冯珺妍 蔡 爽工程师 吴弘飞 樊运晓教授

(1.中国地质大学(北京) 工程技术学院，北京 100083；2.北京市轨道交通运营管理公司安质部，北京 100068)

0 引言

随着科技快速发展，人类面临的生产系统日益复杂，系统内人员、组织与技术之间相互作用，常常引发“正常事故”。研究表明，安全职责不清是导致这些“正常事故”的根本原因。城市轨道交通系统是集信号、车辆、供电、运营调度等多专业为一体的复杂系统，事故一旦发生往往造成巨大的社会影响。系统调度岗位作为保障轨道交通正常运营的核心，岗位内角色繁多且与岗外多人员联系密切，易产生工作安全职责重叠交叉的现象。近年来，“8.12”天津港爆炸事故及“7.23”动车事故等多起重大生产安全事故的调查报告中均反映出：事发前相关部门并不清楚各自部门的确切安全职责，监管安全职责在设计上存在部门间安全职责交叉、安全职责“空白”等问题。同样，清晰的安全职责划分是企业实现系统调度功能正常运行的前提，亦是预防轨道交通事故发生的关键，但目前鲜有学者对安全职责划分展开系统的研究。

事故致因理论从“个人”层面发展至“组织”层面，组织层面的组织因素成为事故的主要致因。目前，组织多通过文字陈述对安全职责进行简单罗列，无法直观展现人员或组织间安全职责联系及安全职责分布的合理性，可靠的岗位安全职责分布是保障安全职责得以实现的关键。Hollnagel提出“从安全Ⅰ到安全Ⅱ”的新见解，安全Ⅱ理念强调尽可能多的正确实施操作，提升功能成功的效果，功能共振分析方法(Function Resonance Analysis Method，FRAM)从功能角度出发，辨识动态系统中的风险因素，分析系统功能单元可能出现的变化及其耦合结果的影响；高远等应用FRAM评估并分类政府的安全监管职能，明确9项政府安全监管职能，并将其划分为4个层次；樊运晓等应用FRAM分析“8.12”天津港爆炸事故中人员和组织的相应安全职责。以上研究表明，采用FRAM进行安全职责分析，已收到较好效果，证明FRAM是清晰界定安全职责的有利工具。基于此，本文从安全Ⅱ视角出发，应用FRAM构建现有规章制度下的系统调度岗位安全职责体系，识别实际操作过程中人员、部门执行其岗位安全职责与预期安全职责之间存在的偏差，并试图分析偏差共振后可能造成的负面结果，针对现有岗位安全职责体系设计提出优化的建议措施。

1 研究方法

1.1 功能共振分析法

FRAM是丹麦学者Hollnagel在2004年提出的一种解决复杂社会技术系统中安全问题的方法。由于系统的复杂性，组织、人员、技术在运行过程中易发生相互作用或耦合作用，但以往的事故致因模型仅从系统结构分解角度来分析要素，无法展现系统要素间的复杂关系，而FRAM关注系统功能的特征并非系统结构，通过控制要素(FRAM中称为功能单元)的5方面特征确保要素的功能正常实施，通过连接系统要素的功能来展现系统正常运行方式，以关注事件成功的视角绘制功能网络图并分析系统要素的特征变化及其耦合结果。FRAM分析过程具体包括以下5个步骤，如图1。

图1 FRAM建模一般过程Fig.1 The general process of FRAM modeling

(1)确定系统边界，识别并描述功能。应用FRAM的首要步骤是对分析系统的边界进行描述，清晰阐述分析范围及详细程度后，识别系统日常运行中所需的所有功能单元，为确切表达功能单元，Hollnagel提出从输入(Input，I)、输出(Output，O)、前提条件(Precondition，P)、资源(Resource，R)、控制(Control，C)和时间(Time，T)6个特征维度表征功能单元，以六角形图形化表示，如图2。输入(I)：启动功能单元的事物或功能单元要处理转化的事物，与前一个功能单元产生联系。输出(O)：功能单元运行的结果，可以是实体或系统状态的转变，与后一个功能单元产生联系。前提条件(P)：功能单元执行前必须满足的系统条件。资源(R)：功能单元执行过程中需要或消耗掉的事物，如程序、能量、人力等。时间(T)：约束功能单元的运行，如起始、终止时间，可看作特殊的资源类型。控制(C)：控制或控制功能单元，如计划、程序或指导手册、指导方针等。

图2 功能单元的六角形参数图Fig.2 Hexagonal parameter diagram of functional unit

(2)分析功能变化。分析功能变化需了解每个功能单元的内部及外部因素对其影响，更需理解系统内功能单元之间的耦合关系以及上下游功能之间变化的影响。功能单元输出发生变化，主要是由于功能单元自身或其所处的运行环境发生变化。为描述该变化，Hollnagel将功能划分为3个类别：技术、人员或组织，以时机和准确度2个指标来描述变化的表现形式。

(3)耦合分析并绘制功能网络图。FRAM表示的是共同完成目标的一组功能以及功能之间的潜在变化的耦合，系统内上游功能单元的“O”作为下游功能单元的“I”“P”“R”“T”或“C”，影响下游功能单元的输出，分析系统内发生变化的多条功能单元连接，探究变化的连接在系统内传导的过程，并据此绘制功能网络图。

(4)耦合结果分析。分析功能单元变化的耦合结果，并判断其结果是否在预期可接受范围。对于发生共振的功能单元，可依据功能失效连接关系，识别其变化原因并制定相应的屏障措施。

1.2 研究方法与思路

本研究以北京市某轨道交通运营企业系统调度岗位为研究对象，对照法律法规和企业规章，从系统功能的角度确定岗位功能，并识别在岗时间内实现系统调度功能所涉及的所有人员、部门或设备，描述各功能单元的功能属性，构建系统调度岗位角色安全职责网络图。在此基础上，通过现场调研和对一线系统调度员访谈，辨识各功能单元在生产实践中可能产生的偏差及其可能产生的功能共振现象，并通过分析提出相应的建议措施。

2 确定系统边界，识别及描述功能单元

经访谈了解到系统调度岗内外人员、相关部门及设备均影响系统调度员正确操作，因此将系统边界的原则定为：在岗时间内为实现系统调度功能所涉及的所有人员、部门或设备。在此基础上，以国家标准和北京市地方标准为基础，结合企业规章和访谈内容，识别及合并系统边界内安全职责相同的功能单元，确定系统调度功能正常运行所涉及的功能单元为培训部(F1)、上一岗值班经理(F2)、值班经理(F3)、上一岗系统调度员(F4)、岗外人员(F5)、维修部人员(F6)、调度通讯设备(F7)、同值系统调度员(F8)、系统调度员(F9)。针对每一单元的功能，重新定义各特征维度的内涵如下，基于此内涵所确定的各功能单元六维度属性表征，见表1。

表1 系统调度岗位各功能单元FRAM六维度特征描述表Tab.1 Fram characteristic description table in six dimension of each functional unit of system dispatching post

输入(I)：法律或企业规章中相关要求，或从访谈内容得知实际操作中对相关人员的要求。输出(O)：在岗时间内，人员、设备或组织的安全职责。前提条件(P)：工作前必须满足的条件，如知识技能、资质。资源(R)：工作中需要消耗的事物。时间(T)：工作或应用设备的时间。控制(C)：人员监督。

基于人员、组织和技术理论(Theory of Man，Organization and Technology，TMOT)划分功能单元类别，培训部划分至组织功能，调度通讯设备划分至技术功能，其余功能单元划分至人员功能。依据功能单元各维度的功能属性，连接“输出”与其他功能单元的要素，绘制系统调度岗位角色安全职责功能分布网络图(如图3)，呈现现有规章制度下系统调度岗位内角色的安全职责分布及其工作联系。

图3 系统调度岗位角色安全职责功能分布网络图Fig.3 The function distribution network diagram of the role safety responsibility of system dispatching post

3 识别功能单元变化及耦合分析

不同类型的功能单元要素变化表征不同，人员功能是由个体或集体行为完成，组织功能则是指由一群人或多群人通过组织而实现的活动，技术功能是由各类机器设备实施的功能。功能变化是指功能单元实际完成的安全职责与预期设定安全职责之间的差异，通常由完成的精确程度和时机2种方式表达。功能变化可能成为导致事故的致因，多变化的耦合则会引发系统功能共振，导致重大事故发生。本文以访谈及现场调研的方式，辨识出生产实践中出现频率较高的功能单元变化，见表2。在此基础上，构建系统调度岗位安全职责失效网络图(如图4)，其中带有“×”的连线表明，在生产实践中人员、组织或设备实现的安全职责与预期安全职责之间存在偏差，虚线表明实际情况中组织安全职责设计存在缺失，加粗线条表明一定条件下存在此条连接。

表2 功能单元输出的变化Tab.2 The change of output of functional units

续表

当系统内功能单元发生变化较多或某功能单元包含多项输入输出连接时，失效连接或缺失连接可能导致功能共振，产生不期望事件。由图4可知，功能单元连接共计18项，发生变化的功能连接有10项(用“×”表示)，F1发生多项变化。表3呈现了系统内功能共振的连接，其中灰色部分为缺失连接。从控制论的角度看，正是由于功能单元之间的失效连接及缺失耦合导致不期望事件或事故发生。

图4 系统调度岗位角色安全职责失效网络图Fig.4 The effective network diagram of role safety responsibility of system dispatching post

表3 系统调度岗位安全职责系统功能共振表Tab.3 System function resonance table of system dispatching post responsibility

续表

分析表3和图4可知，F1作为安全职责系统的最高一层，共有7条功能输出连接，F1输出发生变化后，对下游功能产生较大影响。由于F1与F2和F3之间的连接缺失，即值班经理未接受岗前培训。因值班经理是由经验丰富的行车调度员担任，其在上岗前未系统性了解系统调度员的工作内容，因此无法确保F2和F3具备相应的业务能力，易出现F3告知F8和F9的交接事项遗漏的情况，造成F8监督失效和F9操作失误，影响轨道交通正常运营。当F8离岗后，由于F3不了解系统调度员具体工作，且未接受专业管理知识培训，同时一名值班经理需统筹管理位于2个调度指挥大厅的地铁线路，因此受到工作地点的限制，使其无法对F9实施及时有效的监督管理，即“F3(O)—F9(C)”流于形式(图4中加粗线条连接)。当F7异常运行时，不仅延长了F9询问信息时间，更会使F9接收有误信息并做出错误判断。与此同时，由于系统调度员培训教材中部分危险场景辨识不足，且在岗前培训阶段F8与F9未区分工作角色，接受相同知识内容培训。在培训过程中，未就监督角色设置其工作中应注意的事项课程，因此出现超出培训教材范围的故障时，F9仅依据自身调度经验操作，而F8监督角色失效，增加了故障处置的风险。

4 建议措施

基于功能单元变化和耦合结果分析，对现有岗位安全职责体系设计提出优化的建议措施，避免薄弱环节发生功能共振，提升轨道交通运营的本质安全。

4.1 值班经理接受培训，完善多岗位培训教材

培训部确保值班经理接受岗前培训并持证上岗，完善多岗位的培训教材。由于铁路与轨道交通行业具有极大的相似性，借鉴英国铁路安全标准委员会(Rail Safety and Standards Board，RSSB)对一线员工管理者的培训方案，对值班经理的培训教材提出要求，需包含以下知识模块：基本知识、专业知识、管理知识以及领导知识；组织多部门采用头脑风暴方法，辨识系统调度员操作过程中的危险场景并制定应急措施，补充至系统调度员培训教材。

4.2 增加同值调度角色监督时具体注意事项

同值系统调度员的主要工作安全职责为监督审核系统调度员操作，但在岗前培训中，未区分同值系统调度员与系统调度员的角色，两者的知识来源相同。而实际工作时，人员时常转换工作角色。企业应区分系统调度员和同值系统调度员的工作任务，明确同值监督的具体注意事项，增加同值系统调度员角色的工作重点，明确操作动作的监督标准。培训考核过程中，增加辨识操作失误的流程。

4.3 定期维修调度通讯设备

当调度通讯设备异常运行时，可能导致系统调度员接收或发布信息有误，或因无法操作将控制权下放至车站，延误有效的处置时间。企业应定期指派专人维护调度通讯设备，降低设备异常运行的发生概率，同时确保备用设备处于良好状态，保证其能随时启动、切换并投入运行。

5 结论

为明确轨道交通系统调度岗位内人员安全职责，基于法律法规和企业规章，应用FRAM构建系统调度岗位角色安全职责功能网络图，辨识并分析岗位安全职责系统中功能单元的变化及其耦合，得出以下结论：

(1)基于FRAM分析系统调度岗位内多角色安全职责，直观展现岗位内多角色间的工作联系，明确其各自安全职责，可避免因角色安全职责不清的事故发生。

(2)在系统调度岗功能网络系统中，辨识各功能单元在生产实践中产生的偏差及其耦合结果，纠正不合理的系统调度岗位设置，为企业提出相应的建议措施，丰富安全职责划分方面的理论研究。

(3)下一步可考虑将FRAM分析功能变化阶段定量化，进一步拓展FRAM的应用领域。

本研究由北京轨道交通燕房线、大兴机场线运营安全与应急提升项目(地铁多线共用运营安全字2019-B122)支持。