無人駕駛城軌車輛與信號系統接口的安全風險管理

王冰潔，冷映麗，薛淑勝

(中車南京浦鎮車輛有限公司，江蘇 南京 213100)

0 引言

在碳達峰、碳中和的背景下，符合綠色出行要求的城市軌道交通受到各地熱捧，而城軌無人駕駛技術更是因其突出的運營效率成為眾多項目的首選[1]。目前對于城軌運輸系統下屬的車輛、信號等子系統內部，國內各方通過借鑒歐洲等國外安全體系，基本已經形成了完善的安全管理模式，而對于各子系統之間的接口安全管理還處于摸索階段?，F有的研究成果著重于解決城軌項目子系統接口管理的職能或者業務流程問題，以提升項目運轉效率為目標，或傾向于對車輛和信號的接口功能需求的確定，以實現無人駕駛載客運行功能為目標。目前還沒有從車輛與信號接口安全風險角度開展的相關討論，而接口的安全風險是系統安全風險的奠基石之一，因此有必要開展相關研究。

1 相關概念

1.1 危害識別

危害識別是風險評估和風險管理的基礎，是安全保證的關鍵步驟，以盡可能發現所有潛在的危害為目的。

1.2 風險評估

依據ISO/IEC Guide 51，風險被定義為傷害發生的可能性及傷害的嚴重程度的結合[2]，城市軌道交通領域按照EN50126標準[3]采用最低合理可行(as low as reasonably practicable，ALARP)風險接收準則，依照風險矩陣(見圖1)開展危害發生頻率、危害后果以及風險等級的確定。其中R1～R4代表風險可接受水平，R1表示風險不可接受，必須采取措施消除危害或者控制危害；R2表示不期望的，在合理可行的情況下采取措施將風險降低至合理水平；R3表示可忍受的，如果合理可行，可以采取措施進一步降低風險水平；R4表示可接受的，不需要采取措施即可接受該風險[4]。

1.3 風險管理

對識別的危害制定風險管控措施，并對剩余風險再次評估是否已降低到合理可行，風險管理過程記錄在危害日志中，包括識別的所有事故場景、危害來源、產生的原因、初步風險分析、危害減輕措施、措施實施證據、措施狀態、剩余風險評估、危害是否關閉等信息，危害日志是風險管理的重要證據。

2 研究方法

本文開展軌道車輛與信號接口安全風險管理，危害識別階段采用事故走查法及危害和可造作性分析(hazard and operability analysis，HAZOP)的結合，措施制定階段采用故障樹分析(fault tree analysis，FTA)。

2.1 事故走查法

由于危害是事故的先兆，識別可預見的事故，并通過可造成的事故來識別危害。依據城軌項目經驗，制定的事故類型包括以下幾種：碰撞(包括列車之間、列車與基建以及列車與部件間的碰撞)；脫軌；沖擊(包括加速、減速以及橫向沖擊)；部件掉落、物體彈射以及接觸尖銳物體；爆炸或泄漏；電擊、觸電；跌倒、掉落；夾??；移動延時；火災。

圖1 風險矩陣Fig.1 Risk matrix

2.2 危害和可造作性分析

危害和可造作性分析針對每個分析對象，采用預設的引導詞進行偏離分析，識別可能存在的偏離以及導致的后果，從而達到危害識別的目的[4]。IEC 61882 提出了危害和可造作性分析開展的示例及相關引導詞參考[5]，結合軌道交通系統的特性，選定的引導詞如表1所示。

表1 引導詞Table 1 Guide words

2.3 故障樹分析

故障樹分析是一種自上而下的演繹方法，開始于一個不期望的事件(即頂事件)，而后依據概率論和布爾代數的規則，以邏輯符號為基礎開展推演，最終確定導致頂事件產生的基本事件(即底事件)[6]。

3 研究內容

3.1 接口識別

接口安全風險管理的第一步是開展接口識別，接口識別是危害識別的基礎，只有保證盡可能地窮舉車輛與信號的接口，才能實現盡可能完善的風險管理。國際電工委員會發布的IEC 62290-2標準給出了不同自動化等級下城軌管理和指揮、控制系統的功能要求規范[7]，定義了必要的運營功能；IEC 62290-3部分則站在系統角度[8]，對系統架構及子系統接口進行了梳理。因此綜合該兩部分標準內容，結合接口關系及功能索引，可以初步地得出在無人駕駛下，車輛與信號接口功能清單。根據已執行的多個國內無人駕駛城軌項目，從供電、安裝、執行功能三個角度，進一步檢查車輛與信號接口清單的完整性，接口清單(節選)如表2所示，具體識別過程如圖2所示。

表2 接口清單(節選)Table 2 Interface list(excerpt)

圖2 接口識別過程Fig.2 Interface identification

3.2 接口危害識別

由于單獨采用經驗型或者創新型的危害識別，均難以滿足危害識別完整性的要求，因此本文結合HAZOP和事故走查兩種類型的識別方法，開展接口危害分析，具體包括如下步驟。

1)將接口清單中的每個編號的接口作為HAZOP分析的對象，結合表1擬定的引導詞，逐一分析該接口可能存在的偏離。

2)對可能存在的偏離進一步分析可能造成的影響。

3)結合列車運營場景(出入庫準備、正常載客運營、降級運營、緊急疏散、維修)與上述的事故清單，分析造成的影響是否可能導致安全事故。

4)識別出的具有安全風險的偏離項標記接口危害編號，以便在下一階段進一步開展危害分析。以接口編號ATC-01-001為例，對無人駕駛喚醒功能HAZOP開展記錄參數如表3所示。

表3 HAZOP示例Table 3 HAZOP example

3.3 初步風險評估

初步風險評估是基于識別出的危害本身，對其發生的概率和后果嚴重程度進行半定量的識別，對照圖1所示的風險矩陣，初步識別風險水平。以IHA-ATC-001 信號系統非預期地喚醒車輛為例，該危害可能導致的事故是電擊、觸電，發生的場景是人員維護檢修時，因此初步識別該危害的初始發生概率為D級，初始后果等級為3級，初始風險等級為R1即不可接受的，按照ALARP原則，需要制定危害減輕措施。

3.4 危害減輕措施制定與分配

危害減輕措施制定時，應當優選可以盡量消除危害本身的措施，危害無法被消除時考慮盡量降低危害發生的概率或者減輕危害產生的后果，為了明確危害可能導致事故發生的原因，采用FTA的方式開展推演，在得出一階割集和二階割集后，有針對性地制定減輕措施。以IHA-ATC-001為例，構建非預期地喚醒列車導致人員觸電這一不期望事故的故障樹分析，如圖3所示。

圖3 非預期地喚醒列車導致觸電Fig.3 Unexpected wake-up of the train leads to electric shock

由圖3故障樹分析可得出，該故障樹不存在一階割集，即沒有任意單一事件會直接導致頂事件的發生。進一步分析二階割集，在維護場景下(事件1)，會導致該頂事件發生的割集包括：事件5信號系統非期望地輸出本地喚醒指令；事件6列車控制問題導致非預期地喚醒列車；事件7運營調度人員非預期地觸發遠程喚醒；事件8信號系統故障導致誤觸發遠程喚醒指令。因此可以針對上述底事件從車輛設計、信號功能及運營管理三個角度開展危害減輕措施的制定。從車輛設計角度考慮，可以通過設置表示車輛處于檢修狀態的裝置或方法；從信號系統角度考慮，信號系統應從自身控制方式上確保檢修模式下不觸發喚醒控制指令(包括本地喚醒及遠程喚醒)；從運營管理角度考慮，應制定相關管理條例，避免人員誤操作導致遠程喚醒處于維護狀態的車輛。

3.5 剩余風險評估

剩余風險是指初始風險在經過減輕措施的實施后仍然殘余的風險，根據ALARP原則，只要剩余風險已經可以被廣泛接受，即可認為該風險已經降低到可接受的水平。評估剩余風險要針對制定的措施落實情況，識別危害發生的概率和后果兩個維度的水平，進而評價風險是否可被接受。

3.6 接口安全風險管理

經過危害識別、初步風險評估、危害減輕措施制定和分配以及剩余風險評估幾個過程，可以系統得出無人駕駛城軌車輛與信號的接口危害分析清單，清單信息(部分)如表4所示。

完成相關接口危害分析后，安全風險管理的重點落到了風險減輕措施的落實上。為有效保證安全風險閉環管理，考慮采用以下方法。

1)措施內容必須清晰且具有可執行性，例如上述中制定的“設置表示車輛處于檢修狀態的裝置或方法”措施，具體可被描述為“設置車輛檢修開關，該開關狀態應告知信號系統，并能在地面進行顯示”。

2)制定的措施與責任方應一一對應，例如“應制定相關管理規范，不應喚醒處于檢修狀態的列車”，該條措施是針對維護人員的操作管理條例的，應由負責車輛維護的相關管理方落實。

3)對于由車輛方負責落實的措施，關聯至車輛設計需求中進行推進，并分配至唯一的措施實施人員，實施人員在措施落實后填寫措施證據，措施證據包括不限于：設計規范、圖紙、計算報告、試驗報告等。

4)對于由除車輛以外的其他子系統負責的措施，例如表4中所示的“信號方”“維護方”等，車輛方與這些子系統無合同隸屬關系，缺少有力的約束方式。因此需要識別該項目的高權利或高利益的干系人，例如國內城軌項目高權利和高利益人通常為軌道公司建設方，或者有部分項目高權利人為獨立安全評估方，由這些干系人牽頭組織開展接口安全風險的協調工作，此時即可將車輛識別出的需要轉移給外部其他子系統的措施進行落實，明確所有轉移的措施是否合理可行，并由落實方提交相關證據。同時，為保護車輛方的安全風險可控，轉移至外部的措施也將落入車輛安全相關應用限制條件中，在車輛的安全例證(safety case)中進行聲明。

5)將接口危害納入車輛級危害日志進行管理，車輛危害日志是車輛安全管理的全過程記錄，因此接口危害分析表單設置“危害日志對應編號”一列，用于與危害日志進行關聯，危害日志中對應危害中的相關措施也被標記為接口危害的編號，從而形成列車級危害分析的體系性架構。

表4 接口危害分析樣表(部分)Table 4 Interface hazard analysis sample table (part)

4 結語

城市軌道交通是由多個子系統相互協作的系統工程，尤其在當下無人駕駛技術被廣泛應用，高度自動化技術引入的安全風險更是社會各方關注的焦點，其中車輛和信號的接口又是安全風險管理的薄弱環節。本文基于危害識別、風險評估、風險減輕、風險再評估的基本思路，采用HAZOP、FTA等風險分析工具，對無人駕駛城軌車輛和信號的接口開展安全風險進行了探討，得出一套可有效管理安全接口風險的方法，該方法也可推廣至其他子系統接口風險管理。

本研究存在以下不足：一方面，由于國內軌道行業發展時間還較為短暫，發生相關安全事故的案例更是稀少，還不足以借助實際案例信息就發生概率和后果得出定量的數據，因此本研究中風險識別時主要采用經驗判斷，主觀影響較大；另一方面，本研究從車輛的角度對車輛和信號接口開展安全風險的管理，而接口的安全風險需要接口各方在各自角度開展風險分析和管理，各方都“握手”才能更好地保證安全風險可控，因此本研究對于運輸系統的安全風險管理而言，存在由于分析開展角度導致的局限性。以上問題將在后續研究中進一步優化改善。