閆宏偉燕 飛張仕杰牛 儒唐 濤

系統(tǒng)理論過程分析在城市軌道交通列車運行控制系統(tǒng)設(shè)計中的應(yīng)用*

閆宏偉1燕 飛2張仕杰1牛 儒3唐 濤3

（1.中國鐵路經(jīng)濟(jì)規(guī)劃研究院，100038，北京；2.北京交通大學(xué)軌道交通運行控制系統(tǒng)國家工程研究中心，100044，北京；3.北京交通大學(xué)軌道交通控制與安全國家重點實驗室，100044，北京∥第一作者，助理工程師）

使用STPA（系統(tǒng)理論過程分析）安全分析方法，針對北京燕房線實際設(shè)計案例中的典型系統(tǒng)級危險源，選取列車進(jìn)站停車運營場景建立相應(yīng)的分層控制結(jié)構(gòu)模型，辨識不安全控制行為，分析列車運行過程中的危險致因和安全約束，結(jié)合實際工程項目轉(zhuǎn)化為切實可行的安全需求和防護(hù)措施。表明STPA方法分析過程全面深入，不僅可以分析技術(shù)系統(tǒng)，還可以分析運營組織中的人為因素，可以更加全面辨識運營場景中所涉及的危險致因。

軌道交通；全自動運行系統(tǒng)；安全分析方法；系統(tǒng)理論過程分析；安全約束；系統(tǒng)分層控制結(jié)構(gòu)圖

目前主流的基于事件鏈的安全分析方法已使用近50年。以線性因果關(guān)系的事件鏈為分析基礎(chǔ)的安全分析方法，認(rèn)為按照一定順序出現(xiàn)的不同故障事件，最終導(dǎo)致了系統(tǒng)事故。人們采用危險及可操作性分析（HAZOP）方法［1-2］、失效模式影響分析（FMEA），同時結(jié)合故障樹分析（FTA），利用危險歷史數(shù)據(jù)并結(jié)合專家經(jīng)驗，對某一特定的危險事件進(jìn)行致因和后果的分析，并評價其風(fēng)險等級［3］。

近年來，城市軌道交通系統(tǒng)隨著多領(lǐng)域科學(xué)技術(shù)的發(fā)展與應(yīng)用，基于現(xiàn)代計算機(jī)、通信、控制等技術(shù)實現(xiàn)列車無人駕駛的軌道交通全自動運行系統(tǒng)，以其自動化程度高、運營效率高、運營成本較低等特點，逐漸成為了國內(nèi)外城市軌道交通信號系統(tǒng)的發(fā)展趨勢。該系統(tǒng)在巴黎、哥本哈根和香港等地都已投入使用，預(yù)計2017年年底建成通車的北京地鐵燕房線也將采用該系統(tǒng)［4］。

隨著軌道交通運行控制系統(tǒng)自動化水平的提升，采用高度集中的控制模式，系統(tǒng)環(huán)境內(nèi)各部分之間交互信息與控制命令數(shù)量更加龐大。其作為一個復(fù)雜的社會技術(shù)系統(tǒng)，顯現(xiàn)出繁冗復(fù)雜的非線性特性，給系統(tǒng)的安全分析帶來了巨大的挑戰(zhàn)［5］。針對采用大量冗余設(shè)計保證較高可靠性的運行系統(tǒng)，其復(fù)雜交互命令應(yīng)作為安全分析的重點方向。針對傳統(tǒng)列車控制系統(tǒng)簡單邏輯致因所提出的傳統(tǒng)分析方法，已經(jīng)很難全面地解決如今系統(tǒng)設(shè)計所面臨的難題。

為了解決傳統(tǒng)分析方法的局限性問題，強(qiáng)化針對復(fù)雜社會技術(shù)系統(tǒng)安全分析的完整性，更加全面辨識危險致因，麻省理工學(xué)院的Nancy G.Leveson于2004年提出了基于系統(tǒng)理論事故建模和過程（Systems-Theoretic Accident Modeling and Processes，STAMP）。在 STAMP 模型理論的基礎(chǔ)上，Nancy G.Leveson制定了系統(tǒng)理論過程分析（System-Theoretic Process Analysis，STPA）這一流程性的安全分析方法。

目前在國內(nèi)，尤其是軌道交通領(lǐng)域，使用STPA進(jìn)行安全分析與設(shè)計的資料較少。本文將結(jié)合北京燕房線系統(tǒng)安全分析與設(shè)計的案例，探討和闡述STPA應(yīng)用在軌道交通領(lǐng)域的安全分析體系，為解決其他領(lǐng)域的安全問題提供一種有效可行的手段。

1 STPA系統(tǒng)安全分析方法

1.1 STAMP理論與模型

STAMP系統(tǒng)理論把系統(tǒng)看作一個整體，而不是獨立的組件，系統(tǒng)的安全性只有考慮到系統(tǒng)內(nèi)部與外部相關(guān)所有部分之間的聯(lián)系（交互）才能恰當(dāng)?shù)靥幚?。在STAMP理論中采用分層控制結(jié)構(gòu)構(gòu)建系統(tǒng)模型，安全性通過對系統(tǒng)內(nèi)部相互關(guān)聯(lián)的部件間信息及控制的反饋回路達(dá)到動態(tài)平衡。由此，STAMP將系統(tǒng)的安全問題轉(zhuǎn)化為管理控制結(jié)構(gòu)中每層活動約束的強(qiáng)制執(zhí)行，即針對系統(tǒng)控制行為的約束（稱之為安全約束）均得以滿足，從而使得系統(tǒng)安全性得以保障［6］。1.2 STPA分析方法

STPA使用基于STAMP理論構(gòu)建的系統(tǒng)控制圖進(jìn)行分析，從外部輸入開始針對控制回路的每一個環(huán)節(jié)進(jìn)行分析，辨識致因因素。在城市軌道交通運行系統(tǒng)中，運營人員或乘客往往也會承擔(dān)控制角色。因此，在實際構(gòu)造的模型中，傳感器或執(zhí)行器也可能會擁有自己的過程模型（心智模型）。因為STPA比傳統(tǒng)方法對于系統(tǒng)的交互性風(fēng)險有著更強(qiáng)的分析能力，對于人在控制系統(tǒng)中的作用也給出了更為精確的模型，相較于傳統(tǒng)方法，其分析結(jié)果顯然更加完善［7］。

STPA以系統(tǒng)級事故與相關(guān)危險作為輸入材料，主要通過以下4個步驟辨識導(dǎo)致系統(tǒng)危險出現(xiàn)的根本原因：

第1步，STPA分析過程輸入內(nèi)容為系統(tǒng)事故及其與之相關(guān)聯(lián)的系統(tǒng)級危險。系統(tǒng)級危險的辨識直接影響系統(tǒng)邊界與分層控制結(jié)構(gòu)圖中的底層控制過程，可根據(jù)乘客受傷、列車相撞、影響運營等具體事件來定義［8］，以便在后續(xù)分析中確保該安全約束得以實施。

第2步，建立系統(tǒng)的分層控制結(jié)構(gòu)。通過構(gòu)建系統(tǒng)的分層控制結(jié)構(gòu)以及其中的控制與反饋，變現(xiàn)系統(tǒng)內(nèi)部不同層次的交互行為［9］，是進(jìn)一步辨識導(dǎo)致系統(tǒng)層面涌現(xiàn)危險的原因（不安全控制行為）分析的基礎(chǔ)。

第3步，辨識導(dǎo)致系統(tǒng)進(jìn)入危險狀態(tài)的不安全控制［10］。針對第2步系統(tǒng)分層控制結(jié)構(gòu)圖中的控制行為，結(jié)合以下4種不恰當(dāng)控制的通用分類，辨識以下不安全控制行為：

（1）控制器未提供所需的控制行為；

（2）控制器提供了錯誤的或不安全的控制行為；

（3）在錯誤的時間提供控制行為（過早或過晚）；

（4）控制行為停止的過早或持續(xù)時間過長。

第4步，辨識導(dǎo)致上述不恰當(dāng)控制出現(xiàn)的致因因素，即導(dǎo)致系統(tǒng)危險出現(xiàn)的根本原因。根據(jù)某一底層被控過程，從系統(tǒng)控制結(jié)構(gòu)圖中選取相應(yīng)的控制回路，按照圖1所示的方式對每一個控制回路上的環(huán)節(jié)進(jìn)行分析，從外部輸入開始針對控制回路的每一個部分進(jìn)行分析，獲得致因。

圖1 基于控制回路的致因辨識

2 城市軌道交通運行系統(tǒng)安全分析

正在建設(shè)中的北京地鐵燕房線將成為中國大陸首條自動化等級最高的城市軌道交通運行地鐵線路［11］，系統(tǒng)符合IEC 62290中對自動化等級GOA4（Grade of Automation 4）的系統(tǒng)在正常運營情況下由自動化設(shè)備取代司機(jī)自動駕駛列車在全線運行的技術(shù)要求［12］。

運營場景是在系統(tǒng)設(shè)計初期的系統(tǒng)概念階段就可以獲得的有效資源，由系統(tǒng)內(nèi)部子系統(tǒng)以及運營環(huán)境中可能出現(xiàn)的各種元素參與組成，可以反映出系統(tǒng)的實時動態(tài)行為表現(xiàn)，并且描述各個運營場景里各子系統(tǒng)獨立或交互完成功能。在列車進(jìn)站停車運營場景中，乘客作為系統(tǒng)主要受眾，處于車站與列車子系統(tǒng)的接口處，列車及站臺設(shè)備之間進(jìn)行大量交互行為，因此暴露于危險狀態(tài)的可能性大大增加。

綜上所述，本文以北京燕房線進(jìn)站停車運營場景為例，針對城市軌道交通運行控制系統(tǒng)，使用STPA進(jìn)行安全分析。

2.1 定義系統(tǒng)級事故與危險

2.1.1 系統(tǒng)級事故

A1——列車與列車相撞；

A2——列車與軌道限界內(nèi)障礙物相撞（包含乘客或運營工作人員）；

A3——列車出軌；

A4——與車門有關(guān)的乘客傷害。

2.1.2 系統(tǒng)級危險

針對上述事故，全自動運行系統(tǒng)頂層危險為：

H1——列車超速（會引發(fā)事故A1、A2、A3）；

H2——車門異常開啟或關(guān)閉（會引發(fā)事故A4）。

2.2 列車進(jìn)站停車系統(tǒng)分層控制結(jié)構(gòu)圖

通過對北京燕房線運行系統(tǒng)進(jìn)行分析，繪制出進(jìn)站停車過程的分層控制結(jié)構(gòu)如圖2所示。其中，TIAS（Traffic Integrated Automation System）表示行車綜合自動化系統(tǒng)；VOBC（Vehicle on Board Controller）表示車載系統(tǒng)；CI（Computer Interlocking）表示聯(lián)鎖系統(tǒng)建模對象，既包括各個子系統(tǒng)設(shè)備，也包括參與系統(tǒng)操作的人員（系統(tǒng)工作人員以及乘客）?？刂平Y(jié)構(gòu)圖中主要包含以下內(nèi)容：

（1）正常運營中，TIAS向VOBC發(fā)送的進(jìn)站信息，VOBC控制列車速度并向車門控制器發(fā)送開門命令，完成自動進(jìn)站停車門開啟。

（2）正常運營中，列車在距站臺規(guī)定距離時，VOBC與車站CI通信，交互信息，CI根據(jù)信息控制站臺門控制器，完成站臺門與車門同步開啟。

（3）異常情況下（如車站軌道限界內(nèi)有障礙物），由TIAS中心調(diào)度員或車站綜合站務(wù)員負(fù)責(zé)發(fā)現(xiàn)，并發(fā)送控制命令禁止列車進(jìn)站。

圖2 全自動運行系統(tǒng)列車進(jìn)站停車控制結(jié)構(gòu)圖

2.3 不安全控制行為

針對圖2列車進(jìn)站停車運營場景系統(tǒng)分層控制結(jié)構(gòu)圖中的控制行為，結(jié)合不恰當(dāng)控制的通用分類，辨識列車進(jìn)站停車過程中不安全控制行為如表1所示。其中，Uca（unsafe control action）表示不安全控制行為。

表1 列車進(jìn)站過程不安全控制行為

2.4 不安全控制行為致因與約束

2.4.1 不安全控制行為Uca1分析

當(dāng)車站軌道限界內(nèi)有障礙物，未通過遠(yuǎn)程命令使列車在站外停車，其控制過程模型如圖3所示。

圖3 Uca1過程模型圖

在此控制過程中，主要高層控制器為行車綜合自動化系統(tǒng)TIAS，包含TIAS中心調(diào)度員以及操作臺設(shè)備中的遠(yuǎn)程制動功能模塊。調(diào)度員根據(jù)其過程模型采集判斷車站軌道限界內(nèi)的障礙物信息，并通過人機(jī)交互生成列車禁止進(jìn)站的命令。區(qū)域控制器ZC（Zone Controller）作為TIAS與低層控制器的車載控制器VOBC間的媒介，根據(jù)過程模型判斷并將禁止進(jìn)站的命令轉(zhuǎn)換為列車可執(zhí)行制動的移動授權(quán)MA（Movement Authority）。VOBC作為低層控制器，根據(jù)自身過程模型分析MA情況，判斷列車停車點，通過列車自動防護(hù)ATP（Automatic Train Protection）與列車自動運行ATO（Automatic Train Operation）來執(zhí)行制動，使列車在站外停車。

針對Uca1過程模型圖使用STPA方法分析危險致因因素，分析回路中全部控制器（包含TIAS、ZC與VOBC）過程模型可能會與實際需求不一致的而導(dǎo)致列車無法在站外停車的致因，在控制器中標(biāo)明；分析控制器間的執(zhí)行器與反饋器的過程模型（如包含）以及可能出現(xiàn)的故障，標(biāo)明在對應(yīng)的控制與反饋過程中，如圖4所示。

圖4 Uca1致因因素分析

針對不安全控制行為Uca1的危險、危險致因以及安全約束列表如表2所示。其中，CF（Causal Factor）表示指引因素，SC（Safety Constraint）表示安全約束。因文章篇幅所限，本文只節(jié)選部分安全約束。

表2 Uca1危險源日志

2.4.2 不安全控制行為Uca2分析

列車進(jìn)站停車站臺的站臺門故障，未隔離對應(yīng)車門。當(dāng)車站站臺門故障或被人工鎖閉隔離后，列車在該站臺時，該側(cè)站臺的所有列車相對應(yīng)的車門也保持鎖閉，不參與停站的開、關(guān)門作業(yè)。其控制過程模型如圖5所示。

圖5 Uca2過程模型圖

在此控制過程中，主要高層控制器為站臺門控制器，采集本站臺全部站臺門狀態(tài)信息。當(dāng)采集到站臺門異常時，根據(jù)其過程模型判斷對應(yīng)的異常站臺門編號ID號碼，發(fā)送至CI。CI作為站臺門控制器與VOBC間媒介，將故障ID轉(zhuǎn)發(fā)至VOBC。VOBC根據(jù)其過程模型判斷故障的站臺門位置，并以此為基礎(chǔ)生成隔離對應(yīng)位置的車門的命令，發(fā)送至車門控制器執(zhí)行。車門控制器作為低層控制器，執(zhí)行隔離命令，直接控制某一或某些車門不開啟。

針對Uca2過程模型圖使用STPA方法分析危險致因因素，分析回路中全部控制器過程模型可能會與實際需求不一致的而導(dǎo)致打開異常站臺門對應(yīng)車門的致因，在控制器中標(biāo)明（包含站臺門控制器、VOBC與車門控制器）；分析控制器間的執(zhí)行器與反饋器的過程模型（如包含）以及可能的出現(xiàn)故障，標(biāo)明在對應(yīng)的控制與反饋過程，如圖6所示。其中，TCMS（Train Control and Monitoring System）為車輛信息管理系統(tǒng)。

圖6 Uca2致因因素分析

針對不安全控制行為Uca2的危險、危險致因以及安全約束列表如表3所示。因文章篇幅有限，本文只節(jié)選部分安全約束。

表3 Uca2危險源日志

3 結(jié)論

STPA認(rèn)為危險的出現(xiàn)是由于不充分的控制導(dǎo)致安全約束的缺失，因而以輸入、輸出可觀變量為指引，使其分析更具條理性，邏輯性也更強(qiáng)。本文中使用STPA系統(tǒng)性安全分析方法識別系統(tǒng)不安全控制行為，結(jié)合系統(tǒng)運營場景辨識危險致因，更適合工程研發(fā)經(jīng)驗較少的全新系統(tǒng)設(shè)計［13］。

同時，STPA除了可以分析出傳統(tǒng)方法組件失效致因外，還可以分析出未包含或很少包含的其他致因因素，即辨識出了不一致的過程模型，導(dǎo)致系統(tǒng)在實現(xiàn)過程中與實際運行需求不一致而引發(fā)的危險。將人作為系統(tǒng)控制回路中的重要環(huán)節(jié)，發(fā)現(xiàn)運營人員、乘客與系統(tǒng)軟件間的交互行為，針對軟件與人的交互需求、運營管理需求以及對乘客行為的約束。這些與傳統(tǒng)的失效指引相比，更容易出現(xiàn)在軟件、人員、組織等諸多因素交互的軌道交通全自動運行這一復(fù)雜系統(tǒng)中。

當(dāng)然，STPA還需要大量的軌道交通實踐來證實其可用性，執(zhí)行完善的流程規(guī)范以保證其一致性?？傊琒TPA雖然還未被軌道交通行業(yè)安全領(lǐng)域廣泛接受，但其卻提供了一種解決傳統(tǒng)安全分析局限的可能性，值得研究人員進(jìn)一步學(xué)習(xí)研究。

［1］ KLETZ T A.HAZOP and HAZAN：identifying and assessing process industry hazards［M］.［S.l.］：IChemE，1999.

［2］ International Electrotechnical Commission.Hazard and operability studies（HAZOP studies）—Application guide：BSI IEC 61822 ［S］.Geneva:International Electrotechnical Commission，2001.

［3］ International Electrotechnical Commission.Analysis techniques for system reliability：procedure for failure mode and effects analysis（FMEA）［M］.Geneva：International Electrotechnical Commission，2006.

［4］ 肖衍，蘇立勇.軌道交通全自動駕駛系統(tǒng)集成技術(shù)研究［J］.中國鐵路，2015（5）：109.

［5］ SALMON P M，CORNELISSEN M，TROTTER M J.Systemsbased accident analysis methods：a comparison of Accimap，HFACS，and STAMP［J］.Safety Science，2012，50（4）：1158.

［6］ LEVESON N.A new accident model for engineering safer systems［J］.Safety Science，2004，42（4）：237.

［7］ FLEMING C H,Spencer M，Thomas J，et al.Safety assurance in NextGen and complex transportation systems ［J］.Safety Science，2013，55（2）：173.

［8］ LEVESON N G.The role of software in spacecraft accidents，AIAA （american institute of aeronautics and astronautics）［J］.Journal of Spacecraft and Rockets，2004，41（4）：564.

［9］ ISHIMATSU T,LEVESON N G，THOMAS J P，et al.Hazard analysis of complex spacecraft using systems-theoretic process analysis ［J］.Journal of Spacecraft&Rockets，2014，51（2）：509.

［10］ DONG Airong.Application of CAST and STPA to railroad safety in China ［D］.Cambridge：Massachusetts Institute of Technology，2012.

［11］ 佚名.首批無人駕駛地鐵列車將駛?cè)氡本┭喾烤€［J］.現(xiàn)代城市軌道交通，2014（5）：97.

［12］ BSI.Railway applications：urban guided transport management and command/control systems：IEC 62290-1 ［S］.London：BSI，2014.

［13］ LEVESON N.Engineering a safer world：systems thinking applied to safety［M］.Boston：Mit Press，2011.

Application of STPA in the Design of Train Control System for Urban Rail Transit

YAN Hongwei，YAN Fei，ZHANG Shijie，NIU Ru，TANG Tao

Aiming at the typical hazard source on system level in a case analysis of Beijing Yanfang Line design，and based on STPA method，the operation scenario of train stopping and parking at station is chosen to establish a safety hierarchical control structure model，which is used to identify the unsafe control behaviors，analyze the risk factors and safety constraints in train operation，and finally design protection measures to meet practical safety requirements by combining with the actual project.The application of the model shows that STPA method can analyze both the technical system and the human factors in the organization system more comprehensively，and identify all of the related causal factors in the operation scenario.

rail transit；fully-automated operation system；safety analysis method；systems-theoretic process analysis（STPA）；safety constraint；safety hierarchical control structure diagram

U231.6

10.16037/j.1007-869x.2017.11.013

First-author′s address China Railway Economic and Planning Research Institute，100038，Beijing，China

2016-02-03）