王晨菡,王肖寒,吴翊恺
(南京理工大学 自动化学院,南京 210094)
当今世界进入了高速铁路(以下简称:高铁)时代,截至2022年底,世界高铁运营里程在5万km左右。中国作为高铁四大强国之一,其高铁运营里程达到4.2万km,占世界70%以上。列车速度作为衡量国家高铁发展水平的重要指标之一,突破400 km·h-1进入超高速时代成为许多国家的目标。目前,高铁分为轮轨高铁、磁悬浮高铁和超级高铁,其中轮轨高铁的运营速度因运行阻力的限制而难以达到超高速列车的运行要求,因而“超级高铁”被寄予原望[1],如图1所示。由于具有超高速、高安全、低能耗、噪声小、污染小等特点,超级高铁有可能成为继汽车、轮船、火车和飞机之后的新一代交通运输工具。然而,由于超级高铁的超高速运行,一旦发生交通事故,则会造成巨大的损失。因此,研究超级高铁的安全性是有必要的。
图1 超级高铁
目前,安全分析模型分为简单线性模型、复杂线性模型和系统模型。简单线性模型以一种线性思维分析安全问题,其包括安全检查表法、故障树分析法(Fault Tree Analysis, FTA)等。尤星达等[2]在对地铁行车作业安全进行危害性分析的基础上,采用安全检查表法,提出作业标准化检查与评估方案;Xu等[3]将严重交通事故与普通交通事故进行比较,并利用FTA探究产生严重交通事故的基本原因及各原因间的因果关系。复杂线性模型以系统状态为基础,利用线性思维分析安全问题,其包括事故地图(Accident Analyse Mapping,AcciMap)、预先危险分析法(Preliminary Hazard Analysis,PHA)等。赵挺生等[4]通过构建了AcciMap模型分析36起施工升降机事故中各致因因素间的关系,并根据循环信息流,得出施工升降机施工的管控措施;Yan等[5]将云模型和PHA结合实现危害的定量评估。系统模型把所有风险要素看作整体,分析各要素间的相互关系[6],包括贝叶斯网络(Bayesian network, BN)、解释结构模型(Interpretative Structural Modeling Method,ISM)等。Jin等[7]利用鱼骨图获取铁路运营安全事故的致因因素,建立BN铁路运营安全事故预测模型,并对各致因因素进行敏感性分析;Xu等[8]建立了一个基于BN和蝴蝶结模型的倾斜隧道轨道运输事故的风险评估模型。解释结构模型作为常见的系统模型之一,最早由美国的Warfield教授提出[9]。孙锐娇等[10]通过对复杂山区铁路工程中自然环境和社会经济环境的剖析,依次建立了不同的解释结构模型并提出应对方法;Xu等[11]利用解释结构模型找出影响员工安全行为的不同因素;Li等[12]使用解释结构模型评估了火力发电厂中各风险要素间的关系;姜林林等[13]采用解释结构模型建立轨道交通运营安全模型,找出影响系统安全的直接原因、间接原因和深层次原因;左博睿等[14]基于“2-4”模型和解释结构模型构建重大铁路事故组织的致因框架。
综上所述,FTA可进行定性、定量分析,但存在故障状态简单、工作量大等问题[15]。PHA可对系统研发初期进行安全评估,但此方法需要提前定义事故等级[16]。而作为系统模型中应用较为广泛的解释结构模型可通过划分风险要素层级,找出影响系统安全的多层次原因,因此其更适用于超级高铁安全性的研究[17]。由于超级高铁处于研发初期,与现有交通工具相比,难以估计其实际安全影响。而Bono教授创立的概念扇[18]可通过非传统的横向思维模式分析和解决问题,有助于拓宽风险要素的范围,使系统安全分析更全面。因此,根据碰撞对象不同,文中将超级高铁安全问题分为列车与列车相撞、列车与管道相撞、管道内事故、列车内事故和突发事件,并采用概念扇和解释结构模型对其进行安全分析,建立超级高铁安全模型,为提高超级高铁初期安全性提供科学依据。
概念扇由目标、方向、概念、方案组成,通过正向分析将问题抽象化,逆向分析将问题具体化[19]。其中,目标是指需要解决的问题,方向是指解决问题的基本思路,概念是指解决问题的基本方法,方案是指解决问题的直接方法,概念扇流程如图2所示。
图2 概念扇流程
基于图2,在安全分析的过程中,首先,以目标为起点,通过第一次迭代找到方向;其次,在某方向上,通过第二次迭代找到相关概念;最后,以某概念为出发点,通过第三次迭代确定最终方案。
解释结构模型可将复杂系统分解为多个子系统,利用关联矩阵分析系统结构来建立层次结构模型,其构建步骤[20]如下:
Step1:潜在风险分析。首先,确定系统中的潜在风险要素;其次,对各要素编号Si(i=1,2,…,n);最后,分析要素间的关系建立关系总图,如Sa导致Sb,则在关系总图中标出Sa指向Sb的箭头。
Step2:建立邻接矩阵和可达矩阵。根据关系总图建立邻接矩阵A,如式(1)所示。该矩阵用于表示任意2个风险要素Si与Sj间的相互关系,其中若aij为1,则表示Si对Sj有影响;若aij为0,则表示Si对Sj无影响。
A=(aij)n×n,i,j∈[1,n]
(1)
基于建立的邻接矩阵A,结合布尔运算法则将邻接矩阵A与单位矩阵I相加,并进行A+I的幂运算,直至式(2)成立,此时得到可达矩阵M。
(A+I)≠(A+I)2≠…≠(Α+I)k=
(A+I)k+1=M
(2)
式中:k表示正整数。
Step3:风险要素的层级划分。在建立的可达矩阵M中,可达集M(Si)表示M的第i行中满足air=1,(r=1,2,…,n)的列要素的集合,先行集F(Si)表示M的第i列中满足ari=1,(r=1,2,…,n)的行要素的集合,共同集G(Si)表示M(Si)与F(Si)的交集。
针对风险要素的层级划分,首先在求得M(Si)、F(Si)和G(Si)后,将满足M(Si)=G(Si)的要素作为第1级要素L1,即L1中的要素处于解释结构模型的第1级;然后,将M中属于L1的行与列删除,组成矩阵M′,并对M′进行上述操作得到第2级要素L2;最后,重复进行上述操作,依次求出L3,L4,…,直至将所有风险要素划分层级。
Step4:建立并分析解释结构模型。根据上述方法对风险要素划分层级,建立并分析解释结构模型。
2.1.1 列车与列车相撞分析
在第一次迭代中,列车与列车相撞事件分为制动失效、人为失误和未检测到前车。在第二次迭代中,根据列车能否检测到前方车辆,将该事件又分为制动系统失效、人为失误和检测系统故障。在第三次迭代中,导致检测或制动系统故障的原因是设备故障和关联系统故障,如图3所示。其中,关联系统包括供电系统和通信系统,当供电不足或信号较弱时,均可能导致信号无法准确传输到制动系统和检测系统,同时还需考虑低压下的信号传输和大功率供电问题[21]。此外,人为失误分为维修人员失误和驾驶员失误。其中,驾驶员失误可能是由于驾驶员在行车过程中操作不当或应急处理能力差而导致的。因此,除提升员工职业技能外,还可以采用自动化系统设备辅助行车或检测。
图3 “列车与列车相撞”的概念扇
2.1.2 列车与管道相撞分析
在第一次迭代中,列车与管道相撞事件分为管道变形、列车变形和列车异常运行。在第二次迭代中,导致列车或管道变形的原因是外力破坏和内部损坏。其中,内部损坏是由于组件性能相对较差或设备的自然损坏。在第三次迭代中,外力破坏又分为舱体失压、人为破坏和恶劣天气,如图4所示。
图4 “列车与管道碰撞”的概念扇
除列车或管道变形外,列车异常运行也可能造成列车与管道相撞,使列车异常运行的原因包括列车、轨道或磁悬浮系统故障。由于超级高铁利用电磁力与轨道间实现无接触式导向悬浮,若轨道发生断裂、变形,则对列车安全运行影响较大[22]。此外,磁悬浮系统中的直线电机通过产生电磁力带动列车运行,并为供电系统提供电力。因此,磁悬浮设备或供电系统故障均可能导致磁悬浮系统失效。
2.1.3 管道内事故分析
管道内事故分为人、其他异物与列车相撞和空气进入管道,造成车人相撞的原因是列车运行时维修人员未离开或其他人员误入,如图5所示。其中,维修人员未离开的原因是无法及时躲避或列车定位设备故障,故需要合理设计应急通道。此外,当密封结构损坏时,管道内的强大吸力也会对人员造成安全威胁,因此确保管道和过渡舱的密封性至关重要。
图5 “管道内事故”的概念扇
除车人相撞外,车与其他异物相撞也会影响列车运行安全,根据异物来源将其分成人为遗落、列车组件掉落和管道内设备占位。其中,人为遗落主要是指维修设备遗落,列车组件掉落和管内设备占位是由于组件性能差而导致。此外,高真空、低气压的管道内进入空气也会对列车运行产生影响,其原因包括抽气系统故障和密封结构损坏。其中,抽气设备(如真空泵等)故障或关联系统故障导致抽气系统故障,组件内部损坏、外力破坏或连接处密封性差导致密封结构损坏。
2.1.4 列车内事故分析
如图6所示,列车内事故包括车内环境异常和其他事故(如火灾、电气事故等)。列车内失压、缺氧和温度异常是车内环境异常的原因。列车材质易燃、携带易燃易爆品和磁悬浮系统失效是发生火灾的原因。当磁悬浮系统失效后,列车与轨道碰撞会产生巨大摩擦从而引发火灾。同时,太阳热辐射和大功率电机、真空泵等设备的运作也会使真空管道由于温度升高、散热难而引发火灾,因此需要对真空管道和列车进行抗辐射、散热处理。
2.1.5 突发事件分析
如图7所示,突发事件分为恶劣天气和恐怖袭击。由于暴雨、台风等对高架管道影响较大,而地震对地面和地下管道均会造成影响,故将恶劣天气分为地震和其他自然灾害。其中,通过增加减震设计和减少地面管道数来减少恶劣天气的影响。此外,安检系统不完善是导致恐怖袭击的主要原因,而人为失误、设备故障和系统识别精度低是安检系统不完善的原因。为提高超级高铁的安全性,还需考虑安全风险的应对措施。
图7 “突发事件”的概念扇
基于上述概念扇安全分析结果,利用解释结构模型对影响超级高铁安全性的要素进行如下分析:
Step1:潜在风险分析。如表1所示,根据上述概念扇第三次迭代结果,归纳出18种超级高铁安全事故的风险要素并对其编号,Si(i=1,2,…,18)。将表1与上述概念扇的安全分析结果结合,建立风险要素间的关系总图,如图8所示。
表1 超级高铁安全事故潜在风险识别
图8 潜在风险关系总图
Step2:建立邻接矩阵和可达矩阵。根据表1、图8和式(1),建立邻接矩阵A,如式(3)所示。因此,结合式(2)和式(3),得出当k=3时,满足(A+I)≠(A+I)2≠(A+I)3=(A+I)4=M,其可达矩阵M如式(4)所示。
(3)
(4)
Step3:风险要素的层级划分。根据M(Si)=G(Si),在表2中可以得出超级高铁安全模型的第1级要素L1={S6,S11,S16};在可达矩阵中划去第1级要素对应的行和列,计算第2级可达集、先行集和共同集,进而得出第2级要素L2={S3,S12,S15};同理可得到第3级要素L3={S4,S10,S13}、第4级要素L4={S1,S5,S7,S8,S9}、第5级要素L5={S2}、第6级要素L6={S14,S17}、第7级要素L7={S18}。
表2 第1级可达集合和先行集
Step4:建立解释结构模型。根据上述方法对风险要素划分层级,最后得出基于解释结构模型的超级高铁安全模型,如图9所示。
图9 基于解释结构模型的超级高铁安全模型
Step5:超级高铁安全模型分析。如图9所示,根据超级高铁对风险要素的划分结果进行如下分析:
1)当抽气系统故障S6或过渡舱损坏S11时,管道因无法保持真空状态而影响列车安全运行。此外,当列车在行驶过程中未检测到列车驶入S16时,则会发生列车与列车相撞事件。因此,第1级要素L1是影响超级高铁安全的第1层最直接风险要素。
2)管道损坏S12或端口对接密封性差S15都可能导致过渡舱损坏S11,从而间接影响超级高铁的安全性。其中,管道损坏S12对行车安全存在直接影响。此外,检测系统故障S3会导致行驶车辆未检测到列车驶入S16。因此,第2级要素L2是影响超级高铁安全的第2层间接风险要素。
3)制动系统故障S4和组件性能差S13都可能导致列车损坏S10,从而引发列车与管道相撞事件。其中,制动系统中的组件性能差S13也会导致此系统出现故障S4。因此,第3级要素L3是影响超级高铁安全的第3层风险要素,且该级要素间存在相互作用。
4)磁悬浮系统S1、压力系统S7、供氧系统S8或空调系统S9的故障会导致列车损坏S10。此外,通信系统S5对超级高铁系统内的其他系统均会产生影响。因此,第4级要素L4是影响超级高铁安全的第4层风险要素。
5)由于磁悬浮系统S1利用电磁悬浮原理,通过直线电机产生电磁力带动列车运行,而供电系统S2为直线电机提供电力。因此,第5级要素L5是影响超级高铁安全的第5层风险要素。
6)恶劣天气S14和人为失误S17会对超级高铁产生各方面的影响,其中包括供电系统故障S2。因此,第6级要素L6是影响超级高铁安全的第6层更深层风险要素。
7)超级高铁系统内的人为因素是影响其安全性的深层次原因,其中,主观原因S18可能导致人为失误S17。因此,第7级要素L7是影响超级高铁安全的第7层最深层风险要素。
根据安全分析结果将安全问题归纳成人为失误、设备故障、列车和管道等形变及恶劣天气,并根据不同的解决对象,将风险管控措施分成人为因素和外部环境,如表3所示。
表3 超级高铁安全问题的风险管控措施
1)对影响超级高铁安全运行的风险要素进行划分,预测可能发生的安全问题,可在一定程度上为我国超级高铁的运行安全提供参考依据。
2)利用概念扇和解释结构模型分析超级高铁的5类潜在安全问题,基于概念扇的初步分析后,采用解释结构模型对潜在风险要素划分层级,找出导致安全问题发生的深层次原因,有利于扩展对研发初期超级高铁安全性的研究。
3)通过超级高铁安全分析结果,得到相应的风险管控措施,为解决超级高铁初期的安全问题提供了一定的管控建议。
研究也存在一定的不足,如由于超级高铁尚未运营,对其安全分析缺少数据支撑,因此分析结果存在一定偏差。后续可尝试利用仿真软件模拟超级高铁碰撞事故,为超级高铁初期安全分析提供更多的实际价值。