林海香 曾小清 李陽慶 方云根

(1. 同濟大學(xué)道路與交通工程教育部重點實驗室，201804,上海;2. 蘭州交通大學(xué)自動化與電氣工程學(xué)院，730070,蘭州//第一作者,博士研究生)

城市軌道交通信號系統(tǒng)是綜合運用各種技術(shù)手段以保證行車安全的關(guān)鍵系統(tǒng)，是城市軌道交通工程中技術(shù)含量、安全相關(guān)性和自動化程度均較高的關(guān)鍵機電系統(tǒng)之一。文獻[1-2]規(guī)定，對于新建和新投入使用的軌道交通安全相關(guān)系統(tǒng)需要開展獨立的第三方安全預(yù)評價。文獻[3]規(guī)定，必須首先對新建鐵路項目進行安全預(yù)評價，預(yù)評價合格后方可進行安全評估。因此，作為安全高度相關(guān)系統(tǒng)，需要在軌道交通信號系統(tǒng)工程建設(shè)前對其進行安全預(yù)評價。

1 城市軌道交通信號系統(tǒng)安全預(yù)評價研究現(xiàn)狀

安全預(yù)評價是在工程建設(shè)前對系統(tǒng)進行的安全預(yù)測，是在未獲取系統(tǒng)運行數(shù)據(jù)的情況下，對系統(tǒng)安全性進行預(yù)風(fēng)險評價的行為。針對軌道交通信號系統(tǒng)的安全預(yù)評價更是體現(xiàn)了軌道交通“安全第一，預(yù)防為主”的方針，對提高軌道交通運營的安全性有很大作用[4-5]。

國外軌道交通安全相關(guān)系統(tǒng)已經(jīng)形成了比較完善的安全評估體系和安全管理體系。最早于20世紀90年代，歐洲軌道交通聯(lián)盟與歐洲委員會針對歐洲信號技術(shù)ETCS(列車控制系統(tǒng))制定了系統(tǒng)RAMS(可靠性、可用性、可維護性、安全性)需求規(guī)范[6]。2000年，IEC(國際電工委員會)制定了安全相關(guān)系統(tǒng)的設(shè)計和國際評估標準IEC61508[7]，提出了安全相關(guān)系統(tǒng)的“安全完整性等級(SIL，Safety Integrity Leve1)”概念，并以此作為對系統(tǒng)安全的綜合評估指標。在此基礎(chǔ)上，英國采用ALARP準則作為風(fēng)險判據(jù)的原則，德國采用MEM原則來評判風(fēng)險的可容忍度，法國采用GAMAB原則來評判安全風(fēng)險[4]，以最大限度保證所接收的信號系統(tǒng)的安全性、可靠性、可維護性和可操作性[8-9]。

我國城市軌道交通建設(shè)的安全評價工作啟動較晚，相應(yīng)的安全預(yù)評價工作更是起步較晚[5]。

一方面，城市軌道交通安全預(yù)估標準較少。目前，針對城市軌道交通預(yù)評價可遵照的標準只有AQ 8002—2007《安全預(yù)評價導(dǎo)則》[10]和AQ 8004—2007《城市軌道交通安全預(yù)評價細則》[11]。這兩個標準只是框定了對城市軌道交通所有系統(tǒng)安全預(yù)評價的范圍和總體流程，屬于指導(dǎo)性建議，并未針對信號系統(tǒng)給出安全預(yù)評價過程和具體的安全定性和定量方法，導(dǎo)致在實際中對信號系統(tǒng)的安全預(yù)評價沒有可參考的具體方法，難度較大。

另一方面，安全預(yù)評價是在工程實施前的預(yù)測評價，無法獲取信號系統(tǒng)在未來工程完成并投入使用后的統(tǒng)計故障數(shù)據(jù)和運行監(jiān)測數(shù)據(jù)，故一般傳統(tǒng)的基于故障率和事故率的后驗統(tǒng)計安全評估方法是不可行的，并且國內(nèi)的評估機構(gòu)開展的城市軌道交通安全預(yù)估大多針對于土建工程方面[5,8,9]，針對信號系統(tǒng)方面的預(yù)評價實踐仍然較少，預(yù)評價方法還不成熟。

綜上所述，在當(dāng)前城市軌道交通快速發(fā)展的需求下，我國尚未建立起針對城市軌道交通信號系統(tǒng)完整的安全預(yù)評價理論，預(yù)評價方法不成熟，預(yù)評價工作經(jīng)驗亦相對缺乏，造成實際中的預(yù)評價工作技術(shù)難度增大。

2 5M預(yù)評價模型的建立

在城市軌道交通領(lǐng)域大多基于事故致因理論建立安全評價模型，且通常在人員、設(shè)備、管理和環(huán)境中選擇要素。例如，針對城市軌道交通運營安全風(fēng)險評價，有些采用人員單要素建立評價模型[12]，有些采用人員和環(huán)境二要素建立評價模型[13]，更多的是采用人員、設(shè)備、管理和環(huán)境四要素進行建模[14-15]。

而信號系統(tǒng)安全預(yù)評價處于城市軌道交通工程全生命周期的最前端，屬于安全管理體系中最為重要的事前管理。因此更應(yīng)從全局角度和源頭出發(fā)，全面地實施安全隱患辨識和安全風(fēng)險預(yù)估等安全管理活動。

鑒于此，在信號系統(tǒng)安全預(yù)評價模型要素中，增加任務(wù)要素，以便于辨識系統(tǒng)全生命周期的安全隱患，提高預(yù)評價隱患辨識量和安全控制精準度。圖1所示為5M信號系統(tǒng)安全預(yù)評價模型。

圖1 5M信號系統(tǒng)安全預(yù)評價模型

圖1中，“人的過錯”主要是指信號系統(tǒng)內(nèi)部的安裝、調(diào)試和維護等人員和信號系統(tǒng)外部的施工、使用等人員，由于精神壓力、工作負荷、誤操作、違章作業(yè)、疲勞與警惕性等因素而形成人的不安全行為，這樣極易觸發(fā)事故；“設(shè)備的隱患”主要是由于信號系統(tǒng)設(shè)備種類多、數(shù)量大、配置分散、連續(xù)運轉(zhuǎn)和維修保養(yǎng)不到位等，會形成“設(shè)備隱患”；“環(huán)境的變化”是指信號系統(tǒng)所處的自然環(huán)境和與之關(guān)聯(lián)的供電、車輛、軌道等應(yīng)用環(huán)境，如雨雪雷電、施工干擾、電源擾動、軌道線路病害、車輪打滑、車地通信中斷等，這些“環(huán)境的變化”都會造成設(shè)備的不安全狀態(tài)或?qū)е氯说牟话踩袨椋弧肮芾淼娜毕荨笔侵感盘栂到y(tǒng)的建設(shè)、施工、使用和維保的安全管理中存在的內(nèi)部缺陷和主體的素質(zhì)缺陷、組織氛圍惡化、管理分工失衡、管理部門之間的職權(quán)競爭等，均會造成人或設(shè)備的不安全狀態(tài)；“任務(wù)的隱患”是指信號系統(tǒng)設(shè)定應(yīng)完成的功能中，由于設(shè)備功能不足、設(shè)計缺陷和施工工藝隱患都會使信號系統(tǒng)功能失效，這一要素有助于發(fā)現(xiàn)信號系統(tǒng)設(shè)計、安裝和施工等全生命周期中的安全隱患。

從宏觀到微觀，信號系統(tǒng)的每部分都有可能受各要素的變化激發(fā)人的不安全行為或設(shè)備的不安全狀態(tài)，從而形成隱患信息，若未采取及時的安全處理措施，極可能導(dǎo)致事故發(fā)生。雖然某些隱患僅在特定條件下才能爆發(fā)出來，但一旦引出，且如果沒有安全控制，就會演化成事故，從而造成極大的損失。我國甬溫高鐵“7·23”事故，追根溯源就是由于信號系統(tǒng)列控設(shè)備設(shè)計出現(xiàn)隱患導(dǎo)致的[16]，這種源于任務(wù)要素的隱患在強雷擊條件下導(dǎo)致地面信號設(shè)備處于不安全狀態(tài)，軌道實際存在列車運行，但信號系統(tǒng)卻給出列車未占用軌道的信息，加之運營過程中的一系列安全措施失效，最終導(dǎo)致了特大事故的發(fā)生。因此，5M模型提出從設(shè)計、施工、運營、維保等系統(tǒng)全生命周期各階段進行隱患信息的采集處理，并以事故分析、經(jīng)驗總結(jié)作為安全控制反饋環(huán)節(jié)，這樣整個模型就構(gòu)成了一個閉環(huán)的5M因素安全預(yù)評價模型。

3 應(yīng)用案例

以上海某軌道交通車輛段改擴建工程為例，該工程需要對車輛段和正線車站的既有信號系統(tǒng)進行改造升級。改造內(nèi)容包括道岔、信號機、計算機聯(lián)鎖、微機監(jiān)測、ATP/ATO(列車自動保護/列車自動運行)、ATS(列車自動監(jiān)控)等室內(nèi)外設(shè)備的遷改和擴容。改造要求在列車不停運的前提下進行工程施工，并完成新舊系統(tǒng)的過渡，既要確保行車運營安全，又要保證工程項目的順利實施，因此對該項目進行了信號系統(tǒng)預(yù)評價。

由于無法獲取該工程信號系統(tǒng)在未來運營中的統(tǒng)計故障和事故數(shù)據(jù)，故傳統(tǒng)的采用故障率和事故率預(yù)測的方法是不可行的，也為了后續(xù)風(fēng)險界定和辨識，需要收集關(guān)于信號系統(tǒng)的各種事故數(shù)據(jù)，按照5M因素模型整理成預(yù)評價樣本資料，包括人員、管理等各要素影響下的事故時段、事故類型、致因因素等。

參照國標GB/T 21562—2008《軌道交通 可靠性、可用性、可維修性和安全性規(guī)范及示例》[17]以及AQ 8001—2007《安全評價通則》的要求[1]，總結(jié)軌道交通信號系統(tǒng)的安全風(fēng)險預(yù)評價方法步驟如下：

第一步，風(fēng)險界定。參照5M因素模型中的任務(wù)項要求，將信號系統(tǒng)按照功能劃分成若干有限的、范圍確定的評估對象，如列車控制、計算機聯(lián)鎖、ATS、微機監(jiān)測、計算機網(wǎng)絡(luò)、通信設(shè)備、供電設(shè)備等。

第二步，風(fēng)險辨識。本項目采用預(yù)先危險性分析法(PHA)和安全檢查表法分析得到信號系統(tǒng)設(shè)備風(fēng)險檢查情況(見表1)。該表考慮了人員傷亡、環(huán)境破壞、經(jīng)濟損失、工程延誤等不同方面的不利影響,并按照風(fēng)險的嚴重程度，將風(fēng)險損失后果劃分為災(zāi)難性的(A)、非常嚴重的(B)、嚴重的(C)、需要考慮的(D)和可忽略的(E)5個等級。因此,可結(jié)合所收集預(yù)評價樣本資料，并按照風(fēng)險界定對象逐項辨識風(fēng)險。表1為截選了該項目部分預(yù)先危險性的分析檢查表。

表1 信號系統(tǒng)設(shè)備風(fēng)險檢查表

第三步，風(fēng)險預(yù)估計。根據(jù)預(yù)評價樣本資料計算事故頻率, 結(jié)合等級評定的風(fēng)險損失后果，由事故風(fēng)險=事故概率×損失后果，以及查閱表2～3來確定事故概率和預(yù)估計風(fēng)險矩陣[18]，逐項評定風(fēng)險級別。

表2 風(fēng)險發(fā)生可能性等級標準

表3 風(fēng)險等級標準

第四步，根據(jù)風(fēng)險估計的結(jié)果確定總體風(fēng)險等級。本次項目共存在隱患風(fēng)險點123處，其中，必須實施風(fēng)險管控的II級風(fēng)險點，且會產(chǎn)生嚴重或非常嚴重后果的風(fēng)險點有10處，占總數(shù)的8.1%；可采取風(fēng)險處理措施的III級風(fēng)險有22處，占總數(shù)的17.9%。因此,本項目必須采取風(fēng)險控制措施以消除或降低風(fēng)險。

第五步，為信號系統(tǒng)風(fēng)險項制定風(fēng)險控制措施。根據(jù)上一步找出的信號系統(tǒng)隱患信息，追溯事故致因因素，并按照所處的系統(tǒng)全生命周期階段，分階段制定控制措施，以完成信號系統(tǒng)的風(fēng)險控制。

由上述步驟可知，整個項目在施工階段和運營階段均面臨極大風(fēng)險隱患。在采取風(fēng)險控制措施后，項目的風(fēng)險可以降低到可接受的等級。

4 城市軌道交通信號系統(tǒng)安全預(yù)評價方法比較

城市軌道交通信號系統(tǒng)安全預(yù)評價的重點與難點在于預(yù)評價過程中的風(fēng)險辨識和風(fēng)險控制措施，這兩個過程直接影響評估效果和系統(tǒng)安全。為此，制定體現(xiàn)預(yù)評價效果的評價指標，即風(fēng)險辨識數(shù)量、風(fēng)險辨識質(zhì)量和風(fēng)險控制措施精準度。風(fēng)險辨識數(shù)量體現(xiàn)了預(yù)評價方法的全面性；風(fēng)險辨識質(zhì)量是指在風(fēng)險辨識數(shù)量的基礎(chǔ)上所辨識出對安全相關(guān)系統(tǒng)的安全性影響較大的風(fēng)險項數(shù)量，體現(xiàn)了預(yù)評價方法的有效性；風(fēng)險控制措施精準度是指為提高系統(tǒng)安全性所制定的風(fēng)險控制措施是否是針對安全相關(guān)系統(tǒng)全生命周期的某一階段和系統(tǒng)的某一部分的數(shù)量而制定的，該指標更符合預(yù)評價事前管理的全局性要求，體現(xiàn)了預(yù)評價方法的實施效果。

針對上述應(yīng)用案例，分別采用5M預(yù)評價法和一般評估法進行評價。一般評估法采用文獻[19]所制定的由設(shè)備和管理要素建立的“信號設(shè)備評價表”作為參考[19]，并按照評價表的定性定量指標采用專家打分法進行預(yù)評價。兩種方法實施效果對比如圖2所示。

圖2 5M預(yù)評價法與一般評估法比較圖

由圖2可知，5M預(yù)評價法明顯優(yōu)于一般評估法，尤其是在風(fēng)險控制措施精準度上(5M預(yù)評價法針對設(shè)計、施工、調(diào)試、試運營、運營和維保各階段制定出26條風(fēng)險控制措施，而一般評估法僅針對運營和維護階段提出6條措施)。因此，5M預(yù)評價法對于提高安全相關(guān)系統(tǒng)的安全管理水平具有較大意義。

5 結(jié)論

采用基于5M的信號系統(tǒng)安全預(yù)評價方法，根據(jù)文獻[18]和文獻[11]的規(guī)定，通過實際案例驗證了該方法的有效性；并與一般評估法比較，體現(xiàn)了該方法的優(yōu)越性。

該方法宏觀上采用5M因素對信號系統(tǒng)的風(fēng)險辨識進行分類，有利于認清風(fēng)險根源；微觀上，從全生命周期角度對信號系統(tǒng)分階段風(fēng)險進行辨識并評定風(fēng)險損失，有利于制定信號系統(tǒng)風(fēng)險控制措施?？傮w上，該方法風(fēng)險辨識質(zhì)量高，風(fēng)險控制精準度高，且該方法的實施有利于加強城市軌道交通事前安全管理效果，也為安全相關(guān)系統(tǒng)的風(fēng)險預(yù)評價理論研究提供參考。