闫宏伟, 燕 飞
(1. 中国铁路经济规划研究院, 北京 100038; 2. 北京交通大学电子信息工程学院, 北京 100044)
城市轨道交通全自动运行系统及安全需求
闫宏伟1, 燕 飞2
(1. 中国铁路经济规划研究院, 北京 100038; 2. 北京交通大学电子信息工程学院, 北京 100044)
结合国内外全自动运行系统的运营研究资料,介绍国际轨道交通全自动运行系统发展状况,探讨全自动运行系统的功能结构。结合IEC62267与IEC62290等国际标准,论述全自动运行系统典型的系统功能与安全需求。以系统FAM与CAM模式转换为例,对运营场景进行分析研究,如实反映列车全自动驾驶系统真实的运营过程,在建模之前需对系统的功能进行梳理,实现需求到场景的追踪,以确保所建模型与功能需求的一致性,即此模型表达系统最终需要完成哪些功能,这些功能之间的关系如何以及系统完成这些功能需要与哪些外部参与者或系统实现交互。对全自动运行系统展开深入而全面的研究,对我国自主研发全自动运行系统提出参考建议,为全自动运行系统的安全运营保驾护航。
城市轨道交通; 全自动运行系统; 安全需求
随着城市化进程的不断加速以及城市人口爆发式的增长,交通运输成为亟待解决的问题。轨道交通作为快捷、有效的运输工具,是解决城市交通拥堵的重要途径之一。近年来,拥有较高自动化的全自动运行地铁在全球轨道交通领域日渐升温,在世界发达国家的主要城市如巴黎、香港、新加坡、哥本哈根等已经投入了使用。
全自动运行是列车运营全部依靠控制系统完成,通过自动化手段取代正常运行下的人员操作,在提升地铁运营效率、改善乘客乘坐舒适度并且降低运营成本的同时,降低人为因素对运营安全的影响,从而降低总体运营风险[1]。
然而,随着自动化能力的提升,系统也要承担相应的职责,实现更多的功能需求。随着计算机、通信以及控制技术的发展,全自动运行系统功能与结构关系的复杂性也给安全需求设计带来挑战。
2.1 系统介绍
全自动运行系统(FAO)融入了高度自动化控制、人因工程与通信等多领域的新技术,进而提升轨道交通的自动化程度。自动化运行系统具备常规运行、降级蠕动运行、雨雪运行、中断运行等多样化运行模式,可以根据运营需求配备值守人员或者不配备值守人员。该系统一般也会相应配置以行车为核心、高度集成的信号系统与综合监控系统,以解决没有司机或值守人员所引入的危险问题。
国际公共交通协会(UITP)将列车运行的自动化等级(grades of automation,GoA)划分为5级[2],各等级简要说明如下。
1) GoA0:目视下列车运行,司机负全责,无系统防护;
2) GoA1:非自动列车运行,即 ATP 防护下的人工驾驶;
3) GoA2:半自动列车运行(STO),即司机监督下的 ATO 驾驶;
4) GoA3:有人值守下的列车自动运行(DTO);
5) GoA4:无人值守下的列车自动运行(UTO)。
GoA3(DTO)和GoA4(UTO)统称为FAO,即在正常运营情况下,由自动化设备取代司机自动驾驶列车在全线运行。
2.2 系统发展
1971年至2004年是全自动运行系统的起步阶段,在这个时期FAO多用于轻轨或运量小的线路。1971年,为提高城轨的服务品质,增强与其他交通方式的竞争力,法国开始研究城轨FAO技术,1973 年完成VAL系统的原型机研制。1978 年世界第一条FAO城轨线——法国里尔1号线动工,1983年开通运营。1977年开通运行的伦敦道克兰轻轨是DTO等级自动化城轨的典型。1998年,为纪念巴黎地铁建成100周年,巴黎第一条FAO线——14号线开通运营。2005年以前,FAO技术推广速度比较慢,2005年以后发展速度逐渐加快,并开始在中、高运量地铁广泛应用。截至2013年,全球共有32座城市开通运营全自动运行系统,涉及48条线路、700座车站,运营里程674 km。2003年6月,新加坡东北线正式开通运营,它是全世界第一条在正线与车辆段上全部采用全自动运行的大运量铁路;2008年6月,德国纽伦堡的U3线正式开通 DTO,该线路是德国首条FAO线;2009年开通运营的阿联酋迪拜的地铁红线是全世界最长、最新的FAO线路;巴黎地铁 1 号线是世界上首条由人工驾驶改造为FAO的线路,于1900年建成,它是巴黎最繁忙、最拥挤 (75万人次/d),同时也是最老旧的线路。
轨道交通全自动运行系统虽在国外应用较为成熟,但目前国内引入全自动运行技术的轨道交通线路成功案例较少。北京机场线、上海地铁10号线均采用全自动运行技术建设,北京地铁燕房线是我国首条采用全自动运行系统的线路[3]。
2.3 系统结构
全自动运行系统是一种建立在CBTC系统功能之上的升级系统[4]。由于全自动运行系统常规模式下不配备司机或其他运营人员,所以系统设计需要增加相关防护功能,不能仅考虑信号系统的正常运营功能[5]。图1是全自动运行系统的参考模型,其中包括原有CBTC系统和增加的用于实现FAO的设备[6]。
由图可知,全自动运行系统架构核心包括4部分[7]。
1) 控制中心核心设备。以中心列车自动监控(automatic train supervision,ATS)系统、中心电力调度(supervisory control and data acquisition,SCADA)系统以及综合监控系统为基础的高度集成化的行车综合自动化系统(traffic integrated automation system,TIAS)。在运营组织管理方面,加强紧急情况下的处理能力和措施,对信号、通信、综合监控、供电、车辆与灾害报警等系统进行深度集成与综合整合,保证整个系统内部的协调。
2) 车站控制设备。主要为车站级综合监控设备,以车站TIAS为核心,集成控制车站内与乘客乘降相关的设备,如乘客信息系统(passenger information system,PIS)、车站广播系统、车站站台门系统等。响应中心的调度命令与紧急处理命令,负责本站内乘客广播引导等工作以及本站内紧急情况的监控与应急处理。
3) 轨旁设备。轨旁设备变化不大,主要包含轨旁列车自动防护系统(automatic train protection,ATP)、联锁系统(computer interlocking,CI)、辅助定位LEU(lineside electronic unit,轨旁电子单元)系统等,可根据运营线路实际需求,增加安装轨旁障碍物检测设备。
图1 全自动运行系统参考模型Fig.1 Reference model of fully automatic operation system
4) 车载设备。以车载(vehicle on board controller,VOBC)列控系统(ATP/ATO)为核心,配备牵引制定、辅助测速等常规车辆设备。因为在全自动运行系统常规模式下,车头不配备司机,可根据运营需求在车头加装视频监控(closed circuit television,CCTV)以及障碍物检测设备,增加安装车辆信息管理系统(train control & monitoring system,TCMS),作为以电子设备代替司机采集及传输行车信息的专用系统。在传统列控系统的结构基础上,可强化列车上的CCTV系统、列车广播系统、车载紧急呼叫与紧急停车按钮功能,使控制中心在紧急情况下可以及时与乘客通话,实时监控列车上乘客的情况,保证乘客安全,加强在中心命令下乘客对行车状态的监管能力。
全自动运行系统与上一代列控技术相比较,其主要特色功能包括列车自动上电唤醒自检,全自动车辆段,自动行驶、停车和开关车门,故障自动恢复,自动清洗与自动断电休眠等。除了可以实现无人驾驶外,一般也会相应配置以行车为核心的高度集成信号系统与综合监控系统,以解决没有司机或值守人员所引入的危险问题。
3.1 全自动运行系统功能需求
根据IEC62267—2009[8]标准,运行系统自动化等级根据分配给系统与运营人员的基本功能来确定,其等级划分如表1所示。
表1 自动化等级
注: X=运营人员职责(可能由技术系统实现)
S=由技术系统实现
与传统的GoA2或自动化等级更低的列控系统相比,GoA3和GoA4等级运行系统要加设列车全运营周期的自动控制、轨道障碍物检测、乘客乘降监控等功能[9]。在GoA3等级的运行系统中,障碍物检测(设备或者人)通常需由司机或站务等工作人员完成,因此,在GoA4等级的全自动运行系统中,为实现由运行系统自动监控取代司机监控限界内障碍物的职责,需加设障碍物检测和人员入侵检测设备。在全自动运营系统中,乘客上下车监控与车门或站台门控制等都由系统自动完成。综上所述,全自动运行系统建立在CBTC系统架构之上,增加了对异常情况的监控和处理功能,要求各专业必须具备高度自动化水平,系统之间集成度高。相较于传统的CBTC系统,自动化运行系统技术特点如下:
1) 增强运营人员防护功能。在车站及车辆段增设人员防护开关,对进入正线及车场自动化区域的人员进行安全防护;增强乘客防护功能,对乘客上下车及车内安全进行防护;扩大ATP的防护范围,对车辆段自动化区域内运行的列车进行ATP防护;车上加装障碍物检测器实现轨道障碍物检测功能;增加应急情况下各个系统的联动功能,如火灾情况下通风、行车、供电、视频、广播的联动等。
2) 通过丰富的中央控制功能提升应急处理能力。全自动运行系统削弱部分车站功能,加强了调度指挥中心的控制能力,实现了列车全自动运行的全面监控及详细的各设备系统监测与维护调度,提供了远程的面向乘客的服务。控制中心新增车辆调度及乘客调度,实现车辆远程控制、状态监控及乘客服务等功能。控制中心新增综合维修调度,实现供电、机电、信号、车辆的维护调度功能。
3.2 系统需求分析建模
系统需求分析成功与否直接关系到系统后期能否满足运营的要求,所以在建模分析之前,首先对系统的功能需求进行梳理,实现需求到场景的追踪,以确保所建模型与功能需求的一致性,即此模型表达系统最终需要完成哪些功能,这些功能之间的关系如何以及系统完成这些功能需要与哪些外部参与者或系统实现交互。这样FAO系统场景模型的框架大致显现,后期的建模则需要添砖加瓦,逐步细化,直至完成最终的模型。
以全自动运行系统FAM/CAM相关模式转换为例进行建模方法研究。
全自动驾驶模式(FAM)下实现列车的全自动驾驶功能。该模式为全自动驾驶线路的主要驾驶模式,仅当列车处于全自动驾驶区域中才能使用。蠕动模式(CAM)为全自动驾驶模式下车辆网络故障或车辆与车载VOBC通信发生故障时,列车限速运行的一种模式。场景功能基本流程如图2所示。
图2 场景功能基本流程Fig.2 Flow chart of scene function
从功能流程中提取场景用例和系统外部参与者,由司机和调度员共同完成模式转换的控制工作,将场景中模式转换分为5类:1) 唤醒进入FAM模式;2) FAM模式转换为CBTC_CM/AM模式;3) CBTC_CM/AM模式转换FAM模式;4) FAM模式转换为CAM模式;5) CAM模式转换为CBTC_CM/AM模式。
FAM主要包括行车综合自动化系统TIAS、车载VOBC、列车、司机。列车和车载VOBC之间是聚合关系,车载VOBC属于列车,其余为关联关系。传递信息起媒介作用的是车载VOBC,TIAS起中心控制作用。
除了自动模式转换外,在司机手动打开钥匙的情况下,系统同样会做出相应判断,自动转为CBTC_CM模式,直至司机手动关闭钥匙。在全自动运营过程中,司机的作用同样重要,当司机主动控制列车时,司机的动作命令优先于系统控制,与此同时还存在激活端和非激活端的区别,当司机打开非激活端的时候,需要执行换端操作,其他模式转换也同样适用,构建时序模型如图3所示。建模采用4个泳道及4个参与者共同完成活动流程,分别是TIAS、司机、车载VOBC与列车。每一步都是参与者进行的动作或活动,由于此场景存在不同模式的转换,其转换条件也各有不同。
图3 FAM/CAM相关模式转换场景时序Fig.3 FAM/CAM mode conversion scene timing
FAM/CAM相关模式转换场景时序之间的交互主要集中在车载VOBC与列车对象之间,车载VOBC与列车完成速度确认并且实时输出紧急制动,控制列车速度,配合TIAS完成不同模式的转换,司机主要和列车进行交互,将命令通过车载VOBC传达给中心进行控制操作。
FAM/CAM相关模式转换场景看似简单,但其所建模型比一般场景复杂,其时序图和活动图也说明所完成的动作和交互较多,涉及其他场景也相对较多。FAM/CAM相关模式转换场景完整的模型可直接用于其他场景的建模,当其他场景使用此场景时,可直接进行调用,相当于程序中的函数调用,所有完成的模型在进行有关分析和应用时都可直接进行调用。
在技术报告IEC 62267—2[10]中,针对IEC 62267—2009中提出的列车车头没有司机或列车上没有工作人员的情况,分配安全功能作为补偿保障措施。
IEC 62267可以看作是一个通用的准则,是列控系统设计的通用危险分析,指定详细的安全需求,并提出保障措施。危险分析和对应的保障措施及安全需求是根据美国、欧洲和亚洲现有城市轨道交通系统设计和运营经验得出的。由于IEC62267规定的安全需求是通用级别,还需要针对特定的风险进行分析。为便于特定风险分析和确定系统安全需求,笔者提供可参考的保障和方法作为指南。
4.1 乘客乘降监控
由于全自动运行系统列车没有运营人员监督乘客的乘降和确保启动情况的安全,乘客因列车突然启动且有车门仍然开放而造成的伤亡如表2所示。除此之外还需考虑乘客身体某部分或行李被卡在车门中/站台安全门中而受伤的风险。
4.2 列车投入与退出运营
由于在列车上没有运营人员管理列车投入运营或退出运营,所以需要针对那些滞留在即将退出运营的列车上而需要帮助的乘客减少伤害制定安全需求,如表3所示。
4.3 紧急情况检测和管理
由于列车上没有运营人员识别车上或者站内的紧急情况,为降低因为意外紧急情况而对乘客造成伤害的风险制定安全需求,在搁浅的列车中疏散乘客如表4所示。除此之外还需考虑列车火灾、地震、雨雪等可能出现的运营情况。
表2 乘客在列车与站台之间的安全需求
表3 列车投入或退出运营时乘客安全需求
4.4 安全需求的制定
对上述安全需求总结归纳,明确某一安全需求可以实现不同自动化等级下要求的系统安全功能,从而为低费效比的安全需求组合与制定提出参考建议。
以上安全需求只针对全自动运行系统列车上无司机与运营人员所引入的危险情况,而提出相应的保障措施。实际系统设计安全需求的制定还应关注系统应用的特定地质、环境、社会和法规等方面,可能会产生额外的安全需求。
表4 意外情况下的安全需求
乘客通常拥有影响公共交通系统可用性和安全性的能力。假设乘客会遵从警示标志的指示,期望乘客的行为会遵守交通管理条例并符合一般的行为模式。然而,特定的安全需求应该基于当地文化考虑。
全自动驾驶系统集成自动控制、优化控制、人因工程等领域的最新技术,将进一步提升轨道交通的自动化程度。全自动驾驶系统作为城市轨道交通列车运行控制系统技术发展趋势,还有一些关键技术需要进一步研究,通过对国际标准安全功能与需求的研究,能够预先辨识分析其可能的危险源,提出对系统功能的安全需求,为全自动驾驶系统的安全运营保驾护航。
[1] 肖衍,苏立勇.轨道交通全自动驾驶系统集成技术研究[J].中国铁路,2015(5):109-113.
XIAO Yan, SU Liyong.Research on integrated technology of automatic operation system for rail transit[J].Chinese railways, 2015(5): 109-113.
[3] 武长海.城市轨道全自动无人驾驶技术应用探讨[J].铁路通信信号工程技术,2016,13(5):54-58.
WU Changhai.Application of full automatic driverless technology in urban rail transit[J].Railway signal & communication engineering, 2016,13 (5): 54-58.
[4] Georgescu M P.Driverless CBTC-specific requirements for CBTC systems to overcomeoperation challenges[J].Computers in railways X, 2006: 401-409.
[5] 宗明,郜春海,何燕.基于CBTC控制的全自动驾驶系统[J].都市快轨交通,2006,19(3):34-36.
ZONG Ming, GAO Chunhai, HE Yan.Full automatic operation system based on CBTC control[J].Urban rapid rail transit, 2006, 19(3): 34-36.
[6] 金华.城市轨道交通全自动无人驾驶信号系统功能分析[J].铁路计算机应用,2014(1): 61-64.
JIN Hua.Analysis for function of full automatic unmanned signal system of urban transit[J].Railway computer application, 2014(1): 61-64.
[7] 宋传龙.基于CBTC控制的列车全自动驾驶系统(FAO)的发展及应用[J].电子世界,2014(3):31-32.
SONG Chuanlong.Development and application of full automatic operation system (FAO) based on CBTC control[J].Electronics world, 2014(3): 31-32.
[9] 孙景卫.基于Petri网的全自动驾驶系统安全性分析[D].北京:北京交通大学,2014.
SUN Jingwei.Safety analysis of fully automatic operation system based on Petri net[D].Beijing: Beijing Jiaotong University, 2014.
(编辑:王艳菊)
Fully Automatic Operation System and
Its Safety Requirement of Urban Rail Transit
YAN Hongwei1, YAN Fei2
(1. China Railway Economic and Planning Research Institute, Beijing 100038; 2. School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044)
This paper discusses the development and function structure of automatic operation system for international rail transit by using the operation and research data of the system at home and abroad. It examines the typical automatic operation system and security requirements in line with IEC62267 and IEC62290 and other international standards. By taking the mode transfer of FAM and CAM system as an example, the operational scenarios are analyzed and the real operation process of the automatic driving system is reflected. The function of the system needs to be reviewed before modeling to meet the demand of the scene, which can guarantee the consistency between modeling and functional requirements. Specifically, the following aspects should be considered: what functions the model expression system should perform, what the relationship between these functions is and what external actors or systems are needed to interact with for these systems to complete their functions. In-depth and comprehensive study of the whole automatic operation system is needed for research and for the development of independent system design in China.Keywords: urban rail transit; fully automatic operation system; safety requirement
10.3969/j.issn.1672-6073.2017.03.010
2016-05-19
2017-03-02
闫宏伟,男,硕士,助理工程师,从事轨道交通建设标准研究与管理,yanywhwow@163.com
U231.6
A
1672-6073(2017)03-0050-06