邵玉華

（吉林鐵道職業(yè)技術(shù)學(xué)院鐵道運(yùn)輸系，132001，吉林//副教授）

安全評(píng)估已成為許多先進(jìn)國家軌道交通安全管理計(jì)劃的一個(gè)十分重要的內(nèi)容。歐洲、美國提出了信號(hào)系統(tǒng)定性和定量的接收準(zhǔn)則和安全評(píng)估體系，以最大限度保證所接收的信號(hào)系統(tǒng)的安全性、可靠性、可維護(hù)性和可操作性（RAMS）。從運(yùn)營(yíng)組織上看，這些國家均采用授權(quán)的獨(dú)立第三方機(jī)構(gòu)論證和評(píng)估。諸如英國勞氏、TUV（德國萊茵技術(shù)監(jiān)護(hù)顧問股份有限公司）等專業(yè)從事安全評(píng)估的企業(yè)，對(duì)保障軌道交通信號(hào)系統(tǒng)安全起到了十分重要的作用。

我國對(duì)安全評(píng)估的研究和實(shí)踐還在起步階段。文獻(xiàn)［1－2］對(duì)安全評(píng)估標(biāo)準(zhǔn)的概念、組織框架等有比較明確的認(rèn)知，在安全評(píng)估的體系和方法以及安全完整度等級(jí)的分配方面也有一定的研究，提出了基于VGES（灰色可拓空間）的安全評(píng)估方法，分析了ATP（列車自動(dòng)保護(hù)）系統(tǒng)的安全完整度等級(jí)分配。文獻(xiàn)［3－5］對(duì)安全評(píng)估體系、評(píng)估所采用的理論和方法進(jìn)行研究，提出了基于模糊集合理論的安全評(píng)估方法和基于混沌控制理論的安全評(píng)估方法。文獻(xiàn)［6］對(duì)安全相關(guān)系統(tǒng)的硬件故障分析進(jìn)行研究，將灰色災(zāi)變預(yù)測(cè)方法運(yùn)用在軌道交通的設(shè)備檢修階段。安全評(píng)估問題也引起了鐵道部的重視，提出了要建立安全評(píng)估中心［6］。文獻(xiàn)［7］針對(duì)鐵道部高速鐵路運(yùn)營(yíng)過程的實(shí)際問題，應(yīng)用安全系統(tǒng)工程理論，提出了我國高速鐵路系統(tǒng)生命周期內(nèi)實(shí)施安全評(píng)估的體系框架。

到目前為止，我國尚未建立起完整的安全評(píng)估理論和方法，形成獨(dú)立承擔(dān)安全評(píng)估的工作能力。本文針對(duì)軌道交通安全評(píng)估的標(biāo)準(zhǔn)、評(píng)估內(nèi)容和方法進(jìn)行研究和討論。

1 軌道交通信號(hào)安全及相關(guān)標(biāo)準(zhǔn)

美國、澳大利亞、日本等國家以及歐洲已建立了比較完善的安全評(píng)估和安全管理體系，制定了一系列切實(shí)可行的安全評(píng)估技術(shù)標(biāo)準(zhǔn)。如英國工商部和健康安全部門提出了CASS（與安全系統(tǒng)相關(guān)的一次性評(píng)估）安全評(píng)估框架，并建立了CASS公司，負(fù)責(zé)對(duì)評(píng)估員進(jìn)行考核，監(jiān)督評(píng)估過程。此外，國際標(biāo)準(zhǔn)化組織制定了一系列標(biāo)準(zhǔn)，如IEC 61508標(biāo)準(zhǔn)簇、EN 標(biāo)準(zhǔn)系列、IEEE 1474.1— 1999［8］、ERTMS/ETCS02S1266［9］等。

IEC 61508［10］是國際電子電工委員會(huì)（IEC）制定的《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》國際標(biāo)準(zhǔn)，是進(jìn)行軌道交通安全評(píng)估和論證重要的參考標(biāo)準(zhǔn)。目前歐洲各國鐵路主要以EN（歐洲標(biāo)準(zhǔn)）為基準(zhǔn)，依托第三方評(píng)估機(jī)構(gòu)，對(duì)既有線和在建的項(xiàng)目進(jìn)行安全性論證。我國臺(tái)灣高速鐵路盡管部分采用了日本設(shè)備，但也按EN系列標(biāo)準(zhǔn)進(jìn)行獨(dú)立驗(yàn)證與確認(rèn)［8］。

歐洲電氣化標(biāo)準(zhǔn)委員會(huì)（CENELEC）［11］下屬的SC9XA委員會(huì)制定了以計(jì)算機(jī)控制的信號(hào)系統(tǒng)作為對(duì)象的鐵道信號(hào)標(biāo)準(zhǔn)，包括4個(gè)部分：①EN 50126鐵路應(yīng)用，可靠性、可用性、可維護(hù)性和安全性（RAMS）規(guī)范及說明；②EN 50129鐵路應(yīng)用，安全相關(guān)電子系統(tǒng)；③EN 50128鐵路應(yīng)用，鐵路控制和防護(hù)系統(tǒng)的軟件；④EN 50159.1鐵路應(yīng)用，通信、信號(hào)和處理系統(tǒng)。其相互關(guān)系如圖1所示。

圖1 歐洲軌道交通領(lǐng)域標(biāo)準(zhǔn)間的相互關(guān)系

EN 50126標(biāo)準(zhǔn)［12］定義了軌道交通運(yùn)輸一般系統(tǒng)的RAMS，給出了系統(tǒng)生命周期內(nèi)各個(gè)階段RAMS的管理和要求。RAMS是衡量系統(tǒng)服務(wù)質(zhì)量的一個(gè)重要特征。如果系統(tǒng)的可靠性和可維護(hù)性在系統(tǒng)給定的時(shí)間內(nèi)能夠滿足要求，則系統(tǒng)的安全性和可用性將得到保證。為達(dá)到規(guī)定的RAMS，必須在整個(gè)系統(tǒng)的生命周期內(nèi)有效控制RAMS的影響因素，即在系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)階段要考慮系統(tǒng)的隨機(jī)故障和系統(tǒng)故障。

EN 50129標(biāo)準(zhǔn)［13］適用于鐵路信號(hào)應(yīng)用中與安全相關(guān)的電子系統(tǒng)（包括子系統(tǒng)和設(shè)備）。標(biāo)準(zhǔn)建議對(duì)所有鐵路信號(hào)系統(tǒng)、子系統(tǒng)或設(shè)備進(jìn)行EN 50126和本標(biāo)準(zhǔn)中定義的危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估。該標(biāo)準(zhǔn)定義了質(zhì)量管理措施、安全管理措施、功能和技術(shù)安全措施以及安全接受和論證四個(gè)方面，適用于完整的信號(hào)系統(tǒng)的規(guī)范、設(shè)計(jì)、構(gòu)建、安裝、接受、運(yùn)行、維護(hù)和修改（擴(kuò)展）階段，也適用于系統(tǒng)中子系統(tǒng)和設(shè)備。安全案例是系統(tǒng)研究開發(fā)人員按照標(biāo)準(zhǔn)在整個(gè)系統(tǒng)生命周期內(nèi)所要完成的質(zhì)量管理、安全管理和相關(guān)技術(shù)安全措施的實(shí)施。在安全管理方面需要進(jìn)行全程的安全評(píng)估和驗(yàn)證，以減少與安全相關(guān)的人為失誤，減少系統(tǒng)故障風(fēng)險(xiǎn)。

EN 50128標(biāo)準(zhǔn)［14］關(guān)注軟件安全完整性等級(jí)方法，并利用這些方法來提供滿足安全完整性要求的軟件。安全完整性通過在軟件上加載廣泛的安全考慮而達(dá)到安全的目的。標(biāo)準(zhǔn)包含5個(gè)軟件完整性等級(jí)，軟件失效所產(chǎn)生的后果越嚴(yán)重，那么對(duì)軟件安全完整性等級(jí)的要求就越高。

EN 50159.1標(biāo)準(zhǔn)［15］適用于采用封閉傳輸系統(tǒng)實(shí)現(xiàn)通信目的的安全相關(guān)系統(tǒng)，對(duì)安全相關(guān)設(shè)備和傳輸系統(tǒng)的通信接口信息傳輸提出安全要求。

2000年，歐洲軌道交通聯(lián)盟與歐洲委員會(huì)針對(duì)歐洲軌道交通運(yùn)輸管理系統(tǒng)（European Rail Traffic Management System，簡(jiǎn)為ERTMS）中歐洲列車控制系統(tǒng) （European Train Control System，簡(jiǎn)為ETCS）的信號(hào)技術(shù)制定了系統(tǒng)RAM需求規(guī)范02S1266。

CBTC（基于通信的列車控制）是采用高效列車定位技術(shù)，不依賴于軌道電路，采用連續(xù)、大容量、雙向車地?cái)?shù)據(jù)通信技術(shù)的列車自動(dòng)控制系統(tǒng)，即移動(dòng)閉塞。IEEE提出了CBTC需求規(guī)范IEEE 1474.1—1999［8］。

2 軌道交通信號(hào)系統(tǒng)的生命周期及安全評(píng)估內(nèi)容

2.1 信號(hào)系統(tǒng)的生命周期

系統(tǒng)生命周期是指一個(gè)系統(tǒng)從初始概念形成到退役的整個(gè)過程以及各階段完成的任務(wù)，如圖2所示。整個(gè)過程包括安全相關(guān)系統(tǒng)的計(jì)劃、管理、控制和監(jiān)督等多個(gè)階段。

圖2 系統(tǒng)的生命周期

對(duì)于安全相關(guān)系統(tǒng)，各階段完成的具體任務(wù)不同。在概念階段主要考慮項(xiàng)目的安全性含義。系統(tǒng)定義及應(yīng)用環(huán)境階段應(yīng)建立全面的安全計(jì)劃，并對(duì)風(fēng)險(xiǎn)容忍度標(biāo)準(zhǔn)進(jìn)行定義。風(fēng)險(xiǎn)評(píng)估需要在風(fēng)險(xiǎn)分析階段執(zhí)行。在系統(tǒng)功能和要求階段應(yīng)確定整體的系統(tǒng)安全需求和安全接受標(biāo)準(zhǔn)，以及與安全相關(guān)的功能系統(tǒng)，并在系統(tǒng)需求分配階段進(jìn)行分配。由系統(tǒng)校驗(yàn)階段準(zhǔn)備特定應(yīng)用安全案例，經(jīng)系統(tǒng)接受階段評(píng)定后，整個(gè)系統(tǒng)才能開始運(yùn)行。修改與升級(jí)階段中需考慮系統(tǒng)修改與升級(jí)的安全問題。在退役與廢棄階段建立安全計(jì)劃、進(jìn)行危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估，以及實(shí)施安全計(jì)劃。

2.2 安全評(píng)估內(nèi)容

目前，各國遵守的安全標(biāo)準(zhǔn)間的差異以及對(duì)信號(hào)系統(tǒng)安全的認(rèn)知不同，導(dǎo)致其對(duì)系統(tǒng)安全的描述和評(píng)估內(nèi)容也有所差異。例如，IEC 61505提出了安全完整性等級(jí)的概念［16］，利用安全完整性等級(jí)來評(píng)價(jià)系統(tǒng)的安全，而有些方法（如風(fēng)險(xiǎn)評(píng)估、可靠性評(píng)估、具體保障評(píng)估等）是從其他方面考慮進(jìn)行評(píng)估的。

所謂安全完整性是在規(guī)定的時(shí)間周期內(nèi)所有規(guī)定的條件下，安全相關(guān)系統(tǒng)成功地完成所需安全功能的能力。表1是完善性等級(jí)分級(jí)標(biāo)準(zhǔn)，SIL（安全完整性等級(jí)）表征了系統(tǒng)風(fēng)險(xiǎn)的等級(jí)。

表1 安全等級(jí)劃分標(biāo)準(zhǔn)

進(jìn)行SIL評(píng)估，應(yīng)根據(jù)評(píng)估要達(dá)到的目標(biāo)確定SIL。等級(jí)選擇過高，盡管可降低風(fēng)險(xiǎn)，但對(duì)系統(tǒng)各方面的要求也會(huì)提高，花費(fèi)的人力、物力會(huì)增加；等級(jí)選擇太低，系統(tǒng)就不能達(dá)到安全目標(biāo)，存在潛在的危險(xiǎn)。因此，在評(píng)估系統(tǒng)時(shí)，需要通過嚴(yán)格的過程及方法來確定SIL。首先分析所有不期望事件的后果，并估計(jì)其發(fā)生的可能性，將初始事件和用于防止事故的設(shè)備的故障綜合起來考慮；再結(jié)合風(fēng)險(xiǎn)狀況確定事故對(duì)人員、財(cái)產(chǎn)、環(huán)境和效益的影響；然后選擇所需的風(fēng)險(xiǎn)降低程度，即基準(zhǔn)風(fēng)險(xiǎn)與可承受的風(fēng)險(xiǎn)底線之間的差別，進(jìn)而得到合適的SIL。SIL評(píng)估方法包括風(fēng)險(xiǎn)樹分析法［16－17］及CCA（因果分析）等。

3 安全評(píng)估模式及內(nèi)容

不同國家和地區(qū)所遵守的安全評(píng)估模式、評(píng)估過程和程序，以及采用的手段和方法，都存在一定的差異；但安全評(píng)估的目標(biāo)是一致的，都是要通過評(píng)估并對(duì)安全性不足的部分采取一定的技術(shù)、管理等措施，盡可能地降低安全風(fēng)險(xiǎn)，保證系統(tǒng)的可用性、可靠性、可維護(hù)性，以達(dá)到安全的目的。

3.1 安全評(píng)估模式

目前，安全評(píng)估主要包括全面獨(dú)立的安全驗(yàn)證和確認(rèn)、獨(dú)立安全評(píng)估、授權(quán)機(jī)構(gòu)、產(chǎn)品認(rèn)證、ISO9001、IRIS以及ISO14001等。這些安全評(píng)估的作用不同。如：全面獨(dú)立的安全驗(yàn)證和確認(rèn)主要針對(duì)政府和銀行的需求；獨(dú)立安全評(píng)估主要驗(yàn)證系統(tǒng)或產(chǎn)品對(duì)國際標(biāo)準(zhǔn)的滿足程度等。軌道交通系統(tǒng)比較適用的安全評(píng)估有獨(dú)立的第三方評(píng)估和機(jī)構(gòu)內(nèi)的評(píng)估小組評(píng)估兩種模式。

歐美國家開展軌道交通信號(hào)系統(tǒng)的安全研究比較早，目前已形成了比較完善的安全評(píng)估體系。如英國的CASS安全評(píng)估框架［3］、德國的TUV評(píng)估體系等，主要以EN 鐵路標(biāo)準(zhǔn)為基礎(chǔ)［12－13］，依托第三方評(píng)估機(jī)構(gòu)，對(duì)已有線路和在建項(xiàng)目的信號(hào)系統(tǒng)進(jìn)行安全性論證。而在歐洲鐵路安全評(píng)估中，各項(xiàng)評(píng)估都針對(duì)生命周期各個(gè)階段進(jìn)行。其評(píng)估工作分為兩類：

（1）驗(yàn)證，生命周期每個(gè)階段完成后都必須實(shí)施的安全性評(píng)價(jià)。只有通過驗(yàn)證才能進(jìn)入下一階段。其目的在于證明每個(gè)階段可交付使用的項(xiàng)目全面符合該階段的要求。

（2）確認(rèn)，在系統(tǒng)驗(yàn)收前進(jìn)行，主要針對(duì)系統(tǒng)需求進(jìn)行試驗(yàn)驗(yàn)證和獨(dú)立第三方評(píng)估。其目的在于證明系統(tǒng)在開發(fā)的所有步驟上及安裝后全面符合系統(tǒng)最初的需求。

系統(tǒng)的安全評(píng)估以系統(tǒng)安全分析為依據(jù)，通過分析系統(tǒng)中存在的潛在危險(xiǎn)和薄弱環(huán)節(jié)、發(fā)生事故的概率和可能的嚴(yán)重程度等，確定系統(tǒng)能否滿足安全要求并達(dá)到設(shè)定的安全目標(biāo)。安全評(píng)估過程如圖3所示［18］。

圖3 安全評(píng)估過程

3.2 安全評(píng)估的關(guān)鍵證據(jù)

安全系統(tǒng)的評(píng)估過程基于安全計(jì)劃和安全案例，按照一定的安全評(píng)估方法對(duì)系統(tǒng)進(jìn)行測(cè)試和評(píng)估，最后形成安全評(píng)估報(bào)告，以決定系統(tǒng)能否通過安全評(píng)估。

3.2.1 安全要求

包括與安全無關(guān)的要求、與安全相關(guān)的要求。后者稱為安全要求，包含在一個(gè)獨(dú)立的安全要求規(guī)格中。安全要求又分為安全功能性要求和安全完整性要求兩種。功能性要求指實(shí)際的與安全相關(guān)的各種功能。這些功能的實(shí)現(xiàn)需要系統(tǒng)、子系統(tǒng)或設(shè)備的參與。完整性要求定義了每一個(gè)安全相關(guān)功能需要的安全完整性等級(jí)。

3.2.2 安全計(jì)劃

為達(dá)到系統(tǒng)安全需求規(guī)范而制定的文件，是衡量系統(tǒng)安全認(rèn)證的重要標(biāo)準(zhǔn)。在設(shè)計(jì)和制造過程中必須按照安全計(jì)劃執(zhí)行。安全計(jì)劃的框架主要包括背景和要求，具體包括：系統(tǒng)概要，項(xiàng)目框架，安全規(guī)范，風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，安全管理（即在管理中指出項(xiàng)目經(jīng)理、項(xiàng)目安全經(jīng)理、安全評(píng)估者、安全審核者、安全權(quán)威機(jī)構(gòu)的角色和責(zé)任），安全控制（包括危險(xiǎn)日志、危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估），安全文件（包括初步危險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估報(bào)告、危險(xiǎn)日志、安全需求規(guī)范、安全審核和安全評(píng)估報(bào)告、安全事例、設(shè)計(jì)和測(cè)試說明書、評(píng)審報(bào)告、測(cè)試、接受記錄和培訓(xùn)記錄），外部相關(guān)系統(tǒng)的論證。

3.2.3 安全案例

歐洲電氣化標(biāo)準(zhǔn)委員會(huì)（CENELEC）制定的EN 50129標(biāo)準(zhǔn)定義了保證鐵路信號(hào)電子系統(tǒng)、子系統(tǒng)和設(shè)備的安全所必須滿足的條件和措施，包括質(zhì)量管理、安全管理、功能和技術(shù)安全、安全接受和安全認(rèn)證。要使軌道交通安全相關(guān)系統(tǒng)能得到接受和論證，須完成前3個(gè)步驟。EN 50129提出用安全案例來指導(dǎo)研發(fā)人員在系統(tǒng)生命周期內(nèi)實(shí)施的質(zhì)量管理、安全管理和相關(guān)技術(shù)安全措施。

安全案例是表明產(chǎn)品在設(shè)計(jì)和制造過程中符合系統(tǒng)安全要求，系統(tǒng)風(fēng)險(xiǎn)已減小到足夠小，提供信息（證據(jù)）使評(píng)估者對(duì)于系統(tǒng)的可靠性和安全性有信心。安全案例是進(jìn)行安全評(píng)估的依據(jù)。詳細(xì)的安全案例包括系統(tǒng)定義、質(zhì)量管理報(bào)告、安全管理報(bào)告、技術(shù)安全報(bào)告、安全相關(guān)案例及總結(jié)等6個(gè)部分。

安全案例中的核心是安全證據(jù)。在質(zhì)量管理報(bào)告、安全管理報(bào)告、技術(shù)安全報(bào)告等部分中必須提供安全相關(guān)的證據(jù)，以證明安全相關(guān)系統(tǒng)的安全性能。評(píng)估過程實(shí)際上是由安全證據(jù)演繹安全完整性等級(jí)的過程和方法。安全評(píng)估依賴于安全證據(jù)。兩者間的關(guān)系為：安全案例包含系統(tǒng)、子系統(tǒng)或設(shè)備的有文件記錄的安全證據(jù)，而安全案例又是證據(jù)文檔的一部分。

3.2.4 安全證據(jù)

當(dāng)面臨安全管理責(zé)任的時(shí)候，一般都需要提供相關(guān)的證據(jù)。在英國，安全證據(jù)主要包括鐵路安全案例、工程安全案例和技術(shù)文檔等3個(gè)文件。

鐵路安全案例是在軌道交通運(yùn)營(yíng)之前編寫的，內(nèi)容包括：基層管理者和操作者需要在安全案例中表明他們所承擔(dān)部分的安全可被控制；多個(gè)組織合作控制風(fēng)險(xiǎn)的協(xié)同安排、安全策略，以及安全管理的安排、風(fēng)險(xiǎn)的評(píng)估、安全監(jiān)視、安全策略、確保員工能夠勝任安全相關(guān)工作等［19］。運(yùn)營(yíng)過程中必須遵守安全案例。

在發(fā)生會(huì)嚴(yán)重影響鐵路安全的變化時(shí)，需要提交工程安全案例。這些變化包括鐵路系統(tǒng)的改造、采用新的設(shè)備或舊設(shè)備被替代。工程安全文檔需要說明：能將風(fēng)險(xiǎn)控制在可接受的等級(jí)，采用了系統(tǒng)的管理安全方法，并能證明風(fēng)險(xiǎn)評(píng)估的有效性。

4 主要的安全評(píng)估方法

安全評(píng)估是指確定系統(tǒng)或產(chǎn)品是否符合規(guī)定的安全要求的分析過程。常用的評(píng)估方法有風(fēng)險(xiǎn)分析、專家評(píng)估法、致命度分析（CA）、預(yù)先危險(xiǎn)性分析（PHA）、故障類型和影響分析（FMEA）、事件樹分析（ETA）、故障樹分析（FTA）、概率安全評(píng)估法（PSA）、目標(biāo)結(jié)構(gòu)化符號(hào)（GSN）等10多種。本文討論一些主要的方法。

（1）專家評(píng)估法［20］：是安全系統(tǒng)工程領(lǐng)域最為基礎(chǔ)的方法，迄今仍廣泛應(yīng)用。在高速鐵路安全評(píng)估中，尤其是人員因素和管理體制對(duì)運(yùn)輸安全影響的分析，安全隱患難以從書面材料中識(shí)別，因此專家質(zhì)詢?cè)u(píng)估方法是必不可少的。專家評(píng)估法包含評(píng)分法、表決法和安全檢查表（SCL）法等。其中使用較為普遍的是SCL法。SCL法事先將檢查對(duì)象加以分解，將大系統(tǒng)分割成若干小的子系統(tǒng)，以提問或打分的形式，將檢查項(xiàng)目列表逐項(xiàng)檢查，以查找系統(tǒng)中各種元件、部件、設(shè)備、設(shè)施、物料、工件、操作、人員、管理和組織措施中的危險(xiǎn)及有害因素，并逐項(xiàng)進(jìn)行分析，對(duì)存在安全隱患的部分提出整改意見和措施。

（2）預(yù)先危險(xiǎn)性分析（PHA）：項(xiàng)目實(shí)施之前，包括設(shè)計(jì)、型式試驗(yàn)、生產(chǎn)或施工前，為實(shí)現(xiàn)系統(tǒng)安全而對(duì)系統(tǒng)進(jìn)行的初步或初始的分析。首先對(duì)系統(tǒng)中存在的危險(xiǎn)性類別、出現(xiàn)條件，導(dǎo)致故障（或事故）的后果進(jìn)行分析，其目的是識(shí)別系統(tǒng)中的潛在危險(xiǎn)，確定其危險(xiǎn)等級(jí)，防止危險(xiǎn)發(fā)展成故障（或事故）。預(yù)先危險(xiǎn)性分析可大體識(shí)別與系統(tǒng)有關(guān)的主要危險(xiǎn)，鑒別產(chǎn)生危險(xiǎn)的原因，預(yù)測(cè)故障（或事故）發(fā)生對(duì)人員和系統(tǒng)的影響，判別危險(xiǎn)等級(jí)，并提出消除或控制危險(xiǎn)性的對(duì)策措施［21］。該方法通常用于對(duì)潛在危險(xiǎn)了解較少和無法憑經(jīng)驗(yàn)覺察的項(xiàng)目初期階段，如用于高速鐵路可行性論證、初步設(shè)計(jì)，或設(shè)備裝置的研究和開發(fā)階段。

（3）故障類型和影響分析（FMEA）：根據(jù)鐵路系統(tǒng)可劃分為子系統(tǒng)、設(shè)備和元件等評(píng)估單元的特點(diǎn)，按實(shí)際需要將系統(tǒng)進(jìn)行分割，然后分析各自可能發(fā)生的故障類型及其產(chǎn)生的影響，以便采取相應(yīng)的對(duì)策，提高系統(tǒng)的安全可靠性。FMEA可直接導(dǎo)出故障（事故）或?qū)收希ㄊ鹿剩┯兄匾绊懙膯我还收项愋?，辨識(shí)單一設(shè)備和系統(tǒng)的故障類型，以及每種故障類型對(duì)系統(tǒng)或裝置造成的影響。評(píng)估人員通常提出提高設(shè)備可靠性的建議，進(jìn)而提出安全對(duì)策［22］。

（4）事件樹分析（ETA）［23］：采用歸納法來分析普通設(shè)備故障或過程波動(dòng)（稱為初始事件）導(dǎo)致故障（事故）發(fā)生的可能性。故障（事故）是典型設(shè)備出現(xiàn)非正常狀態(tài)或操作異常引發(fā)的結(jié)果。事件樹可提供記錄故障（事故）后果的系統(tǒng)性的方法，并能確定導(dǎo)致事件后果與初始事件的關(guān)系。事件樹分析適用于分析那些產(chǎn)生不同后果的初始事件。事件樹強(qiáng)調(diào)的是故障（事故）可能發(fā)生的初始原因以及初始事件對(duì)事件后果的影響。事件樹的每一個(gè)分支都表示一個(gè)獨(dú)立的故障（事故）序列。對(duì)一個(gè)初始事件而言，每一個(gè)獨(dú)立故障（事故）序列都清楚地界定了安全功能之間的關(guān)系。

（5）故障樹分析（FTA）：能對(duì)各種系統(tǒng)的危險(xiǎn)性進(jìn)行識(shí)別評(píng)價(jià)，既適用于定性分析，又能進(jìn)行定量分析。FTA是一種簡(jiǎn)明、形象化方法，采用系統(tǒng)工程方法研究安全問題，具有系統(tǒng)性、準(zhǔn)確性和預(yù)測(cè)性。FTA作為安全分析、評(píng)價(jià)和故障（事故）預(yù)測(cè)的一種先進(jìn)的科學(xué)方法［12］，不僅能分析出故障（事故）的直接原因，而且能進(jìn)一步提示故障（事故）的潛在原因。在工程或設(shè)備的設(shè)計(jì)階段、在故障（事故）查詢或編制新的操作方法時(shí)，都可采用FTA對(duì)系統(tǒng)的安全性做出評(píng)價(jià)。故障樹分析使用演繹法。

（6）模糊集合和灰色聚類法：因?yàn)閺?fù)雜系統(tǒng)安全的模糊性和不確定性，當(dāng)危險(xiǎn)因素分布過于離散時(shí)，由于白化函數(shù)（隸屬函數(shù)）包含的因素范圍窄，可能導(dǎo)致評(píng)價(jià)錯(cuò)誤?？刹捎玫刃甭驶疑垲惙ㄟM(jìn)行分析評(píng)價(jià)。它在灰色聚類的基礎(chǔ)上加以改進(jìn)，以等斜率方式構(gòu)造白化函數(shù)，較大地拓寬了白化函數(shù)的范圍；并用修正系數(shù)對(duì)白化函數(shù)進(jìn)行修正，保證在分級(jí)標(biāo)準(zhǔn)值處相鄰兩級(jí)白化函數(shù)相同，避免了邊界值附近的誤判現(xiàn)象，使評(píng)價(jià)結(jié)果更為合理。

（7）概率安全評(píng)估法（PSA）：是一種設(shè)計(jì)輔助及審計(jì)工具，向公眾提供風(fēng)險(xiǎn)的數(shù)值化測(cè)量。該方法標(biāo)識(shí)潛在的事件，計(jì)算其發(fā)生的概率及結(jié)果；產(chǎn)生假設(shè)性事件的頻率，給出了風(fēng)險(xiǎn)的估計(jì)；并基于配置、設(shè)備可靠性、操作人員的錯(cuò)誤概率、操作實(shí)踐、響應(yīng)以及系統(tǒng)的能力等因素，開發(fā)與風(fēng)險(xiǎn)相關(guān)的數(shù)學(xué)模型。

（8）GSN方法：是一種圖形化的論證方法，可清楚地表示任何安全論證的各個(gè)元素（需求、聲明、證據(jù)和內(nèi)容），以及元素間的關(guān)系（如論證中特殊聲明如何支持各自的需求，證據(jù)和假設(shè)的內(nèi)容如何支持聲明）。在歐洲，GSN已經(jīng)被大量安全苛求產(chǎn)業(yè)（如航空、鐵路和國防）用來表示安全案例中的安全論證［24］。

（9）Vague灰色可拓空間法：是以Vague Set為基礎(chǔ)，提出的專門針對(duì)復(fù)雜系統(tǒng)的評(píng)價(jià)方法。它既考慮了事物本身的正負(fù)因素，也考慮了與其相關(guān)的質(zhì)和量。其中定義的灰色優(yōu)度、灰色劣度、白色優(yōu)劣比、灰色優(yōu)劣比、遠(yuǎn)近效益和政策系數(shù)等，反映了系統(tǒng)的全面性以及依據(jù)策略調(diào)整的靈活性。這些特征非常適合對(duì)軌道交通系統(tǒng)進(jìn)行分析評(píng)價(jià)。

（10）基于貝葉斯網(wǎng)絡(luò)的復(fù)雜系統(tǒng)FMEA模型法：傳統(tǒng)的FMEA方法對(duì)故障間因果關(guān)系表達(dá)不明確、結(jié)構(gòu)性差，不適合復(fù)雜系統(tǒng)?；谪惾~斯網(wǎng)絡(luò)的FMEA可將復(fù)雜系統(tǒng)的故障模式、故障概率和嚴(yán)酷度統(tǒng)一到一個(gè)框架結(jié)構(gòu)中，充分利用零部件信息和部件之間的因果關(guān)系，并將這些信息與系統(tǒng)信息進(jìn)行融合，適合于研究復(fù)雜大系統(tǒng)；可利用先驗(yàn)信息完成知識(shí)的積累發(fā)揮自學(xué)習(xí)功能，減少FMEA的試驗(yàn)樣本量，節(jié)約研制費(fèi)用和縮短研制周期［25］。

此外，還有一些安全評(píng)估的方法，如安全檢查表法、原因－后果分析（CCA）、蒙特卡羅模擬法等，也用于生命周期不同階段的安全評(píng)估。這些分析方法各有特點(diǎn)和一定的適用范圍。應(yīng)用時(shí)，首先要進(jìn)行初步的、定性的綜合分析，得出定性的概念；再根據(jù)危險(xiǎn)性大小進(jìn)行詳細(xì)的分析；最后根據(jù)分析對(duì)象和要求的不同，選用適當(dāng)?shù)陌踩u(píng)估方法。

5 結(jié)語

本文綜述了國內(nèi)外軌道交通安全評(píng)估領(lǐng)域的評(píng)估理論與方法，給出了軌道交通安全評(píng)估的模式、內(nèi)容以及評(píng)估方法。我國軌道交通信號(hào)系統(tǒng)的安全評(píng)估工作，需進(jìn)一步系統(tǒng)地研究安全評(píng)估的理論和方法，建立信號(hào)系統(tǒng)安全評(píng)估的流程及規(guī)范，并開展工程實(shí)踐。在此基礎(chǔ)上，應(yīng)建立我國自己的第三方軌道交通信號(hào)系統(tǒng)安全評(píng)估機(jī)構(gòu)，并嚴(yán)格按程序和流程進(jìn)行評(píng)估。

［1］史憲銘，王華偉.基于貝葉斯網(wǎng)絡(luò)的復(fù)雜系統(tǒng)FME模型［J］.兵工自動(dòng)化，2004，23（2）：27.

［2］趙一彪，林華、賀仲雄.VGES在軌道交通安全評(píng)價(jià)中的應(yīng)用［J］.交通企業(yè)管理，2006，21（12）：74.

［3］楊晉輝，酈萌.安全苛求軟件的安全性混沌分析［J］.計(jì)算機(jī)工程與應(yīng)用，2005（21）：1.

［4］王鐵江，酈萌，徐翥.安全苛求軟件的模糊風(fēng)險(xiǎn)評(píng)價(jià)［J］，計(jì)算機(jī)應(yīng)用，2003（Z2）：39.

［5］王鐵江，酈萌.一種安全軟件安全性評(píng)估的模糊模型［J］，計(jì)算機(jī)工程，2003（6）：24.

［6］張文晰，李亞輝，王慈光.灰色災(zāi)變預(yù)測(cè)方法在城市軌道交通安全中的應(yīng)用［J］，上海鐵道科技，2006（6）：22.

［7］禹志陽.我國鐵路安全管理模式的研究［J］，安全管理，2004（3）：19.

［8］IEEE Std.1474.1—1999IEEE Standard for Communications Based Train Control （CBTC）Performance and Functional Requirements［S］.1999.

［9］RETMS/ETCS.RAMS Requirements Specification 02S1266［S］.1999.

［10］IEC 61508Functional safety of electrical/electronic/programmable electronic safety－related［S］.1998.

［11］CENELEC.Railway applications：Systematic allocation of safety integrity requirements.prR009－004［S］.1999.

［12］EN 50126Railway Applications－The Specification and Demonstration of Dependability，Reliability，Availability，Maintainability and Safety（RAMS）［S］.1999.

［13］EN 50129Railway Application：Safety related electronic system for signaling［S］.1999.

［14］EN 50128Railway applications：Communications，signaling and processing system－Software for railway control and protection systems［S］.2001.

［15］CENELEC prEN50159.1Railway applications：signaling and processing systems，part 1：safety related communication in closed transmission systems［S］.2001.

［16］EC 61508—2000Functional Safety of Electrical/electronic/programmable Electronic Safety－related Systems［S］.

［17］CENELEC.Railway applications：Systematic Allocation of Safety Integrity Requirements［R］. UIC： Brussels，1999.prR0092004.

［18］燕飛，郜春海，唐濤.軌道交通安全相關(guān)系統(tǒng)評(píng)估方法［J］.中南工業(yè)大學(xué)學(xué)報(bào)，2003（Z1）：230.

［19］Engineering Safety Management volumes1and 2 Fundamentals and Guidance［S］.London：Rail Safety and Standards Board，2007.

［20］國家安全生產(chǎn)監(jiān)督管理總局.安監(jiān)管技裝字［2003］37號(hào)，安全評(píng)價(jià)通則［S］.北京：國家安全生產(chǎn)監(jiān)督管理總局，2003.

［21］李發(fā)榮.預(yù)先危險(xiǎn)性分析在安全評(píng)價(jià)中的應(yīng)用研究［J］.勞動(dòng)保護(hù)科學(xué)技術(shù)，1999（5）：56.

［22］王小群，張興容.工業(yè)企業(yè)常用安全評(píng)價(jià)方法概述［J］.鐵道勞動(dòng)安全衛(wèi)生與環(huán)保，2003，30（2）：39.

［23］陳開巖，鄭賢斌，張永生.企業(yè)安全評(píng)價(jià)方法及軟件開發(fā)［J］.工業(yè)安全與環(huán)保，2003，29（2）：74.

［24］Son G Tong，Zhou Yan.Automatic synthesis of fault tree for cont rol systems based on system analysis［J］.Systems Engineering Theory：Methodology ·Applications，2005，14（6）：514.

［25］Pan Yanrong，Qu Changxu，Zhu Shunying.An evaluation of the road traffic safety based on the grey cluster and neural network［J］.Journal of Chongqing Jiaotong University，2005（2）：101.