系統理論過程分析在城市軌道交通列車運行控制系統設計中的應用*

閆宏偉燕 飛張仕杰牛 儒唐 濤

系統理論過程分析在城市軌道交通列車運行控制系統設計中的應用*

閆宏偉1燕 飛2張仕杰1牛 儒3唐 濤3

（1.中國鐵路經濟規劃研究院，100038，北京；2.北京交通大學軌道交通運行控制系統國家工程研究中心，100044，北京；3.北京交通大學軌道交通控制與安全國家重點實驗室，100044，北京∥第一作者，助理工程師）

使用STPA（系統理論過程分析）安全分析方法，針對北京燕房線實際設計案例中的典型系統級危險源，選取列車進站停車運營場景建立相應的分層控制結構模型，辨識不安全控制行為，分析列車運行過程中的危險致因和安全約束，結合實際工程項目轉化為切實可行的安全需求和防護措施。表明STPA方法分析過程全面深入，不僅可以分析技術系統，還可以分析運營組織中的人為因素，可以更加全面辨識運營場景中所涉及的危險致因。

軌道交通；全自動運行系統；安全分析方法；系統理論過程分析；安全約束；系統分層控制結構圖

目前主流的基于事件鏈的安全分析方法已使用近50年。以線性因果關系的事件鏈為分析基礎的安全分析方法，認為按照一定順序出現的不同故障事件，最終導致了系統事故。人們采用危險及可操作性分析（HAZOP）方法［1-2］、失效模式影響分析（FMEA），同時結合故障樹分析（FTA），利用危險歷史數據并結合專家經驗，對某一特定的危險事件進行致因和后果的分析，并評價其風險等級［3］。

近年來，城市軌道交通系統隨著多領域科學技術的發展與應用，基于現代計算機、通信、控制等技術實現列車無人駕駛的軌道交通全自動運行系統，以其自動化程度高、運營效率高、運營成本較低等特點，逐漸成為了國內外城市軌道交通信號系統的發展趨勢。該系統在巴黎、哥本哈根和香港等地都已投入使用，預計2017年年底建成通車的北京地鐵燕房線也將采用該系統［4］。

隨著軌道交通運行控制系統自動化水平的提升，采用高度集中的控制模式，系統環境內各部分之間交互信息與控制命令數量更加龐大。其作為一個復雜的社會技術系統，顯現出繁冗復雜的非線性特性，給系統的安全分析帶來了巨大的挑戰［5］。針對采用大量冗余設計保證較高可靠性的運行系統，其復雜交互命令應作為安全分析的重點方向。針對傳統列車控制系統簡單邏輯致因所提出的傳統分析方法，已經很難全面地解決如今系統設計所面臨的難題。

為了解決傳統分析方法的局限性問題，強化針對復雜社會技術系統安全分析的完整性，更加全面辨識危險致因，麻省理工學院的Nancy G.Leveson于2004年提出了基于系統理論事故建模和過程（Systems-Theoretic Accident Modeling and Processes，STAMP）。在 STAMP 模型理論的基礎上，Nancy G.Leveson制定了系統理論過程分析（System-Theoretic Process Analysis，STPA）這一流程性的安全分析方法。

目前在國內，尤其是軌道交通領域，使用STPA進行安全分析與設計的資料較少。本文將結合北京燕房線系統安全分析與設計的案例，探討和闡述STPA應用在軌道交通領域的安全分析體系，為解決其他領域的安全問題提供一種有效可行的手段。

1 STPA系統安全分析方法

1.1 STAMP理論與模型

STAMP系統理論把系統看作一個整體，而不是獨立的組件，系統的安全性只有考慮到系統內部與外部相關所有部分之間的聯系（交互）才能恰當地處理。在STAMP理論中采用分層控制結構構建系統模型，安全性通過對系統內部相互關聯的部件間信息及控制的反饋回路達到動態平衡。由此，STAMP將系統的安全問題轉化為管理控制結構中每層活動約束的強制執行，即針對系統控制行為的約束（稱之為安全約束）均得以滿足，從而使得系統安全性得以保障［6］。1.2 STPA分析方法

STPA使用基于STAMP理論構建的系統控制圖進行分析，從外部輸入開始針對控制回路的每一個環節進行分析，辨識致因因素。在城市軌道交通運行系統中，運營人員或乘客往往也會承擔控制角色。因此，在實際構造的模型中，傳感器或執行器也可能會擁有自己的過程模型（心智模型）。因為STPA比傳統方法對于系統的交互性風險有著更強的分析能力，對于人在控制系統中的作用也給出了更為精確的模型，相較于傳統方法，其分析結果顯然更加完善［7］。

STPA以系統級事故與相關危險作為輸入材料，主要通過以下4個步驟辨識導致系統危險出現的根本原因：

第1步，STPA分析過程輸入內容為系統事故及其與之相關聯的系統級危險。系統級危險的辨識直接影響系統邊界與分層控制結構圖中的底層控制過程，可根據乘客受傷、列車相撞、影響運營等具體事件來定義［8］，以便在后續分析中確保該安全約束得以實施。

第2步，建立系統的分層控制結構。通過構建系統的分層控制結構以及其中的控制與反饋，變現系統內部不同層次的交互行為［9］，是進一步辨識導致系統層面涌現危險的原因（不安全控制行為）分析的基礎。

第3步，辨識導致系統進入危險狀態的不安全控制［10］。針對第2步系統分層控制結構圖中的控制行為，結合以下4種不恰當控制的通用分類，辨識以下不安全控制行為：

（1）控制器未提供所需的控制行為；

（2）控制器提供了錯誤的或不安全的控制行為；

（3）在錯誤的時間提供控制行為（過早或過晚）；

（4）控制行為停止的過早或持續時間過長。

第4步，辨識導致上述不恰當控制出現的致因因素，即導致系統危險出現的根本原因。根據某一底層被控過程，從系統控制結構圖中選取相應的控制回路，按照圖1所示的方式對每一個控制回路上的環節進行分析，從外部輸入開始針對控制回路的每一個部分進行分析，獲得致因。

圖1 基于控制回路的致因辨識

2 城市軌道交通運行系統安全分析

正在建設中的北京地鐵燕房線將成為中國大陸首條自動化等級最高的城市軌道交通運行地鐵線路［11］，系統符合IEC 62290中對自動化等級GOA4（Grade of Automation 4）的系統在正常運營情況下由自動化設備取代司機自動駕駛列車在全線運行的技術要求［12］。

運營場景是在系統設計初期的系統概念階段就可以獲得的有效資源，由系統內部子系統以及運營環境中可能出現的各種元素參與組成，可以反映出系統的實時動態行為表現，并且描述各個運營場景里各子系統獨立或交互完成功能。在列車進站停車運營場景中，乘客作為系統主要受眾，處于車站與列車子系統的接口處，列車及站臺設備之間進行大量交互行為，因此暴露于危險狀態的可能性大大增加。

綜上所述，本文以北京燕房線進站停車運營場景為例，針對城市軌道交通運行控制系統，使用STPA進行安全分析。

2.1 定義系統級事故與危險

2.1.1 系統級事故

A1——列車與列車相撞；

A2——列車與軌道限界內障礙物相撞（包含乘客或運營工作人員）；

A3——列車出軌；

A4——與車門有關的乘客傷害。

2.1.2 系統級危險

針對上述事故，全自動運行系統頂層危險為：

H1——列車超速（會引發事故A1、A2、A3）；

H2——車門異常開啟或關閉（會引發事故A4）。

2.2 列車進站停車系統分層控制結構圖

通過對北京燕房線運行系統進行分析，繪制出進站停車過程的分層控制結構如圖2所示。其中，TIAS（Traffic Integrated Automation System）表示行車綜合自動化系統；VOBC（Vehicle on Board Controller）表示車載系統；CI（Computer Interlocking）表示聯鎖系統建模對象，既包括各個子系統設備，也包括參與系統操作的人員（系統工作人員以及乘客）。控制結構圖中主要包含以下內容：

（1）正常運營中，TIAS向VOBC發送的進站信息，VOBC控制列車速度并向車門控制器發送開門命令，完成自動進站停車門開啟。

（2）正常運營中，列車在距站臺規定距離時，VOBC與車站CI通信，交互信息，CI根據信息控制站臺門控制器，完成站臺門與車門同步開啟。

（3）異常情況下（如車站軌道限界內有障礙物），由TIAS中心調度員或車站綜合站務員負責發現，并發送控制命令禁止列車進站。

圖2 全自動運行系統列車進站停車控制結構圖

2.3 不安全控制行為

針對圖2列車進站停車運營場景系統分層控制結構圖中的控制行為，結合不恰當控制的通用分類，辨識列車進站停車過程中不安全控制行為如表1所示。其中，Uca（unsafe control action）表示不安全控制行為。

表1 列車進站過程不安全控制行為

2.4 不安全控制行為致因與約束

2.4.1 不安全控制行為Uca1分析

當車站軌道限界內有障礙物，未通過遠程命令使列車在站外停車，其控制過程模型如圖3所示。

圖3 Uca1過程模型圖

在此控制過程中，主要高層控制器為行車綜合自動化系統TIAS，包含TIAS中心調度員以及操作臺設備中的遠程制動功能模塊。調度員根據其過程模型采集判斷車站軌道限界內的障礙物信息，并通過人機交互生成列車禁止進站的命令。區域控制器ZC（Zone Controller）作為TIAS與低層控制器的車載控制器VOBC間的媒介，根據過程模型判斷并將禁止進站的命令轉換為列車可執行制動的移動授權MA（Movement Authority）。VOBC作為低層控制器，根據自身過程模型分析MA情況，判斷列車停車點，通過列車自動防護ATP（Automatic Train Protection）與列車自動運行ATO（Automatic Train Operation）來執行制動，使列車在站外停車。

針對Uca1過程模型圖使用STPA方法分析危險致因因素，分析回路中全部控制器（包含TIAS、ZC與VOBC）過程模型可能會與實際需求不一致的而導致列車無法在站外停車的致因，在控制器中標明；分析控制器間的執行器與反饋器的過程模型（如包含）以及可能出現的故障，標明在對應的控制與反饋過程中，如圖4所示。

圖4 Uca1致因因素分析

針對不安全控制行為Uca1的危險、危險致因以及安全約束列表如表2所示。其中，CF（Causal Factor）表示指引因素，SC（Safety Constraint）表示安全約束。因文章篇幅所限，本文只節選部分安全約束。

表2 Uca1危險源日志

2.4.2 不安全控制行為Uca2分析

列車進站停車站臺的站臺門故障，未隔離對應車門。當車站站臺門故障或被人工鎖閉隔離后，列車在該站臺時，該側站臺的所有列車相對應的車門也保持鎖閉，不參與停站的開、關門作業。其控制過程模型如圖5所示。

圖5 Uca2過程模型圖

在此控制過程中，主要高層控制器為站臺門控制器，采集本站臺全部站臺門狀態信息。當采集到站臺門異常時，根據其過程模型判斷對應的異常站臺門編號ID號碼，發送至CI。CI作為站臺門控制器與VOBC間媒介，將故障ID轉發至VOBC。VOBC根據其過程模型判斷故障的站臺門位置，并以此為基礎生成隔離對應位置的車門的命令，發送至車門控制器執行。車門控制器作為低層控制器，執行隔離命令，直接控制某一或某些車門不開啟。

針對Uca2過程模型圖使用STPA方法分析危險致因因素，分析回路中全部控制器過程模型可能會與實際需求不一致的而導致打開異常站臺門對應車門的致因，在控制器中標明（包含站臺門控制器、VOBC與車門控制器）；分析控制器間的執行器與反饋器的過程模型（如包含）以及可能的出現故障，標明在對應的控制與反饋過程，如圖6所示。其中，TCMS（Train Control and Monitoring System）為車輛信息管理系統。

圖6 Uca2致因因素分析

針對不安全控制行為Uca2的危險、危險致因以及安全約束列表如表3所示。因文章篇幅有限，本文只節選部分安全約束。

表3 Uca2危險源日志

3 結論

STPA認為危險的出現是由于不充分的控制導致安全約束的缺失，因而以輸入、輸出可觀變量為指引，使其分析更具條理性，邏輯性也更強。本文中使用STPA系統性安全分析方法識別系統不安全控制行為，結合系統運營場景辨識危險致因，更適合工程研發經驗較少的全新系統設計［13］。

同時，STPA除了可以分析出傳統方法組件失效致因外，還可以分析出未包含或很少包含的其他致因因素，即辨識出了不一致的過程模型，導致系統在實現過程中與實際運行需求不一致而引發的危險。將人作為系統控制回路中的重要環節，發現運營人員、乘客與系統軟件間的交互行為，針對軟件與人的交互需求、運營管理需求以及對乘客行為的約束。這些與傳統的失效指引相比，更容易出現在軟件、人員、組織等諸多因素交互的軌道交通全自動運行這一復雜系統中。

當然，STPA還需要大量的軌道交通實踐來證實其可用性，執行完善的流程規范以保證其一致性。總之，STPA雖然還未被軌道交通行業安全領域廣泛接受，但其卻提供了一種解決傳統安全分析局限的可能性，值得研究人員進一步學習研究。

［1］ KLETZ T A.HAZOP and HAZAN：identifying and assessing process industry hazards［M］.［S.l.］：IChemE，1999.

［2］ International Electrotechnical Commission.Hazard and operability studies（HAZOP studies）—Application guide：BSI IEC 61822 ［S］.Geneva:International Electrotechnical Commission，2001.

［3］ International Electrotechnical Commission.Analysis techniques for system reliability：procedure for failure mode and effects analysis（FMEA）［M］.Geneva：International Electrotechnical Commission，2006.

［4］ 肖衍，蘇立勇.軌道交通全自動駕駛系統集成技術研究［J］.中國鐵路，2015（5）：109.

［5］ SALMON P M，CORNELISSEN M，TROTTER M J.Systemsbased accident analysis methods：a comparison of Accimap，HFACS，and STAMP［J］.Safety Science，2012，50（4）：1158.

［6］ LEVESON N.A new accident model for engineering safer systems［J］.Safety Science，2004，42（4）：237.

［7］ FLEMING C H,Spencer M，Thomas J，et al.Safety assurance in NextGen and complex transportation systems ［J］.Safety Science，2013，55（2）：173.

［8］ LEVESON N G.The role of software in spacecraft accidents，AIAA （american institute of aeronautics and astronautics）［J］.Journal of Spacecraft and Rockets，2004，41（4）：564.

［9］ ISHIMATSU T,LEVESON N G，THOMAS J P，et al.Hazard analysis of complex spacecraft using systems-theoretic process analysis ［J］.Journal of Spacecraft&Rockets，2014，51（2）：509.

［10］ DONG Airong.Application of CAST and STPA to railroad safety in China ［D］.Cambridge：Massachusetts Institute of Technology，2012.

［11］ 佚名.首批無人駕駛地鐵列車將駛入北京燕房線［J］.現代城市軌道交通，2014（5）：97.

［12］ BSI.Railway applications：urban guided transport management and command/control systems：IEC 62290-1 ［S］.London：BSI，2014.

［13］ LEVESON N.Engineering a safer world：systems thinking applied to safety［M］.Boston：Mit Press，2011.

Application of STPA in the Design of Train Control System for Urban Rail Transit

YAN Hongwei，YAN Fei，ZHANG Shijie，NIU Ru，TANG Tao

Aiming at the typical hazard source on system level in a case analysis of Beijing Yanfang Line design，and based on STPA method，the operation scenario of train stopping and parking at station is chosen to establish a safety hierarchical control structure model，which is used to identify the unsafe control behaviors，analyze the risk factors and safety constraints in train operation，and finally design protection measures to meet practical safety requirements by combining with the actual project.The application of the model shows that STPA method can analyze both the technical system and the human factors in the organization system more comprehensively，and identify all of the related causal factors in the operation scenario.

rail transit；fully-automated operation system；safety analysis method；systems-theoretic process analysis（STPA）；safety constraint；safety hierarchical control structure diagram

U231.6

10.16037/j.1007-869x.2017.11.013

First-author′s address China Railway Economic and Planning Research Institute，100038，Beijing，China

2016-02-03）