王子煜

(鐵科院(北京)工程咨詢有限公司,北京 100081)

0 引 言

北京、上海、成都、武漢等城市多條全自動運行地鐵線路業(yè)已開通并穩(wěn)定運營,相比于傳統(tǒng)地鐵線路,全自動地鐵線路在節(jié)能增效方面優(yōu)勢較明顯,契合國家“十四五”規(guī)劃的發(fā)展要求,全自動運行線路的建設(shè)將成為國內(nèi)軌道交通發(fā)展的重點之一[1-2]。

為提高全自動運行系統(tǒng)核心設(shè)備的穩(wěn)定性及安全性,國內(nèi)軌道交通相關(guān)機構(gòu)聯(lián)合發(fā)布全自動運行線路建設(shè)及運營規(guī)范,建議由具備相關(guān)資質(zhì)的第三方評估單位對車輛、信號等全自動核心設(shè)備開展獨立安全評估工作[3-4]。

鑒于車輛系統(tǒng)的獨立安全評估起步較晚,基礎(chǔ)較薄弱,以北京地鐵11號線全自動駕駛車輛安全評估過程為切入點,研究并建立全自動駕駛車輛系統(tǒng)獨立安全評估工作思路及實施方案,同時也為國內(nèi)其他全自動運行線路設(shè)備系統(tǒng)開展獨立安全評估工作提供參考。

1 工程概況

北京地鐵11號線西段工程北起石景山區(qū)模式口站,過阜石路、大臺鐵路后設(shè)置金安橋站,出金安橋站后線路由北辛安路轉(zhuǎn)向首鋼北區(qū),沿規(guī)劃的修理廠西路向南,在長安街西延北側(cè)設(shè)置首鋼站,出站后沿規(guī)劃二煉鋼南路南行,在工程終點設(shè)置地下臨時停車區(qū)[5-6]。

北京地鐵11號線西段工程車輛系統(tǒng)采用全自動駕駛模式,合同要求對車輛系統(tǒng)進行獨立第三方安全評估[7]。

2 評估范圍

安全評估工程實施方案的基礎(chǔ)是確定評估范圍,根據(jù)EN5012X系列及國家有關(guān)規(guī)范要求,結(jié)合車輛生命周期各階段要求,從實際情況出發(fā),對11號線全自動駕駛車輛提出具體的安全工作內(nèi)容及要求[8-9],具體有以下幾點。

(1)制定車輛系統(tǒng)安全評估工作計劃及管理方案。

(2)制定評估系統(tǒng)接口安全管理方案,確保系統(tǒng)間的接口危害識別和危害分析包含系統(tǒng)/設(shè)備及接口危害消除、控制或減輕等內(nèi)容。接口評估范圍不僅包含系統(tǒng)間的接口,還包含預(yù)留的與延伸工程的接口。

(3)安排相關(guān)的評估活動,評估服務(wù)重點圍繞安全主題,涵蓋設(shè)計、制造、安裝、測試/調(diào)試、試運行、開通試運營等工程全過程。

(4)編制階段工程安全評估報告,按工程實際及項目需求提供帶有結(jié)論性、負責(zé)任的授權(quán)證書及報告。

(5)針對車輛系統(tǒng)建立整套安全管理體系,指導(dǎo)承包商全生命周期安全工作,形成安全管理文件。

(6)充分考慮工程分段、甩站、延期的不確定性。按工程實際節(jié)點及項目需求要求進行車輛獨立安全評估,按時提供工程安全評估報告和安全授權(quán)書。

3 評估團隊配置

全自動駕駛車輛系統(tǒng)不僅集成機械加工、電氣控制、通信信號等多行業(yè)的核心技術(shù)[10],在運營組織籌劃方面也有新的變化,對評估人員的技術(shù)能力及從業(yè)經(jīng)驗要求較高,11號線車輛系統(tǒng)評估團隊配置清單見表1。

表1 北京地鐵11號線車輛系統(tǒng)安全評估團隊配置清單

4 評估工作方案

評估工作方案主要圍繞行車安全以及風(fēng)險管理而制定,包括風(fēng)險分析、框架、安全性策略以及評估工具等內(nèi)容。

4.1 安全風(fēng)險及安全措施概述

安全評估工作的第一步,需要針對全自動駕駛車輛系統(tǒng)進行安全風(fēng)險分析[11-13]。

為保障在全自動駕駛車輛行車時出現(xiàn)的所有安全風(fēng)險都能考慮到,將事先進行風(fēng)險分析,風(fēng)險分析考慮到自動化等級、現(xiàn)場特殊條件和故障模式等因素組合條件下可能出現(xiàn)的所有危害狀況。

11號線全自動駕駛車輛系統(tǒng)的主要安全風(fēng)險及安全措施說明如下。

(1)火災(zāi)。

車輛系統(tǒng)依據(jù)相關(guān)軌道車輛和基礎(chǔ)設(shè)施防火規(guī)范進行設(shè)計,如防止燃燒、火災(zāi)及煙氣擴散、有毒氣體的產(chǎn)生和提供滅火設(shè)備。

(2)系統(tǒng)和設(shè)備。

全自動駕駛車輛系統(tǒng)的事件/故障反應(yīng)時間充分考慮在無人值守時的安全風(fēng)險,與安全相關(guān)的功能將觸發(fā)安全措施自動執(zhí)行,由此產(chǎn)生的信息和反應(yīng)都將保持有效直至觸發(fā)危害狀況的因素不再存在。

4.2 評估框架

在掌握國際全自動運行系統(tǒng)評估方法、流程和核心技術(shù)的基礎(chǔ)上,分析國內(nèi)包括北京和上海在內(nèi)的全自動運行系統(tǒng)建設(shè)、運營和評估的情況,總結(jié)出適合北京地鐵11號線全自動駕駛車輛系統(tǒng)的安全評估策略[14-15]。

在車輛廠、正線和全線不同階段測試、調(diào)試工作中,評估工作關(guān)注要點見表2。

表2 安全評估工作關(guān)注要點

4.3 安全性策略

安全評估團隊工作的要求是恪守評估機構(gòu)質(zhì)量方面的承諾,以交付“安全、可靠和高品質(zhì)”的服務(wù)為目標。安全評估團隊通過執(zhí)行一系列措施,盡可能識別風(fēng)險,把風(fēng)險控制在工程和系統(tǒng)的安全方針允許的范圍內(nèi),以避免危害安全的事故發(fā)生。

評估機構(gòu)協(xié)助車輛系統(tǒng)承包商設(shè)計、生產(chǎn)和交付一個符合規(guī)范要求、符合標準和技術(shù)要求的系統(tǒng)。車輛系統(tǒng)能夠在安全的模式下操作,能在同等安全水平的模式下維護。

評估機構(gòu)根據(jù)ISO9001的要求建立質(zhì)量管理體系,是11號線車輛系統(tǒng)安全評估的安全性策略實施依據(jù),主要包括一個作業(yè)指導(dǎo)書,其中定義了安全評估工程師工作中需要遵循的安全流程描述。

(1)安全性執(zhí)行原則。

①技術(shù)要求中的規(guī)定和技術(shù)參考的應(yīng)用,包括規(guī)范、指導(dǎo)和特殊的技術(shù)規(guī)范;

②根據(jù)EN5012X系列標準制定的危害識別和緩解流程的應(yīng)用;

③車輛系統(tǒng)根據(jù)對操作、維護和其他接口實體的限制來驗收;

④危害識別和緩解流程。

當這種危害緩解的爭論或定性、定量的分析不能決定某個功能或設(shè)備可以達到的安全等級,評估機構(gòu)和車輛系統(tǒng)承包商需一起來確認和接受減少風(fēng)險的解決方案,該方案的成本與得到的改善成比例。目標是為識別出的風(fēng)險或隱患定義緩解這個風(fēng)險的“可接收的”水平。

(2)安全性目標。

①通過使用嚴格安全的子系統(tǒng)來避免不安全的情況;

②執(zhí)行限制性的指導(dǎo)書來保證安全操作。在大多數(shù)情況下,如果得到中央控制操作員的允許,車輛操作員在非全自動模式可以忽略停車條件,使車輛在一個限制的車速下繼續(xù)行駛,直到問題被解決;

③識別、評估、解決系統(tǒng)相關(guān)的危害,或者通過減少有危害的意外事件和(或)減少危害事件的發(fā)生頻率,把相關(guān)的危害減少到可以接受的水平;

④對設(shè)計、配置或操作要求的更改符合可接受的危害水平。

(3)安全性標準。

以下針對車輛系統(tǒng)設(shè)計和操作流程的安全性標準能確保系統(tǒng)的安全性目標在整個開發(fā)生命周期內(nèi)都能被考慮到。作為最低要求,這些標準包括以下幾點。

①分析中已經(jīng)識別的危害按照優(yōu)先級次序進行消除或控制;

②從安全關(guān)鍵的子系統(tǒng)的一個或多個故障引發(fā)的危害必須屬于“可接受”的種類;

③安全關(guān)鍵的子系統(tǒng)必須使用安全性設(shè)計原則,必須設(shè)置冗余(控制的安全)或者故障安全機制,使得任何故障都不會造成不安全的狀態(tài);

④如果安全受影響,一個子系統(tǒng)或設(shè)備故障的發(fā)現(xiàn)將引起限制狀態(tài)的執(zhí)行;

⑤地鐵員工和乘客絕對不能處于“不可接受”的危害環(huán)境下。

(4)安全性要求。

如果存在任何與危害相關(guān)的外部裝置和操作環(huán)境,由車輛系統(tǒng)承包商提供相應(yīng)的緩解措施,并編寫安全操作流程。

根據(jù)各階段的接口風(fēng)險分析以及運營與支持風(fēng)險分析來決定這些需要“提交給用戶”的需求。危害日志將記錄可能影響列車司機、中央控制操作員和車輛系統(tǒng)承包商的要求。

評估機構(gòu)將告知客戶對車輛操作流程、車輛維護人員等的限制。

(5)核對冗余原則。

全自動駕駛車輛系統(tǒng)的冗余設(shè)計是保障行車安全的重點,核對冗余原則由幾個復(fù)合型故障-安全的安全表決通道組成,以確認內(nèi)容。

①核對過程自身是故障-安全或核對冗余的;

②核對過程做到足夠的頻繁,以確保在安全檢查時間間隔內(nèi)出現(xiàn)冗余單元中同樣的錯誤或故障是不可能的或者不可信的;

③核對過程足夠靈敏,以檢測到所有在單一單元中的重大錯誤;

④按照預(yù)定的方式檢測故障并在發(fā)生故障時及時反應(yīng)以保證安全;

⑤冗余單元有足夠的獨立性,以確保在安全核對時間間隔中,由于共模導(dǎo)致的危害性故障不可能發(fā)生或不可信;以及一路核對冗余通道的一個故障將被及時檢測到,以確保進入安全狀態(tài)。

(6)安全檢查差異性原則。

車輛系統(tǒng)是通過車載網(wǎng)絡(luò)系統(tǒng)軟件與信號系統(tǒng)軟件進行信息交互以實現(xiàn)全自動駕駛模式的,安全檢查差異性是安全型軟件設(shè)計的關(guān)鍵,要求軟件開發(fā)過程能夠保證以下幾方面。

①安全關(guān)鍵設(shè)備的軟件和數(shù)據(jù)庫是正確的;

②軟件設(shè)計保證安全檢查分層的邏輯;

③軟件按照足夠的頻率強制進行所有的安全檢查;

④安全信息在潛在的干擾情況下,通過有效的保護機制來保證安全信息得以傳輸。

4.4 評估工具

(1)評估意見。

評估意見是獨立安全評估過程中的重要文件,此工具文件在評估方與工程團隊間建立起雙向?qū)υ捦ǖ?評估方就對被評估文檔中的問題記錄在評估意見中,工程團隊就問題在評估意見中做出回復(fù)并提供證據(jù)。

(2)審查和見證。

審查和見證是為了驗證系統(tǒng)保障團隊的計劃和安排是否被有效的實施,所提供的安全證據(jù)是否遵循計劃且滿足計劃要求,同時可以現(xiàn)場對工作證據(jù)進行抽查。

(3)評估報告。

評估團隊將根據(jù)合同要求向監(jiān)管公司和承包商提供項目狀態(tài)報告。根據(jù)項目進展情況,在項目進度發(fā)生偏差前,或安全證據(jù)存在或可能存在較大缺陷時,及時向業(yè)主報告項目狀態(tài),并提出可能的建議和意見,以保證項目最終目標的實現(xiàn)。

5 結(jié) 語

在北京地鐵11號線車輛系統(tǒng)獨立安全評估的工程實施過程中,嚴格按照評估實施方案中的安全及風(fēng)險管理策略執(zhí)行,確保11號線車輛系統(tǒng)達到全自動駕駛等級要求。