王瀟驍 趙華華 楚彭子 洪海珠 袁建軍 虞 翊

(1.上海申通地鐵集團(tuán)有限公司技術(shù)中心，201103，上海；2.同濟(jì)大學(xué)磁浮交通工程技術(shù)研究中心，201804，上海；3.同濟(jì)大學(xué)上海市磁浮與軌道交通協(xié)同創(chuàng)新中心，201804，上?！蔚谝蛔髡?工程師)

近幾年，為了更好地服務(wù)乘客，全自動無人駕駛系統(tǒng)在國內(nèi)已經(jīng)逐步建設(shè)并掀起熱潮，信號系統(tǒng)與其他系統(tǒng)一體化的“大綜控”技術(shù)方案得到關(guān)注。在實(shí)施效果上，通過將傳統(tǒng)ATS(列車自動監(jiān)控)和ISCS(綜合監(jiān)控系統(tǒng))兩套系統(tǒng)進(jìn)行整合，為中心調(diào)度提供了集成化的人機(jī)操作界面[1]，大大提高了調(diào)度人員的工作便利度及場景處理效率。在無人駕駛模式下，原先由駕駛員執(zhí)行的工作被自動化設(shè)備代替，系統(tǒng)的可靠性和集成度要求更高，運(yùn)行或運(yùn)營場景更為復(fù)雜，對旅客服務(wù)質(zhì)量的要求也更高。

由此可見，具備綜合自動化、一體化和智能化特征的城市軌道交通全自動智能化運(yùn)行行車指揮模式將是運(yùn)控系統(tǒng)的發(fā)展方向之一[2]。從系統(tǒng)設(shè)計(jì)及實(shí)施層面看，由于各子系統(tǒng)從根源上是獨(dú)立設(shè)計(jì)的，安全完整性等級(SIL)各不相同。例如：信號系統(tǒng)的中央層設(shè)備ATS的SIL要求應(yīng)達(dá)到2級；軌旁及車載設(shè)備層，如ZC(區(qū)域監(jiān)制器)、CI(計(jì)算機(jī)聯(lián)鎖)、VOBC(車載控制器)等的SIL要求應(yīng)達(dá)到4級；而對于綜合監(jiān)控系統(tǒng)而言，相應(yīng)的SIL較低[3]。因此，基于孤立子系統(tǒng)進(jìn)行場景及安全性分析難以滿足日益復(fù)雜的子系統(tǒng)聯(lián)動安全需求。

全自動智能化運(yùn)行平臺是一類以信號系統(tǒng)為核心，以乘客服務(wù)為導(dǎo)向，以各系統(tǒng)數(shù)據(jù)匯集或信息融合為抓手，以安全、可靠、高效、經(jīng)濟(jì)等指標(biāo)為目標(biāo)的面向調(diào)度和運(yùn)維的智能化多系統(tǒng)聯(lián)動決策與自動運(yùn)行的系統(tǒng)[2]。子系統(tǒng)間的相互影響與協(xié)作使得全自動智能化運(yùn)行平臺可視為一個有機(jī)整體。以運(yùn)營場景為核心，研究與分析安全特性對其正常運(yùn)行十分有益，也有助于系統(tǒng)的全生命周期閉環(huán)管理[4]。本文在文獻(xiàn)[2]的基礎(chǔ)上，探討“全自動智能化運(yùn)行平臺安全指南”(以下簡稱為“安全指南”)的框架與內(nèi)容，為城市軌道交通全自動智能化運(yùn)行平臺的設(shè)計(jì)、開發(fā)和應(yīng)用提供指導(dǎo)。

1 安全指南研究流程

安全指南的研究在于為系統(tǒng)安全設(shè)計(jì)、安全運(yùn)行和安全評估等提供指導(dǎo)性文件。這需要了解系統(tǒng)的功能范圍、系統(tǒng)邊界以及應(yīng)用場景?；诖耍梢韵葟母拍?、功能、架構(gòu)和接口等方面出發(fā)，把握平臺屬性，剖析涉及的場景，尤其是特有的場景?；谶\(yùn)營場景分析風(fēng)險事件、概率與嚴(yán)重性等級，進(jìn)而從運(yùn)行安全、運(yùn)營安全、信息安全以及技術(shù)管控與組織管控等角度提出相應(yīng)的安全要求與管控措施，最終形成具有指導(dǎo)意義的安全指南，如圖1所示。

圖1 安全指南研究流程示意

2 運(yùn)營場景特性分析

運(yùn)營場景的研究有助于系統(tǒng)的開發(fā)設(shè)計(jì)、工程的建設(shè)與管理[4-5]。全自動智能化運(yùn)行平臺存在多個業(yè)務(wù)子系統(tǒng)之間的聯(lián)動功能，需要制定具體的需求規(guī)范，并以運(yùn)營場景的形式來描述。鑒于該平臺子系統(tǒng)間的聯(lián)動復(fù)雜，可將這些存在聯(lián)動關(guān)系的場景視為復(fù)雜運(yùn)營場景。這種復(fù)雜性與該平臺的特性有關(guān)。首先，復(fù)雜運(yùn)營場景涉及平臺集成方案中的多個子系統(tǒng)，子系統(tǒng)之間存在安全接口；同時，復(fù)雜運(yùn)營場景的處置方案體現(xiàn)在涉及多個專業(yè)系統(tǒng)，或者是涉及多種專業(yè)的調(diào)度人員；此外，復(fù)雜運(yùn)營場景需要反映系統(tǒng)功能，體現(xiàn)出平臺廣度以及聯(lián)動處理能力。

對于運(yùn)營場景或復(fù)雜運(yùn)營場景的描述涉及不同主體的行為及其基本流程。針對上海軌道交通全自動運(yùn)行系統(tǒng)的運(yùn)營場景，文獻(xiàn)[6]結(jié)合上海軌道交通14號線、15號線和18號線的建設(shè)經(jīng)驗(yàn)，將場景分為正常場景、故障場景與應(yīng)急場景。同時，上海申通地鐵集團(tuán)有限公司的企業(yè)標(biāo)準(zhǔn)《上海軌道交通全自動運(yùn)行運(yùn)營場景及功能分配》對復(fù)雜運(yùn)營場景做出了類似的描述。就全自動智能化運(yùn)行平臺的復(fù)雜運(yùn)營場景而言，正常運(yùn)營場景包括早間車輛基地準(zhǔn)備、自動開站、自動關(guān)站和站臺候車引導(dǎo)4大項(xiàng)。故障運(yùn)營場景包括車輛設(shè)備故障、信號設(shè)備故障、站臺門故障、供電故障、機(jī)電設(shè)備故障和線路故障等6大項(xiàng)復(fù)雜運(yùn)營場景。應(yīng)急運(yùn)營場景包括乘客摔倒、大客流、擠岔、脫軌、列車在站臺發(fā)生火災(zāi)、列車在區(qū)間發(fā)生火災(zāi)、車站火災(zāi)、區(qū)間火災(zāi)、列車在站臺疏散、列車在區(qū)間疏散、區(qū)間因故停車、列車救援和檢測到緊急報(bào)警等11大項(xiàng)復(fù)雜運(yùn)營場景。

以“站臺門故障”為例，可將該場景分為涉及站臺門與信號接口電路故障、一扇或多扇站臺門故障和對位隔離故障(如圖2所示)3個子場景來討論。對于“站臺門與信號接口電路故障”子場景，車輛、通信、綜合監(jiān)控、站臺門等專業(yè)均存在聯(lián)動或接口關(guān)系，接口間存在一定的時序關(guān)聯(lián)性，在運(yùn)營人員配合下形成完整處置閉環(huán)，是典型的跨多子系統(tǒng)聯(lián)動的復(fù)雜運(yùn)營場景。

圖2 站臺門故障場景示意

3 安全要求

全自動智能化運(yùn)行平臺圍繞著服務(wù)乘客的核心目標(biāo)，實(shí)現(xiàn)ATS核心功能、一體化綜合監(jiān)控功能、聯(lián)動功能、綜合運(yùn)維功能以及輔助管理功能等。明確平臺功能的安全性要求，對保障城市軌道交通大系統(tǒng)的整體安全十分重要。

3.1 安全風(fēng)險范疇

廣義的安全著眼于“人-機(jī)-環(huán)境-管理”所表現(xiàn)出的整體安全性[10]。文獻(xiàn)[7]將軌道交通安全劃分為運(yùn)行安全、運(yùn)營安全和信息安全，并認(rèn)為運(yùn)行安全屬于以系統(tǒng)為主體的設(shè)備級安全；運(yùn)營安全是以人員為主體的管理級安全；信息安全是以環(huán)境為主體的環(huán)境級安全。根據(jù)全自動智能化運(yùn)行平臺的內(nèi)涵及其“大綜控” “服務(wù)乘客” “智能化運(yùn)行”的思想，該平臺的安全風(fēng)險也可以從這三方面進(jìn)行綜合考慮，并權(quán)衡三者的對立與統(tǒng)一關(guān)系[7-8]。

對于運(yùn)行安全，可靠、可用、可維護(hù)是其安全原則，體現(xiàn)在系統(tǒng)的運(yùn)行狀態(tài)是安全的。作為安全苛求系統(tǒng)，全自動智能化運(yùn)行平臺的設(shè)計(jì)必須遵循“故障-安全”原則，最大限度確保行車安全。該目標(biāo)的實(shí)現(xiàn)需要對平臺的運(yùn)行安全風(fēng)險進(jìn)行研究，設(shè)計(jì)判斷機(jī)制以及安全側(cè)，以達(dá)到應(yīng)有的安全性要求。就運(yùn)營安全而言，嚴(yán)格的資質(zhì)培訓(xùn)及考核、作業(yè)行為的全過程監(jiān)控、規(guī)章制度的完善與落實(shí)是其安全原則，體現(xiàn)在組織行為的安全性，尤其是故障情形下不同主體的協(xié)作。作為服務(wù)乘客的智能化運(yùn)行平臺，如何正確地跨專業(yè)協(xié)同與引導(dǎo)乘客，減少與降低運(yùn)營風(fēng)險，是該平臺應(yīng)關(guān)注的內(nèi)容。從信息安全的角度，信息的保密性、真實(shí)性與完整性是其原則，主要體現(xiàn)在信息的封閉性與連貫性。全自動智能化運(yùn)行平臺是CBTC(基于通信的列車控制)系統(tǒng)，相關(guān)子系統(tǒng)也會涉及數(shù)據(jù)信息的產(chǎn)生、傳輸、顯示和存儲等，信息安全防護(hù)對于該平臺同樣至關(guān)重要。

3.2 智能化運(yùn)行的安全指南要求

3.2.1 運(yùn)行安全要求

全自動智能化運(yùn)行平臺對列車的運(yùn)行安全有著嚴(yán)格的要求，包括其自身的安全性要求(即系統(tǒng)安全性要求)以及與之相連的外部子系統(tǒng)之間安全性要求(即外部接口安全性要求)。

在系統(tǒng)安全方面，需參考的安全性要求有：全自動智能化運(yùn)行平臺的安全完整性等級應(yīng)為SIL2；系統(tǒng)生命周期各階段的RAMS(可靠性、可用性、可維護(hù)性和安全性)管理流程應(yīng)符合GB/T 21562—2008《軌道交通可靠性、可用性、可維修性和安全性規(guī)范及示例》要求；系統(tǒng)安全相關(guān)電子系統(tǒng)研發(fā)過程中的質(zhì)量管理、安全管理、功能安全和技術(shù)安全證據(jù)、安全驗(yàn)收和審批應(yīng)符合GB/T 28809—2012《軌道交通 通信、信號和處理系統(tǒng) 信號用安全相關(guān)電子系統(tǒng)》的要求；系統(tǒng)控制和防護(hù)軟件的需求規(guī)范、結(jié)構(gòu)、設(shè)計(jì)與實(shí)現(xiàn)、驗(yàn)證與測試、軟件/硬件集成、軟件確認(rèn)、評估和質(zhì)量保證應(yīng)符合GB/T 28808—2012《軌道交通 通信、信號和處理系統(tǒng) 控制和防護(hù)系統(tǒng)軟件》的要求；系統(tǒng)或設(shè)備應(yīng)遵循故障-安全機(jī)制，并應(yīng)符合TB/T 2615—2018《鐵路信號故障-安全原則》的要求；系統(tǒng)或設(shè)備采用封閉式傳輸系統(tǒng)時，其功能完整性、安全完整性、安全規(guī)程、安全編碼應(yīng)符合GB/T 24339.1—2009《軌道交通 通信、信號和處理系統(tǒng) 第1部分：封閉式傳輸系統(tǒng)中的安全相關(guān)通信》的要求；系統(tǒng)或設(shè)備采用開放式傳輸系統(tǒng)時，數(shù)據(jù)傳輸?shù)姆雷o(hù)應(yīng)滿足GB/T 24339.2—2009《軌道交通 通信、信號和處理系統(tǒng) 第2部分：開放式傳輸系統(tǒng)中的安全相關(guān)通信》要求。

在外部接口安全方面，應(yīng)根據(jù)全自動智能化運(yùn)行平臺與外部子系統(tǒng)之間的接口所應(yīng)實(shí)現(xiàn)的功能和性能，以及接口失效后可能會造成的事故后果及其嚴(yán)重程度，定義接口的安全性要求。外部接口的安全性要求需按照接口雙方安全完整性等級較高一方的要求，對接口的設(shè)計(jì)標(biāo)準(zhǔn)和安全性進(jìn)行要求。涉及的內(nèi)容有：全自動智能化運(yùn)行平臺與軌旁信號系統(tǒng)設(shè)備之間的通信屬于安全相關(guān)設(shè)備之間的通信，其中全自動智能化運(yùn)行平臺的安全完整性等級保持與ATS同樣的等級，即SIL2，而軌旁信號系統(tǒng)的安全完整性等級為SIL4，兩者之間的接口需要遵循GB/T 24339.1—2009，滿足軌旁信號系統(tǒng)對接口安全性的要求(SIL4)；全自動智能化運(yùn)行平臺通過與外部系統(tǒng)接口，實(shí)現(xiàn)對PSCADA(電力監(jiān)控與數(shù)據(jù)采集)、BAS(環(huán)境監(jiān)控系統(tǒng))、FAS(火災(zāi)報(bào)警系統(tǒng))、CCTV、PIS、PA、ACS(門禁系統(tǒng))、PSD(站臺門)、AFC(自動售檢票)、ILS(儀表著陸系統(tǒng))、RC(無線通信)、CLK(時鐘)和車輛系統(tǒng)的監(jiān)控功能。全自動智能化運(yùn)行平臺的安全完整性等級為SIL2，如果外部系統(tǒng)故障或接口失效，有可能會造成全自動智能化運(yùn)行平臺對其的監(jiān)控功能失效或ATS系統(tǒng)功能的受影響。為了防止外部系統(tǒng)故障對全自動智能化運(yùn)行平臺的影響，在外部系統(tǒng)接入全自動智能化運(yùn)行平臺時，要采取接口隔離的安全措施，并制定相應(yīng)的操作規(guī)程、應(yīng)急預(yù)案和規(guī)章制度。接口隔離的安全性要求可參照GB/T 24339.1—2009和GB/T 24339.2—2009。

3.2.2 運(yùn)營安全要求

為了更好地服務(wù)乘客，需要嚴(yán)格保障運(yùn)營安全，需參考的內(nèi)容有：GB/T 38707—2020《城市軌道交通運(yùn)營技術(shù)規(guī)范》中運(yùn)營管理要求的相關(guān)規(guī)定；GB/T 30012—2013《城市軌道交通運(yùn)營管理規(guī)范》中對于行車組織、客運(yùn)組織、車輛及基地管理、設(shè)施設(shè)備管理、人員管理以及安全管理相關(guān)規(guī)定；GB/T 33668—2017《地鐵安全疏散規(guī)范》中對于設(shè)備系統(tǒng)的疏散技術(shù)要求和安全疏散運(yùn)營管理要求等。

同時，還應(yīng)參考T/CAMET 04017.7—2019《城市軌道交通 全自動運(yùn)行系統(tǒng)規(guī)范第7部分：運(yùn)營管理》中對于行車組織、客運(yùn)組織與服務(wù)、設(shè)備設(shè)施管理、人員管理及要求，以及安全與應(yīng)急管理相關(guān)規(guī)定；另外，還應(yīng)參考DB11/T1166—2015《城市軌道交通運(yùn)營安全管理規(guī)范》中對于人員安全管理、行車安全管理、客運(yùn)安全管理、設(shè)備設(shè)施安全管理、事故和事件管理、風(fēng)險和應(yīng)急管理這些方面的規(guī)定等。

此外，全自動智能化運(yùn)行平臺還應(yīng)考慮路網(wǎng)協(xié)同，體現(xiàn)在能夠在應(yīng)急或故障場景下做到快速調(diào)圖，結(jié)合工作人員的應(yīng)急組織，盡可能地減小延誤，以保證乘客服務(wù)質(zhì)量。

3.2.3 信息安全要求

對于信息安全要求，需參考的內(nèi)容有：根據(jù)GB/T 22240—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》，全自動智能化運(yùn)行平臺的信息系統(tǒng)安全等級保護(hù)定級為第三級；系統(tǒng)應(yīng)滿足GB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中第三級的安全保護(hù)能力及其安全保護(hù)的技術(shù)要求和管理要求，即：應(yīng)能夠有效防護(hù)主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，并能夠在系統(tǒng)遭到損害后，較快恢復(fù)絕大部分功能。

同時應(yīng)參考GB/T 25070—2010《信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》中第三級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)技術(shù)要求，構(gòu)建安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心。通過安全互聯(lián)部件和跨定級安全管理系統(tǒng)中心，實(shí)現(xiàn)與外部其他子系統(tǒng)相同或不同等級的定級系統(tǒng)安全保護(hù)環(huán)境之間的安全連接，應(yīng)保持用戶身份、主/客體標(biāo)記、訪問控制策略等安全要素的一致性，對互聯(lián)系統(tǒng)之間的互操作和數(shù)據(jù)交換進(jìn)行安全保護(hù)。

此外，全自動智能化運(yùn)行平臺作為一個工業(yè)控制系統(tǒng)，還應(yīng)根據(jù)GB/T 32919—2016《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》的要求，從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、數(shù)據(jù)安全等方面做好工控安全技術(shù)防護(hù)。

3.3 安全要求的落實(shí)

全自動智能化運(yùn)行平臺屬于一類全自動運(yùn)行系統(tǒng)，涉及內(nèi)容較多。上述安全要求的落實(shí)需要根據(jù)擬開發(fā)的平臺進(jìn)行探討，進(jìn)而根據(jù)涉及的子項(xiàng)及其要求(標(biāo)準(zhǔn)或規(guī)定)逐項(xiàng)對照，以確保所開發(fā)系統(tǒng)具備應(yīng)有的安全性能。

4 風(fēng)險管控

針對全自動智能化運(yùn)行平臺風(fēng)險管控，可從開發(fā)過程和安全評估兩方面做出要求。開發(fā)過程中，在落實(shí)上述安全要求的基礎(chǔ)上，還應(yīng)盡可能多地發(fā)現(xiàn)與規(guī)避風(fēng)險源。必要時，需采用技術(shù)管控來降低風(fēng)險概率，并輔以管理措施，以降低危害。風(fēng)險因素識別以及安全驗(yàn)證的方法有很多，如故障樹、頭腦風(fēng)暴、魚骨圖、形式化驗(yàn)證等[9,11]，方法也相對成熟，本文不再贅述。

安全評估是對系統(tǒng)安全性能的鑒定。對于全自動智能化運(yùn)行平臺，評估范圍包括系統(tǒng)功能、性能和接口關(guān)系，涵蓋系統(tǒng)開發(fā)與使用的全過程。評估時，應(yīng)委托具有安全評估資質(zhì)的第三方進(jìn)行安全評估。

5 結(jié)語

全自動智能化運(yùn)行是一種跨線網(wǎng)與跨專業(yè)的智能化協(xié)同運(yùn)行模式。本文探討了全自動智能化運(yùn)行平臺安全指南的構(gòu)建流程，并就其中多方面的內(nèi)容進(jìn)行了闡述。安全指南的構(gòu)建有助于該平臺的研究與實(shí)施，研究內(nèi)容能夠?yàn)槿詣又悄芑\(yùn)行模式下城市軌道交通運(yùn)行控制系統(tǒng)的開發(fā)提供參考。