智能軌道快運(yùn)系統(tǒng)功能安全研究

肖 磊，郭洋洋，李文波，楊 勇，張陳林

（中車株洲電力機(jī)車研究所有限公司，湖南 株洲 412001）

0 引言

智軌電車的出現(xiàn)顛覆了傳統(tǒng)軌道交通的概念，其通過軌跡控制技術(shù)進(jìn)行路徑感知，依靠無軌導(dǎo)向控制技術(shù)保證車輛轉(zhuǎn)向的精度，具有行駛靈活、載客量大及通行效率高等優(yōu)勢，解決了城市軌道交通發(fā)展中的必須依靠鋼軌的難題。作為一種軌道交通新制式，依托于原有的軌道交通制式的安全性分析證明和實(shí)現(xiàn)其安全性是軌道交通發(fā)展過程中必然選擇。

目前，國外發(fā)達(dá)國家的城市軌道交通系統(tǒng)已經(jīng)形成了一套比較完善的安全評估和安全管理體系，并制定了一系列切實(shí)可行的安全技術(shù)標(biāo)準(zhǔn)[1]，如軌道交通的安全標(biāo)準(zhǔn)EN 50126《RAMS規(guī)范和示例》和道路交通的安全標(biāo)準(zhǔn)ISO 26262《道路車輛功能安全》；此外，有關(guān)功能安全的CSM認(rèn)證、TSI認(rèn)證及CER認(rèn)證等標(biāo)準(zhǔn)也已被大多數(shù)國家所接受，甚至被作為強(qiáng)制認(rèn)證要求。為了更好地為新型軌道交通系統(tǒng)建立系統(tǒng)的安全分析和評估方法，通過借鑒國外成熟的功能安全標(biāo)準(zhǔn)[2]，結(jié)合相關(guān)方要求和技術(shù)水平設(shè)定適宜的安全目標(biāo)，建立了產(chǎn)品安全保障管理過程，使風(fēng)險(xiǎn)降低到可接受的水平。在產(chǎn)品安全保障過程中，首先確定分析對象，包括環(huán)境條件、接口要求和功能性能；然后對分析對象進(jìn)行安全應(yīng)用場景分析和風(fēng)險(xiǎn)識(shí)別；最后通過原因和后果分析，制定風(fēng)險(xiǎn)的控制措施和策略，實(shí)現(xiàn)最終安全需求。為此，本文針對智軌電車類軌道運(yùn)行和道路車輛司機(jī)駕駛控制的特點(diǎn)，開展了安全應(yīng)用場景和范圍分析，建立了列車故障隱患分析列表，給出常見安全實(shí)現(xiàn)的舉證和安全證明的策略，為智軌電車安全性的實(shí)現(xiàn)和證明提供依據(jù)。

1 應(yīng)用場景和范圍分析

智能軌道快運(yùn)系統(tǒng)(autonomous-rail rapid transit，ART)安全應(yīng)用場景分析是進(jìn)行功能安全研究的基礎(chǔ)[3]，需要基于列車的運(yùn)行環(huán)境和操作模式完成。ART主要由車輛、站臺(tái)（包括屏蔽門）、虛擬軌跡、信號(hào)設(shè)備和運(yùn)營控制中心組成，各個(gè)系統(tǒng)通過接口進(jìn)行相應(yīng)信息傳輸和控制；智軌電車采用自動(dòng)循跡和多軸協(xié)同轉(zhuǎn)向功能在具有虛擬軌跡的道路上進(jìn)行類軌道運(yùn)行，有人工模式和輔助駕駛模式；輔助駕駛模式下達(dá)到智能駕駛Level 2級別，可在混合路權(quán)或獨(dú)立路權(quán)的道路上運(yùn)行。通過ART內(nèi)外部接口、車輛功能等定義，結(jié)合車輛風(fēng)險(xiǎn)所在位置和車輛狀態(tài)進(jìn)行判斷[4]；分析對象需涵蓋車輛、司乘人員、維修人員、公眾以及運(yùn)營人員，以其不能接受的危害行為作為分析的基礎(chǔ)，本文劃分以下9種應(yīng)用場景進(jìn)行安全分析：

場景1 車輛運(yùn)行中。分析對象為車輛不可接受的行為。

場景2 車輛內(nèi)部。分析對象為司機(jī)和乘客在車輛內(nèi)部受到傷害或其他可能引起司機(jī)和乘客危險(xiǎn)的不能接受的行為。

場景3 列車-站臺(tái)接口。分析對象為上下車的乘客所受到傷害或其他可能導(dǎo)致上下車乘客危險(xiǎn)的不能接受的行為。

場景4 列車-運(yùn)營控制中心接口。分析對象是列車和運(yùn)營控制通信故障引起的車輛處于危險(xiǎn)狀態(tài)的不能接受的行為。

場景5 列車-信號(hào)燈接口。分析對象是列車和信號(hào)燈通信故障引起的列車處于危險(xiǎn)狀態(tài)的不可接受的行為。

場景6 維修。分析對象是維修工人在維修過程中受到的傷害。

場景7 環(huán)境。分析對象是外部環(huán)境引起的車輛不可接受的行為。

場景8 外部入侵。分析對象是外部人員或異物入侵導(dǎo)致列車不可接受的行為。

場景9 緊急疏散。分析對象是在發(fā)生緊急情況下的影響乘客緊急疏散的行為。

完成ART的應(yīng)用場景分析后，按照城市軌道交通和道路交通的特點(diǎn)進(jìn)行整車危害判別，劃定不同安全分析范圍，并對危害進(jìn)行分組。危害識(shí)別需對頂層事故隱患對象進(jìn)行以自頂向下安全分析為主、各分系統(tǒng)功能安全為輔的分析，以保證系統(tǒng)不會(huì)出現(xiàn)大的隱患點(diǎn)。分析過程配合車輛設(shè)計(jì)階段分析，使安全分析的范圍、目標(biāo)和要求融入到車輛總體設(shè)計(jì)目標(biāo)和方案中[5]，并建立子系統(tǒng)安全目標(biāo)和安全措施。表1示出通過對應(yīng)用場景進(jìn)行分析確定的8種智軌電車的安全分析類型。

表1 智軌電車安全分類Tab.1 Safety classi fi cation of autonomous-rail rapid tram

2 故障隱患分析

智軌電車故障隱患分析是最終實(shí)現(xiàn)ART安全性的先決條件。通過對ART與車輛的接口功能以及整車功能進(jìn)行切分，除滿足城市軌道交通和道路交通車輛的牽引、制動(dòng)、控制、檢測以及信息傳輸?shù)然竟δ芤笸猓囘€增加了循跡和多軸轉(zhuǎn)向功能，即基于已確定的9種安全應(yīng)用場景和8種安全類型，識(shí)別智軌電車基本功能和特定功能的故障模式，使用FMECA（故障模式影響和危害分析）進(jìn)行原因和后果分析，確定可引起智軌電車安全問題的相關(guān)功能失效。在進(jìn)行智軌電車危害的判別中，參照軌道交通車輛的隱患清單[6]進(jìn)行整車危害的對比，識(shí)別了智軌電車的主要危害，包括脫軌（虛擬軌跡）、碰撞、觸電、爆炸、著火、人員受傷、夾人及車輛延誤等（表2），分析對象涵蓋ART基本功能、環(huán)境和接口的失效（表3）。

表2 智軌電車常見故障類別及危害形式Tab.2 Common failures and hazards of autonomous-rail rapid tram

表3 ART常見接口和環(huán)境危害形式Tab.3 Common interfaces and environment hazards of ART

3 安全的實(shí)現(xiàn)

基于ART接口和整車功能危害識(shí)別、危害分析和風(fēng)險(xiǎn)評估，建立安全性目標(biāo)和要求，并融入到總體和各系統(tǒng)的設(shè)計(jì)中去，最終實(shí)現(xiàn)安全需求。

3.1 功能安全的實(shí)現(xiàn)

按照“故障-安全”的原則[7]實(shí)現(xiàn)ART功能安全，確定安全功能以及功能的安全完整性（SIL等級），要求單一失效不會(huì)導(dǎo)致非安全狀態(tài)；如果單一失效與隨后的失效組合導(dǎo)致非安全狀態(tài)，則在隨后的失效發(fā)生前，單一失效應(yīng)能以極高的概率被檢測到并使系統(tǒng)進(jìn)入安全狀態(tài)。按照此原則，對智軌電車進(jìn)行了表4所示的安全架構(gòu)、功能安全技術(shù)及可靠性的設(shè)計(jì)和安全合格性測試。

表4 功能安全的實(shí)現(xiàn)Tab.4 The realization of function safety

3.2 其他安全性的實(shí)現(xiàn)

ART除功能安全的需求，其他安全需求還包括碰撞安全、高壓電氣安全、維修安全、主動(dòng)安全和被動(dòng)安全。針對上述安全性要求基本上是有相對完備的安全標(biāo)準(zhǔn)進(jìn)行檢測[8]，按照相應(yīng)標(biāo)準(zhǔn)，如GB/T 31498-2015《電動(dòng)汽車碰撞后安全要求》和GB 18384-2015《電動(dòng)汽車安全要求第三部分：人員觸電要求》等進(jìn)行第三方檢測并出具檢測報(bào)告即可證明整車的安全性。針對智軌電車，目前已完成相關(guān)仿真和測試工作。

除此之外，在智軌電車上還設(shè)置了主動(dòng)和被動(dòng)安全系統(tǒng)，主要包括360°環(huán)視攝像頭、周界視頻監(jiān)控車輛預(yù)警、GPS預(yù)警、車輛碰撞的吸能裝置以及用于緊急情況逃生的破窗按鈕及電動(dòng)車門的機(jī)械安全旁路等，在極大程度上保障了整車的安全性。

3.3 安全證明策略

按照軌道交通安全性標(biāo)準(zhǔn)GB/T 21562《可靠性、可用性、可維護(hù)性和安全性規(guī)范和示例》的要求，安全證明是提高城市軌道交通安全置信度的主要過程，首先需進(jìn)行安全舉證，然后需形成安全論據(jù)。針對智軌電車，通過整車功能模塊的劃分，按照新型系統(tǒng)、類似系統(tǒng)和相同系統(tǒng)確定3種主要的策略[9]（表5）并在設(shè)計(jì)實(shí)現(xiàn)過程中進(jìn)行安全舉證。

表5 智軌電車證明策略Tab.5 Proven strategies of autonomous-rail rapid tram

安全例證[10]（safe case）是最終論述ART是否符合規(guī)定安全需求的證明文件，包括質(zhì)量管理報(bào)告、安全管理報(bào)告和技術(shù)安全報(bào)告，涉及可靠性、可用性、可維護(hù)性和安全性（RAMS）要求。安全論據(jù)與法律案例類似，其目的在于為判決時(shí)宣告無罪給出充分的證據(jù)。為了建立ART的安全例證，我們公司的產(chǎn)品安全保障過程（RAMS過程）通過了國際第三方認(rèn)證機(jī)構(gòu)的審核；智軌電車整車安全架構(gòu)和多重主動(dòng)與被動(dòng)安全性設(shè)計(jì)已通過多場景下的測試；首條ART線路（宜賓智軌T1線）在試運(yùn)行階段通過了專家的工程安全評估，并且按照軌道交通維保要求建立了ART的“日檢+5級修”的維保規(guī)程，從產(chǎn)品設(shè)計(jì)實(shí)現(xiàn)、生產(chǎn)和供應(yīng)鏈管理以及運(yùn)營維護(hù)過程保障了ART的安全性。

4 結(jié)語

為了解決ART作為一個(gè)城市軌道交通系統(tǒng)在安全實(shí)現(xiàn)和證明過程中缺乏輸入條件和規(guī)范要求的問題，本文以軌道交通安全性（特別是功能安全）為理論基礎(chǔ)，通過分析智軌電車的基本功能、運(yùn)行環(huán)境、操作模式以及ART各接口關(guān)系，確定了特定安全應(yīng)用場景和范圍；并且利用安全應(yīng)用場景、安全類別、故障隱患、安全架構(gòu)、功能安全設(shè)計(jì)和安全證明的描述，提供了一套完整的分析論證思路。ART在保留軌道交通車輛和接口的高安全性和高可靠性的基礎(chǔ)上，不僅建立了多層次的主動(dòng)安全和被動(dòng)安全技術(shù)，而且符合功能安全的設(shè)計(jì)標(biāo)準(zhǔn)[11]。其下一步工作重點(diǎn)將以不同應(yīng)用場景下的安全證明為中心，引導(dǎo)ART安全性的設(shè)計(jì)提升，并不斷增強(qiáng)安全隱患狀態(tài)檢測、預(yù)警和自動(dòng)化控制的能力，以此來提高智軌電車安全性的置信度。