孫來平 洪海珠 施 聰 虞 翊

（1.同濟(jì)大學(xué)道路與交通工程教育部重點(diǎn)實(shí)驗(yàn)室，201804，上海；2.上海軌道交通技術(shù)研究中心，201100，上海；3.上海地鐵維護(hù)保障有限公司通號(hào)分公司，200235，上海；4.同濟(jì)大學(xué)國(guó)家磁浮交通工程技術(shù)研究中心，201804，上海；5.上海電氣泰雷茲交通自動(dòng)化系統(tǒng)有限公司，200120，上?！蔚谝蛔髡撸こ處煟?/p>

1 運(yùn)行安全、運(yùn)營(yíng)安全與信息安全

安全是“在人類生產(chǎn)過程中，將系統(tǒng)的運(yùn)行狀態(tài)對(duì)人類的生命、財(cái)產(chǎn)、環(huán)境可能產(chǎn)生的損害控制在人類能夠接受水平以下的狀態(tài)?！保?］眾所周知，在軌道交通領(lǐng)域里，安全是列車控制信號(hào)系統(tǒng)的靈魂，“故障-安全”（故障導(dǎo)向安全）原則是軌道交通安全運(yùn)行不可逾越的底線［2］。當(dāng)系統(tǒng)設(shè)備發(fā)生障礙、錯(cuò)誤、失效的情況時(shí)，系統(tǒng)應(yīng)作出導(dǎo)向安全的反應(yīng)，以確保行車安全。但作為一個(gè)高效、大運(yùn)量的公共交通方式，列車控制系統(tǒng)僅滿足“故障-安全”這個(gè)底線是遠(yuǎn)遠(yuǎn)不夠的。廣義的本質(zhì)安全是指“人-機(jī)-環(huán)境-管理”這一系統(tǒng)表現(xiàn)出的整體安全性能［3］。不可否認(rèn)，經(jīng)過長(zhǎng)期的研究和不懈的經(jīng)驗(yàn)積累，無論在軌道交通的安全標(biāo)準(zhǔn)里，還是在日常工作中，軌道交通信號(hào)專業(yè)的研究人員已對(duì)信號(hào)系統(tǒng)的各個(gè)子系統(tǒng)的安全行為作了極為詳盡的研究，盡一切可能確保系統(tǒng)在故障情況下導(dǎo)向安全輸出。然而，對(duì)于如何引導(dǎo)、輔助和提高整個(gè)城市軌道交通系統(tǒng)的運(yùn)營(yíng)安全，以及如何全局把控整體運(yùn)營(yíng)和運(yùn)行安全，列車控制信號(hào)系統(tǒng)還有很大的提升空間，與之相關(guān)的安全技術(shù)研究有待進(jìn)一步開展。本文結(jié)合安全及廣義本質(zhì)安全的定義，將軌道交通安全劃分為3大類型：運(yùn)行安全、運(yùn)營(yíng)安全和信息安全，其基本特征如表1所示。

表1 軌道交通運(yùn)行安全、運(yùn)營(yíng)安全和信息安全的基本特征

1.1 運(yùn)行安全及其表現(xiàn)形式

系統(tǒng)運(yùn)行是指系統(tǒng)應(yīng)執(zhí)行的工作以及執(zhí)行該工作所需的條件［4］。在軌道交通中，運(yùn)行安全集中體現(xiàn)在行車安全上。信號(hào)系統(tǒng)的安全設(shè)計(jì)遵循“故障-安全”原則。系統(tǒng)對(duì)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)計(jì)算，一旦計(jì)算結(jié)果與預(yù)期的安全狀態(tài)不吻合，或者2套/多套并行處理器的仲裁結(jié)果不一致時(shí)，系統(tǒng)將立即作出反應(yīng)，將系統(tǒng)導(dǎo)向安全一側(cè)，最大限度確保安全停車。典型的事例包括列車緊急制動(dòng)（EB）模式不可用，區(qū)域封鎖/軌道關(guān)閉、停車點(diǎn)/進(jìn)路移動(dòng)授權(quán)回撤等。

1.2 運(yùn)營(yíng)安全及其表現(xiàn)形式

運(yùn)營(yíng)安全集中體現(xiàn)在安全管理規(guī)定的制定和執(zhí)行上，特別在列車自動(dòng)防護(hù)失效或者信號(hào)設(shè)備故障的情形下，控制中心行車調(diào)度、列車駕駛員、車站值班人員等相關(guān)運(yùn)營(yíng)人員必須嚴(yán)格依照相應(yīng)的管理規(guī)定進(jìn)行作業(yè)，這是運(yùn)營(yíng)安全的基石［4］。

由此可見，影響運(yùn)營(yíng)安全最主要因素是人。當(dāng)突發(fā)行車事故時(shí)，調(diào)度員必須能夠按照規(guī)定向有關(guān)部門及上級(jí)報(bào)告，迅速采取救援措施，及時(shí)恢復(fù)列車正常運(yùn)行最大限度減小對(duì)運(yùn)營(yíng)造成的影響。軌道交通列車駕駛員是列車安全正點(diǎn)運(yùn)行的另一個(gè)重要保障，他們必須熟知駕車行駛的相關(guān)法律法規(guī)以及駕駛知識(shí)，具備熟練駕駛技能，具備良好的服務(wù)意識(shí)；更為重要的是，他們必須具備應(yīng)變能力，能及時(shí)應(yīng)變，保護(hù)車上人員安全。除了線路本身的運(yùn)營(yíng)與維護(hù)外，運(yùn)營(yíng)安全也與乘客息息相關(guān)，大客流下的換乘、導(dǎo)客、限流、疏散，以及與其它交通系統(tǒng)（如道路交通等）的聯(lián)動(dòng)等都與乘客的公共意識(shí)和公共素養(yǎng)直接相關(guān)，如何正確引導(dǎo)乘客，減少因乘客導(dǎo)致的運(yùn)營(yíng)安全事故，也是運(yùn)營(yíng)安全管理的焦點(diǎn)之一。

1.3 信息安全及其表現(xiàn)形式

信息安全集中體現(xiàn)在數(shù)據(jù)的完整和有效，即須保證信息的保密性、真實(shí)性、完整性方面，以及將這些信息作為輸入的系統(tǒng)的接口安全性［5］。信息安全可分為兩方面：狹義的信息安全是建立在以密碼論為基礎(chǔ)的計(jì)算機(jī)安全領(lǐng)域；廣義的信息安全是一門將管理、技術(shù)、法律等問題相結(jié)合的綜合性學(xué)科。當(dāng)今的城市軌道交通中有線和無線通信的可靠性和安全性已經(jīng)是列車全自動(dòng)運(yùn)行最重要的基本條件之一［6］。例如，對(duì)于基于通信的列車控制（CBTC）系統(tǒng)，如何防止通信延時(shí)、報(bào)文丟失、通信中斷、網(wǎng)絡(luò)風(fēng)暴、黑客入侵（截取、記錄、監(jiān)聽、篡改甚至接管）等安全［5］，是城市軌道交通系統(tǒng)信息安全防護(hù)工作的重點(diǎn)。

1.4 影響運(yùn)行安全、運(yùn)營(yíng)安全和信息安全的因素

回顧軌道交通的運(yùn)營(yíng)歷程，重大事故的發(fā)生往往同時(shí)伴隨著設(shè)備的故障、人員的不安全行為、相關(guān)環(huán)境的負(fù)反饋。在研究了全球近30年的軌道交通安全事故及原因［7］后，可以看到事故主要原因集中在以下幾個(gè)方面：①人為過失、管理不善；② 設(shè)備故障、車輛本身的原因；③不可抗拒力（颶風(fēng)、海嘯、泥石流等）；④地基塌陷、線路偏移、城市建設(shè)影響、停電等。其中，人為過失、管理不善和設(shè)備故障所導(dǎo)致的事故占整個(gè)事故總量的80%以上。這一驚人的高比例反映出一個(gè)事實(shí)：城市軌道交通列車控制系統(tǒng)的安全性仍存在較大的局限性，安全更多的體現(xiàn)在各個(gè)“點(diǎn)”（設(shè)備故障、人員誤操作等）上，而沒有將這些“點(diǎn)”聯(lián)結(jié)成一個(gè)“面”（設(shè)備-人-環(huán)境-管理）。所以，城市軌道交通列車控制系統(tǒng)安全防范的邊界有待進(jìn)一步擴(kuò)展和完善。

2 運(yùn)行安全、運(yùn)營(yíng)安全、信息安全的矛盾現(xiàn)象與根源

為保證整體的安全性，首先需要了解事故的發(fā)生機(jī)理，理清整個(gè)過程中所有參與系統(tǒng)活動(dòng)中的人、設(shè)備、環(huán)境等因素是如何進(jìn)入危險(xiǎn)狀態(tài)的，從而總結(jié)出運(yùn)行安全、運(yùn)營(yíng)安全和信息安全的矛盾現(xiàn)象及其根源。

2.1 安全性研究的重要問題

從1930年開始，交通運(yùn)輸、航空、航天、采礦、冶金、醫(yī)療急救、消防等行業(yè)安全領(lǐng)域的國(guó)內(nèi)外學(xué)者和專家們?cè)趲资甑臅r(shí)間里相繼提出了眾多各種場(chǎng)景和行業(yè)的安全事故模型，如 Adams模型［3，8］、Vird 模型［8］、奶酪模型［3］、多線性時(shí)間序列模型（MES）［8］、基于系統(tǒng)論的 STAMP［9，11］模型、Heinrich 事故致因模型［9，11］等。通過研究和總結(jié)這些事故模型，分析導(dǎo)致危險(xiǎn)的整個(gè)過程，可找出導(dǎo)致危險(xiǎn)的矛盾、原因和風(fēng)險(xiǎn)，從而為設(shè)計(jì)更具針對(duì)性的安全系統(tǒng)、制定合理的措施與應(yīng)急預(yù)案提供支撐。

綜合各類安全模型研究，可知事故與事故誘發(fā)因子（或事故致因）之間的關(guān)系為：事故的誘發(fā)因子是離散量而非線性數(shù)據(jù)；事故的發(fā)生是其誘發(fā)因子共同作用的結(jié)果，其中誘發(fā)因子間不乏相互關(guān)系。據(jù)此，可以把事故以有限非空集合的方式表示如下：

Sys-F（System Failure）——設(shè)備故障/系統(tǒng)失效；

H-E（Human Error）——人員操作失誤；

Unsafe-E（Unsafe Environment）——必備環(huán)境的缺失/周邊環(huán)境的刺激;

SafeCtrl-E（Safe Control Error）——安全管理流程的漏洞/處置預(yù)案的缺失。

從安全研究的角度分析，式（1）涵蓋了3個(gè)重要問題：

（1）針對(duì)每一個(gè)事故誘發(fā)因子，各個(gè)學(xué)科/專業(yè)領(lǐng)域是否進(jìn)行了詳細(xì)的研究和分析。

（2）各誘發(fā)因子一定是集中出現(xiàn)才會(huì)導(dǎo)致事故發(fā)生，還是存在著先后/因果/誘導(dǎo)、互斥/抵觸/限制等關(guān)系，即運(yùn)行安全、運(yùn)營(yíng)安全和信息安全是否存在著內(nèi)在的聯(lián)系。更為關(guān)鍵的是，一種類型的安全行為是否會(huì)由于處置的不恰當(dāng)，而將危險(xiǎn)致因轉(zhuǎn)嫁給其它相關(guān)領(lǐng)域，從而降低整體安全。

（3）采取怎樣的手段能夠最大限度地同時(shí)抑制事故誘發(fā)因子的出現(xiàn)，以達(dá)到整體安全。

2.2 運(yùn)行安全、運(yùn)營(yíng)安全、信息安全的矛盾

從相關(guān)領(lǐng)域的技術(shù)論文、科學(xué)報(bào)告，特別是事故分析報(bào)告中可以看到存在這樣一種現(xiàn)象：安全風(fēng)險(xiǎn)轉(zhuǎn)嫁，即：參與系統(tǒng)運(yùn)營(yíng)安全的某個(gè)專業(yè)領(lǐng)域在處理安全風(fēng)險(xiǎn)時(shí)，可能會(huì)直接或間接地將安全風(fēng)險(xiǎn)責(zé)任輸出給其它安全相關(guān)的學(xué)科/專業(yè)。軌道交通幾種比較常見和典型的風(fēng)險(xiǎn)轉(zhuǎn)嫁舉例見表2。

表2中安全風(fēng)險(xiǎn)的轉(zhuǎn)移凸顯了矛盾的現(xiàn)象：安全領(lǐng)域內(nèi)，各個(gè)學(xué)科的研究人員將設(shè)計(jì)和實(shí)現(xiàn)本學(xué)科或領(lǐng)域內(nèi)的系統(tǒng)安全行為作為工作的重點(diǎn)，而未考慮其安全行為可能會(huì)對(duì)后續(xù)或周邊的學(xué)科、專業(yè)、操作和管理帶來困難，甚至引入新的安全風(fēng)險(xiǎn)。顯然，這樣的安全性遠(yuǎn)遠(yuǎn)無法達(dá)到安全完整度等級(jí)4級(jí)（SIL4）的要求。

表2 運(yùn)行安全、運(yùn)營(yíng)安全和信息安全之間的風(fēng)險(xiǎn)轉(zhuǎn)嫁示例

3 運(yùn)行安全、運(yùn)營(yíng)安全、信息安全的統(tǒng)一

運(yùn)行安全、運(yùn)營(yíng)安全和信息安全的統(tǒng)一符合人-機(jī)-環(huán)境-管理的本質(zhì)安全的定義。所以，將運(yùn)行安全、運(yùn)營(yíng)安全和信息安全最終統(tǒng)一在系統(tǒng)整體安全這一終極目標(biāo)上，實(shí)現(xiàn)土建、信號(hào)、運(yùn)營(yíng)管理、車輛、供電等各個(gè)專業(yè)/部門的聯(lián)動(dòng)，是降低城市軌道交通整體安全風(fēng)險(xiǎn)、給出優(yōu)化安全輸出的理想途徑。舉例而言，安全、節(jié)能、高度自動(dòng)化的無人駕駛軌道交通系統(tǒng)是目前城市軌道交通發(fā)展的趨勢(shì)之一，而人-機(jī)-環(huán)境-管理的整體安全是實(shí)現(xiàn)全自動(dòng)無人駕駛的基石。如無人駕駛列車因故障迫停區(qū)間場(chǎng)景下的列車救援、乘客逃生、后續(xù)運(yùn)營(yíng)恢復(fù)、與其他交通系統(tǒng)信息交互與聯(lián)動(dòng)等，都是運(yùn)行安全、運(yùn)營(yíng)安全和信息安全三者統(tǒng)一的必要性的力證。

3.1 系統(tǒng)整體安全性的影響因素

基于式（1）中提到的第三個(gè)問題，綜合運(yùn)行安全性、運(yùn)營(yíng)安全性和信息安全性等多個(gè)維度上的技術(shù)和機(jī)理，對(duì)軌道交通列車控制系統(tǒng)提出整體運(yùn)營(yíng)安全需求，讓系統(tǒng)給出一個(gè)優(yōu)化的安全輸出，更加“智慧”地決策安全，成為了亟待解決的問題。系統(tǒng)的整體安全性影響因素可以如圖1所示［2］。

圖1 軌道交通系統(tǒng)整體安全性的影響因素

圖1摘自鐵路歐洲標(biāo)準(zhǔn)EN 50126《可靠性、可用性、可維護(hù)性和安全性標(biāo)準(zhǔn)》。由圖1可知，安全性的影響除了受制于系統(tǒng)條件外，還與運(yùn)營(yíng)條件、維護(hù)條件息息相關(guān)，各個(gè)分支的子節(jié)點(diǎn)均同時(shí)對(duì)最終的安全性和可用性產(chǎn)生影響［2］，具體表現(xiàn)為：

（1）安全是整體的安全，受所有條件影響，不存在部分的安全，也不存在不同條件（系統(tǒng)、運(yùn)營(yíng)、維護(hù)）下的安全；

（2）系統(tǒng)條件和運(yùn)營(yíng)條件之間存在橫向的聯(lián)系（外部干擾），所以孤立地針對(duì)不同條件展開研究多少存在盲區(qū)；

（3）人為錯(cuò)誤、運(yùn)輸物流、故障診斷等穿插在各個(gè)應(yīng)用條件中，而這些因素背后反映的是運(yùn)營(yíng)管理的水平［13］。

所以，通過上述分析可知，安全是人-機(jī)-環(huán)境-管理的整體安全。在運(yùn)行、運(yùn)營(yíng)和信息等不同范疇內(nèi)的安全，最終必將統(tǒng)一到整個(gè)系統(tǒng)的安全上來。

3.2 系統(tǒng)優(yōu)化安全解

從軌道交通系統(tǒng)設(shè)計(jì)伊始，就應(yīng)考慮整體安全的概念。具體而言，系統(tǒng)的優(yōu)化安全解可以從以下幾個(gè)方面開展：

（1）以運(yùn)營(yíng)場(chǎng)景為導(dǎo)向：信號(hào)、車輛、網(wǎng)絡(luò)、維護(hù)管理等的系統(tǒng)功能性設(shè)計(jì)應(yīng)直接面向運(yùn)營(yíng)場(chǎng)景，在充分理解運(yùn)營(yíng)場(chǎng)景要求的情況下給出設(shè)計(jì)方案，而非以實(shí)現(xiàn)功能為導(dǎo)向的方式進(jìn)行。

（2）新技術(shù)、新手段：為軌道交通信號(hào)系統(tǒng)注入新技術(shù)、新理念,借鑒、復(fù)用、提煉其它領(lǐng)域先進(jìn)的系統(tǒng)運(yùn)行方案，減少或取代傳統(tǒng)人工操作、運(yùn)營(yíng)維護(hù)等，降低安全風(fēng)險(xiǎn)。例如，借鑒云平臺(tái)的安全實(shí)時(shí)控制特性、分布式計(jì)算和數(shù)據(jù)存儲(chǔ)、集群替代冗余、實(shí)時(shí)故障容錯(cuò)和安全數(shù)據(jù)回滾技術(shù)等；再如，大數(shù)據(jù)已經(jīng)引入城市軌道交通領(lǐng)域，借鑒引入大數(shù)據(jù)的信息安全保障措施，利用大數(shù)據(jù)進(jìn)行趨勢(shì)預(yù)測(cè)，進(jìn)一步提升預(yù)防性維修維護(hù)水平等，也是研究進(jìn)一步深入的可選方向之一。

（3）聯(lián)營(yíng)、聯(lián)動(dòng)：信號(hào)、運(yùn)營(yíng)管理、車輛、供電、調(diào)度等各個(gè)崗位在設(shè)計(jì)聯(lián)絡(luò)階段便可制定詳盡的聯(lián)合調(diào)試計(jì)劃、階段性系統(tǒng)演練計(jì)劃等，而無需等到最終的系統(tǒng)交付、出廠驗(yàn)收才介入系統(tǒng)的使用。例如，軌道交通運(yùn)營(yíng)人員可以參與到開發(fā)或驗(yàn)證階段的實(shí)驗(yàn)室測(cè)試工作，從而對(duì)系統(tǒng)有較為深入的認(rèn)知，可降低人為誤操作。

（4）更具操作性的緊急預(yù)案：在系統(tǒng)研發(fā)過程中，開發(fā)商和軌道交通運(yùn)營(yíng)方可進(jìn)行系統(tǒng)失效評(píng)估和對(duì)運(yùn)營(yíng)影響的分析，制定出有針對(duì)性和操作性強(qiáng)的故障恢復(fù)預(yù)案。從而在設(shè)備發(fā)生故障時(shí)，確保人工控制前提下的運(yùn)營(yíng)安全；在運(yùn)行系統(tǒng)交付時(shí)，相應(yīng)的運(yùn)營(yíng)方案和故障處置方案也可相應(yīng)完成。

4 結(jié)語

本文從安全概念出發(fā)，對(duì)運(yùn)行安全、運(yùn)營(yíng)安全和信息安全的表現(xiàn)形式及其之間存在的矛盾進(jìn)行了分析，提出了解決方法的設(shè)想，為進(jìn)一步優(yōu)化和提高系統(tǒng)的整體安全性研究提供參考。無論是目前的CBTC和聯(lián)鎖后備模式協(xié)同，還是方興未艾的全自動(dòng)無人駕駛，全自動(dòng)化、智能處理、高度集中控制是其技術(shù)核心和優(yōu)勢(shì)，同時(shí)也對(duì)安全控制中的設(shè)備、人員、運(yùn)行環(huán)境間更加緊密有機(jī)地結(jié)合提出了更高的要求。所以，運(yùn)行安全、運(yùn)營(yíng)安全和信息安全的統(tǒng)一變得更為重要。

如何在無人值守的條件下將運(yùn)行、運(yùn)營(yíng)、通信（信息）等重要功能協(xié)同工作，以運(yùn)營(yíng)場(chǎng)景為綱，實(shí)現(xiàn)專業(yè)接口協(xié)同、人機(jī)接口協(xié)同，為城市軌道交通提供更為靈活的操作模式，同時(shí)避免人為誤操作所引起的風(fēng)險(xiǎn)，更加“智慧”地給出安全輸出，使列車運(yùn)行更安全，是業(yè)內(nèi)需要不斷深入研究的課題。