高速鐵路自動駕駛系統(tǒng)安全風險分析及發(fā)展方向

江 明

(1．北京全路通信信號研究設計院集團有限公司，北京 100070；2．北京市高速鐵路運行控制系統(tǒng)工程技術研究中心，北京 100070)

1 概述

在我國，高速鐵路已成為中短途旅客出行首選的交通工具，具有快捷、準時、安全、環(huán)保等特點，逐漸深受人們所喜愛。截至2018 年底，我國高速鐵路通車里程已經(jīng)超過2.9 萬km，約占世界高速鐵路總里程的70%。

目前，我國高鐵自動駕駛技術處于全球領先水平，已經(jīng)在珠三角城際啟用200 km 時速的自動駕駛系統(tǒng)，在京沈客專啟用300 km 時速的自動駕駛系統(tǒng)，拉開了我國高鐵智能化的序幕。有研究人員提出，我國后續(xù)要研發(fā)自動化、智能化程度更高的自動駕駛系統(tǒng)，持續(xù)引領全球列控技術發(fā)展。

隨著自動化、智能化程度的不斷提高，高速鐵路自動駕駛系統(tǒng)將更多替代司乘人員的工作，帶來傳統(tǒng)鐵路信號系統(tǒng)安全功能邊界的拓展。系統(tǒng)將更多地承擔涉及行車安全和乘客安全的安全功能，增加了可能導致人員傷亡和財產(chǎn)損失的風險源。由于高速鐵路自動駕駛系統(tǒng)的研究在全球尚處于起步階段，系統(tǒng)架構(gòu)、功能要求和功能分配尚有待討論。本文專注于高速鐵路自動駕駛系統(tǒng)的安全性，采用故障樹方法系統(tǒng)分析我國高速鐵路自動駕駛系統(tǒng)在不同場景下可能存在的安全風險；參考城市軌道交通自動化等級定義，提出高速鐵路自動駕駛系統(tǒng)自動化等級的分類，并辨識了不同自動化等級下高速鐵路自動駕駛系統(tǒng)所需承擔的安全功能。針對識別出來的安全風險，提出高速鐵路自動駕駛系統(tǒng)后續(xù)需要解決的主要技術問題，重點是行車安全和乘客安全相關的問題。

2 高速鐵路自動駕駛系統(tǒng)現(xiàn)狀及發(fā)展方向

高速鐵路自動駕駛系統(tǒng)根據(jù)地面控制系統(tǒng)指令、不同的運行工況及區(qū)間運行時分，選擇最佳的控制策略，完成自動開/關車門、站臺精確停車及列車啟動、加速、惰行和制動的控制，滿足站間行車間隔及平均旅行速度的要求，達到節(jié)能及自動調(diào)整列車運行的目的。列車自動駕駛技術的應用可有效提高運輸能力、降低運行能耗、減輕司機勞動強度，是高速鐵路列控系統(tǒng)智能化的重要標志。

除了本文討論的安全性之外，準點率、停準率、舒適度、能耗是判定一套自動駕駛系統(tǒng)優(yōu)劣的重要指標。如何在各種線路條件、各種氣象條件、各種車型條件下保證這些指標的高水平達成，是自動駕駛系統(tǒng)后續(xù)發(fā)展需要不斷提升的方向。此外，高速鐵路是一整套復雜的系統(tǒng)，任何組成部分的故障均可能對運輸秩序造成干擾，因此工務工程、動車組、通信信號系統(tǒng)、牽引供電系統(tǒng)等各子系統(tǒng)的可靠性均需要在當前基礎上進一步提高。但上述內(nèi)容基本都是與運營效率相關，不直接影響運營安全，故本文不對其展開討論。

IEC 62290.1 規(guī)定[1]，按自動化程度分，城市軌道交通管理與控制系統(tǒng)具備的運營功能可以分為GOA0 ～GOA4 共5 個等級。我國高速鐵路自動駕駛系統(tǒng)是在CTCS-2/CTCS-3 級列控系統(tǒng)基礎上發(fā)展而來，參照該標準，可將我國高速鐵路自動駕駛系統(tǒng)分為GOA1 ～GOA4 等4 個等級。其中，GOA1 級系統(tǒng)僅提供連續(xù)的速度防護，由司機人工駕駛列車運行、負責開關車門和處理緊急情況，目前在我國高鐵廣泛使用的CTCS-2/CTCS-3 級列控系統(tǒng)[2]均屬于該等級；GOA2 級系統(tǒng)自動駕駛列車運行，駕駛室保留司機負責檢查列車安全起動條件、關閉車門和處理緊急情況，珠三角城際使用的C2+ATO 系統(tǒng)[3]和京沈客專使用的高速鐵路ATO系統(tǒng)（C3+ATO 系統(tǒng)）[4]均屬于該等級；GOA3 級系統(tǒng)自動駕駛列車運行，車上取消司機但保留乘務人員，負責關閉車門和處理緊急情況；GOA4 級系統(tǒng)自動駕駛列車運行，車上取消司乘人員，由系統(tǒng)或控制中心調(diào)度人員處理緊急情況。GOA3 級和GOA4 級高速鐵路自動駕駛系統(tǒng)目前尚未得到應用。

CTCS-3 級列車運行控制系統(tǒng)是中國列車運行控制系統(tǒng)的重要組成部分，是我國在掌握了CTCS-2 級列車運行控制系統(tǒng)的基礎上，通過技術進一步提升構(gòu)建的高速列車運行控制系統(tǒng)標準體系和技術平臺。它采用GSM-R 無線通信系統(tǒng)，實現(xiàn)地面與列車之間控制信息雙向?qū)崟r傳輸，滿足我國高速鐵路高速度、高密度及不同速度等級動車組跨線運行的要求。CTCS-3 級列車運行控制系統(tǒng)僅負責行車許可分配和自動超速防護等功能，其他如列車加減速、目視行車、引導接發(fā)車、調(diào)車等操作均由司機負責。

高速鐵路ATO 系統(tǒng)是在CTCS-2/CTCS-3級列控系統(tǒng)的基礎上，列控車載設備設置ATO 單元、GPRS 電臺及相關配套設備實現(xiàn)自動駕駛控制，地面在臨時限速服務器（TSRS）、調(diào)度集中（CTC）、列控中心（TCC）等設備上增加功能，設置專用精確定位應答器實現(xiàn)精確定位，車載設備和地面設備之間通過GPRS 網(wǎng)絡通信實現(xiàn)站臺門控制、站間數(shù)據(jù)發(fā)送和運行計劃處理。高速鐵路ATO系統(tǒng)主要功能包括：車站自動發(fā)車、區(qū)間自動運行、車站自動停車、車門開門防護、車門/站臺門聯(lián)動控制。上述自動化功能僅在自動駕駛（AM）模式下由系統(tǒng)自動完成，AM 模式的投入和退出、目視行車、引導接發(fā)車、調(diào)車等特殊場景下的操作仍由司機負責。

GOA3 級和GOA4 級的自動駕駛系統(tǒng)在城市軌道交通已經(jīng)獲得成功應用，但在高速鐵路領域未見報道，其功能描述有待進一步規(guī)范。針對已成功應用自動駕駛功能的不同類型軌道交通制式進行分析，可以發(fā)現(xiàn)它們各自具有不同的特點。其中，城市軌道交通應用特點包括：低速、固定車型、單一速度等級、線路條件簡單、在封閉線路環(huán)境下運行、全線調(diào)度指揮集中；城際鐵路應用特點包括：中速、車型相對固定、單一速度等級、線路條件較簡單、氣象條件較簡單、跨線運行、互聯(lián)互通、在開放線路環(huán)境下運行、全線調(diào)度指揮集中；高速鐵路應用特點包括：高速、車型多樣、跨速度等級運行、線路條件復雜、氣象條件復雜、樞紐車站眾多、跨線運行、互聯(lián)互通、在開放線路環(huán)境下運行、全線調(diào)度指揮分散在不同的調(diào)度臺?？梢?，高速鐵路自動駕駛系統(tǒng)的應用條件與城市軌道交通自動駕駛系統(tǒng)相比具有更高的復雜性，需要突破一系列關鍵安全保障技術，才可能獲得成功應用。

3 高速鐵路自動駕駛系統(tǒng)安全風險分析

故障樹分析（FTA）方法[5]是由美國貝爾電報公司于1962 年提出的，它采用邏輯的方法形象地分析危險，特點是直觀明了，思路清晰，邏輯性強；既能做定性分析，又可做定量分析；體現(xiàn)出以系統(tǒng)工程方法研究安全問題的系統(tǒng)性、準確性和預測性，是安全系統(tǒng)工程的主要分析方法之一。FTA 方法的特點是根據(jù)結(jié)果推導原因，其基本思想是將所關注的故障事件作為頂事件，自頂向下逐級建立故障樹和分析故障原因，最終得出導致頂事件發(fā)生的根本原因即基本事件。

本節(jié)采用FTA 方法對不同自動化等級的高速鐵路自動駕駛系統(tǒng)所需考慮的主要安全風險進行分析。由于高速鐵路自動駕駛系統(tǒng)承擔了大量涉及行車安全和乘客安全的安全功能，本文選取人員傷亡和財產(chǎn)損失作為故障樹的頂事件。

導致人員傷亡和財產(chǎn)損失的直接原因有兩類。第1 類直接原因是列車顛覆，可能造成動車組解體和車上乘客傷亡；第2 類直接原因是運營安全相關的事故，包括人員和設備安全問題，可能造成車上乘客傷亡、車下人員傷亡、動車組部件受損等。由于不同自動化等級的自動駕駛系統(tǒng)承擔不同的安全功能，以下分不同等級進行安全風險分析，如圖1所示。

GOA1 級系統(tǒng)僅提供連續(xù)的速度防護，由司機人工駕駛列車運行、負責開關車門和處理緊急情況，因此系統(tǒng)需要處理的安全風險主要包括列車超速和列車相撞。其中，列車超速需要考慮的場景包括列車速度超過列車構(gòu)造速度，列車速度超過線路、道岔的允許速度，列車速度超過設置的臨時限速等3種情況；當司機人工駕駛列車的速度超過列車構(gòu)造速度、線路/道岔允許速度或者設定的臨時限速時，GOA1 級系統(tǒng)應自動輸出制動，保障列車安全運行。列車相撞需要考慮的場景包括列車追尾、列車正面沖突、列車側(cè)面沖突等3 種情況；GOA1 級系統(tǒng)應保證分配給不同列車的行車許可能夠避免列車相撞，并且當司機人工駕駛列車錯誤越過行車許可終點時，GOA1 級系統(tǒng)應自動輸出制動，保障列車安全運行。

GOA2 級系統(tǒng)自動駕駛列車運行，駕駛室保留司機負責檢查列車安全起動條件、關閉車門和處理緊急情況，因此GOA2 級系統(tǒng)除了要應對GOA1 級系統(tǒng)的全部風險外，還需要應對由于自動駕駛帶來的車門開關和加減速的相關處理。其中，車門處理需要考慮的場景包括在錯誤的時機/位置打開車門，或者打開錯誤側(cè)的車門；這兩種場景均可能導致乘客意外掉出車廂，造成傷亡。加減速處理需要考慮的場景包括加速過猛或者減速過快，導致乘客摔傷或者燙傷。

圖1 高速鐵路自動駕駛系統(tǒng)故障樹Fig.1 Fault tree of high speed railway automatic train operation system

GOA3 級系統(tǒng)自動駕駛列車運行，車上取消司機但保留乘務人員，負責關閉車門和處理緊急情況，因此GOA3 級系統(tǒng)除了要應對GOA2 級系統(tǒng)的全部風險外，還需要應對原本由司機監(jiān)控的幾大風險，包括可能造成列車顛覆的障礙物沖撞、超過異常情況下的允許速度，可能造成地面人員傷亡的人員碰撞，可能造成設備損壞的帶電過分相等。

GOA4 級系統(tǒng)自動駕駛列車運行，車上取消司乘人員，由系統(tǒng)或控制中心調(diào)度人員處理緊急情況，因此GOA4 級系統(tǒng)除了要應對GOA3 級系統(tǒng)的全部風險外，還需要應對原本由車上人員監(jiān)控的風險，包括錯誤關閉車門、乘客跌落站臺檢測、煙火檢測等。

GOA1 級和GOA2 級系統(tǒng)已經(jīng)較為成熟并且已在運營線路上成功應用，針對上述分析的風險已經(jīng)有成熟的方案進行控制，本文不再展開討論。GOA3 級和GOA4 級系統(tǒng)引入了新的風險源，有一部分在高速鐵路和城市軌道交通是相似的，有一部分是高速鐵路特有的。高速鐵路自動駕駛系統(tǒng)后續(xù)發(fā)展時需要借鑒城市軌道交通的成熟經(jīng)驗，并重點考慮特有問題的解決方案，在第4 章詳細討論。

4 需要解決的主要技術問題

GOA3 級和GOA4 級的自動駕駛系統(tǒng)新增功能實現(xiàn)的前提是能夠取代司機和車上乘務人員完成對各種復雜外部環(huán)境的感知，但目前系統(tǒng)能夠感知的信息遠遠不足以支撐系統(tǒng)自動決策，因此高速鐵路自動駕駛系統(tǒng)如果要進一步發(fā)展，必然需要解決大量的狀態(tài)感知和狀態(tài)檢測問題。此外，高速鐵路自動駕駛系統(tǒng)的應用特點包括但不限于高速、線路條件復雜、氣象條件復雜、樞紐車站眾多、在開放線路環(huán)境下運行，對狀態(tài)檢測技術的準確性和魯棒性提出了更高的要求，需要認真研究現(xiàn)有檢測技術和人工智能技術的適用性，提出合理的解決方案。

4.1 線路條件檢測技術

高鐵線路均能支持一定的運行速度并且留有10%的設計裕量，信號系統(tǒng)根據(jù)線路設計速度設定線路允許速度并據(jù)此監(jiān)控列車安全運行。但是在某些異常情況下，如果動車組按照信號系統(tǒng)給出的允許速度運行，可能存在列車顛覆的風險，目前該風險主要通過司機的人工降速來消除。例如，在突發(fā)橫風或者暴雨暴雪條件下，在調(diào)度員設置臨時限速之前，如果司機感知到列車晃動出現(xiàn)異常，則會主動降低列車運行速度直到列車不再異?；蝿訛橹埂Ｍ瑯?，如果線路出現(xiàn)路基沉降等情況，列車也應降速運行。

由于自動駕駛系統(tǒng)取代了司乘人員，各種異常情況下線路允許速度的檢測需要由系統(tǒng)自動完成，包括但不限于風、雨、雪、路基沉降等情況，并由自動駕駛系統(tǒng)來自動決策是否降速。

4.2 障礙物檢測技術

我國高速鐵路網(wǎng)絡分布廣泛，地面和車載設備在復雜的氣候條件、長期運用的過程中不可避免會發(fā)生故障。在設備故障的情況下，目前主要依靠司機目視行車或者引導接發(fā)車來實現(xiàn)列車運行，司機需要人工確認故障區(qū)段是否存在其他列車、道岔位置是否正確。另外，在調(diào)車、重聯(lián)的場景下，也需要司機人工確認車列與信號機之間是否存在其他列車或車列。

高鐵列車運行在開放的線路環(huán)境中，可能存在較大的障礙物侵入線路的情況，對行車安全造成危害，如異物侵限、落石、泥石流、隧道火災、大型牲畜等，目前主要采用視頻監(jiān)控和障礙物檢測等監(jiān)視而非直接控制的手段，通過調(diào)度員和司機的人工感知來采取提前停車、鳴笛驅(qū)逐等方式消除風險。

由于自動駕駛系統(tǒng)取代了司乘人員，所以障礙物檢測系統(tǒng)的范圍、準確性和實時性要求有所提高，需要能夠?qū)崿F(xiàn)全天候、高速度、包括橋梁隧道車站在內(nèi)的各種線路條件、包括風雨雪雹在內(nèi)的各種氣象條件下的準確檢測，及時輸出障礙物危險信息，并由自動駕駛系統(tǒng)來自動決策是否應該輸出停車/鳴笛指令。

4.3 人員檢測技術

高鐵列車在車站上下乘客時，由于絕大部分車站都沒有屏蔽門，可能出現(xiàn)乘客跌落站臺的情況；當上下車乘客較多時，如果嚴格按照發(fā)車時間關閉車門可能導致乘客夾傷。此外，施工、維護人員在線路上工作時，可能未注意到列車而被碰撞。目前這些風險主要通過司機瞭望和車地人員溝通來避免。

由于自動駕駛系統(tǒng)取代了司乘人員，所以地面/車上人員的檢測需由系統(tǒng)自動完成，并由自動駕駛系統(tǒng)來自動決策是否關閉車門、是否啟動列車、是否停車等。

4.4 車上設備狀態(tài)檢測技術

高速動車組已經(jīng)實現(xiàn)了大量的車上設備狀態(tài)檢測功能，能對軸承溫度、冷卻系統(tǒng)溫度、制動系統(tǒng)狀態(tài)、客室環(huán)境進行全方位實時監(jiān)測，出現(xiàn)故障時自動采取限速或停車措施。但是，部分設備狀態(tài)檢測能力有待提高，否則可能導致設備損壞。例如，自動過分相功能目前不是SIL4 級功能，雖然設備能夠自動完成，但在異常情況下如果功能失效，車輛也不能自動檢測出帶電過分相，可能導致受電弓損壞。另外，車上發(fā)生煙火也可能造成設備損壞，嚴重的情況下可能影響乘客安全，因此煙火檢測的準確度和對煙火的處理也是非常重要的方面。目前這些風險主要通過司乘人員的人工處理來消減。

由于自動駕駛系統(tǒng)取代了司乘人員，所以車載設備的狀態(tài)檢測需由系統(tǒng)自動完成，以避免發(fā)生設備損壞的情況，造成經(jīng)濟損失。

5 結(jié)論

高速鐵路自動駕駛技術是在我國既有350 km時速列車運行控制技術（CTCS-3）基礎上增加列車自動駕駛功能的行業(yè)前端技術，是智慧鐵路和交通強國建設的利器，是世界各國軌道交通發(fā)展的趨勢。但也應該清醒的看到，高速鐵路自動駕駛系統(tǒng)拓展了傳統(tǒng)鐵路信號系統(tǒng)的安全功能邊界，在帶來便利和效率的同時，更多地承擔了涉及行車安全和乘客安全的安全功能，增加了可能導致人員傷亡和財產(chǎn)損失的風險源，需要采用更完善的技術手段來保障運營安全。

本文采用FTA 方法分析我國高速鐵路自動駕駛系統(tǒng)在不同場景下可能出現(xiàn)的安全風險，提出高速鐵路自動駕駛系統(tǒng)自動化等級的分類，辨識不同自動化等級下高速鐵路自動駕駛系統(tǒng)所需承擔的安全功能。針對分析出來的問題，提出高速鐵路自動駕駛系統(tǒng)后續(xù)發(fā)展方向及確保行車安全需要解決的主要技術問題，希望能夠?qū)ξ覈咚勹F路自動駕駛技術和系統(tǒng)的良性發(fā)展起到一定的促進作用，助力我國高鐵技術的進一步提升。