張春明，王 靖，馬能藝

城市軌道交通全自動運(yùn)行（FAO）系統(tǒng)基于先進(jìn)計算機(jī)、通信、自動化控制和系統(tǒng)集成等技術(shù)實現(xiàn)列車全程自動化運(yùn)行。依據(jù)GB/T 32590.1—2016［1］，列車運(yùn)行的自動化等級（GOA）劃分為5 個等級，處于最高自動化等級（GOA4 級）的全自動運(yùn)行模式是目前國內(nèi)新線建設(shè)的首選模式，要求日常運(yùn)營場景和應(yīng)急處置均可實現(xiàn)自動化，無需人工干預(yù)。

全自動運(yùn)行系統(tǒng)的目的是提升城市軌道交通運(yùn)營安全、效率和服務(wù)水平，相較于傳統(tǒng)有人駕駛系統(tǒng)，核心系統(tǒng)如信號、車輛、站臺門等均做了大量的功能拓展，如自動休眠與喚醒、自動停站上下客、自動折返等，在列車正常運(yùn)行的情況下可完全取代司機(jī)的職能。但由于軌道交通全自動運(yùn)行環(huán)境的特殊性和復(fù)雜性，無人值守下應(yīng)對突發(fā)事件的系統(tǒng)功能和處置操作流程與有人駕駛不同，因此全自動運(yùn)行存在特有的運(yùn)營風(fēng)險。當(dāng)全自動運(yùn)行系統(tǒng)受到設(shè)備故障、人員操作錯誤等因素的疊加影響時，可能會導(dǎo)致故障影響范圍擴(kuò)大，預(yù)防不力或處置不當(dāng)就容易引發(fā)重大運(yùn)營延誤，甚至發(fā)生人員傷亡等惡性事件［2］。

全自動運(yùn)行系統(tǒng)在故障模式下的響應(yīng)是否導(dǎo)向運(yùn)營安全，控制中心和車站的工作人員能否正確處理突發(fā)情況等，都是運(yùn)營安全管控急需研究和解決的問題，因此本文提出一種基于全自動運(yùn)營場景的風(fēng)險閉環(huán)控制技術(shù)和方法。

1 運(yùn)營風(fēng)險閉環(huán)控制方法

作為鐵路應(yīng)用系統(tǒng)安全的最佳實踐，EN 50126-2：2017［3］中引入了沙漏模型，見圖1。

圖1 系統(tǒng)安全沙漏模型

沙漏模型概述了確保系統(tǒng)達(dá)到可接受的安全水平所需的主要安全相關(guān)活動。

1） 風(fēng)險評估：基于運(yùn)營場景的初步危害識別，以及依據(jù)風(fēng)險接受原則進(jìn)行風(fēng)險評價。

2） 安全需求分析：根據(jù)已識別的危害及其風(fēng)險等級，制定相應(yīng)的安全措施，以安全需求的形式作為系統(tǒng)需求規(guī)范的一部分。

3） 風(fēng)險控制：關(guān)注所識別危害的系統(tǒng)內(nèi)部原因，以及系統(tǒng)本身在設(shè)計階段引入的潛在新危害，并在詳細(xì)設(shè)計層面進(jìn)行風(fēng)險控制，確保系統(tǒng)滿足安全需求。

4） 風(fēng)險評估修訂：若風(fēng)險控制階段識別了新的風(fēng)險，可能需要輸出額外的安全措施或應(yīng)用條件。

沙漏模型體現(xiàn)了一個完整的閉環(huán)控制方法，已經(jīng)成為保障軌道交通行業(yè)系統(tǒng)安全的關(guān)鍵技術(shù)，被廣泛應(yīng)用于安全苛求系統(tǒng)的功能安全保證活動中。對于城市軌道交通運(yùn)營方而言，基于沙漏模型創(chuàng)建運(yùn)營風(fēng)險識別及閉環(huán)控制方法，識別運(yùn)營中存在的安全隱患，制定合理的改善措施與管理方案，可以有效提升地鐵運(yùn)營安全水平和乘客服務(wù)質(zhì)量?；谏陈┠Ｐ偷娜詣舆\(yùn)行系統(tǒng)運(yùn)營風(fēng)險閉環(huán)控制流程［4?5］見圖2。

圖2 基于沙漏模型的全自動運(yùn)行系統(tǒng)運(yùn)營風(fēng)險閉環(huán)控制流程

2 風(fēng)險評估

依據(jù)EN50126-2：2017 規(guī)范定義，從系統(tǒng)定義和運(yùn)營場景出發(fā)，識別與系統(tǒng)相關(guān)的危害，確定與危害相關(guān)的風(fēng)險并進(jìn)行評估，是系統(tǒng)安全分析最常用的方法，也是沙漏模型中閉環(huán)控制方法的第1步。

2.1 運(yùn)營場景梳理

作為全自動運(yùn)行系統(tǒng)運(yùn)營策劃的主要內(nèi)容之一，運(yùn)營場景對系統(tǒng)功能分配、系統(tǒng)設(shè)計、作業(yè)流程、運(yùn)營規(guī)章編制等具有重要的指導(dǎo)作用，與非功能類性能指標(biāo)、運(yùn)維管理模式等共同構(gòu)成運(yùn)營需求。運(yùn)營場景是與行車有關(guān)的所有作業(yè)的集合，必須體現(xiàn)完整性，從運(yùn)營場景中應(yīng)能推導(dǎo)出各核心設(shè)備所要求實現(xiàn)的功能［6?7］。

在圖2 所示的全自動運(yùn)行系統(tǒng)運(yùn)營風(fēng)險閉環(huán)控制流程中，設(shè)施設(shè)備維護(hù)管理部門通過對既有場景功能的落實情況進(jìn)行梳理，以及運(yùn)營管理部門通過對運(yùn)營場景與既有規(guī)章的匹配度進(jìn)行梳理，為剩余風(fēng)險的評估和控制，如是否需要增加或修訂技術(shù)規(guī)范和運(yùn)維規(guī)章等提供技術(shù)和管理依據(jù)。

2.2 風(fēng)險識別

2.2.1 風(fēng)險識別范圍

EN50126-2：2017中提出了蝴蝶結(jié)構(gòu)模型，見圖3。這是一種自上而下的邊界危害分析方法，即鐵路系統(tǒng)的危害原因是由所考慮系統(tǒng)的邊界危害構(gòu)成的，系統(tǒng)邊界限定了危害識別的范圍，這意味著危害是分層結(jié)構(gòu)的，可采用分層方法開展危害分析。

圖3 系統(tǒng)邊界危害的蝴蝶結(jié)構(gòu)模型

對運(yùn)營方而言，全自動運(yùn)行風(fēng)險識別不在于識別全自動運(yùn)行核心系統(tǒng)的系統(tǒng)級與子系統(tǒng)級危害，如列車運(yùn)行超速、列車追蹤不滿足安全間隔等，因為這類系統(tǒng)邊界危害在各個核心設(shè)備的供應(yīng)商內(nèi)部已經(jīng)進(jìn)行了識別和控制，并經(jīng)過獨立第三方安全評估與安全合格測試。從線路級危害到系統(tǒng)級危害之間，存在可能導(dǎo)致人車沖突、夾人夾物等險性事故的運(yùn)營風(fēng)險，如人員操作、人員侵限、設(shè)備異常等，而這些運(yùn)營層面的風(fēng)險因素，通常被排除在核心設(shè)備及系統(tǒng)的邊界危害識別范圍之外，并作為系統(tǒng)應(yīng)用條件或責(zé)任限制輸出給了運(yùn)營方。因此運(yùn)營方應(yīng)關(guān)注列車在封閉運(yùn)行環(huán)境下運(yùn)行可能引入的外界危險源，以及除設(shè)備自身狀態(tài)異常外影響運(yùn)行的安全風(fēng)險隱患［7］，全自動運(yùn)行核心系統(tǒng)邊界外的危險源見圖4。

圖4 全自動運(yùn)行核心系統(tǒng)邊界外的危險源

2.2.2 運(yùn)營場景基本要素

全自動運(yùn)行系統(tǒng)運(yùn)營風(fēng)險識別首先應(yīng)對運(yùn)營場景的基本要素進(jìn)行提煉，運(yùn)營場景包括具體運(yùn)行環(huán)境、全自行運(yùn)行作業(yè)項、全自動運(yùn)行作業(yè)時可能發(fā)生的設(shè)備/系統(tǒng)故障、故障場景下的系統(tǒng)響應(yīng)、運(yùn)營介入對故障的處置等5個基本要素［7］。

1） 作業(yè)環(huán)境：即列車所處的位置，如車輛基地、正線區(qū)間、正線站臺、停車線等。

2） 全自動運(yùn)行作業(yè)項：如區(qū)間正向運(yùn)行、進(jìn)站、停站、開關(guān)門、對位隔離等。

3） 作業(yè)時可能發(fā)生的設(shè)備/系統(tǒng)故障：全自行運(yùn)行核心系統(tǒng)包括車輛、信號、站臺門、綜合監(jiān)控、通信、供電等，其故障場景是指相關(guān)系統(tǒng)在運(yùn)營作業(yè)中所提供的功能未達(dá)預(yù)期，如車門狀態(tài)丟失、列車自動喚醒失敗、站臺門無法正常開啟/關(guān)閉等。

4） 故障場景下的系統(tǒng)反應(yīng)：可參見各核心系統(tǒng)的技術(shù)規(guī)格書。

5） 運(yùn)營介入對故障的處置：可參見全自動運(yùn)行規(guī)章體系文件。

2.2.3 運(yùn)營安全影響因素

在確定運(yùn)營場景基本要素的基礎(chǔ)上，識別并分析影響全自動運(yùn)行系統(tǒng)運(yùn)營安全的因素。EN50126-1：2017［8］中推薦了一種圖解方法來推導(dǎo)鐵路整體RAMS 表現(xiàn)特定影響因素，這是一種系統(tǒng)化的推導(dǎo)過程。借鑒該方法，可推導(dǎo)影響全自動運(yùn)行系統(tǒng)運(yùn)營安全的詳細(xì)影響因素，示例見圖5。圖5 中，“人”“機(jī)”“法”“環(huán)”為4個通用因素［5，9］。

圖5 圖解方法推導(dǎo)運(yùn)營安全詳細(xì)影響因素示例

1）“人”相關(guān)的風(fēng)險因素?！叭恕币蛑饕獊碓从诔鞘熊壍澜煌üぷ魅藛T或乘客的相關(guān)知識能力、心理等方面，最后都體現(xiàn)在相關(guān)人員的行為上，如對設(shè)施設(shè)備的操作、緊急情況下的下意識反應(yīng)等。

2）“機(jī)”相關(guān)的風(fēng)險因素?！皺C(jī)”因主要體現(xiàn)為設(shè)施設(shè)備發(fā)生故障、擾動、不完善的情況，如車門狀態(tài)限位開關(guān)故障、障礙物探測裝置誤報警、站臺門間隙探測裝置存在探測盲區(qū)等。軌道線路、車輛、牽引供電、通信信號等設(shè)施設(shè)備相互關(guān)聯(lián)、整體聯(lián)動，若部分設(shè)施設(shè)備不是故障導(dǎo)向安全的，往往會帶來相應(yīng)的運(yùn)營風(fēng)險。

3）“法”相關(guān)的風(fēng)險因素?！胺ā奔垂芾?，城市軌道交通的運(yùn)營管理漏洞和規(guī)章制度缺陷與其他風(fēng)險因素相結(jié)合后，可能導(dǎo)致重大運(yùn)營風(fēng)險。

4）“環(huán)”相關(guān)的風(fēng)險因素?！碍h(huán)”即環(huán)境，包括運(yùn)營環(huán)境和作業(yè)環(huán)境。其中運(yùn)營環(huán)境又分自然環(huán)境和社會環(huán)境，如洪水、地震等自然災(zāi)害屬自然環(huán)境，社會治安、因相關(guān)法律規(guī)范不完善而引發(fā)的對城市軌道交通系統(tǒng)安全產(chǎn)生重大影響的事件等屬社會環(huán)境。作業(yè)環(huán)境則是指如司機(jī)人工駕駛列車時所處的開放式駕駛室，從疏散平臺進(jìn)入存車線處置故障需經(jīng)過的軌行區(qū)等。

在圖5 中，所有元素都是原因，它們組合起來產(chǎn)生箭頭右側(cè)所表示的影響。需要注意的是，推導(dǎo)詳細(xì)影響因素的過程不限于圖中的內(nèi)容，推導(dǎo)的結(jié)果也無法一次性做到詳盡無遺，需要持續(xù)地更新。

2.3 初始風(fēng)險評估

風(fēng)險評估首先要制定一個評價基礎(chǔ)，該基礎(chǔ)反應(yīng)了軌道交通運(yùn)營方對風(fēng)險的容忍程度，一般以矩陣圖表示，稱之為風(fēng)險評估矩陣。圖6 展示了上海地鐵全自動運(yùn)行風(fēng)險評估所采用的風(fēng)險矩陣，對運(yùn)營風(fēng)險的評價除了考慮對乘客和工作人員人身安全的影響，還結(jié)合風(fēng)險對運(yùn)營服務(wù)造成的影響程度進(jìn)行評價。

圖6 上海地鐵全自動運(yùn)行風(fēng)險矩陣

從圖6 可以看出，風(fēng)險一共分為4 個等級：R1，風(fēng)險是不可接受的，必須降低；R2，風(fēng)險在切實可行的情況下必須降低；R3，風(fēng)險可以忍受，但是當(dāng)符合成本效益時應(yīng)進(jìn)一步降低，如不符合成本效益時經(jīng)運(yùn)營方同意且風(fēng)險得到充分控制的情況下可以接受；R4，風(fēng)險是可接受的。R2和R3界定為可容忍區(qū)域，也稱為符合最低合理可行原則（As Low As Reasonably Practicable，ALARP）區(qū)域（見圖7），對處于該區(qū)域的風(fēng)險，盡可能地將其降低到合理、可行的程度。

圖7 ALARP區(qū)域示意

3 安全需求分析

安全需求分析活動的輸入是上一階段的輸出，即根據(jù)識別出的風(fēng)險及其風(fēng)險等級分析相應(yīng)的安全需求，對應(yīng)沙漏模型中閉環(huán)控制方法的第2步。

安全需求可分為2 類：技術(shù)安全需求和運(yùn)營安全需求。技術(shù)安全需求包括相關(guān)系統(tǒng)應(yīng)實現(xiàn)的安全功能，即該功能在正常運(yùn)營場景和故障場景下的預(yù)期功能，以及相關(guān)系統(tǒng)在設(shè)計和實現(xiàn)時的技術(shù)限制，如故障導(dǎo)向安全側(cè)的電氣回路設(shè)計、設(shè)備設(shè)施的選型和配線等；運(yùn)營安全需求指落實到軌道交通運(yùn)營規(guī)章制度體系中能夠有效保障運(yùn)營安全的相關(guān)規(guī)定，包括工作人員在正常運(yùn)營場景和故障場景下的預(yù)期行為，以及對員工的培訓(xùn)需求。

在制定安全需求時應(yīng)遵循如下原則。

1） 針對R1等級的風(fēng)險，必須輸出相應(yīng)的技術(shù)安全需求進(jìn)行風(fēng)險緩解，使其落入ALARP區(qū)域。

2） 針對ALARP 區(qū)域的風(fēng)險，優(yōu)先通過技防的方式使其進(jìn)入R4 等級，如不符合成本效益時，可通過輸出運(yùn)營安全需求的手段將風(fēng)險降低至可接受的程度。

結(jié)合通過梳理運(yùn)營場景得出的既有場景落實情況、場景與規(guī)章匹配情況等確定安全需求，全自動運(yùn)行系統(tǒng)運(yùn)營安全需求分析流程見圖8。若既有場景中已落實功能能夠完全覆蓋技術(shù)安全需求，則該風(fēng)險可進(jìn)入閉環(huán)狀態(tài)；否則，應(yīng)考慮系統(tǒng)功能及設(shè)計是否能進(jìn)一步優(yōu)化：若能優(yōu)化，則需要增修相關(guān)的技術(shù)規(guī)范；若不能，則剩余風(fēng)險只能通過輸出運(yùn)維安全需求進(jìn)行轉(zhuǎn)移。進(jìn)一步檢查運(yùn)營場景與規(guī)章匹配度，若既有規(guī)章能覆蓋運(yùn)維安全需求，則該風(fēng)險可進(jìn)入閉環(huán)狀態(tài)；否則需要增修相關(guān)的運(yùn)維規(guī)章，將剩余風(fēng)險分配給相關(guān)的工作人員。

圖8 全自動運(yùn)行系統(tǒng)運(yùn)營安全需求分析流程

4 風(fēng)險控制

在制定了明確的安全需求的基礎(chǔ)上，相關(guān)責(zé)任方進(jìn)行后續(xù)的技術(shù)或管理整改，以達(dá)到風(fēng)險控制的目的，對應(yīng)沙漏模型中閉環(huán)控制方法的第3步。

技術(shù)整改應(yīng)由設(shè)備供應(yīng)商根據(jù)增修的技術(shù)規(guī)范進(jìn)行系統(tǒng)設(shè)計和功能升級，管理整改應(yīng)由運(yùn)營方根據(jù)增修的運(yùn)維規(guī)章編制詳細(xì)培訓(xùn)方案，對相關(guān)工作人員進(jìn)行人員能力和資質(zhì)的補(bǔ)充評定。

4.1 技術(shù)安全需求的驗證與確認(rèn)

系統(tǒng)全生命周期見圖9，從系統(tǒng)定義階段至系統(tǒng)確認(rèn)階段是一個完整的系統(tǒng)開發(fā)生命周期，在此基礎(chǔ)上加上運(yùn)營風(fēng)險閉環(huán)控制過程構(gòu)成一個完整的系統(tǒng)生命周期［10］。

圖9 系統(tǒng)全生命周期

安全需求分析活動輸出的技術(shù)安全需求屬于用戶需求范疇，設(shè)備供應(yīng)商根據(jù)系統(tǒng)定義將技術(shù)安全需求轉(zhuǎn)化為系統(tǒng)需求進(jìn)行實現(xiàn)，需對系統(tǒng)需求是否完整覆蓋用戶需求，是否與用戶需求保持一致性進(jìn)行驗證。目前主要通過人工技術(shù)審查的方法進(jìn)行需求驗證，可采用的常用工具包括需求追溯矩陣等。

技術(shù)整改最終能否進(jìn)入閉環(huán)狀態(tài)，還應(yīng)通過相應(yīng)的系統(tǒng)驗收測試。系統(tǒng)驗收測試與系統(tǒng)確認(rèn)測試的不同在于：系統(tǒng)驗收測試基于用戶需求，除交叉接受系統(tǒng)確認(rèn)測試的結(jié)果外，系統(tǒng)驗收測試用例的編制還應(yīng)基于全自動運(yùn)行系統(tǒng)真實運(yùn)營工況下的單點故障和錯誤操作，測試時應(yīng)重點關(guān)注故障排除時全自動運(yùn)行系統(tǒng)的行車安全。

4.2 運(yùn)營安全需求的驗證與確認(rèn)

無人值守全自動運(yùn)行系統(tǒng)在諸多方面相比有人駕駛系統(tǒng)有了較大提升，同時帶來了運(yùn)營管理模式的重大轉(zhuǎn)變。按照業(yè)務(wù)模塊對常規(guī)單一專業(yè)的生產(chǎn)崗位進(jìn)行劃分與融合，形成適應(yīng)全自動運(yùn)行模式特征的多職能復(fù)合型生產(chǎn)崗位，是適應(yīng)這一轉(zhuǎn)變的創(chuàng)新實踐。上海地鐵基于全自動運(yùn)行的管理特征和要求，將部分崗位工作進(jìn)行了復(fù)合，組建了多職能復(fù)合隊伍（列控、站控和巡視），多職能復(fù)合隊伍應(yīng)具備全自動運(yùn)行設(shè)備故障的先期應(yīng)急處置和排查故障能力［11］；同時上海地鐵對控制中心的崗位設(shè)置也進(jìn)行了優(yōu)化，設(shè)置運(yùn)營調(diào)度和設(shè)備調(diào)度兩大復(fù)合崗位［12］。

運(yùn)營安全需求的落實應(yīng)考慮多職能隊伍崗位復(fù)合的實際情況，修訂編制相關(guān)的路網(wǎng)級、線路級運(yùn)營管理規(guī)章，以及崗位級的作業(yè)指導(dǎo)書。運(yùn)營規(guī)章編制是否充分，是否覆蓋所有識別的故障場景及場景中所提及的風(fēng)險隱患，目前主要通過文件評估和現(xiàn)場審計的方法進(jìn)行驗證［5，13］。

管理整改最終能否進(jìn)入閉環(huán)狀態(tài)，還應(yīng)進(jìn)行相應(yīng)的人員培訓(xùn)考核及應(yīng)急演練。對多職能隊員和調(diào)度員等關(guān)鍵崗位人員開展補(bǔ)充培訓(xùn)和考核，主要考察在系統(tǒng)多種降級情況下，這些人員對故障或事件的處置是否符合運(yùn)營規(guī)章的要求，以及執(zhí)行關(guān)鍵操作的同時是否理解可能存在的安全風(fēng)險。而多崗位聯(lián)動應(yīng)急演練，主要目的在于提升運(yùn)營人員在線路故障和突發(fā)情況下的應(yīng)急處置能力。

5 運(yùn)營風(fēng)險閉環(huán)控制持續(xù)優(yōu)化

全自動運(yùn)行系統(tǒng)運(yùn)營風(fēng)險閉環(huán)控制是一個持續(xù)的過程，城市軌道交通運(yùn)營方通過建立可持續(xù)完善的風(fēng)險閉環(huán)控制長效機(jī)制，管理已確認(rèn)的安全風(fēng)險，預(yù)先識別其他潛在的危害，提前降低影響日后運(yùn)營的剩余風(fēng)險，對應(yīng)沙漏模型中閉環(huán)控制方法的第4步。

城市軌道交通運(yùn)營方可通過以下方法實現(xiàn)全自動運(yùn)行系統(tǒng)運(yùn)營風(fēng)險閉環(huán)長效化管控。

1） 建立運(yùn)營風(fēng)險庫，對所有影響到運(yùn)營安全及服務(wù)的潛在危害識別、評價、控制措施、落實情況、閉環(huán)確認(rèn)等進(jìn)行記錄［6］。

2） 開展運(yùn)營安全評估，評估范圍包括全自動運(yùn)行線路（含正線和車輛基地）的運(yùn)營、安全和技術(shù)體系，評估內(nèi)容可分為安全管理、運(yùn)營管理和技術(shù)安全三大模塊［5，13］。其中，安全管理和運(yùn)營管理的評估對象為全自動運(yùn)行線路多職能隊伍和行車指揮；技術(shù)安全的評估對象為全自動運(yùn)行系統(tǒng)在應(yīng)急場景下的系統(tǒng)響應(yīng)。可采用現(xiàn)場審計和文件審查等評估方式。

通過信息化手段構(gòu)建運(yùn)營風(fēng)險管理信息化平臺，以需求鏈表的形式將運(yùn)營場景、用戶需求、運(yùn)營風(fēng)險庫、技術(shù)規(guī)范、運(yùn)維規(guī)章等標(biāo)準(zhǔn)化文件納入其中，通過文本標(biāo)簽建立上下游需求之間的映射，由此構(gòu)建風(fēng)險閉環(huán)技術(shù)體系，實現(xiàn)需求文本自動導(dǎo)入、上下游關(guān)聯(lián)需求自動導(dǎo)出、需求變更直觀展現(xiàn)、關(guān)鍵字自動檢索等功能，全面提升風(fēng)險閉環(huán)管控的效率，服務(wù)生產(chǎn)管理、建設(shè)改造和運(yùn)維培訓(xùn)。

6 結(jié)束語

全自動運(yùn)行風(fēng)險閉環(huán)控制是一個系統(tǒng)性的工作，本文僅從系統(tǒng)安全的角度對如何保障運(yùn)營安全進(jìn)行研究，風(fēng)險識別和控制的對象主要還是全自動運(yùn)行系統(tǒng)。而在更廣闊的軌道交通安全領(lǐng)域，研究如何建立安全管理體系、安全過程控制和安全責(zé)任體系等重點任務(wù)，是我國軌道交通飛速發(fā)展過程中需要探索并解決的問題。另外，隨著科學(xué)技術(shù)的進(jìn)步，全自動運(yùn)行風(fēng)險閉環(huán)控制工作也應(yīng)朝著數(shù)字化、信息化、智慧化方向邁進(jìn)。