全自动驾驶核心设备系统独立第三方安全评估方案探讨

王东坤 朱登辉 张丁元

摘要：全自动驾驶是城市轨道交通发展的方向。结合城市轨道交通A号线采用全自动驾驶技术的工程建设，介绍和分析了轨道交通核心设备系统独立第三方安全评估方案的评估依据、范围、安全评估的实施及全自动运营场景，旨在全面提升核心设备系统的产品质量，确保能够充分满足城市轨道交通A号线全自动运行系统对安全性、可靠性等方面的要求。

关键词：全自动驾驶;安全评估;方案设计

一、研究背景

近年来，随着轨道交通技术的发展，国内外越来越多的新建轨道交通线路采用全自动运行模式。全自动运行系统（Fully Automatic Operation，简称FAO）是基于现代信息技术，实现列车运行全过程自动化消除人为因素影响的新一代城市轨道交通运行系统，对于进一步提升轨道交通安全效率以及降低运营成本，提高轨道交通装备自动化、智能化水平意义重大。

全自动运行系统涉及专业众多，包括车辆、信号、通信、站台门、综合监控等，而且各专业之间的接口更加复杂，联系更加紧密。在即将发布的《城市轨道交通全自动运行系统技术规范》中全系统独立安全评估将作为一个必选项，是轨道交通精细化管理的一个提升。因此，对全自动驾驶核心设备系统独立第三方安全评估方案进行研究十分必要。

二、工程概况

城市轨道交通A号线工程线路全长约25km，设站13座，均为地下站，其中7座换乘站，分别与20号线、11号线换乘。平均站间距1915.314m，最大站间距3259.547m，最小站间距1001.077m。A号线工程总共设置两处联络线。

本工程采用右侧行车制，最高设计速度為120km/h，设车辆段一座。

工程采用全自动驾驶 UTO模式运行。信号等设备系统按具备全自动驾驶运行要求进行设计，并对机电核心设备系统（含车辆、信号、通信、站台门、综合监控等）进行独立第三方安全评估。

三、安全评估的总体方案设计

（一）安全评估的依据

独立第三方安全评估将依据全自动驾驶系统相关标准要求，开展对车辆、信号等核心设备系统的独立第三方安全评估。

安全评估将结合车辆、信号等核心设备系统全生命周期内的安全相关工作，评估该设备系统的功能和性能是否达到合同、设计文件及相关标准的要求和规定。评估安全管理（含 RAM）流程与EN 50126、EN 50129、EN 50128 等安全标准的一致性，以及在每个阶段所采用的方式、方法是否能达到预期目标。

开展系统性独立第三方安全评估，可更全面、更完整、更具体、更系统地覆盖设备系统安全管理。由专业机构进行安全评估，可大大提升管理质量和效率，有效降低工程建设安全风险，消除线路开通运营后的安全隐患。

（二）安全评估的范围

城市轨道交通A号线核心设备系统的独立第三方安全评估方案设计，是考虑从前期的技术部分用户需求书编制开始，经历设备招标、设备合同谈判、设备系统安装、试验、测试/调试、不载客试运行到开通初期运营等过程，直至全部列车完全交付运营和全自动驾驶初期运营满2年（两者按时间后到者为准）并获得最终安全评估报告。全过程参加并按照相应各工程节点出具带有结论性的、负责任的、可以进入下一阶段的授权证书和评估报告。

2.1 核心评估内容

1.全自动运行系统总体安全评估。

2.车辆系统、信号系统、站台门系统、综合监控系统、通信系统的安全评估（含RAM）。

3.核心设备系统相互间接口及系统集成的总体安全评估（含RAM）。

4.车辆基地（车辆段、停车场）无人区安全防护方案的评估。

5.核心设备系统工程建设安全管理体系（含RAM）的建立、风险分析。

6.业主工程师和核心设备系统供应商的RAMS培训。

2.2 具体评估内容

1.依据标准、合同、设计等文件，对车辆等核心设备系统、车辆基地无人区安全防护方案进行全生命周期内的安全评估，确保达到标准要求及功能要求。

2.评估车辆等核心设备系统用户需求、合同谈判、设计相关的安全工作，直至最终设计、出厂验收，以及车辆基地无人区安全防护方案的安全工作评估结束为止。

3.评估车辆等核心设备系统与建设、安装、试验、测试/调试、外场测试、验收、系统联动测试、试运行、全部列车完全交付运营等阶段有关的安全证明工作，以及车辆基地无人区安全防护方案的安全证明工作。

4.评估各系统的接口安全管理，确保系统间的接口危害识别和危害分析包含了系统/设备及接口危害消除、控制或减轻等内容。

5.评估供应商、承包商、集成商在招标人规定的工程节点之前的准备工作是否充分，系统、方案是否达到了相应的安全要求，并编制各阶段工程安全评估报告。

6）为设计、出厂验收、批量制造、安装、测试/调试、外场测试、验收、系统联动测试、试运行、全部列车完全交付运营等工程全过程各节点提供带有结论性、负责任的授权证书及报告。

（三）安全评估的实施

城市轨道交通A号线全自动驾驶核心设备系统的独立第三方安全评估工作分为三个阶段，三个阶段工作的终极目标是最终确认系统满足安全要求，能够安全运行，三个阶段的工作存在部分交替和更迭。

第一阶段：设备招标前期、设备招标、设备合同谈判、设计相关、设备出厂验收、车辆基地（车辆段、停车场）无人区安全防护方案的安全工作评估等。

第二阶段：设备批量制造、设备安装、设备测试/调试、设备试验、设备外场测试、验收、系统联动测试、试运行、全部列车完全交付运营、车辆基地（车辆段、停车场）无人区安全防护方案的安全评估工作。

第三个阶段：初期运营和初期运营后满2年的运营有关的安全证明工作（含RAM），包含但不限于以下内容

1.初期运营期间对系统安全性进行监督、检验项目组确定的安全关键设备、可靠性关键设备是否合理（是否需要更新）。

2.收集运营实际数据（表现），验证系统是否达到设计/合同/运营等相关要求的指标。

3.信号等系统升级的评估工作。

安全评估将针对工程核心设备车辆、信号、通信、站台门、综合监控系统等核心系统以及系统间的接口安全管理进行审查，确保系统以及系统间的接口危害识别和危害分析包含了系统 /设备及接口危害消除、控制或减轻等内容。

安全评估工作将督促核心设备系统供应商建立安全管理体系（含 RAM）。这是一套以安全为核心，识别危害和有效控制安全风险的体系。该体系致力于通过识别风险、控制风险、降低风险来实现全自动驾驶核心设备 / 产品的安全保障工作;对不可接受的风险采取相应的控制措施，将剩余风险降低到可接受的程度。通过危害控制流程，确定系统的安全需求，导出系统的安全应用条件，并将系统安全需求合理地分配给信号、车辆、站台门、通信、综合监控等子系统，包括车辆段无人区等核心设备。因此安全评估的实施也成为保证列车全自动运行系统安全的重要方法和途径。

结语

随着国内城市轨道交通建设的快速发展，在上海、北京、南京等城市已建设全自动运行的轨道交通系统。

结合城市轨道交通A号线工程，我们从着重提升城市轨道交通设备系统的产品质量为出发点，以设备系统的可靠性为切入点，以独立第三方进行安全评估为管理手段，促使轨道交通信号等设备系统的整体技术水平和质量再上一个台阶;同时，通过开展安全评估工作的整个过程，城市轨道交通也将建立起信号等设备系统的高质量管理体系，从而进一步推进城市轨道交通建设事业的健康发展。

参考文献：

[1]杨才兵.关于在建筑工程施工阶段引入第三方安全评估试点的建议[J].建设监理，2012（12）：51-53。

[2]熊伟.第三方安全评估咨询服务模式的实践与思考[J].住宅与房地产，2018（8）：281-282.