無人駕駛城軌車輛與信號系統(tǒng)接口的安全風險管理

王冰潔，冷映麗，薛淑勝

(中車南京浦鎮(zhèn)車輛有限公司，江蘇 南京 213100)

0 引言

在碳達峰、碳中和的背景下，符合綠色出行要求的城市軌道交通受到各地熱捧，而城軌無人駕駛技術更是因其突出的運營效率成為眾多項目的首選[1]。目前對于城軌運輸系統(tǒng)下屬的車輛、信號等子系統(tǒng)內(nèi)部，國內(nèi)各方通過借鑒歐洲等國外安全體系，基本已經(jīng)形成了完善的安全管理模式，而對于各子系統(tǒng)之間的接口安全管理還處于摸索階段。現(xiàn)有的研究成果著重于解決城軌項目子系統(tǒng)接口管理的職能或者業(yè)務流程問題，以提升項目運轉(zhuǎn)效率為目標，或傾向于對車輛和信號的接口功能需求的確定，以實現(xiàn)無人駕駛載客運行功能為目標。目前還沒有從車輛與信號接口安全風險角度開展的相關討論，而接口的安全風險是系統(tǒng)安全風險的奠基石之一，因此有必要開展相關研究。

1 相關概念

1.1 危害識別

危害識別是風險評估和風險管理的基礎，是安全保證的關鍵步驟，以盡可能發(fā)現(xiàn)所有潛在的危害為目的。

1.2 風險評估

依據(jù)ISO/IEC Guide 51，風險被定義為傷害發(fā)生的可能性及傷害的嚴重程度的結合[2]，城市軌道交通領域按照EN50126標準[3]采用最低合理可行(as low as reasonably practicable，ALARP)風險接收準則，依照風險矩陣(見圖1)開展危害發(fā)生頻率、危害后果以及風險等級的確定。其中R1～R4代表風險可接受水平，R1表示風險不可接受，必須采取措施消除危害或者控制危害；R2表示不期望的，在合理可行的情況下采取措施將風險降低至合理水平；R3表示可忍受的，如果合理可行，可以采取措施進一步降低風險水平；R4表示可接受的，不需要采取措施即可接受該風險[4]。

1.3 風險管理

對識別的危害制定風險管控措施，并對剩余風險再次評估是否已降低到合理可行，風險管理過程記錄在危害日志中，包括識別的所有事故場景、危害來源、產(chǎn)生的原因、初步風險分析、危害減輕措施、措施實施證據(jù)、措施狀態(tài)、剩余風險評估、危害是否關閉等信息，危害日志是風險管理的重要證據(jù)。

2 研究方法

本文開展軌道車輛與信號接口安全風險管理，危害識別階段采用事故走查法及危害和可造作性分析(hazard and operability analysis，HAZOP)的結合，措施制定階段采用故障樹分析(fault tree analysis，F(xiàn)TA)。

2.1 事故走查法

由于危害是事故的先兆，識別可預見的事故，并通過可造成的事故來識別危害。依據(jù)城軌項目經(jīng)驗，制定的事故類型包括以下幾種：碰撞(包括列車之間、列車與基建以及列車與部件間的碰撞)；脫軌；沖擊(包括加速、減速以及橫向沖擊)；部件掉落、物體彈射以及接觸尖銳物體；爆炸或泄漏；電擊、觸電；跌倒、掉落；夾住；移動延時；火災。

圖1 風險矩陣Fig.1 Risk matrix

2.2 危害和可造作性分析

危害和可造作性分析針對每個分析對象，采用預設的引導詞進行偏離分析，識別可能存在的偏離以及導致的后果，從而達到危害識別的目的[4]。IEC 61882 提出了危害和可造作性分析開展的示例及相關引導詞參考[5]，結合軌道交通系統(tǒng)的特性，選定的引導詞如表1所示。

表1 引導詞Table 1 Guide words

2.3 故障樹分析

故障樹分析是一種自上而下的演繹方法，開始于一個不期望的事件(即頂事件)，而后依據(jù)概率論和布爾代數(shù)的規(guī)則，以邏輯符號為基礎開展推演，最終確定導致頂事件產(chǎn)生的基本事件(即底事件)[6]。

3 研究內(nèi)容

3.1 接口識別

接口安全風險管理的第一步是開展接口識別，接口識別是危害識別的基礎，只有保證盡可能地窮舉車輛與信號的接口，才能實現(xiàn)盡可能完善的風險管理。國際電工委員會發(fā)布的IEC 62290-2標準給出了不同自動化等級下城軌管理和指揮、控制系統(tǒng)的功能要求規(guī)范[7]，定義了必要的運營功能；IEC 62290-3部分則站在系統(tǒng)角度[8]，對系統(tǒng)架構及子系統(tǒng)接口進行了梳理。因此綜合該兩部分標準內(nèi)容，結合接口關系及功能索引，可以初步地得出在無人駕駛下，車輛與信號接口功能清單。根據(jù)已執(zhí)行的多個國內(nèi)無人駕駛城軌項目，從供電、安裝、執(zhí)行功能三個角度，進一步檢查車輛與信號接口清單的完整性，接口清單(節(jié)選)如表2所示，具體識別過程如圖2所示。

表2 接口清單(節(jié)選)Table 2 Interface list(excerpt)

圖2 接口識別過程Fig.2 Interface identification

3.2 接口危害識別

由于單獨采用經(jīng)驗型或者創(chuàng)新型的危害識別，均難以滿足危害識別完整性的要求，因此本文結合HAZOP和事故走查兩種類型的識別方法，開展接口危害分析，具體包括如下步驟。

1)將接口清單中的每個編號的接口作為HAZOP分析的對象，結合表1擬定的引導詞，逐一分析該接口可能存在的偏離。

2)對可能存在的偏離進一步分析可能造成的影響。

3)結合列車運營場景(出入庫準備、正常載客運營、降級運營、緊急疏散、維修)與上述的事故清單，分析造成的影響是否可能導致安全事故。

4)識別出的具有安全風險的偏離項標記接口危害編號，以便在下一階段進一步開展危害分析。以接口編號ATC-01-001為例，對無人駕駛喚醒功能HAZOP開展記錄參數(shù)如表3所示。

表3 HAZOP示例Table 3 HAZOP example

3.3 初步風險評估

初步風險評估是基于識別出的危害本身，對其發(fā)生的概率和后果嚴重程度進行半定量的識別，對照圖1所示的風險矩陣，初步識別風險水平。以IHA-ATC-001 信號系統(tǒng)非預期地喚醒車輛為例，該危害可能導致的事故是電擊、觸電，發(fā)生的場景是人員維護檢修時，因此初步識別該危害的初始發(fā)生概率為D級，初始后果等級為3級，初始風險等級為R1即不可接受的，按照ALARP原則，需要制定危害減輕措施。

3.4 危害減輕措施制定與分配

危害減輕措施制定時，應當優(yōu)選可以盡量消除危害本身的措施，危害無法被消除時考慮盡量降低危害發(fā)生的概率或者減輕危害產(chǎn)生的后果，為了明確危害可能導致事故發(fā)生的原因，采用FTA的方式開展推演，在得出一階割集和二階割集后，有針對性地制定減輕措施。以IHA-ATC-001為例，構建非預期地喚醒列車導致人員觸電這一不期望事故的故障樹分析，如圖3所示。

圖3 非預期地喚醒列車導致觸電Fig.3 Unexpected wake-up of the train leads to electric shock

由圖3故障樹分析可得出，該故障樹不存在一階割集，即沒有任意單一事件會直接導致頂事件的發(fā)生。進一步分析二階割集，在維護場景下(事件1)，會導致該頂事件發(fā)生的割集包括：事件5信號系統(tǒng)非期望地輸出本地喚醒指令；事件6列車控制問題導致非預期地喚醒列車；事件7運營調(diào)度人員非預期地觸發(fā)遠程喚醒；事件8信號系統(tǒng)故障導致誤觸發(fā)遠程喚醒指令。因此可以針對上述底事件從車輛設計、信號功能及運營管理三個角度開展危害減輕措施的制定。從車輛設計角度考慮，可以通過設置表示車輛處于檢修狀態(tài)的裝置或方法；從信號系統(tǒng)角度考慮，信號系統(tǒng)應從自身控制方式上確保檢修模式下不觸發(fā)喚醒控制指令(包括本地喚醒及遠程喚醒)；從運營管理角度考慮，應制定相關管理條例，避免人員誤操作導致遠程喚醒處于維護狀態(tài)的車輛。

3.5 剩余風險評估

剩余風險是指初始風險在經(jīng)過減輕措施的實施后仍然殘余的風險，根據(jù)ALARP原則，只要剩余風險已經(jīng)可以被廣泛接受，即可認為該風險已經(jīng)降低到可接受的水平。評估剩余風險要針對制定的措施落實情況，識別危害發(fā)生的概率和后果兩個維度的水平，進而評價風險是否可被接受。

3.6 接口安全風險管理

經(jīng)過危害識別、初步風險評估、危害減輕措施制定和分配以及剩余風險評估幾個過程，可以系統(tǒng)得出無人駕駛城軌車輛與信號的接口危害分析清單，清單信息(部分)如表4所示。

完成相關接口危害分析后，安全風險管理的重點落到了風險減輕措施的落實上。為有效保證安全風險閉環(huán)管理，考慮采用以下方法。

1)措施內(nèi)容必須清晰且具有可執(zhí)行性，例如上述中制定的“設置表示車輛處于檢修狀態(tài)的裝置或方法”措施，具體可被描述為“設置車輛檢修開關，該開關狀態(tài)應告知信號系統(tǒng)，并能在地面進行顯示”。

2)制定的措施與責任方應一一對應，例如“應制定相關管理規(guī)范，不應喚醒處于檢修狀態(tài)的列車”，該條措施是針對維護人員的操作管理條例的，應由負責車輛維護的相關管理方落實。

3)對于由車輛方負責落實的措施，關聯(lián)至車輛設計需求中進行推進，并分配至唯一的措施實施人員，實施人員在措施落實后填寫措施證據(jù)，措施證據(jù)包括不限于：設計規(guī)范、圖紙、計算報告、試驗報告等。

4)對于由除車輛以外的其他子系統(tǒng)負責的措施，例如表4中所示的“信號方”“維護方”等，車輛方與這些子系統(tǒng)無合同隸屬關系，缺少有力的約束方式。因此需要識別該項目的高權利或高利益的干系人，例如國內(nèi)城軌項目高權利和高利益人通常為軌道公司建設方，或者有部分項目高權利人為獨立安全評估方，由這些干系人牽頭組織開展接口安全風險的協(xié)調(diào)工作，此時即可將車輛識別出的需要轉(zhuǎn)移給外部其他子系統(tǒng)的措施進行落實，明確所有轉(zhuǎn)移的措施是否合理可行，并由落實方提交相關證據(jù)。同時，為保護車輛方的安全風險可控，轉(zhuǎn)移至外部的措施也將落入車輛安全相關應用限制條件中，在車輛的安全例證(safety case)中進行聲明。

5)將接口危害納入車輛級危害日志進行管理，車輛危害日志是車輛安全管理的全過程記錄，因此接口危害分析表單設置“危害日志對應編號”一列，用于與危害日志進行關聯(lián)，危害日志中對應危害中的相關措施也被標記為接口危害的編號，從而形成列車級危害分析的體系性架構。

表4 接口危害分析樣表(部分)Table 4 Interface hazard analysis sample table (part)

4 結語

城市軌道交通是由多個子系統(tǒng)相互協(xié)作的系統(tǒng)工程，尤其在當下無人駕駛技術被廣泛應用，高度自動化技術引入的安全風險更是社會各方關注的焦點，其中車輛和信號的接口又是安全風險管理的薄弱環(huán)節(jié)。本文基于危害識別、風險評估、風險減輕、風險再評估的基本思路，采用HAZOP、FTA等風險分析工具，對無人駕駛城軌車輛和信號的接口開展安全風險進行了探討，得出一套可有效管理安全接口風險的方法，該方法也可推廣至其他子系統(tǒng)接口風險管理。

本研究存在以下不足：一方面，由于國內(nèi)軌道行業(yè)發(fā)展時間還較為短暫，發(fā)生相關安全事故的案例更是稀少，還不足以借助實際案例信息就發(fā)生概率和后果得出定量的數(shù)據(jù)，因此本研究中風險識別時主要采用經(jīng)驗判斷，主觀影響較大；另一方面，本研究從車輛的角度對車輛和信號接口開展安全風險的管理，而接口的安全風險需要接口各方在各自角度開展風險分析和管理，各方都“握手”才能更好地保證安全風險可控，因此本研究對于運輸系統(tǒng)的安全風險管理而言，存在由于分析開展角度導致的局限性。以上問題將在后續(xù)研究中進一步優(yōu)化改善。