全自动运行燕房线工程七大核心设备系统独立RAMS评估研究

2015-12-31杜薇

铁路技术创新 2015年4期

■ 杜薇

北京轨道交通燕房线为自主化全自动驾驶线路。全自动驾驶功能的实现依赖多个专业相互配合。考虑到实现全自动运行功能要求设备高安全性和高效性，建设方针对直接影响行车安全的车辆、信号（含综合监控）、通信、站台门、轨道、电梯/扶梯、门禁七大核心设备系统，引入第三方独立RAM S评估，确保燕房线全自动驾驶系统的风险处于可接受水平。

1 燕房线系统概况

1.1 工程概况

燕房线工程线路长约14.4 km，均为高架线，沿线设车站8座，平均站间距约1.9 km。最大站间距为顾八路站至星城站，为3 795.533 m；最小站间距为饶乐府站至顾八路站，为1 206.343 m。燕房线工程线路走向示意见图1。

1.2 七大核心设备系统概况

1.2.1 车辆

根据燕房线作为“综合科技示范线”的要求，全线采用全自动无人驾驶技术，本线车辆须具备全自动无人驾驶功能。

燕房线工程全线初、近期按4辆编组，远期6辆编组。初期配属列车数为15列，近期配属列车数为19列，远期配属列车数为68列。

采用接触轨授电方式。列车构造速度110 km/h，最高运行速度100 km/h。

1.2.2 信号

燕房线为全自动运行线路，列车唤醒、休眠、出入库、正线运行、折返等作业均由信号系统自动控制完成。为确保列车运营的高安全性和高效性，正线信号系统配置完整的列车自动控制系统（ATC），包括既有列车自动监控系统（ATS）、列车自动防护系统（ATP）、列车自动运行系统（ATO）和计算机联锁子系统（CI）。

停车场自动运行区域及试车线采用与正线一致，配置完整的ATC系统。非自动区域只安装联锁设备，不再安装其他ATP/ATO轨旁设备，全自动运行区域和非自动区域共用一个联锁子系统控制。

燕房线工程综合监控系统采用深度集成信号系统中列车自动监控子系统、变电所综合自动化系统及环境与设备监控系统，界面集成广播系统、闭路电视系统、乘客信息系统，互联门禁系统、时钟系统、自动售检票系统、安全门系统、火灾自动报警系统等的行车综合自动化系统（简称TIAS系统）的设计方案。

TIAS系统采用主备、冗余、两级管理、三级控制方式、分布式C/S结构，系统由中央级系统（含后备中心系统）、车站级系统及数据传输主干网组成。

信号系统（含综合监控）结构见图2。

1.2.3 通信（含PIS）

燕房线工程通信系统由专用通信系统、公安通信系统两部分组成。

专用通信系统包括：传输系统、公务电话系统、专用电话系统、专用无线系统、闭路电视监控系统（与公安电视监控系统合建）、广播系统、时钟系统、电源及接地系统、集中监测告警系统等子系统。

公安通信系统包括：无线引入系统、计算机网络系统、电源及接地系统。

燕房线工程乘客信息系统（PIS）由控制中心子系统、车站子系统和网络子系统（含有线网络子系统和车地无线子系统）、车载子系统组成。本线PIS采用综合承载LTE技术，满足信号系统CBTC、PIS（含紧急文本信息、车载CCTV监控回传）系统车地业务的承载，在200 km/h高速移动环境下具有稳定的接入能力，具备高可靠性及安全性。提供高速带宽及多业务QoS保障，同时可以实现设备和频率资源的共享、负荷分担，服务质量高、传输时延短、丢包率低，具有系统自动监视、报警等功能。

1.2.4 站台门

系统采用半高安全门，其主要作用是防止乘客由于拥挤或其他意外情况滑落站台，造成生命财产的损失，以及减少司机进站时由于担心站台坠物而产生的心理压力。

半高安全门系统主要由机械和电气两大部分组成：机械部分由门体结构及门机系统构成；电气部分分为控制系统和电源系统。

1.2.5 轨道

燕房线轨道系统正线、辅助线、试车线采用60 kg/m钢轨、W J-2A型扣件、短枕纵向承轨台整体道床，轨道结构高度520 mm，一般地段轨枕铺设数量按1 680根/km，曲线半径小于400 m地段按1 760根/km铺设。正线、辅助线采用9号道岔，在饶乐府站支线接入主线及阎村北站的房山线与燕房线接驳位置采用12号道岔。中高等减振地段采用梯形轨枕，特殊减振地段采用钢弹簧浮置板道床。线路尽头处设置液压缓冲滑动式车挡，在规范要求地段设置防脱护轨。

车场线采用50 kg/m钢轨，车场线、库内线、出入场线均采用弹条Ⅰ型扣件。停车场库内线根据工艺要求采用相应整体道床。车场线、出入场线采用国铁新Ⅱ型枕碎石道床，车场线轨枕按1 440根/km配置，出入场线按1 680根/km配置。停车场一般地段采用7号道岔及其渡线。库外平过道为混凝土枕碎石道床，铺设橡胶道口板。库内平过道为短枕整体道床，用混凝土灌注，轮缘槽处采用特制橡胶轮缘槽，宽度50～55 mm。车场线采用固定式车挡，库内线采用月牙式车挡。

1.2.6 电梯/扶梯

自动扶梯主要由驱动主机、主驱动轴和梯级链张紧装置、扶手带驱动装置、桁架、梯级与梯级滚轮、梯级链与梯级链滚轮、导轨与支架、扶手带与扶手带导轨系统、扶手装置、电气控制系统及安全装置等组成。

电梯主要由曳引机、导轨与支架、轿厢和轿门、层门和门套、电气控制系统及安全装置等组成。

1.2.7 门禁

燕房线工程门禁系统（ACS）由停车场及小营控制中心二期中心级门禁系统、车站级门禁系统、现场级设备及传输网络组成。中央级和车站级通过通信传输网进行通信。

门禁系统按照两级管理、三级控制的原则进行设置。ACS的车站级和就地级负责就地数据的采集、转换、本地存储及上传；中央级ACS对各车站及停车场的ACS进行监控。

2 RAMS评估各参建单位职责分工

燕房线工程的参建单位包括：建设单位、施工单位、集成供货单位、设计单位、监理单位、第三方RAM S评估单位。

各单位在工程安全评估工作的职责分工如下：

建设单位：确定安全目标和关键工作节点。协调各参建单位的问题，监督安全评估的进度按照工程节点要求顺利进行。

施工单位：配合集成供货单位完成RAM S评估工作。提供其供应的设备资质证明或产品安全证书，以及安装、测试记录或报告。

设计单位：提交设计文件。审核集成供货单位提交的技术文档及安全分析文档，并书面反馈审核意见；配合RAM S评估单位的评估工作。

监理单位：配合RAMS评估单位的评估工作。

第三方RAM S评估单位：独立于系统设计、工程实施，以基于证据的方法，通过对生命周期过程的分析，评估和判断该系统的安全需求是否恰当、充分，以及系统是否满足既定安全需求，是否适用于既定使用目的和应用条件。

参建各方在生命周期内的工作职责及具体流程见图3。

3 风险管理

风险管理过程可分为危害识别、风险评估、危害管理三部分。燕房线七大核心设备系统通过这三个环节的开展，将风险降到可接受的程度。

3.1 危害识别

危害识别作为风险分析的第一步，其任务不仅限于识别危害，还要分析原因和可能导致的后果。

燕房线为全国首条自主化全自动驾驶线路。全自动驾驶功能的实现需要依靠车辆、信号、综合监控、通信、站台门等各专业相互配合。为了更好地识别燕房线全自动驾驶系统集成，以及各专业间接口的风险，车辆、信号（含综合监控）、通信、站台门等集成供货商与评估单位参考《全自动驾驶系统场景说明书》，采用HAZID分析方法，进行了燕房线全系统初步危害分析。

根据燕房线各系统设计、建设的进展状态，各专业以燕房线全系统初步危害分析为输入，开展本专业自身的初步危害分析、系统危害分析、接口危害分析、操作与支持危害分析等危害识别工作。

（1）初步危害分析：在系统初期开展。可以估测燕房线可能产生的人员伤亡时段。

在创客工坊中不但可以将学校中各个专业软硬件资源进行整合，还可以扩充到学校与学校之间的资源整合，打破学科限制，学生在这里不光是学习者还担任教授者、创业者等身份。创客工坊开通网络平台，可以与各个社区进行联合，社区将平时遇到的问题，诸如：计算机维护、电路维修、视频宣传制作等需求发布到网络平台上，学生从平台上挑选自己感兴趣的项目自己组建项目小组完成项目制作，不但可以得到相应学分，还可以完善学生成人成才培养计划，充实学校“双成”教育活动内涵。

（2）系统危害分析：在系统层设计完成后开展。可以确定系统层的危害。

（3）接口危害分析：在工程中期开展。可以确定系统内部及外部接口相关危害。（4）操作与支持危害分析：在工程中后期开展。可以确定与运营操作人员、维护人员相关的危害。

3.2 风险评估

燕房线七大核心设备系统风险接收的原则采用EN 50126中推荐的ALARP方法，即“尽可能的将风险降低到合理、可行的程度”。ALARP风险接收原则将风险划分为不可接受区域、ALARP区域或可容忍区域、大体上接收区域（见图4）。其中，不可接受区域的风险不能接受，必须消除或降低；大体上接收区域通常可以接受，但也应确保风险可以一直维持在这一水平；位于ALARP区域的风险必须采取所有合理可行的控制措施来降低风险，直到采取风险控制措施所带来的收益与成本不相称为止。

燕房线七大核心设备系统通过采用半定量的方法即风险矩阵方法对风险进行排序（见图5），并确定风险比较高的危害（见表1），然后重点对这些危害进行分析和管理。

燕房线七大核心设备系统通过定量计算证明剩余风险都已降低到R4或R3级。

3.3 危害管理

表1 风险定义风险等级定义R1 除特殊情况外，必须消除该类风险R2 必须将风险降低至最低实际可行水平R3 可忍受的风险，但仍须按成本效益尽量降低风险R4 可接受的风险

通过上述危害分析，识别出燕房线各系统工程相关的危害；通过风险评估，识别出控制燕房线各系统达到可以接受水平的安全需求，同时再加上产品的安全需求或安全应用条件，以及其他专业输出给本专业的安全需求，即可形成本专业的危害日志（见图6）。在整个生命周期活动中，各专业对危害日志进行维护、更新，确保危害日志能够及时更新。

这些安全需求根据实现方式的不同，可分为设计、制造和试验、输出三类。在工程使用交付前，须确保涉及的安全需求落实在工程中。分类为设计实现的安全需求通过检查技术规格书、图纸来关闭；分类为制造和试验的安全需求通过检查测试报告来关闭；输出的安全需求一般分配给其他专业和运营维护单位，通过控制危害方确认接收证明方可关闭。

4 RAM管理

在项目设计阶段，各专业将开展可靠性分析工作。首先，确定各系统故障定义，明确可靠性、可维护性、可用性（RAM）目标；其次，根据以往项目经验，对RAM指标进行初步分配，并编制可靠性指标分配报告；然后，进行故障模式、影响及危害性分析。此分析采用自下而上的方式，评估各部件或子系统发生故障的可能性、对系统性能的影响及影响的严重程度。FM ECA将从系统中的可替换单元开始自下而上分析，根据上述风险矩阵，对类别为“严重”后果及以上甚至更严重的故障模式进行重点管理。在此阶段还要编制可靠性证明计划，详细说明验证RAM目标的方法及程序。

在项目调试及运营阶段，各专业将建立故障报告及修正措施系统（FRACAS），统计调试及运行期间的问题、故障、故障发生的原因和方式、采取的修正措施。此系统将用于监控设备的RAM表现。在项目运营期，各专业将编制RAM证明报告，以证明各系统是否达到既定的各项可靠性目标。

5 RAMS评估

5.1 评估团队组织架构

RAM S评估单位将评估团队分为两组：一组是核心系统集成评估组，一组是各子系统评估组。核心系统集成评估组的任务是识别系统集成及接口风险，特别是与七大核心设备系统相关的接口风险。识别的风险将传递给子系统评估组，子系统评估组负责各系统及与其他系统的接口风险，以确保所有识别危害的相关风险得到控制。核心系统集成评估组将会确保与系统集成相关的所有风险能够被各子系统评估组评估。

5.2 评估方式

在评估工作计划和准备阶段，评估单位会根据以往类似评估经验编制评估工作计划。评估计划介绍组织架构、适用标准、评估工作、交付文件等内容。评估计划将发布给集成供货单位/施工单位，便于开展后续工作。同时，评估单位会查看、分析集成供货单位提交的技术规格书、图纸等技术文件，深入了解所评估系统，便于确定项目高风险点。

在评估工作实施阶段，评估单位主要评估各系统危害识别、分级、解决措施、记录、监控、消除、追踪和关闭全过程，审核各系统设计、制造、安装、测试各方面的安全需求是否充分，确保风险已降低到合理可行的水平（ALARP）。

相对于以往某一单个系统的安全评估，七大核心设备系统RAM S评估有三项重点：一是确保所识别出的全自动驾驶系统级的危害已在七大核心设备系统中得到管理和控制；二是评估七大核心设备系统的接口安全管理，确保各系统控制管理了其他系统输出给其的安全需求；三是评估七大核心设备系统RAM管理，确保既定RAM目标的实现。

为了达到评估目的，评估单位采用文档评估、安全审计、现场见证测试、安装测试记录/报告审查4类方式开展工作。

（1）文档评估。评估单位通过审核集成供货单位/施工单位提交的文档，检查其工程管理所采用流程的充分性，对各专业安全管理工作进行评估，确认所有识别的安全风险都得到控制。评估意见以安全通知的方式发布。

（2）安全审计。评估单位对七大核心设备系统的软件管理、质量管理体系、安全管理组织和程序、设计变更和配置管理过程、验证与确认过程、故障报告、分析及纠正措施等进行现场审计，并将审计意见记录在审计报告中。

（3）现场见证测试。在工程各关键节点对系统主要功能提出针对性的测试场景，进行测试见证。

（4）安装测试记录/报告评估。审核室内、现场的安装测试记录/报告，并提出评估意见。

6 RAMS评估交付物

6.1 集成供货单位/施工单位交付物

集成供货单位/施工单位编制提交的与评估相关的文档包括：系统保证计划，验证与确认计划，配置管理计划，质量计划，测试计划，初步危害分析，系统危害分析，接口危害分析，操作与支持危害分析，量化风险分析，差异性分析，变更安全分析，危害日志，测试报告，验证与确认报告，安全例证，可靠性、可用性及可维护性指标分配报告，故障模式影响及重要性分析，可靠性、可用性及可维护性证明计划，可靠性、可用性及可维护性证明及报告，故障报告及修正措施系统。