軌道交通全自動駕駛車輛獨立安全評估實施方案

王子煜

(鐵科院(北京)工程咨詢有限公司,北京 100081)

0 引 言

北京、上海、成都、武漢等城市多條全自動運行地鐵線路業已開通并穩定運營,相比于傳統地鐵線路,全自動地鐵線路在節能增效方面優勢較明顯,契合國家“十四五”規劃的發展要求,全自動運行線路的建設將成為國內軌道交通發展的重點之一[1-2]。

為提高全自動運行系統核心設備的穩定性及安全性,國內軌道交通相關機構聯合發布全自動運行線路建設及運營規范,建議由具備相關資質的第三方評估單位對車輛、信號等全自動核心設備開展獨立安全評估工作[3-4]。

鑒于車輛系統的獨立安全評估起步較晚,基礎較薄弱,以北京地鐵11號線全自動駕駛車輛安全評估過程為切入點,研究并建立全自動駕駛車輛系統獨立安全評估工作思路及實施方案,同時也為國內其他全自動運行線路設備系統開展獨立安全評估工作提供參考。

1 工程概況

北京地鐵11號線西段工程北起石景山區模式口站,過阜石路、大臺鐵路后設置金安橋站,出金安橋站后線路由北辛安路轉向首鋼北區,沿規劃的修理廠西路向南,在長安街西延北側設置首鋼站,出站后沿規劃二煉鋼南路南行,在工程終點設置地下臨時停車區[5-6]。

北京地鐵11號線西段工程車輛系統采用全自動駕駛模式,合同要求對車輛系統進行獨立第三方安全評估[7]。

2 評估范圍

安全評估工程實施方案的基礎是確定評估范圍,根據EN5012X系列及國家有關規范要求,結合車輛生命周期各階段要求,從實際情況出發,對11號線全自動駕駛車輛提出具體的安全工作內容及要求[8-9],具體有以下幾點。

(1)制定車輛系統安全評估工作計劃及管理方案。

(2)制定評估系統接口安全管理方案,確保系統間的接口危害識別和危害分析包含系統/設備及接口危害消除、控制或減輕等內容。接口評估范圍不僅包含系統間的接口,還包含預留的與延伸工程的接口。

(3)安排相關的評估活動,評估服務重點圍繞安全主題,涵蓋設計、制造、安裝、測試/調試、試運行、開通試運營等工程全過程。

(4)編制階段工程安全評估報告,按工程實際及項目需求提供帶有結論性、負責任的授權證書及報告。

(5)針對車輛系統建立整套安全管理體系,指導承包商全生命周期安全工作,形成安全管理文件。

(6)充分考慮工程分段、甩站、延期的不確定性。按工程實際節點及項目需求要求進行車輛獨立安全評估,按時提供工程安全評估報告和安全授權書。

3 評估團隊配置

全自動駕駛車輛系統不僅集成機械加工、電氣控制、通信信號等多行業的核心技術[10],在運營組織籌劃方面也有新的變化,對評估人員的技術能力及從業經驗要求較高,11號線車輛系統評估團隊配置清單見表1。

表1 北京地鐵11號線車輛系統安全評估團隊配置清單

4 評估工作方案

評估工作方案主要圍繞行車安全以及風險管理而制定,包括風險分析、框架、安全性策略以及評估工具等內容。

4.1 安全風險及安全措施概述

安全評估工作的第一步,需要針對全自動駕駛車輛系統進行安全風險分析[11-13]。

為保障在全自動駕駛車輛行車時出現的所有安全風險都能考慮到,將事先進行風險分析,風險分析考慮到自動化等級、現場特殊條件和故障模式等因素組合條件下可能出現的所有危害狀況。

11號線全自動駕駛車輛系統的主要安全風險及安全措施說明如下。

(1)火災。

車輛系統依據相關軌道車輛和基礎設施防火規范進行設計,如防止燃燒、火災及煙氣擴散、有毒氣體的產生和提供滅火設備。

(2)系統和設備。

全自動駕駛車輛系統的事件/故障反應時間充分考慮在無人值守時的安全風險,與安全相關的功能將觸發安全措施自動執行,由此產生的信息和反應都將保持有效直至觸發危害狀況的因素不再存在。

4.2 評估框架

在掌握國際全自動運行系統評估方法、流程和核心技術的基礎上,分析國內包括北京和上海在內的全自動運行系統建設、運營和評估的情況,總結出適合北京地鐵11號線全自動駕駛車輛系統的安全評估策略[14-15]。

在車輛廠、正線和全線不同階段測試、調試工作中,評估工作關注要點見表2。

表2 安全評估工作關注要點

4.3 安全性策略

安全評估團隊工作的要求是恪守評估機構質量方面的承諾,以交付“安全、可靠和高品質”的服務為目標。安全評估團隊通過執行一系列措施,盡可能識別風險,把風險控制在工程和系統的安全方針允許的范圍內,以避免危害安全的事故發生。

評估機構協助車輛系統承包商設計、生產和交付一個符合規范要求、符合標準和技術要求的系統。車輛系統能夠在安全的模式下操作,能在同等安全水平的模式下維護。

評估機構根據ISO9001的要求建立質量管理體系,是11號線車輛系統安全評估的安全性策略實施依據,主要包括一個作業指導書,其中定義了安全評估工程師工作中需要遵循的安全流程描述。

(1)安全性執行原則。

①技術要求中的規定和技術參考的應用,包括規范、指導和特殊的技術規范;

②根據EN5012X系列標準制定的危害識別和緩解流程的應用;

③車輛系統根據對操作、維護和其他接口實體的限制來驗收;

④危害識別和緩解流程。

當這種危害緩解的爭論或定性、定量的分析不能決定某個功能或設備可以達到的安全等級,評估機構和車輛系統承包商需一起來確認和接受減少風險的解決方案,該方案的成本與得到的改善成比例。目標是為識別出的風險或隱患定義緩解這個風險的“可接收的”水平。

(2)安全性目標。

①通過使用嚴格安全的子系統來避免不安全的情況;

②執行限制性的指導書來保證安全操作。在大多數情況下,如果得到中央控制操作員的允許,車輛操作員在非全自動模式可以忽略停車條件,使車輛在一個限制的車速下繼續行駛,直到問題被解決;

③識別、評估、解決系統相關的危害,或者通過減少有危害的意外事件和(或)減少危害事件的發生頻率,把相關的危害減少到可以接受的水平;

④對設計、配置或操作要求的更改符合可接受的危害水平。

(3)安全性標準。

以下針對車輛系統設計和操作流程的安全性標準能確保系統的安全性目標在整個開發生命周期內都能被考慮到。作為最低要求,這些標準包括以下幾點。

①分析中已經識別的危害按照優先級次序進行消除或控制;

②從安全關鍵的子系統的一個或多個故障引發的危害必須屬于“可接受”的種類;

③安全關鍵的子系統必須使用安全性設計原則,必須設置冗余(控制的安全)或者故障安全機制,使得任何故障都不會造成不安全的狀態;

④如果安全受影響,一個子系統或設備故障的發現將引起限制狀態的執行;

⑤地鐵員工和乘客絕對不能處于“不可接受”的危害環境下。

(4)安全性要求。

如果存在任何與危害相關的外部裝置和操作環境,由車輛系統承包商提供相應的緩解措施,并編寫安全操作流程。

根據各階段的接口風險分析以及運營與支持風險分析來決定這些需要“提交給用戶”的需求。危害日志將記錄可能影響列車司機、中央控制操作員和車輛系統承包商的要求。

評估機構將告知客戶對車輛操作流程、車輛維護人員等的限制。

(5)核對冗余原則。

全自動駕駛車輛系統的冗余設計是保障行車安全的重點,核對冗余原則由幾個復合型故障-安全的安全表決通道組成,以確認內容。

①核對過程自身是故障-安全或核對冗余的;

②核對過程做到足夠的頻繁,以確保在安全檢查時間間隔內出現冗余單元中同樣的錯誤或故障是不可能的或者不可信的;

③核對過程足夠靈敏,以檢測到所有在單一單元中的重大錯誤;

④按照預定的方式檢測故障并在發生故障時及時反應以保證安全;

⑤冗余單元有足夠的獨立性,以確保在安全核對時間間隔中,由于共模導致的危害性故障不可能發生或不可信;以及一路核對冗余通道的一個故障將被及時檢測到,以確保進入安全狀態。

(6)安全檢查差異性原則。

車輛系統是通過車載網絡系統軟件與信號系統軟件進行信息交互以實現全自動駕駛模式的,安全檢查差異性是安全型軟件設計的關鍵,要求軟件開發過程能夠保證以下幾方面。

①安全關鍵設備的軟件和數據庫是正確的;

②軟件設計保證安全檢查分層的邏輯;

③軟件按照足夠的頻率強制進行所有的安全檢查;

④安全信息在潛在的干擾情況下,通過有效的保護機制來保證安全信息得以傳輸。

4.4 評估工具

(1)評估意見。

評估意見是獨立安全評估過程中的重要文件,此工具文件在評估方與工程團隊間建立起雙向對話通道:評估方就對被評估文檔中的問題記錄在評估意見中,工程團隊就問題在評估意見中做出回復并提供證據。

(2)審查和見證。

審查和見證是為了驗證系統保障團隊的計劃和安排是否被有效的實施,所提供的安全證據是否遵循計劃且滿足計劃要求,同時可以現場對工作證據進行抽查。

(3)評估報告。

評估團隊將根據合同要求向監管公司和承包商提供項目狀態報告。根據項目進展情況,在項目進度發生偏差前,或安全證據存在或可能存在較大缺陷時,及時向業主報告項目狀態,并提出可能的建議和意見,以保證項目最終目標的實現。

5 結 語

在北京地鐵11號線車輛系統獨立安全評估的工程實施過程中,嚴格按照評估實施方案中的安全及風險管理策略執行,確保11號線車輛系統達到全自動駕駛等級要求。