捷運技術        第 50 期                                     193

            (三) 非正常營運模式

                 行控中心操作員應能用手動遙控方式，取代自動列車操作系統(ATO)。即使因減速與降低

            服務之故，而取代自動操作系統，仍應符合安全操作要求。一旦系統為手動操作方式取代，
            除非行控中心操作員撤消，否則不會停止控制權之取代，而自動列車保護系統(ATP)應持續維
            持系統之營運操作不得被取代。


                                             四、系統安全基本要求



            (一) 通則

                 即時確認潛在的實際危險，以便採取必須的行動，來降低或消除這些危險。

            (二) 安全目標
                 針對下列人員、設備，提供最佳可行之安全水準：

                 1. 經由運輸、上下車的乘客、捷運人員。
                 2. 操作、維修、測試車輛或其相關道旁及機房設備、輔助設施的人員。
                 3. 本契約機電系統及其相關設備、輔助設施。

            (三) 系統安全準則

                 系統設計及後續操作程序之準則，應確保在發展設計、測試、運抵、操作及維修所有階
            段中，均能達成系統安全目標。
                 系統安全準則，至少應包括下列各項：

                 1. 當所有系統元件正常運作，每一功能性單元及整個系統，於所有操作狀況下，均須安
                    全地運作。
                 2. 以下列優先順序，就分析中所確認潛在或實際危險，予以排除或控制：
                   (1) 最低危險設計。

                   (2) 使用安全裝置。
                   (3) 使用警告裝置。
                   (4) 使用特殊程序。
                 3. 關鍵子系統或設備，諸如推進、煞車、車門、自動列車保護、月臺門、轉轍器、電力

                    系統、車內火災預警設備、胎壓及胎溫偵測(若採膠輪系統)等，不得具有會導致重大
                    或致命危險的故障模式。這些關鍵子系統或設備，應具故障自趨安全之設計，俾使任
                    何故障或功能喪失時，皆不會導致不安全狀況。
                 4. 故障自趨安全準則

                   (1) 一般準則：元件故障或喪失輸入訊號，不得造成危險；併發其他故障時，亦不得造
                      成危險。相同原因或相關原因，所造成之多重元件同時故障，不得導致危險。
                   (2) 電力/電子電路準則：電線斷裂、受損或接點、電驛不潔，造成通電後沒有反應，斷
                      電或重新接通電路，均不得造成危險。在建立電子電路之故障自趨安全準則時，應

                      考慮元件可能因開路或短路的故障。具多重端子之裝置，應假設可能因端子開路、