曾小清，方云根，王奕曾

（1.同济大学 交通运输工程学院，上海市 201804；2.道路与交通工程教育部重点实验室，上海市 201804）

0 引言

交通是现代城市运转的重要组成部分，其安全性与人们生活密切相关，随着通信、控制、计算机、人工智能等新技术的采用，交通自动化程度越来越高：道路交通行业正在如火如荼地进行无人驾驶系统的开发和试验，而城市轨道交通的行车自动化程度已由传统的人工目视驾驶模式逐渐发展到无人值守的全自动运行模式；由于组成系统间的道路、设备、人员、环境等因素的耦合性增加，系统的安全保障变得更为复杂。近些年来，城市轨道交通安全事故偶有发生，如2017 年11 月15 日的新加坡地铁列车相撞事故和2019 年3 月18 日港铁荃湾线列车相撞事故，除了造成人员伤亡、财产损失、环境破坏之外，还会造成恶劣的社会影响。

目前城市轨道交通设计、制造、调试、运行和维护过程中，通常采用故障树分析（FTA）、失效模式和影响模式分析（FMEA）以及事件树分析（ETA）等分析方法进行安全分析，这些方法首先将系统分解为不同的组成部分，然后假设这些部件只处于工作或者失效状态，系统组成部件的事件发生是按照线性规律有序排列的。这些分析方法对于复杂程度不高的设备安全分析较为有效，但是对于轨道交通列车运行安全这样一个涉及到设备、环境、人员、流程、组织等多因素的复杂社会技术系统来说，前述分析过程难于全面分析多因素耦合的关系，存在一定的局限性。本文通过构建轨道交通5M模型，以轨道交通行车安全任务为核心，研究轨道交通任务（Mission）、人员（Man）、设备（Machine）、环境（Media）和管理（Management）5 类元素之间的关系，提出基于5M 模型的安全分析方法。

1 城市轨道交通安全要求

城市轨道交通作为现代城市的重要交通方式，其基本功能就是为人们提供安全、可靠的日常交通服务。由于轨道交通系统涉及的设备分散多样、人员众多、环境多变、管理复杂等特点，使得行车指挥、运行调度、车辆、轨道、供电、人员、信号、通信、综合监控、站台门、乘客异动等任何一种因素都可能造成安全事故的发生；作为系统安全保障工作的核心，需要通过理解安全事故隐患发生的机理，进行风险评价并在全系统生命周期过程中进行控制。

从轨道交通行车安全的角度来看，城市轨道交通行车安全系统应至少具备以下安全功能[1]：

（1）列车进路安全的保证：列车被授权沿着轨道移动之前应证明该部分线路是安全的（以防止脱轨并避免与其他列车移动发生冲突），以及除了允许列车进入一条被占用的线路的情况外，应证明该线路没有其他交通（以防止碰撞）。在授权沿线的一部分分区后，应保持线路的安全性。

（2）列车移动授权保证：设备或者人员应提供明确、一致和及时的信息，以便能够安全地控制列车。列车运行的速度和距离应与限制速度、可用进路、坡度、制动能力、列车性能、前方列车位置等条件相匹配。

（3）列车间隔防护：应确保前后跟随列车之间应留有足够的空间，以便每列列车安全地制动到静止状态。

（4）防止列车与轨道上的物体或者人员相撞:轨道交通设备或者工作人员应实时监督列车前方的轨道状态，当发现轨道上有物体或者人员时应采取紧急制动停车措施。

（5）防止乘客在上下车及乘车过程中由于车门动作受到伤害: 设备和工作人员应监督列车客室车门的状态，在确保乘客安全的条件下才进行开门或关门动作。

（6）行车状态安全监控和应急处理:通过设备和人员对行车设备健康状态、火灾、脱轨等故障或紧急状态进行监控并做出响应。

2 轨道交通安全5M 模型

2.1 5M 模型起源及各因素之间关系

5M 模型作为一个概念，首先由康奈尔大学的TP Wright在20 世纪40 年代提出，他将人- 机- 环境（Men, Machine, Media） 三合一引入航空安全，1965 年第四个“M”（管理Management） 加入，在1976 年“任务”（Mission）被加入到整体模型中[2]，5M模型旨在以结构化的方式描述或检查系统设计、变更或特定事故，通过5M 要素识别和分析，有助于确定安全隐患原因、隐患以及安全风险缓解策略。基于这些原因和轨道交通系统特点，可以利用5M 模型来对轨道交通系统的安全性进行分析，从抽象的角度，轨道交通系统5M 元素之间的关系如图1 所示。

图1 5M 关系简图

对于轨道交通系统安全运输乘客这一顶层任务来说，其设备包含了系统中所有的土建和机电设备；人员除了乘客之外，还包括分布在车辆上、站台、车辆段、控制中心的工作人员、设备供应商、维护人员等；环境除了自然环境外，还包括轨道交通系统有接口的社会系统环境；管理主要为运营管理、行车管理、设备管理、维护管理、人员管理等。

如图1 所示，可以认为，系统的安全性取决于任务、人员、管理、设备和环境中的任何一元素，也就是系统5M 模型是一个串联结构，显然系统的安全性S将取决于5M 中任何一个元素的安全性，只要其中任何一个元素出现危险性故障，则系统将进入危险状态，若Smi为元素的安全性，则系统的安全性S 可以表示为：

系统在t 时刻的安全度S（t）为：

根据以上所述，轨道交通5M 模型的构建要以系统任务为核心，识别出与任务相关的所有人员、管理、设备和环境因素，并识别出这些要素之间的相互关联关系。

2.2 临时限速5M 模型要素识别

轨道交通临时限速是除指系统设计的永久固定限速以外，由于出现突发临时的自然灾害、施工、改造、升级、维修、设备故障等原因而需要列车经过特定区段降低运行速度；临时限速随着发起原因的消失而消失，具有明显的时效性特点；临时限速功能的发起、设定、验证、执行、取消等环节涉及轨道交通信号、车辆、通信、工务、电务、行车等设备和人员，由于涉及因素众多，极易引起安全隐患。

从临时限速的设定和取消过程进行分析，临时限速的流程包括发现行车运行过程中发现临时限速需求、拟定设置限速、验证设置限速、执行设置限速、拟定取消限速、验证取消限速和执行取消限速恢复正常运行等环节，针对这一过程，识别出的5M 模型因素见表1。

3 案例分析

为验证基于5M 模型的安全分析方法适用性，结合第2 章提到的轨道交通临时限速5M 模型，利用临时限速任务作为案例，进行安全性分析。

表1 临时限速5M 要素识别

3.1 临时限速命令的基本内容

为进行安全分析，首先需要明确临时限速命令中所包含的基本内容，这些内容将作为安全分析的基础。

表2 临时限速命令的内容

3.2 基于5M 模型的功能共振分析

功能共振分析法模型是丹麦的Hollnagel 于2004 年提出一种事故分析方法，它不局限于系统结构分解和致因因素分析，认为事故本质上是系统正常运行的突变，强调从整个系统的角度来解释事故，避免将事故视为单个事件的有序发生或潜在因素的层级叠加[3]。本文采用2020 年9 月发布的FMV Pro软件作为基于5M 模型的功能共振分析工具，以2.2和3.1 节的分析基础，建立的5M 模型如图2 所示。

在FMV Pro 中可以清晰地分析每一个任务的输入输出的上下游任务直接关联关系和参数，也可以看到每一个任务的具体时间、资源、控制、前提等属性，对于每一个参数和属性，可以依据设置变动进行影响分析。

图2 基于5M 模型的临时限速分析图

通过在FMV Pro 中对临时限速从提出临时限速需求、拟定临时限速、验证临时限速、执行临时限速、拟定取消临时限速、验证取消限速、执行取消限速、运行情况监控、信号与通信设备、工作人员这9 个不同的元素构建5M 模型，并从每元素的输入、输出、时间、控制、前提和资源这6 个特征值波动进行元素之间的关联和变化分析。通过分析可知：（1）分析的结果表明：“人员”因素中的“提出临时限速需求”任务对系统的安全性影响最大，他与每个任务都有关联；（2）如果限速的拟定和验证采用相同的资源，如同样的设备、通用的人员，则可能导致共因失效的发生，不能确保临时限速的安全性[4]；（3）针对每个元素依据6 个特征值进行分析，可以提出更为全面的风险控制措施。

4 结 语

基于5M 模型的交通安全分析以系统任务为出发点，结合每一个系统任务，对交通安全中涉及的基础设施、设备、行人、车辆、环境和管理因素进行分析建模，识别交通安全事故中的关键隐患因素，识别事故发生的一般规律。同时结合功能共振分析法，从每个元素的特征值进行变动分析，可以识别系统的具体安全隐患，为安全保障过程中的风险控制措施制定提供基础。

基于5M 模型的安全分析方法不仅可以应用于轨道交通，也可以应用于日益复杂的整个城市道路交通系统安全分析、特别是针对道路交通环境、设施的建设与维护。