全自動運行模式下站臺門系統的適應性分析

倪 琍

(中鐵第四勘測設計院集團有限公司,430063,武漢//高級工程師)

城市軌道交通全自動運行系統不僅僅是列車的全自動駕駛，還具備車輛自動出入車場、自動清洗、自動行駛、自動停車、自動開關車門、故障自動恢復等功能，以及車站服務設備的自動喚醒/自檢和休眠、實時狀態監測功能，具有常規運行、降級運行和災害工況等多重運行模式。因此,全自動運行系統需要信號系統同車輛、站臺門、綜合監控及通信等專業的系統深度集成，使得軌道交通運行系統具有較高的整體自動化水平。

站臺門的安裝有效阻止了異物和人員侵入軌行區,提高了乘客候車的安全性和舒適性,并能有效減少行車間隔時間;但其與車門間隙需要重點監控。目前,我國的城市軌道交通站臺系統均按CJJ 183—2012《城市軌道交通站臺屏蔽門系統技術規范》實施。

當人工駕駛模式升級為全自動運行模式時,不僅運營模式發生了變化，其他的條件也發生了改變。首先，運營模式的變化對站臺門提出了新的功能需求；其次,站臺門新功能的實現不僅需要站臺門專業進行升級，相關專業也需要相應調整，站臺門系統與其他專業系統的配合也發生了變化；最后，由于全自動運行模式對可靠性、可用性、可維護性和安全性(RAMS)要求更高，因此對產品的設計、制造、安裝甚至運營維護都應提出新的要求。

本文從全自動運行模式入手，分析站臺門系統的功能需求,分析其與其他專業系統的配合,并對RAMS管理及安全完整性等級(SIL)認證等相關標準進行研究。

1 全自動運行模式下的站臺門功能需求

采用全自動運行模式時，應盡量減少需要人工干預的環節，從而提高自動化程度。除應具備常規的滑動門開關、應急門及滑動門設置、緊急情況下的協助排煙等功能外，站臺門系統還需增加一系列功能。

1.1 防夾人檢測功能

非自動運行模式下，城市軌道交通防夾人檢測裝置智能化較低，誤報率較高，其探測裝置并未納入安全回路。其檢測結果僅起輔助作用，最終防夾人判斷結果由人工確定。

在全自動運行模式下，防夾人檢測裝置的檢測結果與站臺門的“門關閉鎖緊”指令一樣，需作為信號發車的前提條件。因此，準確的防夾人檢測是全自動運行模式下站臺門系統必須增加的功能。

1.2 對位隔離功能

對位隔離功能，是指單個車門或站臺門滑動門故障時，對應的站臺門滑動門或車門可以保持與之相應的關閉狀態。全自動模式下,該功能也是必須具備的。

1.2.1 車門發生故障時的自動處理功能

非自動運行模式下，站臺門為整側同步開啟和關閉。即使單列車的單個車門發生故障，對應的站臺門也將正常開啟，但乘客無法通過故障車門上下車。

在全自動運行模式下，當某列車的單個車門發生故障時，列車廣播先會通知乘客該門故障，無法開啟，需從其他車門上下車。在該列車即將到達的車站，站臺廣播也會通知候車乘客該道站臺門不開啟，需從其他站臺門上下車。當列車到站時，故障車門對應的站臺門滑動門也不開啟。

1.2.2 站臺門發生故障時自動處理功能

非自動運行模式下，單個車站的單個滑動門故障無法開啟時，需要站務人員到現場手動開啟滑動門，列車到站時對應的列車門將正常開啟，乘客可以正常上下車。

在全自動運行模式下，單個車站的單個滑動門故障無法開啟時，站臺廣播會通知候車乘客該站臺門不開啟，需從其他站臺門上下車。即將到站列車上的廣播會通知車上乘客該列車門不開啟，需從其他車門上下車。列車到站時，故障滑動門對應的列車門也不開啟。

1.3 其他功能

1.3.1 就地控制盤設置位置

人工駕駛模式下，站臺門在車站發車端的端門處均設置了就地控制盤(PSL)，探測裝置往往也集成在上面。當站臺門發生故障、無法發出“門關閉且鎖緊”指令時，由司機確認發車條件后,在PSL按下“互鎖解除”按鈕，方可允許列車離站。

全自動運行模式下，列車上沒有司機，不需在端門處設置PSL。而應在站臺值守人員值班處設置PSL，作為應急處理方案。

1.3.2 端門門禁功能

人工駕駛模式下，站臺門端門在站臺公共區側持專用鑰匙即可打開進入，在軌行區側則可通過按壓門上的推桿打開。

全自動運行模式下，車站需要進行更嚴格的管理，不允許無關人員隨意進入軌行區，端門的進入權限應進一步細化，建議納入門禁系統的管理。若不能實現，則需要制定運營管理的相關規則以保證運營安全。

2 站臺門與其他設備的配合要求

2.1 信號系統

列車到站停穩后，信號系統先發送“開門”指令給站臺門系統。站臺門系統收到指令后打開列車停靠側的滑動門。

當乘客上下車完畢、準備發車時，信號系統發送“關門”指令給站臺門系統。站臺門收到指令后關閉滑動門。

車門全部關閉后，信號系統發送“車門全部關閉”信息給站臺門系統。此時，站臺門也應全部關閉，防夾人檢測裝置開始工作。

如防夾人檢測裝置未檢測到異物，則站臺門系統發送“門關閉且鎖緊”信息給信號系統。如防夾人檢測裝置檢測到異物，則站臺門系統發出聲光報警，由站務人員介入處理；異物處理完畢后，站臺門系統重新檢測，并發送“門關閉且鎖緊”信息給信號系統，或由站務人員操作PSL發送“互鎖解除”信息給信號系統。

如站臺門系統發生故障，或站臺門系統與信號系統通信發生故障，導致站臺門無法發出“門關閉且鎖緊”信息，則由站務人員操作PSL發送“互鎖解除”信息給信號系統。

當個別車門發生故障時，信號系統將車門故障信息(故障車門編號)發送給站臺門系統。列車進站停穩后，信號系統發送“開門”指令給站臺門系統時，站臺門系統可控制故障車門對應的滑動門不打開。

當個別滑動門發生故障時，站臺門系統將站臺門故障信息(故障滑動門編號)發送給信號系統，列車進站停穩后，信號系統先發送“開門”指令給站臺門系統，并將站臺門故障信息同時發送給到站列車，以保證故障滑動門對應的車門不打開。

2.2 綜合監控系統

站臺門系統向綜合監控系統提供站臺門“整側滑動門開啟”、“整側滑動門關閉”、“單個滑動門開啟”、“單個滑動門關閉”、“單個滑動門故障(提供故障滑動門編號)、“應急門開啟”、“應急門故障”、“端門開啟”、“單個滑動門隔離(提供隔離滑動門編號)”、“防夾人檢測裝置正常”、“防夾人檢測裝置報警”、“防夾人檢測裝置故障”等狀態信息和各種故障報警信息。

在車控室IBP(應急后備操作盤)上，綜合監控系統有針對站臺門“開左側滑動門”、“開右側滑動門”、“開左側首末門”、“開右側首末門”的操作按鈕，可實現對站臺門的遠程開啟控制。

綜合監控系統還為站臺門系統提供時鐘信息。

2.3 通信系統

通信系統應在站臺適當位置設置攝像頭。正常運營時，應能在站臺門值班室和車控室看到整側站臺門的運行情況。當站臺門發生故障報警時，通信系統應能將故障門體的現場畫面實時推送至站臺門值班室及車控室。

2.4 站臺值班室

應在站臺適當位置設置站臺值班室，并將PSL設置于站臺值班室內。當站臺門系統發生故障需人工介入時，均由站臺值班室內的工作人員通過操作PSL完成。

3 RAMS管理和SIL認證等標準

全自動運行模式下，站臺門基本功能、整體布置、基本構成、安裝形式、材質，以及對監控系統及電源系統的相關要求均與人工駕駛模式下的一致。只需要根據新增的功能考慮相應的系統接口，并在產品設計中落實。

全自動運行模式，對系統的RAMS管理提出了更高的要求，對運營也提出了更高的要求。

3.1 相關標準

3.1.1 IEC 61508

IEC 61508《電氣/電子/可編程電子安全相關系統的功能安全》是國際電子電工委員會(IEC)制定的國際標準。其重要目標之一就是為所有安全相關系統的元器件生命周期范圍提供一個安全監督的系統方法及要求。這些要求涵蓋了一般安全管理系統、具體產品設計和符合安全要求的過程設計，其目標是既避免系統性設計故障，又避免隨機性硬件失效。

“安全生命周期”是IEC 61508的重要概念，是指從方案的確定階段開始,到所有的電氣、電子及可編程電子安全相關系統，其它技術的安全相關系統，外部風險降低設備均不再可用時為止。

IEC 61508用SIL來代表產品在應用中所能達到的安全等級，并以此作為對安全相關系統的綜合評估指標。

SIL認證共有4個等級(SIL1、SIL2、SIL3、SIL4)，分為對產品和對系統兩個層次。其中,SIL4的要求最高。針對鐵路或城市軌道交通等高安全性要求的系統及設備，一般都會要求SIL4認證。信號系統及設備即一直要求進行SIL4認證。

3.1.2 EN系列標準

歐洲電氣化標準委員會(CENELEC)下屬SC9XA委員會，制訂了以計算機控制的信號系統作為對象的鐵道信號標準。

(1) EN 50126《鐵路應用：可靠性、可用性、可維護性和安全性(RAMS)規范和說明》。該標準定義了系統的RAMS，并且規定了安全生命周期各階段對RAMS的管理和要求。RAMS是衡量系統服務質量的重要特征。

(2) EN 50128《鐵路應用：鐵路控制和防護系統的軟件》。該標準對鐵路控制和防護系統的軟件進行了SIL的劃分，針對不同的安全要求提出了相應的標準;按不同SIL在整體軟件開發、評估、檢測過程中，對軟件需求規格、測試規格、軟件結構、軟件設計開發、軟件檢驗和測試、軟硬件集成、軟件確認評估、質量保證、生命周期及文檔等均提出相應的程序,并制定了相應的規范與要求。

(3) EN 50129《鐵路應用：安全相關電子系統》。該標準在安全管理方面引入了IEC61508提出的安全生命周期概念。對于安全相關系統的安全部分，在設計時應按照步驟進行設計，并需進行全程的安全評估和驗證。其目的是進一步減少和安全相關的人為失誤，進而減少系統故障風險。

3.2 站臺門適用標準探討

站臺門本身已考慮人員的安全，并對關門力大小、夾人后的門體動作等細節從設計到實施均有考慮。即使乘客被滑動門門夾了一下，也不至于受到很大傷害。但在乘客過多時，若采用先關站臺門、后關車門的順序，則可能導致的已上車乘客被擠出車門，而滯留在車門與站臺門之間。有時,乘客雖未被門體夾住，但其攜帶的背包包帶可能超出了站臺門的檢測范圍而未能檢測到，從而使包被夾在車門與站臺門之間，若未能及時阻止發車，包帶則有可能成為索命繩。人工駕駛模式下，此類事故時有發生。改進的探測裝置，對于站臺門的功能并沒有實質性的改變。其檢測結果也往往未納入安全回路，而只是作為人工判斷的輔助工具。因而人工駕駛模式并未因此要求站臺門進行安全性等級認證。

據了解，國內已通過SIL2級認證的站臺門供應商不多。目前，國內已開通全自動駕駛的上海軌道交通10號線和北京燕房線在實施時，雖未將SIL認證作為投標資質，但均將其作為了產品交付的條件。根據運營部門的反饋，在實際運營中站臺門系統的可靠性尤為重要，在后續線路招標中甚至有將站臺門系統集成至信號系統的提議。

全自動運行模式下，沒有司機判斷站臺門與車門之間是否夾人。因此必須安裝激光、紅外及光幕等主動探測裝置，并納入安全回路。但探測裝置的誤報勢必會影響發車運營。此時，對探測裝置進行SIL認證是非常有必要的。而站臺門系統發出的“門關閉且鎖緊”信息直接影響到列車能否發車，而且也出現過站臺門信號閃斷逼停列車的事故。因此，建議對站臺門系統進行SIL2級認證,并建議采用安全協議。

4 結語

全自動運行模式下，站臺門系統增加了與列車的“對位隔離”等新功能，并將主動探測的防夾人檢測系統納入安全回路。站臺門應相應完善與相關專業系統的配合，并通過RAMS管理及SIL認證提高產品的各項性能，以滿足全自動運行的需求。