城軌GOA4級全自動運行系統運營風險閉環控制方法研究

張春明，王 靖，馬能藝

城市軌道交通全自動運行（FAO）系統基于先進計算機、通信、自動化控制和系統集成等技術實現列車全程自動化運行。依據GB/T 32590.1—2016［1］，列車運行的自動化等級（GOA）劃分為5 個等級，處于最高自動化等級（GOA4 級）的全自動運行模式是目前國內新線建設的首選模式，要求日常運營場景和應急處置均可實現自動化，無需人工干預。

全自動運行系統的目的是提升城市軌道交通運營安全、效率和服務水平，相較于傳統有人駕駛系統，核心系統如信號、車輛、站臺門等均做了大量的功能拓展，如自動休眠與喚醒、自動停站上下客、自動折返等，在列車正常運行的情況下可完全取代司機的職能。但由于軌道交通全自動運行環境的特殊性和復雜性，無人值守下應對突發事件的系統功能和處置操作流程與有人駕駛不同，因此全自動運行存在特有的運營風險。當全自動運行系統受到設備故障、人員操作錯誤等因素的疊加影響時，可能會導致故障影響范圍擴大，預防不力或處置不當就容易引發重大運營延誤，甚至發生人員傷亡等惡性事件［2］。

全自動運行系統在故障模式下的響應是否導向運營安全，控制中心和車站的工作人員能否正確處理突發情況等，都是運營安全管控急需研究和解決的問題，因此本文提出一種基于全自動運營場景的風險閉環控制技術和方法。

1 運營風險閉環控制方法

作為鐵路應用系統安全的最佳實踐，EN 50126-2：2017［3］中引入了沙漏模型，見圖1。

圖1 系統安全沙漏模型

沙漏模型概述了確保系統達到可接受的安全水平所需的主要安全相關活動。

1） 風險評估：基于運營場景的初步危害識別，以及依據風險接受原則進行風險評價。

2） 安全需求分析：根據已識別的危害及其風險等級，制定相應的安全措施，以安全需求的形式作為系統需求規范的一部分。

3） 風險控制：關注所識別危害的系統內部原因，以及系統本身在設計階段引入的潛在新危害，并在詳細設計層面進行風險控制，確保系統滿足安全需求。

4） 風險評估修訂：若風險控制階段識別了新的風險，可能需要輸出額外的安全措施或應用條件。

沙漏模型體現了一個完整的閉環控制方法，已經成為保障軌道交通行業系統安全的關鍵技術，被廣泛應用于安全苛求系統的功能安全保證活動中。對于城市軌道交通運營方而言，基于沙漏模型創建運營風險識別及閉環控制方法，識別運營中存在的安全隱患，制定合理的改善措施與管理方案，可以有效提升地鐵運營安全水平和乘客服務質量。基于沙漏模型的全自動運行系統運營風險閉環控制流程［4?5］見圖2。

圖2 基于沙漏模型的全自動運行系統運營風險閉環控制流程

2 風險評估

依據EN50126-2：2017 規范定義，從系統定義和運營場景出發，識別與系統相關的危害，確定與危害相關的風險并進行評估，是系統安全分析最常用的方法，也是沙漏模型中閉環控制方法的第1步。

2.1 運營場景梳理

作為全自動運行系統運營策劃的主要內容之一，運營場景對系統功能分配、系統設計、作業流程、運營規章編制等具有重要的指導作用，與非功能類性能指標、運維管理模式等共同構成運營需求。運營場景是與行車有關的所有作業的集合，必須體現完整性，從運營場景中應能推導出各核心設備所要求實現的功能［6?7］。

在圖2 所示的全自動運行系統運營風險閉環控制流程中，設施設備維護管理部門通過對既有場景功能的落實情況進行梳理，以及運營管理部門通過對運營場景與既有規章的匹配度進行梳理，為剩余風險的評估和控制，如是否需要增加或修訂技術規范和運維規章等提供技術和管理依據。

2.2 風險識別

2.2.1 風險識別范圍

EN50126-2：2017中提出了蝴蝶結構模型，見圖3。這是一種自上而下的邊界危害分析方法，即鐵路系統的危害原因是由所考慮系統的邊界危害構成的，系統邊界限定了危害識別的范圍，這意味著危害是分層結構的，可采用分層方法開展危害分析。

圖3 系統邊界危害的蝴蝶結構模型

對運營方而言，全自動運行風險識別不在于識別全自動運行核心系統的系統級與子系統級危害，如列車運行超速、列車追蹤不滿足安全間隔等，因為這類系統邊界危害在各個核心設備的供應商內部已經進行了識別和控制，并經過獨立第三方安全評估與安全合格測試。從線路級危害到系統級危害之間，存在可能導致人車沖突、夾人夾物等險性事故的運營風險，如人員操作、人員侵限、設備異常等，而這些運營層面的風險因素，通常被排除在核心設備及系統的邊界危害識別范圍之外，并作為系統應用條件或責任限制輸出給了運營方。因此運營方應關注列車在封閉運行環境下運行可能引入的外界危險源，以及除設備自身狀態異常外影響運行的安全風險隱患［7］，全自動運行核心系統邊界外的危險源見圖4。

圖4 全自動運行核心系統邊界外的危險源

2.2.2 運營場景基本要素

全自動運行系統運營風險識別首先應對運營場景的基本要素進行提煉，運營場景包括具體運行環境、全自行運行作業項、全自動運行作業時可能發生的設備/系統故障、故障場景下的系統響應、運營介入對故障的處置等5個基本要素［7］。

1） 作業環境：即列車所處的位置，如車輛基地、正線區間、正線站臺、停車線等。

2） 全自動運行作業項：如區間正向運行、進站、停站、開關門、對位隔離等。

3） 作業時可能發生的設備/系統故障：全自行運行核心系統包括車輛、信號、站臺門、綜合監控、通信、供電等，其故障場景是指相關系統在運營作業中所提供的功能未達預期，如車門狀態丟失、列車自動喚醒失敗、站臺門無法正常開啟/關閉等。

4） 故障場景下的系統反應：可參見各核心系統的技術規格書。

5） 運營介入對故障的處置：可參見全自動運行規章體系文件。

2.2.3 運營安全影響因素

在確定運營場景基本要素的基礎上，識別并分析影響全自動運行系統運營安全的因素。EN50126-1：2017［8］中推薦了一種圖解方法來推導鐵路整體RAMS 表現特定影響因素，這是一種系統化的推導過程。借鑒該方法，可推導影響全自動運行系統運營安全的詳細影響因素，示例見圖5。圖5 中，“人”“機”“法”“環”為4個通用因素［5，9］。

圖5 圖解方法推導運營安全詳細影響因素示例

1）“人”相關的風險因素。“人”因主要來源于城市軌道交通工作人員或乘客的相關知識能力、心理等方面，最后都體現在相關人員的行為上，如對設施設備的操作、緊急情況下的下意識反應等。

2）“機”相關的風險因素。“機”因主要體現為設施設備發生故障、擾動、不完善的情況，如車門狀態限位開關故障、障礙物探測裝置誤報警、站臺門間隙探測裝置存在探測盲區等。軌道線路、車輛、牽引供電、通信信號等設施設備相互關聯、整體聯動，若部分設施設備不是故障導向安全的，往往會帶來相應的運營風險。

3）“法”相關的風險因素。“法”即管理，城市軌道交通的運營管理漏洞和規章制度缺陷與其他風險因素相結合后，可能導致重大運營風險。

4）“環”相關的風險因素。“環”即環境，包括運營環境和作業環境。其中運營環境又分自然環境和社會環境，如洪水、地震等自然災害屬自然環境，社會治安、因相關法律規范不完善而引發的對城市軌道交通系統安全產生重大影響的事件等屬社會環境。作業環境則是指如司機人工駕駛列車時所處的開放式駕駛室，從疏散平臺進入存車線處置故障需經過的軌行區等。

在圖5 中，所有元素都是原因，它們組合起來產生箭頭右側所表示的影響。需要注意的是，推導詳細影響因素的過程不限于圖中的內容，推導的結果也無法一次性做到詳盡無遺，需要持續地更新。

2.3 初始風險評估

風險評估首先要制定一個評價基礎，該基礎反應了軌道交通運營方對風險的容忍程度，一般以矩陣圖表示，稱之為風險評估矩陣。圖6 展示了上海地鐵全自動運行風險評估所采用的風險矩陣，對運營風險的評價除了考慮對乘客和工作人員人身安全的影響，還結合風險對運營服務造成的影響程度進行評價。

圖6 上海地鐵全自動運行風險矩陣

從圖6 可以看出，風險一共分為4 個等級：R1，風險是不可接受的，必須降低；R2，風險在切實可行的情況下必須降低；R3，風險可以忍受，但是當符合成本效益時應進一步降低，如不符合成本效益時經運營方同意且風險得到充分控制的情況下可以接受；R4，風險是可接受的。R2和R3界定為可容忍區域，也稱為符合最低合理可行原則（As Low As Reasonably Practicable，ALARP）區域（見圖7），對處于該區域的風險，盡可能地將其降低到合理、可行的程度。

圖7 ALARP區域示意

3 安全需求分析

安全需求分析活動的輸入是上一階段的輸出，即根據識別出的風險及其風險等級分析相應的安全需求，對應沙漏模型中閉環控制方法的第2步。

安全需求可分為2 類：技術安全需求和運營安全需求。技術安全需求包括相關系統應實現的安全功能，即該功能在正常運營場景和故障場景下的預期功能，以及相關系統在設計和實現時的技術限制，如故障導向安全側的電氣回路設計、設備設施的選型和配線等；運營安全需求指落實到軌道交通運營規章制度體系中能夠有效保障運營安全的相關規定，包括工作人員在正常運營場景和故障場景下的預期行為，以及對員工的培訓需求。

在制定安全需求時應遵循如下原則。

1） 針對R1等級的風險，必須輸出相應的技術安全需求進行風險緩解，使其落入ALARP區域。

2） 針對ALARP 區域的風險，優先通過技防的方式使其進入R4 等級，如不符合成本效益時，可通過輸出運營安全需求的手段將風險降低至可接受的程度。

結合通過梳理運營場景得出的既有場景落實情況、場景與規章匹配情況等確定安全需求，全自動運行系統運營安全需求分析流程見圖8。若既有場景中已落實功能能夠完全覆蓋技術安全需求，則該風險可進入閉環狀態；否則，應考慮系統功能及設計是否能進一步優化：若能優化，則需要增修相關的技術規范；若不能，則剩余風險只能通過輸出運維安全需求進行轉移。進一步檢查運營場景與規章匹配度，若既有規章能覆蓋運維安全需求，則該風險可進入閉環狀態；否則需要增修相關的運維規章，將剩余風險分配給相關的工作人員。

圖8 全自動運行系統運營安全需求分析流程

4 風險控制

在制定了明確的安全需求的基礎上，相關責任方進行后續的技術或管理整改，以達到風險控制的目的，對應沙漏模型中閉環控制方法的第3步。

技術整改應由設備供應商根據增修的技術規范進行系統設計和功能升級，管理整改應由運營方根據增修的運維規章編制詳細培訓方案，對相關工作人員進行人員能力和資質的補充評定。

4.1 技術安全需求的驗證與確認

系統全生命周期見圖9，從系統定義階段至系統確認階段是一個完整的系統開發生命周期，在此基礎上加上運營風險閉環控制過程構成一個完整的系統生命周期［10］。

圖9 系統全生命周期

安全需求分析活動輸出的技術安全需求屬于用戶需求范疇，設備供應商根據系統定義將技術安全需求轉化為系統需求進行實現，需對系統需求是否完整覆蓋用戶需求，是否與用戶需求保持一致性進行驗證。目前主要通過人工技術審查的方法進行需求驗證，可采用的常用工具包括需求追溯矩陣等。

技術整改最終能否進入閉環狀態，還應通過相應的系統驗收測試。系統驗收測試與系統確認測試的不同在于：系統驗收測試基于用戶需求，除交叉接受系統確認測試的結果外，系統驗收測試用例的編制還應基于全自動運行系統真實運營工況下的單點故障和錯誤操作，測試時應重點關注故障排除時全自動運行系統的行車安全。

4.2 運營安全需求的驗證與確認

無人值守全自動運行系統在諸多方面相比有人駕駛系統有了較大提升，同時帶來了運營管理模式的重大轉變。按照業務模塊對常規單一專業的生產崗位進行劃分與融合，形成適應全自動運行模式特征的多職能復合型生產崗位，是適應這一轉變的創新實踐。上海地鐵基于全自動運行的管理特征和要求，將部分崗位工作進行了復合，組建了多職能復合隊伍（列控、站控和巡視），多職能復合隊伍應具備全自動運行設備故障的先期應急處置和排查故障能力［11］；同時上海地鐵對控制中心的崗位設置也進行了優化，設置運營調度和設備調度兩大復合崗位［12］。

運營安全需求的落實應考慮多職能隊伍崗位復合的實際情況，修訂編制相關的路網級、線路級運營管理規章，以及崗位級的作業指導書。運營規章編制是否充分，是否覆蓋所有識別的故障場景及場景中所提及的風險隱患，目前主要通過文件評估和現場審計的方法進行驗證［5，13］。

管理整改最終能否進入閉環狀態，還應進行相應的人員培訓考核及應急演練。對多職能隊員和調度員等關鍵崗位人員開展補充培訓和考核，主要考察在系統多種降級情況下，這些人員對故障或事件的處置是否符合運營規章的要求，以及執行關鍵操作的同時是否理解可能存在的安全風險。而多崗位聯動應急演練，主要目的在于提升運營人員在線路故障和突發情況下的應急處置能力。

5 運營風險閉環控制持續優化

全自動運行系統運營風險閉環控制是一個持續的過程，城市軌道交通運營方通過建立可持續完善的風險閉環控制長效機制，管理已確認的安全風險，預先識別其他潛在的危害，提前降低影響日后運營的剩余風險，對應沙漏模型中閉環控制方法的第4步。

城市軌道交通運營方可通過以下方法實現全自動運行系統運營風險閉環長效化管控。

1） 建立運營風險庫，對所有影響到運營安全及服務的潛在危害識別、評價、控制措施、落實情況、閉環確認等進行記錄［6］。

2） 開展運營安全評估，評估范圍包括全自動運行線路（含正線和車輛基地）的運營、安全和技術體系，評估內容可分為安全管理、運營管理和技術安全三大模塊［5，13］。其中，安全管理和運營管理的評估對象為全自動運行線路多職能隊伍和行車指揮；技術安全的評估對象為全自動運行系統在應急場景下的系統響應。可采用現場審計和文件審查等評估方式。

通過信息化手段構建運營風險管理信息化平臺，以需求鏈表的形式將運營場景、用戶需求、運營風險庫、技術規范、運維規章等標準化文件納入其中，通過文本標簽建立上下游需求之間的映射，由此構建風險閉環技術體系，實現需求文本自動導入、上下游關聯需求自動導出、需求變更直觀展現、關鍵字自動檢索等功能，全面提升風險閉環管控的效率，服務生產管理、建設改造和運維培訓。

6 結束語

全自動運行風險閉環控制是一個系統性的工作，本文僅從系統安全的角度對如何保障運營安全進行研究，風險識別和控制的對象主要還是全自動運行系統。而在更廣闊的軌道交通安全領域，研究如何建立安全管理體系、安全過程控制和安全責任體系等重點任務，是我國軌道交通飛速發展過程中需要探索并解決的問題。另外，隨著科學技術的進步，全自動運行風險閉環控制工作也應朝著數字化、信息化、智慧化方向邁進。