全自動運行燕房線工程七大核心設備系統(tǒng)獨立RAMS評估研究

■ 杜薇

北京軌道交通燕房線為自主化全自動駕駛線路。全自動駕駛功能的實現依賴多個專業(yè)相互配合。考慮到實現全自動運行功能要求設備高安全性和高效性，建設方針對直接影響行車安全的車輛、信號（含綜合監(jiān)控）、通信、站臺門、軌道、電梯/扶梯、門禁七大核心設備系統(tǒng)，引入第三方獨立RAM S評估，確保燕房線全自動駕駛系統(tǒng)的風險處于可接受水平。

1 燕房線系統(tǒng)概況

1.1 工程概況

燕房線工程線路長約14.4 km，均為高架線，沿線設車站8座，平均站間距約1.9 km。最大站間距為顧八路站至星城站，為3 795.533 m；最小站間距為饒樂府站至顧八路站，為1 206.343 m。燕房線工程線路走向示意見圖1。

1.2 七大核心設備系統(tǒng)概況

1.2.1 車輛

根據燕房線作為“綜合科技示范線”的要求，全線采用全自動無人駕駛技術，本線車輛須具備全自動無人駕駛功能。

燕房線工程全線初、近期按4輛編組，遠期6輛編組。初期配屬列車數為15列，近期配屬列車數為19列，遠期配屬列車數為68列。

采用接觸軌授電方式。列車構造速度110 km/h，最高運行速度100 km/h。

1.2.2 信號

燕房線為全自動運行線路，列車喚醒、休眠、出入庫、正線運行、折返等作業(yè)均由信號系統(tǒng)自動控制完成。為確保列車運營的高安全性和高效性，正線信號系統(tǒng)配置完整的列車自動控制系統(tǒng)（ATC），包括既有列車自動監(jiān)控系統(tǒng)（ATS）、列車自動防護系統(tǒng)（ATP）、列車自動運行系統(tǒng)（ATO）和計算機聯鎖子系統(tǒng)（CI）。

停車場自動運行區(qū)域及試車線采用與正線一致，配置完整的ATC系統(tǒng)。非自動區(qū)域只安裝聯鎖設備，不再安裝其他ATP/ATO軌旁設備，全自動運行區(qū)域和非自動區(qū)域共用一個聯鎖子系統(tǒng)控制。

燕房線工程綜合監(jiān)控系統(tǒng)采用深度集成信號系統(tǒng)中列車自動監(jiān)控子系統(tǒng)、變電所綜合自動化系統(tǒng)及環(huán)境與設備監(jiān)控系統(tǒng)，界面集成廣播系統(tǒng)、閉路電視系統(tǒng)、乘客信息系統(tǒng)，互聯門禁系統(tǒng)、時鐘系統(tǒng)、自動售檢票系統(tǒng)、安全門系統(tǒng)、火災自動報警系統(tǒng)等的行車綜合自動化系統(tǒng)（簡稱TIAS系統(tǒng)）的設計方案。

TIAS系統(tǒng)采用主備、冗余、兩級管理、三級控制方式、分布式C/S結構，系統(tǒng)由中央級系統(tǒng)（含后備中心系統(tǒng)）、車站級系統(tǒng)及數據傳輸主干網組成。

信號系統(tǒng)（含綜合監(jiān)控）結構見圖2。

1.2.3 通信（含PIS）

燕房線工程通信系統(tǒng)由專用通信系統(tǒng)、公安通信系統(tǒng)兩部分組成。

專用通信系統(tǒng)包括：傳輸系統(tǒng)、公務電話系統(tǒng)、專用電話系統(tǒng)、專用無線系統(tǒng)、閉路電視監(jiān)控系統(tǒng)（與公安電視監(jiān)控系統(tǒng)合建）、廣播系統(tǒng)、時鐘系統(tǒng)、電源及接地系統(tǒng)、集中監(jiān)測告警系統(tǒng)等子系統(tǒng)。

公安通信系統(tǒng)包括：無線引入系統(tǒng)、計算機網絡系統(tǒng)、電源及接地系統(tǒng)。

燕房線工程乘客信息系統(tǒng)（PIS）由控制中心子系統(tǒng)、車站子系統(tǒng)和網絡子系統(tǒng)（含有線網絡子系統(tǒng)和車地無線子系統(tǒng)）、車載子系統(tǒng)組成。本線PIS采用綜合承載LTE技術，滿足信號系統(tǒng)CBTC、PIS（含緊急文本信息、車載CCTV監(jiān)控回傳）系統(tǒng)車地業(yè)務的承載，在200 km/h高速移動環(huán)境下具有穩(wěn)定的接入能力，具備高可靠性及安全性。提供高速帶寬及多業(yè)務QoS保障，同時可以實現設備和頻率資源的共享、負荷分擔，服務質量高、傳輸時延短、丟包率低，具有系統(tǒng)自動監(jiān)視、報警等功能。

1.2.4 站臺門

系統(tǒng)采用半高安全門，其主要作用是防止乘客由于擁擠或其他意外情況滑落站臺，造成生命財產的損失，以及減少司機進站時由于擔心站臺墜物而產生的心理壓力。

半高安全門系統(tǒng)主要由機械和電氣兩大部分組成：機械部分由門體結構及門機系統(tǒng)構成；電氣部分分為控制系統(tǒng)和電源系統(tǒng)。

1.2.5 軌道

燕房線軌道系統(tǒng)正線、輔助線、試車線采用60 kg/m鋼軌、W J-2A型扣件、短枕縱向承軌臺整體道床，軌道結構高度520 mm，一般地段軌枕鋪設數量按1 680根/km，曲線半徑小于400 m地段按1 760根/km鋪設。正線、輔助線采用9號道岔，在饒樂府站支線接入主線及閻村北站的房山線與燕房線接駁位置采用12號道岔。中高等減振地段采用梯形軌枕，特殊減振地段采用鋼彈簧浮置板道床。線路盡頭處設置液壓緩沖滑動式車擋，在規(guī)范要求地段設置防脫護軌。

車場線采用50 kg/m鋼軌，車場線、庫內線、出入場線均采用彈條Ⅰ型扣件。停車場庫內線根據工藝要求采用相應整體道床。車場線、出入場線采用國鐵新Ⅱ型枕碎石道床，車場線軌枕按1 440根/km配置，出入場線按1 680根/km配置。停車場一般地段采用7號道岔及其渡線。庫外平過道為混凝土枕碎石道床，鋪設橡膠道口板。庫內平過道為短枕整體道床，用混凝土灌注，輪緣槽處采用特制橡膠輪緣槽，寬度50～55 mm。車場線采用固定式車擋，庫內線采用月牙式車擋。

1.2.6 電梯/扶梯

自動扶梯主要由驅動主機、主驅動軸和梯級鏈張緊裝置、扶手帶驅動裝置、桁架、梯級與梯級滾輪、梯級鏈與梯級鏈滾輪、導軌與支架、扶手帶與扶手帶導軌系統(tǒng)、扶手裝置、電氣控制系統(tǒng)及安全裝置等組成。

電梯主要由曳引機、導軌與支架、轎廂和轎門、層門和門套、電氣控制系統(tǒng)及安全裝置等組成。

1.2.7 門禁

燕房線工程門禁系統(tǒng)（ACS）由停車場及小營控制中心二期中心級門禁系統(tǒng)、車站級門禁系統(tǒng)、現場級設備及傳輸網絡組成。中央級和車站級通過通信傳輸網進行通信。

門禁系統(tǒng)按照兩級管理、三級控制的原則進行設置。ACS的車站級和就地級負責就地數據的采集、轉換、本地存儲及上傳；中央級ACS對各車站及停車場的ACS進行監(jiān)控。

2 RAMS評估各參建單位職責分工

燕房線工程的參建單位包括：建設單位、施工單位、集成供貨單位、設計單位、監(jiān)理單位、第三方RAM S評估單位。

各單位在工程安全評估工作的職責分工如下：

建設單位：確定安全目標和關鍵工作節(jié)點。協(xié)調各參建單位的問題，監(jiān)督安全評估的進度按照工程節(jié)點要求順利進行。

施工單位：配合集成供貨單位完成RAM S評估工作。提供其供應的設備資質證明或產品安全證書，以及安裝、測試記錄或報告。

設計單位：提交設計文件。審核集成供貨單位提交的技術文檔及安全分析文檔，并書面反饋審核意見；配合RAM S評估單位的評估工作。

監(jiān)理單位：配合RAMS評估單位的評估工作。

第三方RAM S評估單位：獨立于系統(tǒng)設計、工程實施，以基于證據的方法，通過對生命周期過程的分析，評估和判斷該系統(tǒng)的安全需求是否恰當、充分，以及系統(tǒng)是否滿足既定安全需求，是否適用于既定使用目的和應用條件。

參建各方在生命周期內的工作職責及具體流程見圖3。

3 風險管理

風險管理過程可分為危害識別、風險評估、危害管理三部分。燕房線七大核心設備系統(tǒng)通過這三個環(huán)節(jié)的開展，將風險降到可接受的程度。

3.1 危害識別

危害識別作為風險分析的第一步，其任務不僅限于識別危害，還要分析原因和可能導致的后果。

燕房線為全國首條自主化全自動駕駛線路。全自動駕駛功能的實現需要依靠車輛、信號、綜合監(jiān)控、通信、站臺門等各專業(yè)相互配合。為了更好地識別燕房線全自動駕駛系統(tǒng)集成，以及各專業(yè)間接口的風險，車輛、信號（含綜合監(jiān)控）、通信、站臺門等集成供貨商與評估單位參考《全自動駕駛系統(tǒng)場景說明書》，采用HAZID分析方法，進行了燕房線全系統(tǒng)初步危害分析。

根據燕房線各系統(tǒng)設計、建設的進展狀態(tài)，各專業(yè)以燕房線全系統(tǒng)初步危害分析為輸入，開展本專業(yè)自身的初步危害分析、系統(tǒng)危害分析、接口危害分析、操作與支持危害分析等危害識別工作。

（1）初步危害分析：在系統(tǒng)初期開展。可以估測燕房線可能產生的人員傷亡時段。

在創(chuàng)客工坊中不但可以將學校中各個專業(yè)軟硬件資源進行整合，還可以擴充到學校與學校之間的資源整合，打破學科限制，學生在這里不光是學習者還擔任教授者、創(chuàng)業(yè)者等身份。創(chuàng)客工坊開通網絡平臺，可以與各個社區(qū)進行聯合，社區(qū)將平時遇到的問題，諸如：計算機維護、電路維修、視頻宣傳制作等需求發(fā)布到網絡平臺上，學生從平臺上挑選自己感興趣的項目自己組建項目小組完成項目制作，不但可以得到相應學分，還可以完善學生成人成才培養(yǎng)計劃，充實學校“雙成”教育活動內涵。

（2）系統(tǒng)危害分析：在系統(tǒng)層設計完成后開展。可以確定系統(tǒng)層的危害。

（3）接口危害分析：在工程中期開展。可以確定系統(tǒng)內部及外部接口相關危害。（4）操作與支持危害分析：在工程中后期開展。可以確定與運營操作人員、維護人員相關的危害。

3.2 風險評估

燕房線七大核心設備系統(tǒng)風險接收的原則采用EN 50126中推薦的ALARP方法，即“盡可能的將風險降低到合理、可行的程度”。ALARP風險接收原則將風險劃分為不可接受區(qū)域、ALARP區(qū)域或可容忍區(qū)域、大體上接收區(qū)域（見圖4）。其中，不可接受區(qū)域的風險不能接受，必須消除或降低；大體上接收區(qū)域通常可以接受，但也應確保風險可以一直維持在這一水平；位于ALARP區(qū)域的風險必須采取所有合理可行的控制措施來降低風險，直到采取風險控制措施所帶來的收益與成本不相稱為止。

燕房線七大核心設備系統(tǒng)通過采用半定量的方法即風險矩陣方法對風險進行排序（見圖5），并確定風險比較高的危害（見表1），然后重點對這些危害進行分析和管理。

燕房線七大核心設備系統(tǒng)通過定量計算證明剩余風險都已降低到R4或R3級。

3.3 危害管理

表1 風險定義風險等級 定義R1 除特殊情況外，必須消除該類風險R2 必須將風險降低至最低實際可行水平R3 可忍受的風險，但仍須按成本效益盡量降低風險R4 可接受的風險

通過上述危害分析，識別出燕房線各系統(tǒng)工程相關的危害；通過風險評估，識別出控制燕房線各系統(tǒng)達到可以接受水平的安全需求，同時再加上產品的安全需求或安全應用條件，以及其他專業(yè)輸出給本專業(yè)的安全需求，即可形成本專業(yè)的危害日志（見圖6）。在整個生命周期活動中，各專業(yè)對危害日志進行維護、更新，確保危害日志能夠及時更新。

這些安全需求根據實現方式的不同，可分為設計、制造和試驗、輸出三類。在工程使用交付前，須確保涉及的安全需求落實在工程中。分類為設計實現的安全需求通過檢查技術規(guī)格書、圖紙來關閉；分類為制造和試驗的安全需求通過檢查測試報告來關閉；輸出的安全需求一般分配給其他專業(yè)和運營維護單位，通過控制危害方確認接收證明方可關閉。

4 RAM管理

在項目設計階段，各專業(yè)將開展可靠性分析工作。首先，確定各系統(tǒng)故障定義，明確可靠性、可維護性、可用性（RAM）目標；其次，根據以往項目經驗，對RAM指標進行初步分配，并編制可靠性指標分配報告；然后，進行故障模式、影響及危害性分析。此分析采用自下而上的方式，評估各部件或子系統(tǒng)發(fā)生故障的可能性、對系統(tǒng)性能的影響及影響的嚴重程度。FM ECA將從系統(tǒng)中的可替換單元開始自下而上分析，根據上述風險矩陣，對類別為“嚴重”后果及以上甚至更嚴重的故障模式進行重點管理。在此階段還要編制可靠性證明計劃，詳細說明驗證RAM目標的方法及程序。

在項目調試及運營階段，各專業(yè)將建立故障報告及修正措施系統(tǒng)（FRACAS），統(tǒng)計調試及運行期間的問題、故障、故障發(fā)生的原因和方式、采取的修正措施。此系統(tǒng)將用于監(jiān)控設備的RAM表現。在項目運營期，各專業(yè)將編制RAM證明報告，以證明各系統(tǒng)是否達到既定的各項可靠性目標。

5 RAMS評估

5.1 評估團隊組織架構

RAM S評估單位將評估團隊分為兩組：一組是核心系統(tǒng)集成評估組，一組是各子系統(tǒng)評估組。核心系統(tǒng)集成評估組的任務是識別系統(tǒng)集成及接口風險，特別是與七大核心設備系統(tǒng)相關的接口風險。識別的風險將傳遞給子系統(tǒng)評估組，子系統(tǒng)評估組負責各系統(tǒng)及與其他系統(tǒng)的接口風險，以確保所有識別危害的相關風險得到控制。核心系統(tǒng)集成評估組將會確保與系統(tǒng)集成相關的所有風險能夠被各子系統(tǒng)評估組評估。

5.2 評估方式

在評估工作計劃和準備階段，評估單位會根據以往類似評估經驗編制評估工作計劃。評估計劃介紹組織架構、適用標準、評估工作、交付文件等內容。評估計劃將發(fā)布給集成供貨單位/施工單位，便于開展后續(xù)工作。同時，評估單位會查看、分析集成供貨單位提交的技術規(guī)格書、圖紙等技術文件，深入了解所評估系統(tǒng)，便于確定項目高風險點。

在評估工作實施階段，評估單位主要評估各系統(tǒng)危害識別、分級、解決措施、記錄、監(jiān)控、消除、追蹤和關閉全過程，審核各系統(tǒng)設計、制造、安裝、測試各方面的安全需求是否充分，確保風險已降低到合理可行的水平（ALARP）。

相對于以往某一單個系統(tǒng)的安全評估，七大核心設備系統(tǒng)RAM S評估有三項重點：一是確保所識別出的全自動駕駛系統(tǒng)級的危害已在七大核心設備系統(tǒng)中得到管理和控制；二是評估七大核心設備系統(tǒng)的接口安全管理，確保各系統(tǒng)控制管理了其他系統(tǒng)輸出給其的安全需求；三是評估七大核心設備系統(tǒng)RAM管理，確保既定RAM目標的實現。

為了達到評估目的，評估單位采用文檔評估、安全審計、現場見證測試、安裝測試記錄/報告審查4類方式開展工作。

（1）文檔評估。評估單位通過審核集成供貨單位/施工單位提交的文檔，檢查其工程管理所采用流程的充分性，對各專業(yè)安全管理工作進行評估，確認所有識別的安全風險都得到控制。評估意見以安全通知的方式發(fā)布。

（2）安全審計。評估單位對七大核心設備系統(tǒng)的軟件管理、質量管理體系、安全管理組織和程序、設計變更和配置管理過程、驗證與確認過程、故障報告、分析及糾正措施等進行現場審計，并將審計意見記錄在審計報告中。

（3）現場見證測試。在工程各關鍵節(jié)點對系統(tǒng)主要功能提出針對性的測試場景，進行測試見證。

（4）安裝測試記錄/報告評估。審核室內、現場的安裝測試記錄/報告，并提出評估意見。

6 RAMS評估交付物

6.1 集成供貨單位/施工單位交付物

集成供貨單位/施工單位編制提交的與評估相關的文檔包括：系統(tǒng)保證計劃，驗證與確認計劃，配置管理計劃，質量計劃，測試計劃，初步危害分析，系統(tǒng)危害分析，接口危害分析，操作與支持危害分析，量化風險分析，差異性分析，變更安全分析，危害日志，測試報告，驗證與確認報告，安全例證，可靠性、可用性及可維護性指標分配報告，故障模式影響及重要性分析，可靠性、可用性及可維護性證明計劃，可靠性、可用性及可維護性證明及報告，故障報告及修正措施系統(tǒng)。

6.2 評估單位交付物

評估單位編制提交的文檔包括：文檔評估意見、審計計劃及報告、見證計劃及報告、測試報告審核報告、授權證書及報告。

7 結束語

目前，燕房線停車場聯鎖開通相關的車輛、信號、軌道、通信專業(yè)危害分析評估工作已完成。各系統(tǒng)正在開展現場測試，證明停車場聯鎖開通相關的風險控制達到可以接受的程度。

[1] EN 50126-1—1999 Railw ay Ap p lica tio n s-th e

Spe cification and Dem ons tration o f Re liab ility，Availability，M aintainability and Safety（RAMS）[S]．

[2] EN 20128—2011 Railw ay Applications-comm unication，Signalling and Processing System s-so ftw are fo r Railw ay Control and Protection System[S]．

[3] EN 50129—2003 Railw ay Applications-communication，Signalling and Processing System s-safety Re lated Electronic System s for Signaling[S]．

[4] 邵玉華．軌道交通信號系統(tǒng)安全評估綜述[J]．城市軌道交通研究，2012(1)：18-23．

[5] 孫華平，張艷兵．北京地鐵亦莊線信號系統(tǒng)工程獨立安全評估[J]．城市軌道交通研究，2013(1)：1-5．