全自动运行系统风险分析技术研究

薛维清，胡妃俨，李 雁，高伯翰，朱 晟，丁 奕

（1.交控科技股份有限公司，北京 100070；2.深圳交控科技有限公司，广东深圳 518000）

1 研究背景

近年来，全自动运行(FAO)线路建设呈现井喷式发展，北京、上海、深圳、苏州、济南、武汉、南宁、杭州等大批国内城市新建的轨道交通线路采用了FAO系统，既有线路改造同样多选择升级为FAO 系统。FAO 系统由车辆、信号、通信、综合安防、综合监控、站台门、行车综合自动化等多个核心子系统组成。由于FAO 系统的复杂性，传统的风险分析技术难以完全识别出FAO 系统的所有安全风险，因此研究FAO 系统风险分析技术，对于全面深入地识别FAO 系统潜在的风险，并进行危害分析工作，对于FAO 线路的建设及安全运营具有重要的意义。

目前，对于FAO 系统的风险分析主要有以下几个痛点和问题：

1) 目前国内缺少对FAO 系统顶层的安全分析体系，对于全自动运行系统的风险分析没有形成成熟的体系，部分功能并没有达到FAO 系统的安全要求，只是符合CBTC(基于通信的列车控制)系统的安全要求；

2) 国内外标准主要解决的是FAO 线路在建设过程中遇到的通用和共性的安全问题，而对于特定需求的安全问题没有统一的解决方案；

3) FAO 系统整体集成技术的安全责任主体不明确。目前主要问题一是以建设方委托独立第三方进行FAO 系统风险分析，存在独立性的问题；二是目前主要由信号系统集成商开展FAO 系统风险分析，但FAO系统涉及专业较多，单专业集成商会存在安全资源协调的局限性，无法保证FAO 系统风险分析高质量完成。

对于目前存在的这些问题，莫志刚等[1]提出在设计阶段基于危害与可操作性研究(hazard and operability study，HAZOP)及最低合理可行原则(as low as reasonably practicable，ALARP)的方法评估与控制信号系统影响行车安全的潜在风险，采用经验打分法对风险进行定量分析，确定风险等级；杨春妮等[2]从人-机-料-法-环五方面出发，分析信号系统中存在的各种影响因素，综合运用ABC 分类法和因果图分析法对风险因素进行分析，并制定了相应的对策保证轨道交通安全运行。这些研究在单系统风险分析上具有一定的参考意义，但是对于FAO 全系统的风险识别及危害分析工作缺少指导建议。周留运[3]站在运营的角度，结合在实际运营过程中的相关安全问题进行了简要分析，在相关功能上为FAO 系统提出了相应的安全需求；景龙刚[4]提出通过运用全生命周期风险管理方法，对FAO 系统开发、测试、验证等环节进行全方位的安全验证，保证系统的安全运行；包天刚等[5]提出结合正线和停车场内不同的运营场景，对FAO 系统封闭运行环境所存在的安全风险点进行分析，并提出了相应的风险控制手段。闫宏伟等[6]通过研究IEC 62267 与IEC 62290等国际标准的安全功能与需求，预先辨识分析其可能的危险源，提出了对系统功能的安全需求。这些研究在对FAO 系统的风险识别和危害分析上具有一定的参考意义，但是在整个FAO 系统层风险识别和危害分析以及安全需求的提出上还不够全面和深入。向楠楠等[7]基于系统理论事故建模和过程(systems-theoretic accident modeling and processes，STAMP)模型提出了一种安全先兆辨识方法，有效识别出了FAO 系统各场景下的潜在安全风险；孙景卫[8]提出基于Petri 网的全自动驾驶系统安全分析方法，结合FAO 系统的预先危险分析，对FAO 场景进行了分析并提出了有效的风险降低措施。对于全面深入研究FAO 系统的风险分析奠定了一定理论基础，但是不能进行安全完整性等级(safety integrity level，SIL)分配，不满足FAO 系统对各核心子系统进行定量指标分配的需求。

因此，综合考虑现有研究现状并结合FAO 系统特点，本文提出了一套从FAO 整体系统层面出发的体系化的安全风险分析方法。即采用自顶而下的方式，在系统概念阶段从FAO 整体系统层面出发，深入分析对比全自动系统的技术规范标准以实施系统初步危害分析，识别FAO 系统的边界危害，使得FAO 的各子系统后续可使用统一的危害清单来进一步开展各自的子系统分析；系统初步运营使用要求确定后，结合初步危害分析识别的边界危害、线路地点等情景因素，创新性地提出采用情景融合技术手段，基于具象化的特定场景对FAO 系统的安全风险进行全面而深入的识别并进行致因因素分析；然后，采用半定量SIL 分配技术为FAO 系统各核心子系统分配了明确的安全指标要求和功能安全需求，以便于实现具体的工程化目标，便于各子系统集成；FAO 系统场景文件完成初版后进行场景STPA，以子系统间的关系为基础，细化识别场景设计中的风险场景并提出相应的风险缓解措施。

2 FAO 系统概述

如图1 所示，FAO 系统是基于现代计算机、通信、控制和系统集成等技术，由信号、车辆、综合监控、通信、站台门、综合安防等与运行相关的核心设备组成，实现列车运行全过程自动化的新一代轨道交通控制系统。相比于基于通信的列车控制系统(communication based train control system，CBTC)，FAO 系统是在CBTC系统的基础上进行功能拓展的一种升级系统，具有更高的可靠性和安全性。它可以按最佳模式对列车进行更精确的控制，提高系统运行效率和运营服务质量，降低运营维护成本，代表了轨道交通未来的发展方向。相比于CBTC 系统来说，FAO 系统更加复杂，由7 大专业、31 个子系统、59 个大场景、257 个小场景和700多个细小场景组成。在FAO 系统中，有计划的操作由系统自动联动控制；在故障、异常和救援场景下需要人工判断，突发情况下由中心远程控制完成。列车自动监控系统(automatic train supervision，ATS)与综合监控系统深度集成为行车综合自动化系统(train integration automatic system，TIAS)，实现综合自动化联动控制。同时，由系统来替代司机的操作，包括列车唤醒、休眠、进站停车、自动开关门、全自动洗车等，大大增加了系统的复杂性[9-10]。因此，研究FAO 系统危害分析技术，对于充分识别FAO 系统层危险源及致因因素并进行合理的FAO 核心子系统功能分配，具有重要意义。

图1 FAO 系统架构Figure 1 Architecture diagram of an FAO system

3 全自动运行系统风险分析

为了确保FAO 系统风险分析的全面性，在EN 50126 标准生命周期“V”模型中，对自上而下的左侧分支(通常称为“开发”过程)的各个阶段开展相应的风险分析活动(如图2 所示)。

图2 FAO 系统风险分析框架Figure 2 Risk analysis framework of an FAO system

在系统设计初期，将合同、标准规范作为系统初步风险分析的输入，采用标准差异分析的方法识别FAO 系统边界危害及安全需求；完成设计联络并初步拟定了功能场景说明后，结合相应技术规范，以场景功能分配表为输入，采用情景融合分析技术进行系统危害分析，识别融合风险场景以及对各子系统功能进行SIL 分配并提出相应安全需求；完成场景文件及子系统间接口文件后，采用场景STPA 分析技术进行场景危害分析，识别危害场景并补充相应安全需求。

整个FAO 系统风险识别过程是自顶而下的逐步细化过程，可以确保分析的完整性和全面性。风险分析识别的危害、安全需求及功能SIL 分配结果将向下传递给FAO 系统中各核心子系统。

FAO 系统风险识别的过程属于整体风险识别的过程，子系统根据FAO 系统风险识别的结果进行细化分析，细化分析的子系统间接口危害分析(IHA)和操作与支持危害分析(OSHA)工作将在各核心子系统层进行，本文不再赘述。

另外，在进行FAO 系统风险分析过程中，为了解决FAO 系统集成技术安全主体责任不明确的问题，在系统风险分析阶段提出，由业主建设方委托一致性协调方来作为技术牵头人，组织各核心子系统供应方、运营维护方、各子系统评估方及FAO 系统评估方参与风险分析活动，其中，咨询方提供技术把控，各子系统评估方及FAO 系统评估方作为风险分析的见证方参与风险分析活动，确保其独立性，如图3 所示。

图3 FAO 系统风险分析人员组成框架Figure 3 Organization of FAO system risk analysis

3.1 参考国内外相关标准进行系统初步危害分析

FAO 系统的安全运行并非是信号系统一个专业能够完成，需要多专业多个子系统配合，还需要借助完善的运营规则来降低运营过程中存在的安全风险。针对FAO 系统包含多专业多子系统这一特点，仅通过信号系统典型风险清单难以保证全面识别整个全自动运行系统的边界危害。

通过分析行业标准IEC 62267Railway applications—Automated urban guided transport(AUGT)—Safety requirements[11]、《GB/T 32588.1—2016 轨道交通(AUGT)安全要求 第1 部分：总则》[12]中识别的风险及给出的安全措施，并对这些内容进行适用性裁剪，将标准中的安全措施按照子系统进行识别，形成安全需求。在系统设计的初步阶段识别出FAO 系统的潜在风险以及系统边界危害，确定系统安全需求，论证FAO 的相关要求都已被考虑到，确保行业上通用(标准)的风险都已被识别并得到落实。示例如表1 所示，最终形成FAO 系统的初步危害分析。

表1 系统初步危害分析示例Table 1 Example of system preliminary hazard analysis

各专业子系统根据初步危害分析提出的风险控制措施及安全需求，提交证据证明这些风险控制措施或安全需求已得到满足。对于无法满足的控制措施，由各专业子系统制定相应的替代措施，最终保证所有的控制措施均在运营可接受范围。通过差异分析，得出初步的安全需求如表2 所示。

3.2 基于情景融合的FAO 系统危害分析

站在FAO 系统运维的角度，采用情景融合的方法对FAO 系统的危险源进行全面的识别并进行致因因素分析，采用半定量SIL 分配技术为FAO 系统各个核心子系统功能分配安全需求并制定定量的安全指标，同时，提出相应的技术安全需求及运营安全需求，完善FAO 系统危险源识别的全面性及功能SIL分配的合理性，为FAO 线路的安全运营提供了保障。

3.2.1 情景合成

将系统初步危害分析识别的FAO 系统事故清单结合FAO 系统线路地点、FAO 系统兼容的运行等级、FAO 系统的活动事件，组合为合成情景，按照“在XXX 运行等级下，XXX 设备/人，进行XXX 运营活动时，导致了XXX 安全事故”的模式进行组合罗列，得到融合风险情景；例如：GoA4 级列车在全自动运行车辆段停车列检库唤醒，跳跃时与进入动车区域的人员碰撞等(见图4)。

图4 情景融合Figure 4 Fusion of scenarios

根据事故的严重度等级不同、受影响群体不同或发生的区域不同等原则，将得到的融合风险情景进行归纳总结，得到代表一类融合风险情景的危害情景，在初步危险源识别阶段对系统边界危害进行补充和完善。例如：在区间或车站，工程车/轧道车/列车运行、退行过程中人员侵入列车运行路径发生碰撞；在场段，人员进行维修作业或上下车过程中列车侵入人员活动路径发生碰撞。

3.2.2 融合情景风险分析

融合情景风险分析是将得到的融合事故情景作为分析对象，评价其初始风险及施加安全措施后的残余风险，分析导致事故发生的次级危害并提出相应的安全需求将FAO 系统风险降到合理可接受的水平。

通过半定量SIL对FAO系统的融合事故场景的风险进行评价，从列车运行速度、列车满载率情况和对历史事故库的检索以及考虑二次防护等多个维度来确定风险发生的概率和后果的严重程度，根据标准中的风险矩阵得到融合危害情景的风险等级。对于不可接受的风险，评价施加安全需求后的风险等级。以在区间或车站人员进行维修作业或上下车过程中，列车侵入人员活动路径发生碰撞为例分析，如表3 所示。

表3 人车相撞示例Table 3 Example of a pedestrian-vehicle collision

通过采用危害与可操作性分析(hAZard and operability，HAZOP)方式，分析导致融合事故场景的子系统层危害、环境和人的原因，及可能导致融合事故场景发生的所有致因因素。

根据EN50126-2：2017 标准中的风险模型，危害的发生不等同于事故的发生，危害发生后，如果发展成事故，还需要其他触发条件同时具备。这些触发条件采用EPC[13]因子进行描述，“分解后可容忍的次级危害发生率THR”考虑了EPC 因素后，会得到“考虑EPC 修正后的可容忍的次级危害THR”指标值，这一指标值表示了危害发生后，导致危险事故发生的可容忍事故率。

根据修正后的THR 指标值和致因分析结果，给全自动运行系统核心设备提出相应的子系统安全需求，确保将残余风险降低到可接受水平，提取融合事故情景风险分析得到的所有功能安全需求中，最严格的定量及SIL 要求作为某项功能的最终安全完整性要求，将所有识别的安全需求(包括功能安全需求、技术安全需求及运营安全需求)，分配给各子系统/设备来分别实现，进而确保风险控制在运营可接受的水平。以人车相撞为例进行列表，如表4 所示。

表4 人车相撞场景危害分析示例Table 4 Example of scenario hazard analysis

3.3 基于STPA 的运营场景危害分析

STPA 是一种相对较新的基于事故因果扩展模型的危害分析技术。除了组件故障之外，STPA 假设事故也可能是由系统组件(其中没有一个组件可能发生故障)的不安全交互引起的。STPA 与传统的危险分析方法(例如故障树分析法(fault tree analysis，FTA)、失效模式与影响分析(failure mode and effects analysis，FMEA)、事件树分析(event tree analysis，ETA)、HAZOP)相比，STPA 不仅发现了传统的分析发现的所有潜在风险，还可以发现传统分析方法没有发现的软件相关和非故障的场景。STPA 方法通过分析子系统组件失效以及着重考虑系统组件(包括人)之间的不安全交互，因此通过采用基于场景的STPA 分析方法来识别各子系统/设备间信息交互过程中可能存在的风险，从而保证系统的安全。其主要分为4 个步骤进行，基于场景STPA 的分析流程如图5 所示。

图5 STPA 分析流程Figure 5 STPA analysis process

3.3.1 定义分析目的

第一步是明确安全分析目的，识别系统级事故。安全分析的目的是消除或控制危险，防止事故发生。参照IEC62267—2009 标准和GB/T32588.1—2016 标准中危害清单及轨道交通行业事故统计及经验总结，结合全自动运行系统自身特点，识别出运营场景下的系统级事故。例如，列车在站台乘降作业及发车场景下的系统级事故主要有三类：一是人或物被车门/站台门夹伤、二是人员陷入列车与站台间隙、三是人从高处跌落。

3.3.2 构建控制模型

控制模型包含系统通过控制行为最终对列车进行安全控制相关的控制过程，是致因场景的基础数据来源。例如，列车在站台乘降作业及发车场景中VOBC实施防护，包含的控制行为包括：CA1 发送牵引指令；CA2 发送制动指令；CA3 打开车门指令；CA4 打开站台门指令。控制结构模型如图6 所示。

图6 控制结构模型Figure 6 Control structure model

3.3.3 识别不安全控制行为

控制结构建模完成后，通过引导词的方式进行不安全控制行为识别。以控制行为CA1“发送牵引指令”为例，加入引导词：未提供引起危险、提供引起危险、错误的时机或时序引起危险、结束太快或作用时间太长引起危险。控制行为与场景组合将得到不安全的控制行为(UCA)。

UCA1：站台门与车门之间留有人/异物时，列车移动造成人员伤亡。

UCA2：站台门与车门之间留有人/异物时，信号系统未输出紧急制动。

3.3.4 识别致因场景

STPA 中为识别致因场景提供了一定的引导词，对控制结构模型进行应用，以输出紧急制动控制命令为分析案例，如表5 所示。

表5 致因场景示例Table 5 Example of a causal scenario

4 结束语

与传统的对FAO 核心子系统的常规安全风险分析方式不同，本文提出了一种FAO 全系统层面的风险分析方法，首先与技术规范对标进行差异分析，其次利用情景融合分析、场景STPA 技术系统性识别FAO系统设计层的边界危害及相应的风险，并获得其中各核心子系统对应的安全需求，为实际工程项目开展FAO 大系统风险分析提供方法依据。

本文所提及的分析技术已应用到某地铁线路的FAO 系统工程项目中，在全系统风险分析阶段持续3个月左右时间，累计识别出与信号有关的危害72 项、与车辆有关的危害67 项、与综合监控有关的危害28项、与站台门有关的危害25 项、与安防有关的危害20 项、与通信有关的危害16 项；为各核心子系统设备提出了相应的功能安全需求、技术安全需求和运营安全需求共计228 条，上述需求已在该线路工程项目中成功实施。后续将研究应用该方法开发FAO 系统的通用危害与安全需求库。