基于5M的城市轨道交通信号系统安全预评价方法*

林海香 曾小清 李阳庆 方云根

(1. 同济大学道路与交通工程教育部重点实验室，201804,上海;2. 兰州交通大学自动化与电气工程学院，730070,兰州//第一作者,博士研究生)

城市轨道交通信号系统是综合运用各种技术手段以保证行车安全的关键系统，是城市轨道交通工程中技术含量、安全相关性和自动化程度均较高的关键机电系统之一。文献[1-2]规定，对于新建和新投入使用的轨道交通安全相关系统需要开展独立的第三方安全预评价。文献[3]规定，必须首先对新建铁路项目进行安全预评价，预评价合格后方可进行安全评估。因此，作为安全高度相关系统，需要在轨道交通信号系统工程建设前对其进行安全预评价。

1 城市轨道交通信号系统安全预评价研究现状

安全预评价是在工程建设前对系统进行的安全预测，是在未获取系统运行数据的情况下，对系统安全性进行预风险评价的行为。针对轨道交通信号系统的安全预评价更是体现了轨道交通“安全第一，预防为主”的方针，对提高轨道交通运营的安全性有很大作用[4-5]。

国外轨道交通安全相关系统已经形成了比较完善的安全评估体系和安全管理体系。最早于20世纪90年代，欧洲轨道交通联盟与欧洲委员会针对欧洲信号技术ETCS(列车控制系统)制定了系统RAMS(可靠性、可用性、可维护性、安全性)需求规范[6]。2000年，IEC(国际电工委员会)制定了安全相关系统的设计和国际评估标准IEC61508[7]，提出了安全相关系统的“安全完整性等级(SIL，Safety Integrity Leve1)”概念，并以此作为对系统安全的综合评估指标。在此基础上，英国采用ALARP准则作为风险判据的原则，德国采用MEM原则来评判风险的可容忍度，法国采用GAMAB原则来评判安全风险[4]，以最大限度保证所接收的信号系统的安全性、可靠性、可维护性和可操作性[8-9]。

我国城市轨道交通建设的安全评价工作启动较晚，相应的安全预评价工作更是起步较晚[5]。

一方面，城市轨道交通安全预估标准较少。目前，针对城市轨道交通预评价可遵照的标准只有AQ 8002—2007《安全预评价导则》[10]和AQ 8004—2007《城市轨道交通安全预评价细则》[11]。这两个标准只是框定了对城市轨道交通所有系统安全预评价的范围和总体流程，属于指导性建议，并未针对信号系统给出安全预评价过程和具体的安全定性和定量方法，导致在实际中对信号系统的安全预评价没有可参考的具体方法，难度较大。

另一方面，安全预评价是在工程实施前的预测评价，无法获取信号系统在未来工程完成并投入使用后的统计故障数据和运行监测数据，故一般传统的基于故障率和事故率的后验统计安全评估方法是不可行的，并且国内的评估机构开展的城市轨道交通安全预估大多针对于土建工程方面[5,8,9]，针对信号系统方面的预评价实践仍然较少，预评价方法还不成熟。

综上所述，在当前城市轨道交通快速发展的需求下，我国尚未建立起针对城市轨道交通信号系统完整的安全预评价理论，预评价方法不成熟，预评价工作经验亦相对缺乏，造成实际中的预评价工作技术难度增大。

2 5M预评价模型的建立

在城市轨道交通领域大多基于事故致因理论建立安全评价模型，且通常在人员、设备、管理和环境中选择要素。例如，针对城市轨道交通运营安全风险评价，有些采用人员单要素建立评价模型[12]，有些采用人员和环境二要素建立评价模型[13]，更多的是采用人员、设备、管理和环境四要素进行建模[14-15]。

而信号系统安全预评价处于城市轨道交通工程全生命周期的最前端，属于安全管理体系中最为重要的事前管理。因此更应从全局角度和源头出发，全面地实施安全隐患辨识和安全风险预估等安全管理活动。

鉴于此，在信号系统安全预评价模型要素中，增加任务要素，以便于辨识系统全生命周期的安全隐患，提高预评价隐患辨识量和安全控制精准度。图1所示为5M信号系统安全预评价模型。

图1 5M信号系统安全预评价模型

图1中，“人的过错”主要是指信号系统内部的安装、调试和维护等人员和信号系统外部的施工、使用等人员，由于精神压力、工作负荷、误操作、违章作业、疲劳与警惕性等因素而形成人的不安全行为，这样极易触发事故；“设备的隐患”主要是由于信号系统设备种类多、数量大、配置分散、连续运转和维修保养不到位等，会形成“设备隐患”；“环境的变化”是指信号系统所处的自然环境和与之关联的供电、车辆、轨道等应用环境，如雨雪雷电、施工干扰、电源扰动、轨道线路病害、车轮打滑、车地通信中断等，这些“环境的变化”都会造成设备的不安全状态或导致人的不安全行为；“管理的缺陷”是指信号系统的建设、施工、使用和维保的安全管理中存在的内部缺陷和主体的素质缺陷、组织氛围恶化、管理分工失衡、管理部门之间的职权竞争等，均会造成人或设备的不安全状态；“任务的隐患”是指信号系统设定应完成的功能中，由于设备功能不足、设计缺陷和施工工艺隐患都会使信号系统功能失效，这一要素有助于发现信号系统设计、安装和施工等全生命周期中的安全隐患。

从宏观到微观，信号系统的每部分都有可能受各要素的变化激发人的不安全行为或设备的不安全状态，从而形成隐患信息，若未采取及时的安全处理措施，极可能导致事故发生。虽然某些隐患仅在特定条件下才能爆发出来，但一旦引出，且如果没有安全控制，就会演化成事故，从而造成极大的损失。我国甬温高铁“7·23”事故，追根溯源就是由于信号系统列控设备设计出现隐患导致的[16]，这种源于任务要素的隐患在强雷击条件下导致地面信号设备处于不安全状态，轨道实际存在列车运行，但信号系统却给出列车未占用轨道的信息，加之运营过程中的一系列安全措施失效，最终导致了特大事故的发生。因此，5M模型提出从设计、施工、运营、维保等系统全生命周期各阶段进行隐患信息的采集处理，并以事故分析、经验总结作为安全控制反馈环节，这样整个模型就构成了一个闭环的5M因素安全预评价模型。

3 应用案例

以上海某轨道交通车辆段改扩建工程为例，该工程需要对车辆段和正线车站的既有信号系统进行改造升级。改造内容包括道岔、信号机、计算机联锁、微机监测、ATP/ATO(列车自动保护/列车自动运行)、ATS(列车自动监控)等室内外设备的迁改和扩容。改造要求在列车不停运的前提下进行工程施工，并完成新旧系统的过渡，既要确保行车运营安全，又要保证工程项目的顺利实施，因此对该项目进行了信号系统预评价。

由于无法获取该工程信号系统在未来运营中的统计故障和事故数据，故传统的采用故障率和事故率预测的方法是不可行的，也为了后续风险界定和辨识，需要收集关于信号系统的各种事故数据，按照5M因素模型整理成预评价样本资料，包括人员、管理等各要素影响下的事故时段、事故类型、致因因素等。

参照国标GB/T 21562—2008《轨道交通 可靠性、可用性、可维修性和安全性规范及示例》[17]以及AQ 8001—2007《安全评价通则》的要求[1]，总结轨道交通信号系统的安全风险预评价方法步骤如下：

第一步，风险界定。参照5M因素模型中的任务项要求，将信号系统按照功能划分成若干有限的、范围确定的评估对象，如列车控制、计算机联锁、ATS、微机监测、计算机网络、通信设备、供电设备等。

第二步，风险辨识。本项目采用预先危险性分析法(PHA)和安全检查表法分析得到信号系统设备风险检查情况(见表1)。该表考虑了人员伤亡、环境破坏、经济损失、工程延误等不同方面的不利影响,并按照风险的严重程度，将风险损失后果划分为灾难性的(A)、非常严重的(B)、严重的(C)、需要考虑的(D)和可忽略的(E)5个等级。因此,可结合所收集预评价样本资料，并按照风险界定对象逐项辨识风险。表1为截选了该项目部分预先危险性的分析检查表。

表1 信号系统设备风险检查表

第三步，风险预估计。根据预评价样本资料计算事故频率, 结合等级评定的风险损失后果，由事故风险=事故概率×损失后果，以及查阅表2～3来确定事故概率和预估计风险矩阵[18]，逐项评定风险级别。

表2 风险发生可能性等级标准

表3 风险等级标准

第四步，根据风险估计的结果确定总体风险等级。本次项目共存在隐患风险点123处，其中，必须实施风险管控的II级风险点，且会产生严重或非常严重后果的风险点有10处，占总数的8.1%；可采取风险处理措施的III级风险有22处，占总数的17.9%。因此,本项目必须采取风险控制措施以消除或降低风险。

第五步，为信号系统风险项制定风险控制措施。根据上一步找出的信号系统隐患信息，追溯事故致因因素，并按照所处的系统全生命周期阶段，分阶段制定控制措施，以完成信号系统的风险控制。

由上述步骤可知，整个项目在施工阶段和运营阶段均面临极大风险隐患。在采取风险控制措施后，项目的风险可以降低到可接受的等级。

4 城市轨道交通信号系统安全预评价方法比较

城市轨道交通信号系统安全预评价的重点与难点在于预评价过程中的风险辨识和风险控制措施，这两个过程直接影响评估效果和系统安全。为此，制定体现预评价效果的评价指标，即风险辨识数量、风险辨识质量和风险控制措施精准度。风险辨识数量体现了预评价方法的全面性；风险辨识质量是指在风险辨识数量的基础上所辨识出对安全相关系统的安全性影响较大的风险项数量，体现了预评价方法的有效性；风险控制措施精准度是指为提高系统安全性所制定的风险控制措施是否是针对安全相关系统全生命周期的某一阶段和系统的某一部分的数量而制定的，该指标更符合预评价事前管理的全局性要求，体现了预评价方法的实施效果。

针对上述应用案例，分别采用5M预评价法和一般评估法进行评价。一般评估法采用文献[19]所制定的由设备和管理要素建立的“信号设备评价表”作为参考[19]，并按照评价表的定性定量指标采用专家打分法进行预评价。两种方法实施效果对比如图2所示。

图2 5M预评价法与一般评估法比较图

由图2可知，5M预评价法明显优于一般评估法，尤其是在风险控制措施精准度上(5M预评价法针对设计、施工、调试、试运营、运营和维保各阶段制定出26条风险控制措施，而一般评估法仅针对运营和维护阶段提出6条措施)。因此，5M预评价法对于提高安全相关系统的安全管理水平具有较大意义。

5 结论

采用基于5M的信号系统安全预评价方法，根据文献[18]和文献[11]的规定，通过实际案例验证了该方法的有效性；并与一般评估法比较，体现了该方法的优越性。

该方法宏观上采用5M因素对信号系统的风险辨识进行分类，有利于认清风险根源；微观上，从全生命周期角度对信号系统分阶段风险进行辨识并评定风险损失，有利于制定信号系统风险控制措施。总体上，该方法风险辨识质量高，风险控制精准度高，且该方法的实施有利于加强城市轨道交通事前安全管理效果，也为安全相关系统的风险预评价理论研究提供参考。