張熒驛，侯 鑫，田雪艷，李 娜，傅振亮

(中車唐山機車車輛有限公司 產(chǎn)品研發(fā)中心，河北 唐山 064000)

功能危害分析(Function Hazard Analysis,FHA)是一種適航安全性分析技術(shù)，民機適航合格審定過程中，需要對系統(tǒng)進行安全性評估[1-2]。在投入大量時間和人力進行系統(tǒng)安全性評估之前，通常要對系統(tǒng)預(yù)期的功能進行FHA。FHA的優(yōu)點在于能在設(shè)計的早期，在沒有也不需要有細節(jié)設(shè)計信息時，就能提供關(guān)鍵性的設(shè)計指南。

近年來，F(xiàn)HA正在作為一種執(zhí)行危害識別的方法逐漸被推薦使用，并在軌道交通行業(yè)得到了廣泛的應(yīng)用[3-4]。但是由于它是演繹式的，所以不可能證明分析是否完全徹底。因此為了得到一個可靠的結(jié)論必須采用完善的系統(tǒng)分析方法來完成FHA。

目前，國內(nèi)多家主機廠在鐵道車輛的設(shè)計、生產(chǎn)等環(huán)節(jié)應(yīng)用了編碼標識系統(tǒng)[5]。歐洲制定的一系列編碼標識系統(tǒng)標準中，EN 15380-4：2013《鐵路應(yīng)用 鐵道車輛分級系統(tǒng) 第4部分 功能組》(以下稱EN 15380-4)規(guī)定了功能導(dǎo)向結(jié)構(gòu)標識的原則，根據(jù)標準化的功能列表來構(gòu)建功能要求和用例，從概念開始，并擴展到整個產(chǎn)品生命周期[6]。EN 15380-4適用于歐洲所有類型的機車車輛，但是部分功能不適用于我國鐵道車輛，需要根據(jù)具體的分析對象進行識別[6]。

因此，本文提出了一種基于EN 15380-4的功能危害分析的新方法，是對現(xiàn)有的鐵道車輛安全性分析技術(shù)的補充和完善。

1 傳統(tǒng)功能危害分析

傳統(tǒng)FHA是將產(chǎn)品的功能以清單的方式列出，以檢查產(chǎn)品的各個功能，識別其功能失效狀態(tài)，并根據(jù)嚴重程度對其進行分類的一種安全性分析方法。

FHA過程是一種自上而下的確定功能的故障狀態(tài)并對其影響進行評估的方法，具體分析過程如下[1]：

(1) 確定與所分析產(chǎn)品層次相關(guān)的所有功能及完成功能的有關(guān)環(huán)境條件，包括內(nèi)部功能和交互功能；

(2) 確定并描述與功能相關(guān)的故障狀態(tài)，考慮正常和退化環(huán)境中單個或多重故障的情形；

(3) 確定故障狀態(tài)的影響；

(4) 確定故障狀態(tài)對整機的影響分級。

2 基于EN 15380-4的功能危害分析

基于EN 15380-4的功能危害分析流程如下：

(1) 對產(chǎn)品進行系統(tǒng)分析，繪制產(chǎn)品的邊界圖和功能框圖；

(2) 根據(jù)EN 15380-4的格式對車輛進行功能分析，形成功能分解結(jié)構(gòu)(Functional Breakdown Structure,FBS)；

(3) 根據(jù)FBS，對車輛功能進行功能危害分析(FHA)；

(4) 根據(jù)FHA的結(jié)果，識別安全關(guān)鍵功能(嚴重度等級為Ⅰ或Ⅱ)和安全相關(guān)功能(嚴重度等級為Ⅲ或Ⅳ)；

(5) 將識別的結(jié)果填入相應(yīng)表格中。

2.1 基于邊界圖和功能框圖的系統(tǒng)分析

首先對系統(tǒng)進行分析和定義，明確系統(tǒng)的輸入和輸出關(guān)系，主要包括結(jié)構(gòu)邊界、接口、預(yù)期功能等，從而確定危害分析的范圍。

采用邊界圖方法，描述分析的邊界范圍和接口，說明各組件、零部件之間的關(guān)系，一般包括物理接口(P)、能量接口(E)、材料接口(M)和信息接口(I)四方面(圖1)。

圖1 邊界圖示例

2.2 基于EN 15380-4的功能分解結(jié)構(gòu)

按照EN 15380-4將車輛的功能按層級進行分解，稱之為FBS。根據(jù)實際的層級需求進行定義，可以延伸到5級功能[6]：1級，通常是車輛的一般規(guī)范或車輛系統(tǒng)的需求，如表1所示；2級，為完成1級功能的擴充主功能；3級，為完成2級功能的擴充子功能；4級，為完成3級功能而貢獻的任務(wù)功能；5級，執(zhí)行4級功能所必要的活動的功能。

表1 EN 15380-4的1級功能

EN 15380-4對功能的定義包括功能編號、功能描述、說明三部分，涵蓋了與系統(tǒng)和設(shè)備(如輪對和轉(zhuǎn)向架、車門、制動和牽引)相關(guān)的功能。以車門系統(tǒng)的“開啟外部車門”5級FBS為例進行說明，如表2所示。

表2 EN 15380-4的5級FBS示例

2.3 基于EN 15380-4的功能危害分析

在EN 15380-4系統(tǒng)FBS的基礎(chǔ)上，確定和描述各項功能的失效狀態(tài)和產(chǎn)生的影響，并根據(jù)影響的嚴重程度等級劃分，識別出安全相關(guān)的功能，稱之為FHA，表3所示為FHA模板。

根據(jù)EN 50126-1：2017規(guī)定的危害嚴重度等級[7]劃分嚴重度等級，如表4所示。

根據(jù)MIL-STD-882E的安全關(guān)鍵功能定義[8]，將嚴重度等級為Ⅰ和Ⅱ的安全功能歸類為安全關(guān)鍵功能(Safety-Critical Function，SCF)；將嚴重度等級為Ⅲ和Ⅳ的安全功能歸類為安全相關(guān)功能(Safety-Related Function，SRF)。

表3 基于EN 15380-4的FHA模板

表4 危害嚴重度等級

3 功能危害分析實例

以鐵路客車塞拉門為例進行分析。

3.1 系統(tǒng)分析

塞拉門由門扇、承載驅(qū)動機構(gòu)、導(dǎo)向裝置、氣控單元、鎖閉機構(gòu)、故障隔離鎖、緊急解鎖裝置、內(nèi)/外操作裝置、防凍裝置、電控系統(tǒng)等組成[9]?；驹頌椋簹饪貑卧ㄟ^各種氣路元件及控制閥的作用，控制無桿風缸及開關(guān)鎖風缸、解鎖風缸的動作，實現(xiàn)門的電控氣動開關(guān)。當車速小于5 km/h時，判定“車輛靜止”，門控器處于“非安全狀態(tài)”，門可以打開；當車速大于5 km/h時，判定“車輛不靜止”，門控器處于“安全狀態(tài)”，除了緊急解鎖外，其他方式均不能將車門打開[10]。

對塞拉門進行邊界圖分析，如圖2所示。

圖2 塞拉門邊界圖

對塞拉門的外部接口功能及實現(xiàn)形式進行分析，如表5所示。

表5 塞拉門外部交互關(guān)系清單

3.2 功能分解結(jié)構(gòu)

依據(jù)表2所示的EN 15380-4的5級FBS，識別出符合塞拉門功能的FBS如表6所示。

3.3 功能危害分析

在表6塞拉門FBS的基礎(chǔ)上，采用表3的模板進行FHA，確定和描述塞拉門各項功能的失效狀態(tài)和產(chǎn)生的影響，并根據(jù)表4所示的危害嚴重度等級劃分，識別出塞拉門的SCF和SRF，如表7所示。

從以上分析得出，“緊急情況下塞拉門無法開啟”和“列車運行時塞拉門異常開啟”對應(yīng)的功能“確保緊急情況下塞拉門能夠開啟”和“阻止塞拉門異常開啟時列車運行”為塞拉門的SCF，因此在早期設(shè)計階段，將其定義成較高的安全性要求，以便在以后的設(shè)計階段進行安全設(shè)計和控制，轉(zhuǎn)換為可實施的硬件和軟件。

表6 塞拉門FBS示例

表7 基于EN 15380-4的塞拉門FHA示例

4 結(jié)論

本文從安全功能分析的角度建立了基于EN 15380-4的功能危害分析方法，是對現(xiàn)有的鐵道車輛的安全性分析技術(shù)的補充和完善。依據(jù)EN 15380-4

識別鐵道車輛的功能分解結(jié)構(gòu)，并對每個功能節(jié)點進行功能危害分析，識別出安全關(guān)鍵功能和安全相關(guān)功能，可為后續(xù)產(chǎn)品的正向設(shè)計提供指導(dǎo)。