基于5M 模型的交通安全分析方法

曾小清，方云根，王奕曾

（1.同濟大學 交通運輸工程學院，上海市 201804；2.道路與交通工程教育部重點實驗室，上海市 201804）

0 引言

交通是現代城市運轉的重要組成部分，其安全性與人們生活密切相關，隨著通信、控制、計算機、人工智能等新技術的采用，交通自動化程度越來越高：道路交通行業正在如火如荼地進行無人駕駛系統的開發和試驗，而城市軌道交通的行車自動化程度已由傳統的人工目視駕駛模式逐漸發展到無人值守的全自動運行模式；由于組成系統間的道路、設備、人員、環境等因素的耦合性增加，系統的安全保障變得更為復雜。近些年來，城市軌道交通安全事故偶有發生，如2017 年11 月15 日的新加坡地鐵列車相撞事故和2019 年3 月18 日港鐵荃灣線列車相撞事故，除了造成人員傷亡、財產損失、環境破壞之外，還會造成惡劣的社會影響。

目前城市軌道交通設計、制造、調試、運行和維護過程中，通常采用故障樹分析（FTA）、失效模式和影響模式分析（FMEA）以及事件樹分析（ETA）等分析方法進行安全分析，這些方法首先將系統分解為不同的組成部分，然后假設這些部件只處于工作或者失效狀態，系統組成部件的事件發生是按照線性規律有序排列的。這些分析方法對于復雜程度不高的設備安全分析較為有效，但是對于軌道交通列車運行安全這樣一個涉及到設備、環境、人員、流程、組織等多因素的復雜社會技術系統來說，前述分析過程難于全面分析多因素耦合的關系，存在一定的局限性。本文通過構建軌道交通5M模型，以軌道交通行車安全任務為核心，研究軌道交通任務（Mission）、人員（Man）、設備（Machine）、環境（Media）和管理（Management）5 類元素之間的關系，提出基于5M 模型的安全分析方法。

1 城市軌道交通安全要求

城市軌道交通作為現代城市的重要交通方式，其基本功能就是為人們提供安全、可靠的日常交通服務。由于軌道交通系統涉及的設備分散多樣、人員眾多、環境多變、管理復雜等特點，使得行車指揮、運行調度、車輛、軌道、供電、人員、信號、通信、綜合監控、站臺門、乘客異動等任何一種因素都可能造成安全事故的發生；作為系統安全保障工作的核心，需要通過理解安全事故隱患發生的機理，進行風險評價并在全系統生命周期過程中進行控制。

從軌道交通行車安全的角度來看，城市軌道交通行車安全系統應至少具備以下安全功能[1]：

（1）列車進路安全的保證：列車被授權沿著軌道移動之前應證明該部分線路是安全的（以防止脫軌并避免與其他列車移動發生沖突），以及除了允許列車進入一條被占用的線路的情況外，應證明該線路沒有其他交通（以防止碰撞）。在授權沿線的一部分分區后，應保持線路的安全性。

（2）列車移動授權保證：設備或者人員應提供明確、一致和及時的信息，以便能夠安全地控制列車。列車運行的速度和距離應與限制速度、可用進路、坡度、制動能力、列車性能、前方列車位置等條件相匹配。

（3）列車間隔防護：應確保前后跟隨列車之間應留有足夠的空間，以便每列列車安全地制動到靜止狀態。

（4）防止列車與軌道上的物體或者人員相撞:軌道交通設備或者工作人員應實時監督列車前方的軌道狀態，當發現軌道上有物體或者人員時應采取緊急制動停車措施。

（5）防止乘客在上下車及乘車過程中由于車門動作受到傷害: 設備和工作人員應監督列車客室車門的狀態，在確保乘客安全的條件下才進行開門或關門動作。

（6）行車狀態安全監控和應急處理:通過設備和人員對行車設備健康狀態、火災、脫軌等故障或緊急狀態進行監控并做出響應。

2 軌道交通安全5M 模型

2.1 5M 模型起源及各因素之間關系

5M 模型作為一個概念，首先由康奈爾大學的TP Wright在20 世紀40 年代提出，他將人- 機- 環境（Men, Machine, Media） 三合一引入航空安全，1965 年第四個“M”（管理Management） 加入，在1976 年“任務”（Mission）被加入到整體模型中[2]，5M模型旨在以結構化的方式描述或檢查系統設計、變更或特定事故，通過5M 要素識別和分析，有助于確定安全隱患原因、隱患以及安全風險緩解策略。基于這些原因和軌道交通系統特點，可以利用5M 模型來對軌道交通系統的安全性進行分析，從抽象的角度，軌道交通系統5M 元素之間的關系如圖1 所示。

圖1 5M 關系簡圖

對于軌道交通系統安全運輸乘客這一頂層任務來說，其設備包含了系統中所有的土建和機電設備；人員除了乘客之外，還包括分布在車輛上、站臺、車輛段、控制中心的工作人員、設備供應商、維護人員等；環境除了自然環境外，還包括軌道交通系統有接口的社會系統環境；管理主要為運營管理、行車管理、設備管理、維護管理、人員管理等。

如圖1 所示，可以認為，系統的安全性取決于任務、人員、管理、設備和環境中的任何一元素，也就是系統5M 模型是一個串聯結構，顯然系統的安全性S將取決于5M 中任何一個元素的安全性，只要其中任何一個元素出現危險性故障，則系統將進入危險狀態，若Smi為元素的安全性，則系統的安全性S 可以表示為：

系統在t 時刻的安全度S（t）為：

根據以上所述，軌道交通5M 模型的構建要以系統任務為核心，識別出與任務相關的所有人員、管理、設備和環境因素，并識別出這些要素之間的相互關聯關系。

2.2 臨時限速5M 模型要素識別

軌道交通臨時限速是除指系統設計的永久固定限速以外，由于出現突發臨時的自然災害、施工、改造、升級、維修、設備故障等原因而需要列車經過特定區段降低運行速度；臨時限速隨著發起原因的消失而消失，具有明顯的時效性特點；臨時限速功能的發起、設定、驗證、執行、取消等環節涉及軌道交通信號、車輛、通信、工務、電務、行車等設備和人員，由于涉及因素眾多，極易引起安全隱患。

從臨時限速的設定和取消過程進行分析，臨時限速的流程包括發現行車運行過程中發現臨時限速需求、擬定設置限速、驗證設置限速、執行設置限速、擬定取消限速、驗證取消限速和執行取消限速恢復正常運行等環節，針對這一過程，識別出的5M 模型因素見表1。

3 案例分析

為驗證基于5M 模型的安全分析方法適用性，結合第2 章提到的軌道交通臨時限速5M 模型，利用臨時限速任務作為案例，進行安全性分析。

表1 臨時限速5M 要素識別

3.1 臨時限速命令的基本內容

為進行安全分析，首先需要明確臨時限速命令中所包含的基本內容，這些內容將作為安全分析的基礎。

表2 臨時限速命令的內容

3.2 基于5M 模型的功能共振分析

功能共振分析法模型是丹麥的Hollnagel 于2004 年提出一種事故分析方法，它不局限于系統結構分解和致因因素分析，認為事故本質上是系統正常運行的突變，強調從整個系統的角度來解釋事故，避免將事故視為單個事件的有序發生或潛在因素的層級疊加[3]。本文采用2020 年9 月發布的FMV Pro軟件作為基于5M 模型的功能共振分析工具，以2.2和3.1 節的分析基礎，建立的5M 模型如圖2 所示。

在FMV Pro 中可以清晰地分析每一個任務的輸入輸出的上下游任務直接關聯關系和參數，也可以看到每一個任務的具體時間、資源、控制、前提等屬性，對于每一個參數和屬性，可以依據設置變動進行影響分析。

圖2 基于5M 模型的臨時限速分析圖

通過在FMV Pro 中對臨時限速從提出臨時限速需求、擬定臨時限速、驗證臨時限速、執行臨時限速、擬定取消臨時限速、驗證取消限速、執行取消限速、運行情況監控、信號與通信設備、工作人員這9 個不同的元素構建5M 模型，并從每元素的輸入、輸出、時間、控制、前提和資源這6 個特征值波動進行元素之間的關聯和變化分析。通過分析可知：（1）分析的結果表明：“人員”因素中的“提出臨時限速需求”任務對系統的安全性影響最大，他與每個任務都有關聯；（2）如果限速的擬定和驗證采用相同的資源，如同樣的設備、通用的人員，則可能導致共因失效的發生，不能確保臨時限速的安全性[4]；（3）針對每個元素依據6 個特征值進行分析，可以提出更為全面的風險控制措施。

4 結 語

基于5M 模型的交通安全分析以系統任務為出發點，結合每一個系統任務，對交通安全中涉及的基礎設施、設備、行人、車輛、環境和管理因素進行分析建模，識別交通安全事故中的關鍵隱患因素，識別事故發生的一般規律。同時結合功能共振分析法，從每個元素的特征值進行變動分析，可以識別系統的具體安全隱患，為安全保障過程中的風險控制措施制定提供基礎。

基于5M 模型的安全分析方法不僅可以應用于軌道交通，也可以應用于日益復雜的整個城市道路交通系統安全分析、特別是針對道路交通環境、設施的建設與維護。