摘要:城市轨道交通车辆故障可能导致乘客伤亡的风险,为保证运营的安全,需对车辆系统的风险进行评估。文章详细阐述了危害与可操作性研究(HAZOP)方法及其实施步骤,重点介绍危害分析过程中对初步危害、(子)系统危害、接口危害、操作与支持危害等4个阶段的分析过程。采用危害与可操作性进行危害分析,结合风险矩阵,利用最低合理可行(ALARP)准则进行风险评估,对初始危害的风险等级进行评估,针对不可接受的初始风险,从设计、制造以及运营操作维护等方面增加合理的减轻风险措施,使其残余风险达到可接受的程度。应用实例表明了该方法的可行性。
关键词:城市轨道交通;车辆系统;风险评估;危害分析;危害及可操作性;最低合理可行
0引言
城市轨道交通车辆系统的安全稳定运行是百姓出行的有力保障。随着现代计算机技术、网络通信技术和现代控制理论的发展,车辆系统设计更加数字化、智能化及网络化,各个子系统联系越来越紧密。在车辆系统设计、制造、测试、运营使用和维护过程中,任何一个子系统的软硬件故障或误操作都有可能导致运营风险。因此,车辆系统是一个与安全强相关系统,如何对这个高度集成化的系统进行危害分析和风险评估,是轨道交通可靠性、可用性、可维修性和安全性(RAMS)管理工作的重点。轨道交通领域的安全管理研究最早开始于欧洲国家,他们引入RAMS管理体系,制定了轨道交通安全相关的系列标准EN5012X,给出了一系列危害分析、风险评估与验收等安全管理方法。最低合理可行原则(AsLowAsReasonablyPracticable,ALARP)是在轨道交通通信信号领域风险分析最具代表性的风险接受原则[1]。20世纪70年代英国帝国化学公司首先开发应用了危害与可操作性分析(HazardandOperabilityAnalysis,HAZOP)技术,经过几十年的发展现已日趋完善,已广泛应用于石油化工[2]、信息系统[3]、轨道交通[4]等涉及安全生产及管理的行业。HAZOP结合风险矩阵及组合技术以其分析全面、系统、细致等突出优势在过程安全管理中成为广泛使用的方法之一[5]。文献[6]采用HAZOP技术对地铁信号系统进行危害分析,并结合EN50126给出的风险矩阵及ALARP风险接受准则进行安全评估。本文针对城市轨道交通车辆系统的风险管理,介绍HAZOP方法、实施步骤和ALARP准则,结合运营需求及行业标准确定风险矩阵,采用HAZOP结合风险矩阵和ALARP准则对车辆系统危害分析与风险评估,并在实际车辆项目上进行了应用。
1基于HAZOP的危害识别
1.1HAZOP简介
HAZOP是系统在用户需求、设计开发、生产组装、工艺流程、操作性直至产品报废的全生命周期过程进行危害识别,识别出潜在危害的偏差,确定危害的风险等级的过程,是一种结构化的分析方法。HAZOP将系统中的各个具备不同专业知识背景的专家智慧进行结合,通过头脑风暴收集观点和思路,是一种具有系统性、创造性的分析方法。HAZOP比较适用于城市轨道交通车辆系统的风险识别,能够较为全面地识别危害。在列车设计制造全过程中,实施HAZOP主要分为以下几个阶段:①对系统进行定义,明确系统的功能需求,选择专业团队,确定风险矩阵,进行初步危害分析(PreliminaryHazardAnalysis,PHA);②收集系统危害和损失的数据,编制风险识别流程计划,进行系统危害分析(SystemHazardAnalysis,SHA);③将整个系统划分为相关的子系统,定义每个子系统功能设计,进行子系统危害分析(SubsystemHazardAnalysis,SSHA)、接口危害分析(InterfaceHazardAnalysis,IHA)、操作和支持危害分析(OperatingandSupportHazardAnalysis,OSHA);④确定风险等级,提出建议措施。
1.2初步危害分析
PHA实施的阶段是在项目的开始阶段,从顶层对整个系统进行早期危害识别。在完成PHA之后,紧接着实施SHA/SSHA,进一步地识别系统与子系统内部危害。IHA识别与系统接口相关的危害,识别出的危害减轻措施可作为系统本身和相关系统的安全需求。在IHA之后执行OSHA,主要考虑系统运营中给操作和维护人员带来的潜在危害。HAZOP分析程序-要素优先流程[8]如图1所示。从整个系统中选择一个部分(子系统)作为分析对象,检查设计意图是否正确,识别可能涉及危害的相关元素(软件、硬件或安全功能),为元素选定引导词(没有、偏大、偏小、反向等)并形成特定的解释(如没有列车速度值、列车速度值偏大/偏小等),之后分析各个解释是否存在偏差,并分析原因,完成一个部分识别后,对其他部分重复上述工作直至完成整个系统的识别。
1.3初步危害分析
PHA的目的是识别危害并确定安全关键系统,评价各种危害的风险,确定安全设计原则,提出消除或减轻风险的措施。PHA是危害分析的起点,能识别出系统的潜在危害以及可能导致事故的风险,并且能采取合理有效的措施控制危害的风险等级在可接受的范围内。鉴于PHA开始于系统全生命周期的早期阶段,其可分析的信息及识别出的潜在危害较少,PHA的执行经验源于已开通运营的车辆系统。该分析内容大致为:查相应系统涉及与安全相关的历史资料;②统计系统所需的能源种类,确定控制措施;③系统设计必须满足的安全要求,包括人员安全、环境安全及相关规范标准的规定;④在完成危害识别,确定其初步风险等级后,提出改进措施。分析危险源范围主要包括:①易燃、易爆、有毒、放射性物质等;②系统接口的电磁干扰、软件控制、材料相容性等安全性;③故障导向安全系统设计、冗余设计、人员防护、火灾报警等与安全相关的设备及保护装置选取方法;④冲击、振动、噪声等环境约束条件;⑤运营人员操作、试验、维护及应急救援规程;⑥制造工艺流程、运输、仓储等。
1.4系统/子系统危害分析
SHA/SSHA是PHA的延续和深化,通常在方案设计和样机研制阶段进行,并应在获得系统/子系统详细的设计信息时开展危害分析工作。SHA是确定整个系统设计中与安全性相关的人员操作偏差及子系统接口危害偏差的关键环节,重点分析各子系统的相互关系,如是否符合安全设计原则、是否会出现同时发生故障时导致的危害、某子系统的正常使用是否会导致其他子系统或整个系统安全性降低等问题。SSHA用于确定子系统设计的安全相关的故障模式、人员操作偏差及子系统内部的功能失效所导致的危害,并分析其危害对整个系统的影响。目前,SHA/SSHA的主要分析方法有故障模式、影响及危害性分析、故障危害分析、故障树分析、事件树分析等。对车辆系统开展SHA/SSHA的主要内容如下:①识别与系统的设计有关的风险,包括正常运行、降级运行、功能失效、误操作;②输出因安全关键系统/子系统的失效模式导致的危害以及确定其风险等级;③确定涉及安全相关的软件功能和硬件清单;④提出合理的硬件和软件风险的预防措施。
1.5接口危害分析
IHA用于识别及评估车辆系统内外部接口间的危害,包括车辆子系统间的接口危害,车辆系统与信号、通信、供电、限界、工艺设备等外部系统的接口危害,以及在系统设计、运营操作和维护等过程中的组织和实体之间的接口危害。IHA是PHA和SHA/SSHA的补充,重点关注接口功能中的潜在危害。对车辆系统开展IHA的主要内容如下:①识别可能会影响安全性和导致风险的接口危害;②每项与所获取的支持功能及所识别危害的具体要求的活动,均须通过供应商或相关方论证;③评估没有减轻措施的危害的风险等级。
1.6操作与支持危害分析
OSHA是确定和评估系统在制造、运输、存储、安装、测试、运营操作和维护、退役和处理等过程中与人员、环境、规程和设备相关的危害。OSHA始于样机研制阶段并在后续全生命周期中不断更新。该方法通过分析系统设计、操作过程和人机接口来确定系统操作与支持活动过程中可能存在的危险操作、潜在隐患和潜在事故[9]。在运营使用和维护阶段,系统做的任何改造和更新,必须进行OSHA活动以识别潜在的风险。对车辆系统开展OSHA的主要内容如下:①以人员操作为分析对象,按照操作程序依次分析潜在危害,重点分析设计不合理、操作程序不合理等设计缺陷,以及误操作风险;②风险减轻措施须在设计中体现;③通过使用安全装置或安全规程,控制任何可能产生危害的行为;④在操作手册和维修手册中体现安全相关的任务和警示建议。
2风险评估
在完成车辆系统的危害识别后,须对危害导致的风险进行定性和定量的分析,估计对人员、财产和环境的影响。之后基于风险分析并考虑对社会和环境的影响,对风险可容忍度进行判断,在系统生命周期的不同阶段都需要进行风险评估[10]。风险矩阵是根据标准EN50126要求及实际运营需求共同确定的,风险矩阵如图2所示。在风险矩阵中,将风险发生频率分为6个等级,数字越大风险发生频率越高;将风险严酷度分为4个等级,数字越大后果越严重。根据风险发生频率和严酷度2个参数,可以定量地得到相应的风险等级R1~R4。其中,R1等级最高,R4等级最低。根据ALARP准则含义,将风险矩阵结合ALARP进行风险评估,任何工业系统都是存在风险的,不可能通过预防措施彻底消除风险,当系统的风险水平越低时,要进一步降低风险就会越困难,其成本往往呈指数函数曲线上升[11]。ALARP风险接受准则如图3所示。R1为不可接受的风险,在任何情况下结果都不能容许,并且被认为是不合理的,必须予以消除或降低;R2为不期望的风险,仍然需要采取相应的风险减轻措施或消除风险,仅当降低风险措施不可行或费用与所取得的改进效果不成比例时方能接受;R3为可忍受的风险,可采取合理可行的措施进一步降低的风险,当费用降低超过所取得的改进效果时除外;R4是普遍可接受的风险,不需要任何的判据来证明,亦无需采取任何改进措施。
3应用案例
以某线路车辆系统项目为例,列车为4动2拖编组的B型车,最高运行速度为80km/h,结构设计寿命为30年,整车及其各子系统采用集成化与模块化设计,便于检修和运用,列车正式运营时采用ATO自动驾驶模式和人工驾驶模式,整个列车系统由车门、牵引系统、网络控制、受电弓、车钩、贯通道、空调、转向架、乘客信息系统、空气制动等18个关键子系统组成。运用HAZOP方法对18个关键子系统进行危害分析,针对“列车超速”“车门在运行中打开”“车门夹人”“列车突然移动”“车辆侵入限界”“设备维修”等涉及运营安全的软硬件和功能项点,在正常运营、降级运营和检修模式下,可能会导致人员伤亡的列车碰撞、脱轨、火灾、爆炸、隧道/轨旁事故、车站事故、乘客伤亡事故、车辆段事故、非法入侵、自然灾害9大危害结果,识别系统的潜在风险及确定的初始风险等级,在其基础上根据风险矩阵及ALARP准则,对相应的风险采取合理可行的减轻措施,评估其最终风险等级。以“车门在运行中打开”的危害为例,详细介绍SSHA分析的过程。车辆在运行时开门将导致人员跌落、受伤或死亡,此种危害发生的可能原因如下:①乘客错误地操作紧急解锁装置;②门控单元失效;③门关紧与锁闭状态显示错误;④车辆紧急解锁后处于非安全状态下,车辆在运行中车门突然打开;⑤门控电路失效。在无任何减轻措施提出之前,该危害对车辆运营方的损失是严重的,发生频率为4,严酷度为4,风险等级为R1,根据风险矩阵可知此危害为不可接受的风险。因此需要在设计阶段和运营阶段提出不同的措施来保证此种危害为可接受的或者可忽略的,将风险等级降低至R3或R4。在设计阶段提出了6条措施来减轻危害的发生频率,运营阶段提出1条措施来减轻危害的发生频率。具体措施内容详见表1,该7条措施可将危害发生的频率降低至几乎不可能的等对状态(频率等级为2),但危害后果并不能减轻(严酷度等级仍为4),此时该危害的风险等级降低至R3,为可忍受的风险。通过分析和评估得到车辆系统的初始风险共223项。其中,R1的初始风险为42项,R2的初始风险为100项,R3的初始风险为68项,R4的初始风险为12项。在采取了风险减轻措施后,R1和R2等级的风险全部降低至R3和R4等级,最终R3的风险为36项,R4的风险为187项。PHA和SHA/SSHA分析案例如表1所示,IHA分析案例如表2所示,OSHA分析案例如表3所示。
4结语
本文针对城市轨道交通车辆故障将可能导致的风险,详细阐述了HAZOP结合风险矩阵和ALARP准则对车辆系统进行危害分析和风险评估,工程应用的实际效果表明了该方法的可行性。通过综合考虑安全性和制造成本,采取合理可行的措施,减少了许多车辆系统运营的重大风险,给后续的安全运营提供了支持。目前国内城市轨道交通车辆系统的安全评估的研究工作起步较晚,HAZOP分析大多基于车辆运营维修数据和专家团队的头脑风暴,仍然存在一些未知的风险不能及时识别,但随着人工智能和大数据分析的快速发展,HAZOP技术也将得到更全面的提升和完善。
作者:李葛亮 莫志刚 刘亚妮 吕远斌 单位:南宁轨道交通集团有限责任公司 中车株洲电力机车有限公司
