城市軌道交通全自動運行系統(tǒng)及安全需求

閆宏偉， 燕 飛

(1. 中國鐵路經(jīng)濟規(guī)劃研究院， 北京 100038； 2. 北京交通大學電子信息工程學院， 北京 100044)

城市軌道交通全自動運行系統(tǒng)及安全需求

閆宏偉1， 燕 飛2

(1. 中國鐵路經(jīng)濟規(guī)劃研究院， 北京 100038； 2. 北京交通大學電子信息工程學院， 北京 100044)

結(jié)合國內(nèi)外全自動運行系統(tǒng)的運營研究資料，介紹國際軌道交通全自動運行系統(tǒng)發(fā)展狀況，探討全自動運行系統(tǒng)的功能結(jié)構(gòu)。結(jié)合IEC62267與IEC62290等國際標準，論述全自動運行系統(tǒng)典型的系統(tǒng)功能與安全需求。以系統(tǒng)FAM與CAM模式轉(zhuǎn)換為例，對運營場景進行分析研究，如實反映列車全自動駕駛系統(tǒng)真實的運營過程，在建模之前需對系統(tǒng)的功能進行梳理，實現(xiàn)需求到場景的追蹤，以確保所建模型與功能需求的一致性，即此模型表達系統(tǒng)最終需要完成哪些功能，這些功能之間的關系如何以及系統(tǒng)完成這些功能需要與哪些外部參與者或系統(tǒng)實現(xiàn)交互。對全自動運行系統(tǒng)展開深入而全面的研究，對我國自主研發(fā)全自動運行系統(tǒng)提出參考建議，為全自動運行系統(tǒng)的安全運營保駕護航。

城市軌道交通； 全自動運行系統(tǒng)； 安全需求

1 發(fā)展概況

隨著城市化進程的不斷加速以及城市人口爆發(fā)式的增長，交通運輸成為亟待解決的問題。軌道交通作為快捷、有效的運輸工具，是解決城市交通擁堵的重要途徑之一。近年來，擁有較高自動化的全自動運行地鐵在全球軌道交通領域日漸升溫，在世界發(fā)達國家的主要城市如巴黎、香港、新加坡、哥本哈根等已經(jīng)投入了使用。

全自動運行是列車運營全部依靠控制系統(tǒng)完成，通過自動化手段取代正常運行下的人員操作，在提升地鐵運營效率、改善乘客乘坐舒適度并且降低運營成本的同時，降低人為因素對運營安全的影響，從而降低總體運營風險[1]。

然而，隨著自動化能力的提升，系統(tǒng)也要承擔相應的職責，實現(xiàn)更多的功能需求。隨著計算機、通信以及控制技術的發(fā)展，全自動運行系統(tǒng)功能與結(jié)構(gòu)關系的復雜性也給安全需求設計帶來挑戰(zhàn)。

2 全自動運行系統(tǒng)

2.1 系統(tǒng)介紹

全自動運行系統(tǒng)(FAO)融入了高度自動化控制、人因工程與通信等多領域的新技術，進而提升軌道交通的自動化程度。自動化運行系統(tǒng)具備常規(guī)運行、降級蠕動運行、雨雪運行、中斷運行等多樣化運行模式，可以根據(jù)運營需求配備值守人員或者不配備值守人員。該系統(tǒng)一般也會相應配置以行車為核心、高度集成的信號系統(tǒng)與綜合監(jiān)控系統(tǒng)，以解決沒有司機或值守人員所引入的危險問題。

國際公共交通協(xié)會(UITP)將列車運行的自動化等級(grades of automation，GoA)劃分為5級[2]，各等級簡要說明如下。

1) GoA0：目視下列車運行，司機負全責，無系統(tǒng)防護；

2) GoA1：非自動列車運行，即 ATP 防護下的人工駕駛；

3) GoA2：半自動列車運行(STO)，即司機監(jiān)督下的 ATO 駕駛；

4) GoA3：有人值守下的列車自動運行(DTO)；

5) GoA4：無人值守下的列車自動運行(UTO)。

GoA3(DTO)和GoA4(UTO)統(tǒng)稱為FAO，即在正常運營情況下，由自動化設備取代司機自動駕駛列車在全線運行。

2.2 系統(tǒng)發(fā)展

1971年至2004年是全自動運行系統(tǒng)的起步階段，在這個時期FAO多用于輕軌或運量小的線路。1971年，為提高城軌的服務品質(zhì)，增強與其他交通方式的競爭力，法國開始研究城軌FAO技術，1973 年完成VAL系統(tǒng)的原型機研制。1978 年世界第一條FAO城軌線——法國里爾1號線動工，1983年開通運營。1977年開通運行的倫敦道克蘭輕軌是DTO等級自動化城軌的典型。1998年，為紀念巴黎地鐵建成100周年，巴黎第一條FAO線——14號線開通運營。2005年以前，F(xiàn)AO技術推廣速度比較慢，2005年以后發(fā)展速度逐漸加快，并開始在中、高運量地鐵廣泛應用。截至2013年，全球共有32座城市開通運營全自動運行系統(tǒng)，涉及48條線路、700座車站，運營里程674 km。2003年6月，新加坡東北線正式開通運營，它是全世界第一條在正線與車輛段上全部采用全自動運行的大運量鐵路；2008年6月，德國紐倫堡的U3線正式開通 DTO，該線路是德國首條FAO線；2009年開通運營的阿聯(lián)酋迪拜的地鐵紅線是全世界最長、最新的FAO線路；巴黎地鐵 1 號線是世界上首條由人工駕駛改造為FAO的線路，于1900年建成，它是巴黎最繁忙、最擁擠 (75萬人次/d)，同時也是最老舊的線路。

軌道交通全自動運行系統(tǒng)雖在國外應用較為成熟，但目前國內(nèi)引入全自動運行技術的軌道交通線路成功案例較少。北京機場線、上海地鐵10號線均采用全自動運行技術建設，北京地鐵燕房線是我國首條采用全自動運行系統(tǒng)的線路[3]。

2.3 系統(tǒng)結(jié)構(gòu)

全自動運行系統(tǒng)是一種建立在CBTC系統(tǒng)功能之上的升級系統(tǒng)[4]。由于全自動運行系統(tǒng)常規(guī)模式下不配備司機或其他運營人員，所以系統(tǒng)設計需要增加相關防護功能，不能僅考慮信號系統(tǒng)的正常運營功能[5]。圖1是全自動運行系統(tǒng)的參考模型，其中包括原有CBTC系統(tǒng)和增加的用于實現(xiàn)FAO的設備[6]。

由圖可知，全自動運行系統(tǒng)架構(gòu)核心包括4部分[7]。

1) 控制中心核心設備。以中心列車自動監(jiān)控(automatic train supervision,ATS)系統(tǒng)、中心電力調(diào)度(supervisory control and data acquisition，SCADA)系統(tǒng)以及綜合監(jiān)控系統(tǒng)為基礎的高度集成化的行車綜合自動化系統(tǒng)(traffic integrated automation system,TIAS)。在運營組織管理方面，加強緊急情況下的處理能力和措施，對信號、通信、綜合監(jiān)控、供電、車輛與災害報警等系統(tǒng)進行深度集成與綜合整合，保證整個系統(tǒng)內(nèi)部的協(xié)調(diào)。

2) 車站控制設備。主要為車站級綜合監(jiān)控設備，以車站TIAS為核心，集成控制車站內(nèi)與乘客乘降相關的設備，如乘客信息系統(tǒng)(passenger information system，PIS)、車站廣播系統(tǒng)、車站站臺門系統(tǒng)等。響應中心的調(diào)度命令與緊急處理命令，負責本站內(nèi)乘客廣播引導等工作以及本站內(nèi)緊急情況的監(jiān)控與應急處理。

3) 軌旁設備。軌旁設備變化不大，主要包含軌旁列車自動防護系統(tǒng)(automatic train protection，ATP)、聯(lián)鎖系統(tǒng)(computer interlocking，CI)、輔助定位LEU(lineside electronic unit,軌旁電子單元)系統(tǒng)等，可根據(jù)運營線路實際需求,增加安裝軌旁障礙物檢測設備。

圖1 全自動運行系統(tǒng)參考模型Fig.1 Reference model of fully automatic operation system

4) 車載設備。以車載(vehicle on board controller，VOBC)列控系統(tǒng)(ATP/ATO)為核心，配備牽引制定、輔助測速等常規(guī)車輛設備。因為在全自動運行系統(tǒng)常規(guī)模式下，車頭不配備司機，可根據(jù)運營需求在車頭加裝視頻監(jiān)控(closed circuit television，CCTV)以及障礙物檢測設備,增加安裝車輛信息管理系統(tǒng)(train control & monitoring system，TCMS)，作為以電子設備代替司機采集及傳輸行車信息的專用系統(tǒng)。在傳統(tǒng)列控系統(tǒng)的結(jié)構(gòu)基礎上，可強化列車上的CCTV系統(tǒng)、列車廣播系統(tǒng)、車載緊急呼叫與緊急停車按鈕功能，使控制中心在緊急情況下可以及時與乘客通話，實時監(jiān)控列車上乘客的情況，保證乘客安全，加強在中心命令下乘客對行車狀態(tài)的監(jiān)管能力。

3 系統(tǒng)功能需求分析與建模

全自動運行系統(tǒng)與上一代列控技術相比較，其主要特色功能包括列車自動上電喚醒自檢，全自動車輛段，自動行駛、停車和開關車門，故障自動恢復，自動清洗與自動斷電休眠等。除了可以實現(xiàn)無人駕駛外，一般也會相應配置以行車為核心的高度集成信號系統(tǒng)與綜合監(jiān)控系統(tǒng)，以解決沒有司機或值守人員所引入的危險問題。

3.1 全自動運行系統(tǒng)功能需求

根據(jù)IEC62267—2009[8]標準，運行系統(tǒng)自動化等級根據(jù)分配給系統(tǒng)與運營人員的基本功能來確定，其等級劃分如表1所示。

表1 自動化等級

注： X=運營人員職責(可能由技術系統(tǒng)實現(xiàn))

S=由技術系統(tǒng)實現(xiàn)

與傳統(tǒng)的GoA2或自動化等級更低的列控系統(tǒng)相比，GoA3和GoA4等級運行系統(tǒng)要加設列車全運營周期的自動控制、軌道障礙物檢測、乘客乘降監(jiān)控等功能[9]。在GoA3等級的運行系統(tǒng)中，障礙物檢測(設備或者人)通常需由司機或站務等工作人員完成，因此，在GoA4等級的全自動運行系統(tǒng)中，為實現(xiàn)由運行系統(tǒng)自動監(jiān)控取代司機監(jiān)控限界內(nèi)障礙物的職責，需加設障礙物檢測和人員入侵檢測設備。在全自動運營系統(tǒng)中，乘客上下車監(jiān)控與車門或站臺門控制等都由系統(tǒng)自動完成。綜上所述，全自動運行系統(tǒng)建立在CBTC系統(tǒng)架構(gòu)之上，增加了對異常情況的監(jiān)控和處理功能，要求各專業(yè)必須具備高度自動化水平，系統(tǒng)之間集成度高。相較于傳統(tǒng)的CBTC系統(tǒng)，自動化運行系統(tǒng)技術特點如下：

1) 增強運營人員防護功能。在車站及車輛段增設人員防護開關，對進入正線及車場自動化區(qū)域的人員進行安全防護；增強乘客防護功能，對乘客上下車及車內(nèi)安全進行防護；擴大ATP的防護范圍，對車輛段自動化區(qū)域內(nèi)運行的列車進行ATP防護；車上加裝障礙物檢測器實現(xiàn)軌道障礙物檢測功能；增加應急情況下各個系統(tǒng)的聯(lián)動功能，如火災情況下通風、行車、供電、視頻、廣播的聯(lián)動等。

2) 通過豐富的中央控制功能提升應急處理能力。全自動運行系統(tǒng)削弱部分車站功能，加強了調(diào)度指揮中心的控制能力，實現(xiàn)了列車全自動運行的全面監(jiān)控及詳細的各設備系統(tǒng)監(jiān)測與維護調(diào)度，提供了遠程的面向乘客的服務。控制中心新增車輛調(diào)度及乘客調(diào)度，實現(xiàn)車輛遠程控制、狀態(tài)監(jiān)控及乘客服務等功能。控制中心新增綜合維修調(diào)度，實現(xiàn)供電、機電、信號、車輛的維護調(diào)度功能。

3.2 系統(tǒng)需求分析建模

系統(tǒng)需求分析成功與否直接關系到系統(tǒng)后期能否滿足運營的要求，所以在建模分析之前，首先對系統(tǒng)的功能需求進行梳理，實現(xiàn)需求到場景的追蹤，以確保所建模型與功能需求的一致性，即此模型表達系統(tǒng)最終需要完成哪些功能，這些功能之間的關系如何以及系統(tǒng)完成這些功能需要與哪些外部參與者或系統(tǒng)實現(xiàn)交互。這樣FAO系統(tǒng)場景模型的框架大致顯現(xiàn)，后期的建模則需要添磚加瓦，逐步細化，直至完成最終的模型。

以全自動運行系統(tǒng)FAM/CAM相關模式轉(zhuǎn)換為例進行建模方法研究。

全自動駕駛模式(FAM)下實現(xiàn)列車的全自動駕駛功能。該模式為全自動駕駛線路的主要駕駛模式，僅當列車處于全自動駕駛區(qū)域中才能使用。蠕動模式(CAM)為全自動駕駛模式下車輛網(wǎng)絡故障或車輛與車載VOBC通信發(fā)生故障時，列車限速運行的一種模式。場景功能基本流程如圖2所示。

圖2 場景功能基本流程Fig.2 Flow chart of scene function

從功能流程中提取場景用例和系統(tǒng)外部參與者，由司機和調(diào)度員共同完成模式轉(zhuǎn)換的控制工作，將場景中模式轉(zhuǎn)換分為5類：1) 喚醒進入FAM模式；2) FAM模式轉(zhuǎn)換為CBTC_CM/AM模式；3) CBTC_CM/AM模式轉(zhuǎn)換FAM模式；4) FAM模式轉(zhuǎn)換為CAM模式；5) CAM模式轉(zhuǎn)換為CBTC_CM/AM模式。

FAM主要包括行車綜合自動化系統(tǒng)TIAS、車載VOBC、列車、司機。列車和車載VOBC之間是聚合關系，車載VOBC屬于列車，其余為關聯(lián)關系。傳遞信息起媒介作用的是車載VOBC，TIAS起中心控制作用。

除了自動模式轉(zhuǎn)換外，在司機手動打開鑰匙的情況下，系統(tǒng)同樣會做出相應判斷，自動轉(zhuǎn)為CBTC_CM模式，直至司機手動關閉鑰匙。在全自動運營過程中，司機的作用同樣重要，當司機主動控制列車時，司機的動作命令優(yōu)先于系統(tǒng)控制，與此同時還存在激活端和非激活端的區(qū)別，當司機打開非激活端的時候，需要執(zhí)行換端操作，其他模式轉(zhuǎn)換也同樣適用，構(gòu)建時序模型如圖3所示。建模采用4個泳道及4個參與者共同完成活動流程，分別是TIAS、司機、車載VOBC與列車。每一步都是參與者進行的動作或活動，由于此場景存在不同模式的轉(zhuǎn)換，其轉(zhuǎn)換條件也各有不同。

圖3 FAM/CAM相關模式轉(zhuǎn)換場景時序Fig.3 FAM/CAM mode conversion scene timing

FAM/CAM相關模式轉(zhuǎn)換場景時序之間的交互主要集中在車載VOBC與列車對象之間，車載VOBC與列車完成速度確認并且實時輸出緊急制動，控制列車速度，配合TIAS完成不同模式的轉(zhuǎn)換，司機主要和列車進行交互，將命令通過車載VOBC傳達給中心進行控制操作。

FAM/CAM相關模式轉(zhuǎn)換場景看似簡單，但其所建模型比一般場景復雜，其時序圖和活動圖也說明所完成的動作和交互較多，涉及其他場景也相對較多。FAM/CAM相關模式轉(zhuǎn)換場景完整的模型可直接用于其他場景的建模，當其他場景使用此場景時，可直接進行調(diào)用，相當于程序中的函數(shù)調(diào)用，所有完成的模型在進行有關分析和應用時都可直接進行調(diào)用。

4 系統(tǒng)危險與安全需求

在技術報告IEC 62267—2[10]中,針對IEC 62267—2009中提出的列車車頭沒有司機或列車上沒有工作人員的情況，分配安全功能作為補償保障措施。

IEC 62267可以看作是一個通用的準則，是列控系統(tǒng)設計的通用危險分析，指定詳細的安全需求，并提出保障措施。危險分析和對應的保障措施及安全需求是根據(jù)美國、歐洲和亞洲現(xiàn)有城市軌道交通系統(tǒng)設計和運營經(jīng)驗得出的。由于IEC62267規(guī)定的安全需求是通用級別，還需要針對特定的風險進行分析。為便于特定風險分析和確定系統(tǒng)安全需求，筆者提供可參考的保障和方法作為指南。

4.1 乘客乘降監(jiān)控

由于全自動運行系統(tǒng)列車沒有運營人員監(jiān)督乘客的乘降和確保啟動情況的安全，乘客因列車突然啟動且有車門仍然開放而造成的傷亡如表2所示。除此之外還需考慮乘客身體某部分或行李被卡在車門中/站臺安全門中而受傷的風險。

4.2 列車投入與退出運營

由于在列車上沒有運營人員管理列車投入運營或退出運營，所以需要針對那些滯留在即將退出運營的列車上而需要幫助的乘客減少傷害制定安全需求，如表3所示。

4.3 緊急情況檢測和管理

由于列車上沒有運營人員識別車上或者站內(nèi)的緊急情況，為降低因為意外緊急情況而對乘客造成傷害的風險制定安全需求，在擱淺的列車中疏散乘客如表4所示。除此之外還需考慮列車火災、地震、雨雪等可能出現(xiàn)的運營情況。

表2 乘客在列車與站臺之間的安全需求

表3 列車投入或退出運營時乘客安全需求

4.4 安全需求的制定

對上述安全需求總結(jié)歸納，明確某一安全需求可以實現(xiàn)不同自動化等級下要求的系統(tǒng)安全功能，從而為低費效比的安全需求組合與制定提出參考建議。

以上安全需求只針對全自動運行系統(tǒng)列車上無司機與運營人員所引入的危險情況，而提出相應的保障措施。實際系統(tǒng)設計安全需求的制定還應關注系統(tǒng)應用的特定地質(zhì)、環(huán)境、社會和法規(guī)等方面，可能會產(chǎn)生額外的安全需求。

表4 意外情況下的安全需求

乘客通常擁有影響公共交通系統(tǒng)可用性和安全性的能力。假設乘客會遵從警示標志的指示，期望乘客的行為會遵守交通管理條例并符合一般的行為模式。然而，特定的安全需求應該基于當?shù)匚幕紤]。

5 結(jié)語

全自動駕駛系統(tǒng)集成自動控制、優(yōu)化控制、人因工程等領域的最新技術，將進一步提升軌道交通的自動化程度。全自動駕駛系統(tǒng)作為城市軌道交通列車運行控制系統(tǒng)技術發(fā)展趨勢，還有一些關鍵技術需要進一步研究，通過對國際標準安全功能與需求的研究，能夠預先辨識分析其可能的危險源，提出對系統(tǒng)功能的安全需求，為全自動駕駛系統(tǒng)的安全運營保駕護航。

[1] 肖衍,蘇立勇.軌道交通全自動駕駛系統(tǒng)集成技術研究[J].中國鐵路,2015(5):109-113.

XIAO Yan, SU Liyong.Research on integrated technology of automatic operation system for rail transit[J].Chinese railways, 2015(5): 109-113.

[3] 武長海.城市軌道全自動無人駕駛技術應用探討[J].鐵路通信信號工程技術，2016,13(5)：54-58.

WU Changhai.Application of full automatic driverless technology in urban rail transit[J].Railway signal & communication engineering, 2016,13 (5): 54-58.

[4] Georgescu M P.Driverless CBTC-specific requirements for CBTC systems to overcomeoperation challenges[J].Computers in railways X, 2006: 401-409.

[5] 宗明,郜春海,何燕.基于CBTC控制的全自動駕駛系統(tǒng)[J].都市快軌交通,2006,19(3):34-36.

ZONG Ming, GAO Chunhai, HE Yan.Full automatic operation system based on CBTC control[J].Urban rapid rail transit, 2006, 19(3): 34-36.

[6] 金華.城市軌道交通全自動無人駕駛信號系統(tǒng)功能分析[J].鐵路計算機應用,2014(1): 61-64.

JIN Hua.Analysis for function of full automatic unmanned signal system of urban transit[J].Railway computer application, 2014(1): 61-64.

[7] 宋傳龍.基于CBTC控制的列車全自動駕駛系統(tǒng)(FAO)的發(fā)展及應用[J].電子世界,2014(3):31-32.

SONG Chuanlong.Development and application of full automatic operation system (FAO) based on CBTC control[J].Electronics world, 2014(3): 31-32.

[9] 孫景衛(wèi).基于Petri網(wǎng)的全自動駕駛系統(tǒng)安全性分析[D].北京：北京交通大學,2014.

SUN Jingwei.Safety analysis of fully automatic operation system based on Petri net[D].Beijing: Beijing Jiaotong University, 2014.

(編輯：王艷菊)

Fully Automatic Operation System and
Its Safety Requirement of Urban Rail Transit

YAN Hongwei1, YAN Fei2

(1. China Railway Economic and Planning Research Institute, Beijing 100038; 2. School of Electronic and Information Engineering, Beijing Jiaotong University, Beijing 100044)

This paper discusses the development and function structure of automatic operation system for international rail transit by using the operation and research data of the system at home and abroad. It examines the typical automatic operation system and security requirements in line with IEC62267 and IEC62290 and other international standards. By taking the mode transfer of FAM and CAM system as an example, the operational scenarios are analyzed and the real operation process of the automatic driving system is reflected. The function of the system needs to be reviewed before modeling to meet the demand of the scene, which can guarantee the consistency between modeling and functional requirements. Specifically, the following aspects should be considered: what functions the model expression system should perform, what the relationship between these functions is and what external actors or systems are needed to interact with for these systems to complete their functions. In-depth and comprehensive study of the whole automatic operation system is needed for research and for the development of independent system design in China.Keywords: urban rail transit; fully automatic operation system; safety requirement

10.3969/j.issn.1672-6073.2017.03.010

2016-05-19

2017-03-02

閆宏偉，男，碩士，助理工程師，從事軌道交通建設標準研究與管理，yanywhwow@163.com

U231.6

A

1672-6073(2017)03-0050-06