对城市轨道车辆独立安全评估活动的探讨

付世亮

（中车浦镇庞巴迪运输系统有限公司，安徽 芜湖 241060）

随着我国经济的不断发展和社会科技的进步，目前，我国城市轨道交通逐步实现无人值守下的列车自动运行，全自动运行系统是基于现代计算机、通信、控制和系统集成等技术，实现列车运行全过程自动化的新一代城市轨道交通控制系统，因此，全自动运行系统是一项安全系统工程。

车辆系统作为实现全自动运行的最核心设备系统，车辆系统的各设备安全及设备之间接口安全，直接影响整个全自动运行系统运行安全。在项目中导入独立安全评估活动，通过相对独立的第三方机构对新项目、新系统、新产品进行全方面的安全评估，从产品设计的概念及系统定义阶段识别风险或隐患，并在产品的各个阶段对已识别的风险进行转移或控制，确保车辆系统安全可靠，满足全自动运行系统的要求。

城市轨道车辆目前在全自动运行项目中针对独立安全评估进行了深入的研究，并在相关项目中导入了独立安全评估的体系，但对于车辆系统的具体安全评估活动研究还不够深入。本文仅从城市轨道车辆的角度，根据项目实际特点，探讨全自动运行系统城市轨道车辆独立安全评估活动。

1 城市轨道车辆独立安全评估概述

1.1 独立安全评估概述

独立安全评估（Independent Safety Assessment，简称ISA）是基于欧洲电工标准化委员会（CENELEC）制定的EN50126等铁路标准，通过独立于产品设计、制造团队的第三方机构，运用安全评估和审计，对相关产品的技术安全进行符合性评估，确保产品安全可靠。

1.2 城市轨道车辆独立安全评估的目的

城市轨道车辆导入独立安全评估是为系统相关安全的结论提供足够的信心和保证，确保车辆系统已识别的风险或隐患已被控制并已经降低到可以接受的程度。因此，城市轨道车辆进行独立安全评估的基本目的为：依据相关标准或规范来对无人运行模式下的车辆系统安全分析和安全设计进行审核，评估其设计是否满足无人运行标准，车辆是否适用于无人运行系统。特别针对无人运行模式下，基于顶层安全分析，逐层向下的安全目标的分解与分配以及每层中各个子系统的接口安全分析，进行分析审核，评估其安全分析的充分性、安全目标分解分配的合理性。

1.3 城市轨道车辆独立安全评估的目标

城市轨道车辆在生命周期内的安全相关工作符合铁路安全相关标准的适用要求，以及在每个阶段所采用的方式、方法能达到预期目的，确保安全管理组织的稳健性以及供应商和分包商承担的安全管理流程；确保城市轨道车辆的设计，制造，安装，测试和调试的安全需求被充分保障。

1.4 城市轨道车辆独立安全评估的范围

城市轨道交通全自动运行系统需具备更高的可靠性和可用性要求，其关键运行设备应采用冗余技术，减少运行故障。全自动运行系统在满足系统正常运行的前提下，应具备较强的抗干扰能力及故障恢复能力并满足故障－安全原则。

依据城市轨道全自动运行系统的特性，车辆系统的独立安全评估范围包括2个层次：全自动场景分析、车辆整车的独立安全评估。

2 城市轨道车辆安全评估具体活动

2.1 城市轨道车辆独立安全评估具体内容

城市轨道车辆独立安全评估工作的周期应从项目启动开始至本项目首列车质保结束，须对车辆的设计阶段、制造阶段、测试阶段、列车运营质保阶段进行评估和审计。

城市轨道车辆独立安全评估内容不限于：列车功能分析；列车与各子系统间接口功能及安全分析；列车与ATC、综合监控、通信等各专业间接口功能及安全分析；全自动运行场景分析；风险分析；各子系统及功能SIL等级的识别与评估；及与安全相关的子系统设计方案。

目前，车辆设计、制造方通过应用RAMS和安全完整性等级分析对于车辆系统设计安全进行研究，但还需要通过独立的第三方评估机构进行ISA安全评估和审计，确保为城市城市轨道交通全自动运行项目的安全可靠运营提供有力的保障。

2.2 全自动运行场景分析

安全性是城市轨道交通车辆系统的核心要求，车辆系统为实现无人值守下的列车自动运行需要针对不同场景进行专项分析和研究，包括正常模式场景、降级模式场景、应急模式场景。

首先，城市轨道车辆独立安全评估需要基于项目的要求对于全自动运行系统所涉及的场景进行梳理，并确定基本功能和数据流。其次，对已梳理的场景进行安全分析，提出对应的安全措施，使其既能够覆盖相关标准所有的安全要求又能满足对安全目标以及安全分析的要求。最后，结合目前的产品设计确定具体的技术方案，同时检查并确认安全要求的全覆盖。再次，依据制定的技术方案以及通用全自动运行系统框架对需求以及安全需求进行整体分配，接口设计等。最后，核查城市轨道车辆及子系统涉及的软硬件开发使其符合铁路安全标准的要求。

独立安全评估是整个场景分析的过程文档，流程方法以及结果进行评估，确保城市轨道车辆对全自动运行系统的安全要求的逐一落实。

2.3 车辆整车的独立安全评估

城市轨道车辆是基于铁路相关标准在全寿命周期内开展了基于风险的安全保障流程进行设计、制造和生产的。主要安全保障工作内容包括安全计划、隐患分析、安全需求规范、安全验证、隐患管理等。在整车系统层面，应针对顶层的风险分析和逐层的分配与补充风险分析，即从PHA到IHA到SHA最后到OSHA，确定整系统、每个独立子系统或部件的安全目标、安全需求、安全设计和安全验证与确认，确保建立完整的自顶向下的风险跟踪链。因此，独立安全评估须将全自动运行系统相关标准与具体项目的相关技术要求进行结合，对城市轨道车辆系统全寿命周期内的所有风险进行认证并评估。在城市轨道车辆系统全寿命周期可以设置多个里程碑，方便开展独立安全评估活动，里程碑的主要节点包括但不限于初步设计联络会、设计审查会、车辆总装、空载试运营演练、全线全功能通车试运营等。

2.4 城市轨道车辆ISA的成果形式

独立安全评估是在车辆全寿命周期内各阶段通过安全评估和审计活动及其结果，确认在不考虑列车操作人员，线路条件，车辆维护和运营管理等非车辆系统本身因素影响的情况下，在当前定义的配置下，在不超过线路区段所允许的最大速度下，满足城市轨道交通无人运行系统的要求。并在商业运营进行安全授权和车辆系统出质保后出具最终的评估报告和安全证书。

3 结语

综上所述，城市轨道车辆系统在全自动运行项目中已逐渐建立并规范独立安全评估的评估体系，聘请专业的独立的第三方安全评估机构对城市轨道车辆的设计、制造、试验全寿命过程进行安全评估及审计，已成为城市轨道交通运营方接受车辆的前提条件，以及商业运营前重要的内容，这将为轨道交通全自动运行项目的安全可靠运营提供有力的保障。