安治业，戴贤春，刘敬辉，郭 湛

（1. 中国铁路总公司 武汉安全监督管理特派员办事处，湖北 武汉 430071；2. 中国铁道科学研究院铁道科学技术研究发展中心，北京 100081）

目前，安全风险控制技术在世界铁路系统运营管理中占有越来越重要的地位，其主要思想是结合铁路系统运营的实际，分析确定系统高风险区域，从而将有限的可利用资源应用于控制该类风险，以寻求最低的事故率、最少的损失和最优的安全投资效益[1]。高速铁路是关系到国计民生的重大工程。目前我国高速铁路已经进入大规模建设阶段，研究高速铁路运营安全风险控制技术，在相对完善的安全保障机制的基础上保证系统安全风险最小化，是我国高速铁路可持续发展的必要手段。

1 高速铁路运营安全风险控制基本流程

高速铁路运营安全风险控制技术是以安全系统工程、安全人机工程、风险控制等理论为基础，针对高速铁路系统全局，运用科学和工程技术手段，辨识系统内部及各子系统间接口存在的危害，依据风险矩阵，采用定性或定量的分析方法确定系统的高风险点，通过采取相应的安全措施，从而将整个系统的风险控制在合理、可接受的范围内[2-3]。

高速铁路运营安全风险控制的基本流程主要分为4个步骤，即危害事件识别、风险分析及评估、风险处理和风险监测及管理，如图1所示。

1.1 危害事件识别

危害事件识别是在综合考虑高速铁路系统的基础设施和移动设备的安全影响因素、各子系统间的接口、人及外部环境对系统的作用等因素的基础上，识别出系统的所有危害事件。

高速铁路系统是庞大、复杂的高度集成系统，为了确保危害事件识别的有效性和完整性，可以根据各组成子系统的结构功能将高速铁路系统划分为动车组、线路工程、牵引供电、运营调度、通信信号、客运服务及其他子系统，从而分别识别出各子系统的危害事件。此外，由于各子系统在结构和功能上自成体系、高度集成，因而识别各子系统间接口存在的危害事件在高速铁路运营安全风险分析中不容忽视。

1.2 风险分析及评估

风险分析及评估是考虑高速铁路系统已有的安全控制措施，结合风险矩阵对所识别出的危害事件进行风险水平评估的过程。

图1 高速铁路运营安全风险控制的基本流程

风险 R 的定义为

式中：F 为危害事件发生的频率；S 为危害事件产生的后果。

风险分析及评估分为定量和定性2种方法，对于风险水平较低的系统或区域，通常采用定性风险分析方法，以节约资源和时间；定量分析能够提供更科学、更精确的分析结果，通常用于风险水平较高的系统或区域，定量风险分析通常将故障树和事件树2种分析方法相结合。

1.3 风险处理

风险处理是对识别出的高风险的危害事件提出合理、可行的风险降低措施，使其风险水平达到可以接受的水平。风险处理措施根据原理不同分为成因控制措施和后果控制措施。设置风险控制措施应当按照“消除、预防、降低、减轻”的顺序或优先级来配置。

1.4 风险监测及管理

风险监测及管理是将前期所有的工作形成可追溯性文档记录，供后期查阅，以便运营管理部门对系统风险进行持续的监测和管理；任何对高速铁路系统所做的升级或变更都需要进行重新的风险评估和管理，以确保整个高速铁路系统处于可接受的风险水平范围之内。

危害记录表是安全证据之一，所有的危害识别和风险分析的工作结果都将记录在高速铁路运营安全危害记录表中。危害记录表可以追踪危害识别、风险分析、风险降低等活动和控制措施，并且对于以后任何降低风险的方法和措施起参考作用，危害记录表将持续更新。

2 高速铁路风险矩阵

风险矩阵是高速铁路系统运营安全综合评估的标准，体现了风险的可能性与严重程度的关系，是用于衡量危害事件安全风险是否可以接受的尺度。结合我国高速铁路运营安全综合评估的具体情况，其风险矩阵应与我国铁路相关的标准规范具有一致性[4]，在确定风险矩阵时应考虑以下特点。

（1）风险矩阵比例。该比例能够覆盖不同危害事件发生的频率范围(从频繁的到不可能的)；能够覆盖不同危害事件产生的后果(从轻伤事故、重伤事故到特别重大事故)；在同一个风险矩阵中，应该确保不同级别的风险区域能够平均分布，包括不可接受风险区域、可接受风险区域，以及它们之间的不期望风险区域。

（2）风险矩阵的范围。该范围参考相关铁路交通事故法律、法规，所建立的风险矩阵应能覆盖涉及安全的各个方面，如人员轻伤、重伤、死亡等。

（3）后果等级。其定义参考国家及铁路相关法规、规章和标准，包括《 铁路交通事故应急救援和调查处理条例 》、《 铁路交通事故调查处理规则》等。后果等级定义及描述如表1所示。

表1 后果等级定义及描述

（4）频率等级。其定义能够覆盖不同事件发生的频率，从“频繁的”(每年多于100次)到“不可能的”(少于100年发生1次)，每个频率等级相差1个量级(相差10倍)。频率等级定义及描述如表2所示。

表2 频率等级定义及描述

（5）风险水平。参照国家标准《 轨道交通 可靠性、可用性、可维修性和安全性规范及示例 》(GB/T21562-2008)中对风险水平的要求，风险水平定义如表3所示。

表3 高速铁路风险水平定义

综合考虑上述因素，我国高速铁路风险矩阵的示例如表4所示。

需要注意的是，上述风险矩阵仅为研究建议，在实际应用中，应当结合高速铁路各条线路的具体情况，由相关铁路局和管理部门进行修正和认可。

3 数据来源

数据收集是高速铁路系统运营安全综合评估的基础，所收集的数据资料应满足全面、客观、具体的要求。在评估过程中，应综合参考类似系统的事故/故障记录、设备供应商提供的应用历史数据、车载设备监测数据、地面设备监测数据、综合检测车检测数据、运营单位记录的事故/故障数据和自然灾害监测数据等，采用合理的分析方法综合评估高速铁路系统运营的安全性。

（1）国外类比数据。类比证论是一种通过已知事物(或事例)与跟它有某些相同或相似特点的事物(或事例)进行比较类推从而证明论点的论证方法。我国高速铁路运营历史数据有限，收集国外高速铁路相关故障、事故历史数据进行类比，对其相关安全风险进行充分评估是国际铁路系统常用的、有效的方法。

（2）国内类比数据。我国铁路运营历史长久，特别是1997年全路实施大面积提速以来，我国铁路积累了大量的运营历史数据，参考这些历史数据进行类比分析和评估十分必要。其他铁路系统采用的相同或相似子系统或部件的故障、事故数据是进行高速铁路各子系统可靠性、安全性评估的重要信息来源，特别是对于类似地震、洪水等低频率而后果可能十分严重的危害事件的评估，应充分参考国内其他高速铁路、甚至提速线路的历史数据资料，并且结合高速铁路系统的安全技术措施进行安全风险评估。

（3）设备供应商提供的应用历史数据。高速铁路系统运营安全风险分析是将整体系统进行层层分解和论证的过程，子系统和各设备/部件的安全是保证系统安全的前提。因此，收集设备及子系统的应用历史数据，包括平均故障时间间隔，平均修复时间间隔，故障、事故统计资料等信息是系统可靠性、可用性评估的基础，也是高速铁路系统运营安全风险分析的必要途径。

（4）各类检测、监控数据。我国高速铁路系统采用综合安全监控体系对系统状态进行实时监控和检测，包括基础设施、高速动车组状态检测及监控，以及自然灾害防护及监测预警等内容，对其记录的各种报警、故障等信息及未遂事件信息进行综合分析，是运营安全风险分析及控制的重要依据。

（5）运营单位事故、故障数据。运营单位记录的数据不仅包括各类由于设备自身因素导致的故障及事故数据、各类未遂事故数据，还包括由于人为因素导致的故障、事故统计数据。大量事故资料表明，90% 以上的事故是由人为因素导致的。根据《 轨道交通 可靠性、可用性、可维修性和安全性规范及示例 》(GB/T21562-2008)对系统可靠性、可用性、可维修性和安全性的影响因素的描述，人为因素对系统失效、运营和维护过程都具有重要的影响。因此，人为因素导致故障、事故的统计数据不仅可以为危害事件发生频率和后果提供参考依据，在安全风险控制措施的设置中，员工的素质要求、人员培训及安全文化建设等都是通常需要考虑的要素。

（6）自然灾害监测及记录数据。影响高速铁路运营安全的自然灾害的类型可能包括强风、洪水、地震、积雪及异物侵限等。自然灾害事故与其他系统失效或故障相比，其发生频率相对较低，但是一旦发生其后果将十分严重。因此，高速铁路沿线地区自然灾害的历年监测及记录数据是评估其发生频率的重要参考依据，对铁路系统所产生的影响则是对危害事故后果评估的重要参考依据。

4 运营安全风险分析及控制模型

高速铁路运营安全风险分析及控制可以采用领结模型，如图2所示。模型中间部分为所分析的目标危害事件，左边为导致该危害事件发生的成因及针对成因采取的控制措施，右边为该危害事件发生可能导致的后果及针对后果采取的控制措施，将上述因素以图形表示，类似“领结”的形状，因而称之为领结模型。

4.1 运营安全风险分析

基于领结模型进行高速铁路运营安全风险分析，在领结模型中每一个成因到每一种后果为1个事故序列，从而得到所有的事故序列。例如，在图2中从“成因 n—危害事件—后果1”为1个事故序列，可以采用故障树分析法(Fault Tree Analysis，FTA)分析危害事件发生的成因，采用事件树分析法(Event Tree Analysis，ETA)分析危害事件产生的后果，从而得到该事故序列的频率。根据所有事故序列的频率可以得到危害事件的频率，结合风险矩阵可以得到危害事件的风险水平。

4.2 风险控制及改进

风险评估的目的是将产生危害的可能性最小化。风险控制是通过风险分析识别出的危害事件的成因和后果，通过设置控制措施阻止导致危害事件发生的成因，或者通过设置缓解措施减轻危害事件的后果。高速铁路运营安全风险分析及控制模型示意图如图2所示。

在图2中，通过设置成因控制措施阻止成因事件的发生，通过后果控制措施缓解后果的严重性。另外，为了进一步防止成因控制措施的失效，还可以针对导致成因控制措施失效的成因进一步设置控制措施。

控制措施应该按照消除、预防、降低危害事件发生的可能性和减轻危害事件后果的顺序或优先级加以实施，如图3所示。运营安全风险控制措施设置的基本原则为通过采取措施能够消除的危害就应进行消除；无法消除的，应通过采用安全标准、运营控制等措施进行预防；无法预防的，应通过设置安全装置和保护措施等降低危害事件发生的频率；最后，当上述措施均失效时，即事故发生后还可以采取应急、消防设施等后果减轻措施减轻事故的危害程度。

图2 高速铁路运营安全风险分析及控制模型示意图

图3 高速铁路运营安全风险控制措施设置的优先级

5 结论

（1）高速铁路运营安全风险控制技术是安全管理的重要手段，是高速铁路系统寻求最低的事故率、最少的损失和最优的安全投资效益的有效方法。

（2）综合考虑我国高速铁路相关标准规范及应用的可操作性，建议采用6×6形式的风险矩阵，但在实际应用中，应由相关铁路局和管理部门对具体细节进行修正和认可。

（3）在高速铁路运营安全风险分析及评估过程中，应综合参考类似系统的事故及故障记录、设备供应商提供的应用历史数据、车载设备监测数据、地面设备监测数据、综合检测车检测数据、运营单位记录的事故/故障数据及自然灾害监测数据等，采用合理的分析方法综合评估其运营安全性。

（4）基于领结模型进行高速铁路运营安全风险分析和控制是有效的途径。高速铁路运营安全风险控制措施应该按照消除、预防、降低危害事件发生的可能性和减轻危害事件后果的顺序或优先级加以实施。

（5）危害记录表是追踪高速铁路系统运营安全情况的重要工具，应该持续更新。

：

[1]The Institute of Risk Management. Risk Management Standard：ALARM the National Forum for Risk Management in the Public Sector [Z]. London：The Institute of Risk Management(IRM)，2002.

[2]刘敬辉，戴贤春，郭 湛，等. 铁路系统基于风险的定量安全评估方法[J]. 中国铁道科学，2009，30(5)：123-128.

[3]Joint Technical Committee. AS4360：2004Australia/New Zealand Standard on Risk Management[S]. Sdyney：Joint Technical Committee，2004.

[4]中华人民共和国铁道部政策法规司. 中国铁路法规、规章及规范性文件汇编[M]. 北京：中国铁道出版社，2012.