宁 静，佘振国

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

随着我国铁路行业的快速发展和新技术、新装备的广泛应用，为适应铁路安全运营面临的新形势、新要求，深入推进铁路运输安全风险管理，以“技防”手段加强安全风险预防和控制，是实现铁路运营长治久安的重要举措。科学、准确地评价铁路运输安全风险，是实现风险有效控制、事故精准预警、快速应急处置和防控资源有效利用的基础[1]。

安全生产风险定量评价大多为多属性决策，相关研究方法主要包括层次分析法、模糊综合评价法等。肖遥等人[2]在企业安全生产风险预警研究中，采用区间层次分析法计算指标权重，运用模糊综合评判法构建安全风险评价模型；郜彤等人[3]提出基于云模型和组合赋权的方法构建煤矿安全风险评价模型；张子龙等人[4]采用灰色系统理论结合传统模糊层次分析的方法构建评价模型，对高层建筑施工风险进行定量评价；刘敬辉[5]提出了基于故障树分析法和层次分析法的风险评价模型，应用于铁路安全风险综合评估。保护层分析（LOPA，Layers of Protection Analysis）方法是通过对既有保护措施可靠性的量化评估来确定其消除或降低风险的能力，进而对安全风险进行定量评价，本文基于LOPA 方法构建了铁路运输安全风险量化评价模型，并运用该模型，对线路设备故障风险进行评价，验证了模型的有效性与实用性。

1 理论概述

1.1 LOPA 方法概述

LOPA 方法是一种半定量风险分析方法，起源于20 世纪80 年代末，常用于石油化工行业的风险分析。为了防止事故发生，每个完整的生产作业通常要设置系统、装置或动作等安全保护措施来阻止始发事件演变为事故。LOPA 方法把每个安全措施看作一个保护层，且理想的保护层应当是独立的，即任何一个保护层的功能和作用与其他保护层无关。LOPA 方法通过评估保护层的有效性来确定其对风险的控制能力，从而对风险进行度量[6-7]。

1.2 LOPA 方法分析过程

LOPA 方法的分析过程一般包括：筛选初始场景、识别初始事件、评估独立保护层、计算初始事件失效率、评估风险5 个步骤。

通常用初始事件发生频率、每个独立保护层失效频率、造成后果的严重程度来综合表示评价对象的风险值[8-9]，风险值计算公式为

2 铁路安全风险评价模型

借鉴LOPA 方法的思想，考虑铁路运输生产过程在地面和列车上都设有多重保护，并相互作用。为防止此类事故的发生，以车辆轴承故障导致列车脱轨为例，在车辆运行过程中设置了车辆轴温智能探测系统（THDS）、车辆滚动轴承故障轨边声学诊断系统（TADS）、货车故障轨边图像检测系统（TFDS）等多种检测监测系统，同时配备了车辆列检人员进行站内巡检，这些都是车辆轴承故障导致列车脱轨风险的保护层，并且每个保护层都独立发挥作用，防止事故的发生。如图1 所示，车辆轴承发生故障时，轴温探测、声学诊断、图像检测、人工巡检等保护层依次独立发挥保护作用。只有当所有保护层都失效，车辆轴承故障才可能导致事故发生。

图1 保护层作用示意

2.1 铁路安全风险评价模型流程

（1）筛选初始场景

基于故障树分析方法，对铁路运输安全风险事件发生的原因和后果进行分析，涵盖人员作业、设备系统、外部环境及管理4 个方面，筛选得到LOPA方法的初始场景。

（2）识别初始事件

在所有保护层都失效的情况下，可能导致事故发生的事件即为初始事件。通过定性分析，识别初始事件。

（3）评估独立保护层

为防止初始事件发展为事故而设置的设施装备、作业活动等措施，称为保护层。为确保保护层是独立的，对于嵌套或条件关系下发挥作用的保护层，需将其整体看作一个保护层。例如，对于上跨桥坠物这一初始事件，为确保行车安全，设置了异物侵限监测系统，包括检测网、服务器、监测软件，检测到坠物后将信息发送到列控中心，将轨道电路置为占用状态，进而实现列车自动防护。这样监测系统与信号系统、列车自动防护系统（ATP）共同构成一个保护层，而从检测网、服务器、监测软件、轨道电路接口、车载ATP 构成的要素中，如果其中任何一个发生故障将造成保护层失效，则称为保护失效。

（4）计算初始事件失效频率

初始事件失效频率计算公式为

（5）评估风险

事件场景的风险可根据初始事件失效频率和导致后果的严重程度来确定，某一场景（包括设备故障、违章作业、环境灾害等）造成危害的风险值计算公式为

2.2 初始事件失效频率计算

由公式（2）可知，初始事件失效频率由固有发生频率和保护层失效率决定。

2.2.1 固有发生频率

固有发生频率受多种因素影响，例如，行车设备固有故障频率不但取决于设备本身的原始故障频率，还受到设备建设使用年限、运行环境恶劣程度、检修养护水平等诸多因素的影响。由历史统计数据得到由若干主要影响因素修正后为

其中，E1 为设备运用时长权重；E2 为维修养护情况权重，例如维修养护计划兑现率；E3 为设备运用程度，例如客运、客货混跑、重载等运用场景的对应权重；E4 为行车运行环境恶劣程度，例如在雨雪、冰冻、风沙等恶劣环境中运行的对应权重。

2.2.2 保护层失效率

保护层失效率是指为确保设备正常运行而设置的保护措施的失效发生率。各类检测监测装置/系统保护层或人工检查都是为及时监测设备固有故障的发生而设置的保护措施，因此，可视为保护层。对于检测监测装置/系统保护层，可参考安全完整性等级SIL3的标准，确定设备失效率；可通过设备故障固有频率与检出频率计算得到人工检查保护层失效率，如公式（5）所示。

为简化计算，可认为设备检测监测和人工检查发现了设备故障，有效地制止其导致事故发生，且各种保护措施之间是互相独立的，每一种保护措施检出的设备故障对设备固有故障实现全覆盖，才能认为其保护100%有效。

由公式（2）可知，保护层越多，且每一个保护层失效率越低，该初始事件失效的频率越低。

2.2.3 后果严重程度计算

（1）人员伤亡损失。人员伤亡主要包括事故导致的死亡损失和伤害损失。对于人员死亡损失，《中华人民共和国侵权责任法》第十六条第11 款死亡赔偿金规定“按照当地居民平均可支配收入计算，赔偿二十年”。国家统计局发布2020 年全国居民人均可支配收入为32 189 元，故1 名人员死亡损失约计为64 万元。对于人员伤害损失，依据《英国工程安全管理黄皮书》给出的受伤人数与死亡人数等价转化估算，等价死亡数=死亡数+（0.1×重大伤害）+（0.005×轻微伤害）。

（2）耽误列车损失。依据部分铁路局集团公司发布的铁路中断行车经济损失参考标准，分别设定高速和普速两类线路的交通事故造成耽误线路运营单位时间的经济损失。

（3）财产损失。考虑事故直接财产损失，主要包括行车设备设施损失和货物损失，数据来源于铁路交通事故调查报告。

3 案例分析

以设备故障类风险为例，对某货运车站道岔相关风险进行分析。按照上述基于保护层分析的步骤，先筛选初始场景、识别初始事件、评估独立保护层，然后采用专家评判法和数据统计法，采集风险计算模型所需数据。

3.1 数据取值

根据历史事故故障和检测监测数据，结合设备养护经验，将每类线路一定时期内的平均故障次数作为固有发生频率，同时可根据外部环境和时间情况，进行动态调整。

E1：从铁路工务管理信息系统（PWIS）获取线路设备投入使用时间，并按照表1 对设备投入使用时间进行离散化处理。

表1 设备运用时长权重对照

E2：从工务安全生产管理系统获取线路设备检修信息，并按照表2 对维修养护计划兑现率进行离散化处理。

表2 维修养护情况权重对照

E3：从工务安全生产管理系统获取线路运用场景，具体取值如表3 所示。

表3 设备运用程度对照

E4：根据月份和预定义的线路所处地理环境确定行车运行环境恶劣程度，具体取值如表4 所示。

表4 环境恶劣程度对照

（2）保护层失效率

PFDi1：人工检查操作的失效率。从工务安全生产管理系统中获取该线路人工检查发现的缺陷数量，

由公式（5）计算得到失效率。

PFDi2：监测设备的失效率。参考安全完整性等级SIL3的标准，对设备失效率进行赋值。

（3）后果严重程度

3.2 结果分析

针对某货运车站道岔相关风险，基于本文所述风险评价方法，从相关业务系统采集样本数据，通过模型分析给出以货币表示的动态道岔病害，包括道岔几何尺寸超限、岔枕歪斜失效、联结零件断缺损、道床翻浆冒泥、钢轨肥边鱼鳞伤等度量值，部分道岔风险项及对应的风险值如表5 所示，从中发现，几何尺寸严重超限、钢轨肥边鱼鳞伤、联结零件断缺损为风险值较高的、发生频率较高的风险，在运输生产中需要重点关注，这也与专家经验分析的结果一致。

表5 部分道岔风险值计算结果

4 结束语

本文对LOPA 方法进行了概述，并构建了基于LOPA 方法的铁路安全风险量化评价模型。结合铁路运输生产实际，对风险评价模型中的分析步骤、保护层概念、模型参数进行了实例化定义，并详细介绍了模型的运算过程和关键变量的取值方法。本文提出的保护层分析模型对铁路运输安全风险度量进行了积极地探索，模型简单适用、易于扩展。研究成果已在铁路安全监督大数据应用系统中开展了初步运用，为下一步风险等级评估、精准预警打下了基础。