接受范围（容许或可忽略）对应的风险发生频率作为THR目标值，最终确定安全功能应达到的SIL等级。

2、安全功能与SIL等级的确定

根据EN50126标准[4]的安全管理要求，整个系统从设计到报废全生命周期各个阶段都需要进行可靠性、可用性、可维护性和安全性（RAMS）管理活动。在系统开发设计阶段，车辆制造厂采用国际安全标准规定的方法进行危害识别、风险分析、风险评估、安全目标分配等安全性分析工作，以确定子系统的安全功能及相应的SIL等级。一般过程具体如下：

1）确定安全功能并分配安全目标。此过程需要在最初的开发阶段完成，通过诸如预先危害分析（PHA）等方法确定出对安全产生影响的子系统功能，参考类似铁路系统的运行经验或国际公布的标准数据指南，依据规范标准或合同技术要求，为子系统安全功能分配相应的安全目标。

2）分析研究系统及子系统的安全目标。根据规范标准或合同技术要求，结合系统设备或子系统的重要程度，通过相关方法进行分析研究，如通过FMEA（潜在失效模式及后果分析）或FMECA（故障模式、影响和危害性分析）方法研究设备故障在不同层次（部件层次到系统层次）的影响及故障可能性，区分可能导致的服务故障、非服务故障和安全故障，同时提供能减轻故障影响的建议。因设备改进导致的影响分析，则在该设备之前FMEA分析的基础上，重新识别故障模式的影响，确认并研究新故障模式，评估新故障发生的频率，从而评估子系统故障率。

3）证明达到了安全目标。此过程一般采用故障树分析（FTA）方法进行定量分析，以证明安全目标的可容忍危害率（THR）是符合要求的。对不符合项，将采取恰当的降低风险改进措施，并按照质量保证计划的指导进行管理。

牵引子系统是车辆系统的关键子系统，车辆制造厂凭借丰富的经验和专业知识，结合城轨全自动驾驶系统特点，采用预先危险性分析（PHA）方法，确定可能影响安全性的车辆功能，分析潜在危害的严重程度和频率，采取必要的降低风险的方法和措施。对于牵引系统的安全功能与SIL等级，分别由以下预先危险性分析确定：

1）在疏散时，车辆控制系统意外启动牵引力，造成车辆与轨道上的人员或动物发生碰撞事故，事故发生的频率和严重程度分别为很少和严重，对照表3，确定风险等级为不能接受。

2）在疏散时，车辆控制系统意外启动牵引力，造成人员在车厢内摔伤，事故发生的频率和严重程度分别为有时和次要，对照表3，确定风险等级为不能接受。

3）在车辆运行中，车门打开或未锁闭时，车辆控制系统意外启动牵引力，造成人员从车辆坠落轨道事故，事故发生的频率和严重程度分别为有时和特别严重，对照表3，确定风险等级为不容许。

4）在车辆运行中，运行方向控制错误或方向选择错误，致使车辆意外退行，造成车辆与车辆或车辆与工程车碰撞事故，事故发生的频率和严重程度分别为很少和特别严重，对照表3，确定风险等级为不能接受。

通过分析得出：1）、2）、3）三个风险均是由车辆控制系统意外启动牵引力造成，提出降低风险的措施之一为车辆控制系统意外启动牵引力时，牵引子系统应具有切除功能，以保证安全。而4）风险由车辆控制系统运行方向控制错误或方向选择错误造成，提出降低风险的措施之一为车辆控制系统运行方向控制错误或方向选择错误时，牵引子系统具有