摘要：列控系統(tǒng)的安全分析主要用于尋求系統(tǒng)的危險源，并根據(jù)危險采取一定應(yīng)對的措施，改進(jìn)優(yōu)化列控系統(tǒng)，保障列車的安全運(yùn)行。本文以CTCS-2+ATO城際列控系統(tǒng)為研究目標(biāo)，采用融合了功能危險分析（FHA）的功能安全分析（FSA）方法對系統(tǒng)進(jìn)行安全分析，辨識系統(tǒng)危險源，提出應(yīng)對危險的措施。

關(guān)鍵詞：城際鐵路;CTCS-2級列控系統(tǒng);安全分析;危險源

一、引言

社會經(jīng)濟(jì)的不斷進(jìn)步，有力的推動了我國城鎮(zhèn)化的發(fā)展壯大，逐漸形成了人口密度高、經(jīng)濟(jì)發(fā)達(dá)、產(chǎn)業(yè)水平高的城市群，如京津冀、長江三角洲等城市群[1]。城市群的迅速發(fā)展必然會帶動城際鐵路的發(fā)展，作為城市群建設(shè)的重點(diǎn)，城際軌道交通系統(tǒng)具有巨大的發(fā)展空間。

城際軌道交通系統(tǒng)具有廣闊的發(fā)展前景，伴隨機(jī)遇而生的即為挑戰(zhàn)，我國城際鐵路起步時間短，目前尚未形成一套成熟的系統(tǒng)，軌道交通系統(tǒng)是一個安全苛求系統(tǒng)，列車的安全運(yùn)行關(guān)乎廣大乘客的生命財產(chǎn)安全，因此對軌道交通系統(tǒng)進(jìn)行安全分析，發(fā)現(xiàn)系統(tǒng)潛在的危險故障，對于保障列車安全運(yùn)行具有重大意義。

如正在規(guī)劃建設(shè)的北京平谷線，其設(shè)計時速最高將至160km/h，速度的提升由此帶來一系列的安全問題需要考慮[2]。列控系統(tǒng)作為城軌信號系統(tǒng)的核心，對列控系統(tǒng)的安全分析是保障列車安全運(yùn)行的重要手段，故本文將重點(diǎn)的對城際軌道交通列車運(yùn)行控制系統(tǒng)進(jìn)行安全分析，辨識系統(tǒng)危險源，根據(jù)安全分析結(jié)果對城際列控系統(tǒng)在設(shè)計和測試過程中提出及時的應(yīng)對措施，旨在保障列車的安全運(yùn)行，提高列車的運(yùn)輸效率。

二、城際軌道交通列控系統(tǒng)原理

城際列控系統(tǒng)采用的CTCS-2+ATO系統(tǒng)是以CTCS-2級列控系統(tǒng)為基礎(chǔ)，增加了一些新的軌旁設(shè)備和車載ATO設(shè)備來實(shí)現(xiàn)的，主要增加的設(shè)備有[3]：車載ATO設(shè)備、站臺安全門/屏蔽門、通信控制服務(wù)器（CCS）、站臺防洪堤門（AFD）和緊急開關(guān)按鈕（ECB）、無線通信網(wǎng)絡(luò)、精確定位應(yīng)答器（JD）等。

根據(jù)上述系統(tǒng)組成，可將城際列控系統(tǒng)的原理采用如圖1所示的信息流圖進(jìn)行描述，并將城際列控系統(tǒng)功能分成6個模塊：軌道占用檢查、行車許可的生成、列車的測速定位、車地信息傳輸、列車超速防護(hù)控制、人機(jī)交互。

三、功能安全分析方法（FSA）介紹

城際列控系統(tǒng)內(nèi)部結(jié)構(gòu)繁雜，系統(tǒng)整個運(yùn)營過程涉及到很多方面，若僅使用傳統(tǒng)的安全分析方法（如FTA、FMEA等）對系統(tǒng)進(jìn)行分析是遠(yuǎn)遠(yuǎn)不夠的，難以對系統(tǒng)有全面完整的認(rèn)識，因此本文提出采用一種綜合的安全分析方法——功能安全分析（FSA）方法，完成對城際列控系統(tǒng)的安全分析[4]。

功能安全分析方法的首要步驟就是對系統(tǒng)進(jìn)行功能的劃分，對劃分的功能進(jìn)行過程的詳細(xì)描述，明確其主要的輸入輸出。排除不相干的輸入，根據(jù)系統(tǒng)功能的輸出往回倒推，結(jié)合功能危險源分析（FHA）對上述過程進(jìn)行總結(jié)歸納。FSA的分析步驟如圖2所示。

功能危險源分析（FHA）方法最初是來源于航空航天領(lǐng)域，注重系統(tǒng)的功能，用于系統(tǒng)設(shè)計初期分析系統(tǒng)功能故障，對功能危險分析來說，系統(tǒng)功能設(shè)計較具體細(xì)節(jié)設(shè)計更為重要[5]，F(xiàn)HA主要采用表格形式歸納系統(tǒng)危險源。

四、城際列控系統(tǒng)功能安全分析方法的應(yīng)用

根據(jù)上文的描述，將列控系統(tǒng)功能模塊分成6個部分，本節(jié)以典型的行車許可生成功能模塊為例，說明功能安全分析方法分析過程。

行車許可的生成主要涉及的設(shè)備有調(diào)度中心、臨時限速服務(wù)器、車站聯(lián)鎖系統(tǒng)、列控中心、軌道電路及相關(guān)設(shè)備、地面電子單元LEU、有源應(yīng)答器。對該功能的輸出進(jìn)行回溯分析，尋找到功能故障危險源，行車許可生成功能的輸入輸出功能框圖如圖4所示。

根據(jù)上述的分析，采用FHA表格對行車許可生成危險源進(jìn)行分析，部分FHA表格如表2所示。

根據(jù)FSA方法，共分析總結(jié)出行車許可生成功能模塊的危險源共25條，分析得到造成行車許可錯誤的原因主要有：

（1）硬件故障：列控中心、調(diào)度中心的設(shè)備故障;

（2）信息傳輸通道故障：數(shù)據(jù)安全傳輸網(wǎng)中斷或者是傳輸電纜斷線等造成信息不能送達(dá);

（3）信息錯誤：列控中心收到了錯誤的信息或者是列控中心對應(yīng)答器和軌道電路編碼錯誤導(dǎo)致他們傳送的信息不正確。

四、故障危險源總結(jié)

通過上面大量的分析可以發(fā)現(xiàn)對造成系統(tǒng)功能故障的原因可以有一定的分類，主要可以分為：代碼錯誤、數(shù)據(jù)錯誤、信息傳輸/通信錯誤、硬件設(shè)備故障，其中略微有所重復(fù)，每個分類下具體的表現(xiàn)詳見表3。

對于這些具體的故障，其存在的危險對于列車來說是不一樣的，如行車許可是列車運(yùn)行的基本，CTCS-2級列控系統(tǒng)若無法收到行車許可，可能造成列車的追尾或者是碰撞等嚴(yán)重事故，因而功能危險的分析對于保證系統(tǒng)的安全運(yùn)行十分必要。針對上述分析，提出相應(yīng)的應(yīng)對措施如下：

（1）對于代碼程序錯誤，需要對系統(tǒng)根據(jù)不同的案例進(jìn)行反復(fù)測試，在安全評估階段需要有嚴(yán)格的測試案例。如果能夠避免人工編程最好，但是目前情況是不太可能實(shí)現(xiàn)的，所以最好的辦法就是全面的測試。

（2）對于數(shù)據(jù)錯誤，一旦發(fā)現(xiàn)錯誤應(yīng)該立即在列控中心監(jiān)控設(shè)備中反映出來，讓值班員及時的更新數(shù)據(jù);在接收其他系統(tǒng)的數(shù)據(jù)時一定要仔細(xì)確認(rèn)，從源頭上確保數(shù)據(jù)的正確性，在設(shè)備故障時能夠有默認(rèn)信息發(fā)送，降低影響。

（3）在信息傳輸過程中有可能會受到周圍強(qiáng)電磁的干擾，凈化傳輸環(huán)境，采取一些抗干擾的設(shè)備。

（4）硬件設(shè)備故障，應(yīng)設(shè)計冗余設(shè)置，設(shè)備故障及時報警，盡量對設(shè)備采用模塊化配置。

參考文獻(xiàn)：

[1] 黃成. 城際鐵路網(wǎng)建設(shè)時序研究——以珠三角地區(qū)為例[D]. 成都. 西南交通大學(xué). 2015.

[2] 王偉. 京津冀地區(qū)城市地鐵的建設(shè)和發(fā)展[C]// 第四屆全國智慧城市與軌道交通學(xué)術(shù)會議暨軌道交通學(xué)組年會論文集. 2017.

[3] 羅松. CTCS2+ATO城際鐵路列控系統(tǒng)總體技術(shù)研究[J]. 鐵路通信信號工程技術(shù). 2015（3）：1-5.

[4] 樓志江. 功能安全的危害分析和風(fēng)險評估方法[J]. 汽車實(shí)用技術(shù)，2019（15）：90-91.

[5] 李雷. 王海峰. 唐濤. 安全苛求系統(tǒng)綜合功能危險源分析方法的研究[J]. 鐵路計算機(jī)應(yīng)用. 2011（7）：1-4.

[6] 張亞東.高速鐵路列車運(yùn)行控制系統(tǒng)安全風(fēng)險辨識及分析研究[D].成都.西南交通大學(xué) 2013.

作者簡介：魏群（1993-），女，漢族，廣西桂林，碩士研究生，柳州鐵道職業(yè)技術(shù)學(xué)院。

基金項目：鐵路電務(wù)設(shè)備故障管理研究（項目編號：2019KY1571）

（作者單位：柳州鐵道職業(yè)技術(shù)學(xué)院 電子技術(shù)學(xué)院）