盛 峰， 安雪晖， 林海香， 曾小清， 胡娜娜， 李 冬， 包继锦

（1. 清华大学 土木水利学院， 北京 100084；2. 中电建路桥集团有限公司， 北京 100070；3. 兰州交通大学自动化与电气工程学院， 甘肃 兰州 730070；4. 同济大学道路与交通工程教育部重点实验室， 上海 201804）

轨道交通安全相关系统的安全预评价体现了“安全第一，预防为主”的方针，对提高轨道交通运营的安全性有很大作用［1］。

城市轨道交通安全相关系统的安全评价，早期以欧盟EN系列标准为执行准则形成的一种安全评估工作方法，包括EN50126［2］、EN50128［3］和EN50129［4］等。其中EN50126标准定义了系统的RAMS（Reliability、Availability、Maintainability、Safety），即可靠性、可用性、可维护性和安全性，并且规定了安全生命周期内各个阶段对RAMS的管理和要求；EN50128对铁路控制和防护系统的软件进行了安全完善度等级（safety integrity leve1，SIL）的划分，针对不同的安全要求制订了相应的标准；EN50129主要是针对信号系统安全控制中的要求提出的相应安全管控工作模式，是城市轨道交通信号系统安全控制工作的重要基础。在此基础上，国外还陆续采用了一系列安全评估系统，如英国采用可行性最低原则(as low as reasonably practicable，ALARP）作为风险判据的原则，德国采用最小内在死亡率（minimum endogenous mortality,MEM)原则来评判风险的可容忍度，法国采用风险水平大致相当(globalement au moins aussi bon,GAMAB)原则来评判安全风险［5］，在城市轨道交通安全评估工作中所发挥出的优势非常明显。我国城市轨道交通建设的安全评价工作启动较晚，相应的安全预评价工作更是起步较晚。当前在我国开展城市轨道交通安全评估工作的主要模式［6］有两种：一种是申请第三方安全评价工作，根据AQ 8002—2007《安全预评价导则》［7］和AQ 8005—2007《城市轨道交通安全评价验收细则》［8］来展开全面的安全评估工作。但上述标准只框定了安全预评价的范围和总体流程，并未说明安全预评价过程和具体的方法，导致在实际中对信号系统的安全预评价难度较大。另一种是通过第三方评估工作单位，针对城市轨道交通试运营条件和安全管理工作进行独立评估和分析。

从总体上讲，在当前轨道交通快速发展的需求下，我国轨道交通安全相关系统的预评价方法尚不成熟，积累的各类故障、事故案例无法得到有效共享，需结合人工智能技术建立轨道交通安全风险知识库，以解决实际工程中预评价工作难以开展的问题。然而，当前轨道交通安全相关系统的安全领域知识均以文本、图像等半结构化或非结构化数据形式存在，组织松散、关联性弱、不能共享扩展、更不能关联发现新知识，全靠人工经验积累，这给预评价工作辨识风险源、制定针对性防控措施带来技术挑战。因此，构建一个既能辨识风险隐患，又能关联组织所有安全知识点的安全知识库成为解决问题的关键。

1 基于5M本体的安全知识库构建方法

1.1 5M要素的定义

安全评价基于事故致因理论，从事故根源出发，寻找风险点进行安全等级评价，较多采用要素模型，宏观上普遍考虑的是在人员（Man）、设备（Machine）、环境（Media）和管理（Management）中选择要素建立评价模型［9］，有单要素评价模型［10］，二要素评价模型［11］、四要素评价模型［12］等。由于安全相关系统对安全性要求更高，一般的要素评价模型不能够充分发现系统在设计、施工、安装、调试、运营、维保等全生命周期各阶段的安全隐患，需要加入体现安全相关系统安全特色的要素—任务（Mission），该要素反映系统在全生命周期各阶段完成规定安全功能的能力。鉴于此，从轨道交通安全相关系统实际应用情况出发，提出针对安全相关系统的五大安全要素Man、Machine、Media、Management 和Mission，各要素定义如下：

Man主要指安全相关系统的内部施工、调试、使用、维护人员和安全相关系统外部人员。轨道交通运输安全的各项活动与人密切关联，由于精力不集中、工作负荷、误操作、违章作业、疲劳与警惕性等形成人的不安全行为，就会触发事故。

Machine主要指安全相关系统设备，由于设备种类多、数量大、配置分散、连续运转、维修保养不到位等，会形成设备隐患。

Media 指信号系统所处的自然环境和与之关联的供电、车辆、轨道等应用环境，如供电电源扰动、断轨、车轮打滑、车地通信中断等，这些环境的变化都会造成设备的不安全状态或导致人的不安全行为。

Management 指安全相关系统的建设、施工、使用和维保的安全管理。轨道交通安全相关系统中安全管理的内部缺陷和主体的素质缺陷、组织氛围恶化、管理分工失衡、管理部门之间的职权竞争等都会造成人或设备的不安全状态。

Mission 是指安全相关系统设定应完成的安全功能。如未实现故障-安全、设备功能不足、设计缺陷等都会使安全相关系统安全功能失效，这一要素有助于发现安全相关系统设计、安装、施工等全生命周期中的安全隐患。

1.2 安全本体建模

本体的构建方法多是通过领域专家实现，较为有代表性的方法有IDEF5 法［13］（ICAM DEFinition Method）、骨架法［14］、多伦多虚拟企业建模法［15］（toronto virtual enterprise，TOVE）、Methontology 法［16］、七步法［17］、五步循环法［18］、混合法［19］、多专业领域本体构建（multiple major domain ontology building，MMDOB）法［20］等，综合上述方法提出轨道交通安全相关系统安全本体构建方法，具体流程如图1所示。

图1 安全本体构建流程Fig. 1 Construction process of security ontology

根据图1 流程，首先从相应的城市轨道交通安全评估标准规范中抽取轨道交通安全相关系统安全风险领域概念，并梳理建立概念体系结构。形成城市轨道交通安全风险本体的概念集合，以信号系统为例：｛信号系统，事故案例，事故致因要素，风险事件，安全控制措施，…｝。

其次，对概念集合进行耦合性分析。仍以信号系统为例，根据轨道交通信号系统事故致因机理分析结果，建立信号系统安全风险耦合模型，如图2所示，信号系统在事故致因要素影响条件下（has cause Factor），形成风险事件（cause Accident），即具有事故致因因素，安全控制对这种风险事件提供控制措施（has Solution）防止信号系统事故发生，这四者之间互相影响，互相依赖。

图2 信号系统安全风险耦合模型Fig. 2 Security risk coupling model of signal system

根据耦合模型确定安全本体特征属性，即将“Cause Accident”、“has Cause factor”和“has Solution”作为对象属性，分别描述本体概念“风险事件”和“事故案例”、“信号系统”的对象特征；“Crash_ type”、“Accident _ type”、“Accident _ district”等作为数据属性，描述概念“事故案例”的事故数值属性。

采用语义规则语言（semantic web rule language，SWRL）描述该安全本体的推理规则如下：

根据上述规则，调用Hermit 推理机［21］进行规则推理校验，未有报错，说明该安全本体概念逻辑严密，具有一致性，完成了安全本体构建。此时本体中各概念类之间产生了关联关系，形成了轨道交通安全本体推理模型。

1.3 5M本体安全知识库构建

在5M要素与本体推理模型基础上，搭建安全知识库框架如图3 所示。5M 要素作为安全知识库事故致因要素，贯穿于安全相关系统的设计、施工、测试、运营、维保等全生命周期。安全控制措施是针对事故致因因素（风险事件）及其所处系统生命周期阶段采取相应预防风险事件发生的措施；整个框架基于轨道交通安全本体模型搭建，通过语义关联链接各概念类，添加了SWRL推理规则，知识库覆盖信号系统全生命周期各阶段事故案例、事故致因要素、事故致因因素（风险事件）和相应安全措施，形成一个完整的轨道交通安全知识库框架体系。

图3 信号系统安全知识库架构Fig. 3 Architecture of security knowledge base of signal system

2 基于安全知识库的轨道交通安全预评价方法

根据我国国家标准GB/T 21562-2008《轨道交通可靠性、可用性、可维修性和安全性规范及示例》［22］以及AQ8001-2007《安全评价通则》［23］标准要求，一般轨道交通安全预评价方法主要包括如下流程：风险界定→风险辨识→风险预估计→风险评级→风险控制。

轨道交通安全预评价首要问题是风险辨识，鉴于目前主要依靠人工辨识风险，再制定安全控制措施，本文提出一种基于安全知识库的轨道交通安全预评价方法，具体如下：

第一步，风险界定。将预评价对象进行5M 分类，在5M要素定义上进一步细化安全相关系统风险因素，并与具体设备和具体管理制度、具体设计项结合，形成可操作的5M辨识风险项。

第二步，风险辨识。按5M辨识模型分类逐项与知识库进行案例比对实现风险辨识，即按照查询词引导本体推理查询，按照案例相似，初步识别系统中潜在的危险和有害因素。具体查询词的选取，按照“5M要素词→各事故致因因素中的通用风险项→各特定风险项”，层层过渡，逐层选取关键词在信号系统安全风险知识库中推理查询，再完成案例相似性比对。

第三步，风险预估计。按照风险的严重程度考虑人员伤亡、环境破坏、经济损失、工程延误、运营中断等不同方面的不利影响，参考城轨建设和运营评价规范，采用五级标度法划分风险损失后果为灾难性的（A）、非常严重的（B）、严重的（C）、需要考虑的（D）和可忽略的（E）五个等级［24］，再将梳理出的风险点及其相似案例所关联的事故类型、事故形态等事故信息作为风险损失后果的参考，查表标定损失后果，便于工程开展风险评级。

根据安全知识库库包含相似案例事故信息估算事故频率，例如“线缆破损”存在至少2个相似案例，则事故概率等于相似案例与案例总数之比（约0.01），查表1得到可能性等级为2；又如“CBI（联锁）设备缺陷”存在1 个相似案例，则查表1 可能性等级为3。

表1 风险发生可能性等级标准Tab. 1 Risk occurrence possibility grade standard

由事故风险(事故概率与损失后果相乘)，形成预估计风险矩阵，查风险矩阵等级表2，逐项评定风险级别。

表2 风险等级标准Tab. 2 Standard for risk level

第四步，根据风险估计的结果定出总体风险等级。

第五步，为系统风险项制定风险控制措施。由上一步找出的系统薄弱环节，追溯影响其安全的因素，按照工程全生命周期的阶段，分阶段制定控制措施，完成轨道交通安全相关系统的风险控制。

3 应用案例

以“上海某轨道交通车辆段改扩建工程风险评价”项目为例。项目要扩建车辆段，增加八条停车线，需要对车辆段内既有信号系统中的计算机联锁、微机监测、列车自动监控系统（automatic train supervision， ATS）设备、电源屏及UPS 设备、50 Hz相敏轨道电路、信号机等进行扩充增容，段内列车信号机改为调车信号机，正线交叉渡线道岔迁改，并对正线车站的既有计算机联锁、列车自动防护系统（automatic train protection， ATP）、列车自动驾驶系统（automatic train operation， ATO）、ATS 等进行改造。更新改造要求在不停运前提下进行工程施工，并完成新旧系统的过渡，既要确保行车运营安全，又要保证工程项目的顺利实施，因此急需进行信号系统改扩建项目安全预评价。

首先，建立信号系统5M辨识模型，如图4所示。图中，破折号表示该类故障发生在所处系统全生命周期的阶段。

图4 信号系统安全风险辨识模型Fig. 4 Security risk identification model of signal system

其次，进行基于安全知识库的风险辨识。在各风险项辨识中，例如，选取风险辨识模型“功能”下的特定风险“工程设计符合标准规范”项作为查询参考，判断本改扩建项目中“出段进入正线无岔区段长度38 m是否符合《上海城市轨道交通工程技术标准（暂行）》的规定，在知识库中输入查询语句“进入正线无岔区段长度 some xsd ：integer［＜= 100］”，推理规则生效，查询到案例1作为相似案例，说明本项目存在工程设计与标准规范不符的情况，辨识出该风险点，如图5 a所示。

图5 特定风险项辨识Fig. 5 Identification of specific risk items

再根据安全知识库中各知识结点关联特性，順链接查看，从其知识图谱中得到具体安全控制措施，如图5 b所示。上述为后续安全控制提供参考。

4 结果讨论

预评价的重难点是预评价过程中的风险辨识和风险控制措施，这两个过程直接影响评价效果和系统安全。基于安全知识库的轨道交通安全预评价方法与其他评价方法虽然都能完成对安全相关系统的预评价，但预评价的效果是不一样的。

使用知识库辨识信号系统风险点，可在知识库推理查询方式下，找出信号设计参数是否符合信号设计标准规范的案例，并且安全知识库可实现“致因设备→事故致因要素→风险事件→事故案例→安全控制措施”之间的因果关联关系的可视化展示，弥补人工经验辨识力的不足，减少人工辨识工作量，加快辨识进程，方便制定后续安全控制措施。同时，采用5M辨识模型，即在增加了“Mission”致因要素后，辨识信号系统风险隐患的效果显著。

参考以往采用查全率、查准率评价知识库［25］，结合本次所用方法，制定体现预评价关键过程完成质量的指标，即风险辨识覆盖率（C）、风险辨识质量（Q）、风险控制措施精准度（A），用这些指标评判预评价方法的效果。C指风险辨识总数占知识库案例总数的比例，体现了预评价方法中风险识别的全面性；Q指所辨识出对安全相关系统的安全性影响较大的风险项数量占风险辨识总数的比例，体现了预评价方法的有效性；A是指为提高系统安全性，所制定的风险控制措施针对安全相关系统全生命周期的某一阶段或某一风险项的最大措施数量占全部控制措施总量的百分比，符合预评价事前管理的全局性要求，体现了预评价方法的实施效果。

式中：M为风险辨识总数；N为案例总数。

式中：L为较大影响风险项数量。

式中：R为风险控制措施数量；下标T表示全生命周期阶段；I为风险控制措施总数。

针对上述应用案例，分别采用基于安全知识库的轨道交通安全预评价方法和一般评价法，通过C、Q、A三个指标比较。一般评价法采用《地铁运营安全评价标准》中针对信号系统的从功能和管理要素建立的“信号设备评价表”作为参考［26］，按照该表的定性定量指标进行预风险分析。采用本研究方法的风险辨识总数是123，取Ⅱ级风险项数量23 作为较大影响风险项数量，对应知识库推荐风险措施总数27条，例如，针对“线缆破损”这一风险项的全生命周期阶段最大风险控制措施3 条；采用一般评价法的风险辨识总数是24，Ⅱ级风险项数量3，风险控制措施总数最大24，针对各风险项的全生命周期阶段最大风险控制措施1条，为方便比对，设定两种方法均有知识库，且知识库案例总数均为同一值。将数值分别代入式（1）—（3）中，计算后得到两种方法实施效果的比对如图6所示。

图6 本研究方法与一般评价法比较图Fig. 6 Comparison between this research method and general evaluation method

由图6可知，基于安全知识库的轨道交通安全预评价方法明显优于一般评价法，尤其在风险控制措施精准度上，本研究方法针对设计、施工、调试、试运营、运营和维保各阶段制定风险控制措施，风险控制措施精准度约为11 %；而一般评价法仅针对运营和维护阶段的信号设备风险点和维护保养管理制定措施，风险控制措施精准度约为4 %。与一般评价法相比，本研究方法在风险辨识质量上提高了6 %，控制措施精准度提高了7 %，在风险辨识覆盖率上提高了50 %。因此，采用基于安全知识库的轨道交通安全预评价方法对于提高安全相关系统的安全管理水平具有较大意义。

5 结论

在实践中开展轨道交通安全相关系统的安全预评价，其技术难点在于风险辨识依赖人工经验积累，对技术人员能力要求极高。本研究提出基于安全知识库的轨道交通安全预评价方法，将经验积累转为易于共享和管理的安全知识库，提高了方法的可用性；宏观上采用5M 要素对信号系统风险辨识分类，有利于认清风险根源；微观上从系统全生命周期角度对安全相关系统分阶段风险辨识并评定风险损失，有利于制定安全相关系统风险控制措施。

对这种新预评价法的实施效果与《地铁运营安全评价标准》采用的安全检查表法做了比较，表明该方法在辨识质量、风险控制措施精准度和辨识覆盖率上分别提高了6 %、7 %和50 %的比例，具有明显的提升优化效果，进一步完善了轨道交通安全预评价理论，有利于加强轨道交通安全管理，也为其他安全相关系统的风险预评价提供参考。

作者贡献声明：

盛 峰：建模思路，初稿撰写。

安雪晖：数据收集，数据挖掘与建模。

林海香：数据收集与处理。

曾小清：风险辨识。

胡娜娜：算法测试。

李 冬：实验结果可视化。

包继锦：数据整理。