苏宏明 王艳辉 ，2，3，4▲ 李 曼 ，2，3，4 贾利民 ，2，3，4

（1.北京交通大学交通运输学院 北京 100044；2.北京交通大学轨道交通控制与安全国家重点实验室 北京100044 3.北京交通大学北京市城市交通信息智能感知与服务工程技术研究中心 北京 100044 4.北京交通大学城市轨道交通运营安全管理技术及装备交通运输行业研发中心 北京 100044）

0 引 言

截止2020年9月，我国共有47座城市开通了轨道交通运营，总规模超过了7 500 km，在全球位居首位，并且运营规模将会持续保持高的增长势头。与此同时，安全是城市轨道交通立足之本，风险始终伴随着城轨的发展而存在。城轨系统是拥有众多设施设备的复杂系统，存在高密度强随机客流、难以预测的人因要素、动态的风险要素耦合关系以及复杂的风险传播路径等因素，这导致风险要素提前感知、预判、预测和预警能力不足、异常情况依赖于被动接报，主动防控能力有待提升，风险管理呈“烟囱式”，信息难以集成，难以实现运营安全的闭环管理，容易造成“小故障、大影响”等问题。城市轨道交通的风险特性见图1。

图1 城市轨道交通风险特性Fig.1 The risk characteristics of Urban Rail Transit

面对上述城轨运营风险的严峻性，传统的面向点监控模式的安全保障系统已不足以满足当前城轨安全保障的需求，从点级别向系统整体级评估模式发展是大势所趋，如何建立面向城轨全局安全的运营安全保障系统，用信息化手段提升城轨安全保障技术能力成为了亟待解决的问题。然而在全局预警与评估系统方面，研究基本处于起步探索阶段。刘卡丁等[1]提出了构建安全风险体系的思路，通过建立危险源知识库，后台专家分析系统，运用GIS、远程监测等技术手段实现风险的管理，该思路对保障系统提供了体系思路，但是缺乏具体实现方案。张彧锋等[2]对城市轨道交通线网运营安全保障平台提供了1 种设计，对平台的架构及其功能进行了详细的阐述，其设计在预警、应急层面拥有良好而有全面的设计，然而仍缺乏对风险间作用关系的运用以及对历史事故的分析。Ding 等[3]提出了基于故障日志学习分析的城轨安全保障系统的实现思路，该种方法通过数据挖掘的方法对风险源进行分析、筛选并且生成强关联规则，该种思路一定程度上完成了对风险点间耦合作用的分析，但缺乏实时性，即对风险传播的预测。国外对在面向全局的主动安全监测与评估方面也有少量的研究。如Miltos Kyriakidis等[4]提出利用一些事故发生前兆来降低风险的思路，此方法紧抓了事故源头，通过归纳分析源头的方式来减低事故源发概率，但是依旧存在一定局限性。

通过对国内外发展的梳理可知，面向系统级别的城市轨道交通主动安全风险预测与评估系统研究在我国处于缺乏的状况。本文介绍了基于风险链的城轨运营安全保障系统的设计和关键技术。该系统切实落实风险“主动防控”的理念，从运营安全事故特征出发，基于故障风险链式传播的特点，提出将风险链理论运用到城轨运营安全保障系统中，通过辨识风险点及构建风险链模型，来完成对系统层面的风险主动评估与控制，该系统的设计与原型实现将弥补当前对城轨运营安全保障系统研究不足的现状，完成对系统运营潜在风险点的集中管理及对系统整体层面的安全风险评估，对从点监测的被动安全保障模式向系统级主动安全保障模式转变将会起到重要的作用。

1 系统设计思路

风险主动防控是安全管理的高级阶段[5]，现如今各行各业都在探索标准化、信息化、智能化的安全保障体系[6]。基于城轨运营风险管理的研究现状，结合大数据、云计算等智能系统工程互联网技术，开展对以风险链为基础的安全保障系统的需求分析、功能设计及实现工作，设计并开发安全保障系统，以实现从风险链角度对系统运营的潜在风险点进行集中管理，并对系统整体层面的安全风险进行评估。这对于城轨风险管理从点监测的被动安全保障模式向系统级主动安全保障模式转变将会起到重要的作用。系统的设计思路见图2。

图2 系统设计整体思路Fig.2 Overall system design ideas

2 系统总体结构设计

2.1 系统接口设计

本系统中主要涉及到与城轨运营大数据中心的对接工作，主要包括2个接口设计。

1）节点状态接口。用于获取城轨系统中各个监测节点的最新状态，数据中心需要将收集的节点数据进行汇总清洗，并按照种类对应获取。访问接口时返回节点的状态信息包括节点编号、监测时间、状态（正常/异常）。而在系统的组节点信息里预留了节点url路径信息以及更新时间间隔，以便用于接口调用。

2）故障记录接口。故障记录接口用于获取当日最新的故障记录，故障记录在本系统中属于故障数据、传播关系及条件概率样本数据的重要来源，因此该接口十分必要。接口设置每天获取1 次，获取的记录会自动保存入库，记录内容应该包括故障时间、故障发生内容、故障后果，故障发生内容不应该只描述物理失效，还应包括环境因素、人因素前提情况描述。

2.2 系统微服务结构设计

微服务是1个新兴的软件架构，1个微服务的策略可以让工作变得更为简便，它可扩展单个组件而不是整个的应用程序堆栈，从而满足服务等级协议[7]。根据对系统的功能需求分析所归纳出的功能，结合微服务架构特点，可将系统划分为4大微服务，见图3。

1）用户微服务。针对用户进行功能实现，包括登录、注册、个人信息维护、密码管理，以及权限管理5个功能。

图3 微服务-功能关系图Fig.3 Microservice-function relationship diagram

2）风险点微服务。主要是针对潜在风险点进行管理，包括组节点管理、风险点辨识及状态计算功能。

3）模型微服务。提供有关风险链模型的相关算法，包括风险链构建、传播计算、路径反演功能，使得风险链模型可在系统中生成并使用。

4）风险微服务。针对风险进行功能服务，包括风险点监测、全局状态评估、故障统计、故障日志分析4个功能，使得系统可及时获取风险点状态信息，亦可分析故障传播关系，更可对一段时间内故障进行统计分析。

2.3 系统逻辑架构设计

根据系统后端的微服务架构，需要对系统进行逻辑架构设计，采用分层模式，见图4，从上到下分为界面展示层、功能服务层、数据运算层、数据管理层和基础设备层。

1）界面展示层。对城轨安全保障系统的各项功能和数据进行可视化处理，公司安全管理者和工作人员更容易做出决策，降低操作难度。

2）功能服务层。服务层中主要由各个功能逻辑组成，包含11个主要的功能业务。

3）数据运算层。提供系统所有功能实现的模型算法以及构建规则。

4）数据管理层。该系统数据层主要有城市轨道交通大数据中心和各类数据采集监测的设备设施组成，包含风险点数据库、风险链数据库、历史事故数据库，应急预案库、城轨基础信息库等海量多类型数据库。

5）基础设备层。提供基础资源设备，包含网络环境、计算设备、存储设备等。

图4 微服务-逻辑架构图Fig.4 Microservice logical architecture diagram

2.4 系统功能设计

系统的主要功能包括：风险点辨识、风险点状态计算、风险链构建、风险点状态监测、风险传播计算、系统风险评估、后果致因预测、故障数据统计分析、组节节点管理、监测接口管理、系统界面可视化。其中主要功能介绍如下。

1）风险点辨识。风险点辨识是风险主动防控的前提。系统根据ISF 方法对风险点进行辨识，可将城轨运营组分节点标记为风险点并保存到风险点数据库中。

2）风险点状态计算。风险点的状态识别是风险链构建前的重要环节，其目的是对风险点的不安全状态进行计算，为风险链的初始概率打下基础。当系统通过监控层获取到风险点信息和故障数据时，即需对风险点的不安全状态进行计算并保存到风险链数据库中。

3）风险链构建。风险链构建是系统中最重要的1 个环节，主要利用已保存的风险点信息及分析得出的风险传播挖掘样本，依据贝叶斯网络及风险链构建方法来进行构建。

4）风险状态监测。风险点监测功能是基于数据中心提供接口来获取指定监测风险点当天数据变化的数据。

5）风险传播计算。风险传播计算功能基于构建完成的风险链以及系统实时监测数据来完成不安全概率计算的推演计算。当风险链构建完成后，输入预测起点，对风险链上的各风险点的状态进行预测。

6）系统风险评估。系统风险评估是利用生成的风险链对一段时间内系统的风险状态进行评估，对达到预警级别的风险进行实时预警，并以此来给予下一阶段重点整治对象。

7）后果致因预测。后果致因预测是利用风险链模型可反向推演的功能来对限定时间内产生的停运、晚点、事故等后果的最可能产生路径进行反推，已达到对后果致因推测，重点防治的目的。

8）故障数据统计与分析。故障统计功能主要对各监测点及风险点出现的故障数据进行定期统计，功能包括按组节点统计、按停运统计、按晚点统计、按事故统计；故障数据分析是利用事故通报来利用挖掘规则来挖掘其中的致因顺序以及事故所涉及的组节点异常发生状况，以此来构建风险链中条件概率学习样本。

3 关键技术

3.1 拓扑网络技术

城市轨道交通运营系统是1个典型的复杂系统，将各个分系统中设施设备抽象为复杂网络中的组分节点并根据连接关系构建拓扑网络（见图5），对于理清各个系统节点之间的作用关系和逻辑规则（见表1），找到故障发生的源故障点和预测风险在系统中传播具有极大的意义[8]。系统拓扑网络的构建分为2个步骤：确定网络中的节点；确定节点的连接边。

首先，可将城轨运营系统的组成成分抽象分为“人-机-环”3类节点，其中“人”主要指乘客和运营公司工作人员；“机”主要指物理结构类组分，包括3大基础设备（线路、站点、车辆）和3 大系统（运行、电气、信号）等所包含的设施设备；“环”主要是自然环境、社会环境等。

另外，按照节点间传输物质的不同，将节点间连接关系划分为3种，即机械、电气和逻辑连接。

图5 城轨运营拓扑网络示意图Fig.5 Topology network of urban railway transit

表1 网络节点连接关系分类Tab.1 Classification of risk node relationship

3.2 风险点辨识提取技术

风险点是指城市轨道交通系统中具有风险因素，且在运营和生产过程中可能产生或传播风险的系统组分节点。常用风险辨识方法有层次分析法（AHP）[9]、失效模型和影响分析法（FMEA）[10]和危险与可操作性研究法（HAZOP）[11]等。由于上述方法存在指标过多和主观性强等局限性，笔者采用IFS法[12]，即根据组分节点的全年故障次数、结构位置重要度和功能重要度进行风险点辨识提取。当城轨拓扑网络节点满足以下3 条标准中的任意1 条即可标记为风险点。

1）基于历史事故数据辨识，由风险分析人员根据实际情况进行筛选排查，对于“机”类设施设备来说，按照当节点年故障数大于系统节点的年平均故障数，可标记为风险点；对于“人”类节点来说，可以将统计周期的人员误操作次数作为累计故障次数；“环”类组分节点的累计故障次数指的是全年中异常环境的天数，社会环境类组分节点的故障次数指的是各类社会环境类组分节点在全年出现的总天数。

2）基于结构位置重要度，当组分节点处于重要的结构位置，与其他节点的关联性较高时，认为其具有较高的结构重要度，该组分节点被判定为风险点。

3）基于节点的功能重要性，当节点对整个系统的功能实现具有重要作用时，认为该组分节点是风险点。

3.3 风险链传播预测技术

风险链模型是指风险点间耦合关系连接起来的造成事故发生的致因序列[13]。构建风险链模型之前要判别风险点的状态，对于风险点而言，事故的发生可认为是当风险点处于异常状态而导致了意外释放，因此可认为风险点拥有安全及不安全2 种状态。当施加能量超过其可承受阈值或风险点受到超过其承受阈值的其他风险点的能量传递时，则认为风险点的安全屏障失效，能量将失去控制，风险点转换成不安全状态；当能力释放结束后，通过一系列措施补救，可将不安全状态转换成安全状态[14]。

对于风险点的状态，由于不安全状态值无法直接从自身评估计算得出，而为了对各风险点不安全状态进行量化，因此使用指定点全年故障数与全年总故障数之比来量化各风险点在系统的不安全概率值，风险点不安全状态概率计算公式见式（1）。

式中：P(i)为第i个风险点的不安全状态值：Ni为第i个风险点全年故障数。

而风险点安全状态概率则可使用1-P(i)计算得到。

风险链的构建基于贝叶斯网络。构建流程见图6。

图6 风险链构建流程图Fig.6 Flowchart of risk chain construction

1）获取组分节点。

2）利用辨识方法对组节点进行辨识，并构建为风险点集。

3）计算风险点不安全状态值。

4）通过一定方法，研究得到结构，构建风险链结构。

5）利用大量样本数据确定风险链节点间耦合关系，生成条件概率表。

构建流程中的前3步已经进行阐述。对于步骤4），一般有2种方法：①基于历史经验得出的专家传递规则，此方法需人工构建或者构建基图，具有较强主观性，但是构建难度相对容易；②采用贝叶斯结构构建方法。贝叶斯结构方法又分基于评分搜索、基于依赖分析，以及基于随机抽样等方式。基于评分搜索方法中，评分算法主要有 BD（bayesian dirichlet）评 分[15]、K2 评 分[16]、BIC（bayesian information criterion）评分[17]等，搜索算法有K2 算法、爬山算法等；基于依赖分析主要有SGS、TPDA 等方法；基于随机抽样主要有MHP[18]等方法。而风险链构建则采用 Bayes-DS 结构构建方法，其思路为选择BIC评分函数+爬山算法进行结构学习，给定初始贝叶斯网络，进行搜索算法不断改变网络结构，得到最优评分网络结构，再将得出的结构进行拆分，分别对有向边传播关系进行专家打分评估，得到最优结构。在本文中，由于结构计算的复杂性，因此拟采取构建组节点风险传递基图的方式，当确定完了风险点之后，即可生成子图结构进行研究。

对于步骤5），由于事故所涉及到的风险点事故发生频次明确，属于完整数据，故采用贝叶斯估计（BE）的方法进行参数学习。

贝叶斯估计是基于前验、先验概率来推导后验概率[19]，贝叶斯公式见式（2）。

利用公式求得条件概率，即可对每个节点的CPT（条件概率）表进行构建，对于n对1 的传播情况，如果n节点中每个节点拥有k种变化态，则后置点需存储nk种情况的对应条件概率。在对各个节点的条件概率表构建完成后，即可利用贝叶斯网络进行推理预测。

4 系统应用

通过对原型系统进行了场景部署与仿真运行，解决了相关工作人员、车辆、设备安全机理复杂、数据复杂等众多难题。通过对城轨风险点的辨识与风险传播预测的仿真测试，能准确的预测出风险在实际中的传播路线，评估出系统的安全状态，及时将风险抑制在苗头阶段，为安全管理人员解决实际的故障问题提供了依据。经过不断测试证明，系统具有较高的安全性与稳定性。系统的部分功能界面见图7～10。经过系统前期对北京地铁运营公司的部署和运行，系统风险点辨识准确率可以达到85.7%，提升了运营安全预警完备率20%、应急响应效率15%和降低了因技术原因导致的安全事故率15%。

图7 风险点辨识完成图Fig.7 Complete picture of risk point identification

图8 风险链构建完成页面图Fig.8 Risk chain construction completed page diagram

图9 风险点状态监测页图Fig.9 Risk point status monitoring page

图10 系统状态评估图Fig. 10 System status assessment diagram

5 结束语

本文采用风险主动防控的基础理论，基于拓扑网络技术、风险点辨识、风险链构建、风险传播、风险评估等角度构建了城市轨道交通安全保障理论体系。基于Linux操作系统，应用Java语言，实现了城市轨道交通安全保障系统的开发，并成功试验应用到城轨运营安全保障中，实现了对风险精细化、信息化、智能化、系统化的管理。

1）明确了系统的业务功能需求。通过实际对城轨公司的调研，对公司的安全管理现状进行了深入了解，充分认识到并根据上述调研，明确了系统风险辨识、风险评估、风险传播分析，以及基础数据管理4大业务功能需求。

2）建立了安全管理行业标杆。为其他行业的安全保障系统提供范例，突破以事故树分析为专业基础的风险管理理论，创建以风险链为核心的风险防控方法论，提高了安全工作人员风险处理效率。

3）安全管理关口前移。通过应用该平台，城轨公司的安全管理更加精细化。逐步淘汰传统的事故管理和隐患治理，落实到风险管理，以“预防为主”作为安全管理理念，借助安全保障系统平台，及时发现和消除风险，做到防患于未然。