林海香 曾小清 李陽慶 方云根

(1. 同濟大學道路與交通工程教育部重點實驗室，201804,上海;2. 蘭州交通大學自動化與電氣工程學院，730070,蘭州//第一作者,博士研究生)

城市軌道交通信號系統(tǒng)是綜合運用各種技術手段以保證行車安全的關鍵系統(tǒng)，是城市軌道交通工程中技術含量、安全相關性和自動化程度均較高的關鍵機電系統(tǒng)之一。文獻[1-2]規(guī)定，對于新建和新投入使用的軌道交通安全相關系統(tǒng)需要開展獨立的第三方安全預評價。文獻[3]規(guī)定，必須首先對新建鐵路項目進行安全預評價，預評價合格后方可進行安全評估。因此，作為安全高度相關系統(tǒng)，需要在軌道交通信號系統(tǒng)工程建設前對其進行安全預評價。

1 城市軌道交通信號系統(tǒng)安全預評價研究現狀

安全預評價是在工程建設前對系統(tǒng)進行的安全預測，是在未獲取系統(tǒng)運行數據的情況下，對系統(tǒng)安全性進行預風險評價的行為。針對軌道交通信號系統(tǒng)的安全預評價更是體現了軌道交通“安全第一，預防為主”的方針，對提高軌道交通運營的安全性有很大作用[4-5]。

國外軌道交通安全相關系統(tǒng)已經形成了比較完善的安全評估體系和安全管理體系。最早于20世紀90年代，歐洲軌道交通聯盟與歐洲委員會針對歐洲信號技術ETCS(列車控制系統(tǒng))制定了系統(tǒng)RAMS(可靠性、可用性、可維護性、安全性)需求規(guī)范[6]。2000年，IEC(國際電工委員會)制定了安全相關系統(tǒng)的設計和國際評估標準IEC61508[7]，提出了安全相關系統(tǒng)的“安全完整性等級(SIL，Safety Integrity Leve1)”概念，并以此作為對系統(tǒng)安全的綜合評估指標。在此基礎上，英國采用ALARP準則作為風險判據的原則，德國采用MEM原則來評判風險的可容忍度，法國采用GAMAB原則來評判安全風險[4]，以最大限度保證所接收的信號系統(tǒng)的安全性、可靠性、可維護性和可操作性[8-9]。

我國城市軌道交通建設的安全評價工作啟動較晚，相應的安全預評價工作更是起步較晚[5]。

一方面，城市軌道交通安全預估標準較少。目前，針對城市軌道交通預評價可遵照的標準只有AQ 8002—2007《安全預評價導則》[10]和AQ 8004—2007《城市軌道交通安全預評價細則》[11]。這兩個標準只是框定了對城市軌道交通所有系統(tǒng)安全預評價的范圍和總體流程，屬于指導性建議，并未針對信號系統(tǒng)給出安全預評價過程和具體的安全定性和定量方法，導致在實際中對信號系統(tǒng)的安全預評價沒有可參考的具體方法，難度較大。

另一方面，安全預評價是在工程實施前的預測評價，無法獲取信號系統(tǒng)在未來工程完成并投入使用后的統(tǒng)計故障數據和運行監(jiān)測數據，故一般傳統(tǒng)的基于故障率和事故率的后驗統(tǒng)計安全評估方法是不可行的，并且國內的評估機構開展的城市軌道交通安全預估大多針對于土建工程方面[5,8,9]，針對信號系統(tǒng)方面的預評價實踐仍然較少，預評價方法還不成熟。

綜上所述，在當前城市軌道交通快速發(fā)展的需求下，我國尚未建立起針對城市軌道交通信號系統(tǒng)完整的安全預評價理論，預評價方法不成熟，預評價工作經驗亦相對缺乏，造成實際中的預評價工作技術難度增大。

2 5M預評價模型的建立

在城市軌道交通領域大多基于事故致因理論建立安全評價模型，且通常在人員、設備、管理和環(huán)境中選擇要素。例如，針對城市軌道交通運營安全風險評價，有些采用人員單要素建立評價模型[12]，有些采用人員和環(huán)境二要素建立評價模型[13]，更多的是采用人員、設備、管理和環(huán)境四要素進行建模[14-15]。

而信號系統(tǒng)安全預評價處于城市軌道交通工程全生命周期的最前端，屬于安全管理體系中最為重要的事前管理。因此更應從全局角度和源頭出發(fā)，全面地實施安全隱患辨識和安全風險預估等安全管理活動。

鑒于此，在信號系統(tǒng)安全預評價模型要素中，增加任務要素，以便于辨識系統(tǒng)全生命周期的安全隱患，提高預評價隱患辨識量和安全控制精準度。圖1所示為5M信號系統(tǒng)安全預評價模型。

圖1 5M信號系統(tǒng)安全預評價模型

圖1中，“人的過錯”主要是指信號系統(tǒng)內部的安裝、調試和維護等人員和信號系統(tǒng)外部的施工、使用等人員，由于精神壓力、工作負荷、誤操作、違章作業(yè)、疲勞與警惕性等因素而形成人的不安全行為，這樣極易觸發(fā)事故；“設備的隱患”主要是由于信號系統(tǒng)設備種類多、數量大、配置分散、連續(xù)運轉和維修保養(yǎng)不到位等，會形成“設備隱患”；“環(huán)境的變化”是指信號系統(tǒng)所處的自然環(huán)境和與之關聯的供電、車輛、軌道等應用環(huán)境，如雨雪雷電、施工干擾、電源擾動、軌道線路病害、車輪打滑、車地通信中斷等，這些“環(huán)境的變化”都會造成設備的不安全狀態(tài)或導致人的不安全行為；“管理的缺陷”是指信號系統(tǒng)的建設、施工、使用和維保的安全管理中存在的內部缺陷和主體的素質缺陷、組織氛圍惡化、管理分工失衡、管理部門之間的職權競爭等，均會造成人或設備的不安全狀態(tài)；“任務的隱患”是指信號系統(tǒng)設定應完成的功能中，由于設備功能不足、設計缺陷和施工工藝隱患都會使信號系統(tǒng)功能失效，這一要素有助于發(fā)現信號系統(tǒng)設計、安裝和施工等全生命周期中的安全隱患。

從宏觀到微觀，信號系統(tǒng)的每部分都有可能受各要素的變化激發(fā)人的不安全行為或設備的不安全狀態(tài)，從而形成隱患信息，若未采取及時的安全處理措施，極可能導致事故發(fā)生。雖然某些隱患僅在特定條件下才能爆發(fā)出來，但一旦引出，且如果沒有安全控制，就會演化成事故，從而造成極大的損失。我國甬溫高鐵“7·23”事故，追根溯源就是由于信號系統(tǒng)列控設備設計出現隱患導致的[16]，這種源于任務要素的隱患在強雷擊條件下導致地面信號設備處于不安全狀態(tài)，軌道實際存在列車運行，但信號系統(tǒng)卻給出列車未占用軌道的信息，加之運營過程中的一系列安全措施失效，最終導致了特大事故的發(fā)生。因此，5M模型提出從設計、施工、運營、維保等系統(tǒng)全生命周期各階段進行隱患信息的采集處理，并以事故分析、經驗總結作為安全控制反饋環(huán)節(jié)，這樣整個模型就構成了一個閉環(huán)的5M因素安全預評價模型。

3 應用案例

以上海某軌道交通車輛段改擴建工程為例，該工程需要對車輛段和正線車站的既有信號系統(tǒng)進行改造升級。改造內容包括道岔、信號機、計算機聯鎖、微機監(jiān)測、ATP/ATO(列車自動保護/列車自動運行)、ATS(列車自動監(jiān)控)等室內外設備的遷改和擴容。改造要求在列車不停運的前提下進行工程施工，并完成新舊系統(tǒng)的過渡，既要確保行車運營安全，又要保證工程項目的順利實施，因此對該項目進行了信號系統(tǒng)預評價。

由于無法獲取該工程信號系統(tǒng)在未來運營中的統(tǒng)計故障和事故數據，故傳統(tǒng)的采用故障率和事故率預測的方法是不可行的，也為了后續(xù)風險界定和辨識，需要收集關于信號系統(tǒng)的各種事故數據，按照5M因素模型整理成預評價樣本資料，包括人員、管理等各要素影響下的事故時段、事故類型、致因因素等。

參照國標GB/T 21562—2008《軌道交通 可靠性、可用性、可維修性和安全性規(guī)范及示例》[17]以及AQ 8001—2007《安全評價通則》的要求[1]，總結軌道交通信號系統(tǒng)的安全風險預評價方法步驟如下：

第一步，風險界定。參照5M因素模型中的任務項要求，將信號系統(tǒng)按照功能劃分成若干有限的、范圍確定的評估對象，如列車控制、計算機聯鎖、ATS、微機監(jiān)測、計算機網絡、通信設備、供電設備等。

第二步，風險辨識。本項目采用預先危險性分析法(PHA)和安全檢查表法分析得到信號系統(tǒng)設備風險檢查情況(見表1)。該表考慮了人員傷亡、環(huán)境破壞、經濟損失、工程延誤等不同方面的不利影響,并按照風險的嚴重程度，將風險損失后果劃分為災難性的(A)、非常嚴重的(B)、嚴重的(C)、需要考慮的(D)和可忽略的(E)5個等級。因此,可結合所收集預評價樣本資料，并按照風險界定對象逐項辨識風險。表1為截選了該項目部分預先危險性的分析檢查表。

表1 信號系統(tǒng)設備風險檢查表

第三步，風險預估計。根據預評價樣本資料計算事故頻率, 結合等級評定的風險損失后果，由事故風險=事故概率×損失后果，以及查閱表2～3來確定事故概率和預估計風險矩陣[18]，逐項評定風險級別。

表2 風險發(fā)生可能性等級標準

表3 風險等級標準

第四步，根據風險估計的結果確定總體風險等級。本次項目共存在隱患風險點123處，其中，必須實施風險管控的II級風險點，且會產生嚴重或非常嚴重后果的風險點有10處，占總數的8.1%；可采取風險處理措施的III級風險有22處，占總數的17.9%。因此,本項目必須采取風險控制措施以消除或降低風險。

第五步，為信號系統(tǒng)風險項制定風險控制措施。根據上一步找出的信號系統(tǒng)隱患信息，追溯事故致因因素，并按照所處的系統(tǒng)全生命周期階段，分階段制定控制措施，以完成信號系統(tǒng)的風險控制。

由上述步驟可知，整個項目在施工階段和運營階段均面臨極大風險隱患。在采取風險控制措施后，項目的風險可以降低到可接受的等級。

4 城市軌道交通信號系統(tǒng)安全預評價方法比較

城市軌道交通信號系統(tǒng)安全預評價的重點與難點在于預評價過程中的風險辨識和風險控制措施，這兩個過程直接影響評估效果和系統(tǒng)安全。為此，制定體現預評價效果的評價指標，即風險辨識數量、風險辨識質量和風險控制措施精準度。風險辨識數量體現了預評價方法的全面性；風險辨識質量是指在風險辨識數量的基礎上所辨識出對安全相關系統(tǒng)的安全性影響較大的風險項數量，體現了預評價方法的有效性；風險控制措施精準度是指為提高系統(tǒng)安全性所制定的風險控制措施是否是針對安全相關系統(tǒng)全生命周期的某一階段和系統(tǒng)的某一部分的數量而制定的，該指標更符合預評價事前管理的全局性要求，體現了預評價方法的實施效果。

針對上述應用案例，分別采用5M預評價法和一般評估法進行評價。一般評估法采用文獻[19]所制定的由設備和管理要素建立的“信號設備評價表”作為參考[19]，并按照評價表的定性定量指標采用專家打分法進行預評價。兩種方法實施效果對比如圖2所示。

圖2 5M預評價法與一般評估法比較圖

由圖2可知，5M預評價法明顯優(yōu)于一般評估法，尤其是在風險控制措施精準度上(5M預評價法針對設計、施工、調試、試運營、運營和維保各階段制定出26條風險控制措施，而一般評估法僅針對運營和維護階段提出6條措施)。因此，5M預評價法對于提高安全相關系統(tǒng)的安全管理水平具有較大意義。

5 結論

采用基于5M的信號系統(tǒng)安全預評價方法，根據文獻[18]和文獻[11]的規(guī)定，通過實際案例驗證了該方法的有效性；并與一般評估法比較，體現了該方法的優(yōu)越性。

該方法宏觀上采用5M因素對信號系統(tǒng)的風險辨識進行分類，有利于認清風險根源；微觀上，從全生命周期角度對信號系統(tǒng)分階段風險進行辨識并評定風險損失，有利于制定信號系統(tǒng)風險控制措施。總體上，該方法風險辨識質量高，風險控制精準度高，且該方法的實施有利于加強城市軌道交通事前安全管理效果，也為安全相關系統(tǒng)的風險預評價理論研究提供參考。