Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC TR 62267-2:自动城市导向运输(AUGT)系统的危险分析
IEC TR 62267-2:2011 — 无人驾驶城市轨道交通系统的顶层危险分析框架
AUGT安全与IEC 62267概述
IEC TR 62267-2:2011 为自动城市导向运输(AUGT)系统——全球城市无人驾驶地铁和自动旅客捷运系统背后的技术——提供了全面的顶层危险分析。IEC 62267系列的第2部分提供了通用危险分析的方法框架和结果,旨在补偿列车前方驾驶室无司机或列车无随车人员的运营模式。本技术报告是运输当局、安全工程师和系统集成商开发或部署自动化城市轨道交通系统的重要参考。
TR 62267-2中的危险分析围绕IEC 62267:2009中列车运行的基本功能展开:确保安全运行、驾驶、监督导轨、监督乘客上下车和操作列车。每个功能独立分析,以识别危险、原因、触发条件和可能的防护措施。
方法学:从危险识别到防护措施分配
TR 62267-2中定义的危险分析方法遵循系统化的五步流程。首先,危险识别列出列车运行结果中存在的顶层危险(例如,列车门开关、导轨上的障碍物)。其次,原因识别分析每个危险可能导致事故的原因。第三,触发条件识别确定将危险情况转变为实际事故的事件或条件。危险、原因和触发条件的组合形成危险情况——分析的基本单元。最后,列出可能的防护措施:能够补偿运营人员缺失的设计措施。
| 分析元素 | 定义 | 示例(车门操作) |
|---|---|---|
| 危险 | 系统固有的条件 | 列车门关闭 |
| 原因 | 危险为何可能导致事故 | 乘客被夹在关闭的门之间 |
| 触发条件 | 使危险转变为事故的事件 | 在检测到门障碍物之前列车出发 |
| 危险情况 | 危险 + 原因 + 触发条件 | 门夹住乘客,列车出发 |
| 防护措施 | 减轻或消除的措施 | 门障碍物检测,与牵引互锁 |
报告明确指出,防护措施的选择和可接受的残余风险水平取决于当地安全文化和法规要求。危险分析提供了一个工具箱——而非规定。运输当局必须根据其系统环境进行特定的风险分析。
关键危险类别及其相应防护措施
危险分析涵盖五个功能域:列车安全运行(防碰撞、超速保护)、驾驶操作(牵引控制、制动)、导轨监督(障碍物检测、轨道完整性)、乘客上下车监督(车门安全、站台边缘保护)和列车操作(火灾检测、紧急通信)。对于每个域,报告列出了具体的危险情况,并将其与来自北美、欧洲和亚洲现有AUGT系统的可能防护措施进行交叉引用。
值得注意的防护措施类别包括车载检测系统(障碍物检测器、门障碍物传感器)、路旁保护系统(站台屏蔽门、轨道占用检测)、操作程序(远程操作员手动干预、紧急疏散协议)以及基于通信的列车控制(CBTC)架构,确保即使在无人驾驶操作中也能实现故障安全列车分离。
与安全生命周期(IEC 62278 / EN 50126)的关系
IEC TR 62267-2旨在与IEC 62278(EN 50126)中定义的铁路RAMS(可靠性、可用性、可维护性和安全性)生命周期集成。通用危险分析对应于生命周期阶段3(风险分析)和阶段4(安全需求规范)。通过从此预先存在的通用分析开始,AUGT项目可以显著减少危险识别所需的工作量,同时确保全面覆盖。然而,报告强调,通用分析必须通过针对特定项目的分析进行补充,以解决当地条件、现有基础设施接口和主流安全文化。
一个关键的工程洞见:TR 62267-2中的危险分析表格可作为安全案例开发的优秀检查表。每个危险情况都可以追溯到特定的设计需求、验证活动和验收标准——构成了AUGT系统结构化安全论证的骨干。
对系统设计的实际影响
对于设计AUGT系统的工程师来说,TR 62267-2为安全需求分配提供了结构化基础。危险分析中识别的每个防护措施可以分配到具有定义的安全完整性级别(SIL)的特定子系统(车辆、信号、站台边缘门、通信)。报告强调,防护措施应多样化且独立,以避免共因故障——这一原则驱动架构决策,例如将车载障碍物检测与路旁轨道占用检测分离。
问:IEC 62267-1与IEC TR 62267-2之间的区别是什么?
答:IEC 62267-1(主标准)规定了AUGT系统的安全要求。TR 62267-2记录了支撑这些要求的通用危险分析。可以将第1部分视为安全框架的”是什么”,第2部分视为”为什么”和”怎么做”。
答:IEC 62267-1(主标准)规定了AUGT系统的安全要求。TR 62267-2记录了支撑这些要求的通用危险分析。可以将第1部分视为安全框架的”是什么”,第2部分视为”为什么”和”怎么做”。
问:这个危险分析可以应用于传统(有人驾驶)铁路系统吗?
答:虽然专门为无人驾驶AUGT系统开发,但该方法论和许多危险情况适用于任何铁路系统。区别在于防护措施,这些措施旨在补偿驾驶员的缺失。
答:虽然专门为无人驾驶AUGT系统开发,但该方法论和许多危险情况适用于任何铁路系统。区别在于防护措施,这些措施旨在补偿驾驶员的缺失。
问:在这个危险分析背景下,SIL分配如何工作?
答:报告没有规定SIL等级——这些必须通过项目特定的风险分析确定。然而,危险识别和防护措施表格为按照IEC 61508方法进行SIL确定提供了必要的输入。
答:报告没有规定SIL等级——这些必须通过项目特定的风险分析确定。然而,危险识别和防护措施表格为按照IEC 61508方法进行SIL确定提供了必要的输入。
问:TR 62267-2是否适用于单轨和磁悬浮系统?
答:AUGT范围包括钢轮钢轨、橡胶轮胎、单轨和磁悬浮系统,只要它们在专用导轨中以全自动方式运行。危险分析涵盖了所有这些技术共享的通用功能域。
答:AUGT范围包括钢轮钢轨、橡胶轮胎、单轨和磁悬浮系统,只要它们在专用导轨中以全自动方式运行。危险分析涵盖了所有这些技术共享的通用功能域。
