重庆与纽约两种轨道交通互联互通CBTC系统安全评估的对比研究*

冯浩楠 黄苏苏＊＊ 莫小凡 宋 明， 王 逸 孙建国

(1.中国铁道科学研究院集团有限公司通信信号研究所，100081，北京;2.国家铁路智能运输系统工程技术研究中心，100081，北京;3.中国铁道科学研究院集团有限公司标准计量研究所，100081，北京;4.中铁检验认证中心有限公司，100081，北京∥第一作者，副研究员)

互联互通信号系统的安全性是城市轨道交通领域信号系统研究首要考虑的问题之一［1-2］。结合城市轨道交通互联互通CBTC(基于通信的列车控制)系统新的应用场景，如何快速准确地识别风险并对其进行评估，是地铁运营者和信号系统供应商应重点关注和研究的问题［2］。本文在对重庆与纽约2个典型城市的轨道交通互联互通CBTC系统的架构和特点进行综述的基础上，重点从安全评估标准、风险评估方法、安全评估过程及活动等3个关键方面对2个城市的轨道交通互联互通CBTC系统进行了对比分析，对其安全评估的特点和差异进行了总结。

1 典型城市轨道交通互联互通CBTC系统

1.1 重庆轨道交通互联互通CBTC系统

重庆轨道交通互联互通CBTC系统功能分解为74个功能点，通过对接口的设计，完成系统互联互通功能的全覆盖。重庆轨道交通互联互通CBTC系统的架构［3-4］如图1所示。图1中，实线为物理接口，虚线为功能接口，通过对功能接口和物理接口制定规范，实现车辆跨区运行的互联互通功能。

图1 重庆轨道交通互联互通CBTC系统的架构Fig.1 Interoperation CBTC system structure in Chongqing rail transit

1.2 纽约轨道交通互联互通CBTC系统

纽约轨道交通(NYCT)是世界第5大地铁系统。NYCT互联互通CBTC系统是在既有线路上升级，除了车地之间能够互联互通外，还需考虑未改造的信号系统，保障二者兼容正常运行。NYCT系统制定了I2S(互联互通接口规范)，建立了试验线路用作对轨道交通互联互通信号系统的测试。NYCT互联互通CBTC系统的架构［5］如图2所示。

图2 NYCT互联互通CBTC系统的架构Fig.2 Interoperation CBTC system in NYCT

2 系统安全评估标准

2.1 重庆轨道交通互联互通CBTC系统安全评估标准

为了确保互联互通CBTC系统安全运行，中国城市轨道交通协会制定了T/CAMET 04013.2—2018《城市轨道交通基于通信的列车运行控制系统(CBTC)互联互通工程规范 第2部分:安全评估规范》［6］。重庆轨道交通既有线和延伸线互联互通通用产品遵照T/CAMET 04013《城市轨道交通基于通信的列车运行控制系统(CBTC)互联互通工程规范系列技术》的要求进行评估;延伸线特定应用的安全评估基于GB/T 21562.2—2015《轨道交通 可靠性、可用性、可维护性和安全性规范及示例 第2部分:安全性的应用指南》、GB/T 28808—2012《轨道交通通信、信号和处理系统 控制和防护系统软件》及GB/T 28809—2012《轨道交通 通信、信号和处理系统 信号用安全相关电子系统》进行评估［7］。

上述标准均是基于EN 50126和EN 50219的理念，从城市轨道交通信号系统全生命周期出发，对该系统的可靠性、可用性、可维护性和安全性(RAMS)进行规范和验证。城市轨道交通信号系统的安全架构和处理流程，通过SIL(安全完整等级)实现定量的安全评估。

2.2 NYCT互联互通CBTC系统安全评估标准

NYCT安全评估标准是基于FRA(联邦铁路管理局)发布的CFR(美国联邦法规)第49部分中的209、234、236节内容制定的。该标准是针对基于处理器的信号和列车控制系统的应用。

CFR第49部分中的236节要求建立RSPP(铁路安全计划流程)和PSP(产品安全计划)。其中，PSP要求进行风险评估，用于证明待评估的系统不会出现超过预设先决条件的风险;与待替换的旧系统相比，新系统的MTTHE(平均危险事件时间)更长。该标准中的风险评估方法推荐采用ASCAP(公理化安全苛求评估流程)方法。

在安全评估过程方面，PSP需包括:产品描述，操作环境，操作理念，安全需求，安全架构，风险日志，风险评估，风险减低措施评估，安全V＆V(验证和确认)，安全保证原则，人因分析，培训，测试步骤和设备安装计划，安全警告，施工测试步骤，后期运行测试步骤，可用性和备份，增加和预定义变化等内容。

2.3 重庆与纽约的互联互通CBTC系统安全评估标准对比

重庆与纽约的轨道交通互联互通安全评估标准的相同之处为:①基于风险的安全管理;②采用系统方法进行风险识别、评估和管控;③多场景下的验证和确认;④第三方评估和最终批准。两者的差异如表1所示。

表1 重庆与纽约的轨道交通互联互通CBTC系统性能指标对比Tab.1 Comparison of performance indicators of Chongqing-New York interoperation CBTC systems

3 风险评估方法

风险评估的重要作用是为了评估系统的脆弱部分，以及风险对系统造成的损害。风险评估可分为定量和定性两种。前者依赖于专家经验;后者通过设定定量的参数，如将危害或THR(可容忍危险概率)作为定量评估风险的指标。风险评估方法有很多类型，其具体应用由工程性质、承包商偏好等因素决定［8］。重庆轨道交通互联互通CBTC系统的风险评估方法推荐风险图方法。NYCT互联互通CBTC系统的风险评估方法推荐ASCAP方法。

3.1 风险图

风险图是一种基于危险源的风险因素，通过概率形式描述系统组件故障模式之间的逻辑关系，常用的描述风险程度指标为SIL，具有后果严重程度、暴露在危险中的时间、避免危险的概率和危险发生概率等4个维度［9］。风险图是一个定性和定量结合的影响分析手段，在IEC 61508中将其作为示例方法推荐。

3.2 ASCAP方法

ASCAP方法由弗吉尼亚大学铁路安全中心开发。该方法是基于蒙特卡罗模拟的一种风险评估算法，针对复杂系统建模并能够评估系统部件变化产生的影响［10］。ASCAP方法的原理是以列车为中心，评估列车与其他系统交互过程中的小概率风险事件。ASCAP方法支持CFR中第49部分的209、234、236节规范，被NYCT在安全认证中推荐使用。

3.3 风险评估方法对比

两种风险评估方法对比如表2所示。由表2可知，风险图在适应性、复杂性、重复性和风险参数方面有优势，而ASCAP方法在适应性、成本效益、工具支持及视觉表达方面具有优势。

表2 两种风险评估方法对比表Tab.2 Comparison of two risk assessment methods

4 互联互通CBTC系统的安全认证

NYCT和重庆轨道交通都将互联互通的CBTC系统定义为子系统级别的互联互通，即来自一个承包商的VOBC(车载控制器)能够在其他承包商的VOBC和ZC(区域控制器)的系统内安全运行。同样，每个供应商的ZC能够在其他供应商提供的CI系统下安全运行。在这些情况下，CBTC系统可能由不同供应商的互联互通子系统组成，因此需要确保系统级别的安全。

NYCT和重庆轨道交通均定义互联互通的安全认证为系统级。为了实现互联互通CBTC系统的安全保障，二者在安全要素、危害日志、测试环境、安全认证步骤和电子地图等5个方面进行安全认证制度的制定。

4.1 安全要素

4.1.1 重庆轨道交通互联互通CBTC系统的安全要素

根据重庆轨道交通互联互通CBTC系统的架构，对该系统进行分解。其中，承载安全功能的系统安全元素包括车载ATP(列车自动防护)系统、ZC系统、CI系统、互联互通公用电子地图、应答器系统、互联互通接口规范等。

4.1.2 NYCT互联互通CBTC系统的安全要素

为了对不同设备供应商的子系统组成的互联互通CBTC系统进行安全认证，NYCT将CBTC系统划分成9个安全要素，为模块化安全认证方法做基础。9个安全要素包括:互联互通规范(要素1)、车载ATP系统(要素2)、ZC系统(要素3)、ZC电子地图(要素4)、车载ATP系统电子地图和ATS电子地图(要素5)、应答器系统(要素6)、预留CBTC接口的CI系统(要素7)、接入CBTC系统的CI系统(要素8)、互联互通CBTC系统(要素9)。

与重庆轨道交通相比，NYCT互联互通CBTC系统的安全要素涉及范围更广，细化程度更深，包含互联互通规范和各种类型的子系统;特别是，NYCT在电子地图等方面分解得更细致。这是由于NYCT建立的互联互通CBTC系统是在既有线路上升级的，因此安全因素中须兼顾原有控制系统功能。

4.2 互联互通CBTC系统危害日志

4.2.1 重庆轨道交通互联互通CBTC系统的危害日志

依据GB/T 21562—2008中的生命周期模型，确定重庆轨道交通互联互通CBTC系统的安全需求。在识别系统边界的基础上，参考GB 21562.2—2015中的危害清单和轨道交通行业的经验，将互联互通CBTC系统可能产生的事故分为撞击、脱轨、人员跌落、触电、火灾、有毒物质或气体、爆炸、辐射、干扰、环境、恶意破坏、意外和灾难等若干类。重庆轨道交通互联互通CBTC系统的基本危害包括:71种系统危害，31种接口危害，55种运营危害。将安全需求分解到各个CBTC子系统，其中，车载ATP系统有36条安全需求，ZC系统有14条安全需求，CI系统有26条安全需求，数据准备有17条安全需求，应答器有10条安全需求，互联互通协议有44条安全需求［11］。

4.2.2 NYCT互联互通CBTC系统的危害日志

NYCT根据I2S编制系统级危害日志，即I2S危害日志(包含识别的系统级别危害)，然后再将危害分配给相关子系统，从而制定控制措施。设备供应商将安全需求纳入各个子系统危害日志，并提供相应的安全证据，以此证明提供的子系统具有保护措施，且能够缓解在I2S危害日志中列举的危害。I2S危害日志的管理和设备供应商安全文件的审查由NYCT的SSWG(系统安全工作组)在ISA(独立安全审核员)的协助下完成。

I2S的危害日志类型按照由工程阶段划分的CBTC系统的系统级别进行分组，如表3所示。

表3 I2S危害日志类型汇总Tab.3 Summary of I2S hazard log types

重庆轨道交通在T/CAMET 04010.4—2018《城市轨道交通基于通信的列车运行控制系统(CBTC)互联互通系统规范-第4部分:互联互通危害分析》中对危害日志的危害项划分较为细致，并将危害因素和系统的安全要素逐一对应。NYCT的危害日志仅确定危害类别，而后由各个承包商按照分类编制并汇总。

4.3 互联互通CBTC系统的测试环境

4.3.1 重庆互联互通CBTC系统的测试环境

重庆轨道交通搭建了互联互通CBTC系统集成测试实验室，用于设备供应商进行系统自测、互联互通接口测试和模拟跨线测试。测试平台须至少包含互联互通连接的2条试验线路［12-13］。实验室测试完成后，列车还需在试验线路中进一步补充未覆盖的测试项目。在单车测试和混合追踪验证完成后，系统即可具备互联互通单线和跨线运行的能力。

4.3.2 NYCT互联互通CBTC系统的测试环境

NYCT的互联互通测试环境包括系统的ITF(集成测试实验室)和测试轨道Culver线两部分，用以测试互联互通CBTC系统的功能。ITF除了进行系统互联互通功能测试外，还关注故障对整个互联互通CBTC系统的影响分析和评估。测试轨道Culver线用于对车地信息的交互测试［5］。

经对比可知，重庆轨道交通和NYCT互联互通CBTC系统都须通过实验室的集成测试和现场测试环节后才能正式运营，测试环境是互联互通CBTC系统功能安全有效的重要保障。

4.4 互联互通CBTC系统的安全认证

4.4.1 重庆轨道交通互联互通CBTC系统的安全认证

根据工程实施的不同阶段，重庆轨道交通互联互通CBTC系统的安全认证流程可分为3个阶段:生命周期阶段的文档审核，测试见证，质量安全审核［6］。

4.4.2 NYCT互联互通CBTC系统的安全认证

NYCT互联互通CBTC系统的安全认证流程如图3所示。

图3 NYCT互联互通CBTC系统的安全认证流程图Fig.3 Safety certification flow chart in NYCT

为了实现安全认证，NYCT制定了详细的安全评估过程，评估步骤如下:

步骤1:批准承包商的最终安全报告;

步骤2:批准ISA最终安全评估报告和建议书;

步骤3:批准MTTHE分析;

步骤4:批准和关闭所有相关危险;

步骤5:批准成功完成系统测试(包括现场测试、集成测试和功能测试，以及工厂和分包商/供应商测试);

步骤6:核准规则和程序，包括新的和经修订的规程和公告，确保引进安全程序和实施系统所需的其他程序;

步骤7:批准所需的维护程序;

步骤8:批准培训材料和课程能够达到培训目标;

步骤9:核准工作组摘要报告;

步骤10:SSCB(系统安全认证委员会)的安全认证，签署最终安全证书报告。

将NYCT安全认证流程与安全要素关联形成模块化安全认证方法，如表4所示。

表4 NYCT互联互通CBTC系统模块安全认证方法Tab.4 Safety authentication method of interoperation CBTC module in NYCT

综上所述，重庆轨道交通按照工程生命周期进行安全活动布局;NYCT则建立了安全要素与安全认证步骤对应的模块认证方法，明确了安全认证的应用条件。二者安全认证划分的过程虽不同，但都形成了一套完整的安全认证流程，保障了互联互通CBTC系统的安全。

4.5 电子地图的研制策略

4.5.1 重庆轨道交通互联互通CBTC系统的电子地图

重庆轨道交通制定了互联互通车载电子地图规范，将电子地图数据划分为线路数据、轨道区段数据、轨旁设备数据和安全通信协议数据4类［14］。对轨道区段及其划分原则、电子地图方向、坐标位置、CRC(循环冗余校验)、道岔区域、道岔方向进行了约定，同时对电子地图元素数据结构进行了约定。各设备供应商遵照此规范进行了电子地图的制作。

4.5.2 NYCT互联互通CBTC系统的电子地图

在CBTC系统部署中，NYCT制定了电子地图的开发流程，实现了互联互通子系统各种电子地图内容的一致。规则如下:

1)CBTC供应商的轨道勘察应根据I2S协议的精确度要求进行，勘察数据的准确性由执行勘察的设备供应商进行保证;

2)由1个CBTC供应商开发车载ATP电子地图，供所有供应商的VOBC使用;

3)每个CBTC供应商的ZC电子地图须基于同一家设备供应商提供的轨道勘察数据进行开发;

4)在每个CBTC区域中，ATS电子地图与ZC电子地图的一致性必须进行验证;

5)ISIM的电子地图与ATS电子地图中的CBTC部分的一致性必须进行验证;

6)每个CBTC供应商电子地图的生成、验证和确认流程相互补充，确保电子地图的一致性和准确性。

经对比可知，重庆轨道交通通过制定规范，硬性约束各个设备供应商电子地图的内容;NYCT则是通过数据共享、验证和确认流程确保各个设备供应商电子地图数据的一致性。

5 结论

1)在安全评估标准方面，重庆轨道交通和NYCT互联互通CBTC系统的安全评估标准不同，但二者都对风险进行了定量评估。

2)在风险评估方法方面，重庆轨道交通采用的风险图专注于SIL设定，以实现整体系统的安全目标;NYCT的ASCAP方法为一种仿真方法，该方法从以车辆为中心的角度出发，通过模拟CBTC系统的实际行为来衡量其安全性。两种方法各有优劣，可考虑将二者的优势融合，开发新的风险评估方法。

3)在安全评估过程和评估活动方面，二者在安全要素、互联互通危害、测试环境、安全认证流程和电子地图等5个环节进行规定，实现各自互联互通CBTC系统的安全认证。