系统理论过程分析在城市轨道交通列车运行控制系统设计中的应用*
2017-11-16闫宏伟燕飞张仕杰牛儒唐
闫宏伟燕 飞张仕杰牛 儒唐 涛
系统理论过程分析在城市轨道交通列车运行控制系统设计中的应用*
闫宏伟1燕 飞2张仕杰1牛 儒3唐 涛3
(1.中国铁路经济规划研究院,100038,北京;2.北京交通大学轨道交通运行控制系统国家工程研究中心,100044,北京;3.北京交通大学轨道交通控制与安全国家重点实验室,100044,北京∥第一作者,助理工程师)
使用STPA(系统理论过程分析)安全分析方法,针对北京燕房线实际设计案例中的典型系统级危险源,选取列车进站停车运营场景建立相应的分层控制结构模型,辨识不安全控制行为,分析列车运行过程中的危险致因和安全约束,结合实际工程项目转化为切实可行的安全需求和防护措施。表明STPA方法分析过程全面深入,不仅可以分析技术系统,还可以分析运营组织中的人为因素,可以更加全面辨识运营场景中所涉及的危险致因。
轨道交通;全自动运行系统;安全分析方法;系统理论过程分析;安全约束;系统分层控制结构图
目前主流的基于事件链的安全分析方法已使用近50年。以线性因果关系的事件链为分析基础的安全分析方法,认为按照一定顺序出现的不同故障事件,最终导致了系统事故。人们采用危险及可操作性分析(HAZOP)方法[1-2]、失效模式影响分析(FMEA),同时结合故障树分析(FTA),利用危险历史数据并结合专家经验,对某一特定的危险事件进行致因和后果的分析,并评价其风险等级[3]。
近年来,城市轨道交通系统随着多领域科学技术的发展与应用,基于现代计算机、通信、控制等技术实现列车无人驾驶的轨道交通全自动运行系统,以其自动化程度高、运营效率高、运营成本较低等特点,逐渐成为了国内外城市轨道交通信号系统的发展趋势。该系统在巴黎、哥本哈根和香港等地都已投入使用,预计2017年年底建成通车的北京地铁燕房线也将采用该系统[4]。
随着轨道交通运行控制系统自动化水平的提升,采用高度集中的控制模式,系统环境内各部分之间交互信息与控制命令数量更加庞大。其作为一个复杂的社会技术系统,显现出繁冗复杂的非线性特性,给系统的安全分析带来了巨大的挑战[5]。针对采用大量冗余设计保证较高可靠性的运行系统,其复杂交互命令应作为安全分析的重点方向。针对传统列车控制系统简单逻辑致因所提出的传统分析方法,已经很难全面地解决如今系统设计所面临的难题。
为了解决传统分析方法的局限性问题,强化针对复杂社会技术系统安全分析的完整性,更加全面辨识危险致因,麻省理工学院的Nancy G.Leveson于2004年提出了基于系统理论事故建模和过程(Systems-Theoretic Accident Modeling and Processes,STAMP)。在 STAMP 模型理论的基础上,Nancy G.Leveson制定了系统理论过程分析(System-Theoretic Process Analysis,STPA)这一流程性的安全分析方法。
目前在国内,尤其是轨道交通领域,使用STPA进行安全分析与设计的资料较少。本文将结合北京燕房线系统安全分析与设计的案例,探讨和阐述STPA应用在轨道交通领域的安全分析体系,为解决其他领域的安全问题提供一种有效可行的手段。
1 STPA系统安全分析方法
1.1 STAMP理论与模型
STAMP系统理论把系统看作一个整体,而不是独立的组件,系统的安全性只有考虑到系统内部与外部相关所有部分之间的联系(交互)才能恰当地处理。在STAMP理论中采用分层控制结构构建系统模型,安全性通过对系统内部相互关联的部件间信息及控制的反馈回路达到动态平衡。由此,STAMP将系统的安全问题转化为管理控制结构中每层活动约束的强制执行,即针对系统控制行为的约束(称之为安全约束)均得以满足,从而使得系统安全性得以保障[6]。1.2 STPA分析方法
STPA使用基于STAMP理论构建的系统控制图进行分析,从外部输入开始针对控制回路的每一个环节进行分析,辨识致因因素。在城市轨道交通运行系统中,运营人员或乘客往往也会承担控制角色。因此,在实际构造的模型中,传感器或执行器也可能会拥有自己的过程模型(心智模型)。因为STPA比传统方法对于系统的交互性风险有着更强的分析能力,对于人在控制系统中的作用也给出了更为精确的模型,相较于传统方法,其分析结果显然更加完善[7]。
STPA以系统级事故与相关危险作为输入材料,主要通过以下4个步骤辨识导致系统危险出现的根本原因:
第1步,STPA分析过程输入内容为系统事故及其与之相关联的系统级危险。系统级危险的辨识直接影响系统边界与分层控制结构图中的底层控制过程,可根据乘客受伤、列车相撞、影响运营等具体事件来定义[8],以便在后续分析中确保该安全约束得以实施。
第2步,建立系统的分层控制结构。通过构建系统的分层控制结构以及其中的控制与反馈,变现系统内部不同层次的交互行为[9],是进一步辨识导致系统层面涌现危险的原因(不安全控制行为)分析的基础。
第3步,辨识导致系统进入危险状态的不安全控制[10]。针对第2步系统分层控制结构图中的控制行为,结合以下4种不恰当控制的通用分类,辨识以下不安全控制行为:
(1)控制器未提供所需的控制行为;
(2)控制器提供了错误的或不安全的控制行为;
(3)在错误的时间提供控制行为(过早或过晚);
(4)控制行为停止的过早或持续时间过长。
第4步,辨识导致上述不恰当控制出现的致因因素,即导致系统危险出现的根本原因。根据某一底层被控过程,从系统控制结构图中选取相应的控制回路,按照图1所示的方式对每一个控制回路上的环节进行分析,从外部输入开始针对控制回路的每一个部分进行分析,获得致因。
图1 基于控制回路的致因辨识
2 城市轨道交通运行系统安全分析
正在建设中的北京地铁燕房线将成为中国大陆首条自动化等级最高的城市轨道交通运行地铁线路[11],系统符合IEC 62290中对自动化等级GOA4(Grade of Automation 4)的系统在正常运营情况下由自动化设备取代司机自动驾驶列车在全线运行的技术要求[12]。
运营场景是在系统设计初期的系统概念阶段就可以获得的有效资源,由系统内部子系统以及运营环境中可能出现的各种元素参与组成,可以反映出系统的实时动态行为表现,并且描述各个运营场景里各子系统独立或交互完成功能。在列车进站停车运营场景中,乘客作为系统主要受众,处于车站与列车子系统的接口处,列车及站台设备之间进行大量交互行为,因此暴露于危险状态的可能性大大增加。
综上所述,本文以北京燕房线进站停车运营场景为例,针对城市轨道交通运行控制系统,使用STPA进行安全分析。
2.1 定义系统级事故与危险
2.1.1 系统级事故
A1——列车与列车相撞;
A2——列车与轨道限界内障碍物相撞(包含乘客或运营工作人员);
A3——列车出轨;
A4——与车门有关的乘客伤害。
2.1.2 系统级危险
针对上述事故,全自动运行系统顶层危险为:
H1——列车超速(会引发事故A1、A2、A3);
H2——车门异常开启或关闭(会引发事故A4)。
2.2 列车进站停车系统分层控制结构图
通过对北京燕房线运行系统进行分析,绘制出进站停车过程的分层控制结构如图2所示。其中,TIAS(Traffic Integrated Automation System)表示行车综合自动化系统;VOBC(Vehicle on Board Controller)表示车载系统;CI(Computer Interlocking)表示联锁系统建模对象,既包括各个子系统设备,也包括参与系统操作的人员(系统工作人员以及乘客)。控制结构图中主要包含以下内容:
(1)正常运营中,TIAS向VOBC发送的进站信息,VOBC控制列车速度并向车门控制器发送开门命令,完成自动进站停车门开启。
(2)正常运营中,列车在距站台规定距离时,VOBC与车站CI通信,交互信息,CI根据信息控制站台门控制器,完成站台门与车门同步开启。
(3)异常情况下(如车站轨道限界内有障碍物),由TIAS中心调度员或车站综合站务员负责发现,并发送控制命令禁止列车进站。
图2 全自动运行系统列车进站停车控制结构图
2.3 不安全控制行为
针对图2列车进站停车运营场景系统分层控制结构图中的控制行为,结合不恰当控制的通用分类,辨识列车进站停车过程中不安全控制行为如表1所示。其中,Uca(unsafe control action)表示不安全控制行为。
表1 列车进站过程不安全控制行为
2.4 不安全控制行为致因与约束
2.4.1 不安全控制行为Uca1分析
当车站轨道限界内有障碍物,未通过远程命令使列车在站外停车,其控制过程模型如图3所示。
图3 Uca1过程模型图
在此控制过程中,主要高层控制器为行车综合自动化系统TIAS,包含TIAS中心调度员以及操作台设备中的远程制动功能模块。调度员根据其过程模型采集判断车站轨道限界内的障碍物信息,并通过人机交互生成列车禁止进站的命令。区域控制器ZC(Zone Controller)作为TIAS与低层控制器的车载控制器VOBC间的媒介,根据过程模型判断并将禁止进站的命令转换为列车可执行制动的移动授权MA(Movement Authority)。VOBC作为低层控制器,根据自身过程模型分析MA情况,判断列车停车点,通过列车自动防护ATP(Automatic Train Protection)与列车自动运行ATO(Automatic Train Operation)来执行制动,使列车在站外停车。
针对Uca1过程模型图使用STPA方法分析危险致因因素,分析回路中全部控制器(包含TIAS、ZC与VOBC)过程模型可能会与实际需求不一致的而导致列车无法在站外停车的致因,在控制器中标明;分析控制器间的执行器与反馈器的过程模型(如包含)以及可能出现的故障,标明在对应的控制与反馈过程中,如图4所示。
图4 Uca1致因因素分析
针对不安全控制行为Uca1的危险、危险致因以及安全约束列表如表2所示。其中,CF(Causal Factor)表示指引因素,SC(Safety Constraint)表示安全约束。因文章篇幅所限,本文只节选部分安全约束。
表2 Uca1危险源日志
2.4.2 不安全控制行为Uca2分析
列车进站停车站台的站台门故障,未隔离对应车门。当车站站台门故障或被人工锁闭隔离后,列车在该站台时,该侧站台的所有列车相对应的车门也保持锁闭,不参与停站的开、关门作业。其控制过程模型如图5所示。
图5 Uca2过程模型图
在此控制过程中,主要高层控制器为站台门控制器,采集本站台全部站台门状态信息。当采集到站台门异常时,根据其过程模型判断对应的异常站台门编号ID号码,发送至CI。CI作为站台门控制器与VOBC间媒介,将故障ID转发至VOBC。VOBC根据其过程模型判断故障的站台门位置,并以此为基础生成隔离对应位置的车门的命令,发送至车门控制器执行。车门控制器作为低层控制器,执行隔离命令,直接控制某一或某些车门不开启。
针对Uca2过程模型图使用STPA方法分析危险致因因素,分析回路中全部控制器过程模型可能会与实际需求不一致的而导致打开异常站台门对应车门的致因,在控制器中标明(包含站台门控制器、VOBC与车门控制器);分析控制器间的执行器与反馈器的过程模型(如包含)以及可能的出现故障,标明在对应的控制与反馈过程,如图6所示。其中,TCMS(Train Control and Monitoring System)为车辆信息管理系统。
图6 Uca2致因因素分析
针对不安全控制行为Uca2的危险、危险致因以及安全约束列表如表3所示。因文章篇幅有限,本文只节选部分安全约束。
表3 Uca2危险源日志
3 结论
STPA认为危险的出现是由于不充分的控制导致安全约束的缺失,因而以输入、输出可观变量为指引,使其分析更具条理性,逻辑性也更强。本文中使用STPA系统性安全分析方法识别系统不安全控制行为,结合系统运营场景辨识危险致因,更适合工程研发经验较少的全新系统设计[13]。
同时,STPA除了可以分析出传统方法组件失效致因外,还可以分析出未包含或很少包含的其他致因因素,即辨识出了不一致的过程模型,导致系统在实现过程中与实际运行需求不一致而引发的危险。将人作为系统控制回路中的重要环节,发现运营人员、乘客与系统软件间的交互行为,针对软件与人的交互需求、运营管理需求以及对乘客行为的约束。这些与传统的失效指引相比,更容易出现在软件、人员、组织等诸多因素交互的轨道交通全自动运行这一复杂系统中。
当然,STPA还需要大量的轨道交通实践来证实其可用性,执行完善的流程规范以保证其一致性。总之,STPA虽然还未被轨道交通行业安全领域广泛接受,但其却提供了一种解决传统安全分析局限的可能性,值得研究人员进一步学习研究。
[1] KLETZ T A.HAZOP and HAZAN:identifying and assessing process industry hazards[M].[S.l.]:IChemE,1999.
[2] International Electrotechnical Commission.Hazard and operability studies(HAZOP studies)—Application guide:BSI IEC 61822 [S].Geneva:International Electrotechnical Commission,2001.
[3] International Electrotechnical Commission.Analysis techniques for system reliability:procedure for failure mode and effects analysis(FMEA)[M].Geneva:International Electrotechnical Commission,2006.
[4] 肖衍,苏立勇.轨道交通全自动驾驶系统集成技术研究[J].中国铁路,2015(5):109.
[5] SALMON P M,CORNELISSEN M,TROTTER M J.Systemsbased accident analysis methods:a comparison of Accimap,HFACS,and STAMP[J].Safety Science,2012,50(4):1158.
[6] LEVESON N.A new accident model for engineering safer systems[J].Safety Science,2004,42(4):237.
[7] FLEMING C H,Spencer M,Thomas J,et al.Safety assurance in NextGen and complex transportation systems [J].Safety Science,2013,55(2):173.
[8] LEVESON N G.The role of software in spacecraft accidents,AIAA (american institute of aeronautics and astronautics)[J].Journal of Spacecraft and Rockets,2004,41(4):564.
[9] ISHIMATSU T,LEVESON N G,THOMAS J P,et al.Hazard analysis of complex spacecraft using systems-theoretic process analysis [J].Journal of Spacecraft&Rockets,2014,51(2):509.
[10] DONG Airong.Application of CAST and STPA to railroad safety in China [D].Cambridge:Massachusetts Institute of Technology,2012.
[11] 佚名.首批无人驾驶地铁列车将驶入北京燕房线[J].现代城市轨道交通,2014(5):97.
[12] BSI.Railway applications:urban guided transport management and command/control systems:IEC 62290-1 [S].London:BSI,2014.
[13] LEVESON N.Engineering a safer world:systems thinking applied to safety[M].Boston:Mit Press,2011.
Application of STPA in the Design of Train Control System for Urban Rail Transit
YAN Hongwei,YAN Fei,ZHANG Shijie,NIU Ru,TANG Tao
Aiming at the typical hazard source on system level in a case analysis of Beijing Yanfang Line design,and based on STPA method,the operation scenario of train stopping and parking at station is chosen to establish a safety hierarchical control structure model,which is used to identify the unsafe control behaviors,analyze the risk factors and safety constraints in train operation,and finally design protection measures to meet practical safety requirements by combining with the actual project.The application of the model shows that STPA method can analyze both the technical system and the human factors in the organization system more comprehensively,and identify all of the related causal factors in the operation scenario.
rail transit;fully-automated operation system;safety analysis method;systems-theoretic process analysis(STPA);safety constraint;safety hierarchical control structure diagram
U231.6
10.16037/j.1007-869x.2017.11.013
First-author′s address China Railway Economic and Planning Research Institute,100038,Beijing,China
2016-02-03)