城際軌道交通列車運行控制系統安全分析研究

摘要：列控系統的安全分析主要用于尋求系統的危險源，并根據危險采取一定應對的措施，改進優(yōu)化列控系統，保障列車的安全運行。本文以CTCS-2+ATO城際列控系統為研究目標，采用融合了功能危險分析（FHA）的功能安全分析（FSA）方法對系統進行安全分析，辨識系統危險源，提出應對危險的措施。

關鍵詞：城際鐵路;CTCS-2級列控系統;安全分析;危險源

一、引言

社會經濟的不斷進步，有力的推動了我國城鎮(zhèn)化的發(fā)展壯大，逐漸形成了人口密度高、經濟發(fā)達、產業(yè)水平高的城市群，如京津冀、長江三角洲等城市群[1]。城市群的迅速發(fā)展必然會帶動城際鐵路的發(fā)展，作為城市群建設的重點，城際軌道交通系統具有巨大的發(fā)展空間。

城際軌道交通系統具有廣闊的發(fā)展前景，伴隨機遇而生的即為挑戰(zhàn)，我國城際鐵路起步時間短，目前尚未形成一套成熟的系統，軌道交通系統是一個安全苛求系統，列車的安全運行關乎廣大乘客的生命財產安全，因此對軌道交通系統進行安全分析，發(fā)現系統潛在的危險故障，對于保障列車安全運行具有重大意義。

如正在規(guī)劃建設的北京平谷線，其設計時速最高將至160km/h，速度的提升由此帶來一系列的安全問題需要考慮[2]。列控系統作為城軌信號系統的核心，對列控系統的安全分析是保障列車安全運行的重要手段，故本文將重點的對城際軌道交通列車運行控制系統進行安全分析，辨識系統危險源，根據安全分析結果對城際列控系統在設計和測試過程中提出及時的應對措施，旨在保障列車的安全運行，提高列車的運輸效率。

二、城際軌道交通列控系統原理

城際列控系統采用的CTCS-2+ATO系統是以CTCS-2級列控系統為基礎，增加了一些新的軌旁設備和車載ATO設備來實現的，主要增加的設備有[3]：車載ATO設備、站臺安全門/屏蔽門、通信控制服務器（CCS）、站臺防洪堤門（AFD）和緊急開關按鈕（ECB）、無線通信網絡、精確定位應答器（JD）等。

根據上述系統組成，可將城際列控系統的原理采用如圖1所示的信息流圖進行描述，并將城際列控系統功能分成6個模塊：軌道占用檢查、行車許可的生成、列車的測速定位、車地信息傳輸、列車超速防護控制、人機交互。

三、功能安全分析方法（FSA）介紹

城際列控系統內部結構繁雜，系統整個運營過程涉及到很多方面，若僅使用傳統的安全分析方法（如FTA、FMEA等）對系統進行分析是遠遠不夠的，難以對系統有全面完整的認識，因此本文提出采用一種綜合的安全分析方法——功能安全分析（FSA）方法，完成對城際列控系統的安全分析[4]。

功能安全分析方法的首要步驟就是對系統進行功能的劃分，對劃分的功能進行過程的詳細描述，明確其主要的輸入輸出。排除不相干的輸入，根據系統功能的輸出往回倒推，結合功能危險源分析（FHA）對上述過程進行總結歸納。FSA的分析步驟如圖2所示。

功能危險源分析（FHA）方法最初是來源于航空航天領域，注重系統的功能，用于系統設計初期分析系統功能故障，對功能危險分析來說，系統功能設計較具體細節(jié)設計更為重要[5]，FHA主要采用表格形式歸納系統危險源。

四、城際列控系統功能安全分析方法的應用

根據上文的描述，將列控系統功能模塊分成6個部分，本節(jié)以典型的行車許可生成功能模塊為例，說明功能安全分析方法分析過程。

行車許可的生成主要涉及的設備有調度中心、臨時限速服務器、車站聯鎖系統、列控中心、軌道電路及相關設備、地面電子單元LEU、有源應答器。對該功能的輸出進行回溯分析，尋找到功能故障危險源，行車許可生成功能的輸入輸出功能框圖如圖4所示。

根據上述的分析，采用FHA表格對行車許可生成危險源進行分析，部分FHA表格如表2所示。

根據FSA方法，共分析總結出行車許可生成功能模塊的危險源共25條，分析得到造成行車許可錯誤的原因主要有：

（1）硬件故障：列控中心、調度中心的設備故障;

（2）信息傳輸通道故障：數據安全傳輸網中斷或者是傳輸電纜斷線等造成信息不能送達;

（3）信息錯誤：列控中心收到了錯誤的信息或者是列控中心對應答器和軌道電路編碼錯誤導致他們傳送的信息不正確。

四、故障危險源總結

通過上面大量的分析可以發(fā)現對造成系統功能故障的原因可以有一定的分類，主要可以分為：代碼錯誤、數據錯誤、信息傳輸/通信錯誤、硬件設備故障，其中略微有所重復，每個分類下具體的表現詳見表3。

對于這些具體的故障，其存在的危險對于列車來說是不一樣的，如行車許可是列車運行的基本，CTCS-2級列控系統若無法收到行車許可，可能造成列車的追尾或者是碰撞等嚴重事故，因而功能危險的分析對于保證系統的安全運行十分必要。針對上述分析，提出相應的應對措施如下：

（1）對于代碼程序錯誤，需要對系統根據不同的案例進行反復測試，在安全評估階段需要有嚴格的測試案例。如果能夠避免人工編程最好，但是目前情況是不太可能實現的，所以最好的辦法就是全面的測試。

（2）對于數據錯誤，一旦發(fā)現錯誤應該立即在列控中心監(jiān)控設備中反映出來，讓值班員及時的更新數據;在接收其他系統的數據時一定要仔細確認，從源頭上確保數據的正確性，在設備故障時能夠有默認信息發(fā)送，降低影響。

（3）在信息傳輸過程中有可能會受到周圍強電磁的干擾，凈化傳輸環(huán)境，采取一些抗干擾的設備。

（4）硬件設備故障，應設計冗余設置，設備故障及時報警，盡量對設備采用模塊化配置。

參考文獻：

[1] 黃成. 城際鐵路網建設時序研究——以珠三角地區(qū)為例[D]. 成都. 西南交通大學. 2015.

[2] 王偉. 京津冀地區(qū)城市地鐵的建設和發(fā)展[C]// 第四屆全國智慧城市與軌道交通學術會議暨軌道交通學組年會論文集. 2017.

[3] 羅松. CTCS2+ATO城際鐵路列控系統總體技術研究[J]. 鐵路通信信號工程技術. 2015（3）：1-5.

[4] 樓志江. 功能安全的危害分析和風險評估方法[J]. 汽車實用技術，2019（15）：90-91.

[5] 李雷. 王海峰. 唐濤. 安全苛求系統綜合功能危險源分析方法的研究[J]. 鐵路計算機應用. 2011（7）：1-4.

[6] 張亞東.高速鐵路列車運行控制系統安全風險辨識及分析研究[D].成都.西南交通大學 2013.

作者簡介：魏群（1993-），女，漢族，廣西桂林，碩士研究生，柳州鐵道職業(yè)技術學院。

基金項目：鐵路電務設備故障管理研究（項目編號：2019KY1571）

（作者單位：柳州鐵道職業(yè)技術學院 電子技術學院）