年來(lái)，受益于現(xiàn)代通信、自動(dòng)控制、計(jì)算機(jī)等技術(shù)快速發(fā)展，全自動(dòng)駕駛系統(tǒng)在軌道交通行業(yè)的應(yīng)用日趨穩(wěn)定成熟。車輛作為軌道交通運(yùn)行系統(tǒng)的重要載體，對(duì)車輛相關(guān)功能的安全性要求高于常規(guī)運(yùn)行系統(tǒng)。根據(jù)鐵路應(yīng)用系列安全標(biāo)準(zhǔn)要求，車輛子系統(tǒng)的安全功能應(yīng)達(dá)到相應(yīng)的SIL等級(jí)；最新發(fā)布的DB32/T4320—2022《城市軌道交通全自動(dòng)運(yùn)行線路初期運(yùn)營(yíng)前安全評(píng)估技術(shù)規(guī)范》中同樣明確規(guī)定了車輛子系統(tǒng)安全功能的SIL等級(jí)（表1）。1、基本概念1.1

風(fēng)險(xiǎn)矩陣風(fēng)險(xiǎn)矩陣根據(jù)風(fēng)險(xiǎn)發(fā)生的頻率和嚴(yán)重程度來(lái)評(píng)估風(fēng)險(xiǎn)等級(jí)。軌道交通主管部門按照風(fēng)險(xiǎn)可接受原則，明確不同等級(jí)的風(fēng)險(xiǎn)應(yīng)采取的管理方式和措施，以降低風(fēng)險(xiǎn)等級(jí)，保證系統(tǒng)的安全性。表2為某全自動(dòng)駕駛地鐵線路技術(shù)規(guī)范中要求的風(fēng)險(xiǎn)概念和定義表，表3為風(fēng)險(xiǎn)矩陣表。1.2

安全完整性等級(jí)安全完整性等級(jí)是對(duì)系統(tǒng)所要求的安全完整性水平的一種定量指標(biāo)。根據(jù)EN50129標(biāo)準(zhǔn)[2]，SIL等級(jí)劃分是以每小時(shí)每種功能的可容忍危害率（THR）衡量，如表4所示，分為4個(gè)等級(jí)，即SIL1～SIL4，其中SIL等級(jí)越高，則系統(tǒng)安全功能失效的可能性就越小[3]。若某一種風(fēng)險(xiǎn)的等級(jí)被評(píng)估為不容許或不能接受，在風(fēng)險(xiǎn)嚴(yán)重程度已知的情況下，需要采取使風(fēng)險(xiǎn)發(fā)生頻率降低的措施實(shí)現(xiàn)降低風(fēng)險(xiǎn)等級(jí)的目的。提高系統(tǒng)安全功能的SIL等級(jí)是措施之一，從系統(tǒng)設(shè)計(jì)階段開始，對(duì)安全功能的THR提出要求，采用技術(shù)手段對(duì)功能的THR進(jìn)行控制，從而降低風(fēng)險(xiǎn)發(fā)生頻率。由此可見，風(fēng)險(xiǎn)發(fā)生頻率與THR相對(duì)應(yīng)，可將風(fēng)險(xiǎn)等級(jí)降至可接受范圍（容許或可忽略）對(duì)應(yīng)的風(fēng)險(xiǎn)發(fā)生頻率作為THR目標(biāo)值，最終確定安全功能應(yīng)達(dá)到的SIL等級(jí)。2、安全功能與SIL等級(jí)的確定根據(jù)EN50126標(biāo)準(zhǔn)[4]的安全管理要求，整個(gè)系統(tǒng)從設(shè)計(jì)到報(bào)廢全生命周期各個(gè)階段都需要進(jìn)行可靠性、可用性、可維護(hù)性和安全性（RAMS）管理活動(dòng)。在系統(tǒng)開發(fā)設(shè)計(jì)階段，車輛制造廠采用國(guó)際安全標(biāo)準(zhǔn)規(guī)定的方法進(jìn)行危害識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、安全目標(biāo)分配等安全性分析工作，以確定子系統(tǒng)的安全功能及相應(yīng)的SIL等級(jí)。一般過(guò)程具體如下：1）確定安全功能并分配安全目標(biāo)。此過(guò)程需要在最初的開發(fā)階段完成，通過(guò)諸如預(yù)先危害分析（PHA）等方法確定出對(duì)安全產(chǎn)生影響的子系統(tǒng)功能，參考類似鐵路系統(tǒng)的運(yùn)行經(jīng)驗(yàn)或國(guó)際公布的標(biāo)準(zhǔn)數(shù)據(jù)指南，依據(jù)規(guī)范標(biāo)準(zhǔn)或合同技術(shù)要求，為子系統(tǒng)安全功能分配相應(yīng)的安全目標(biāo)。2）分析研究系統(tǒng)及子系統(tǒng)的安全目標(biāo)。根據(jù)規(guī)范標(biāo)準(zhǔn)或合同技術(shù)要求，結(jié)合系統(tǒng)設(shè)備或子系統(tǒng)的重要程度，通過(guò)相關(guān)方法進(jìn)行分析研究，如通過(guò)FMEA（潛在失效模式及后果分析）或FMECA（故障模式、影響和危害性分析）方法研究設(shè)備故障在不同層次（部件層次到系統(tǒng)層次）的影響及故障可能性，區(qū)分可能導(dǎo)致的服務(wù)故障、非服務(wù)故障和安全故障，同時(shí)提供能減輕故障影響的建議。因設(shè)備改進(jìn)導(dǎo)致的影響分析，則在該設(shè)備之前FMEA分析的基礎(chǔ)上，重新識(shí)別故障模式的影響，確認(rèn)并研究新故障模式，評(píng)估新故障發(fā)生的頻率，從而評(píng)估子系統(tǒng)故障率。3）證明達(dá)到了安全目標(biāo)。此過(guò)程一般采用故障樹分析（FTA）方法進(jìn)行定量分析，以證明安全目標(biāo)的可容忍危害率（THR）是符合要求的。對(duì)不符合項(xiàng)，將采取恰當(dāng)?shù)慕档惋L(fēng)險(xiǎn)改進(jìn)措施，并按照質(zhì)量保證計(jì)劃的指導(dǎo)進(jìn)行管理。牽引子系統(tǒng)是車輛系統(tǒng)的關(guān)鍵子系統(tǒng)，車輛制造廠憑借豐富的經(jīng)驗(yàn)和專業(yè)知識(shí)，結(jié)合城軌全自動(dòng)駕駛系統(tǒng)特點(diǎn)，采用預(yù)先危險(xiǎn)性分析（PHA）方法，確定可能影響安全性的車輛功能，分析潛在危害的嚴(yán)重程度和頻率，采取必要的降低風(fēng)險(xiǎn)的方法和措施。對(duì)于牽引系統(tǒng)的安全功能與SIL等級(jí)，分別由以下預(yù)先危險(xiǎn)性分析確定：1）在疏散時(shí)，車輛控制系統(tǒng)意外啟動(dòng)牽引力，造成車輛與軌道上的人員或動(dòng)物發(fā)生碰撞事故，事故發(fā)生的頻率和嚴(yán)重程度分別為很少和嚴(yán)重，對(duì)照表3，確定風(fēng)險(xiǎn)等級(jí)為不能接受。2）在疏散時(shí)，車輛控制系統(tǒng)意外啟動(dòng)牽引力，造成人員在車廂內(nèi)摔傷，事故發(fā)生的頻率和嚴(yán)重程度分別為有時(shí)和次要，對(duì)照表3，確定風(fēng)險(xiǎn)等級(jí)為不能接受。3）在車輛運(yùn)行中，車門打開或未鎖閉時(shí)，車輛控制系統(tǒng)意外啟動(dòng)牽引力，造成人員從車輛墜落軌道事故，事故發(fā)生的頻率和嚴(yán)重程度分別為有時(shí)和特別嚴(yán)重，對(duì)照表3，確定風(fēng)險(xiǎn)等級(jí)為不容許。4）在車輛運(yùn)行中，運(yùn)行方向控制錯(cuò)誤或方向選擇錯(cuò)誤，致使車輛意外退行，造成車輛與車輛或車輛與工程車碰撞事故，事故發(fā)生的頻率和嚴(yán)重程度分別為很少和特別嚴(yán)重，對(duì)照表3，確定風(fēng)險(xiǎn)等級(jí)為不能接受。通過(guò)分析得出：1）、2）、3）三個(gè)風(fēng)險(xiǎn)均是由車輛控制系統(tǒng)意外啟動(dòng)牽引力造成，提出降低風(fēng)險(xiǎn)的措施之一為車輛控制系統(tǒng)意外啟動(dòng)牽引力時(shí)，牽引子系統(tǒng)應(yīng)具有切除功能，以保證安全。而4）風(fēng)險(xiǎn)由車輛控制系統(tǒng)運(yùn)行方向控制錯(cuò)誤或方向選擇錯(cuò)誤造成，提出降低風(fēng)險(xiǎn)的措施之一為車輛控制系統(tǒng)運(yùn)行方向控制錯(cuò)誤或方向選擇錯(cuò)誤時(shí)，牽引子系統(tǒng)具有方向檢測(cè)功能并能執(zhí)行安全防護(hù)。根據(jù)上述4個(gè)風(fēng)險(xiǎn)對(duì)應(yīng)的等級(jí)，對(duì)照表3，得知當(dāng)牽引切除功能和運(yùn)行方向檢測(cè)功能導(dǎo)致事故發(fā)生的頻率均為極少時(shí)，可將風(fēng)險(xiǎn)等級(jí)降至容許，對(duì)應(yīng)的THR≤10-7/h，對(duì)照表4，SIL等級(jí)至少為2級(jí)。綜上，確定車輛牽引系統(tǒng)的安全功能分別為牽引切除功能和運(yùn)行方向檢測(cè)功能，分配的安全目標(biāo)均為SIL2。3、安全功能的設(shè)計(jì)策略明確了牽引系統(tǒng)的安全功能和安全目標(biāo)，設(shè)計(jì)人員將根據(jù)安全要求進(jìn)行合理的系統(tǒng)設(shè)計(jì)、試驗(yàn)，并按規(guī)范流程完成第三方安全評(píng)估認(rèn)證，下文將對(duì)安全功能的設(shè)計(jì)策略進(jìn)行研究。3.1

牽引切除功能該地鐵車輛牽引控制外部電路設(shè)有牽引脈沖使能列車線，在車輛低速或正常運(yùn)行的情況下，牽引脈沖使能信號(hào)為高電平，允許牽引逆變器正常工作，采用故障導(dǎo)向安全的低電平方式抑制牽引逆變器，即當(dāng)脈沖使能為低電平時(shí)，抑制牽引逆變器，使車輛無(wú)電氣牽引力和電制動(dòng)輸出?；跔恳}沖使能列車線的設(shè)計(jì)，牽引切除功能將通過(guò)在系統(tǒng)控制單元內(nèi)部集成的具有SIL2等級(jí)的物理硬件DI3S板實(shí)現(xiàn)，為純硬線輸入和輸出，硬線信號(hào)請(qǐng)求抑制牽引逆變器工作時(shí)，DI3S板將牽引脈沖使能信號(hào)置為低電平，以達(dá)到切除牽引的目的，DI3S板失效率滿足安全要求。3.2

運(yùn)行方向檢測(cè)功能車輛運(yùn)行方向控制錯(cuò)誤或方向選擇錯(cuò)誤會(huì)導(dǎo)致意外退行，造成碰撞、沖突等事故。對(duì)于此類風(fēng)險(xiǎn)，本項(xiàng)目分兩種情況考慮：一是在信號(hào)系統(tǒng)正常的情況下，車輛由具有SIL4等級(jí)的車載信號(hào)防護(hù)系統(tǒng)（ATP）負(fù)責(zé)執(zhí)行車輛緊急制動(dòng)，安全完整性等級(jí)達(dá)到SIL4，高于安全要求；二是因信號(hào)系統(tǒng)故障隔離ATP（即非ATP防護(hù)狀態(tài)）后，則需要車輛自身子系統(tǒng)檢測(cè)運(yùn)行方向錯(cuò)誤并進(jìn)行安全防護(hù)，且該功能的失效率須滿足安全要求?；诖艘螅瑺恳到y(tǒng)供應(yīng)商通過(guò)開發(fā)具有SIL2安全等級(jí)的SP3S控制板件，配合外部電路設(shè)計(jì)，實(shí)現(xiàn)非ATP防護(hù)下運(yùn)行方向錯(cuò)誤后執(zhí)行緊急制動(dòng)的功能。SP3S控制板是一個(gè)配置FPGA（現(xiàn)場(chǎng)可編程邏輯器件）的電子板件，內(nèi)置控制程序，接口設(shè)有邏輯和模擬量輸入端口、邏輯輸出端口，用以與系統(tǒng)控制單元通信和采集相關(guān)信號(hào)進(jìn)行邏輯判斷并輸出控制[5]。牽引系統(tǒng)控制單元與SP3S控制板之間通過(guò)CAN網(wǎng)絡(luò)連接進(jìn)行信號(hào)交換、狀態(tài)監(jiān)控和故障監(jiān)控。對(duì)于運(yùn)行方向檢測(cè)，SP3S控制板充分利用牽引系統(tǒng)既有配置的傳感器信號(hào)及列車線信號(hào)進(jìn)行邏輯判斷。其能夠采集向前/向后列車線信號(hào)、牽引電機(jī)速度傳感器脈沖模擬信號(hào)、牽引電機(jī)相電流模擬信號(hào)等，并利用FPGA程序進(jìn)行計(jì)算處理，當(dāng)判斷為列車運(yùn)行方向錯(cuò)誤，且超出設(shè)定的延時(shí)或行駛距離時(shí)，立即激活SP3S控制板的SIL2輸出。為使SP3S控制板輸出指令執(zhí)行安全防護(hù)首選緊急制動(dòng)，設(shè)計(jì)人員采用外部電路設(shè)計(jì)將SP3S輸出集成至車輛緊急制動(dòng)控制回路中（圖1）。在信號(hào)系統(tǒng)（ATC）正常情況下，由信號(hào)系統(tǒng)監(jiān)控車輛的安全狀態(tài)，如運(yùn)行方向錯(cuò)誤、退行等，一旦意外發(fā)生與信號(hào)系統(tǒng)安全設(shè)計(jì)相悖的行為，將控制車輛執(zhí)行緊急制動(dòng)。當(dāng)信號(hào)系統(tǒng)故障而隔離ATP時(shí)，圖1中相應(yīng)的ATPFR繼電器激活，從而將緊急制動(dòng)回路切換至由牽引系統(tǒng)控制單元（PCE）監(jiān)控的回路中，利用SP3S控制板監(jiān)控車輛的運(yùn)行方向，當(dāng)同一單元或不同單元非對(duì)稱的兩個(gè)牽引單元內(nèi)的SP3S檢測(cè)到運(yùn)行方向錯(cuò)誤，SP3S通過(guò)邏輯輸出使RB&DP觸點(diǎn)打開，從而斷開緊急制動(dòng)回路，施加緊急制動(dòng)，以達(dá)到緊急停車防護(hù)的目的。從圖1中可以看出，該回路采用串聯(lián)與并聯(lián)相結(jié)合的設(shè)計(jì)，目的是平衡整個(gè)車輛系統(tǒng)可用性與可靠性之間的關(guān)系。針對(duì)運(yùn)行方向檢測(cè)功能，涉及FPGA軟件開發(fā)和安全認(rèn)證，根據(jù)EN50129標(biāo)準(zhǔn)要求，須提供技術(shù)安全報(bào)告，報(bào)告內(nèi)容包括設(shè)計(jì)原理、測(cè)試規(guī)范、安全性分析等證明文件。設(shè)計(jì)人員完成軟件開發(fā)后，功能驗(yàn)證是一項(xiàng)重要工作，驗(yàn)證程序須重點(diǎn)突出安全功能的相關(guān)測(cè)試，且須覆蓋所有安全功能測(cè)試，有針對(duì)性地設(shè)計(jì)和制定測(cè)試程序，嚴(yán)格按照測(cè)試程序開展測(cè)試活動(dòng)，測(cè)試完成后提供符合要求的安全測(cè)試報(bào)告，確保所有測(cè)試都通過(guò)，最終形成系統(tǒng)的技術(shù)安全報(bào)告，以確保通過(guò)第三方安全認(rèn)證。SP3S控制板軟件設(shè)計(jì)開發(fā)完成后，現(xiàn)場(chǎng)按照精心設(shè)計(jì)的測(cè)試程序逐一進(jìn)行驗(yàn)證測(cè)試，收集有效數(shù)據(jù)，并通過(guò)了第三方SIL2的安全認(rèn)證，最終實(shí)現(xiàn)了牽引系統(tǒng)運(yùn)行方向檢測(cè)功能SIL2安全目標(biāo)。4、設(shè)計(jì)思考在實(shí)際運(yùn)營(yíng)過(guò)程中，車輛系統(tǒng)通常在信號(hào)系統(tǒng)控制下運(yùn)行，特別是全自動(dòng)駕駛系統(tǒng)，非信號(hào)系統(tǒng)防護(hù)（隔離ATP）的場(chǎng)景更是大幅減少，信號(hào)系統(tǒng)對(duì)安全相關(guān)的輸入/輸出均具有最高SIL4等級(jí)要求，實(shí)際已滿足運(yùn)營(yíng)安全要求。對(duì)于本項(xiàng)目設(shè)計(jì)的牽引系統(tǒng)運(yùn)行方向檢測(cè)功能，則是補(bǔ)充了因信號(hào)故障隔離ATP條件下應(yīng)用場(chǎng)景的安全性保證。從控制原理可以看出，該功能只能局部應(yīng)用，同時(shí)外部電路會(huì)增加車輛控制線纜數(shù)量和故障