曾小清，林海香，2，方云根，王奕曾，劉 源，馬忠政

（1.同濟(jì)大學(xué)道路與交通工程教育部重點(diǎn)實(shí)驗(yàn)室，上海 201804；2.蘭州交通大學(xué) 自動(dòng)化與電氣工程學(xué)院，甘肅 蘭州 730070；3.香港城市大學(xué)計(jì)算機(jī)科學(xué)系，香港 999077；4.上海申通地鐵建設(shè)集團(tuán)有限公司，上海 201103）

在軌道交通工程建設(shè)項(xiàng)目中，為了保證列車的安全運(yùn)行，基于通信的列車控制系統(tǒng)（communication based train control，CBTC）被用來(lái)實(shí)現(xiàn)列車超速防護(hù)、保持列車運(yùn)行間隔、防止列車碰撞等運(yùn)行所必須的安全功能，為此業(yè)主或運(yùn)營(yíng)單位一般會(huì)為整條建設(shè)線路的信號(hào)系統(tǒng)制定一個(gè)安全指標(biāo)，如設(shè)定容許危險(xiǎn)率（tolerable hazard rate，THR）值或安全完整度等級(jí)（safety integrity level，SIL），并要求最終交付的CBTC系統(tǒng)滿足這些設(shè)定的安全指標(biāo)。目前典型的CBTC信號(hào)系統(tǒng)是分布在列車上、軌道上、軌旁信號(hào)機(jī)房、車輛段內(nèi)和運(yùn)行控制中心中的多場(chǎng)所分布系統(tǒng)，這些分布在不同位置的設(shè)備相互配合，共同實(shí)現(xiàn)列車運(yùn)行安全控制功能，在分配安全指標(biāo)的時(shí)候需要將這些分布的設(shè)備整體考慮。

由于信號(hào)系統(tǒng)設(shè)備往往來(lái)自不同的設(shè)備供應(yīng)商，在設(shè)計(jì)和制造過(guò)程中，設(shè)備供應(yīng)商只關(guān)心各自供應(yīng)的單個(gè)設(shè)備的安全要求，缺乏總體統(tǒng)一規(guī)劃、分配和協(xié)調(diào)，導(dǎo)致這些設(shè)備集成為一條運(yùn)行線路的信號(hào)系統(tǒng)所達(dá)到的系統(tǒng)安全性能無(wú)法滿足最初設(shè)定的安全要求。為確保最終交付的信號(hào)系統(tǒng)能夠滿足設(shè)定的安全要求，需要在設(shè)計(jì)和建設(shè)過(guò)程中綜合考慮安全指標(biāo)的分配，以指導(dǎo)各設(shè)備的設(shè)計(jì)和制造活動(dòng)，確保交付的系統(tǒng)能夠滿足軌道交通線路運(yùn)行安全指標(biāo)。

1 地鐵運(yùn)行控制系統(tǒng)架構(gòu)

根據(jù)IEEE定義［1］，CBTC系統(tǒng)是一個(gè)連續(xù)的列車自動(dòng)控制系統(tǒng)，它利用高分辨率列車位置確定，獨(dú)立于軌道電路，連續(xù)、高容量、雙向列車與地面數(shù)據(jù)通信，以及能夠?qū)崿F(xiàn)關(guān)鍵安全功能的車載和地面處理器實(shí)現(xiàn)列車運(yùn)行控制和安全防護(hù)功能。CBTC系統(tǒng)的結(jié)構(gòu)及其子系統(tǒng)分布如圖1所示。

圖1 CBTC系統(tǒng)架構(gòu)Fig.1 Frame of communication based train control system(CBTC）

在CBTC系統(tǒng)中，列車自動(dòng)防護(hù)（ATP）子系統(tǒng)用于通過(guò)列車檢測(cè)、列車間隔和聯(lián)鎖的組合，對(duì)碰撞、超速和其他危險(xiǎn)情況保持故障導(dǎo)向安全防護(hù)。計(jì)算機(jī)聯(lián)鎖（CI）子系統(tǒng)用于CBTC與外部軌旁現(xiàn)場(chǎng)設(shè)備的接口，從而建立信號(hào)機(jī)、道岔、進(jìn)路之間的聯(lián)鎖關(guān)系，以避免形成沖突的列車運(yùn)行進(jìn)路。列車自動(dòng)運(yùn)行（ATO）子系統(tǒng)用于執(zhí)行速度調(diào)節(jié)、按計(jì)劃停車、性能水平調(diào)節(jié)或其他分配給列車操作員的功能。列車自動(dòng)監(jiān)控（ATS）子系統(tǒng)用于監(jiān)控列車，調(diào)整單個(gè)列車的性能以維持時(shí)刻表，并提供數(shù)據(jù)以調(diào)整服務(wù)。ATO和ATS都是安全相關(guān)系統(tǒng)，通常具有中等安全要求（SIL2）。

除了ATP、CI、ATO和ATS系統(tǒng)外，CBTC還包括數(shù)據(jù)通信系統(tǒng)（DCS）和應(yīng)答器傳輸系統(tǒng)。DCS是在軌旁設(shè)備與車載設(shè)備之間傳輸雙向信息的傳輸，應(yīng)答器傳輸系統(tǒng)分為有源應(yīng)答器和無(wú)源應(yīng)答器，無(wú)源應(yīng)答器主要用于列車定位和定位校準(zhǔn)，有源應(yīng)答器用于傳輸一些可變的臨時(shí)控制命令。

2 安全指標(biāo)的分配方法

如圖2所示，系統(tǒng)需求可分為安全要求和非安全要求；安全要求來(lái)源于危害，以可容忍危害率（THR）作為系統(tǒng)頂層安全目標(biāo)。可容許功能失效率（tolerable functional failure rate，TFFR）代表著對(duì)特定安全功能危險(xiǎn)失效發(fā)生頻率的容忍程度或接受程度，通過(guò)這一指標(biāo)來(lái)衡量功能安全需求，THR由TFFR導(dǎo)出。功能安全要求包括安全功能和安全完整性，使用安全完整性等級(jí)（SIL）來(lái)定義其要求，SIL和TFFR之間的關(guān)系如表1所示。SIL是用于定義安全功能的性能指標(biāo)，SIL4具有最高級(jí)別的安全完整性。安全完整性包括系統(tǒng)故障完整性和隨機(jī)故障完整性，根據(jù)系統(tǒng)設(shè)計(jì)，系統(tǒng)性失效應(yīng)滿足SIL要求，隨機(jī)性失效應(yīng)同時(shí)滿足SIL和故障率（FR）要求。

表1 TFFR與SIL之間的關(guān)系Tab.1 Relationship between TFFR and SIL

圖2 安全需求分解及其對(duì)應(yīng)指標(biāo)Fig.2 Security requirement decomposition and its corresponding index

從CBTC系統(tǒng)實(shí)現(xiàn)安全控制功能的過(guò)程來(lái)看，如果計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器和車載控制器中的任何一個(gè)失效，都有可能在城市軌道交通線路上發(fā)生事故，導(dǎo)致整個(gè)系統(tǒng)THR目標(biāo)無(wú)法實(shí)現(xiàn)。從安全角度看，CI、ZC和OC形成一個(gè)串聯(lián)系統(tǒng)，如圖3所示。由于業(yè)主主要關(guān)注整體CBTC系統(tǒng)的安全要求，而不關(guān)注子系統(tǒng)CI、ZC和OC，但對(duì)于子系統(tǒng)制造商，需要將系統(tǒng)的安全要求分配給CI、ZC和OC等子系統(tǒng)。從安全要求的定義出發(fā)，將安全完整性水平分為兩部分：不可量化的SIL和可量化的TFFR（FR）。對(duì)于執(zhí)行一個(gè)安全功能的各種組件，如果沒有冗余，組件將直接從系統(tǒng)繼承不可量化的SIL，即CI、ZC、OC子系統(tǒng)的SIL與CBTC系統(tǒng)的SIL相同，均為SIL4。對(duì)于安全指標(biāo)的可量化部分，需要采用具體的分配方法，將系統(tǒng)的THR和TFFR分配給CI、ZC和OC，并確保最終的總子系統(tǒng)TFFR小于CBTC系統(tǒng)的TFFR和危險(xiǎn)THR，如式（1）所示。

2.1 等分配法

如果不考慮特定子系統(tǒng)（CI、ZC和OC）的細(xì)節(jié)屬性，并且所有子系統(tǒng)都如圖3所示的方式以串聯(lián)模式運(yùn)行，那么對(duì)每個(gè)子系統(tǒng)應(yīng)承擔(dān)的安全指標(biāo)是相等。等分配法假設(shè)一系列“n”個(gè)子系統(tǒng)，每個(gè)子系統(tǒng)分配相同的安全目標(biāo)［2］。該方法的一個(gè)主要缺點(diǎn)是子系統(tǒng)目標(biāo)的分配不符合實(shí)現(xiàn)這些目標(biāo)的難度。針對(duì)CBTC系統(tǒng)，可以表示為式（2）和式（3）：

圖3 CBTC信號(hào)系統(tǒng)關(guān)鍵安全控制功能邏輯Fig.3 Functional logic of key safety control in CBTC signaling system

式中：SCBTC為CBTC系統(tǒng)的安全指標(biāo)；SCI、SZC、SOC為計(jì)算機(jī)聯(lián)鎖、軌旁區(qū)域控制器和車載控制器子系統(tǒng) 的 安 全 指 標(biāo)；TFFRCBTC、TFFRCI、TFFRZC和TFFROC為CBTC系統(tǒng)、計(jì)算機(jī)聯(lián)鎖、軌旁區(qū)域控制器和車載控制器子系統(tǒng)的TFFR值；x、y和z是特定城市軌道交通線路中配置的計(jì)算機(jī)聯(lián)鎖、軌旁區(qū)域控制器和車載控制器子系統(tǒng)的數(shù)量。

2.2 基于安全影響的分配

CBTC系統(tǒng)由不同的子系統(tǒng)組成，不同的子系統(tǒng)對(duì)CBTC系統(tǒng)的安全影響是不同的，即如果一個(gè)子系統(tǒng)發(fā)生危險(xiǎn)故障，它對(duì)CBTC系統(tǒng)的安全影響與其他子系統(tǒng)不同，造成的事故嚴(yán)重程度也不同。因此，安全指標(biāo)的分配可以根據(jù)安全影響大小進(jìn)行分配［3］。對(duì)于安全影響較大的子系統(tǒng)，安全目標(biāo)應(yīng)更加嚴(yán)格。

對(duì)于CBTC系統(tǒng)，根據(jù)計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器和車載控制器對(duì)整個(gè)軌道交通CBTC系統(tǒng)安全影響的大小，安全影響系數(shù)定義見表2。安全影響數(shù)a、b和c表示一個(gè)計(jì)算機(jī)聯(lián)鎖、軌旁區(qū)域控制器和車載控制器發(fā)生的故障將導(dǎo)致a、b和c其他子系統(tǒng)進(jìn)入危險(xiǎn)狀態(tài)，以計(jì)算機(jī)聯(lián)鎖子系統(tǒng)為例，其安全影響權(quán)重系數(shù)可定義為

表2 安全影響系數(shù)Tab.2 Safety influential factors

該權(quán)重系數(shù)表示單個(gè)子系統(tǒng)的安全影響與系統(tǒng)中所有子系統(tǒng)平均安全影響的一個(gè)比例。

對(duì)于CBTC系統(tǒng)，其安全目標(biāo)與子系統(tǒng)的安全指標(biāo)關(guān)系可以表示為

則為計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器、車載控制器子系統(tǒng)分配的TFFR為

2.3 基于復(fù)雜度的分配

假設(shè)系統(tǒng)的安全性與可靠性成正比例關(guān)系，按照系統(tǒng)的可靠性原理，如果一個(gè)系統(tǒng)包含更多的基本部件，它的可靠性會(huì)更差，失效的概率也會(huì)更高，則它的安全性能會(huì)更差。因此，在分配THR時(shí)，考慮子系統(tǒng)所包含的基本組件的數(shù)量作為分配的依據(jù)［4］。子系統(tǒng)中包含的組件越多，分配給該子系統(tǒng)的安全目標(biāo)就嚴(yán)格。

假設(shè)CBTC中的子系統(tǒng)由相同的基本部件組成，這些基本部件具有相同的故障率，因此可以用子系統(tǒng)中包含的基本部件的數(shù)量來(lái)表示子系統(tǒng)的復(fù)雜性。使用l、m和n來(lái)表示CI、ZC和OC子系統(tǒng)包含基本部件的數(shù)量。對(duì)于包含x個(gè)計(jì)算機(jī)聯(lián)鎖、y個(gè)區(qū)域控制器和z個(gè)車載控制器的特定CBTC系統(tǒng)，其復(fù)雜度因子C可用式（11）、（12）、（13）表示。

則為計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器、車載控制器子系統(tǒng)分配的TFFR為

3 分配結(jié)果比較

作為一個(gè)典型的城市軌道交通CBTC信號(hào)系統(tǒng)，它具有以下核心安全功能：（1）列車位置/列車速度的確定，（2）列車安全間隔，（3）超速保護(hù)和制動(dòng)保證，（4）列車回溜保護(hù)，（5）軌端保護(hù)，（6）列車分塊保護(hù)和聯(lián)掛、解掛，（7）零速檢測(cè)，（8）開門控制保護(hù)聯(lián)鎖，（9）發(fā)車聯(lián)鎖，（10）緊急制動(dòng)，（11）進(jìn)路聯(lián)鎖，（12）交通方向反轉(zhuǎn)聯(lián)鎖，（13）工作區(qū)保護(hù)，（14）斷軌檢測(cè)，（15）限制進(jìn)路保護(hù)，（16）水平交叉口保護(hù)。這些安全功能通過(guò)軌旁設(shè)備計(jì)算機(jī)聯(lián)鎖（CI）和區(qū)域控制器（ZC）以及車載控制器（OC）來(lái)實(shí)現(xiàn)，即CI、ZC和OC應(yīng)滿足SIL 4要求，集成的系統(tǒng)THR應(yīng)小于為10-9h-1［5］。

為了驗(yàn)證不同方法在安全指標(biāo)分配結(jié)果上的差異性和適用性，利用第2節(jié)中提出的等分配法、基于安全影響的分配、基于復(fù)雜度的分配三種方法對(duì)某城市軌道交通項(xiàng)目CBTC系統(tǒng)THR分配進(jìn)行了計(jì)算和分析，以上海市軌道交通地鐵17號(hào)線項(xiàng)目為例。該工程項(xiàng)目為了保證列車運(yùn)行的安全，信號(hào)系統(tǒng)應(yīng)實(shí)現(xiàn)必要的安全保護(hù)功能，以防止“超過(guò)建議的速度和/或距離限制”的危害，該危害的THR值為10-9h-1，針對(duì)這一危害，相關(guān)的安全功能可分解為（1）確保進(jìn)路安全，（2）確保安全隔離（3）保證列車的安全速度，（4）控制列車的加速和制動(dòng)［6］。這些功能應(yīng)滿足從THR分配的TFFR，如果設(shè)備用于實(shí)現(xiàn)這些安全功能，則設(shè)備應(yīng)滿足相關(guān)SIL、TFFR和FR。

3.1 具體CBTC系統(tǒng)的仿真配置

如圖4所示，在上海市軌道交通地鐵17號(hào)線項(xiàng)目CBTC系統(tǒng)中，只有計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器、車載控制器負(fù)責(zé)關(guān)鍵安全功能（SIL4）。CBTC系統(tǒng)包括計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器、車載控制器子系統(tǒng)的數(shù)量分別為x=6、y=3和z=30。對(duì)于整個(gè)CBTC系統(tǒng)，運(yùn)營(yíng)方提出的總體安全目標(biāo)是THR應(yīng)小于10－9h－1。

圖4 線路中CBTC系統(tǒng)關(guān)鍵系統(tǒng)配置Fig.4 Key system configuration of CBTC system in urban rail transit lines

對(duì)于計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器、車載控制器子系統(tǒng)的安全影響，將計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器、車載控制器子系統(tǒng)中的一個(gè)故障可能引起a=4、b=10和c=2個(gè)其他子系統(tǒng)的危險(xiǎn)影響。

考慮到系統(tǒng)的復(fù)雜性，定義了每個(gè)計(jì)算機(jī)聯(lián)鎖、區(qū)域控制器、車載控制器子系統(tǒng)分別由l=10、m=8和n=12個(gè)基本元器件組成。

3.2 安全指標(biāo)分配結(jié)果

基于第3.1節(jié)具體CBTC系統(tǒng)的仿真配置假設(shè)和表2中的數(shù)據(jù)，使用第2節(jié)中提到的等分配法、基于安全影響的分配、基于復(fù)雜度分配三種不同方法來(lái)分配CBTC系統(tǒng)的量化安全指標(biāo)，計(jì)算結(jié)果如表3所示。

表3 CBTC系統(tǒng)參數(shù)Tab.3 System parameters of CBTC

從表4所示的分配結(jié)果可以看出，用三種不同方法得到的各子系統(tǒng)危險(xiǎn)失效率（FR）的分配結(jié)果都在同一個(gè)數(shù)量級(jí)，和實(shí)際的工程數(shù)據(jù)相符，可以看出三種方法都是可行的。但具體指標(biāo)數(shù)值大小有一定的差異，結(jié)合城市軌道交通工程的實(shí)際情況進(jìn)行比較，認(rèn)為基于復(fù)雜性的分配方法所得的結(jié)果與工程建設(shè)實(shí)際數(shù)據(jù)最接近，是最適合的分配方法。符合設(shè)備制造和工程建設(shè)的實(shí)際情況，也能滿足軌道交通運(yùn)營(yíng)維護(hù)的需求。

表4 分配結(jié)果比較Tab.4 Comparison of allocation results

4 總結(jié)

從以上分析可以看出，采用CBTC系統(tǒng)級(jí)THR作為子系統(tǒng)的設(shè)計(jì)安全要求，不進(jìn)行任何配置，無(wú)法滿足軌道交通線路的整體系統(tǒng)安全目標(biāo)。采用不同的THR分配方法將導(dǎo)致不同的子系統(tǒng)TFFR，與實(shí)際工程實(shí)踐相比，基于復(fù)雜性的分配方法比其他兩種分配方法更適用，由于基于復(fù)雜度的分配方法考慮了子系統(tǒng)規(guī)模復(fù)雜度與系統(tǒng)安全性緊密相關(guān)這一具體特點(diǎn)。

最后，無(wú)論采用哪種分配方式，不僅要考慮系統(tǒng)的邏輯架構(gòu)，還要考慮線路系統(tǒng)中各子系統(tǒng)的具體數(shù)目，才能得到正確的分配結(jié)果。從分配結(jié)果可以看出，軌道交通線路規(guī)模越大，包含的子系統(tǒng)越多，對(duì)子系統(tǒng)的安全要求就越嚴(yán)格。

目前研究的分配方法是從系統(tǒng)安全影響度、復(fù)雜性等單因素考慮的，在未來(lái)的研究中除了增加考慮的影響安全指標(biāo)分配的因素外，還可以對(duì)所有影響因素進(jìn)行綜合考慮，使系統(tǒng)安全指標(biāo)分配不但能

作者貢獻(xiàn)聲明：

曾小清：安全指標(biāo)分析，數(shù)據(jù)處理，學(xué)術(shù)指導(dǎo)。

林海香：安全完整度等級(jí)分析，論文撰寫與修改。

方云根：可容忍危險(xiǎn)率分析，論文撰寫。

王奕曾：數(shù)據(jù)分析，公式編輯。

劉 源：圖表制作與論文修改。

馬忠政：學(xué)術(shù)指導(dǎo)與論文修改。