倪 琍

(中鐵第四勘測設(shè)計院集團有限公司,430063,武漢//高級工程師)

城市軌道交通全自動運行系統(tǒng)不僅僅是列車的全自動駕駛，還具備車輛自動出入車場、自動清洗、自動行駛、自動停車、自動開關(guān)車門、故障自動恢復等功能，以及車站服務(wù)設(shè)備的自動喚醒/自檢和休眠、實時狀態(tài)監(jiān)測功能，具有常規(guī)運行、降級運行和災害工況等多重運行模式。因此,全自動運行系統(tǒng)需要信號系統(tǒng)同車輛、站臺門、綜合監(jiān)控及通信等專業(yè)的系統(tǒng)深度集成，使得軌道交通運行系統(tǒng)具有較高的整體自動化水平。

站臺門的安裝有效阻止了異物和人員侵入軌行區(qū),提高了乘客候車的安全性和舒適性,并能有效減少行車間隔時間;但其與車門間隙需要重點監(jiān)控。目前,我國的城市軌道交通站臺系統(tǒng)均按CJJ 183—2012《城市軌道交通站臺屏蔽門系統(tǒng)技術(shù)規(guī)范》實施。

當人工駕駛模式升級為全自動運行模式時,不僅運營模式發(fā)生了變化，其他的條件也發(fā)生了改變。首先，運營模式的變化對站臺門提出了新的功能需求；其次,站臺門新功能的實現(xiàn)不僅需要站臺門專業(yè)進行升級，相關(guān)專業(yè)也需要相應調(diào)整，站臺門系統(tǒng)與其他專業(yè)系統(tǒng)的配合也發(fā)生了變化；最后，由于全自動運行模式對可靠性、可用性、可維護性和安全性(RAMS)要求更高，因此對產(chǎn)品的設(shè)計、制造、安裝甚至運營維護都應提出新的要求。

本文從全自動運行模式入手，分析站臺門系統(tǒng)的功能需求,分析其與其他專業(yè)系統(tǒng)的配合,并對RAMS管理及安全完整性等級(SIL)認證等相關(guān)標準進行研究。

1 全自動運行模式下的站臺門功能需求

采用全自動運行模式時，應盡量減少需要人工干預的環(huán)節(jié)，從而提高自動化程度。除應具備常規(guī)的滑動門開關(guān)、應急門及滑動門設(shè)置、緊急情況下的協(xié)助排煙等功能外，站臺門系統(tǒng)還需增加一系列功能。

1.1 防夾人檢測功能

非自動運行模式下，城市軌道交通防夾人檢測裝置智能化較低，誤報率較高，其探測裝置并未納入安全回路。其檢測結(jié)果僅起輔助作用，最終防夾人判斷結(jié)果由人工確定。

在全自動運行模式下，防夾人檢測裝置的檢測結(jié)果與站臺門的“門關(guān)閉鎖緊”指令一樣，需作為信號發(fā)車的前提條件。因此，準確的防夾人檢測是全自動運行模式下站臺門系統(tǒng)必須增加的功能。

1.2 對位隔離功能

對位隔離功能，是指單個車門或站臺門滑動門故障時，對應的站臺門滑動門或車門可以保持與之相應的關(guān)閉狀態(tài)。全自動模式下,該功能也是必須具備的。

1.2.1 車門發(fā)生故障時的自動處理功能

非自動運行模式下，站臺門為整側(cè)同步開啟和關(guān)閉。即使單列車的單個車門發(fā)生故障，對應的站臺門也將正常開啟，但乘客無法通過故障車門上下車。

在全自動運行模式下，當某列車的單個車門發(fā)生故障時，列車廣播先會通知乘客該門故障，無法開啟，需從其他車門上下車。在該列車即將到達的車站，站臺廣播也會通知候車乘客該道站臺門不開啟，需從其他站臺門上下車。當列車到站時，故障車門對應的站臺門滑動門也不開啟。

1.2.2 站臺門發(fā)生故障時自動處理功能

非自動運行模式下，單個車站的單個滑動門故障無法開啟時，需要站務(wù)人員到現(xiàn)場手動開啟滑動門，列車到站時對應的列車門將正常開啟，乘客可以正常上下車。

在全自動運行模式下，單個車站的單個滑動門故障無法開啟時，站臺廣播會通知候車乘客該站臺門不開啟，需從其他站臺門上下車。即將到站列車上的廣播會通知車上乘客該列車門不開啟，需從其他車門上下車。列車到站時，故障滑動門對應的列車門也不開啟。

1.3 其他功能

1.3.1 就地控制盤設(shè)置位置

人工駕駛模式下，站臺門在車站發(fā)車端的端門處均設(shè)置了就地控制盤(PSL)，探測裝置往往也集成在上面。當站臺門發(fā)生故障、無法發(fā)出“門關(guān)閉且鎖緊”指令時，由司機確認發(fā)車條件后,在PSL按下“互鎖解除”按鈕，方可允許列車離站。

全自動運行模式下，列車上沒有司機，不需在端門處設(shè)置PSL。而應在站臺值守人員值班處設(shè)置PSL，作為應急處理方案。

1.3.2 端門門禁功能

人工駕駛模式下，站臺門端門在站臺公共區(qū)側(cè)持專用鑰匙即可打開進入，在軌行區(qū)側(cè)則可通過按壓門上的推桿打開。

全自動運行模式下，車站需要進行更嚴格的管理，不允許無關(guān)人員隨意進入軌行區(qū)，端門的進入權(quán)限應進一步細化，建議納入門禁系統(tǒng)的管理。若不能實現(xiàn)，則需要制定運營管理的相關(guān)規(guī)則以保證運營安全。

2 站臺門與其他設(shè)備的配合要求

2.1 信號系統(tǒng)

列車到站停穩(wěn)后，信號系統(tǒng)先發(fā)送“開門”指令給站臺門系統(tǒng)。站臺門系統(tǒng)收到指令后打開列車停靠側(cè)的滑動門。

當乘客上下車完畢、準備發(fā)車時，信號系統(tǒng)發(fā)送“關(guān)門”指令給站臺門系統(tǒng)。站臺門收到指令后關(guān)閉滑動門。

車門全部關(guān)閉后，信號系統(tǒng)發(fā)送“車門全部關(guān)閉”信息給站臺門系統(tǒng)。此時，站臺門也應全部關(guān)閉，防夾人檢測裝置開始工作。

如防夾人檢測裝置未檢測到異物，則站臺門系統(tǒng)發(fā)送“門關(guān)閉且鎖緊”信息給信號系統(tǒng)。如防夾人檢測裝置檢測到異物，則站臺門系統(tǒng)發(fā)出聲光報警，由站務(wù)人員介入處理；異物處理完畢后，站臺門系統(tǒng)重新檢測，并發(fā)送“門關(guān)閉且鎖緊”信息給信號系統(tǒng)，或由站務(wù)人員操作PSL發(fā)送“互鎖解除”信息給信號系統(tǒng)。

如站臺門系統(tǒng)發(fā)生故障，或站臺門系統(tǒng)與信號系統(tǒng)通信發(fā)生故障，導致站臺門無法發(fā)出“門關(guān)閉且鎖緊”信息，則由站務(wù)人員操作PSL發(fā)送“互鎖解除”信息給信號系統(tǒng)。

當個別車門發(fā)生故障時，信號系統(tǒng)將車門故障信息(故障車門編號)發(fā)送給站臺門系統(tǒng)。列車進站停穩(wěn)后，信號系統(tǒng)發(fā)送“開門”指令給站臺門系統(tǒng)時，站臺門系統(tǒng)可控制故障車門對應的滑動門不打開。

當個別滑動門發(fā)生故障時，站臺門系統(tǒng)將站臺門故障信息(故障滑動門編號)發(fā)送給信號系統(tǒng)，列車進站停穩(wěn)后，信號系統(tǒng)先發(fā)送“開門”指令給站臺門系統(tǒng)，并將站臺門故障信息同時發(fā)送給到站列車，以保證故障滑動門對應的車門不打開。

2.2 綜合監(jiān)控系統(tǒng)

站臺門系統(tǒng)向綜合監(jiān)控系統(tǒng)提供站臺門“整側(cè)滑動門開啟”、“整側(cè)滑動門關(guān)閉”、“單個滑動門開啟”、“單個滑動門關(guān)閉”、“單個滑動門故障(提供故障滑動門編號)、“應急門開啟”、“應急門故障”、“端門開啟”、“單個滑動門隔離(提供隔離滑動門編號)”、“防夾人檢測裝置正?！?、“防夾人檢測裝置報警”、“防夾人檢測裝置故障”等狀態(tài)信息和各種故障報警信息。

在車控室IBP(應急后備操作盤)上，綜合監(jiān)控系統(tǒng)有針對站臺門“開左側(cè)滑動門”、“開右側(cè)滑動門”、“開左側(cè)首末門”、“開右側(cè)首末門”的操作按鈕，可實現(xiàn)對站臺門的遠程開啟控制。

綜合監(jiān)控系統(tǒng)還為站臺門系統(tǒng)提供時鐘信息。

2.3 通信系統(tǒng)

通信系統(tǒng)應在站臺適當位置設(shè)置攝像頭。正常運營時，應能在站臺門值班室和車控室看到整側(cè)站臺門的運行情況。當站臺門發(fā)生故障報警時，通信系統(tǒng)應能將故障門體的現(xiàn)場畫面實時推送至站臺門值班室及車控室。

2.4 站臺值班室

應在站臺適當位置設(shè)置站臺值班室，并將PSL設(shè)置于站臺值班室內(nèi)。當站臺門系統(tǒng)發(fā)生故障需人工介入時，均由站臺值班室內(nèi)的工作人員通過操作PSL完成。

3 RAMS管理和SIL認證等標準

全自動運行模式下，站臺門基本功能、整體布置、基本構(gòu)成、安裝形式、材質(zhì)，以及對監(jiān)控系統(tǒng)及電源系統(tǒng)的相關(guān)要求均與人工駕駛模式下的一致。只需要根據(jù)新增的功能考慮相應的系統(tǒng)接口，并在產(chǎn)品設(shè)計中落實。

全自動運行模式，對系統(tǒng)的RAMS管理提出了更高的要求，對運營也提出了更高的要求。

3.1 相關(guān)標準

3.1.1 IEC 61508

IEC 61508《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》是國際電子電工委員會(IEC)制定的國際標準。其重要目標之一就是為所有安全相關(guān)系統(tǒng)的元器件生命周期范圍提供一個安全監(jiān)督的系統(tǒng)方法及要求。這些要求涵蓋了一般安全管理系統(tǒng)、具體產(chǎn)品設(shè)計和符合安全要求的過程設(shè)計，其目標是既避免系統(tǒng)性設(shè)計故障，又避免隨機性硬件失效。

“安全生命周期”是IEC 61508的重要概念，是指從方案的確定階段開始,到所有的電氣、電子及可編程電子安全相關(guān)系統(tǒng)，其它技術(shù)的安全相關(guān)系統(tǒng)，外部風險降低設(shè)備均不再可用時為止。

IEC 61508用SIL來代表產(chǎn)品在應用中所能達到的安全等級，并以此作為對安全相關(guān)系統(tǒng)的綜合評估指標。

SIL認證共有4個等級(SIL1、SIL2、SIL3、SIL4)，分為對產(chǎn)品和對系統(tǒng)兩個層次。其中,SIL4的要求最高。針對鐵路或城市軌道交通等高安全性要求的系統(tǒng)及設(shè)備，一般都會要求SIL4認證。信號系統(tǒng)及設(shè)備即一直要求進行SIL4認證。

3.1.2 EN系列標準

歐洲電氣化標準委員會(CENELEC)下屬SC9XA委員會，制訂了以計算機控制的信號系統(tǒng)作為對象的鐵道信號標準。

(1) EN 50126《鐵路應用：可靠性、可用性、可維護性和安全性(RAMS)規(guī)范和說明》。該標準定義了系統(tǒng)的RAMS，并且規(guī)定了安全生命周期各階段對RAMS的管理和要求。RAMS是衡量系統(tǒng)服務(wù)質(zhì)量的重要特征。

(2) EN 50128《鐵路應用：鐵路控制和防護系統(tǒng)的軟件》。該標準對鐵路控制和防護系統(tǒng)的軟件進行了SIL的劃分，針對不同的安全要求提出了相應的標準;按不同SIL在整體軟件開發(fā)、評估、檢測過程中，對軟件需求規(guī)格、測試規(guī)格、軟件結(jié)構(gòu)、軟件設(shè)計開發(fā)、軟件檢驗和測試、軟硬件集成、軟件確認評估、質(zhì)量保證、生命周期及文檔等均提出相應的程序,并制定了相應的規(guī)范與要求。

(3) EN 50129《鐵路應用：安全相關(guān)電子系統(tǒng)》。該標準在安全管理方面引入了IEC61508提出的安全生命周期概念。對于安全相關(guān)系統(tǒng)的安全部分，在設(shè)計時應按照步驟進行設(shè)計，并需進行全程的安全評估和驗證。其目的是進一步減少和安全相關(guān)的人為失誤，進而減少系統(tǒng)故障風險。

3.2 站臺門適用標準探討

站臺門本身已考慮人員的安全，并對關(guān)門力大小、夾人后的門體動作等細節(jié)從設(shè)計到實施均有考慮。即使乘客被滑動門門夾了一下，也不至于受到很大傷害。但在乘客過多時，若采用先關(guān)站臺門、后關(guān)車門的順序，則可能導致的已上車乘客被擠出車門，而滯留在車門與站臺門之間。有時,乘客雖未被門體夾住，但其攜帶的背包包帶可能超出了站臺門的檢測范圍而未能檢測到，從而使包被夾在車門與站臺門之間，若未能及時阻止發(fā)車，包帶則有可能成為索命繩。人工駕駛模式下，此類事故時有發(fā)生。改進的探測裝置，對于站臺門的功能并沒有實質(zhì)性的改變。其檢測結(jié)果也往往未納入安全回路，而只是作為人工判斷的輔助工具。因而人工駕駛模式并未因此要求站臺門進行安全性等級認證。

據(jù)了解，國內(nèi)已通過SIL2級認證的站臺門供應商不多。目前，國內(nèi)已開通全自動駕駛的上海軌道交通10號線和北京燕房線在實施時，雖未將SIL認證作為投標資質(zhì)，但均將其作為了產(chǎn)品交付的條件。根據(jù)運營部門的反饋，在實際運營中站臺門系統(tǒng)的可靠性尤為重要，在后續(xù)線路招標中甚至有將站臺門系統(tǒng)集成至信號系統(tǒng)的提議。

全自動運行模式下，沒有司機判斷站臺門與車門之間是否夾人。因此必須安裝激光、紅外及光幕等主動探測裝置，并納入安全回路。但探測裝置的誤報勢必會影響發(fā)車運營。此時，對探測裝置進行SIL認證是非常有必要的。而站臺門系統(tǒng)發(fā)出的“門關(guān)閉且鎖緊”信息直接影響到列車能否發(fā)車，而且也出現(xiàn)過站臺門信號閃斷逼停列車的事故。因此，建議對站臺門系統(tǒng)進行SIL2級認證,并建議采用安全協(xié)議。

4 結(jié)語

全自動運行模式下，站臺門系統(tǒng)增加了與列車的“對位隔離”等新功能，并將主動探測的防夾人檢測系統(tǒng)納入安全回路。站臺門應相應完善與相關(guān)專業(yè)系統(tǒng)的配合，并通過RAMS管理及SIL認證提高產(chǎn)品的各項性能，以滿足全自動運行的需求。