系統(tǒng)理論過程分析在城市軌道交通列車運行控制系統(tǒng)設計中的應用*

閆宏偉燕 飛張仕杰牛 儒唐 濤

系統(tǒng)理論過程分析在城市軌道交通列車運行控制系統(tǒng)設計中的應用*

閆宏偉1燕 飛2張仕杰1牛 儒3唐 濤3

（1.中國鐵路經(jīng)濟規(guī)劃研究院，100038，北京；2.北京交通大學軌道交通運行控制系統(tǒng)國家工程研究中心，100044，北京；3.北京交通大學軌道交通控制與安全國家重點實驗室，100044，北京∥第一作者，助理工程師）

使用STPA（系統(tǒng)理論過程分析）安全分析方法，針對北京燕房線實際設計案例中的典型系統(tǒng)級危險源，選取列車進站停車運營場景建立相應的分層控制結構模型，辨識不安全控制行為，分析列車運行過程中的危險致因和安全約束，結合實際工程項目轉化為切實可行的安全需求和防護措施。表明STPA方法分析過程全面深入，不僅可以分析技術系統(tǒng)，還可以分析運營組織中的人為因素，可以更加全面辨識運營場景中所涉及的危險致因。

軌道交通；全自動運行系統(tǒng)；安全分析方法；系統(tǒng)理論過程分析；安全約束；系統(tǒng)分層控制結構圖

目前主流的基于事件鏈的安全分析方法已使用近50年。以線性因果關系的事件鏈為分析基礎的安全分析方法，認為按照一定順序出現(xiàn)的不同故障事件，最終導致了系統(tǒng)事故。人們采用危險及可操作性分析（HAZOP）方法［1-2］、失效模式影響分析（FMEA），同時結合故障樹分析（FTA），利用危險歷史數(shù)據(jù)并結合專家經(jīng)驗，對某一特定的危險事件進行致因和后果的分析，并評價其風險等級［3］。

近年來，城市軌道交通系統(tǒng)隨著多領域科學技術的發(fā)展與應用，基于現(xiàn)代計算機、通信、控制等技術實現(xiàn)列車無人駕駛的軌道交通全自動運行系統(tǒng)，以其自動化程度高、運營效率高、運營成本較低等特點，逐漸成為了國內外城市軌道交通信號系統(tǒng)的發(fā)展趨勢。該系統(tǒng)在巴黎、哥本哈根和香港等地都已投入使用，預計2017年年底建成通車的北京地鐵燕房線也將采用該系統(tǒng)［4］。

隨著軌道交通運行控制系統(tǒng)自動化水平的提升，采用高度集中的控制模式，系統(tǒng)環(huán)境內各部分之間交互信息與控制命令數(shù)量更加龐大。其作為一個復雜的社會技術系統(tǒng)，顯現(xiàn)出繁冗復雜的非線性特性，給系統(tǒng)的安全分析帶來了巨大的挑戰(zhàn)［5］。針對采用大量冗余設計保證較高可靠性的運行系統(tǒng)，其復雜交互命令應作為安全分析的重點方向。針對傳統(tǒng)列車控制系統(tǒng)簡單邏輯致因所提出的傳統(tǒng)分析方法，已經(jīng)很難全面地解決如今系統(tǒng)設計所面臨的難題。

為了解決傳統(tǒng)分析方法的局限性問題，強化針對復雜社會技術系統(tǒng)安全分析的完整性，更加全面辨識危險致因，麻省理工學院的Nancy G.Leveson于2004年提出了基于系統(tǒng)理論事故建模和過程（Systems-Theoretic Accident Modeling and Processes，STAMP）。在 STAMP 模型理論的基礎上，Nancy G.Leveson制定了系統(tǒng)理論過程分析（System-Theoretic Process Analysis，STPA）這一流程性的安全分析方法。

目前在國內，尤其是軌道交通領域，使用STPA進行安全分析與設計的資料較少。本文將結合北京燕房線系統(tǒng)安全分析與設計的案例，探討和闡述STPA應用在軌道交通領域的安全分析體系，為解決其他領域的安全問題提供一種有效可行的手段。

1 STPA系統(tǒng)安全分析方法

1.1 STAMP理論與模型

STAMP系統(tǒng)理論把系統(tǒng)看作一個整體，而不是獨立的組件，系統(tǒng)的安全性只有考慮到系統(tǒng)內部與外部相關所有部分之間的聯(lián)系（交互）才能恰當?shù)靥幚?。在STAMP理論中采用分層控制結構構建系統(tǒng)模型，安全性通過對系統(tǒng)內部相互關聯(lián)的部件間信息及控制的反饋回路達到動態(tài)平衡。由此，STAMP將系統(tǒng)的安全問題轉化為管理控制結構中每層活動約束的強制執(zhí)行，即針對系統(tǒng)控制行為的約束（稱之為安全約束）均得以滿足，從而使得系統(tǒng)安全性得以保障［6］。1.2 STPA分析方法

STPA使用基于STAMP理論構建的系統(tǒng)控制圖進行分析，從外部輸入開始針對控制回路的每一個環(huán)節(jié)進行分析，辨識致因因素。在城市軌道交通運行系統(tǒng)中，運營人員或乘客往往也會承擔控制角色。因此，在實際構造的模型中，傳感器或執(zhí)行器也可能會擁有自己的過程模型（心智模型）。因為STPA比傳統(tǒng)方法對于系統(tǒng)的交互性風險有著更強的分析能力，對于人在控制系統(tǒng)中的作用也給出了更為精確的模型，相較于傳統(tǒng)方法，其分析結果顯然更加完善［7］。

STPA以系統(tǒng)級事故與相關危險作為輸入材料，主要通過以下4個步驟辨識導致系統(tǒng)危險出現(xiàn)的根本原因：

第1步，STPA分析過程輸入內容為系統(tǒng)事故及其與之相關聯(lián)的系統(tǒng)級危險。系統(tǒng)級危險的辨識直接影響系統(tǒng)邊界與分層控制結構圖中的底層控制過程，可根據(jù)乘客受傷、列車相撞、影響運營等具體事件來定義［8］，以便在后續(xù)分析中確保該安全約束得以實施。

第2步，建立系統(tǒng)的分層控制結構。通過構建系統(tǒng)的分層控制結構以及其中的控制與反饋，變現(xiàn)系統(tǒng)內部不同層次的交互行為［9］，是進一步辨識導致系統(tǒng)層面涌現(xiàn)危險的原因（不安全控制行為）分析的基礎。

第3步，辨識導致系統(tǒng)進入危險狀態(tài)的不安全控制［10］。針對第2步系統(tǒng)分層控制結構圖中的控制行為，結合以下4種不恰當控制的通用分類，辨識以下不安全控制行為：

（1）控制器未提供所需的控制行為；

（2）控制器提供了錯誤的或不安全的控制行為；

（3）在錯誤的時間提供控制行為（過早或過晚）；

（4）控制行為停止的過早或持續(xù)時間過長。

第4步，辨識導致上述不恰當控制出現(xiàn)的致因因素，即導致系統(tǒng)危險出現(xiàn)的根本原因。根據(jù)某一底層被控過程，從系統(tǒng)控制結構圖中選取相應的控制回路，按照圖1所示的方式對每一個控制回路上的環(huán)節(jié)進行分析，從外部輸入開始針對控制回路的每一個部分進行分析，獲得致因。

圖1 基于控制回路的致因辨識

2 城市軌道交通運行系統(tǒng)安全分析

正在建設中的北京地鐵燕房線將成為中國大陸首條自動化等級最高的城市軌道交通運行地鐵線路［11］，系統(tǒng)符合IEC 62290中對自動化等級GOA4（Grade of Automation 4）的系統(tǒng)在正常運營情況下由自動化設備取代司機自動駕駛列車在全線運行的技術要求［12］。

運營場景是在系統(tǒng)設計初期的系統(tǒng)概念階段就可以獲得的有效資源，由系統(tǒng)內部子系統(tǒng)以及運營環(huán)境中可能出現(xiàn)的各種元素參與組成，可以反映出系統(tǒng)的實時動態(tài)行為表現(xiàn)，并且描述各個運營場景里各子系統(tǒng)獨立或交互完成功能。在列車進站停車運營場景中，乘客作為系統(tǒng)主要受眾，處于車站與列車子系統(tǒng)的接口處，列車及站臺設備之間進行大量交互行為，因此暴露于危險狀態(tài)的可能性大大增加。

綜上所述，本文以北京燕房線進站停車運營場景為例，針對城市軌道交通運行控制系統(tǒng)，使用STPA進行安全分析。

2.1 定義系統(tǒng)級事故與危險

2.1.1 系統(tǒng)級事故

A1——列車與列車相撞；

A2——列車與軌道限界內障礙物相撞（包含乘客或運營工作人員）；

A3——列車出軌；

A4——與車門有關的乘客傷害。

2.1.2 系統(tǒng)級危險

針對上述事故，全自動運行系統(tǒng)頂層危險為：

H1——列車超速（會引發(fā)事故A1、A2、A3）；

H2——車門異常開啟或關閉（會引發(fā)事故A4）。

2.2 列車進站停車系統(tǒng)分層控制結構圖

通過對北京燕房線運行系統(tǒng)進行分析，繪制出進站停車過程的分層控制結構如圖2所示。其中，TIAS（Traffic Integrated Automation System）表示行車綜合自動化系統(tǒng)；VOBC（Vehicle on Board Controller）表示車載系統(tǒng)；CI（Computer Interlocking）表示聯(lián)鎖系統(tǒng)建模對象，既包括各個子系統(tǒng)設備，也包括參與系統(tǒng)操作的人員（系統(tǒng)工作人員以及乘客）?？刂平Y構圖中主要包含以下內容：

（1）正常運營中，TIAS向VOBC發(fā)送的進站信息，VOBC控制列車速度并向車門控制器發(fā)送開門命令，完成自動進站停車門開啟。

（2）正常運營中，列車在距站臺規(guī)定距離時，VOBC與車站CI通信，交互信息，CI根據(jù)信息控制站臺門控制器，完成站臺門與車門同步開啟。

（3）異常情況下（如車站軌道限界內有障礙物），由TIAS中心調度員或車站綜合站務員負責發(fā)現(xiàn)，并發(fā)送控制命令禁止列車進站。

圖2 全自動運行系統(tǒng)列車進站停車控制結構圖

2.3 不安全控制行為

針對圖2列車進站停車運營場景系統(tǒng)分層控制結構圖中的控制行為，結合不恰當控制的通用分類，辨識列車進站停車過程中不安全控制行為如表1所示。其中，Uca（unsafe control action）表示不安全控制行為。

表1 列車進站過程不安全控制行為

2.4 不安全控制行為致因與約束

2.4.1 不安全控制行為Uca1分析

當車站軌道限界內有障礙物，未通過遠程命令使列車在站外停車，其控制過程模型如圖3所示。

圖3 Uca1過程模型圖

在此控制過程中，主要高層控制器為行車綜合自動化系統(tǒng)TIAS，包含TIAS中心調度員以及操作臺設備中的遠程制動功能模塊。調度員根據(jù)其過程模型采集判斷車站軌道限界內的障礙物信息，并通過人機交互生成列車禁止進站的命令。區(qū)域控制器ZC（Zone Controller）作為TIAS與低層控制器的車載控制器VOBC間的媒介，根據(jù)過程模型判斷并將禁止進站的命令轉換為列車可執(zhí)行制動的移動授權MA（Movement Authority）。VOBC作為低層控制器，根據(jù)自身過程模型分析MA情況，判斷列車停車點，通過列車自動防護ATP（Automatic Train Protection）與列車自動運行ATO（Automatic Train Operation）來執(zhí)行制動，使列車在站外停車。

針對Uca1過程模型圖使用STPA方法分析危險致因因素，分析回路中全部控制器（包含TIAS、ZC與VOBC）過程模型可能會與實際需求不一致的而導致列車無法在站外停車的致因，在控制器中標明；分析控制器間的執(zhí)行器與反饋器的過程模型（如包含）以及可能出現(xiàn)的故障，標明在對應的控制與反饋過程中，如圖4所示。

圖4 Uca1致因因素分析

針對不安全控制行為Uca1的危險、危險致因以及安全約束列表如表2所示。其中，CF（Causal Factor）表示指引因素，SC（Safety Constraint）表示安全約束。因文章篇幅所限，本文只節(jié)選部分安全約束。

表2 Uca1危險源日志

2.4.2 不安全控制行為Uca2分析

列車進站停車站臺的站臺門故障，未隔離對應車門。當車站站臺門故障或被人工鎖閉隔離后，列車在該站臺時，該側站臺的所有列車相對應的車門也保持鎖閉，不參與停站的開、關門作業(yè)。其控制過程模型如圖5所示。

圖5 Uca2過程模型圖

在此控制過程中，主要高層控制器為站臺門控制器，采集本站臺全部站臺門狀態(tài)信息。當采集到站臺門異常時，根據(jù)其過程模型判斷對應的異常站臺門編號ID號碼，發(fā)送至CI。CI作為站臺門控制器與VOBC間媒介，將故障ID轉發(fā)至VOBC。VOBC根據(jù)其過程模型判斷故障的站臺門位置，并以此為基礎生成隔離對應位置的車門的命令，發(fā)送至車門控制器執(zhí)行。車門控制器作為低層控制器，執(zhí)行隔離命令，直接控制某一或某些車門不開啟。

針對Uca2過程模型圖使用STPA方法分析危險致因因素，分析回路中全部控制器過程模型可能會與實際需求不一致的而導致打開異常站臺門對應車門的致因，在控制器中標明（包含站臺門控制器、VOBC與車門控制器）；分析控制器間的執(zhí)行器與反饋器的過程模型（如包含）以及可能的出現(xiàn)故障，標明在對應的控制與反饋過程，如圖6所示。其中，TCMS（Train Control and Monitoring System）為車輛信息管理系統(tǒng)。

圖6 Uca2致因因素分析

針對不安全控制行為Uca2的危險、危險致因以及安全約束列表如表3所示。因文章篇幅有限，本文只節(jié)選部分安全約束。

表3 Uca2危險源日志

3 結論

STPA認為危險的出現(xiàn)是由于不充分的控制導致安全約束的缺失，因而以輸入、輸出可觀變量為指引，使其分析更具條理性，邏輯性也更強。本文中使用STPA系統(tǒng)性安全分析方法識別系統(tǒng)不安全控制行為，結合系統(tǒng)運營場景辨識危險致因，更適合工程研發(fā)經(jīng)驗較少的全新系統(tǒng)設計［13］。

同時，STPA除了可以分析出傳統(tǒng)方法組件失效致因外，還可以分析出未包含或很少包含的其他致因因素，即辨識出了不一致的過程模型，導致系統(tǒng)在實現(xiàn)過程中與實際運行需求不一致而引發(fā)的危險。將人作為系統(tǒng)控制回路中的重要環(huán)節(jié)，發(fā)現(xiàn)運營人員、乘客與系統(tǒng)軟件間的交互行為，針對軟件與人的交互需求、運營管理需求以及對乘客行為的約束。這些與傳統(tǒng)的失效指引相比，更容易出現(xiàn)在軟件、人員、組織等諸多因素交互的軌道交通全自動運行這一復雜系統(tǒng)中。

當然，STPA還需要大量的軌道交通實踐來證實其可用性，執(zhí)行完善的流程規(guī)范以保證其一致性?？傊?，STPA雖然還未被軌道交通行業(yè)安全領域廣泛接受，但其卻提供了一種解決傳統(tǒng)安全分析局限的可能性，值得研究人員進一步學習研究。

［1］ KLETZ T A.HAZOP and HAZAN：identifying and assessing process industry hazards［M］.［S.l.］：IChemE，1999.

［2］ International Electrotechnical Commission.Hazard and operability studies（HAZOP studies）—Application guide：BSI IEC 61822 ［S］.Geneva:International Electrotechnical Commission，2001.

［3］ International Electrotechnical Commission.Analysis techniques for system reliability：procedure for failure mode and effects analysis（FMEA）［M］.Geneva：International Electrotechnical Commission，2006.

［4］ 肖衍，蘇立勇.軌道交通全自動駕駛系統(tǒng)集成技術研究［J］.中國鐵路，2015（5）：109.

［5］ SALMON P M，CORNELISSEN M，TROTTER M J.Systemsbased accident analysis methods：a comparison of Accimap，HFACS，and STAMP［J］.Safety Science，2012，50（4）：1158.

［6］ LEVESON N.A new accident model for engineering safer systems［J］.Safety Science，2004，42（4）：237.

［7］ FLEMING C H,Spencer M，Thomas J，et al.Safety assurance in NextGen and complex transportation systems ［J］.Safety Science，2013，55（2）：173.

［8］ LEVESON N G.The role of software in spacecraft accidents，AIAA （american institute of aeronautics and astronautics）［J］.Journal of Spacecraft and Rockets，2004，41（4）：564.

［9］ ISHIMATSU T,LEVESON N G，THOMAS J P，et al.Hazard analysis of complex spacecraft using systems-theoretic process analysis ［J］.Journal of Spacecraft&Rockets，2014，51（2）：509.

［10］ DONG Airong.Application of CAST and STPA to railroad safety in China ［D］.Cambridge：Massachusetts Institute of Technology，2012.

［11］ 佚名.首批無人駕駛地鐵列車將駛入北京燕房線［J］.現(xiàn)代城市軌道交通，2014（5）：97.

［12］ BSI.Railway applications：urban guided transport management and command/control systems：IEC 62290-1 ［S］.London：BSI，2014.

［13］ LEVESON N.Engineering a safer world：systems thinking applied to safety［M］.Boston：Mit Press，2011.

Application of STPA in the Design of Train Control System for Urban Rail Transit

YAN Hongwei，YAN Fei，ZHANG Shijie，NIU Ru，TANG Tao

Aiming at the typical hazard source on system level in a case analysis of Beijing Yanfang Line design，and based on STPA method，the operation scenario of train stopping and parking at station is chosen to establish a safety hierarchical control structure model，which is used to identify the unsafe control behaviors，analyze the risk factors and safety constraints in train operation，and finally design protection measures to meet practical safety requirements by combining with the actual project.The application of the model shows that STPA method can analyze both the technical system and the human factors in the organization system more comprehensively，and identify all of the related causal factors in the operation scenario.

rail transit；fully-automated operation system；safety analysis method；systems-theoretic process analysis（STPA）；safety constraint；safety hierarchical control structure diagram

U231.6

10.16037/j.1007-869x.2017.11.013

First-author′s address China Railway Economic and Planning Research Institute，100038，Beijing，China

2016-02-03）