薛維清，胡妃儼，李 雁，高伯翰，朱 晟，丁 奕

（1.交控科技股份有限公司，北京 100070；2.深圳交控科技有限公司，廣東深圳 518000）

1 研究背景

近年來(lái)，全自動(dòng)運(yùn)行(FAO)線路建設(shè)呈現(xiàn)井噴式發(fā)展，北京、上海、深圳、蘇州、濟(jì)南、武漢、南寧、杭州等大批國(guó)內(nèi)城市新建的軌道交通線路采用了FAO系統(tǒng)，既有線路改造同樣多選擇升級(jí)為FAO 系統(tǒng)。FAO 系統(tǒng)由車輛、信號(hào)、通信、綜合安防、綜合監(jiān)控、站臺(tái)門、行車綜合自動(dòng)化等多個(gè)核心子系統(tǒng)組成。由于FAO 系統(tǒng)的復(fù)雜性，傳統(tǒng)的風(fēng)險(xiǎn)分析技術(shù)難以完全識(shí)別出FAO 系統(tǒng)的所有安全風(fēng)險(xiǎn)，因此研究FAO 系統(tǒng)風(fēng)險(xiǎn)分析技術(shù)，對(duì)于全面深入地識(shí)別FAO 系統(tǒng)潛在的風(fēng)險(xiǎn)，并進(jìn)行危害分析工作，對(duì)于FAO 線路的建設(shè)及安全運(yùn)營(yíng)具有重要的意義。

目前，對(duì)于FAO 系統(tǒng)的風(fēng)險(xiǎn)分析主要有以下幾個(gè)痛點(diǎn)和問(wèn)題：

1) 目前國(guó)內(nèi)缺少對(duì)FAO 系統(tǒng)頂層的安全分析體系，對(duì)于全自動(dòng)運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)分析沒(méi)有形成成熟的體系，部分功能并沒(méi)有達(dá)到FAO 系統(tǒng)的安全要求，只是符合CBTC(基于通信的列車控制)系統(tǒng)的安全要求；

2) 國(guó)內(nèi)外標(biāo)準(zhǔn)主要解決的是FAO 線路在建設(shè)過(guò)程中遇到的通用和共性的安全問(wèn)題，而對(duì)于特定需求的安全問(wèn)題沒(méi)有統(tǒng)一的解決方案；

3) FAO 系統(tǒng)整體集成技術(shù)的安全責(zé)任主體不明確。目前主要問(wèn)題一是以建設(shè)方委托獨(dú)立第三方進(jìn)行FAO 系統(tǒng)風(fēng)險(xiǎn)分析，存在獨(dú)立性的問(wèn)題；二是目前主要由信號(hào)系統(tǒng)集成商開展FAO 系統(tǒng)風(fēng)險(xiǎn)分析，但FAO系統(tǒng)涉及專業(yè)較多，單專業(yè)集成商會(huì)存在安全資源協(xié)調(diào)的局限性，無(wú)法保證FAO 系統(tǒng)風(fēng)險(xiǎn)分析高質(zhì)量完成。

對(duì)于目前存在的這些問(wèn)題，莫志剛等[1]提出在設(shè)計(jì)階段基于危害與可操作性研究(hazard and operability study，HAZOP)及最低合理可行原則(as low as reasonably practicable，ALARP)的方法評(píng)估與控制信號(hào)系統(tǒng)影響行車安全的潛在風(fēng)險(xiǎn)，采用經(jīng)驗(yàn)打分法對(duì)風(fēng)險(xiǎn)進(jìn)行定量分析，確定風(fēng)險(xiǎn)等級(jí)；楊春妮等[2]從人-機(jī)-料-法-環(huán)五方面出發(fā)，分析信號(hào)系統(tǒng)中存在的各種影響因素，綜合運(yùn)用ABC 分類法和因果圖分析法對(duì)風(fēng)險(xiǎn)因素進(jìn)行分析，并制定了相應(yīng)的對(duì)策保證軌道交通安全運(yùn)行。這些研究在單系統(tǒng)風(fēng)險(xiǎn)分析上具有一定的參考意義，但是對(duì)于FAO 全系統(tǒng)的風(fēng)險(xiǎn)識(shí)別及危害分析工作缺少指導(dǎo)建議。周留運(yùn)[3]站在運(yùn)營(yíng)的角度，結(jié)合在實(shí)際運(yùn)營(yíng)過(guò)程中的相關(guān)安全問(wèn)題進(jìn)行了簡(jiǎn)要分析，在相關(guān)功能上為FAO 系統(tǒng)提出了相應(yīng)的安全需求；景龍剛[4]提出通過(guò)運(yùn)用全生命周期風(fēng)險(xiǎn)管理方法，對(duì)FAO 系統(tǒng)開發(fā)、測(cè)試、驗(yàn)證等環(huán)節(jié)進(jìn)行全方位的安全驗(yàn)證，保證系統(tǒng)的安全運(yùn)行；包天剛等[5]提出結(jié)合正線和停車場(chǎng)內(nèi)不同的運(yùn)營(yíng)場(chǎng)景，對(duì)FAO 系統(tǒng)封閉運(yùn)行環(huán)境所存在的安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析，并提出了相應(yīng)的風(fēng)險(xiǎn)控制手段。閆宏偉等[6]通過(guò)研究IEC 62267 與IEC 62290等國(guó)際標(biāo)準(zhǔn)的安全功能與需求，預(yù)先辨識(shí)分析其可能的危險(xiǎn)源，提出了對(duì)系統(tǒng)功能的安全需求。這些研究在對(duì)FAO 系統(tǒng)的風(fēng)險(xiǎn)識(shí)別和危害分析上具有一定的參考意義，但是在整個(gè)FAO 系統(tǒng)層風(fēng)險(xiǎn)識(shí)別和危害分析以及安全需求的提出上還不夠全面和深入。向楠楠等[7]基于系統(tǒng)理論事故建模和過(guò)程(systems-theoretic accident modeling and processes，STAMP)模型提出了一種安全先兆辨識(shí)方法，有效識(shí)別出了FAO 系統(tǒng)各場(chǎng)景下的潛在安全風(fēng)險(xiǎn)；孫景衛(wèi)[8]提出基于Petri 網(wǎng)的全自動(dòng)駕駛系統(tǒng)安全分析方法，結(jié)合FAO 系統(tǒng)的預(yù)先危險(xiǎn)分析，對(duì)FAO 場(chǎng)景進(jìn)行了分析并提出了有效的風(fēng)險(xiǎn)降低措施。對(duì)于全面深入研究FAO 系統(tǒng)的風(fēng)險(xiǎn)分析奠定了一定理論基礎(chǔ)，但是不能進(jìn)行安全完整性等級(jí)(safety integrity level，SIL)分配，不滿足FAO 系統(tǒng)對(duì)各核心子系統(tǒng)進(jìn)行定量指標(biāo)分配的需求。

因此，綜合考慮現(xiàn)有研究現(xiàn)狀并結(jié)合FAO 系統(tǒng)特點(diǎn)，本文提出了一套從FAO 整體系統(tǒng)層面出發(fā)的體系化的安全風(fēng)險(xiǎn)分析方法。即采用自頂而下的方式，在系統(tǒng)概念階段從FAO 整體系統(tǒng)層面出發(fā)，深入分析對(duì)比全自動(dòng)系統(tǒng)的技術(shù)規(guī)范標(biāo)準(zhǔn)以實(shí)施系統(tǒng)初步危害分析，識(shí)別FAO 系統(tǒng)的邊界危害，使得FAO 的各子系統(tǒng)后續(xù)可使用統(tǒng)一的危害清單來(lái)進(jìn)一步開展各自的子系統(tǒng)分析；系統(tǒng)初步運(yùn)營(yíng)使用要求確定后，結(jié)合初步危害分析識(shí)別的邊界危害、線路地點(diǎn)等情景因素，創(chuàng)新性地提出采用情景融合技術(shù)手段，基于具象化的特定場(chǎng)景對(duì)FAO 系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行全面而深入的識(shí)別并進(jìn)行致因因素分析；然后，采用半定量SIL 分配技術(shù)為FAO 系統(tǒng)各核心子系統(tǒng)分配了明確的安全指標(biāo)要求和功能安全需求，以便于實(shí)現(xiàn)具體的工程化目標(biāo)，便于各子系統(tǒng)集成；FAO 系統(tǒng)場(chǎng)景文件完成初版后進(jìn)行場(chǎng)景STPA，以子系統(tǒng)間的關(guān)系為基礎(chǔ)，細(xì)化識(shí)別場(chǎng)景設(shè)計(jì)中的風(fēng)險(xiǎn)場(chǎng)景并提出相應(yīng)的風(fēng)險(xiǎn)緩解措施。

2 FAO 系統(tǒng)概述

如圖1 所示，F(xiàn)AO 系統(tǒng)是基于現(xiàn)代計(jì)算機(jī)、通信、控制和系統(tǒng)集成等技術(shù)，由信號(hào)、車輛、綜合監(jiān)控、通信、站臺(tái)門、綜合安防等與運(yùn)行相關(guān)的核心設(shè)備組成，實(shí)現(xiàn)列車運(yùn)行全過(guò)程自動(dòng)化的新一代軌道交通控制系統(tǒng)。相比于基于通信的列車控制系統(tǒng)(communication based train control system，CBTC)，F(xiàn)AO 系統(tǒng)是在CBTC系統(tǒng)的基礎(chǔ)上進(jìn)行功能拓展的一種升級(jí)系統(tǒng)，具有更高的可靠性和安全性。它可以按最佳模式對(duì)列車進(jìn)行更精確的控制，提高系統(tǒng)運(yùn)行效率和運(yùn)營(yíng)服務(wù)質(zhì)量，降低運(yùn)營(yíng)維護(hù)成本，代表了軌道交通未來(lái)的發(fā)展方向。相比于CBTC 系統(tǒng)來(lái)說(shuō)，F(xiàn)AO 系統(tǒng)更加復(fù)雜，由7 大專業(yè)、31 個(gè)子系統(tǒng)、59 個(gè)大場(chǎng)景、257 個(gè)小場(chǎng)景和700多個(gè)細(xì)小場(chǎng)景組成。在FAO 系統(tǒng)中，有計(jì)劃的操作由系統(tǒng)自動(dòng)聯(lián)動(dòng)控制；在故障、異常和救援場(chǎng)景下需要人工判斷，突發(fā)情況下由中心遠(yuǎn)程控制完成。列車自動(dòng)監(jiān)控系統(tǒng)(automatic train supervision，ATS)與綜合監(jiān)控系統(tǒng)深度集成為行車綜合自動(dòng)化系統(tǒng)(train integration automatic system，TIAS)，實(shí)現(xiàn)綜合自動(dòng)化聯(lián)動(dòng)控制。同時(shí)，由系統(tǒng)來(lái)替代司機(jī)的操作，包括列車喚醒、休眠、進(jìn)站停車、自動(dòng)開關(guān)門、全自動(dòng)洗車等，大大增加了系統(tǒng)的復(fù)雜性[9-10]。因此，研究FAO 系統(tǒng)危害分析技術(shù)，對(duì)于充分識(shí)別FAO 系統(tǒng)層危險(xiǎn)源及致因因素并進(jìn)行合理的FAO 核心子系統(tǒng)功能分配，具有重要意義。

圖1 FAO 系統(tǒng)架構(gòu)Figure 1 Architecture diagram of an FAO system

3 全自動(dòng)運(yùn)行系統(tǒng)風(fēng)險(xiǎn)分析

為了確保FAO 系統(tǒng)風(fēng)險(xiǎn)分析的全面性，在EN 50126 標(biāo)準(zhǔn)生命周期“V”模型中，對(duì)自上而下的左側(cè)分支(通常稱為“開發(fā)”過(guò)程)的各個(gè)階段開展相應(yīng)的風(fēng)險(xiǎn)分析活動(dòng)(如圖2 所示)。

圖2 FAO 系統(tǒng)風(fēng)險(xiǎn)分析框架Figure 2 Risk analysis framework of an FAO system

在系統(tǒng)設(shè)計(jì)初期，將合同、標(biāo)準(zhǔn)規(guī)范作為系統(tǒng)初步風(fēng)險(xiǎn)分析的輸入，采用標(biāo)準(zhǔn)差異分析的方法識(shí)別FAO 系統(tǒng)邊界危害及安全需求；完成設(shè)計(jì)聯(lián)絡(luò)并初步擬定了功能場(chǎng)景說(shuō)明后，結(jié)合相應(yīng)技術(shù)規(guī)范，以場(chǎng)景功能分配表為輸入，采用情景融合分析技術(shù)進(jìn)行系統(tǒng)危害分析，識(shí)別融合風(fēng)險(xiǎn)場(chǎng)景以及對(duì)各子系統(tǒng)功能進(jìn)行SIL 分配并提出相應(yīng)安全需求；完成場(chǎng)景文件及子系統(tǒng)間接口文件后，采用場(chǎng)景STPA 分析技術(shù)進(jìn)行場(chǎng)景危害分析，識(shí)別危害場(chǎng)景并補(bǔ)充相應(yīng)安全需求。

整個(gè)FAO 系統(tǒng)風(fēng)險(xiǎn)識(shí)別過(guò)程是自頂而下的逐步細(xì)化過(guò)程，可以確保分析的完整性和全面性。風(fēng)險(xiǎn)分析識(shí)別的危害、安全需求及功能SIL 分配結(jié)果將向下傳遞給FAO 系統(tǒng)中各核心子系統(tǒng)。

FAO 系統(tǒng)風(fēng)險(xiǎn)識(shí)別的過(guò)程屬于整體風(fēng)險(xiǎn)識(shí)別的過(guò)程，子系統(tǒng)根據(jù)FAO 系統(tǒng)風(fēng)險(xiǎn)識(shí)別的結(jié)果進(jìn)行細(xì)化分析，細(xì)化分析的子系統(tǒng)間接口危害分析(IHA)和操作與支持危害分析(OSHA)工作將在各核心子系統(tǒng)層進(jìn)行，本文不再贅述。

另外，在進(jìn)行FAO 系統(tǒng)風(fēng)險(xiǎn)分析過(guò)程中，為了解決FAO 系統(tǒng)集成技術(shù)安全主體責(zé)任不明確的問(wèn)題，在系統(tǒng)風(fēng)險(xiǎn)分析階段提出，由業(yè)主建設(shè)方委托一致性協(xié)調(diào)方來(lái)作為技術(shù)牽頭人，組織各核心子系統(tǒng)供應(yīng)方、運(yùn)營(yíng)維護(hù)方、各子系統(tǒng)評(píng)估方及FAO 系統(tǒng)評(píng)估方參與風(fēng)險(xiǎn)分析活動(dòng)，其中，咨詢方提供技術(shù)把控，各子系統(tǒng)評(píng)估方及FAO 系統(tǒng)評(píng)估方作為風(fēng)險(xiǎn)分析的見證方參與風(fēng)險(xiǎn)分析活動(dòng)，確保其獨(dú)立性，如圖3 所示。

圖3 FAO 系統(tǒng)風(fēng)險(xiǎn)分析人員組成框架Figure 3 Organization of FAO system risk analysis

3.1 參考國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)進(jìn)行系統(tǒng)初步危害分析

FAO 系統(tǒng)的安全運(yùn)行并非是信號(hào)系統(tǒng)一個(gè)專業(yè)能夠完成，需要多專業(yè)多個(gè)子系統(tǒng)配合，還需要借助完善的運(yùn)營(yíng)規(guī)則來(lái)降低運(yùn)營(yíng)過(guò)程中存在的安全風(fēng)險(xiǎn)。針對(duì)FAO 系統(tǒng)包含多專業(yè)多子系統(tǒng)這一特點(diǎn)，僅通過(guò)信號(hào)系統(tǒng)典型風(fēng)險(xiǎn)清單難以保證全面識(shí)別整個(gè)全自動(dòng)運(yùn)行系統(tǒng)的邊界危害。

通過(guò)分析行業(yè)標(biāo)準(zhǔn)IEC 62267Railway applications—Automated urban guided transport(AUGT)—Safety requirements[11]、《GB/T 32588.1—2016 軌道交通(AUGT)安全要求 第1 部分：總則》[12]中識(shí)別的風(fēng)險(xiǎn)及給出的安全措施，并對(duì)這些內(nèi)容進(jìn)行適用性裁剪，將標(biāo)準(zhǔn)中的安全措施按照子系統(tǒng)進(jìn)行識(shí)別，形成安全需求。在系統(tǒng)設(shè)計(jì)的初步階段識(shí)別出FAO 系統(tǒng)的潛在風(fēng)險(xiǎn)以及系統(tǒng)邊界危害，確定系統(tǒng)安全需求，論證FAO 的相關(guān)要求都已被考慮到，確保行業(yè)上通用(標(biāo)準(zhǔn))的風(fēng)險(xiǎn)都已被識(shí)別并得到落實(shí)。示例如表1 所示，最終形成FAO 系統(tǒng)的初步危害分析。

表1 系統(tǒng)初步危害分析示例Table 1 Example of system preliminary hazard analysis

各專業(yè)子系統(tǒng)根據(jù)初步危害分析提出的風(fēng)險(xiǎn)控制措施及安全需求，提交證據(jù)證明這些風(fēng)險(xiǎn)控制措施或安全需求已得到滿足。對(duì)于無(wú)法滿足的控制措施，由各專業(yè)子系統(tǒng)制定相應(yīng)的替代措施，最終保證所有的控制措施均在運(yùn)營(yíng)可接受范圍。通過(guò)差異分析，得出初步的安全需求如表2 所示。

3.2 基于情景融合的FAO 系統(tǒng)危害分析

站在FAO 系統(tǒng)運(yùn)維的角度，采用情景融合的方法對(duì)FAO 系統(tǒng)的危險(xiǎn)源進(jìn)行全面的識(shí)別并進(jìn)行致因因素分析，采用半定量SIL 分配技術(shù)為FAO 系統(tǒng)各個(gè)核心子系統(tǒng)功能分配安全需求并制定定量的安全指標(biāo)，同時(shí)，提出相應(yīng)的技術(shù)安全需求及運(yùn)營(yíng)安全需求，完善FAO 系統(tǒng)危險(xiǎn)源識(shí)別的全面性及功能SIL分配的合理性，為FAO 線路的安全運(yùn)營(yíng)提供了保障。

3.2.1 情景合成

將系統(tǒng)初步危害分析識(shí)別的FAO 系統(tǒng)事故清單結(jié)合FAO 系統(tǒng)線路地點(diǎn)、FAO 系統(tǒng)兼容的運(yùn)行等級(jí)、FAO 系統(tǒng)的活動(dòng)事件，組合為合成情景，按照“在XXX 運(yùn)行等級(jí)下，XXX 設(shè)備/人，進(jìn)行XXX 運(yùn)營(yíng)活動(dòng)時(shí)，導(dǎo)致了XXX 安全事故”的模式進(jìn)行組合羅列，得到融合風(fēng)險(xiǎn)情景；例如：GoA4 級(jí)列車在全自動(dòng)運(yùn)行車輛段停車列檢庫(kù)喚醒，跳躍時(shí)與進(jìn)入動(dòng)車區(qū)域的人員碰撞等(見圖4)。

圖4 情景融合Figure 4 Fusion of scenarios

根據(jù)事故的嚴(yán)重度等級(jí)不同、受影響群體不同或發(fā)生的區(qū)域不同等原則，將得到的融合風(fēng)險(xiǎn)情景進(jìn)行歸納總結(jié)，得到代表一類融合風(fēng)險(xiǎn)情景的危害情景，在初步危險(xiǎn)源識(shí)別階段對(duì)系統(tǒng)邊界危害進(jìn)行補(bǔ)充和完善。例如：在區(qū)間或車站，工程車/軋道車/列車運(yùn)行、退行過(guò)程中人員侵入列車運(yùn)行路徑發(fā)生碰撞；在場(chǎng)段，人員進(jìn)行維修作業(yè)或上下車過(guò)程中列車侵入人員活動(dòng)路徑發(fā)生碰撞。

3.2.2 融合情景風(fēng)險(xiǎn)分析

融合情景風(fēng)險(xiǎn)分析是將得到的融合事故情景作為分析對(duì)象，評(píng)價(jià)其初始風(fēng)險(xiǎn)及施加安全措施后的殘余風(fēng)險(xiǎn)，分析導(dǎo)致事故發(fā)生的次級(jí)危害并提出相應(yīng)的安全需求將FAO 系統(tǒng)風(fēng)險(xiǎn)降到合理可接受的水平。

通過(guò)半定量SIL對(duì)FAO系統(tǒng)的融合事故場(chǎng)景的風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，從列車運(yùn)行速度、列車滿載率情況和對(duì)歷史事故庫(kù)的檢索以及考慮二次防護(hù)等多個(gè)維度來(lái)確定風(fēng)險(xiǎn)發(fā)生的概率和后果的嚴(yán)重程度，根據(jù)標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)矩陣得到融合危害情景的風(fēng)險(xiǎn)等級(jí)。對(duì)于不可接受的風(fēng)險(xiǎn)，評(píng)價(jià)施加安全需求后的風(fēng)險(xiǎn)等級(jí)。以在區(qū)間或車站人員進(jìn)行維修作業(yè)或上下車過(guò)程中，列車侵入人員活動(dòng)路徑發(fā)生碰撞為例分析，如表3 所示。

表3 人車相撞示例Table 3 Example of a pedestrian-vehicle collision

通過(guò)采用危害與可操作性分析(hAZard and operability，HAZOP)方式，分析導(dǎo)致融合事故場(chǎng)景的子系統(tǒng)層危害、環(huán)境和人的原因，及可能導(dǎo)致融合事故場(chǎng)景發(fā)生的所有致因因素。

根據(jù)EN50126-2：2017 標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)模型，危害的發(fā)生不等同于事故的發(fā)生，危害發(fā)生后，如果發(fā)展成事故，還需要其他觸發(fā)條件同時(shí)具備。這些觸發(fā)條件采用EPC[13]因子進(jìn)行描述，“分解后可容忍的次級(jí)危害發(fā)生率THR”考慮了EPC 因素后，會(huì)得到“考慮EPC 修正后的可容忍的次級(jí)危害THR”指標(biāo)值，這一指標(biāo)值表示了危害發(fā)生后，導(dǎo)致危險(xiǎn)事故發(fā)生的可容忍事故率。

根據(jù)修正后的THR 指標(biāo)值和致因分析結(jié)果，給全自動(dòng)運(yùn)行系統(tǒng)核心設(shè)備提出相應(yīng)的子系統(tǒng)安全需求，確保將殘余風(fēng)險(xiǎn)降低到可接受水平，提取融合事故情景風(fēng)險(xiǎn)分析得到的所有功能安全需求中，最嚴(yán)格的定量及SIL 要求作為某項(xiàng)功能的最終安全完整性要求，將所有識(shí)別的安全需求(包括功能安全需求、技術(shù)安全需求及運(yùn)營(yíng)安全需求)，分配給各子系統(tǒng)/設(shè)備來(lái)分別實(shí)現(xiàn)，進(jìn)而確保風(fēng)險(xiǎn)控制在運(yùn)營(yíng)可接受的水平。以人車相撞為例進(jìn)行列表，如表4 所示。

表4 人車相撞場(chǎng)景危害分析示例Table 4 Example of scenario hazard analysis

3.3 基于STPA 的運(yùn)營(yíng)場(chǎng)景危害分析

STPA 是一種相對(duì)較新的基于事故因果擴(kuò)展模型的危害分析技術(shù)。除了組件故障之外，STPA 假設(shè)事故也可能是由系統(tǒng)組件(其中沒(méi)有一個(gè)組件可能發(fā)生故障)的不安全交互引起的。STPA 與傳統(tǒng)的危險(xiǎn)分析方法(例如故障樹分析法(fault tree analysis，F(xiàn)TA)、失效模式與影響分析(failure mode and effects analysis，F(xiàn)MEA)、事件樹分析(event tree analysis，ETA)、HAZOP)相比，STPA 不僅發(fā)現(xiàn)了傳統(tǒng)的分析發(fā)現(xiàn)的所有潛在風(fēng)險(xiǎn)，還可以發(fā)現(xiàn)傳統(tǒng)分析方法沒(méi)有發(fā)現(xiàn)的軟件相關(guān)和非故障的場(chǎng)景。STPA 方法通過(guò)分析子系統(tǒng)組件失效以及著重考慮系統(tǒng)組件(包括人)之間的不安全交互，因此通過(guò)采用基于場(chǎng)景的STPA 分析方法來(lái)識(shí)別各子系統(tǒng)/設(shè)備間信息交互過(guò)程中可能存在的風(fēng)險(xiǎn)，從而保證系統(tǒng)的安全。其主要分為4 個(gè)步驟進(jìn)行，基于場(chǎng)景STPA 的分析流程如圖5 所示。

圖5 STPA 分析流程Figure 5 STPA analysis process

3.3.1 定義分析目的

第一步是明確安全分析目的，識(shí)別系統(tǒng)級(jí)事故。安全分析的目的是消除或控制危險(xiǎn)，防止事故發(fā)生。參照IEC62267—2009 標(biāo)準(zhǔn)和GB/T32588.1—2016 標(biāo)準(zhǔn)中危害清單及軌道交通行業(yè)事故統(tǒng)計(jì)及經(jīng)驗(yàn)總結(jié)，結(jié)合全自動(dòng)運(yùn)行系統(tǒng)自身特點(diǎn)，識(shí)別出運(yùn)營(yíng)場(chǎng)景下的系統(tǒng)級(jí)事故。例如，列車在站臺(tái)乘降作業(yè)及發(fā)車場(chǎng)景下的系統(tǒng)級(jí)事故主要有三類：一是人或物被車門/站臺(tái)門夾傷、二是人員陷入列車與站臺(tái)間隙、三是人從高處跌落。

3.3.2 構(gòu)建控制模型

控制模型包含系統(tǒng)通過(guò)控制行為最終對(duì)列車進(jìn)行安全控制相關(guān)的控制過(guò)程，是致因場(chǎng)景的基礎(chǔ)數(shù)據(jù)來(lái)源。例如，列車在站臺(tái)乘降作業(yè)及發(fā)車場(chǎng)景中VOBC實(shí)施防護(hù)，包含的控制行為包括：CA1 發(fā)送牽引指令；CA2 發(fā)送制動(dòng)指令；CA3 打開車門指令；CA4 打開站臺(tái)門指令。控制結(jié)構(gòu)模型如圖6 所示。

圖6 控制結(jié)構(gòu)模型Figure 6 Control structure model

3.3.3 識(shí)別不安全控制行為

控制結(jié)構(gòu)建模完成后，通過(guò)引導(dǎo)詞的方式進(jìn)行不安全控制行為識(shí)別。以控制行為CA1“發(fā)送牽引指令”為例，加入引導(dǎo)詞：未提供引起危險(xiǎn)、提供引起危險(xiǎn)、錯(cuò)誤的時(shí)機(jī)或時(shí)序引起危險(xiǎn)、結(jié)束太快或作用時(shí)間太長(zhǎng)引起危險(xiǎn)?？刂菩袨榕c場(chǎng)景組合將得到不安全的控制行為(UCA)。

UCA1：站臺(tái)門與車門之間留有人/異物時(shí)，列車移動(dòng)造成人員傷亡。

UCA2：站臺(tái)門與車門之間留有人/異物時(shí)，信號(hào)系統(tǒng)未輸出緊急制動(dòng)。

3.3.4 識(shí)別致因場(chǎng)景

STPA 中為識(shí)別致因場(chǎng)景提供了一定的引導(dǎo)詞，對(duì)控制結(jié)構(gòu)模型進(jìn)行應(yīng)用，以輸出緊急制動(dòng)控制命令為分析案例，如表5 所示。

表5 致因場(chǎng)景示例Table 5 Example of a causal scenario

4 結(jié)束語(yǔ)

與傳統(tǒng)的對(duì)FAO 核心子系統(tǒng)的常規(guī)安全風(fēng)險(xiǎn)分析方式不同，本文提出了一種FAO 全系統(tǒng)層面的風(fēng)險(xiǎn)分析方法，首先與技術(shù)規(guī)范對(duì)標(biāo)進(jìn)行差異分析，其次利用情景融合分析、場(chǎng)景STPA 技術(shù)系統(tǒng)性識(shí)別FAO系統(tǒng)設(shè)計(jì)層的邊界危害及相應(yīng)的風(fēng)險(xiǎn)，并獲得其中各核心子系統(tǒng)對(duì)應(yīng)的安全需求，為實(shí)際工程項(xiàng)目開展FAO 大系統(tǒng)風(fēng)險(xiǎn)分析提供方法依據(jù)。

本文所提及的分析技術(shù)已應(yīng)用到某地鐵線路的FAO 系統(tǒng)工程項(xiàng)目中，在全系統(tǒng)風(fēng)險(xiǎn)分析階段持續(xù)3個(gè)月左右時(shí)間，累計(jì)識(shí)別出與信號(hào)有關(guān)的危害72 項(xiàng)、與車輛有關(guān)的危害67 項(xiàng)、與綜合監(jiān)控有關(guān)的危害28項(xiàng)、與站臺(tái)門有關(guān)的危害25 項(xiàng)、與安防有關(guān)的危害20 項(xiàng)、與通信有關(guān)的危害16 項(xiàng)；為各核心子系統(tǒng)設(shè)備提出了相應(yīng)的功能安全需求、技術(shù)安全需求和運(yùn)營(yíng)安全需求共計(jì)228 條，上述需求已在該線路工程項(xiàng)目中成功實(shí)施。后續(xù)將研究應(yīng)用該方法開發(fā)FAO 系統(tǒng)的通用危害與安全需求庫(kù)。