基于场景的全自动运行系统安全分析方法

付文佳，韩 涛，刘 倩，朱天民

（卡斯柯信号有限公司，北京 100070）

城市轨道交通全自动运行系统在部分城市近几年得到广泛应用。全自动运行系统需要多家不同供应商的系统联动方可实现，包括信号系统、车辆系统、站台门系统、综合监控系统和专用通信系统等。信号系统实现列车防护与自动控制，车辆系统负责实施牵引制动与车门控制，站台门系统控制站台门开关及状态检测，综合监控系统监控关键设备状态，专用无线通信系统实现列车的广播及中心与乘客的应急通信，另外还包括车库门，洗车机等。列车在无司机值守的情况下，需要运营人员在各种运行场景尤其是降级场景、应急场景下进行正确的人为介入才能确保系统运行安全。

1 全自动运行系统安全分析现状

与传统的CBTC 有人驾驶系统相比，有人驾驶系统由于有运营人员、司机等的实时介入，不需要各系统的深度联动，也就不需要对多个系统进行整体分析。具体工程实施时以单个系统为层级进行安全分析，甚至部分项目仅信号系统进行了安全分析，其他系统未开展相关安全分析工作。对于全自动运行系统来说，正常运营时运营人员承担的工作大部分由各全自动运行系统来实现。但在降级模式下或应急模式下（包括列车区间运行、列车休眠、站台门故障、区间火灾等场景）运营人员应如何介入，采取怎样的措施才能保证系统运行安全，这就需要对多个不同供应商提供的系统进行各全自动运行场景下的安全分析，识别相关危害及缓解措施。

当前常用的安全分析技术为失效模式及影响、严重度分析（FMECA）方法。但该方法可应用的对象较为单一，为单系统或单个部件或单个功能，对多系统（尤其是由不同供应商提供的）交互下的场景尚无系统全面的安全分析方法，也就无法系统地识别各场景下的危害及制定相应的防护措施，给整个全自动运行系统带来较大的运营安全隐患。

2 基于场景的全自动运行系统分析方法

针对当前安全分析方法的不足，本文提出了一种基于场景的全自动运行系统安全分析方法。对全自动系统每一个运行场景进行建模，识别该场景下的作用因素，以便快速识别出全自动运行系统每一个运行场景下可能存在的操作方面的风险及规避措施，并提出一种自动计算剩余风险计算方法，从而得出一系列全自动系统各运行场景下应如何人为介入的防护措施，可解决多家供应商提供的系统不易整体分析的问题。

2.1 全自动运行场景

全自动运行场景识别了运营过程中所面对的运营管理场景，包括正常运营、降级情况、应急处理场景等。通常由轨道交通建设方提供或由一致性牵头方提供，一致性牵头方通常由信号系统集成商担任。

2.2 分析步骤

本方法分析步骤如图1 所示。

图1 分析方法步骤Fig.1 Procedure of the analysis method

1）识别全自动运行场景文件中每个场景的基本流程，识别该基本流程中的具体任务，提炼关键步骤，并对任务步骤进行细分，识别该任务中需要人为操作的部分，识别该操作涉及的系统，可以是一个或多个系统，对该流程建立人员操作模型，即人员在何种情况下操作了何种系统。

2）识别操作模型中参与的角色，包括运营人员、操作人员、值班员、车站人员和调度员等，视涉及的系统而有所不同。

3）识别该参与人员在该操作模型中可能的失效模式，即对于上述步骤1）操作模型中规定的步骤，相关执行对象可能无法满足过程要求，包括错误确认、未确认、提前确认、延迟确认、错误激活和未激活等，并和操作的目标系统关联起来。

4）识别在操作某一系统时人员失效可能对应的原因，包括人员疏忽、人员意识问题、操作失误等。

5）识别该失效可能对应的影响，与人员操作模型中识别的系统关联起来，定位到该失效直接可能的影响，如乘客被夹在站台门与车门之间。

6）识别该影响可能导致的事故，即在操作相关系统出现操作失效的情况下可能导致的后果，包括乘客受伤、死亡、列车相撞、脱轨、疏散延迟、火灾等。

7）识别该失效对应的缓解措施，针对人员失效原因提出缓解措施。此缓解措施通过辅助系统以进行正确地判断，并采取可行的缓解措施，可以是通过操作其他正常运行的系统来实现，可能涉及一个或多个系统。

8）识别步骤6）的严重性等级，分为4 个等级：灾难性的（S1）、重大的（S2）、次要的（S3）、无关紧要的（S4）；

9）识别该危害的频率，分为6 个等级对频率进行划分：A 频繁、B 可能、C 偶然、D 很少、E不可能、F 高度不可能。

10）识别所提出的缓解措施可能的风险降级系数RRF，定义为5 个等级，可降低的概率分别为a:1、b:101、c:102、d:103、e:104。

11）计算采取了缓解措施以后的事故频率，算法为f'＝f/RRF。

12）根据风险接受矩阵（来自于业主提供或EN50126 标准）判定剩余风险是否可接受，定义为4 个等级：不可容忍的（R1）、不希望的（R2）、可容忍的（R3）、可忽略的（R4）。

13）将相关操作方面的缓解措施整理成册，输出给相关责任方。

3 分析方法示例

以列车探测到障碍物场景（无司机值守）为例，下面为该分析方法的具体实施步骤。

建立该场景的操作模型，即中心调度员收到综合监控系统报警后通过综合监控工作站联动对应摄像头查看现场障碍物情况，派遣车站人员确认障碍物情况，车站人员处置后复位障碍物检测装置继续运行。涉及的系统有主要执行系统车辆（需要探测轨道上的障碍物）、信号系统（检测到障碍物后施加紧急制动），辅助系统综合监控（接收障碍物报警信息）。

识别该场景操作模型涉及的人员，包括中心调度员和车站人员，如图2 所示。

图2 场景操作涉及人员Fig.2 Personnel involved in operations of the scenario

根据上述操作模型，识别此场景中人员可能的失效模式，包括中心调度员未通过综合监控系统的摄像头查看现场情况，未派遣车站人员去现场处理，派遣工作人员处理前未采取合理的措施让列车保持不动，工作人员未正确处置该情况即复位障碍物检测装置，如图3 所示。

图3 场景操作失效模式Fig.3 Failure mode of operations of the scenario

识别导致步骤3）失效可能的原因，中心调度人员疏忽、工作人员操作不当。

识别步骤3）失效模式下可能的影响、障碍物未得到处理、列车可能自动发车、障碍物检测装置错误被复位。

识别步骤3）失效模式下可能的事故，复位障碍物检测装置时列车可能突然启动，撞伤工作人员，障碍物未被清除（既有存在的障碍物或工作人员使用的工具遗落）造成列车损伤。

识别缓解措施，对应步骤3）的失效模式，制定缓解措施为：1）收到综合监控系统障碍物报警后，中心调度员应立即查看相关区域的摄像头并及时激活列车附近的防护区域，确保列车保持不动，激活此区间的人员防护开关，安排工作人员进入现场处理。2）当工作人员进入区间处理障碍物报警时，运营人员应确保所有的人员、工具或障碍物已出清线路，才能复位障碍物检测设备，避免人员、工具或障碍物遗留在轨道区域。3）若障碍物探测装置无法恢复，应采取适当的防护措施让列车低速运行至下一站清客。

判定事故的严重性等级，按EN 50126 标准，如表1 所示。

表1 事故严酷度等级Tab.1 Accident severity level

按照上述失效模式，若中心调度员未采取防护措施，则可能导致列车与进入区间处理障碍物的工作人员相撞，造成至少一人伤亡，因此严重性定义为S2。另外障碍物处理不当，最严重情况下可能造成列车脱轨，进而导致多人死亡，因此严重性定义为S1。

定义初始危害频率，因列车在每天运营前均会低速巡道，因此发生的概率极低，定义为D，如表2所示。

表2 初始危害频率Tab.2 Initial hazard frequency

判定识别初始风险是否可接受。选取EN 50126 标准（铁路应用可靠性、可用性、可维修性和安全性规范及示例）第一部分的附录C.9 作为判定依据，以中心调度员未采取防护措施所造成的可能事故为例，事故严重性等级为S2，S2-D 在风险接受矩阵中为不希望的，如表3 所示。

表3 风险可接受矩阵Tab.3 Risk acceptability matrix

识别提出的缓解措施所能达到的风险降低系数（Risk Reduction Factor，RRF），在对调度人员加强培训以后，可以达到D 级别，如表4 所示。

表4 风险降低系数Tab.4 Risk reduction factor

计算采取了缓解措施以后的事故发生频率，f'＝f/RRF，仍以中心调度员未采取防护措施所造成的可能事故为例，落在10-9至10-8范围内，即E 区。

判定剩余事故频率及事故严重性等级，是否在可接受范围内，若判定在可接受范围内，则认为缓解措施行之有效。若不在可接受范围内，则应补充其他的缓解措施，确保剩余风险可接受。经判定，S2-E 为可容忍的，给相关责任方输出限制即可，至此完成了一个完整的判定过程。

对其他运行场景进行逐项分析，识别出风险场景，给出规避措施。

4 总结

全自动运行系统引入大量新技术，涉及多系统相互协作，同时无司机值守，系统失效时处理起来更加复杂，给运营安全带来挑战。对各种故障运行场景应如何处理，人员应如何介入才能够保证系统安全运行，需要系统性考虑。本文提出一种基于全自动运行场景的针对多家不同供应商提供的系统构建操作模型的方法，根据操作模型进行多系统场景安全分析，为如何人为介入系统操作提供更有效、更具体、更全面的安全措施，可有效解决全自动运行系统操作不当带来的风险。