全自動運行系統風險分析技術研究

薛維清，胡妃儼，李 雁，高伯翰，朱 晟，丁 奕

（1.交控科技股份有限公司，北京 100070；2.深圳交控科技有限公司，廣東深圳 518000）

1 研究背景

近年來，全自動運行(FAO)線路建設呈現井噴式發展，北京、上海、深圳、蘇州、濟南、武漢、南寧、杭州等大批國內城市新建的軌道交通線路采用了FAO系統，既有線路改造同樣多選擇升級為FAO 系統。FAO 系統由車輛、信號、通信、綜合安防、綜合監控、站臺門、行車綜合自動化等多個核心子系統組成。由于FAO 系統的復雜性，傳統的風險分析技術難以完全識別出FAO 系統的所有安全風險，因此研究FAO 系統風險分析技術，對于全面深入地識別FAO 系統潛在的風險，并進行危害分析工作，對于FAO 線路的建設及安全運營具有重要的意義。

目前，對于FAO 系統的風險分析主要有以下幾個痛點和問題：

1) 目前國內缺少對FAO 系統頂層的安全分析體系，對于全自動運行系統的風險分析沒有形成成熟的體系，部分功能并沒有達到FAO 系統的安全要求，只是符合CBTC(基于通信的列車控制)系統的安全要求；

2) 國內外標準主要解決的是FAO 線路在建設過程中遇到的通用和共性的安全問題，而對于特定需求的安全問題沒有統一的解決方案；

3) FAO 系統整體集成技術的安全責任主體不明確。目前主要問題一是以建設方委托獨立第三方進行FAO 系統風險分析，存在獨立性的問題；二是目前主要由信號系統集成商開展FAO 系統風險分析，但FAO系統涉及專業較多，單專業集成商會存在安全資源協調的局限性，無法保證FAO 系統風險分析高質量完成。

對于目前存在的這些問題，莫志剛等[1]提出在設計階段基于危害與可操作性研究(hazard and operability study，HAZOP)及最低合理可行原則(as low as reasonably practicable，ALARP)的方法評估與控制信號系統影響行車安全的潛在風險，采用經驗打分法對風險進行定量分析，確定風險等級；楊春妮等[2]從人-機-料-法-環五方面出發，分析信號系統中存在的各種影響因素，綜合運用ABC 分類法和因果圖分析法對風險因素進行分析，并制定了相應的對策保證軌道交通安全運行。這些研究在單系統風險分析上具有一定的參考意義，但是對于FAO 全系統的風險識別及危害分析工作缺少指導建議。周留運[3]站在運營的角度，結合在實際運營過程中的相關安全問題進行了簡要分析，在相關功能上為FAO 系統提出了相應的安全需求；景龍剛[4]提出通過運用全生命周期風險管理方法，對FAO 系統開發、測試、驗證等環節進行全方位的安全驗證，保證系統的安全運行；包天剛等[5]提出結合正線和停車場內不同的運營場景，對FAO 系統封閉運行環境所存在的安全風險點進行分析，并提出了相應的風險控制手段。閆宏偉等[6]通過研究IEC 62267 與IEC 62290等國際標準的安全功能與需求，預先辨識分析其可能的危險源，提出了對系統功能的安全需求。這些研究在對FAO 系統的風險識別和危害分析上具有一定的參考意義，但是在整個FAO 系統層風險識別和危害分析以及安全需求的提出上還不夠全面和深入。向楠楠等[7]基于系統理論事故建模和過程(systems-theoretic accident modeling and processes，STAMP)模型提出了一種安全先兆辨識方法，有效識別出了FAO 系統各場景下的潛在安全風險；孫景衛[8]提出基于Petri 網的全自動駕駛系統安全分析方法，結合FAO 系統的預先危險分析，對FAO 場景進行了分析并提出了有效的風險降低措施。對于全面深入研究FAO 系統的風險分析奠定了一定理論基礎，但是不能進行安全完整性等級(safety integrity level，SIL)分配，不滿足FAO 系統對各核心子系統進行定量指標分配的需求。

因此，綜合考慮現有研究現狀并結合FAO 系統特點，本文提出了一套從FAO 整體系統層面出發的體系化的安全風險分析方法。即采用自頂而下的方式，在系統概念階段從FAO 整體系統層面出發，深入分析對比全自動系統的技術規范標準以實施系統初步危害分析，識別FAO 系統的邊界危害，使得FAO 的各子系統后續可使用統一的危害清單來進一步開展各自的子系統分析；系統初步運營使用要求確定后，結合初步危害分析識別的邊界危害、線路地點等情景因素，創新性地提出采用情景融合技術手段，基于具象化的特定場景對FAO 系統的安全風險進行全面而深入的識別并進行致因因素分析；然后，采用半定量SIL 分配技術為FAO 系統各核心子系統分配了明確的安全指標要求和功能安全需求，以便于實現具體的工程化目標，便于各子系統集成；FAO 系統場景文件完成初版后進行場景STPA，以子系統間的關系為基礎，細化識別場景設計中的風險場景并提出相應的風險緩解措施。

2 FAO 系統概述

如圖1 所示，FAO 系統是基于現代計算機、通信、控制和系統集成等技術，由信號、車輛、綜合監控、通信、站臺門、綜合安防等與運行相關的核心設備組成，實現列車運行全過程自動化的新一代軌道交通控制系統。相比于基于通信的列車控制系統(communication based train control system，CBTC)，FAO 系統是在CBTC系統的基礎上進行功能拓展的一種升級系統，具有更高的可靠性和安全性。它可以按最佳模式對列車進行更精確的控制，提高系統運行效率和運營服務質量，降低運營維護成本，代表了軌道交通未來的發展方向。相比于CBTC 系統來說，FAO 系統更加復雜，由7 大專業、31 個子系統、59 個大場景、257 個小場景和700多個細小場景組成。在FAO 系統中，有計劃的操作由系統自動聯動控制；在故障、異常和救援場景下需要人工判斷，突發情況下由中心遠程控制完成。列車自動監控系統(automatic train supervision，ATS)與綜合監控系統深度集成為行車綜合自動化系統(train integration automatic system，TIAS)，實現綜合自動化聯動控制。同時，由系統來替代司機的操作，包括列車喚醒、休眠、進站停車、自動開關門、全自動洗車等，大大增加了系統的復雜性[9-10]。因此，研究FAO 系統危害分析技術，對于充分識別FAO 系統層危險源及致因因素并進行合理的FAO 核心子系統功能分配，具有重要意義。

圖1 FAO 系統架構Figure 1 Architecture diagram of an FAO system

3 全自動運行系統風險分析

為了確保FAO 系統風險分析的全面性，在EN 50126 標準生命周期“V”模型中，對自上而下的左側分支(通常稱為“開發”過程)的各個階段開展相應的風險分析活動(如圖2 所示)。

圖2 FAO 系統風險分析框架Figure 2 Risk analysis framework of an FAO system

在系統設計初期，將合同、標準規范作為系統初步風險分析的輸入，采用標準差異分析的方法識別FAO 系統邊界危害及安全需求；完成設計聯絡并初步擬定了功能場景說明后，結合相應技術規范，以場景功能分配表為輸入，采用情景融合分析技術進行系統危害分析，識別融合風險場景以及對各子系統功能進行SIL 分配并提出相應安全需求；完成場景文件及子系統間接口文件后，采用場景STPA 分析技術進行場景危害分析，識別危害場景并補充相應安全需求。

整個FAO 系統風險識別過程是自頂而下的逐步細化過程，可以確保分析的完整性和全面性。風險分析識別的危害、安全需求及功能SIL 分配結果將向下傳遞給FAO 系統中各核心子系統。

FAO 系統風險識別的過程屬于整體風險識別的過程，子系統根據FAO 系統風險識別的結果進行細化分析，細化分析的子系統間接口危害分析(IHA)和操作與支持危害分析(OSHA)工作將在各核心子系統層進行，本文不再贅述。

另外，在進行FAO 系統風險分析過程中，為了解決FAO 系統集成技術安全主體責任不明確的問題，在系統風險分析階段提出，由業主建設方委托一致性協調方來作為技術牽頭人，組織各核心子系統供應方、運營維護方、各子系統評估方及FAO 系統評估方參與風險分析活動，其中，咨詢方提供技術把控，各子系統評估方及FAO 系統評估方作為風險分析的見證方參與風險分析活動，確保其獨立性，如圖3 所示。

圖3 FAO 系統風險分析人員組成框架Figure 3 Organization of FAO system risk analysis

3.1 參考國內外相關標準進行系統初步危害分析

FAO 系統的安全運行并非是信號系統一個專業能夠完成，需要多專業多個子系統配合，還需要借助完善的運營規則來降低運營過程中存在的安全風險。針對FAO 系統包含多專業多子系統這一特點，僅通過信號系統典型風險清單難以保證全面識別整個全自動運行系統的邊界危害。

通過分析行業標準IEC 62267Railway applications—Automated urban guided transport(AUGT)—Safety requirements[11]、《GB/T 32588.1—2016 軌道交通(AUGT)安全要求 第1 部分：總則》[12]中識別的風險及給出的安全措施，并對這些內容進行適用性裁剪，將標準中的安全措施按照子系統進行識別，形成安全需求。在系統設計的初步階段識別出FAO 系統的潛在風險以及系統邊界危害，確定系統安全需求，論證FAO 的相關要求都已被考慮到，確保行業上通用(標準)的風險都已被識別并得到落實。示例如表1 所示，最終形成FAO 系統的初步危害分析。

表1 系統初步危害分析示例Table 1 Example of system preliminary hazard analysis

各專業子系統根據初步危害分析提出的風險控制措施及安全需求，提交證據證明這些風險控制措施或安全需求已得到滿足。對于無法滿足的控制措施，由各專業子系統制定相應的替代措施，最終保證所有的控制措施均在運營可接受范圍。通過差異分析，得出初步的安全需求如表2 所示。

3.2 基于情景融合的FAO 系統危害分析

站在FAO 系統運維的角度，采用情景融合的方法對FAO 系統的危險源進行全面的識別并進行致因因素分析，采用半定量SIL 分配技術為FAO 系統各個核心子系統功能分配安全需求并制定定量的安全指標，同時，提出相應的技術安全需求及運營安全需求，完善FAO 系統危險源識別的全面性及功能SIL分配的合理性，為FAO 線路的安全運營提供了保障。

3.2.1 情景合成

將系統初步危害分析識別的FAO 系統事故清單結合FAO 系統線路地點、FAO 系統兼容的運行等級、FAO 系統的活動事件，組合為合成情景，按照“在XXX 運行等級下，XXX 設備/人，進行XXX 運營活動時，導致了XXX 安全事故”的模式進行組合羅列，得到融合風險情景；例如：GoA4 級列車在全自動運行車輛段停車列檢庫喚醒，跳躍時與進入動車區域的人員碰撞等(見圖4)。

圖4 情景融合Figure 4 Fusion of scenarios

根據事故的嚴重度等級不同、受影響群體不同或發生的區域不同等原則，將得到的融合風險情景進行歸納總結，得到代表一類融合風險情景的危害情景，在初步危險源識別階段對系統邊界危害進行補充和完善。例如：在區間或車站，工程車/軋道車/列車運行、退行過程中人員侵入列車運行路徑發生碰撞；在場段，人員進行維修作業或上下車過程中列車侵入人員活動路徑發生碰撞。

3.2.2 融合情景風險分析

融合情景風險分析是將得到的融合事故情景作為分析對象，評價其初始風險及施加安全措施后的殘余風險，分析導致事故發生的次級危害并提出相應的安全需求將FAO 系統風險降到合理可接受的水平。

通過半定量SIL對FAO系統的融合事故場景的風險進行評價，從列車運行速度、列車滿載率情況和對歷史事故庫的檢索以及考慮二次防護等多個維度來確定風險發生的概率和后果的嚴重程度，根據標準中的風險矩陣得到融合危害情景的風險等級。對于不可接受的風險，評價施加安全需求后的風險等級。以在區間或車站人員進行維修作業或上下車過程中，列車侵入人員活動路徑發生碰撞為例分析，如表3 所示。

表3 人車相撞示例Table 3 Example of a pedestrian-vehicle collision

通過采用危害與可操作性分析(hAZard and operability，HAZOP)方式，分析導致融合事故場景的子系統層危害、環境和人的原因，及可能導致融合事故場景發生的所有致因因素。

根據EN50126-2：2017 標準中的風險模型，危害的發生不等同于事故的發生，危害發生后，如果發展成事故，還需要其他觸發條件同時具備。這些觸發條件采用EPC[13]因子進行描述，“分解后可容忍的次級危害發生率THR”考慮了EPC 因素后，會得到“考慮EPC 修正后的可容忍的次級危害THR”指標值，這一指標值表示了危害發生后，導致危險事故發生的可容忍事故率。

根據修正后的THR 指標值和致因分析結果，給全自動運行系統核心設備提出相應的子系統安全需求，確保將殘余風險降低到可接受水平，提取融合事故情景風險分析得到的所有功能安全需求中，最嚴格的定量及SIL 要求作為某項功能的最終安全完整性要求，將所有識別的安全需求(包括功能安全需求、技術安全需求及運營安全需求)，分配給各子系統/設備來分別實現，進而確保風險控制在運營可接受的水平。以人車相撞為例進行列表，如表4 所示。

表4 人車相撞場景危害分析示例Table 4 Example of scenario hazard analysis

3.3 基于STPA 的運營場景危害分析

STPA 是一種相對較新的基于事故因果擴展模型的危害分析技術。除了組件故障之外，STPA 假設事故也可能是由系統組件(其中沒有一個組件可能發生故障)的不安全交互引起的。STPA 與傳統的危險分析方法(例如故障樹分析法(fault tree analysis，FTA)、失效模式與影響分析(failure mode and effects analysis，FMEA)、事件樹分析(event tree analysis，ETA)、HAZOP)相比，STPA 不僅發現了傳統的分析發現的所有潛在風險，還可以發現傳統分析方法沒有發現的軟件相關和非故障的場景。STPA 方法通過分析子系統組件失效以及著重考慮系統組件(包括人)之間的不安全交互，因此通過采用基于場景的STPA 分析方法來識別各子系統/設備間信息交互過程中可能存在的風險，從而保證系統的安全。其主要分為4 個步驟進行，基于場景STPA 的分析流程如圖5 所示。

圖5 STPA 分析流程Figure 5 STPA analysis process

3.3.1 定義分析目的

第一步是明確安全分析目的，識別系統級事故。安全分析的目的是消除或控制危險，防止事故發生。參照IEC62267—2009 標準和GB/T32588.1—2016 標準中危害清單及軌道交通行業事故統計及經驗總結，結合全自動運行系統自身特點，識別出運營場景下的系統級事故。例如，列車在站臺乘降作業及發車場景下的系統級事故主要有三類：一是人或物被車門/站臺門夾傷、二是人員陷入列車與站臺間隙、三是人從高處跌落。

3.3.2 構建控制模型

控制模型包含系統通過控制行為最終對列車進行安全控制相關的控制過程，是致因場景的基礎數據來源。例如，列車在站臺乘降作業及發車場景中VOBC實施防護，包含的控制行為包括：CA1 發送牽引指令；CA2 發送制動指令；CA3 打開車門指令；CA4 打開站臺門指令。控制結構模型如圖6 所示。

圖6 控制結構模型Figure 6 Control structure model

3.3.3 識別不安全控制行為

控制結構建模完成后，通過引導詞的方式進行不安全控制行為識別。以控制行為CA1“發送牽引指令”為例，加入引導詞：未提供引起危險、提供引起危險、錯誤的時機或時序引起危險、結束太快或作用時間太長引起危險。控制行為與場景組合將得到不安全的控制行為(UCA)。

UCA1：站臺門與車門之間留有人/異物時，列車移動造成人員傷亡。

UCA2：站臺門與車門之間留有人/異物時，信號系統未輸出緊急制動。

3.3.4 識別致因場景

STPA 中為識別致因場景提供了一定的引導詞，對控制結構模型進行應用，以輸出緊急制動控制命令為分析案例，如表5 所示。

表5 致因場景示例Table 5 Example of a causal scenario

4 結束語

與傳統的對FAO 核心子系統的常規安全風險分析方式不同，本文提出了一種FAO 全系統層面的風險分析方法，首先與技術規范對標進行差異分析，其次利用情景融合分析、場景STPA 技術系統性識別FAO系統設計層的邊界危害及相應的風險，并獲得其中各核心子系統對應的安全需求，為實際工程項目開展FAO 大系統風險分析提供方法依據。

本文所提及的分析技術已應用到某地鐵線路的FAO 系統工程項目中，在全系統風險分析階段持續3個月左右時間，累計識別出與信號有關的危害72 項、與車輛有關的危害67 項、與綜合監控有關的危害28項、與站臺門有關的危害25 項、與安防有關的危害20 項、與通信有關的危害16 項；為各核心子系統設備提出了相應的功能安全需求、技術安全需求和運營安全需求共計228 條，上述需求已在該線路工程項目中成功實施。后續將研究應用該方法開發FAO 系統的通用危害與安全需求庫。