摘要：列控系统的安全分析主要用于寻求系统的危险源，并根据危险采取一定应对的措施，改进优化列控系统，保障列车的安全运行。本文以CTCS-2+ATO城际列控系统为研究目标，采用融合了功能危险分析（FHA）的功能安全分析（FSA）方法对系统进行安全分析，辨识系统危险源，提出应对危险的措施。

关键词：城际铁路;CTCS-2级列控系统;安全分析;危险源

一、引言

社会经济的不断进步，有力的推动了我国城镇化的发展壮大，逐渐形成了人口密度高、经济发达、产业水平高的城市群，如京津冀、长江三角洲等城市群[1]。城市群的迅速发展必然会带动城际铁路的发展，作为城市群建设的重点，城际轨道交通系统具有巨大的发展空间。

城际轨道交通系统具有广阔的发展前景，伴随机遇而生的即为挑战，我国城际铁路起步时间短，目前尚未形成一套成熟的系统，轨道交通系统是一个安全苛求系统，列车的安全运行关乎广大乘客的生命财产安全，因此对轨道交通系统进行安全分析，发现系统潜在的危险故障，对于保障列车安全运行具有重大意义。

如正在规划建设的北京平谷线，其设计时速最高将至160km/h，速度的提升由此带来一系列的安全问题需要考虑[2]。列控系统作为城轨信号系统的核心，对列控系统的安全分析是保障列车安全运行的重要手段，故本文将重点的对城际轨道交通列车运行控制系统进行安全分析，辨识系统危险源，根据安全分析结果对城际列控系统在设计和测试过程中提出及时的应对措施，旨在保障列车的安全运行，提高列车的运输效率。

二、城际轨道交通列控系统原理

城际列控系统采用的CTCS-2+ATO系统是以CTCS-2级列控系统为基础，增加了一些新的轨旁设备和车载ATO设备来实现的，主要增加的设备有[3]：车载ATO设备、站台安全门/屏蔽门、通信控制服务器（CCS）、站台防洪堤门（AFD）和紧急开关按钮（ECB）、无线通信网络、精确定位应答器（JD）等。

根据上述系统组成，可将城际列控系统的原理采用如图1所示的信息流图进行描述，并将城际列控系统功能分成6个模块：轨道占用检查、行车许可的生成、列车的测速定位、车地信息传输、列车超速防护控制、人机交互。

三、功能安全分析方法（FSA）介绍

城际列控系统内部结构繁杂，系统整个运营过程涉及到很多方面，若仅使用传统的安全分析方法（如FTA、FMEA等）对系统进行分析是远远不够的，难以对系统有全面完整的认识，因此本文提出采用一种综合的安全分析方法——功能安全分析（FSA）方法，完成对城际列控系统的安全分析[4]。

功能安全分析方法的首要步骤就是对系统进行功能的划分，对划分的功能进行过程的详细描述，明确其主要的输入输出。排除不相干的输入，根据系统功能的输出往回倒推，结合功能危险源分析（FHA）对上述过程进行总结归纳。FSA的分析步骤如图2所示。

功能危险源分析（FHA）方法最初是来源于航空航天领域，注重系统的功能，用于系统设计初期分析系统功能故障，对功能危险分析来说，系统功能设计较具体细节设计更为重要[5]，FHA主要采用表格形式归纳系统危险源。

四、城际列控系统功能安全分析方法的应用

根据上文的描述，将列控系统功能模块分成6个部分，本节以典型的行车许可生成功能模块为例，说明功能安全分析方法分析过程。

行车许可的生成主要涉及的设备有调度中心、临时限速服务器、车站联锁系统、列控中心、轨道电路及相关设备、地面电子单元LEU、有源应答器。对该功能的输出进行回溯分析，寻找到功能故障危险源，行车许可生成功能的输入输出功能框图如图4所示。

根据上述的分析，采用FHA表格对行车许可生成危险源进行分析，部分FHA表格如表2所示。

根据FSA方法，共分析总结出行车许可生成功能模块的危险源共25条，分析得到造成行车许可错误的原因主要有：

（1）硬件故障：列控中心、调度中心的设备故障;

（2）信息传输通道故障：数据安全传输网中断或者是传输电缆断线等造成信息不能送达;

（3）信息错误：列控中心收到了错误的信息或者是列控中心对应答器和轨道电路编码错误导致他们传送的信息不正确。

四、故障危险源总结

通过上面大量的分析可以发现对造成系统功能故障的原因可以有一定的分类，主要可以分为：代码错误、数据错误、信息传输/通信错误、硬件设备故障，其中略微有所重复，每个分类下具体的表现详见表3。

对于这些具体的故障，其存在的危险对于列车来说是不一样的，如行车许可是列车运行的基本，CTCS-2级列控系统若无法收到行车许可，可能造成列车的追尾或者是碰撞等严重事故，因而功能危险的分析对于保证系统的安全运行十分必要。针对上述分析，提出相应的应对措施如下：

（1）对于代码程序错误，需要对系统根据不同的案例进行反復测试，在安全评估阶段需要有严格的测试案例。如果能够避免人工编程最好，但是目前情况是不太可能实现的，所以最好的办法就是全面的测试。

（2）对于数据错误，一旦发现错误应该立即在列控中心监控设备中反映出来，让值班员及时的更新数据;在接收其他系统的数据时一定要仔细确认，从源头上确保数据的正确性，在设备故障时能够有默认信息发送，降低影响。

（3）在信息传输过程中有可能会受到周围强电磁的干扰，净化传输环境，采取一些抗干扰的设备。

（4）硬件设备故障，应设计冗余设置，设备故障及时报警，尽量对设备采用模块化配置。

参考文献：

[1] 黄成. 城际铁路网建设时序研究——以珠三角地区为例[D]. 成都. 西南交通大学. 2015.

[2] 王伟. 京津冀地区城市地铁的建设和发展[C]// 第四届全国智慧城市与轨道交通学术会议暨轨道交通学组年会论文集. 2017.

[3] 罗松. CTCS2+ATO城际铁路列控系统总体技术研究[J]. 铁路通信信号工程技术. 2015（3）：1-5.

[4] 楼志江. 功能安全的危害分析和风险评估方法[J]. 汽车实用技术，2019（15）：90-91.

[5] 李雷. 王海峰. 唐涛. 安全苛求系统综合功能危险源分析方法的研究[J]. 铁路计算机应用. 2011（7）：1-4.

[6] 张亚东.高速铁路列车运行控制系统安全风险辨识及分析研究[D].成都.西南交通大学 2013.

作者简介：魏群（1993-），女，汉族，广西桂林，硕士研究生，柳州铁道职业技术学院。

基金项目：铁路电务设备故障管理研究（项目编号：2019KY1571）

（作者单位：柳州铁道职业技术学院 电子技术学院）