王冰潔，冷映麗，薛淑勝

(中車南京浦鎮(zhèn)車輛有限公司，江蘇 南京 213100)

0 引言

在碳達(dá)峰、碳中和的背景下，符合綠色出行要求的城市軌道交通受到各地?zé)崤?，而城軌無人駕駛技術(shù)更是因其突出的運(yùn)營(yíng)效率成為眾多項(xiàng)目的首選[1]。目前對(duì)于城軌運(yùn)輸系統(tǒng)下屬的車輛、信號(hào)等子系統(tǒng)內(nèi)部，國(guó)內(nèi)各方通過借鑒歐洲等國(guó)外安全體系，基本已經(jīng)形成了完善的安全管理模式，而對(duì)于各子系統(tǒng)之間的接口安全管理還處于摸索階段?，F(xiàn)有的研究成果著重于解決城軌項(xiàng)目子系統(tǒng)接口管理的職能或者業(yè)務(wù)流程問題，以提升項(xiàng)目運(yùn)轉(zhuǎn)效率為目標(biāo)，或傾向于對(duì)車輛和信號(hào)的接口功能需求的確定，以實(shí)現(xiàn)無人駕駛載客運(yùn)行功能為目標(biāo)。目前還沒有從車輛與信號(hào)接口安全風(fēng)險(xiǎn)角度開展的相關(guān)討論，而接口的安全風(fēng)險(xiǎn)是系統(tǒng)安全風(fēng)險(xiǎn)的奠基石之一，因此有必要開展相關(guān)研究。

1 相關(guān)概念

1.1 危害識(shí)別

危害識(shí)別是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的基礎(chǔ)，是安全保證的關(guān)鍵步驟，以盡可能發(fā)現(xiàn)所有潛在的危害為目的。

1.2 風(fēng)險(xiǎn)評(píng)估

依據(jù)ISO/IEC Guide 51，風(fēng)險(xiǎn)被定義為傷害發(fā)生的可能性及傷害的嚴(yán)重程度的結(jié)合[2]，城市軌道交通領(lǐng)域按照EN50126標(biāo)準(zhǔn)[3]采用最低合理可行(as low as reasonably practicable，ALARP)風(fēng)險(xiǎn)接收準(zhǔn)則，依照風(fēng)險(xiǎn)矩陣(見圖1)開展危害發(fā)生頻率、危害后果以及風(fēng)險(xiǎn)等級(jí)的確定。其中R1～R4代表風(fēng)險(xiǎn)可接受水平，R1表示風(fēng)險(xiǎn)不可接受，必須采取措施消除危害或者控制危害；R2表示不期望的，在合理可行的情況下采取措施將風(fēng)險(xiǎn)降低至合理水平；R3表示可忍受的，如果合理可行，可以采取措施進(jìn)一步降低風(fēng)險(xiǎn)水平；R4表示可接受的，不需要采取措施即可接受該風(fēng)險(xiǎn)[4]。

1.3 風(fēng)險(xiǎn)管理

對(duì)識(shí)別的危害制定風(fēng)險(xiǎn)管控措施，并對(duì)剩余風(fēng)險(xiǎn)再次評(píng)估是否已降低到合理可行，風(fēng)險(xiǎn)管理過程記錄在危害日志中，包括識(shí)別的所有事故場(chǎng)景、危害來源、產(chǎn)生的原因、初步風(fēng)險(xiǎn)分析、危害減輕措施、措施實(shí)施證據(jù)、措施狀態(tài)、剩余風(fēng)險(xiǎn)評(píng)估、危害是否關(guān)閉等信息，危害日志是風(fēng)險(xiǎn)管理的重要證據(jù)。

2 研究方法

本文開展軌道車輛與信號(hào)接口安全風(fēng)險(xiǎn)管理，危害識(shí)別階段采用事故走查法及危害和可造作性分析(hazard and operability analysis，HAZOP)的結(jié)合，措施制定階段采用故障樹分析(fault tree analysis，F(xiàn)TA)。

2.1 事故走查法

由于危害是事故的先兆，識(shí)別可預(yù)見的事故，并通過可造成的事故來識(shí)別危害。依據(jù)城軌項(xiàng)目經(jīng)驗(yàn)，制定的事故類型包括以下幾種：碰撞(包括列車之間、列車與基建以及列車與部件間的碰撞)；脫軌；沖擊(包括加速、減速以及橫向沖擊)；部件掉落、物體彈射以及接觸尖銳物體；爆炸或泄漏；電擊、觸電；跌倒、掉落；夾住；移動(dòng)延時(shí)；火災(zāi)。

圖1 風(fēng)險(xiǎn)矩陣Fig.1 Risk matrix

2.2 危害和可造作性分析

危害和可造作性分析針對(duì)每個(gè)分析對(duì)象，采用預(yù)設(shè)的引導(dǎo)詞進(jìn)行偏離分析，識(shí)別可能存在的偏離以及導(dǎo)致的后果，從而達(dá)到危害識(shí)別的目的[4]。IEC 61882 提出了危害和可造作性分析開展的示例及相關(guān)引導(dǎo)詞參考[5]，結(jié)合軌道交通系統(tǒng)的特性，選定的引導(dǎo)詞如表1所示。

表1 引導(dǎo)詞Table 1 Guide words

2.3 故障樹分析

故障樹分析是一種自上而下的演繹方法，開始于一個(gè)不期望的事件(即頂事件)，而后依據(jù)概率論和布爾代數(shù)的規(guī)則，以邏輯符號(hào)為基礎(chǔ)開展推演，最終確定導(dǎo)致頂事件產(chǎn)生的基本事件(即底事件)[6]。

3 研究?jī)?nèi)容

3.1 接口識(shí)別

接口安全風(fēng)險(xiǎn)管理的第一步是開展接口識(shí)別，接口識(shí)別是危害識(shí)別的基礎(chǔ)，只有保證盡可能地窮舉車輛與信號(hào)的接口，才能實(shí)現(xiàn)盡可能完善的風(fēng)險(xiǎn)管理。國(guó)際電工委員會(huì)發(fā)布的IEC 62290-2標(biāo)準(zhǔn)給出了不同自動(dòng)化等級(jí)下城軌管理和指揮、控制系統(tǒng)的功能要求規(guī)范[7]，定義了必要的運(yùn)營(yíng)功能；IEC 62290-3部分則站在系統(tǒng)角度[8]，對(duì)系統(tǒng)架構(gòu)及子系統(tǒng)接口進(jìn)行了梳理。因此綜合該兩部分標(biāo)準(zhǔn)內(nèi)容，結(jié)合接口關(guān)系及功能索引，可以初步地得出在無人駕駛下，車輛與信號(hào)接口功能清單。根據(jù)已執(zhí)行的多個(gè)國(guó)內(nèi)無人駕駛城軌項(xiàng)目，從供電、安裝、執(zhí)行功能三個(gè)角度，進(jìn)一步檢查車輛與信號(hào)接口清單的完整性，接口清單(節(jié)選)如表2所示，具體識(shí)別過程如圖2所示。

表2 接口清單(節(jié)選)Table 2 Interface list(excerpt)

圖2 接口識(shí)別過程Fig.2 Interface identification

3.2 接口危害識(shí)別

由于單獨(dú)采用經(jīng)驗(yàn)型或者創(chuàng)新型的危害識(shí)別，均難以滿足危害識(shí)別完整性的要求，因此本文結(jié)合HAZOP和事故走查兩種類型的識(shí)別方法，開展接口危害分析，具體包括如下步驟。

1)將接口清單中的每個(gè)編號(hào)的接口作為HAZOP分析的對(duì)象，結(jié)合表1擬定的引導(dǎo)詞，逐一分析該接口可能存在的偏離。

2)對(duì)可能存在的偏離進(jìn)一步分析可能造成的影響。

3)結(jié)合列車運(yùn)營(yíng)場(chǎng)景(出入庫(kù)準(zhǔn)備、正常載客運(yùn)營(yíng)、降級(jí)運(yùn)營(yíng)、緊急疏散、維修)與上述的事故清單，分析造成的影響是否可能導(dǎo)致安全事故。

4)識(shí)別出的具有安全風(fēng)險(xiǎn)的偏離項(xiàng)標(biāo)記接口危害編號(hào)，以便在下一階段進(jìn)一步開展危害分析。以接口編號(hào)ATC-01-001為例，對(duì)無人駕駛喚醒功能HAZOP開展記錄參數(shù)如表3所示。

表3 HAZOP示例Table 3 HAZOP example

3.3 初步風(fēng)險(xiǎn)評(píng)估

初步風(fēng)險(xiǎn)評(píng)估是基于識(shí)別出的危害本身，對(duì)其發(fā)生的概率和后果嚴(yán)重程度進(jìn)行半定量的識(shí)別，對(duì)照?qǐng)D1所示的風(fēng)險(xiǎn)矩陣，初步識(shí)別風(fēng)險(xiǎn)水平。以IHA-ATC-001 信號(hào)系統(tǒng)非預(yù)期地喚醒車輛為例，該危害可能導(dǎo)致的事故是電擊、觸電，發(fā)生的場(chǎng)景是人員維護(hù)檢修時(shí)，因此初步識(shí)別該危害的初始發(fā)生概率為D級(jí)，初始后果等級(jí)為3級(jí)，初始風(fēng)險(xiǎn)等級(jí)為R1即不可接受的，按照ALARP原則，需要制定危害減輕措施。

3.4 危害減輕措施制定與分配

危害減輕措施制定時(shí)，應(yīng)當(dāng)優(yōu)選可以盡量消除危害本身的措施，危害無法被消除時(shí)考慮盡量降低危害發(fā)生的概率或者減輕危害產(chǎn)生的后果，為了明確危害可能導(dǎo)致事故發(fā)生的原因，采用FTA的方式開展推演，在得出一階割集和二階割集后，有針對(duì)性地制定減輕措施。以IHA-ATC-001為例，構(gòu)建非預(yù)期地喚醒列車導(dǎo)致人員觸電這一不期望事故的故障樹分析，如圖3所示。

圖3 非預(yù)期地喚醒列車導(dǎo)致觸電Fig.3 Unexpected wake-up of the train leads to electric shock

由圖3故障樹分析可得出，該故障樹不存在一階割集，即沒有任意單一事件會(huì)直接導(dǎo)致頂事件的發(fā)生。進(jìn)一步分析二階割集，在維護(hù)場(chǎng)景下(事件1)，會(huì)導(dǎo)致該頂事件發(fā)生的割集包括：事件5信號(hào)系統(tǒng)非期望地輸出本地喚醒指令；事件6列車控制問題導(dǎo)致非預(yù)期地喚醒列車；事件7運(yùn)營(yíng)調(diào)度人員非預(yù)期地觸發(fā)遠(yuǎn)程喚醒；事件8信號(hào)系統(tǒng)故障導(dǎo)致誤觸發(fā)遠(yuǎn)程喚醒指令。因此可以針對(duì)上述底事件從車輛設(shè)計(jì)、信號(hào)功能及運(yùn)營(yíng)管理三個(gè)角度開展危害減輕措施的制定。從車輛設(shè)計(jì)角度考慮，可以通過設(shè)置表示車輛處于檢修狀態(tài)的裝置或方法；從信號(hào)系統(tǒng)角度考慮，信號(hào)系統(tǒng)應(yīng)從自身控制方式上確保檢修模式下不觸發(fā)喚醒控制指令(包括本地喚醒及遠(yuǎn)程喚醒)；從運(yùn)營(yíng)管理角度考慮，應(yīng)制定相關(guān)管理?xiàng)l例，避免人員誤操作導(dǎo)致遠(yuǎn)程喚醒處于維護(hù)狀態(tài)的車輛。

3.5 剩余風(fēng)險(xiǎn)評(píng)估

剩余風(fēng)險(xiǎn)是指初始風(fēng)險(xiǎn)在經(jīng)過減輕措施的實(shí)施后仍然殘余的風(fēng)險(xiǎn)，根據(jù)ALARP原則，只要剩余風(fēng)險(xiǎn)已經(jīng)可以被廣泛接受，即可認(rèn)為該風(fēng)險(xiǎn)已經(jīng)降低到可接受的水平。評(píng)估剩余風(fēng)險(xiǎn)要針對(duì)制定的措施落實(shí)情況，識(shí)別危害發(fā)生的概率和后果兩個(gè)維度的水平，進(jìn)而評(píng)價(jià)風(fēng)險(xiǎn)是否可被接受。

3.6 接口安全風(fēng)險(xiǎn)管理

經(jīng)過危害識(shí)別、初步風(fēng)險(xiǎn)評(píng)估、危害減輕措施制定和分配以及剩余風(fēng)險(xiǎn)評(píng)估幾個(gè)過程，可以系統(tǒng)得出無人駕駛城軌車輛與信號(hào)的接口危害分析清單，清單信息(部分)如表4所示。

完成相關(guān)接口危害分析后，安全風(fēng)險(xiǎn)管理的重點(diǎn)落到了風(fēng)險(xiǎn)減輕措施的落實(shí)上。為有效保證安全風(fēng)險(xiǎn)閉環(huán)管理，考慮采用以下方法。

1)措施內(nèi)容必須清晰且具有可執(zhí)行性，例如上述中制定的“設(shè)置表示車輛處于檢修狀態(tài)的裝置或方法”措施，具體可被描述為“設(shè)置車輛檢修開關(guān)，該開關(guān)狀態(tài)應(yīng)告知信號(hào)系統(tǒng)，并能在地面進(jìn)行顯示”。

2)制定的措施與責(zé)任方應(yīng)一一對(duì)應(yīng)，例如“應(yīng)制定相關(guān)管理規(guī)范，不應(yīng)喚醒處于檢修狀態(tài)的列車”，該條措施是針對(duì)維護(hù)人員的操作管理?xiàng)l例的，應(yīng)由負(fù)責(zé)車輛維護(hù)的相關(guān)管理方落實(shí)。

3)對(duì)于由車輛方負(fù)責(zé)落實(shí)的措施，關(guān)聯(lián)至車輛設(shè)計(jì)需求中進(jìn)行推進(jìn)，并分配至唯一的措施實(shí)施人員，實(shí)施人員在措施落實(shí)后填寫措施證據(jù)，措施證據(jù)包括不限于：設(shè)計(jì)規(guī)范、圖紙、計(jì)算報(bào)告、試驗(yàn)報(bào)告等。

4)對(duì)于由除車輛以外的其他子系統(tǒng)負(fù)責(zé)的措施，例如表4中所示的“信號(hào)方”“維護(hù)方”等，車輛方與這些子系統(tǒng)無合同隸屬關(guān)系，缺少有力的約束方式。因此需要識(shí)別該項(xiàng)目的高權(quán)利或高利益的干系人，例如國(guó)內(nèi)城軌項(xiàng)目高權(quán)利和高利益人通常為軌道公司建設(shè)方，或者有部分項(xiàng)目高權(quán)利人為獨(dú)立安全評(píng)估方，由這些干系人牽頭組織開展接口安全風(fēng)險(xiǎn)的協(xié)調(diào)工作，此時(shí)即可將車輛識(shí)別出的需要轉(zhuǎn)移給外部其他子系統(tǒng)的措施進(jìn)行落實(shí)，明確所有轉(zhuǎn)移的措施是否合理可行，并由落實(shí)方提交相關(guān)證據(jù)。同時(shí)，為保護(hù)車輛方的安全風(fēng)險(xiǎn)可控，轉(zhuǎn)移至外部的措施也將落入車輛安全相關(guān)應(yīng)用限制條件中，在車輛的安全例證(safety case)中進(jìn)行聲明。

5)將接口危害納入車輛級(jí)危害日志進(jìn)行管理，車輛危害日志是車輛安全管理的全過程記錄，因此接口危害分析表單設(shè)置“危害日志對(duì)應(yīng)編號(hào)”一列，用于與危害日志進(jìn)行關(guān)聯(lián)，危害日志中對(duì)應(yīng)危害中的相關(guān)措施也被標(biāo)記為接口危害的編號(hào)，從而形成列車級(jí)危害分析的體系性架構(gòu)。

表4 接口危害分析樣表(部分)Table 4 Interface hazard analysis sample table (part)

4 結(jié)語(yǔ)

城市軌道交通是由多個(gè)子系統(tǒng)相互協(xié)作的系統(tǒng)工程，尤其在當(dāng)下無人駕駛技術(shù)被廣泛應(yīng)用，高度自動(dòng)化技術(shù)引入的安全風(fēng)險(xiǎn)更是社會(huì)各方關(guān)注的焦點(diǎn)，其中車輛和信號(hào)的接口又是安全風(fēng)險(xiǎn)管理的薄弱環(huán)節(jié)。本文基于危害識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)減輕、風(fēng)險(xiǎn)再評(píng)估的基本思路，采用HAZOP、FTA等風(fēng)險(xiǎn)分析工具，對(duì)無人駕駛城軌車輛和信號(hào)的接口開展安全風(fēng)險(xiǎn)進(jìn)行了探討，得出一套可有效管理安全接口風(fēng)險(xiǎn)的方法，該方法也可推廣至其他子系統(tǒng)接口風(fēng)險(xiǎn)管理。

本研究存在以下不足：一方面，由于國(guó)內(nèi)軌道行業(yè)發(fā)展時(shí)間還較為短暫，發(fā)生相關(guān)安全事故的案例更是稀少，還不足以借助實(shí)際案例信息就發(fā)生概率和后果得出定量的數(shù)據(jù)，因此本研究中風(fēng)險(xiǎn)識(shí)別時(shí)主要采用經(jīng)驗(yàn)判斷，主觀影響較大；另一方面，本研究從車輛的角度對(duì)車輛和信號(hào)接口開展安全風(fēng)險(xiǎn)的管理，而接口的安全風(fēng)險(xiǎn)需要接口各方在各自角度開展風(fēng)險(xiǎn)分析和管理，各方都“握手”才能更好地保證安全風(fēng)險(xiǎn)可控，因此本研究對(duì)于運(yùn)輸系統(tǒng)的安全風(fēng)險(xiǎn)管理而言，存在由于分析開展角度導(dǎo)致的局限性。以上問題將在后續(xù)研究中進(jìn)一步優(yōu)化改善。