基于場景的全自動運行系統安全分析方法

付文佳，韓 濤，劉 倩，朱天民

（卡斯柯信號有限公司，北京 100070）

城市軌道交通全自動運行系統在部分城市近幾年得到廣泛應用。全自動運行系統需要多家不同供應商的系統聯動方可實現，包括信號系統、車輛系統、站臺門系統、綜合監控系統和專用通信系統等。信號系統實現列車防護與自動控制，車輛系統負責實施牽引制動與車門控制，站臺門系統控制站臺門開關及狀態檢測，綜合監控系統監控關鍵設備狀態，專用無線通信系統實現列車的廣播及中心與乘客的應急通信，另外還包括車庫門，洗車機等。列車在無司機值守的情況下，需要運營人員在各種運行場景尤其是降級場景、應急場景下進行正確的人為介入才能確保系統運行安全。

1 全自動運行系統安全分析現狀

與傳統的CBTC 有人駕駛系統相比，有人駕駛系統由于有運營人員、司機等的實時介入，不需要各系統的深度聯動，也就不需要對多個系統進行整體分析。具體工程實施時以單個系統為層級進行安全分析，甚至部分項目僅信號系統進行了安全分析，其他系統未開展相關安全分析工作。對于全自動運行系統來說，正常運營時運營人員承擔的工作大部分由各全自動運行系統來實現。但在降級模式下或應急模式下（包括列車區間運行、列車休眠、站臺門故障、區間火災等場景）運營人員應如何介入，采取怎樣的措施才能保證系統運行安全，這就需要對多個不同供應商提供的系統進行各全自動運行場景下的安全分析，識別相關危害及緩解措施。

當前常用的安全分析技術為失效模式及影響、嚴重度分析（FMECA）方法。但該方法可應用的對象較為單一，為單系統或單個部件或單個功能，對多系統（尤其是由不同供應商提供的）交互下的場景尚無系統全面的安全分析方法，也就無法系統地識別各場景下的危害及制定相應的防護措施，給整個全自動運行系統帶來較大的運營安全隱患。

2 基于場景的全自動運行系統分析方法

針對當前安全分析方法的不足，本文提出了一種基于場景的全自動運行系統安全分析方法。對全自動系統每一個運行場景進行建模，識別該場景下的作用因素，以便快速識別出全自動運行系統每一個運行場景下可能存在的操作方面的風險及規避措施，并提出一種自動計算剩余風險計算方法，從而得出一系列全自動系統各運行場景下應如何人為介入的防護措施，可解決多家供應商提供的系統不易整體分析的問題。

2.1 全自動運行場景

全自動運行場景識別了運營過程中所面對的運營管理場景，包括正常運營、降級情況、應急處理場景等。通常由軌道交通建設方提供或由一致性牽頭方提供，一致性牽頭方通常由信號系統集成商擔任。

2.2 分析步驟

本方法分析步驟如圖1 所示。

圖1 分析方法步驟Fig.1 Procedure of the analysis method

1）識別全自動運行場景文件中每個場景的基本流程，識別該基本流程中的具體任務，提煉關鍵步驟，并對任務步驟進行細分，識別該任務中需要人為操作的部分，識別該操作涉及的系統，可以是一個或多個系統，對該流程建立人員操作模型，即人員在何種情況下操作了何種系統。

2）識別操作模型中參與的角色，包括運營人員、操作人員、值班員、車站人員和調度員等，視涉及的系統而有所不同。

3）識別該參與人員在該操作模型中可能的失效模式，即對于上述步驟1）操作模型中規定的步驟，相關執行對象可能無法滿足過程要求，包括錯誤確認、未確認、提前確認、延遲確認、錯誤激活和未激活等，并和操作的目標系統關聯起來。

4）識別在操作某一系統時人員失效可能對應的原因，包括人員疏忽、人員意識問題、操作失誤等。

5）識別該失效可能對應的影響，與人員操作模型中識別的系統關聯起來，定位到該失效直接可能的影響，如乘客被夾在站臺門與車門之間。

6）識別該影響可能導致的事故，即在操作相關系統出現操作失效的情況下可能導致的后果，包括乘客受傷、死亡、列車相撞、脫軌、疏散延遲、火災等。

7）識別該失效對應的緩解措施，針對人員失效原因提出緩解措施。此緩解措施通過輔助系統以進行正確地判斷，并采取可行的緩解措施，可以是通過操作其他正常運行的系統來實現，可能涉及一個或多個系統。

8）識別步驟6）的嚴重性等級，分為4 個等級：災難性的（S1）、重大的（S2）、次要的（S3）、無關緊要的（S4）；

9）識別該危害的頻率，分為6 個等級對頻率進行劃分：A 頻繁、B 可能、C 偶然、D 很少、E不可能、F 高度不可能。

10）識別所提出的緩解措施可能的風險降級系數RRF，定義為5 個等級，可降低的概率分別為a:1、b:101、c:102、d:103、e:104。

11）計算采取了緩解措施以后的事故頻率，算法為f'＝f/RRF。

12）根據風險接受矩陣（來自于業主提供或EN50126 標準）判定剩余風險是否可接受，定義為4 個等級：不可容忍的（R1）、不希望的（R2）、可容忍的（R3）、可忽略的（R4）。

13）將相關操作方面的緩解措施整理成冊，輸出給相關責任方。

3 分析方法示例

以列車探測到障礙物場景（無司機值守）為例，下面為該分析方法的具體實施步驟。

建立該場景的操作模型，即中心調度員收到綜合監控系統報警后通過綜合監控工作站聯動對應攝像頭查看現場障礙物情況，派遣車站人員確認障礙物情況，車站人員處置后復位障礙物檢測裝置繼續運行。涉及的系統有主要執行系統車輛（需要探測軌道上的障礙物）、信號系統（檢測到障礙物后施加緊急制動），輔助系統綜合監控（接收障礙物報警信息）。

識別該場景操作模型涉及的人員，包括中心調度員和車站人員，如圖2 所示。

圖2 場景操作涉及人員Fig.2 Personnel involved in operations of the scenario

根據上述操作模型，識別此場景中人員可能的失效模式，包括中心調度員未通過綜合監控系統的攝像頭查看現場情況，未派遣車站人員去現場處理，派遣工作人員處理前未采取合理的措施讓列車保持不動，工作人員未正確處置該情況即復位障礙物檢測裝置，如圖3 所示。

圖3 場景操作失效模式Fig.3 Failure mode of operations of the scenario

識別導致步驟3）失效可能的原因，中心調度人員疏忽、工作人員操作不當。

識別步驟3）失效模式下可能的影響、障礙物未得到處理、列車可能自動發車、障礙物檢測裝置錯誤被復位。

識別步驟3）失效模式下可能的事故，復位障礙物檢測裝置時列車可能突然啟動，撞傷工作人員，障礙物未被清除（既有存在的障礙物或工作人員使用的工具遺落）造成列車損傷。

識別緩解措施，對應步驟3）的失效模式，制定緩解措施為：1）收到綜合監控系統障礙物報警后，中心調度員應立即查看相關區域的攝像頭并及時激活列車附近的防護區域，確保列車保持不動，激活此區間的人員防護開關，安排工作人員進入現場處理。2）當工作人員進入區間處理障礙物報警時，運營人員應確保所有的人員、工具或障礙物已出清線路，才能復位障礙物檢測設備，避免人員、工具或障礙物遺留在軌道區域。3）若障礙物探測裝置無法恢復，應采取適當的防護措施讓列車低速運行至下一站清客。

判定事故的嚴重性等級，按EN 50126 標準，如表1 所示。

表1 事故嚴酷度等級Tab.1 Accident severity level

按照上述失效模式，若中心調度員未采取防護措施，則可能導致列車與進入區間處理障礙物的工作人員相撞，造成至少一人傷亡，因此嚴重性定義為S2。另外障礙物處理不當，最嚴重情況下可能造成列車脫軌，進而導致多人死亡，因此嚴重性定義為S1。

定義初始危害頻率，因列車在每天運營前均會低速巡道，因此發生的概率極低，定義為D，如表2所示。

表2 初始危害頻率Tab.2 Initial hazard frequency

判定識別初始風險是否可接受。選取EN 50126 標準（鐵路應用可靠性、可用性、可維修性和安全性規范及示例）第一部分的附錄C.9 作為判定依據，以中心調度員未采取防護措施所造成的可能事故為例，事故嚴重性等級為S2，S2-D 在風險接受矩陣中為不希望的，如表3 所示。

表3 風險可接受矩陣Tab.3 Risk acceptability matrix

識別提出的緩解措施所能達到的風險降低系數（Risk Reduction Factor，RRF），在對調度人員加強培訓以后，可以達到D 級別，如表4 所示。

表4 風險降低系數Tab.4 Risk reduction factor

計算采取了緩解措施以后的事故發生頻率，f'＝f/RRF，仍以中心調度員未采取防護措施所造成的可能事故為例，落在10-9至10-8范圍內，即E 區。

判定剩余事故頻率及事故嚴重性等級，是否在可接受范圍內，若判定在可接受范圍內，則認為緩解措施行之有效。若不在可接受范圍內，則應補充其他的緩解措施，確保剩余風險可接受。經判定，S2-E 為可容忍的，給相關責任方輸出限制即可，至此完成了一個完整的判定過程。

對其他運行場景進行逐項分析，識別出風險場景，給出規避措施。

4 總結

全自動運行系統引入大量新技術，涉及多系統相互協作，同時無司機值守，系統失效時處理起來更加復雜，給運營安全帶來挑戰。對各種故障運行場景應如何處理，人員應如何介入才能夠保證系統安全運行，需要系統性考慮。本文提出一種基于全自動運行場景的針對多家不同供應商提供的系統構建操作模型的方法，根據操作模型進行多系統場景安全分析，為如何人為介入系統操作提供更有效、更具體、更全面的安全措施，可有效解決全自動運行系統操作不當帶來的風險。