江 明

(1．北京全路通信信号研究设计院集团有限公司，北京 100070；2．北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

1 概述

在我国，高速铁路已成为中短途旅客出行首选的交通工具，具有快捷、准时、安全、环保等特点，逐渐深受人们所喜爱。截至2018 年底，我国高速铁路通车里程已经超过2.9 万km，约占世界高速铁路总里程的70%。

目前，我国高铁自动驾驶技术处于全球领先水平，已经在珠三角城际启用200 km 时速的自动驾驶系统，在京沈客专启用300 km 时速的自动驾驶系统，拉开了我国高铁智能化的序幕。有研究人员提出，我国后续要研发自动化、智能化程度更高的自动驾驶系统，持续引领全球列控技术发展。

随着自动化、智能化程度的不断提高，高速铁路自动驾驶系统将更多替代司乘人员的工作，带来传统铁路信号系统安全功能边界的拓展。系统将更多地承担涉及行车安全和乘客安全的安全功能，增加了可能导致人员伤亡和财产损失的风险源。由于高速铁路自动驾驶系统的研究在全球尚处于起步阶段，系统架构、功能要求和功能分配尚有待讨论。本文专注于高速铁路自动驾驶系统的安全性，采用故障树方法系统分析我国高速铁路自动驾驶系统在不同场景下可能存在的安全风险；参考城市轨道交通自动化等级定义，提出高速铁路自动驾驶系统自动化等级的分类，并辨识了不同自动化等级下高速铁路自动驾驶系统所需承担的安全功能。针对识别出来的安全风险，提出高速铁路自动驾驶系统后续需要解决的主要技术问题，重点是行车安全和乘客安全相关的问题。

2 高速铁路自动驾驶系统现状及发展方向

高速铁路自动驾驶系统根据地面控制系统指令、不同的运行工况及区间运行时分，选择最佳的控制策略，完成自动开/关车门、站台精确停车及列车启动、加速、惰行和制动的控制，满足站间行车间隔及平均旅行速度的要求，达到节能及自动调整列车运行的目的。列车自动驾驶技术的应用可有效提高运输能力、降低运行能耗、减轻司机劳动强度，是高速铁路列控系统智能化的重要标志。

除了本文讨论的安全性之外，准点率、停准率、舒适度、能耗是判定一套自动驾驶系统优劣的重要指标。如何在各种线路条件、各种气象条件、各种车型条件下保证这些指标的高水平达成，是自动驾驶系统后续发展需要不断提升的方向。此外，高速铁路是一整套复杂的系统，任何组成部分的故障均可能对运输秩序造成干扰，因此工务工程、动车组、通信信号系统、牵引供电系统等各子系统的可靠性均需要在当前基础上进一步提高。但上述内容基本都是与运营效率相关，不直接影响运营安全，故本文不对其展开讨论。

IEC 62290.1 规定[1]，按自动化程度分，城市轨道交通管理与控制系统具备的运营功能可以分为GOA0 ～GOA4 共5 个等级。我国高速铁路自动驾驶系统是在CTCS-2/CTCS-3 级列控系统基础上发展而来，参照该标准，可将我国高速铁路自动驾驶系统分为GOA1 ～GOA4 等4 个等级。其中，GOA1 级系统仅提供连续的速度防护，由司机人工驾驶列车运行、负责开关车门和处理紧急情况，目前在我国高铁广泛使用的CTCS-2/CTCS-3 级列控系统[2]均属于该等级；GOA2 级系统自动驾驶列车运行，驾驶室保留司机负责检查列车安全起动条件、关闭车门和处理紧急情况，珠三角城际使用的C2+ATO 系统[3]和京沈客专使用的高速铁路ATO系统（C3+ATO 系统）[4]均属于该等级；GOA3 级系统自动驾驶列车运行，车上取消司机但保留乘务人员，负责关闭车门和处理紧急情况；GOA4 级系统自动驾驶列车运行，车上取消司乘人员，由系统或控制中心调度人员处理紧急情况。GOA3 级和GOA4 级高速铁路自动驾驶系统目前尚未得到应用。

CTCS-3 级列车运行控制系统是中国列车运行控制系统的重要组成部分，是我国在掌握了CTCS-2 级列车运行控制系统的基础上，通过技术进一步提升构建的高速列车运行控制系统标准体系和技术平台。它采用GSM-R 无线通信系统，实现地面与列车之间控制信息双向实时传输，满足我国高速铁路高速度、高密度及不同速度等级动车组跨线运行的要求。CTCS-3 级列车运行控制系统仅负责行车许可分配和自动超速防护等功能，其他如列车加减速、目视行车、引导接发车、调车等操作均由司机负责。

高速铁路ATO 系统是在CTCS-2/CTCS-3级列控系统的基础上，列控车载设备设置ATO 单元、GPRS 电台及相关配套设备实现自动驾驶控制，地面在临时限速服务器（TSRS）、调度集中（CTC）、列控中心（TCC）等设备上增加功能，设置专用精确定位应答器实现精确定位，车载设备和地面设备之间通过GPRS 网络通信实现站台门控制、站间数据发送和运行计划处理。高速铁路ATO系统主要功能包括：车站自动发车、区间自动运行、车站自动停车、车门开门防护、车门/站台门联动控制。上述自动化功能仅在自动驾驶（AM）模式下由系统自动完成，AM 模式的投入和退出、目视行车、引导接发车、调车等特殊场景下的操作仍由司机负责。

GOA3 级和GOA4 级的自动驾驶系统在城市轨道交通已经获得成功应用，但在高速铁路领域未见报道，其功能描述有待进一步规范。针对已成功应用自动驾驶功能的不同类型轨道交通制式进行分析，可以发现它们各自具有不同的特点。其中，城市轨道交通应用特点包括：低速、固定车型、单一速度等级、线路条件简单、在封闭线路环境下运行、全线调度指挥集中；城际铁路应用特点包括：中速、车型相对固定、单一速度等级、线路条件较简单、气象条件较简单、跨线运行、互联互通、在开放线路环境下运行、全线调度指挥集中；高速铁路应用特点包括：高速、车型多样、跨速度等级运行、线路条件复杂、气象条件复杂、枢纽车站众多、跨线运行、互联互通、在开放线路环境下运行、全线调度指挥分散在不同的调度台。可见，高速铁路自动驾驶系统的应用条件与城市轨道交通自动驾驶系统相比具有更高的复杂性，需要突破一系列关键安全保障技术，才可能获得成功应用。

3 高速铁路自动驾驶系统安全风险分析

故障树分析（FTA）方法[5]是由美国贝尔电报公司于1962 年提出的，它采用逻辑的方法形象地分析危险，特点是直观明了，思路清晰，逻辑性强；既能做定性分析，又可做定量分析；体现出以系统工程方法研究安全问题的系统性、准确性和预测性，是安全系统工程的主要分析方法之一。FTA 方法的特点是根据结果推导原因，其基本思想是将所关注的故障事件作为顶事件，自顶向下逐级建立故障树和分析故障原因，最终得出导致顶事件发生的根本原因即基本事件。

本节采用FTA 方法对不同自动化等级的高速铁路自动驾驶系统所需考虑的主要安全风险进行分析。由于高速铁路自动驾驶系统承担了大量涉及行车安全和乘客安全的安全功能，本文选取人员伤亡和财产损失作为故障树的顶事件。

导致人员伤亡和财产损失的直接原因有两类。第1 类直接原因是列车颠覆，可能造成动车组解体和车上乘客伤亡；第2 类直接原因是运营安全相关的事故，包括人员和设备安全问题，可能造成车上乘客伤亡、车下人员伤亡、动车组部件受损等。由于不同自动化等级的自动驾驶系统承担不同的安全功能，以下分不同等级进行安全风险分析，如图1所示。

GOA1 级系统仅提供连续的速度防护，由司机人工驾驶列车运行、负责开关车门和处理紧急情况，因此系统需要处理的安全风险主要包括列车超速和列车相撞。其中，列车超速需要考虑的场景包括列车速度超过列车构造速度，列车速度超过线路、道岔的允许速度，列车速度超过设置的临时限速等3种情况；当司机人工驾驶列车的速度超过列车构造速度、线路/道岔允许速度或者设定的临时限速时，GOA1 级系统应自动输出制动，保障列车安全运行。列车相撞需要考虑的场景包括列车追尾、列车正面冲突、列车侧面冲突等3 种情况；GOA1 级系统应保证分配给不同列车的行车许可能够避免列车相撞，并且当司机人工驾驶列车错误越过行车许可终点时，GOA1 级系统应自动输出制动，保障列车安全运行。

GOA2 级系统自动驾驶列车运行，驾驶室保留司机负责检查列车安全起动条件、关闭车门和处理紧急情况，因此GOA2 级系统除了要应对GOA1 级系统的全部风险外，还需要应对由于自动驾驶带来的车门开关和加减速的相关处理。其中，车门处理需要考虑的场景包括在错误的时机/位置打开车门，或者打开错误侧的车门；这两种场景均可能导致乘客意外掉出车厢，造成伤亡。加减速处理需要考虑的场景包括加速过猛或者减速过快，导致乘客摔伤或者烫伤。

图1 高速铁路自动驾驶系统故障树Fig.1 Fault tree of high speed railway automatic train operation system

GOA3 级系统自动驾驶列车运行，车上取消司机但保留乘务人员，负责关闭车门和处理紧急情况，因此GOA3 级系统除了要应对GOA2 级系统的全部风险外，还需要应对原本由司机监控的几大风险，包括可能造成列车颠覆的障碍物冲撞、超过异常情况下的允许速度，可能造成地面人员伤亡的人员碰撞，可能造成设备损坏的带电过分相等。

GOA4 级系统自动驾驶列车运行，车上取消司乘人员，由系统或控制中心调度人员处理紧急情况，因此GOA4 级系统除了要应对GOA3 级系统的全部风险外，还需要应对原本由车上人员监控的风险，包括错误关闭车门、乘客跌落站台检测、烟火检测等。

GOA1 级和GOA2 级系统已经较为成熟并且已在运营线路上成功应用，针对上述分析的风险已经有成熟的方案进行控制，本文不再展开讨论。GOA3 级和GOA4 级系统引入了新的风险源，有一部分在高速铁路和城市轨道交通是相似的，有一部分是高速铁路特有的。高速铁路自动驾驶系统后续发展时需要借鉴城市轨道交通的成熟经验，并重点考虑特有问题的解决方案，在第4 章详细讨论。

4 需要解决的主要技术问题

GOA3 级和GOA4 级的自动驾驶系统新增功能实现的前提是能够取代司机和车上乘务人员完成对各种复杂外部环境的感知，但目前系统能够感知的信息远远不足以支撑系统自动决策，因此高速铁路自动驾驶系统如果要进一步发展，必然需要解决大量的状态感知和状态检测问题。此外，高速铁路自动驾驶系统的应用特点包括但不限于高速、线路条件复杂、气象条件复杂、枢纽车站众多、在开放线路环境下运行，对状态检测技术的准确性和鲁棒性提出了更高的要求，需要认真研究现有检测技术和人工智能技术的适用性，提出合理的解决方案。

4.1 线路条件检测技术

高铁线路均能支持一定的运行速度并且留有10%的设计裕量，信号系统根据线路设计速度设定线路允许速度并据此监控列车安全运行。但是在某些异常情况下，如果动车组按照信号系统给出的允许速度运行，可能存在列车颠覆的风险，目前该风险主要通过司机的人工降速来消除。例如，在突发横风或者暴雨暴雪条件下，在调度员设置临时限速之前，如果司机感知到列车晃动出现异常，则会主动降低列车运行速度直到列车不再异常晃动为止。同样，如果线路出现路基沉降等情况，列车也应降速运行。

由于自动驾驶系统取代了司乘人员，各种异常情况下线路允许速度的检测需要由系统自动完成，包括但不限于风、雨、雪、路基沉降等情况，并由自动驾驶系统来自动决策是否降速。

4.2 障碍物检测技术

我国高速铁路网络分布广泛，地面和车载设备在复杂的气候条件、长期运用的过程中不可避免会发生故障。在设备故障的情况下，目前主要依靠司机目视行车或者引导接发车来实现列车运行，司机需要人工确认故障区段是否存在其他列车、道岔位置是否正确。另外，在调车、重联的场景下，也需要司机人工确认车列与信号机之间是否存在其他列车或车列。

高铁列车运行在开放的线路环境中，可能存在较大的障碍物侵入线路的情况，对行车安全造成危害，如异物侵限、落石、泥石流、隧道火灾、大型牲畜等，目前主要采用视频监控和障碍物检测等监视而非直接控制的手段，通过调度员和司机的人工感知来采取提前停车、鸣笛驱逐等方式消除风险。

由于自动驾驶系统取代了司乘人员，所以障碍物检测系统的范围、准确性和实时性要求有所提高，需要能够实现全天候、高速度、包括桥梁隧道车站在内的各种线路条件、包括风雨雪雹在内的各种气象条件下的准确检测，及时输出障碍物危险信息，并由自动驾驶系统来自动决策是否应该输出停车/鸣笛指令。

4.3 人员检测技术

高铁列车在车站上下乘客时，由于绝大部分车站都没有屏蔽门，可能出现乘客跌落站台的情况；当上下车乘客较多时，如果严格按照发车时间关闭车门可能导致乘客夹伤。此外，施工、维护人员在线路上工作时，可能未注意到列车而被碰撞。目前这些风险主要通过司机瞭望和车地人员沟通来避免。

由于自动驾驶系统取代了司乘人员，所以地面/车上人员的检测需由系统自动完成，并由自动驾驶系统来自动决策是否关闭车门、是否启动列车、是否停车等。

4.4 车上设备状态检测技术

高速动车组已经实现了大量的车上设备状态检测功能，能对轴承温度、冷却系统温度、制动系统状态、客室环境进行全方位实时监测，出现故障时自动采取限速或停车措施。但是，部分设备状态检测能力有待提高，否则可能导致设备损坏。例如，自动过分相功能目前不是SIL4 级功能，虽然设备能够自动完成，但在异常情况下如果功能失效，车辆也不能自动检测出带电过分相，可能导致受电弓损坏。另外，车上发生烟火也可能造成设备损坏，严重的情况下可能影响乘客安全，因此烟火检测的准确度和对烟火的处理也是非常重要的方面。目前这些风险主要通过司乘人员的人工处理来消减。

由于自动驾驶系统取代了司乘人员，所以车载设备的状态检测需由系统自动完成，以避免发生设备损坏的情况，造成经济损失。

5 结论

高速铁路自动驾驶技术是在我国既有350 km时速列车运行控制技术（CTCS-3）基础上增加列车自动驾驶功能的行业前端技术，是智慧铁路和交通强国建设的利器，是世界各国轨道交通发展的趋势。但也应该清醒的看到，高速铁路自动驾驶系统拓展了传统铁路信号系统的安全功能边界，在带来便利和效率的同时，更多地承担了涉及行车安全和乘客安全的安全功能，增加了可能导致人员伤亡和财产损失的风险源，需要采用更完善的技术手段来保障运营安全。

本文采用FTA 方法分析我国高速铁路自动驾驶系统在不同场景下可能出现的安全风险，提出高速铁路自动驾驶系统自动化等级的分类，辨识不同自动化等级下高速铁路自动驾驶系统所需承担的安全功能。针对分析出来的问题，提出高速铁路自动驾驶系统后续发展方向及确保行车安全需要解决的主要技术问题，希望能够对我国高速铁路自动驾驶技术和系统的良性发展起到一定的促进作用，助力我国高铁技术的进一步提升。