全自動智能化運行平臺安全指南研究*

王瀟驍 趙華華 楚彭子 洪海珠 袁建軍 虞 翊

(1.上海申通地鐵集團有限公司技術中心，201103，上海；2.同濟大學磁浮交通工程技術研究中心，201804，上海；3.同濟大學上海市磁浮與軌道交通協同創新中心，201804，上海∥第一作者,工程師)

近幾年，為了更好地服務乘客，全自動無人駕駛系統在國內已經逐步建設并掀起熱潮，信號系統與其他系統一體化的“大綜控”技術方案得到關注。在實施效果上，通過將傳統ATS(列車自動監控)和ISCS(綜合監控系統)兩套系統進行整合，為中心調度提供了集成化的人機操作界面[1]，大大提高了調度人員的工作便利度及場景處理效率。在無人駕駛模式下，原先由駕駛員執行的工作被自動化設備代替，系統的可靠性和集成度要求更高，運行或運營場景更為復雜，對旅客服務質量的要求也更高。

由此可見，具備綜合自動化、一體化和智能化特征的城市軌道交通全自動智能化運行行車指揮模式將是運控系統的發展方向之一[2]。從系統設計及實施層面看，由于各子系統從根源上是獨立設計的，安全完整性等級(SIL)各不相同。例如：信號系統的中央層設備ATS的SIL要求應達到2級；軌旁及車載設備層，如ZC(區域監制器)、CI(計算機聯鎖)、VOBC(車載控制器)等的SIL要求應達到4級；而對于綜合監控系統而言，相應的SIL較低[3]。因此，基于孤立子系統進行場景及安全性分析難以滿足日益復雜的子系統聯動安全需求。

全自動智能化運行平臺是一類以信號系統為核心，以乘客服務為導向，以各系統數據匯集或信息融合為抓手，以安全、可靠、高效、經濟等指標為目標的面向調度和運維的智能化多系統聯動決策與自動運行的系統[2]。子系統間的相互影響與協作使得全自動智能化運行平臺可視為一個有機整體。以運營場景為核心，研究與分析安全特性對其正常運行十分有益，也有助于系統的全生命周期閉環管理[4]。本文在文獻[2]的基礎上，探討“全自動智能化運行平臺安全指南”(以下簡稱為“安全指南”)的框架與內容，為城市軌道交通全自動智能化運行平臺的設計、開發和應用提供指導。

1 安全指南研究流程

安全指南的研究在于為系統安全設計、安全運行和安全評估等提供指導性文件。這需要了解系統的功能范圍、系統邊界以及應用場景。基于此，可以先從概念、功能、架構和接口等方面出發，把握平臺屬性，剖析涉及的場景，尤其是特有的場景。基于運營場景分析風險事件、概率與嚴重性等級，進而從運行安全、運營安全、信息安全以及技術管控與組織管控等角度提出相應的安全要求與管控措施，最終形成具有指導意義的安全指南，如圖1所示。

圖1 安全指南研究流程示意

2 運營場景特性分析

運營場景的研究有助于系統的開發設計、工程的建設與管理[4-5]。全自動智能化運行平臺存在多個業務子系統之間的聯動功能，需要制定具體的需求規范，并以運營場景的形式來描述。鑒于該平臺子系統間的聯動復雜，可將這些存在聯動關系的場景視為復雜運營場景。這種復雜性與該平臺的特性有關。首先，復雜運營場景涉及平臺集成方案中的多個子系統，子系統之間存在安全接口；同時，復雜運營場景的處置方案體現在涉及多個專業系統，或者是涉及多種專業的調度人員；此外，復雜運營場景需要反映系統功能，體現出平臺廣度以及聯動處理能力。

對于運營場景或復雜運營場景的描述涉及不同主體的行為及其基本流程。針對上海軌道交通全自動運行系統的運營場景，文獻[6]結合上海軌道交通14號線、15號線和18號線的建設經驗，將場景分為正常場景、故障場景與應急場景。同時，上海申通地鐵集團有限公司的企業標準《上海軌道交通全自動運行運營場景及功能分配》對復雜運營場景做出了類似的描述。就全自動智能化運行平臺的復雜運營場景而言，正常運營場景包括早間車輛基地準備、自動開站、自動關站和站臺候車引導4大項。故障運營場景包括車輛設備故障、信號設備故障、站臺門故障、供電故障、機電設備故障和線路故障等6大項復雜運營場景。應急運營場景包括乘客摔倒、大客流、擠岔、脫軌、列車在站臺發生火災、列車在區間發生火災、車站火災、區間火災、列車在站臺疏散、列車在區間疏散、區間因故停車、列車救援和檢測到緊急報警等11大項復雜運營場景。

以“站臺門故障”為例，可將該場景分為涉及站臺門與信號接口電路故障、一扇或多扇站臺門故障和對位隔離故障(如圖2所示)3個子場景來討論。對于“站臺門與信號接口電路故障”子場景，車輛、通信、綜合監控、站臺門等專業均存在聯動或接口關系，接口間存在一定的時序關聯性，在運營人員配合下形成完整處置閉環，是典型的跨多子系統聯動的復雜運營場景。

圖2 站臺門故障場景示意

3 安全要求

全自動智能化運行平臺圍繞著服務乘客的核心目標，實現ATS核心功能、一體化綜合監控功能、聯動功能、綜合運維功能以及輔助管理功能等。明確平臺功能的安全性要求，對保障城市軌道交通大系統的整體安全十分重要。

3.1 安全風險范疇

廣義的安全著眼于“人-機-環境-管理”所表現出的整體安全性[10]。文獻[7]將軌道交通安全劃分為運行安全、運營安全和信息安全，并認為運行安全屬于以系統為主體的設備級安全；運營安全是以人員為主體的管理級安全；信息安全是以環境為主體的環境級安全。根據全自動智能化運行平臺的內涵及其“大綜控” “服務乘客” “智能化運行”的思想，該平臺的安全風險也可以從這三方面進行綜合考慮，并權衡三者的對立與統一關系[7-8]。

對于運行安全，可靠、可用、可維護是其安全原則，體現在系統的運行狀態是安全的。作為安全苛求系統，全自動智能化運行平臺的設計必須遵循“故障-安全”原則，最大限度確保行車安全。該目標的實現需要對平臺的運行安全風險進行研究，設計判斷機制以及安全側，以達到應有的安全性要求。就運營安全而言，嚴格的資質培訓及考核、作業行為的全過程監控、規章制度的完善與落實是其安全原則，體現在組織行為的安全性，尤其是故障情形下不同主體的協作。作為服務乘客的智能化運行平臺，如何正確地跨專業協同與引導乘客，減少與降低運營風險，是該平臺應關注的內容。從信息安全的角度，信息的保密性、真實性與完整性是其原則，主要體現在信息的封閉性與連貫性。全自動智能化運行平臺是CBTC(基于通信的列車控制)系統，相關子系統也會涉及數據信息的產生、傳輸、顯示和存儲等，信息安全防護對于該平臺同樣至關重要。

3.2 智能化運行的安全指南要求

3.2.1 運行安全要求

全自動智能化運行平臺對列車的運行安全有著嚴格的要求，包括其自身的安全性要求(即系統安全性要求)以及與之相連的外部子系統之間安全性要求(即外部接口安全性要求)。

在系統安全方面，需參考的安全性要求有：全自動智能化運行平臺的安全完整性等級應為SIL2；系統生命周期各階段的RAMS(可靠性、可用性、可維護性和安全性)管理流程應符合GB/T 21562—2008《軌道交通可靠性、可用性、可維修性和安全性規范及示例》要求；系統安全相關電子系統研發過程中的質量管理、安全管理、功能安全和技術安全證據、安全驗收和審批應符合GB/T 28809—2012《軌道交通 通信、信號和處理系統 信號用安全相關電子系統》的要求；系統控制和防護軟件的需求規范、結構、設計與實現、驗證與測試、軟件/硬件集成、軟件確認、評估和質量保證應符合GB/T 28808—2012《軌道交通 通信、信號和處理系統 控制和防護系統軟件》的要求；系統或設備應遵循故障-安全機制，并應符合TB/T 2615—2018《鐵路信號故障-安全原則》的要求；系統或設備采用封閉式傳輸系統時，其功能完整性、安全完整性、安全規程、安全編碼應符合GB/T 24339.1—2009《軌道交通 通信、信號和處理系統 第1部分：封閉式傳輸系統中的安全相關通信》的要求；系統或設備采用開放式傳輸系統時，數據傳輸的防護應滿足GB/T 24339.2—2009《軌道交通 通信、信號和處理系統 第2部分：開放式傳輸系統中的安全相關通信》要求。

在外部接口安全方面，應根據全自動智能化運行平臺與外部子系統之間的接口所應實現的功能和性能，以及接口失效后可能會造成的事故后果及其嚴重程度，定義接口的安全性要求。外部接口的安全性要求需按照接口雙方安全完整性等級較高一方的要求，對接口的設計標準和安全性進行要求。涉及的內容有：全自動智能化運行平臺與軌旁信號系統設備之間的通信屬于安全相關設備之間的通信，其中全自動智能化運行平臺的安全完整性等級保持與ATS同樣的等級，即SIL2，而軌旁信號系統的安全完整性等級為SIL4，兩者之間的接口需要遵循GB/T 24339.1—2009，滿足軌旁信號系統對接口安全性的要求(SIL4)；全自動智能化運行平臺通過與外部系統接口，實現對PSCADA(電力監控與數據采集)、BAS(環境監控系統)、FAS(火災報警系統)、CCTV、PIS、PA、ACS(門禁系統)、PSD(站臺門)、AFC(自動售檢票)、ILS(儀表著陸系統)、RC(無線通信)、CLK(時鐘)和車輛系統的監控功能。全自動智能化運行平臺的安全完整性等級為SIL2，如果外部系統故障或接口失效，有可能會造成全自動智能化運行平臺對其的監控功能失效或ATS系統功能的受影響。為了防止外部系統故障對全自動智能化運行平臺的影響，在外部系統接入全自動智能化運行平臺時，要采取接口隔離的安全措施，并制定相應的操作規程、應急預案和規章制度。接口隔離的安全性要求可參照GB/T 24339.1—2009和GB/T 24339.2—2009。

3.2.2 運營安全要求

為了更好地服務乘客，需要嚴格保障運營安全，需參考的內容有：GB/T 38707—2020《城市軌道交通運營技術規范》中運營管理要求的相關規定；GB/T 30012—2013《城市軌道交通運營管理規范》中對于行車組織、客運組織、車輛及基地管理、設施設備管理、人員管理以及安全管理相關規定；GB/T 33668—2017《地鐵安全疏散規范》中對于設備系統的疏散技術要求和安全疏散運營管理要求等。

同時，還應參考T/CAMET 04017.7—2019《城市軌道交通 全自動運行系統規范第7部分：運營管理》中對于行車組織、客運組織與服務、設備設施管理、人員管理及要求，以及安全與應急管理相關規定；另外，還應參考DB11/T1166—2015《城市軌道交通運營安全管理規范》中對于人員安全管理、行車安全管理、客運安全管理、設備設施安全管理、事故和事件管理、風險和應急管理這些方面的規定等。

此外，全自動智能化運行平臺還應考慮路網協同，體現在能夠在應急或故障場景下做到快速調圖，結合工作人員的應急組織，盡可能地減小延誤，以保證乘客服務質量。

3.2.3 信息安全要求

對于信息安全要求，需參考的內容有：根據GB/T 22240—2008《信息安全技術信息系統安全等級保護定級指南》，全自動智能化運行平臺的信息系統安全等級保護定級為第三級；系統應滿足GB/T 22239—2008《信息安全技術信息系統安全等級保護基本要求》中第三級的安全保護能力及其安全保護的技術要求和管理要求，即：應能夠有效防護主要資源損害，能夠發現安全漏洞和安全事件，并能夠在系統遭到損害后，較快恢復絕大部分功能。

同時應參考GB/T 25070—2010《信息安全技術 信息系統等級保護安全設計技術要求》中第三級系統安全保護環境的設計技術要求，構建安全計算環境、安全區域邊界、安全通信網絡以及安全管理中心。通過安全互聯部件和跨定級安全管理系統中心，實現與外部其他子系統相同或不同等級的定級系統安全保護環境之間的安全連接，應保持用戶身份、主/客體標記、訪問控制策略等安全要素的一致性，對互聯系統之間的互操作和數據交換進行安全保護。

此外，全自動智能化運行平臺作為一個工業控制系統，還應根據GB/T 32919—2016《信息安全技術 工業控制系統安全控制應用指南》的要求，從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、數據安全等方面做好工控安全技術防護。

3.3 安全要求的落實

全自動智能化運行平臺屬于一類全自動運行系統，涉及內容較多。上述安全要求的落實需要根據擬開發的平臺進行探討，進而根據涉及的子項及其要求(標準或規定)逐項對照，以確保所開發系統具備應有的安全性能。

4 風險管控

針對全自動智能化運行平臺風險管控，可從開發過程和安全評估兩方面做出要求。開發過程中，在落實上述安全要求的基礎上，還應盡可能多地發現與規避風險源。必要時，需采用技術管控來降低風險概率，并輔以管理措施，以降低危害。風險因素識別以及安全驗證的方法有很多，如故障樹、頭腦風暴、魚骨圖、形式化驗證等[9,11]，方法也相對成熟，本文不再贅述。

安全評估是對系統安全性能的鑒定。對于全自動智能化運行平臺，評估范圍包括系統功能、性能和接口關系，涵蓋系統開發與使用的全過程。評估時，應委托具有安全評估資質的第三方進行安全評估。

5 結語

全自動智能化運行是一種跨線網與跨專業的智能化協同運行模式。本文探討了全自動智能化運行平臺安全指南的構建流程，并就其中多方面的內容進行了闡述。安全指南的構建有助于該平臺的研究與實施，研究內容能夠為全自動智能化運行模式下城市軌道交通運行控制系統的開發提供參考。