全自動運行燕房線工程七大核心設(shè)備系統(tǒng)獨立RAMS評估研究

■ 杜薇

北京軌道交通燕房線為自主化全自動駕駛線路。全自動駕駛功能的實現(xiàn)依賴多個專業(yè)相互配合。考慮到實現(xiàn)全自動運行功能要求設(shè)備高安全性和高效性，建設(shè)方針對直接影響行車安全的車輛、信號（含綜合監(jiān)控）、通信、站臺門、軌道、電梯/扶梯、門禁七大核心設(shè)備系統(tǒng)，引入第三方獨立RAM S評估，確保燕房線全自動駕駛系統(tǒng)的風險處于可接受水平。

1 燕房線系統(tǒng)概況

1.1 工程概況

燕房線工程線路長約14.4 km，均為高架線，沿線設(shè)車站8座，平均站間距約1.9 km。最大站間距為顧八路站至星城站，為3 795.533 m；最小站間距為饒樂府站至顧八路站，為1 206.343 m。燕房線工程線路走向示意見圖1。

1.2 七大核心設(shè)備系統(tǒng)概況

1.2.1 車輛

根據(jù)燕房線作為“綜合科技示范線”的要求，全線采用全自動無人駕駛技術(shù)，本線車輛須具備全自動無人駕駛功能。

燕房線工程全線初、近期按4輛編組，遠期6輛編組。初期配屬列車數(shù)為15列，近期配屬列車數(shù)為19列，遠期配屬列車數(shù)為68列。

采用接觸軌授電方式。列車構(gòu)造速度110 km/h，最高運行速度100 km/h。

1.2.2 信號

燕房線為全自動運行線路，列車喚醒、休眠、出入庫、正線運行、折返等作業(yè)均由信號系統(tǒng)自動控制完成。為確保列車運營的高安全性和高效性，正線信號系統(tǒng)配置完整的列車自動控制系統(tǒng)（ATC），包括既有列車自動監(jiān)控系統(tǒng)（ATS）、列車自動防護系統(tǒng)（ATP）、列車自動運行系統(tǒng)（ATO）和計算機聯(lián)鎖子系統(tǒng)（CI）。

停車場自動運行區(qū)域及試車線采用與正線一致，配置完整的ATC系統(tǒng)。非自動區(qū)域只安裝聯(lián)鎖設(shè)備，不再安裝其他ATP/ATO軌旁設(shè)備，全自動運行區(qū)域和非自動區(qū)域共用一個聯(lián)鎖子系統(tǒng)控制。

燕房線工程綜合監(jiān)控系統(tǒng)采用深度集成信號系統(tǒng)中列車自動監(jiān)控子系統(tǒng)、變電所綜合自動化系統(tǒng)及環(huán)境與設(shè)備監(jiān)控系統(tǒng)，界面集成廣播系統(tǒng)、閉路電視系統(tǒng)、乘客信息系統(tǒng)，互聯(lián)門禁系統(tǒng)、時鐘系統(tǒng)、自動售檢票系統(tǒng)、安全門系統(tǒng)、火災(zāi)自動報警系統(tǒng)等的行車綜合自動化系統(tǒng)（簡稱TIAS系統(tǒng)）的設(shè)計方案。

TIAS系統(tǒng)采用主備、冗余、兩級管理、三級控制方式、分布式C/S結(jié)構(gòu)，系統(tǒng)由中央級系統(tǒng)（含后備中心系統(tǒng)）、車站級系統(tǒng)及數(shù)據(jù)傳輸主干網(wǎng)組成。

信號系統(tǒng)（含綜合監(jiān)控）結(jié)構(gòu)見圖2。

1.2.3 通信（含PIS）

燕房線工程通信系統(tǒng)由專用通信系統(tǒng)、公安通信系統(tǒng)兩部分組成。

專用通信系統(tǒng)包括：傳輸系統(tǒng)、公務(wù)電話系統(tǒng)、專用電話系統(tǒng)、專用無線系統(tǒng)、閉路電視監(jiān)控系統(tǒng)（與公安電視監(jiān)控系統(tǒng)合建）、廣播系統(tǒng)、時鐘系統(tǒng)、電源及接地系統(tǒng)、集中監(jiān)測告警系統(tǒng)等子系統(tǒng)。

公安通信系統(tǒng)包括：無線引入系統(tǒng)、計算機網(wǎng)絡(luò)系統(tǒng)、電源及接地系統(tǒng)。

燕房線工程乘客信息系統(tǒng)（PIS）由控制中心子系統(tǒng)、車站子系統(tǒng)和網(wǎng)絡(luò)子系統(tǒng)（含有線網(wǎng)絡(luò)子系統(tǒng)和車地無線子系統(tǒng)）、車載子系統(tǒng)組成。本線PIS采用綜合承載LTE技術(shù)，滿足信號系統(tǒng)CBTC、PIS（含緊急文本信息、車載CCTV監(jiān)控回傳）系統(tǒng)車地業(yè)務(wù)的承載，在200 km/h高速移動環(huán)境下具有穩(wěn)定的接入能力，具備高可靠性及安全性。提供高速帶寬及多業(yè)務(wù)QoS保障，同時可以實現(xiàn)設(shè)備和頻率資源的共享、負荷分擔，服務(wù)質(zhì)量高、傳輸時延短、丟包率低，具有系統(tǒng)自動監(jiān)視、報警等功能。

1.2.4 站臺門

系統(tǒng)采用半高安全門，其主要作用是防止乘客由于擁擠或其他意外情況滑落站臺，造成生命財產(chǎn)的損失，以及減少司機進站時由于擔心站臺墜物而產(chǎn)生的心理壓力。

半高安全門系統(tǒng)主要由機械和電氣兩大部分組成：機械部分由門體結(jié)構(gòu)及門機系統(tǒng)構(gòu)成；電氣部分分為控制系統(tǒng)和電源系統(tǒng)。

1.2.5 軌道

燕房線軌道系統(tǒng)正線、輔助線、試車線采用60 kg/m鋼軌、W J-2A型扣件、短枕縱向承軌臺整體道床，軌道結(jié)構(gòu)高度520 mm，一般地段軌枕鋪設(shè)數(shù)量按1 680根/km，曲線半徑小于400 m地段按1 760根/km鋪設(shè)。正線、輔助線采用9號道岔，在饒樂府站支線接入主線及閻村北站的房山線與燕房線接駁位置采用12號道岔。中高等減振地段采用梯形軌枕，特殊減振地段采用鋼彈簧浮置板道床。線路盡頭處設(shè)置液壓緩沖滑動式車擋，在規(guī)范要求地段設(shè)置防脫護軌。

車場線采用50 kg/m鋼軌，車場線、庫內(nèi)線、出入場線均采用彈條Ⅰ型扣件。停車場庫內(nèi)線根據(jù)工藝要求采用相應(yīng)整體道床。車場線、出入場線采用國鐵新Ⅱ型枕碎石道床，車場線軌枕按1 440根/km配置，出入場線按1 680根/km配置。停車場一般地段采用7號道岔及其渡線。庫外平過道為混凝土枕碎石道床，鋪設(shè)橡膠道口板。庫內(nèi)平過道為短枕整體道床，用混凝土灌注，輪緣槽處采用特制橡膠輪緣槽，寬度50～55 mm。車場線采用固定式車擋，庫內(nèi)線采用月牙式車擋。

1.2.6 電梯/扶梯

自動扶梯主要由驅(qū)動主機、主驅(qū)動軸和梯級鏈張緊裝置、扶手帶驅(qū)動裝置、桁架、梯級與梯級滾輪、梯級鏈與梯級鏈滾輪、導軌與支架、扶手帶與扶手帶導軌系統(tǒng)、扶手裝置、電氣控制系統(tǒng)及安全裝置等組成。

電梯主要由曳引機、導軌與支架、轎廂和轎門、層門和門套、電氣控制系統(tǒng)及安全裝置等組成。

1.2.7 門禁

燕房線工程門禁系統(tǒng)（ACS）由停車場及小營控制中心二期中心級門禁系統(tǒng)、車站級門禁系統(tǒng)、現(xiàn)場級設(shè)備及傳輸網(wǎng)絡(luò)組成。中央級和車站級通過通信傳輸網(wǎng)進行通信。

門禁系統(tǒng)按照兩級管理、三級控制的原則進行設(shè)置。ACS的車站級和就地級負責就地數(shù)據(jù)的采集、轉(zhuǎn)換、本地存儲及上傳；中央級ACS對各車站及停車場的ACS進行監(jiān)控。

2 RAMS評估各參建單位職責分工

燕房線工程的參建單位包括：建設(shè)單位、施工單位、集成供貨單位、設(shè)計單位、監(jiān)理單位、第三方RAM S評估單位。

各單位在工程安全評估工作的職責分工如下：

建設(shè)單位：確定安全目標和關(guān)鍵工作節(jié)點。協(xié)調(diào)各參建單位的問題，監(jiān)督安全評估的進度按照工程節(jié)點要求順利進行。

施工單位：配合集成供貨單位完成RAM S評估工作。提供其供應(yīng)的設(shè)備資質(zhì)證明或產(chǎn)品安全證書，以及安裝、測試記錄或報告。

設(shè)計單位：提交設(shè)計文件。審核集成供貨單位提交的技術(shù)文檔及安全分析文檔，并書面反饋審核意見；配合RAM S評估單位的評估工作。

監(jiān)理單位：配合RAMS評估單位的評估工作。

第三方RAM S評估單位：獨立于系統(tǒng)設(shè)計、工程實施，以基于證據(jù)的方法，通過對生命周期過程的分析，評估和判斷該系統(tǒng)的安全需求是否恰當、充分，以及系統(tǒng)是否滿足既定安全需求，是否適用于既定使用目的和應(yīng)用條件。

參建各方在生命周期內(nèi)的工作職責及具體流程見圖3。

3 風險管理

風險管理過程可分為危害識別、風險評估、危害管理三部分。燕房線七大核心設(shè)備系統(tǒng)通過這三個環(huán)節(jié)的開展，將風險降到可接受的程度。

3.1 危害識別

危害識別作為風險分析的第一步，其任務(wù)不僅限于識別危害，還要分析原因和可能導致的后果。

燕房線為全國首條自主化全自動駕駛線路。全自動駕駛功能的實現(xiàn)需要依靠車輛、信號、綜合監(jiān)控、通信、站臺門等各專業(yè)相互配合。為了更好地識別燕房線全自動駕駛系統(tǒng)集成，以及各專業(yè)間接口的風險，車輛、信號（含綜合監(jiān)控）、通信、站臺門等集成供貨商與評估單位參考《全自動駕駛系統(tǒng)場景說明書》，采用HAZID分析方法，進行了燕房線全系統(tǒng)初步危害分析。

根據(jù)燕房線各系統(tǒng)設(shè)計、建設(shè)的進展狀態(tài)，各專業(yè)以燕房線全系統(tǒng)初步危害分析為輸入，開展本專業(yè)自身的初步危害分析、系統(tǒng)危害分析、接口危害分析、操作與支持危害分析等危害識別工作。

（1）初步危害分析：在系統(tǒng)初期開展。可以估測燕房線可能產(chǎn)生的人員傷亡時段。

在創(chuàng)客工坊中不但可以將學校中各個專業(yè)軟硬件資源進行整合，還可以擴充到學校與學校之間的資源整合，打破學科限制，學生在這里不光是學習者還擔任教授者、創(chuàng)業(yè)者等身份。創(chuàng)客工坊開通網(wǎng)絡(luò)平臺，可以與各個社區(qū)進行聯(lián)合，社區(qū)將平時遇到的問題，諸如：計算機維護、電路維修、視頻宣傳制作等需求發(fā)布到網(wǎng)絡(luò)平臺上，學生從平臺上挑選自己感興趣的項目自己組建項目小組完成項目制作，不但可以得到相應(yīng)學分，還可以完善學生成人成才培養(yǎng)計劃，充實學校“雙成”教育活動內(nèi)涵。

（2）系統(tǒng)危害分析：在系統(tǒng)層設(shè)計完成后開展。可以確定系統(tǒng)層的危害。

（3）接口危害分析：在工程中期開展。可以確定系統(tǒng)內(nèi)部及外部接口相關(guān)危害。（4）操作與支持危害分析：在工程中后期開展。可以確定與運營操作人員、維護人員相關(guān)的危害。

3.2 風險評估

燕房線七大核心設(shè)備系統(tǒng)風險接收的原則采用EN 50126中推薦的ALARP方法，即“盡可能的將風險降低到合理、可行的程度”。ALARP風險接收原則將風險劃分為不可接受區(qū)域、ALARP區(qū)域或可容忍區(qū)域、大體上接收區(qū)域（見圖4）。其中，不可接受區(qū)域的風險不能接受，必須消除或降低；大體上接收區(qū)域通常可以接受，但也應(yīng)確保風險可以一直維持在這一水平；位于ALARP區(qū)域的風險必須采取所有合理可行的控制措施來降低風險，直到采取風險控制措施所帶來的收益與成本不相稱為止。

燕房線七大核心設(shè)備系統(tǒng)通過采用半定量的方法即風險矩陣方法對風險進行排序（見圖5），并確定風險比較高的危害（見表1），然后重點對這些危害進行分析和管理。

燕房線七大核心設(shè)備系統(tǒng)通過定量計算證明剩余風險都已降低到R4或R3級。

3.3 危害管理

表1 風險定義風險等級 定義R1 除特殊情況外，必須消除該類風險R2 必須將風險降低至最低實際可行水平R3 可忍受的風險，但仍須按成本效益盡量降低風險R4 可接受的風險

通過上述危害分析，識別出燕房線各系統(tǒng)工程相關(guān)的危害；通過風險評估，識別出控制燕房線各系統(tǒng)達到可以接受水平的安全需求，同時再加上產(chǎn)品的安全需求或安全應(yīng)用條件，以及其他專業(yè)輸出給本專業(yè)的安全需求，即可形成本專業(yè)的危害日志（見圖6）。在整個生命周期活動中，各專業(yè)對危害日志進行維護、更新，確保危害日志能夠及時更新。

這些安全需求根據(jù)實現(xiàn)方式的不同，可分為設(shè)計、制造和試驗、輸出三類。在工程使用交付前，須確保涉及的安全需求落實在工程中。分類為設(shè)計實現(xiàn)的安全需求通過檢查技術(shù)規(guī)格書、圖紙來關(guān)閉；分類為制造和試驗的安全需求通過檢查測試報告來關(guān)閉；輸出的安全需求一般分配給其他專業(yè)和運營維護單位，通過控制危害方確認接收證明方可關(guān)閉。

4 RAM管理

在項目設(shè)計階段，各專業(yè)將開展可靠性分析工作。首先，確定各系統(tǒng)故障定義，明確可靠性、可維護性、可用性（RAM）目標；其次，根據(jù)以往項目經(jīng)驗，對RAM指標進行初步分配，并編制可靠性指標分配報告；然后，進行故障模式、影響及危害性分析。此分析采用自下而上的方式，評估各部件或子系統(tǒng)發(fā)生故障的可能性、對系統(tǒng)性能的影響及影響的嚴重程度。FM ECA將從系統(tǒng)中的可替換單元開始自下而上分析，根據(jù)上述風險矩陣，對類別為“嚴重”后果及以上甚至更嚴重的故障模式進行重點管理。在此階段還要編制可靠性證明計劃，詳細說明驗證RAM目標的方法及程序。

在項目調(diào)試及運營階段，各專業(yè)將建立故障報告及修正措施系統(tǒng)（FRACAS），統(tǒng)計調(diào)試及運行期間的問題、故障、故障發(fā)生的原因和方式、采取的修正措施。此系統(tǒng)將用于監(jiān)控設(shè)備的RAM表現(xiàn)。在項目運營期，各專業(yè)將編制RAM證明報告，以證明各系統(tǒng)是否達到既定的各項可靠性目標。

5 RAMS評估

5.1 評估團隊組織架構(gòu)

RAM S評估單位將評估團隊分為兩組：一組是核心系統(tǒng)集成評估組，一組是各子系統(tǒng)評估組。核心系統(tǒng)集成評估組的任務(wù)是識別系統(tǒng)集成及接口風險，特別是與七大核心設(shè)備系統(tǒng)相關(guān)的接口風險。識別的風險將傳遞給子系統(tǒng)評估組，子系統(tǒng)評估組負責各系統(tǒng)及與其他系統(tǒng)的接口風險，以確保所有識別危害的相關(guān)風險得到控制。核心系統(tǒng)集成評估組將會確保與系統(tǒng)集成相關(guān)的所有風險能夠被各子系統(tǒng)評估組評估。

5.2 評估方式

在評估工作計劃和準備階段，評估單位會根據(jù)以往類似評估經(jīng)驗編制評估工作計劃。評估計劃介紹組織架構(gòu)、適用標準、評估工作、交付文件等內(nèi)容。評估計劃將發(fā)布給集成供貨單位/施工單位，便于開展后續(xù)工作。同時，評估單位會查看、分析集成供貨單位提交的技術(shù)規(guī)格書、圖紙等技術(shù)文件，深入了解所評估系統(tǒng)，便于確定項目高風險點。

在評估工作實施階段，評估單位主要評估各系統(tǒng)危害識別、分級、解決措施、記錄、監(jiān)控、消除、追蹤和關(guān)閉全過程，審核各系統(tǒng)設(shè)計、制造、安裝、測試各方面的安全需求是否充分，確保風險已降低到合理可行的水平（ALARP）。

相對于以往某一單個系統(tǒng)的安全評估，七大核心設(shè)備系統(tǒng)RAM S評估有三項重點：一是確保所識別出的全自動駕駛系統(tǒng)級的危害已在七大核心設(shè)備系統(tǒng)中得到管理和控制；二是評估七大核心設(shè)備系統(tǒng)的接口安全管理，確保各系統(tǒng)控制管理了其他系統(tǒng)輸出給其的安全需求；三是評估七大核心設(shè)備系統(tǒng)RAM管理，確保既定RAM目標的實現(xiàn)。

為了達到評估目的，評估單位采用文檔評估、安全審計、現(xiàn)場見證測試、安裝測試記錄/報告審查4類方式開展工作。

（1）文檔評估。評估單位通過審核集成供貨單位/施工單位提交的文檔，檢查其工程管理所采用流程的充分性，對各專業(yè)安全管理工作進行評估，確認所有識別的安全風險都得到控制。評估意見以安全通知的方式發(fā)布。

（2）安全審計。評估單位對七大核心設(shè)備系統(tǒng)的軟件管理、質(zhì)量管理體系、安全管理組織和程序、設(shè)計變更和配置管理過程、驗證與確認過程、故障報告、分析及糾正措施等進行現(xiàn)場審計，并將審計意見記錄在審計報告中。

（3）現(xiàn)場見證測試。在工程各關(guān)鍵節(jié)點對系統(tǒng)主要功能提出針對性的測試場景，進行測試見證。

（4）安裝測試記錄/報告評估。審核室內(nèi)、現(xiàn)場的安裝測試記錄/報告，并提出評估意見。

6 RAMS評估交付物

6.1 集成供貨單位/施工單位交付物

集成供貨單位/施工單位編制提交的與評估相關(guān)的文檔包括：系統(tǒng)保證計劃，驗證與確認計劃，配置管理計劃，質(zhì)量計劃，測試計劃，初步危害分析，系統(tǒng)危害分析，接口危害分析，操作與支持危害分析，量化風險分析，差異性分析，變更安全分析，危害日志，測試報告，驗證與確認報告，安全例證，可靠性、可用性及可維護性指標分配報告，故障模式影響及重要性分析，可靠性、可用性及可維護性證明計劃，可靠性、可用性及可維護性證明及報告，故障報告及修正措施系統(tǒng)。

6.2 評估單位交付物

評估單位編制提交的文檔包括：文檔評估意見、審計計劃及報告、見證計劃及報告、測試報告審核報告、授權(quán)證書及報告。

7 結(jié)束語

目前，燕房線停車場聯(lián)鎖開通相關(guān)的車輛、信號、軌道、通信專業(yè)危害分析評估工作已完成。各系統(tǒng)正在開展現(xiàn)場測試，證明停車場聯(lián)鎖開通相關(guān)的風險控制達到可以接受的程度。

[1] EN 50126-1—1999 Railw ay Ap p lica tio n s-th e

Spe cification and Dem ons tration o f Re liab ility，Availability，M aintainability and Safety（RAMS）[S]．

[2] EN 20128—2011 Railw ay Applications-comm unication，Signalling and Processing System s-so ftw are fo r Railw ay Control and Protection System[S]．

[3] EN 50129—2003 Railw ay Applications-communication，Signalling and Processing System s-safety Re lated Electronic System s for Signaling[S]．

[4] 邵玉華．軌道交通信號系統(tǒng)安全評估綜述[J]．城市軌道交通研究，2012(1)：18-23．

[5] 孫華平，張艷兵．北京地鐵亦莊線信號系統(tǒng)工程獨立安全評估[J]．城市軌道交通研究，2013(1)：1-5．