伴随智能化轨道交通的独立安全评估研究

刘宏伟

（中铁第五勘察设计院集团有限公司轨道交通认证中心，北京 102600）

1 城市轨道交通自动化等级及现状

国际公共交通协会（UITP）将列车运行的自动化水平（GoA）划分为GoA0、GoA1、GoA2、GoA3、GoA4五个等级。目前，轨道交通占比较大的基础CBTC信号系统为GoA2级，部分城市已投入使用、大中城市逐渐推广的全自动运行系统（FAO）为GoA3和GoA4级，是未来城市轨道交通的主要发展方向。

列车运行的自动化等级如表1所示。

表1 列车运行的自动化等级

根据UITP数据，75%全球新建线路将采用FAO信号系统，40%改造线路将采用FAO信号系统。2025年采用FAO系统运行的线路将超过1 500 km。

随着城市轨道交通GoA等级提升，越来越多的智能化系统（包括云平台）参与提供运营服务和安全保障，服务和安全逐渐从人员向系统设备转移。确保安全风险真正降低至可接受水平为FAO线路建设期、运营期的重点。因此，基于风险的、伴随着工程全生命周期阶段的独立第三方工程安全评估尤为重要。对FAO线路的独立安全评估工作更是重中之重。

2 智能化前沿信号系统特点分析

FAO是第四代轨道交通信号系统产品，其主要优点包括安全性、可靠性较高；运营组织的效率和灵活性较高；系统/运营的应急处置能力较强；自动化等级较高、劳动强度低、更加智能化。

2.1 向下兼容

按照GoA4等级建设的线路应用更多的自动化、智能化设备和安全冗余设置，在开通初期降级模式下，安全联锁设置仍然可以发挥作用，发生人为疏忽或判断失误的情况下，可以及时介入且最大限度避免事故发生。

GoA4等级的线路在开通初期均按GoA2等级运营，通过各项安全性指标评估、考核及运营模式适应后，逐步过渡至GoA4等级运营。

2.2 高度智能自动化

FAO集成度、智能自动化程度高，通过多系统联动、信息反馈、监督和远程干预相结合，可以实现列车运行的无人驾驶、列车上电自检、自动唤醒和休眠、自动出入停车场、自动洗车、故障自动恢复、根据客流量列车自动投入或退出运行等功能。

2.3 冗余配置充分、可靠性高

车辆系统、信号系统等核心设备系统采用冗余技术，可以减少运行故障，完善的故障自诊断和自愈功能，提高系统的可用性和可靠性。

2.4 完善的安全防护

FAO信号系统拥有完善的安全防护功能，可以实现列车运行全过程的安全防护，增加轨道障碍物检测功能和应急情况下的各个系统联动功能，增强运营人员及乘客防护功能。与传统的CBTC信号系统相比，FAO信号系统扩大ATP防护范围，增加场段自动化区域ATP防护。

2.5 丰富的中心功能

FAO信号系统的中心功能丰富，可以实现列车全自动运行的全面监控、详细的检测与维护调度，增加车辆调度、乘客调度及综合维护调度，提高自动化及智能化程度。与城市轨道交通CBTC系统相比，FAO系统引入自动控制、优化控制、人因工程等领域的最新技术，进一步提升自动化程度。

3 伴随智能化轨道交通的独立安全评估

独立安全评估包含通用层面和特定应用层面安全评估。其中，通用应用层面包括通用产品、通用应用安全评估，即产品层安全评估；特定应用层面安全评估即通用产品特定应用于工程的工程层安全评估。

通用层面安全评估是特定应用层面安全评估的输入，特定应用层安全评估要对通用层安全评估进行交叉接受，以判断通用产品或通用应用是否满足特定工程应用的要求。

3.1 评估依据和目的

开展独立安全评估的基本依据为IEC61508、EN50126、EN50128、EN50129等国际通用标准以及指导性文件国际工程安全管理（iESM）和早期的工程安全管理（ESM）。在国内开展ISA业务时，还需要依据国家标准、行业标准及团体标准。

独立安全评估（ISA）的目的为确认系统特定应用的整体风险已被控制，确认系统、设备应用的剩余风险均被降低至可以接受的水平，为系统安全结论提供足够的信心，为系统在工程特定应用提供各阶段安全授权。

3.2 全自动运行系统工程安全评估

城市轨道交通特定应用层安全评估主要分为单系统工程安全评估（如信号系统）以及全自动运行系统级工程安全评估。

（1）规范要求。

全自动运行系统工程安全评估范围包括全自动运行系统级安全评估、设备系统级安全评估。评估范围由业主根据项目特点确定。

2019年，中国城市轨道交通协会发布《城市轨道交通全自动运行系统规范第5部分：工程安全评估》[1]。规范6.3章节明确全自动运行系统工程安全评估活动应开展设备系统级安全评估，提出确定设备系统级评估范围的原则，其中c小节明确“应对信号、车辆、站台门系统进行安全评估，宜对综合监控系统进行安全评估”。

（2）评估原则及策略。

针对具有成熟应用经验的单设备系统，评估机构采用通用的评估策略和差异分析策略。FAO系统级的评估原则应采用基于风险和生命周期的评估原则。

①设备系统级评估机构负责该设备系统及其外部接口的安全评估。

②FAO系统级评估机构交叉接受设备系统级评估机构的评估结论，进行FAO系统集成的安全评估。

③FAO系统级安全评估交叉接受设备系统级安全评估证据、产品层安全评估证据。

（3）FAO信号系统评估方法。

开展FAO信号系统ISA工作，需要根据系统配置情况制定特定的工程安全评估策略，与单一的设备系统相比，FAO系统包含的核心设备系统多，接口多。结合FAO信号系统向下兼容、高度智能自动化、深度集成多系统联动等特点，为保证FAO系统的安全风险可控，工程安全评估方法确定为“总-分-总”三个阶段。

①“总”阶段。为系统层“需求分配”控制阶段，以全自动运行场景和运营规则为主线，组织评估团队关键成员与各个设备系统设计人员进行危害分析活动，分析“全自动运行系统”较以往线路的差异和新增的功能，开展系统级危害分析。

②“分”阶段。为设备层“危害识别和控制”管理阶段，在系统层危害分析基础上，开展设备系统级危害分析，进行设备系统间接口危害分析以保证接口的安全性。

③“总”阶段。为系统层“系统确认”控制阶段，以多系统关键阶段综合联调联试为支撑，安全评估重点检查全自动运行系统集成功能，对整个全自动运行系统的安全可靠表现进行评估，确认其是否满足颁发特定应用安全授权。

（4）FAO信号系统评估流程。

与业主签订合同后，由独立安全评估团队核心成员明确评估方法，依据通用的评估流程开展整个工程的工程安全评估工作。通用的评估活动主要包括文档审查、安全审计及测试见证以及安全评估相关会议。

独立安全评估流程如图1所示。

图1 独立安全评估流程

针对FAO信号系统项目，执行ISA项目的整个评估流程。核心设备系统供应商的系统保障能力有限，从FAO系统级别考虑，还需开展可靠性、可用性及可维护性评估，在项目初始阶段开展核心设备系统及其接口的危害识别、管理及追溯，建立FAO系统级别危害日志。

（5）危害日志识别及管理。

①识别。由业主牵头召集设计院、各集成商和供货商、施工单位以及可能涉及的运维等单位，主持FAO系统评估，以全自动运行场景和运营规则为主线，开展全自动运行系统级危害识别等分析活动，根据工程实施阶段等对FAO系统级危害进行排序，确定危害处理的顺序，形成FAO系统级危害日志。在项目执行中，评估方根据需要更新FAO系统级危害记录。

FAO系统级危害日志仅作为评估范围内各设备系统级单位的安全管理工作、危害识别工作的重要输入，各设备系统级单位需要根据其自身设备系统的情况形成设备系统级危害日志，建立与系统级危害的追溯关系。相关方难以达成一致、危害比较特殊、没有先例等情况时，需要进行分析活动，确定危害分析参与方，其方法与FAO系统级危害分析方法一样，开展专题危害识别及分析活动，形成专题危害分析日志，包括危害、控制措施及风险等级等。

②管理。FAO系统级危害日志由业主管控，FAO评估方进行维护，系统级危害日志将作为参建单位的顶级危害，参建单位依据系统级危害、结合各自系统自身特点，对各自负责系统进行设备系统层危害分析活动，参加单位的危害日志作为系统级危害日志维护的输入。（6）FAO信号系统安全授权。

针对FAO系统工程的特点，伴随工程实施阶段，工程安全评估将对应其各工程节点根据需要进行分阶段安全授权。

针对比较成熟的集成商，至少需要在GoA2级（传统的CBTC阶段）、GoA4（无人值守下列车自动运行）级进行安全授权。

GoA2级安全授权后，由GoA2级向GoA4级过渡过程中，FAO系统的核心设备系统，尤其是车辆、信号系统将进行频繁的软件升级、测试调试、新旧软硬件切换工作，不同自动化等级的列车存在混跑及混合运营，存在很高的安全风险。安全评估机构进行分阶段授权对安全保障活动、安全论据及安全相关应用条件充分的评估更有利。

（7）质量管理。

针对自动化、智能化程度更高的FAO信号系统工程安全评估的质量管理，依照ISO 9001—2015[2]标准进行评估，对核心设备系统供应商的质量管理活动进行审查。针对评估机构出具的评估意见、审计和见证活动，评估机构依据其公司的质量管理体系文件及作业文件进行质量控制。针对FAO信号系统的工程安全评估，项目团队具有独立的流程审核人员对安全评估交付物、不符合项、评估流程进行独立于工程项目的流程审查，控制安全评估交付质量。

4 结语

随着自动化、智能化程度提高，城市轨道交通自动化等级提升是技术发展的必然趋势，是多系统深度集成及技术融合发展的结果。工程实施中，留给系统设备测试调试工期逐渐缩短，业主对工程建设期、后续运营期的系统安全性、可靠性要求逐渐提高，使基于风险的、伴随工程全生命周期阶段的独立安全评估活动的重要性升高。伴随着城市轨道交通智能化进程的独立安全评估活动，能够确保核心设备系统的剩余风险切实可行地达到可以接受的水平，在阶段安全授权时增强建设单位和运营单位对载客运营的安全信心，提高建设和管理单位的工程安全管理能力，增强核心设备系统集成商的安全保证能力。随着普通铁路、高速铁路自动化等级提升，独立安全评估活动将在铁路系统进行开展，完善铁路系统的工程安全管理能力。