摘 要：根據(jù)鐵路應用系列安全標準相關(guān)要求，車輛及其子系統(tǒng)的安全功能應滿足相應安全完整性等級（SIL）要求，以保證整個系統(tǒng)的安全性。通常要求車輛牽引系統(tǒng)的安全功能須滿足SIL2等級，現(xiàn)基于EN 50126標準中對系統(tǒng)安全性的管理規(guī)范和說明，對某全自動駕駛地鐵車輛牽引系統(tǒng)安全功能的確定過程和方法以及安全功能的設(shè)計策略進行了探究。

關(guān)鍵詞：全自動駕駛；地鐵車輛；牽引系統(tǒng)；安全功能；SIL

中圖分類號：U270.2" " 文獻標志碼：A" " 文章編號：1671-0797（2025）01-0046-04

DOI：10.19514/j.cnki.cn32-1628/tm.2025.01.011

0" " 引言

近年來，受益于現(xiàn)代通信、自動控制、計算機等技術(shù)快速發(fā)展，全自動駕駛系統(tǒng)在軌道交通行業(yè)的應用日趨穩(wěn)定成熟。車輛作為軌道交通運行系統(tǒng)的重要載體，對車輛相關(guān)功能的安全性要求高于常規(guī)運行系統(tǒng)。根據(jù)鐵路應用系列安全標準要求，車輛子系統(tǒng)的安全功能應達到相應的SIL等級；最新發(fā)布的DB 32/T 4320—2022《城市軌道交通全自動運行線路初期運營前安全評估技術(shù)規(guī)范》[1]中同樣明確規(guī)定了車輛子系統(tǒng)安全功能的SIL等級（表1）。

1" " 基本概念

1.1" " 風險矩陣

風險矩陣根據(jù)風險發(fā)生的頻率和嚴重程度來評估風險等級。軌道交通主管部門按照風險可接受原則，明確不同等級的風險應采取的管理方式和措施，以降低風險等級，保證系統(tǒng)的安全性。表2為某全自動駕駛地鐵線路技術(shù)規(guī)范中要求的風險概念和定義表，表3為風險矩陣表。

1.2" " 安全完整性等級

安全完整性等級是對系統(tǒng)所要求的安全完整性水平的一種定量指標。根據(jù)EN 50129標準[2]，SIL等級劃分是以每小時每種功能的可容忍危害率（THR）衡量，如表4所示，分為4個等級，即SIL1～SIL4，其中SIL等級越高，則系統(tǒng)安全功能失效的可能性就越小[3]。若某一種風險的等級被評估為不容許或不能接受，在風險嚴重程度已知的情況下，需要采取使風險發(fā)生頻率降低的措施實現(xiàn)降低風險等級的目的。提高系統(tǒng)安全功能的SIL等級是措施之一，從系統(tǒng)設(shè)計階段開始，對安全功能的THR提出要求，采用技術(shù)手段對功能的THR進行控制，從而降低風險發(fā)生頻率。由此可見，風險發(fā)生頻率與THR相對應，可將風險等級降至可接受范圍（容許或可忽略）對應的風險發(fā)生頻率作為THR目標值，最終確定安全功能應達到的SIL等級。

2" " 安全功能與SIL等級的確定

根據(jù)EN 50126標準[4]的安全管理要求，整個系統(tǒng)從設(shè)計到報廢全生命周期各個階段都需要進行可靠性、可用性、可維護性和安全性（RAMS）管理活動。在系統(tǒng)開發(fā)設(shè)計階段，車輛制造廠采用國際安全標準規(guī)定的方法進行危害識別、風險分析、風險評估、安全目標分配等安全性分析工作，以確定子系統(tǒng)的安全功能及相應的SIL等級。一般過程具體如下：

1）確定安全功能并分配安全目標。此過程需要在最初的開發(fā)階段完成，通過諸如預先危害分析（PHA）等方法確定出對安全產(chǎn)生影響的子系統(tǒng)功能，參考類似鐵路系統(tǒng)的運行經(jīng)驗或國際公布的標準數(shù)據(jù)指南，依據(jù)規(guī)范標準或合同技術(shù)要求，為子系統(tǒng)安全功能分配相應的安全目標。

2）分析研究系統(tǒng)及子系統(tǒng)的安全目標。根據(jù)規(guī)范標準或合同技術(shù)要求，結(jié)合系統(tǒng)設(shè)備或子系統(tǒng)的重要程度，通過相關(guān)方法進行分析研究，如通過FMEA（潛在失效模式及后果分析）或FMECA（故障模式、影響和危害性分析）方法研究設(shè)備故障在不同層次（部件層次到系統(tǒng)層次）的影響及故障可能性，區(qū)分可能導致的服務(wù)故障、非服務(wù)故障和安全故障，同時提供能減輕故障影響的建議。因設(shè)備改進導致的影響分析，則在該設(shè)備之前FMEA分析的基礎(chǔ)上，重新識別故障模式的影響，確認并研究新故障模式，評估新故障發(fā)生的頻率，從而評估子系統(tǒng)故障率。

3）證明達到了安全目標。此過程一般采用故障樹分析（FTA）方法進行定量分析，以證明安全目標的可容忍危害率（THR）是符合要求的。對不符合項，將采取恰當?shù)慕档惋L險改進措施，并按照質(zhì)量保證計劃的指導進行管理。

牽引子系統(tǒng)是車輛系統(tǒng)的關(guān)鍵子系統(tǒng)，車輛制造廠憑借豐富的經(jīng)驗和專業(yè)知識，結(jié)合城軌全自動駕駛系統(tǒng)特點，采用預先危險性分析（PHA）方法，確定可能影響安全性的車輛功能，分析潛在危害的嚴重程度和頻率，采取必要的降低風險的方法和措施。對于牽引系統(tǒng)的安全功能與SIL等級，分別由以下預先危險性分析確定：

1）在疏散時，車輛控制系統(tǒng)意外啟動牽引力，造成車輛與軌道上的人員或動物發(fā)生碰撞事故，事故發(fā)生的頻率和嚴重程度分別為很少和嚴重，對照表3，確定風險等級為不能接受。

2）在疏散時，車輛控制系統(tǒng)意外啟動牽引力，造成人員在車廂內(nèi)摔傷，事故發(fā)生的頻率和嚴重程度分別為有時和次要，對照表3，確定風險等級為不能接受。

3）在車輛運行中，車門打開或未鎖閉時，車輛控制系統(tǒng)意外啟動牽引力，造成人員從車輛墜落軌道事故，事故發(fā)生的頻率和嚴重程度分別為有時和特別嚴重，對照表3，確定風險等級為不容許。

4）在車輛運行中，運行方向控制錯誤或方向選擇錯誤，致使車輛意外退行，造成車輛與車輛或車輛與工程車碰撞事故，事故發(fā)生的頻率和嚴重程度分別為很少和特別嚴重，對照表3，確定風險等級為不能接受。

通過分析得出：1）、2）、3）三個風險均是由車輛控制系統(tǒng)意外啟動牽引力造成，提出降低風險的措施之一為車輛控制系統(tǒng)意外啟動牽引力時，牽引子系統(tǒng)應具有切除功能，以保證安全。而4）風險由車輛控制系統(tǒng)運行方向控制錯誤或方向選擇錯誤造成，提出降低風險的措施之一為車輛控制系統(tǒng)運行方向控制錯誤或方向選擇錯誤時，牽引子系統(tǒng)具有方向檢測功能并能執(zhí)行安全防護。根據(jù)上述4個風險對應的等級，對照表3，得知當牽引切除功能和運行方向檢測功能導致事故發(fā)生的頻率均為極少時，可將風險等級降至容許，對應的THR≤10-7/h，對照表4，SIL等級至少為2級。

綜上，確定車輛牽引系統(tǒng)的安全功能分別為牽引切除功能和運行方向檢測功能，分配的安全目標均為SIL2。

3" " 安全功能的設(shè)計策略

明確了牽引系統(tǒng)的安全功能和安全目標，設(shè)計人員將根據(jù)安全要求進行合理的系統(tǒng)設(shè)計、試驗，并按規(guī)范流程完成第三方安全評估認證，下文將對安全功能的設(shè)計策略進行研究。

3.1" " 牽引切除功能

該地鐵車輛牽引控制外部電路設(shè)有牽引脈沖使能列車線，在車輛低速或正常運行的情況下，牽引脈沖使能信號為高電平，允許牽引逆變器正常工作，采用故障導向安全的低電平方式抑制牽引逆變器，即當脈沖使能為低電平時，抑制牽引逆變器，使車輛無電氣牽引力和電制動輸出?；跔恳}沖使能列車線的設(shè)計，牽引切除功能將通過在系統(tǒng)控制單元內(nèi)部集成的具有SIL2等級的物理硬件DI3S板實現(xiàn)，為純硬線輸入和輸出，硬線信號請求抑制牽引逆變器工作時，DI3S板將牽引脈沖使能信號置為低電平，以達到切除牽引的目的，DI3S板失效率滿足安全要求。

3.2" " 運行方向檢測功能

車輛運行方向控制錯誤或方向選擇錯誤會導致意外退行，造成碰撞、沖突等事故。對于此類風險，本項目分兩種情況考慮：一是在信號系統(tǒng)正常的情況下，車輛由具有SIL4等級的車載信號防護系統(tǒng)（ATP）負責執(zhí)行車輛緊急制動，安全完整性等級達到SIL4，高于安全要求；二是因信號系統(tǒng)故障隔離ATP（即非ATP防護狀態(tài)）后，則需要車輛自身子系統(tǒng)檢測運行方向錯誤并進行安全防護，且該功能的失效率須滿足安全要求?；诖艘?，牽引系統(tǒng)供應商通過開發(fā)具有SIL2安全等級的SP3S控制板件，配合外部電路設(shè)計，實現(xiàn)非ATP防護下運行方向錯誤后執(zhí)行緊急制動的功能。

SP3S控制板是一個配置FPGA（現(xiàn)場可編程邏輯器件）的電子板件，內(nèi)置控制程序，接口設(shè)有邏輯和模擬量輸入端口、邏輯輸出端口，用以與系統(tǒng)控制單元通信和采集相關(guān)信號進行邏輯判斷并輸出控制[5]。牽引系統(tǒng)控制單元與SP3S控制板之間通過CAN網(wǎng)絡(luò)連接進行信號交換、狀態(tài)監(jiān)控和故障監(jiān)控。對于運行方向檢測，SP3S控制板充分利用牽引系統(tǒng)既有配置的傳感器信號及列車線信號進行邏輯判斷。其能夠采集向前/向后列車線信號、牽引電機速度傳感器脈沖模擬信號、牽引電機相電流模擬信號等，并利用FPGA程序進行計算處理，當判斷為列車運行方向錯誤，且超出設(shè)定的延時或行駛距離時，立即激活SP3S控制板的SIL2輸出。

為使SP3S控制板輸出指令執(zhí)行安全防護首選緊急制動，設(shè)計人員采用外部電路設(shè)計將SP3S輸出集成至車輛緊急制動控制回路中（圖1）。在信號系統(tǒng)（ATC）正常情況下，由信號系統(tǒng)監(jiān)控車輛的安全狀態(tài)，如運行方向錯誤、退行等，一旦意外發(fā)生與信號系統(tǒng)安全設(shè)計相悖的行為，將控制車輛執(zhí)行緊急制動。當信號系統(tǒng)故障而隔離ATP時，圖1中相應的ATPFR繼電器激活，從而將緊急制動回路切換至由牽引系統(tǒng)控制單元（PCE）監(jiān)控的回路中，利用SP3S控制板監(jiān)控車輛的運行方向，當同一單元或不同單元非對稱的兩個牽引單元內(nèi)的SP3S檢測到運行方向錯誤，SP3S通過邏輯輸出使RBamp;DP觸點打開，從而斷開緊急制動回路，施加緊急制動，以達到緊急停車防護的目的。從圖1中可以看出，該回路采用串聯(lián)與并聯(lián)相結(jié)合的設(shè)計，目的是平衡整個車輛系統(tǒng)可用性與可靠性之間的關(guān)系。

針對運行方向檢測功能，涉及FPGA軟件開發(fā)和安全認證，根據(jù)EN 50129標準要求，須提供技術(shù)安全報告，報告內(nèi)容包括設(shè)計原理、測試規(guī)范、安全性分析等證明文件。設(shè)計人員完成軟件開發(fā)后，功能驗證是一項重要工作，驗證程序須重點突出安全功能的相關(guān)測試，且須覆蓋所有安全功能測試，有針對性地設(shè)計和制定測試程序，嚴格按照測試程序開展測試活動，測試完成后提供符合要求的安全測試報告，確保所有測試都通過，最終形成系統(tǒng)的技術(shù)安全報告，以確保通過第三方安全認證。SP3S控制板軟件設(shè)計開發(fā)完成后，現(xiàn)場按照精心設(shè)計的測試程序逐一進行驗證測試，收集有效數(shù)據(jù)，并通過了第三方SIL2的安全認證，最終實現(xiàn)了牽引系統(tǒng)運行方向檢測功能SIL2安全目標。

4" " 設(shè)計思考

在實際運營過程中，車輛系統(tǒng)通常在信號系統(tǒng)控制下運行，特別是全自動駕駛系統(tǒng)，非信號系統(tǒng)防護（隔離ATP）的場景更是大幅減少，信號系統(tǒng)對安全相關(guān)的輸入/輸出均具有最高SIL4等級要求，實際已滿足運營安全要求。對于本項目設(shè)計的牽引系統(tǒng)運行方向檢測功能，則是補充了因信號故障隔離ATP條件下應用場景的安全性保證。從控制原理可以看出，該功能只能局部應用，同時外部電路會增加車輛控制線纜數(shù)量和故障點。從設(shè)計角度出發(fā)，此設(shè)計考慮了車輛的可用性要求，規(guī)避了因牽引共性故障導致車輛施加緊急制動，造成其他運營影響。

5" " 結(jié)束語

隨著軌道交通行業(yè)的快速發(fā)展，軌道交通安全愈加受到行業(yè)的關(guān)注，尤其是安全性要求更高的全自動駕駛系統(tǒng)。目前軌道交通安全相關(guān)系統(tǒng)功能是按照歐洲標準體系進行開發(fā)，通過獨立的第三方安全認證來保證安全性，且已形成行業(yè)發(fā)展趨勢，同時相關(guān)標準規(guī)范的發(fā)布，也將引導形成更多解決方案來保證系統(tǒng)穩(wěn)定、安全、高效運行。

[參考文獻]

[1] 城市軌道交通全自動運行線路初期運營前安全評估技術(shù)規(guī)范：DB 32/T 4320—2022[S].

[2] Railway applications-communication，signalling and processing systems-safety related electronic systems for signalling：EN 50129：2018[S].

[3] 徐陽，李俊紅，劉金安，等.軌道車輛安全完整性等級SIL的分析與研究[J].科技展望，2014（21）：206-207.

[4] Railway Applications-The Specification and Demons-

tration of Reliability，Availability，Maintainabi-

lity and Safety（RAMS）-Part 1：Generic RAMS Process：EN 50126-1-1999[S].

[5] 譚富民，劉莉娜，羅云飛.基于牽引控制單元功能安全模塊設(shè)計[J].科技創(chuàng)新導報，2021，18（12）：76-78.

收稿日期：2024-08-16

作者簡介：盧昌虎（1989—），男，甘肅景泰人，工程師，研究方向：車輛技術(shù)管理。