刘远达，曹桂均，杨华昌，冯 军

LIU Yuan-da1，CAO Gui-jun2，YANG Hua-chang2，FENG Jun2

（1.中国铁道科学研究院 研究生部，北京 100081；2.中国铁道科学研究院 通信信号研究所，北京100081）

(1.Postgraduate Department，China Academy of Railway Sciences，Beijing 100081，China ；2.Signal &Communication Research Institute，China Academy of Railway Sciences，Beijing 100081，China)

STP 无线调车机车信号和监控系统 (以下简称“STP 系统”) 是为了保证铁路车站内调车作业安全而研发的一种控制系统[1]。STP 系统的研制应用有效地解决了铁路车站调车作业主要依靠调车员和司机确认地面信号而容易造成车列冒进信号或超速等调车事故的问题，可以将站场的关键作业信息以无线传输的方式传送到机车上，实现调车信号、调车进路等在机车上的实时显示，并结合列车运行监控装置 (LKJ) 实现对调车作业的安全防护和作业数据记录。同时，STP 系统还能通过系统记录的历史数据，分析事故原因，为安全管理提供依据[2]。

1 概述

1.1 安全风险评估方法

STP 系统经过多年的现场应用，从技术研发到工程化日趋成熟。为进一步提高 STP 系统安全性，亟需开展基于风险的安全评估，对 STP 系统进行定性和定量的安全风险分析，研究潜在的风险成因及高风险区域，确定系统的安全风险状态[3]。

在常用的安全性分析方法中，故障树分析法(FTA) 是一种图形演绎的分析方法，通过画出故障树逻辑框图，分析系统发生故障的原因及概率。其特点是直观、形象，具有灵活性和多用性，不仅可以进行多目标的定性分析，还可以进行复杂的定量计算。FTA 法可以追溯目标风险事件发生的原因。

层次分析法 (AHP) 是一种定性与定量相结合的系统分析方法，通过将复杂问题中的各种因素划分为相互联系的有序层次，并对同层各因素的相对重要性进行两两比较，构造判断矩阵，得到每层各因素的相对权重，再结合对低层因素的安全状态评分，逐层计算得到中、高层因素的安全风险评估结果。其特点是具有适用性、简洁性、有效性和系统性等，适合衡量指标的相对重要性。

对于 STP 系统的安全风险评估，既要分析系统故障成因，又要根据各影响因素的相对重要性及安全评分判断系统的总体安全状态，并对各子系统和设备的安全性进行横向比较，为 STP 系统的升级改造提供依据[4]。因此，针对铁路信号系统安全风险评估的特点和要求，将 FTA 和 AHP 2 种方法结合，把 FTA 模型分析得到的基本事件作为构建 AHP 模型的输入数据，共同用于 STP 系统的安全性研究，提高安全风险评估的准确性和有效性。

1.2 STP 系统设备组成

STP 系统包括地面设备和车载设备，STP 系统工作框图如图 1 所示。

其中，地面设备由地面控制主机 (双机热备方式)、地面数传电台 (双机热备方式)、无源应答器车务终端和电务维护终端组成，并通过联锁接口从联锁系统或 DMIS/CTC 系统采集调车作业的控制信息。车载设备配置包括车载控制主机、车载数传电台、点式查询器设备和彩色显示器。它配以机车已有的列车运行监控装置及平面调车设备，构成STP 系统。

1.3 STP 系统工作原理

调车机车进入调车作业区时，首先通过车载查询器确认机车所在位置，再通过无线信道进行车地间设备入网申请及确认，建立安全控制信息通道，STP 系统进入调车监控工作状态。

图1 STP 系统工作框图Fig.1 Block diagram of the STP system

当车站值班员办理好调车进路并开放正确的调车信号后，地面控制设备根据接收到的车站联锁设备发送的调车作业控制信息和机车所在位置，通过无线数传电台向作业的调车机车发送控制命令。系统采用一对多的车地控制方式以节省无线资源。为保证控制的安全可靠，系统选取轨道电路占用状态和点式应答器等多种条件共同确认受控对象及机车位置[5]。

正在作业的调车机车设备接收到控制命令后，根据接收的信号开放条件、限制条件、距离前方信号机距离等信息，运算出相应的控制命令，通过LKJ控制机车速度及停车距离。为实现系统的闭环控制，车载设备还不断将机车位置、速度等有关信息回传给地面设备。

2 基于FTA-AHP的STP系统安全风险评估

2.1 STP 系统的 FTA 模型

影响 STP 系统安全性的因素包括设备故障、运行模式和人为因素[6]。STP 系统作为站内调车作业的安全保障，对调车机车安全防护的主要功能，即防止车列超速走行、越过规定停车点、冒进关闭信号机、超速连挂。为满足车站调车作业的各种要求，STP 系统对不同作业状态采用相应的安全控制模式，即①限速控制模式；②停车控制模式；③连挂控制模式。如果系统出现故障，司机通过解锁按钮解除设备对机车的制动控制，转为司机控制[5]。

经过分析判断识别出 STP 系统的风险事件，主要是设备故障引起 STP 系统退出安全控制模式后转为单纯人工控制带来的作业风险。因此，研究选取STP 系统故障作为目标风险事件，建立 FTA 模型，采用故障树分析法对 STP 系统发生故障原因进行分析。从硬件的角度对 STP 系统进行故障树分析，根据 STP 系统组成原理，将 STP 系统故障分解为地面设备故障和车载设备故障。通过进一步分析 STP 系统车地设备故障原因，得到 STP 系统的 FTA 模型如图 2 所示，故障树的基本事件列表如表 1 所示。

建立 FTA 模型后，对 STP 系统进行故障树分析。首先用布尔代数法求解故障树最小割集，对图2 所示故障树进行布尔表达式展开，得到该故障树的 27 个最小割集为：{X1}，{X2}，{X3}，{X4}，{X13}，{X14}，{X15}，{X16}，{X17}，{X18}，{X19}，{X20}，{X21}，{X22}，{X5，X11}，{X5，X12}，{X5，X23}，{X6，X8}，{X6，X9}，{X7，X8}，{X7，X9}，{X10，X11}，{X10，X12}，{X10，X23}，{X11，X24}，{X12，X24}，{X23，X24}。

在故障树分析的诸多指标中，基本事件结构重要度从故障树结构的角度反映了各基本事件在故障树中的重要程度，通常采用故障树最小割集近似判断各基本事件的结构重要度。

通过故障树最小割集近似判断各基本事件结构重要度大小，有以下规律：当最小割集只含有 1 个基本事件，则该基本事件的结构重要度最大；当最小割集中基本事件的数目相等时，在最小割集中重复出现的次数越多的基本事件，其结构重要度就越大。

根据 STP 系统故障树全部最小割集求出各基本事件的结构重要度排序为：I (X1) = I (X2) = I (X3) =I (X4) =I (X13) = I (X14) = I (X15) = I (X16) = I (X17) =I (X18) = I (X19) = I (X20) = I (X21) = I (X22) ＞ I (X5) =I (X10) = I (X11) = I (X12) = I (X23) = I (X24) ＞ I (X6) =I (X7) = I (X8) = I (X9)。

分析结果可知，如果仅从故障树结构的角度判断，X1，X2，X3，X4，X13，X14，X15，X16，X17，X18，X19，X20，X21，X22 对顶事件的影响程度相同，高于 X5，X10，X11，X12，X23，X24对顶事件的影响程度，而 X6，X7，X8，X9 对顶事件的影响程度则更低。此外，由于各基本事件故障率的缺失，无法计算其概率重要度以进一步排序，因而无法更加精确地判断各基本事件对顶事件的影响程度[7]。因此，为更精确地分析判断 STP 系统故障风险，引入层次分析法做进一步分析。

2.2 STP 系统的 AHP 模型

应用 AHP 解决问题，首先要明确需要分析解决的目标问题，将其条理化、层次化之后建立递阶层次结构。AHP 的递阶层次结构从高到低依次由目标层、准则层和指标层组成，上层因素在支配下层因素的同时也受到下层因素的影响。

为使 FTA 模型中各基本事件能与 AHP 模型结合，选取 STP 系统作为 AHP 模型目标层因素 A，将上节 FTA 分析得到的各基本事件进行中性化描述后作为指标层因素 C1～C24[8]，并经分类归纳后形成的准则层因素 B1～B6(包括设备间连接线、电源系统、地面控制设备、车载控制采集设备、无线数传电台、外部电气设备)，进而构建 STP 系统的AHP 模型如图 3 所示。

图2 STP 系统的 FTA 模型Fig.2 FTA model of the STP system

表1 故障树基本事件列表Tab.1 List of the elementary events on fault tree

在 AHP 中，判断矩阵的构造是进行层次分析的基础。通过对 AHP 模型中同一层次各因素之间的重要性程度进行两两比较，可以构造 AHP 的判断矩阵 A 为

式中：aij表示某层第 i 个因素相对于第 j 个因素的重要性比较结果；n 表示该层因素个数及其所对应的判断矩阵阶数。

图3 STP 系统的 AHP 模型Fig.3 AHP model of STP system

判断矩阵中 aij的含义和数值如表 2 所示。

表2 判断矩阵中 aij 的含义和数值Tab.2 Meaning and quantitative value of aij in the judgment matrix

接下来由专家对 STP 系统 AHP 模型中的准则层因素与指标层因素的重要性进行判断，并依据表2 准则分别构造各层判断矩阵 A1—A7，其中目标层判断矩阵 A1如下。

运用 MATLAB 分别计算判断矩阵 A1—A7的最大特征值 λmax及其对应的特征向量 ，并将特征向量归一化后作为 AHP 模型准则层因素和指标层因素的重要性权重向量，而重要性权重向量的各分量就是每层各个因素的相对权重。

实际应用过程中还需对阶数大于 2 的判断矩阵进行一致性检验，以鉴别该判断矩阵能否被接受。判断矩阵的一致性检验过程如下。

计算一致性指标 CI。

式中：λmax为判断矩阵的最大特征值。

计算一致性比率 CR。

式中：RI 为同阶平均随机一致性指标的标准值。

同阶平均随机一致性指标的标准值 RI 如表 3所示。

表3 同阶平均随机一致性指标的标准值 RITab.3 Standard values of RI the average random consistency index of the same order

如果 CR ＜ 0.1，可以认为该层次分析中各因素重要性权值的分配是合理的，判断矩阵通过一致性检验；否则，对判断矩阵的元素取值作调整后再次进行一致性检验。

依据上述方法分别计算判断矩阵 A1—A7的各项指标如表 4 所示。

由表 4 可以看出，判断矩阵 A1—A6的一致性比率 CR 均小于 0.1，因而 STP 的 AHP 模型各层判断矩阵均能通过一致性检验，该层次分析排序结果合理可接受。

2.3 STP 系统的安全风险评估

结合 STP 系统多年现场应用经验及故障数据信息，组织专家对系统 AHP 模型指标层各因素安全状态按预定规则进行评分。在制定评分规则时，对于安全苛求系统，因为对其可靠性与安全性要求较一般系统更高，所以打分也越严格[9]。STP 系统的安全评分标准如表 5 所示。

表4 判断矩阵 A1—A7 的各项指标Tab.4 The indicators of A1—A7 in the judgement matrix

表5 STP 系统的安全评分标准Tab.5 Safety assessment criteria of the STP system

专家按以上评分标准，对指标层各因素的安全状态进行打分后，可通过公式 ⑷ 计算其所对应的准则层因素的安全状态评分

式中：wi和 fi分别代表指标层第 i 个因素的相对权重和安全状态分值。

由计算得出的准则层各因素的安全状态分值及其相对权重，仍然按公式 ⑷ 计算可以得目标层因素的安全状态评分。STP 系统 AHP 模型各层因素相对权重及安全状态分值如表 6 所示。

由表 6 可知，STP 系统的电源系统、地面控制设备、车载控制采集设备的安全状态很好，设备间连接线和无线数传电台仍然需要改进，应重点提高设备间连接线缆和无线数传电台的可用性。此外，由于外部电气设备的安全状态会影响到系统自身安全功能的正常发挥，因而需要进一步完善STP 系统与联锁设备及 LKJ 的安全通信和故障监测机制。

根据表 6 的准则层各因素相对权重及安全状态分值，按公式 ⑷ 计算得到目标层因素 STP 系统的安全状态评分为 95.1 分。参照表 5 的评分标准对系统进行评估可知，STP 系统的安全状态很好，其发生系统故障的风险较低。

表6 STP 系统 AHP 模型各层因素相对权重及安全状态分值Tab.6 The relative weights and safety status of ahp model factors on each layer of the STP system

3 结束语

STP 系统作为保证站内调车作业安全的关键系统，能有效防止调车作业中冒进信号和超速造成的事故。研究结合 FTA 和 AHP 2 种安全性分析方法各自的优点，采用 FTA-AHP 方法对 STP 系统进行安全风险评估，充分证明了 STP 系统具有很好的安全性。此外，还应对 STP 系统做好以下 2 个方面问题的研究：一是依据故障树分析法补全信息系统内容，完善系统故障分析结果；二是改进层次分析法中的模型层次结构及专家判断法，提高建模的可信性与判断矩阵的客观性。

[1] 曹桂均，林通源. 车站调车作业安全防护的新装备：调车机车信号和监控系统[J]. 铁路通信信号工程技术，2006，3(2)：7-10，26.

[2] 曹桂均. 保证车站调车作业安全的研究[R]. 北京：中国铁道科学研究院，2005.

[3] 李晓宇，戴 玥. 高速动车组紧急制动安全风险分析及对策研究[J]. 铁道运输与经济，2015，37(6)：33-38.LI Xiao-yu，DAI Yue. Study on Safety Risk Analysis of Highspeed EMU Emergency Braking and Its Countermeasures[J].Railway Transportat and Economy，2015，37(6)：33-38.

[4] 杨小燕，王立松. 基于威胁分析的高速铁路行车安全风险评估方法[J]. 铁道运输与经济，2017，39(1)：71-76.YANG Xiao-yan，WANG Li-song. Risk Assessment Method for High-speed Railway Traffic Safety based on Threat Analysis[J]. Railway Transport and Economy，2017，39(1)：71-76.

[5] 曹桂均，林通源. 调车机车监控记录系统的研究与试验[J].铁道学报，2004(3)：55-61.CAO Gui-jun，LIN Tong-yuan. Research and Test of the Shunting Locomotive Monitoring System[J]. Joural of the China Railway Society，2004(3)：55-61.

[6] KABIR S. An Overview of Fault Tree Analysis and Its Application in Model based Dependability Analysis[J]. Expert Systems with Applications，2017，77(7)：114-135.

[7] 易灿南，胡 鸿，廖可兵，等. FTA-AHP 方法研究及应用[J]. 中国安全生产科学技术，2013，9(11)：167-173.YI Can-nan，HU Hong，LIAO Ke-bing，et al. Research on FTA-AHP and Its Application[J]. Journal of Safety Science and Technology，2013，9(11)：167-173.

[8] 温克学，李笑红. 铁路货物装载安全创新实践回顾与展望[J]. 铁道货运，2011，29(2)：5-11.WEN Ke-xue，LI Xiao-hong. Review and Expectation on Innovation and Practices of Railway Goods loading Safety[J].Railway Freight Transport，2011，29(2)：5-11.

[9] 刘敬辉. 基于 FTA-AHP 的铁路安全风险综合评估方法[J].中国铁道科学，2017，38(2)：138-144.LIU Jing-hui. Synthesized Risk Assessment Method for Railway Safety based on FTA-AHP Analysis[J]. China Railway Science，2017，38(2)：138-144.