回顾轨道交通的实际运营历程，重大事故的发生往往同时伴随着设备的故障、人员的不安全行为、相关环境的负反馈。在研究了近30年全球的轨道交通安全事故及原因分析后，可以看到事故主要原因集中在以下几个方面：a)人为过失、管理不善；b)设备故障、车辆本身的原因；c)不可抗拒力（飓风、海啸、泥石流等）；d)地基塌陷、线路偏移、城市建设、停电等。其中，人为过失、管理不善和设备故障所导致的事故占整个事故总量的80%以上。这一惊人的高比例反映出一个事实：城轨列控系统的安全性仍存在较大的局限性，安全更多的体现在各个“点”而没有将这些“点”（设备故障、人员误操作等）联结成一个“面”（设备-人-环境-管理）。所以，城轨列控系统安全防范的边界有待进一步扩展和完善。

2 运行、运营、信息安全的矛盾现象与根源

2.1 安全性研究的重要问题

除交通运输外，纵览航空航天、采矿、冶金、医疗急救、消防等行业，从1930年开始，安全领域的国内外学者和专家们在几十年的时间里相继提出了众多各种场景和行业的安全事故模型，例如：Adams模型、Vird模型、奶酪模型、多线性时间序列模型（MES）、基于系统论的STAMP、Heinrich事故致因模型等等。对事故模型研究的意义在于：在对这些事故模型的研究和总结的基础上，将整个导致危险的过程进行分析，可以找出导致危险的矛盾、原因和风险，从而为更具针对性的安全系统设计、制定合理的措施与应急预案提供支撑。

如何表达事故与事故诱发因子（或事故致因）之间的关系？综合各类安全模型可以看到，事故的诱发因子是离散量而非线性数据；事故的发生是其诱发因子共同作用的结果，其中诱发因子间不乏相互关系。据此，我们可以把事故以有限非空集合的方式表示如下：

事故（Accident） =  { Sys-F，H-E，Unsafe-E，SafeCtrl-E }   （1）

其中：

• Sys-F (System Failure) = 设备故障/系统失效；

• H-E （Human Error） =人员操作失误；

• Unsafe-E (Unsafe Environment) = 必备环境的缺失/周边环境的刺激;

• SafeCtrl-E （SafeControl Error） =安全管理流程的漏洞/处置预案的缺失。

  
  

从安全研究的角度，公式（1）涵盖了三个重要的问题：

1.针对每一个事故诱发因子，各个学科/专业领域是否进行了详细的研究和分析？

2.诱发因子之间一定是集中出现才会导致事故，还是存在着先后/因果/诱导、互斥/抵触/限制等关系 – 即运行安全、运营安全和信息安全是否存在着内在的联系？更为关键的是，一种类型的安全行为是否由于处置的不恰当，将危险致因转嫁给了其它相关领域，从而降低了整体安全？

3.进而，能够采取怎样的手段最大限度地同时抑制事故诱发因子的出现 – 以达到整体安全的统一？

2.2 运行安全、运营安全、信息安全的矛盾

从相关领域的技术论文、科学报告特别是事故分析报告中可以看到存在这样一种现象：安全风险转嫁——即参与系统运营安全的某个专业领域在处理安全风险时可能会直接或间接地将安全风险责任输出给其它安全相关的学科/专业。几种比较常见和典型的风险转嫁举例参见表2。

表2 示例：运行安全、运营安全和信息安全之间的风险转嫁

表2中安全风险的转移凸显了矛盾的现象：安全领域内，各个学科的研究人员将设计和实现本学科或领域内的系统安全行为作为工作的重点，而未考虑其安全行为可能会对后续或周边的学科、专业、操作和管理带来困难，甚至引入新的安全风险。显然，这样的安全性远远无法达到安全完善度等级4（SIL4）的要求。

3 运行安全、运营安全、信息安全的统一

运行安全、运营安全和信息安全符合人—机—环境—管理的本质安全的定义。所以，将运行、运营和信息安全最终统一在系统整体安全的终极目标上，实现土建、信号、运营管理、车辆、供电等各个部门的联合联动，是降低城市轨道交通整体安全风险、给出优化安全输出的理想途径。举例而言，安全、节能、高度自动化的无人驾驶轨交系统是目前城市轨道交通发展的趋势之一，而人—机—环境—管理的整体安全是实现全自动无人驾驶的基石，如无人驾驶列车因故障迫停区间场景下的列车救援、乘客逃生、后续运营恢复、与其他交通系统信息交互与联动等都是运行安全、运营安全和信息安全统一必要性的力证。

3.1 系统整体安全性的影响因素

既然通过分析发现了矛盾的存在，在事故诱发公式中提到的第三个问题—综合运行安全性、营运安全性和信息安全性等多个维度上的技术和机理，对列控系统提出整体运营安全需求，让系统给出一个优化的安全输出，更加“智慧”地决策安全—成为了摆在我们面前的一个亟待解决的问题。系统的整体安全性影响因素，以及安全性和可用性、可靠性、可维护性之间的关系可以用下图表示：

图1 安全性的影响因素

图1摘自铁路欧洲标准EN50126-可靠性、可用性、可维护性和安全性标准。可以清晰地看见安全性的影响除了受制于系统条件外，还与运营条件，维护条件息息相关，各个分支的子节点均同时对最终的安全性和可用性产生影响。

1.安全是整体的安全，受所有条件影响，不存在部分的安全，不存在不同条件（系统，运营，维护）下的安全；

2.系统条件和运营条件之间存在横向的联系（外部干扰），所以孤立的针对不同条件展开研究多少存在盲区；

3.人为错误、运输物流、故障诊断等穿插在各个应用条件中，而这些因素背后反映的是运营管理的水平。

所以，通过上述分析，安全是人—机—环境—管理的整体安全，它虽穿插在运行、运营和信息等不同范畴之中，但最终必将统一到整个系统的安全上来。

3.2 系统优化安全解

综上分析，从系统设计伊始就应考虑整体安全的概念，具体而言，系统的优化安全解可以从以下几个方面开展：

1.以运营场景为导向：信号、车辆、网络、维护管理等的系统功能性设计应直接面向运营场景，在充分理解运营场景要求的情况下给出设计方案，而非以实现功能为导向的方式进行；

2.新技术、新手段：为轨道交通信号系统注入新技术、新理念, 借鉴、复用、提炼其它领域先进的系统运行方案来减少或取代传统人工操作、运营维护等，降低安全风险。例如借鉴云平台的安全实时控制特性、分布式计算和数据存储、集群替代冗余、实时故障容错和安全数据回滚技术等等；再如，大数据已经引入城市轨道交通领域，借鉴引入大数据的信息安全保障措施，利用大数据进行趋势预测，进一步提升预防性维修维护水平等，也是研究进一步深入的可选方向之一。

3.联营、联动：信号、运营管理、车辆、供电、调度等各个岗位在设计联络阶段便可制定详尽的联合调试计划、阶段性系统演练计划等，而无需等到最终的系统交付、出厂验收才介入系统的使用；例如地铁营运人员可以参与到开发或验证阶段的实验室测试工作，从而对系统有较为深入的认知，降低误操作；

4.更具操作性的紧急预案：在系统研发过程中，开发商和地铁运营方即可进行系统失效评估和对运营影响的分析，制定出有针对性和操作性强的故障恢复预案从而在设备发生故障时，确保人工控制前提下的运营安全；在运行系统交付时，相应的运营方案和故障处置方案也可相应完成。

4 结语

目前，城市轨道交通大的发展趋势之一是全自动无人驾驶（FAO /UTO），而无论是目前的CBTC和联锁后备模式协同，还是方兴未艾的全自动无人驾驶，全自动化、智能处理、高度集中控制是其技术核心和优势，同时也对安全控制中的设备、人员、运行环境更加紧密有机地结合提出了更高的要求。所以，运行安全、运营安全和信息安全的统一变得更为重要：如何在无人值守的条件下将运行、运营、通信（信息）等重要功能协同工作，以运营场景为纲，实现专业接口协同、人机接口协同，为地铁交通提供更为灵活的操作模式，同时避免人为误操作所引入的风险，更加“智慧”地给出安全输出，使列车运行更安全，是我们需要不断深入研究的课题。

孙来平    上海电气泰雷兹交通自动化系统有限公司

洪海珠    上海轨道交通技术研究中心

施聪     上海地铁维护保障有限公司通号分公司

虞翊     同济大学国家磁浮交通工程技术研究中心