基于貝葉斯網絡的列控系統安全風險評估方法

車玉龍，蘇宏升

蘭州交通大學自動化與電氣工程學院，蘭州 730070

基于貝葉斯網絡的列控系統安全風險評估方法

車玉龍，蘇宏升

蘭州交通大學自動化與電氣工程學院，蘭州 730070

1 引言

列車運行控制系統是用于保障高速列車安全可靠高效運行的安全苛求系統，是高速鐵路信號系統的“神經中樞”，對其進行安全風險評估顯得極其重要。評估一個新系統或產品是否符合安全、性能標準的關鍵是進行定量和定性的風險評估。定性和定量的風險分析方法已廣泛應用于其他行業，特別是在核電和航空航天領域，但是在鐵路監管決策和安全標準執行方面來說是個相對較新的概念。

國內學者已提出較多的安全風險評估體系[1-3]，但是這些安全評估框架缺少具體的實施方法。在具體的信號系統定量風險評估中[4-6]，FTA（Fault Tree Analysis，故障樹分析方法）使用最為廣泛。文獻[4]采用FTA和事件樹分析方法對鐵路平交道口進行定量安全評估。文獻[5]用FTA定性地識別出導致無線閉塞中心列車超速和列車冒進兩類安全風險的原因，缺乏定量評價。文獻[6]用FTA分析列控系統各危險源的發生原因，結合模糊群決策方法，確定了危險源的風險發生頻率。但像列車運行控制系統這樣結構復雜、關鍵設備冗余的可修安全苛求系統，采用FTA進行安全風險評估具有一定的局限性，譬如FTA假設事件是二值的、相互獨立的，不能很好地解決復雜系統的建模問題，計算精確度低并且浪費時間。

近年來BN（Bayesian Network，貝葉斯網絡）在鐵路運營[7]，海事[8]，民航[9]等安全性領域的潛力得到了開發，很好地彌補了傳統安全性評估方法的不足[10]。BN是一種基于貝葉斯推理的風險量化方法，對事件之間的依賴關系建立概率數據模型。BN不僅可以建立考慮組織、人因、環境等多因素的綜合風險模型，而且能有效地進行不完備數據中不確定性問題的風險分析，能得到較為客觀的定量分析結果。

本文采用BN建立列控系統的風險評估模型，首先識別信號系統中存在的潛在危險和薄弱環節、危險導致事故的發生概率和可能的嚴重程度等。通過BN風險評估模型計算危險導致事故發生的集合風險，將其與標準進行比較，確定系統能否滿足安全要求并達到設定的安全目標，為列控系統的風險管理提供科學依據。

2 基于貝葉斯網絡的風險評價流程

2.1 貝葉斯網絡介紹

BN是一個有向無環圖，它由代表變量的節點及連接這些節點的有向邊構成，其中節點表示隨機變量，有向邊代表變量間的條件依賴關系。BN通過圖形表達不確定知識，通過條件概率表，可在模型中表達局部條件的依賴性[11]。BN的基礎是貝葉斯公式。

其中Bk為樣本空間Ω的一個劃分，A為任意事件，初始概率P(Bk)稱為先驗分布，修正后的概率P(Bk|A)稱為后驗分布，P(A|Bk)是似然函數。

利用貝葉斯網絡的獨立性，可以極大地減少計算聯合概率所需的參數數量，對于變量B的聯合概率分布為：

BN的節點可分為三類：Chance節點、Decision節點和Utility節點[12]，分別用橢圓形、長方形、菱形表示，如圖1所示。

圖1 BN舉例

Chance節點表示隨機變量，有離散和連續兩種類型，Decision節點表示用戶決定的一個決策節點，和離散Chance節點相比，它沒有條件概率。Utility節點表示效用函數的附加分布，效用函數是所有Utility節點的總和。

2.2 基于貝葉斯網絡的風險評估流程

BN是進行原因-后果分析最適合不過的風險評估方法[13]。利用可容忍風險率THRs（Tolerable Hazard Rates，可容忍危險率）等概念，識別對象（要對其評估的系統）在運行環境中潛在的危險，分析已識別的危險導致的潛在結果——風險，使用貝葉斯網絡概率的方法計算風險的THRs。然后將風險的THRs與標準的THR（也即ASPL（Acceptable Safety Performance Limit，可接受安全性能極限））進行比較，若不符合，重新設定相應的值，按照原來的步驟進行計算，直到符合標準要求為止[14]。

基于貝葉斯網絡的風險評估方法是迭代的過程，輸入不同數據后對得到的結果與ASPL進行比較，旨在評估研究的系統是否滿足THR水平，評估流程如圖2所示。

圖2 基于貝葉斯網絡的風險評估流程

3 基于貝葉斯網絡的風險評估模型

3.1 相關概念

危險，指可能導致事故的一種狀態。

事故，指一個或一系列無意識的事件導致死亡、受傷、系統或服務損失，或環境的破壞。

風險，由一個指定的危險事件發生的可能性（即風險概率）和后果（即嚴重性）的結合。

EN50129用SIL（Safety Integrity Level，安全完整性等級）來說明相關系統的安全目標[15]，如表1所示。SIL指在規定時間周期內和規定條件下安全相關系統成功地完成所需安全功能的能力。THR指每單位時間和每功能出現可承受危害源次數，通過對系統的風險和危害進行定性和定量分析，來確定系統的THR值，進一步確定系統的SIL。

表1 安全完整性等級分級標準

安全完整性越高，則其不能執行必需的安全功能的可能性就越低。THRs能夠表示安全完整性包含的系統化故障完整性和隨機故障完整性。系統故障完整性是安全完整性的不可量化的部分，并且與危險的系統故障（硬件和軟件）相關，系統的故障是在系統/子系統/設備的生命周期的各階段中的人為錯誤所造成的。隨機的故障完整性是安全完整性的一部分，它跟有害的隨機故障有直接的聯系，特別是隨機的硬件故障，這些硬件故障是由于硬件組件有限的可靠性所造成的。

3.2 危險識別

在分析系統需求規范、系統結構和功能的基礎上，可以采用故障和意外分析方法（如初步危害分析、故障樹分析、事件樹分析、FMECA、HAZOPS等）識別系統在環境交互下運行過程中的潛在危險。

假設有系統或子系統故障模式導致的n個危險，每個危險Hj(j=1,2,…,n)的危險率為HRj，HRj表示列車每小時或每運行公里出現的危害源次數。危險的持續時間為Dj，Dj取決于危險出現時系統和環境的交互。這樣，在特定環境下，Hj危險出現的概率為：

3.3 識別事故

識別潛在的危險后，通過系統客觀的結果和損失分析來預測系統的安全風險。評估的目的是確定危險是否滿足系統的THR值，反過來，這有助于確定系統的安全完整性需求。

考慮系統處于危險狀態時系統和環境的交互，一個危險可能會導致一種或多種事故的發生。給定一個危險Hj，假設導致m種事故Ajk(j=1,2,…,n,k=1,2,…,m)，定義事故Ajk的發生概率為Cjk，利用貝葉斯網絡建立事故模型，可以精確計算事故Ajk的事故率ARjk：

其中，N是列車每小時或每運行公里所受環境影響的次數。Cjk可以從已有相似系統中導致事故Ajk發生的危險源的歷史數據獲得，或者將Cjk看做是導致事故發生的事故原因發生的概率。

3.4 集體風險評估

為了確定每個危險的THR，必須確定每個事故的影響，用事故的嚴重性來表示，嚴重性指事故導致的財產損失或死亡人數。事故Ajk的嚴重度Sjk定義如下：

Sjk（財產損失形式）=設備損壞費用+軌道損壞費用+其他損失費用+死亡人數和受傷人數等效的損失費用

Sjk（死亡人數形式）=死亡實際人數+受傷人數等效轉換成死亡的實際人數+所有費用等效轉換成的死亡人數

因此，每個事故的集體風險取決于事故的事故率和嚴重度。定義CRjk是事故Ajk的集體風險，則

3.5 確定THRs

為了確定THRs，所有危險導致的事故集體風險總和必須小于或等于RB（基本案例風險，作為參考標準，也可用ASPL表示），否則得調整危險率直到迭代結果滿足要求?；谪惾~斯網絡的風險評估迭代過程最終會確定每個危險Hj的THRj。基本案例風險RB的計算如公式（7）所示。

其中，nB(x)表示基本案例規定時間的事故個數，$B(x)表示基本案例事故的平均嚴重度，VB表示基本案例規定時間列車運行公里數的交通量。nB(x)、$B(x)和VB的值都取決于歷史數據。

所有事故導致的系統風險值RP必須小于或等于相應的基本案例風險RB，即

nP(x)受評估系統的設備結構、設備危險故障率、操作規范和人為因素影響。nP(x)/VP為公式（4）的事故率ARjk，因此RP是集體風險CRjk的總和，即

4 模型舉例

下面用一個例子說明采用BN融合上面幾個風險評估步驟的過程，如圖3所示。節點H1、C1、AR1和CR1分別表示危險H1，事故發生概率C1i，事故率AR1i，集合風險CR1i，其中i=1，2，即危險H1導致有兩種事故發生。父節點H1和C1的數據來源于事故數據庫，AR1i和CR1i的值分別由公式（4）和公式（5）得到，相應的數值結果如圖3條框所示，“yes”表示危險或事故發生，“no”表示不發生。需要說明的是，節點H1的取值由公式（3）確定，為簡化模型，作了以下處理：Hj=N×(HRj×Dj)，N取值為2。

圖3 基于貝葉斯網絡的風險評估模型舉例

節點AR1和CR1的條件概率表如圖4所示。

圖4 節點AR1和CR1的條件概率表

5 實例分析

以美國列車保護警報系統為例。該系統的功能是相對于前行列車的速度進行列車速度監督，給司機警報，然后緊急剎車以防止列車越過危險信號。該系統用于重載旅客列車，其目標是降低因列車越過危險信號而導致的傷亡風險至可接受的水平。在每英里平均有2個信號，列車運行200 mile情況下，對列車裝備的列車保護警報系統進行風險評估。數據均來源于美國聯邦鐵路管理局的I級鐵路事故/事件報告系統數據庫（http：//safetydata.fra.dot.gov/ office of safety/）。設定基礎案例風險RB=0.5。

5.1 危險識別

列車保護警報系統的4個初始關鍵危險在列車運行過程中任何時刻都有可能發生，如表2所示。

表2 列車保護警報系統的初始危險及危險率

危險H1，H2和H4的發生由工作人員的身體條件、閉塞或聯鎖信號的故障、其他信號故障等原因所致，危險H3的發生由列車在閉塞或聯鎖信號管轄范圍內超速、列車沒有遵守閉塞和聯鎖信號規定的或等效的限制速度、其他超速等原因所致，在此不再詳述。

5.2 基于貝葉斯網絡的風險評估模型

列車保護警報系統的危險導致事故的發生，由事故的事故率和嚴重度可以得到事故的集合風險，從而得到系統的風險值RP，將RP和基本案例風險RB進行比較，可以判別該系統的危險是否符合相應的標準。采用BN建立的列車保護警報系統風險評估模型如圖5所示。

圖5 列車保護警報系統風險評估模型

其中，父節點H1～H4的值如表2所示，父節點C1～C4表示的事故發生率Cjk如表3所示。中間節點AR1～AR2的條件概率可由圖4所示的方法類似得到。CR1～CR4是Utility節點，其賦值是事故的嚴重度，如表3所示。由Decision節點可求得系統的風險值RP。

表3 列車保護警報系統的初始危險

計算結果得RP=0.011 514 9＜RB，說明初始HRj=THR，危險率在可接受范圍內，不需再迭代，評估結束。

一旦確定RP，通過與RB比較，可以利用BN風險評估模型對評估系統與安全標準和規范不符的設備結構、設備危險故障率、操作計劃和人因等環節進行敏感性分析。同時，考慮人為因素、軌道基礎設施、交通密度、列車運營規則、地面設備和車載設備等，整個BN風險評估能夠為所有列控系統設備和接口故障影響的原因作出解釋。

6 結束語

列控系統結合了通信、計算機、自動控制等新技術，其中隱藏著大量風險。貝葉斯網絡處理不完備數據的不確定性問題具有明顯的優勢，將BN優良的原因-后果分析能力引入到列控系統的安全風險評估中，建立了基于BN的風險評估模型。識別列控系統中存在的潛在危險、危險導致事故的發生概率和可能的嚴重程度等，利用鐵路事故數據庫和相應的安全標準，通過BN風險評估模型計算危險導致事故發生的THRs，確定系統能否滿足安全要求并達到設定的安全目標。利用BN的雙向推理能力，可以發現系統的薄弱環節和危險源的重要程度。

基于BN的風險評估方法用圖形的方式清楚了然地描述了危險、風險和事故后果間的因果關系，該方法在鐵路事故數據庫和已有案例的基礎上，為列控系統安全風險評估的具體實施方法提供了新的思路。但該方法的基礎是事故數據或案例，然而我國鐵路基礎數據統計相比于國外比較薄弱，尤其高速鐵路的設備故障率、人因失誤和環境影響等數據匱乏，因此在建立健全我國鐵路事故/故障數據庫方面需要做更多的工作。

[1]郜春海，燕飛，唐濤.軌道交通信號系統安全評估方法研究[J].中國安全科學學報，2005，15（10）：74-79.

[2]燕飛.列車運行控制系統安全保障與認證方法研究[J].中國安全科學學報，2010，20（12）：98-104.

[3]郭進，張亞東.中國高速鐵路信號系統分析與思考[J].北京交通大學學報，2012，36（5）：90-94.

[4]劉敬輝，戴賢春，郭湛，等.鐵路系統基于風險的定量安全評估方法[J].中國鐵道科學，2009，30（5）：123-128.

[5]張苑，劉朝英，李啟翮，等.無線閉塞中心系統安全風險分析及對策[J].中國鐵道科學，2010，31（4）：112-117.

[6]張亞東，郭進，戴賢春，等.列車運行控制系統風險發生頻率的分析模型研究[J].中國安全科學學報，2012，22（9）：37-42.

[7]Marsh W，Bearfield G.Using Bayesian networks to model accident causation in the UK railway industry[C]//International Conference on Probabilistic Safety Assessment and Management，PSAM7，Berlin，2004.

[8]Li K X，Yin J，Bang H S，et al.Bayesian network with quantitative input for maritime risk analysis[EB/OL].[2013-05-30].http：// www.tandfonline.com/doi/abs/10.1080/18128602.2012.675527#. UoNsKKIiSpk.

[9]Netjasov F，Janic M.A review of research on risk and safety modelling in civil aviation[J].Journal of Air Transport Management，2008，14（4）：213-220.

[10]Khakzad N，Khan F，Amyotte P.Safety analysis in process facilities：comparison of fault tree and Bayesian network approaches[J].Reliability Engineering&System Safety，2011，96（8）：925-932.

[11]Weber P，Medina-Oliva G，Simon C，et al.Overview on Bayesian networks applications for dependability，risk analysis and maintenance areas[J].Engineering Applications of Artificial Intelligence，2012，25（4）：671-682.

[12]HUGIN Expert software version 7.7[EB/OL].[2013-05-30]. http：//www.hugin.com.

[13]Hartong M W，Cataldi O K.Regulatory risk evaluation of positive train control systems[C]//ASME/IEEE 2007 Joint Rail Conf and Internal Combustion Engine Division Spring Technical Conf，2007.

[14]Mokkapati C，Tse T，Rao A.A practical risk assessment methodology for safety-critical train control systems[R].US Department of Transportation，Federal Railroad Administration，2009.

[15]CENELEC Standard EN-50129-2003 Railway applications：communications，signaling and processing systems—safety related electronic systems for signaling[S].2003.

CHE Yulong,SU Hongsheng

School of Automation and Electrical Engineering,Lanzhou Jiaotong University,Lanzhou 730070,China

In order to evaluate the risk of accidents caused by hazards in train control system more scientifically,Bayesian network technology is introduced to figure the causal relationship among hazards,risks and consequences in the accident.Potential hazards, probability of occurrence of accidents and potential severity are identified.By combining with the advantage of Bayesian network processing incomplete data,the risk assessment model based on Bayesian network is established to calculate the Tolerable Hazard Rates（THRs）of accidents.And they are compared with the required safety standards to determine whether the system meets the safety requirements or objectives.The model integrating the railroad grade 1 accident/incident database is used to assess U.S. train protection warning system.THRs of accidents caused by four initial hazards are less than specified value.The validity of this model provides a new thought of train for the concrete implementation method of risk assessment on train control system.

train control system;Bayesian network;hazard;risk assessment

為科學評估列車運行控制系統內各危險導致的事故風險，用貝葉斯網絡描述危險、風險和事故后果間的因果關系。通過識別系統中的潛在危險、危險導致事故的發生率和嚴重程度，結合貝葉斯網絡處理不完備數據的優勢，建立基于貝葉斯網絡的風險評估模型，計算危險導致事故發生的可容忍危險率，判斷系統能否滿足安全要求并達到設定的安全目標。以美國的列車保護警報系統和I級鐵路事故/事件數據庫為例，利用該模型進行風險評估，結果表明4個初始危險導致的事故可容忍危險率小于規定值，驗證了模型的有效性，為列控系統風險評估的具體實施方法提供了新思路。

列控系統；貝葉斯網絡；危險源；風險評估

A

X913.4；U284

10.3778/j.issn.1002-8331.1307-0409

CHE Yulong,SU Hongsheng.Risk assessment method on train control system using Bayesian network.Computer Engineering and Applications,2013,49（24）：238-242.

鐵道部科技研究開發計劃項目（No.2012X003-B）。

車玉龍（1988—），男，碩士研究生，研究方向為列車運行控制系統的可靠性與安全性；蘇宏升（1969—），男，教授，博士生導師，研究方向為交通信息工程及控制，設備智能故障診斷及可靠性研究。E-mail：cylg717@163.com

2013-07-31

2013-09-15

1002-8331（2013）24-0238-05