摘　要:轨道交通系统作为大容量公共交通工具,其安全性直接关系到广大乘客的生命安全.为了保证轨道交通系统的运行安全性,系统必须在其投入运行之前进行安全认证,只有取得相应的安全授权才能投入运行.结合北京轨道交通亦庄线示范工程中信号系统的安全认证过程,探讨适合我们国家的地铁建设过程中的安全认证模式,在应用国际安全标准的同时,必须结合我们国家的实际情况开展相关的研究工作,从产品研发和工程实施全生命周期各个阶段进行安全分析和设计,把风险控制到可以接受的水平以下.

关键词:轨道交通;CBTC;安全认证

 

      进入21世纪,伴随着世界范围内大城市交通拥挤问题的凸显,以及轨道交通在解决城市交通拥挤的突出作用,各国掀起了规划和修建轨道交通的热潮.随着世界范围轨道交通的蓬勃发展,为确保轨道交通列车运行安全和提高运输效率,迫切需要装备性能先进、安全可靠的列车运行控制系统.CBTC(Communication Based Train Control)系统是当今世界先进的列车运行控制系统的发展方向,与传统的基于轨道电路的列车运行控制系统相比,它具有如下特点:  大容量连续双向车-地通信;④地面设备及车载设备均采用安全计算机实时处理列车状态、控制命令,实现连续的间隔控制、进路控制、速度防护和自动驾驶等;  高精度列车定位;  列车运行控制灵活和高精度,可实现移动闭塞;  设备集成度高,可减少地面设备,系统结构简单,并改善可靠性和可维修性,减少全寿命周期成本;  CBTC信息可以叠加在既有信号系统上,便于既有线改造,可实现城市轨道交通的互连互通.近年来北京市下大力气加快进行轨道交通路网建设,到2015年总长561km的轨道交通网络将正式形成,到那时北京市民出行,4环以内平均步行1 km,即可到达地铁站.作为保证行车安全、提高运输效率的信号控制系统一直依靠国外引进,核心技术掌握在外国人手里,安全评估与安全认证的标准也是由国外制订的.

      2004年开始,北京市积极响应国家自主创新战略:“紧紧抓住新一轮世界科技革命带来的战略机遇,坚定不移走自主创新道路,努力突破核心关键技术,获得自主知识产权”,立项首次开展“基于通信的城轨CBTC系统研究”.2007年为落实刘淇书记“狠抓科技创新和自主创新,努力攻克地铁高端和核心技术”的指示,解决目前引进设备中的问题,集中北京市乃至全国优势资源开展先进的、基于通信的列车自动控制系统示范工程研究与实施,到目前为止,由北京交通大学自主创新的CBTC系统,历经新开发的通用产品安全认证及示范工程项目的安全认证等阶段,已经正式投入北京轨道交通亦庄线进行载客运营.

 

      CBTC系统是先进的、基于通信的列车控制系统.它摆脱了用地面轨道电路设备判别列车占用和信息传输的束缚,实现了移动闭塞.在CBTC系统中充分利用通信传输手段,实时或定时地进行列车与地面间的双向通信,后续列车可以及时了解前方列车运行情况,通过实时计算,后续列车可给出最佳制动曲线,从而提高了区间通行能力,又减少了频繁减速制动,改善了旅客乘车舒适度.地面可以及时地向车载控制设备传递车辆运行前方线路限速情况,指导列车按线路限制条件运行,大大提高了列车运行安全性^[1].一般CBTC系统包括地面区域控制中心、列车的车载设备、地-车双向的信息传输系统和列车定位系统(见图1).其中地面区域控制中心、列车的车载设备的软硬件均是自主研发的产品,地-车双向的信息传输系统和列车定位系统是采购商用产品后,再进行集成设计.

      地面区域控制中心(ZC)是CBTC系统中地面部分的核心,它根据前车的位置信息和线路障碍物的状态信息及联锁状况为后车计算移动授权(Movement Authority,MA),即限制速度值.MA是列车安全行驶至下一个停车位置所需的一个正式授权实现列车的安全间隔控制.列车安全间隔距离是根据最大允许车速、当前停车点位置、线路等信息计算得出,信息被动态循环刷新.CBTC系统的车载控制设备实时比较列车的实际速度与接收到的运行权限,当列车实际速度超过MA的限制速度,将自动实施常用制动或紧急制动,保证列车安全停在安全点前.CBTC系统的地-车信息传输系统通常可采用无线通信、地面交叉感应环线、波导管等媒体向车载控制设备传递信息.为确保安全,CBTC系统中列车必须对自身位置和运行方向进行精确判定.为判定位置,列车的车载计算机与转速计/速度传感器/加速度计(用于测量距离、速度和加速度)及轨旁定位应答器共同合作,实现列车的准确定位.

 

      世界上城市轨道交通系统的发展已有百余年的历史,人们通过不断总结城市轨道交通的建设和运营的经验和教训,已经形成了一套完整的管理和安全认证体系,并制定了一系列切实可行的安全技术标准.IEC 61508-《电子/电气/可编程电子安全相关系统的安全功能》是国际电工委员会(IEC)制定的国际标准,是进行轨道交通系统安全认证的重要参考标准.以IEC 61508为基础,欧洲电气委员会(CENELEC)下属的SC9XA委员会,制定了以轨道交通作为对象的系列标准,主要包括以下几点^[2-3].

      1)EN50126-1999:《铁路应用-可靠性、可用性、可维护性和安全性(RAMS)的规格及论证》明确了轨道交通系统的可靠性、可用性、可维护性和安全性(RAMS)的概念及相关关系,并规范了可信性系统的全生命周期,以及在每一个生命周期阶段为了保障系统的安全性和可靠性所需完成的工作.

       2)EN50128-2001:《铁路应用-通信、信号和处理系统-用于铁路控制和防护系统的软件》

是针对轨道交通系统安全相关软件的设计标准,规定了不同安全完善度等级的软件设计所需使用的技术和措施.

      3)EN50129-2003:《铁路应用-通信、信号和处理系统-用于信号的安全相关电子系统》是针对轨道交通信号系统的安全案例、安全完善度等级等方面进行规范.

      4)EN50159-1-2001:《铁路应用-通信、信号和处理系统-第1部分:封闭式传输系统中的安全相关通信》和EN50159-2-2001《铁路应用-通信、信号和处理系统-第2部分:开放式传输系统中的安全相关通信》是轨道交通通信系统安全标准,包括封闭式传输和开放式传输两部分,此标准从安全性的角度来看待信息安全的问题,将信息安全技术作为提高系统安全性的措施.

      北京轨道交通亦庄线是国产化示范工程,早在项目建设初期,北京轨道交通建设管理有限公司(业主)就与英国劳氏铁路公司签订了北京地铁亦庄线信号系统独立第三方安全评估(ISA)服务合同,在项目的整个生命周期内对项目开发、实施和测试过程中进行独立安全评估和项目安全认证工作.安全认证过程中采用英国的ALARP(As Low As Rea-sonable Practicable)原则.

      ALARP原则,主要是根据可接受标准对风险进行可接受区域的划分后,对系统进行安全评估的一种原则,主要作为英国的安全接收准则.ALARP原则将风险划分为几个区域,不被接受的区域(in-tolerable Region)、可接受的区域(tolerable Region)、一般能被接受的可接受区域(Acceptable Region),以及可忽略的风险区域内(negligible Region).ALARP原则可以通过倒三角形表示,如图2所示.

      标准将风险(risk)定义为:导致伤害的危险发生的概率(Likelihood of the Hazard)和损害的严重等级(Severity)^[2-3].危险源的风险由危险源发生的概率(Likelihood)和危险源严重性(Consequence)的乘积而定.

      最上层的风险是不能接受的,必须采取一定的控制措施使得风险能够降低到中间的可接受的区域;除非在非常特殊的情况下,我们不得不接受这样的风险,但是仍然需要详细说明风险的性质和接受的原因.在可容忍区域内的风险必须采取合理可行的措施减少这样的风险,使其降低到可接受的区域.而在可接受区域内的风险不需要进行进一步的措施降低风险;但是需要确保风险保持在此区域内.

      ALARP原则强调整体上对系统相关的风险进行最终判断.使得每一个风险评估为可以接受的或可以忍受的同时,也要注意系统总体的风险不能处于较高的等级;另外,总体风险应该尽可能降低到最低.在使用ALARP原则时,最重要的是定义3个区域之间的边界,或者说对事故造成的结果进行分类,对评估的对象事件进行一定的合理假设.图3是事故发生的原因后果模型,一个系统的风险是和造成事故的危险源密切相关的.

      系统的危险源(Hazard)是任何可以导致人员伤害,疾病或者死亡的;或者导致设备损伤;或者损失的实际或者潜在的系统状态或条件;它是可能导致事故的条件或潜在原因.根据ALARP原则,如果一个系统的风险能够接受或者容忍,或者说系统的安全性满足一定的安全目标,就可以认为该系统是安全的.

      根据亦庄线安全认证的工作安排,共分5个阶段颁发安全授权证书,如表1所示.

　      作为工程项目安全认证,必须基于已有的产品安全认证进行,如图4所示.

      在北京地铁亦庄线信号系统安全认证工作过程中,我们发现机械的套用EN50128、EN50129等标准会使得工作拖沓,很难赶上项目实施的工期要求,所以相关各方采用集中办公的方式,将主要精力放在危险源管理、室内接口测试、室外单车和多车测试等几个重要环节中.独立评估方主要从文档评审、现场审核、测试见证等几个方面,评估系统开发过程中评估是否满足标准的要求.

      1)文档评审.从项目建设初期开始,独立安全评估人员(ISA)就对项目计划、安全计划、质量计划、配置管理计划和测试计划,以及系统需求说明书等的文件进行评审,并以书面的形式提出相关的改进意见.

      在系统设计、实现和室内测试阶段,ISA对所有的安全文件进行全面的评审,也抽取一定数量的设计文件进行评审,并以书面的形式提出相关的改进意见.在集成商和各分包商完成相关子系统的开发工作后,ISA对各子系统的集成测试和系统测试的测试规格书、测试计划和测试报告进行全面的评审,并提出书面的改进意见.所有由ISA提出的改进意见待文件修订并经ISA评审合格后方可关闭.

      2)现场审核.ISA根据EN50128、EN50129等标准的要求从系统保证、安全保证、软件保证和质量管理等方面,在系统需求、系统设计和实现、系统测试等主要阶段对系统集成商和核心技术供货商进行现场审核,并提出书面的审核报告.系统集成商和核心技术供货商需要对ISA提出的审核意见进行回复,并提供相关的证据后ISA才可关闭其意见.此外,ISA也在试验室仿真测试和现场测试过程中进行见证测试,并设计适当的测试用例进行测试,特别是针对安全需求的测试用例,以确保能够满足相关的安全要求.

      对于审核过程中存在的问题,业主、独立安全评估人员、系统集成商与核心技术供货商一同每周召开安全例会,对安全审核和评估过程中存在的问题及时进行沟通跟进解决.

      3)测试见证.为确保信号系统在测试调试和投入运营后的安全,ISA对北京地铁亦庄线的单车动车调试、多车动车调试、试运行、载客运营等阶段进行了特别的监控.对这些阶段,系统集成商和核心技术供货商在提供相关的设计文件、测试报告和安全证明文件后,ISA根据EN50128、EN50129的要求通过文件评审、现场审核和见证测试等手段进行安全评估,然后提供安全评估报告并发布安全证书后,方可开展这些阶段的测试调试和系统投入运营等的工作.

 

      在进行独立评价之前,独立评估方会针对业主需求和相关标准制定一个检查表.检查表可以提供一个系统方法记录独立评价结果和证据,作为评价方的文档保存,以备追溯.

      安全评价中发现的问题,称为安全评价观察项,根据问题的严重程度分为3类.

      1)严重问题,在项目可运营前需要可行的解决方案(作为选择,也可以在短期内采取特定控制措施以控制风险).

      2)重要问题,需要在3~6个月内解决,但是项目可以暂时运营或者开发或实现过程可以继续(可能需要防护措施).

      3)一般问题.需要在下阶段的审核前改正,不需要单独的活动.

      安全评价报告的内容将遵循以下格式:①评价概述———概述评价任务,总结或建议;②介绍———给出工程背景、目标和报告范围;③要求———给出涉及报告的评价目标和范围;④评价细节:评价活动的描述;⑤调查———描述评价结果,包括任何建议;⑥结论———ISA将给出安全专业意见并予以陈述,对在审查过程中未关闭的安全通知给出总结.

      在北京轨道交通亦庄线项目建设的初期,所有参建单位都根据CENELEC标准的要求开展安全计划、分析和安全保证工作.其安全保证的过程如图5所示.根据EN50129标准的要求,并结合北京地铁亦庄线项目工程的实际特点,我们制定了自主研发CBTC产品和针对亦庄线示范工程项目的安全生命周期模型,具体内容如图6所示.

      北京地铁亦庄线示范工程的安全分析和管理工作主要由各分包商的安全保证团队进行,其主要工作如 下:

      1)安全计划:用于定义安全生命周期、安全管理组织架构及每个阶段中所需完成的行动.

      2)危险源分析:在系统需求定义和设计初期对危险源进行识别,找出危险源的原因和后果,并评估每个危险源的风险,然后根据风险等级采取必要的危险源消除或减轻措施对其予以消除或控制,将风险控制在可接受的水平内.

      危险源分析一般包括初步危险源分析(PHA)、系统危险源分析(SHA)、子系统危险源分析(SSHA)、接口危险源分析(IHA)及操作和支持危险源分析(O&SHA).采用危害及操作性研究(HA-ZOP)和故障模式,影响及危害性分析(FMECA)等方法予以执行,最终整理形成危险源分析报告.