基于保護層分析法的鐵路安全風險量化評價模型

寧 靜，佘振國

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

隨著我國鐵路行業的快速發展和新技術、新裝備的廣泛應用，為適應鐵路安全運營面臨的新形勢、新要求，深入推進鐵路運輸安全風險管理，以“技防”手段加強安全風險預防和控制，是實現鐵路運營長治久安的重要舉措。科學、準確地評價鐵路運輸安全風險，是實現風險有效控制、事故精準預警、快速應急處置和防控資源有效利用的基礎[1]。

安全生產風險定量評價大多為多屬性決策，相關研究方法主要包括層次分析法、模糊綜合評價法等。肖遙等人[2]在企業安全生產風險預警研究中，采用區間層次分析法計算指標權重，運用模糊綜合評判法構建安全風險評價模型；郜彤等人[3]提出基于云模型和組合賦權的方法構建煤礦安全風險評價模型；張子龍等人[4]采用灰色系統理論結合傳統模糊層次分析的方法構建評價模型，對高層建筑施工風險進行定量評價；劉敬輝[5]提出了基于故障樹分析法和層次分析法的風險評價模型，應用于鐵路安全風險綜合評估。保護層分析（LOPA，Layers of Protection Analysis）方法是通過對既有保護措施可靠性的量化評估來確定其消除或降低風險的能力，進而對安全風險進行定量評價，本文基于LOPA 方法構建了鐵路運輸安全風險量化評價模型，并運用該模型，對線路設備故障風險進行評價，驗證了模型的有效性與實用性。

1 理論概述

1.1 LOPA 方法概述

LOPA 方法是一種半定量風險分析方法，起源于20 世紀80 年代末，常用于石油化工行業的風險分析。為了防止事故發生，每個完整的生產作業通常要設置系統、裝置或動作等安全保護措施來阻止始發事件演變為事故。LOPA 方法把每個安全措施看作一個保護層，且理想的保護層應當是獨立的，即任何一個保護層的功能和作用與其他保護層無關。LOPA 方法通過評估保護層的有效性來確定其對風險的控制能力，從而對風險進行度量[6-7]。

1.2 LOPA 方法分析過程

LOPA 方法的分析過程一般包括：篩選初始場景、識別初始事件、評估獨立保護層、計算初始事件失效率、評估風險5 個步驟。

通常用初始事件發生頻率、每個獨立保護層失效頻率、造成后果的嚴重程度來綜合表示評價對象的風險值[8-9]，風險值計算公式為

2 鐵路安全風險評價模型

借鑒LOPA 方法的思想，考慮鐵路運輸生產過程在地面和列車上都設有多重保護，并相互作用。為防止此類事故的發生，以車輛軸承故障導致列車脫軌為例，在車輛運行過程中設置了車輛軸溫智能探測系統（THDS）、車輛滾動軸承故障軌邊聲學診斷系統（TADS）、貨車故障軌邊圖像檢測系統（TFDS）等多種檢測監測系統，同時配備了車輛列檢人員進行站內巡檢，這些都是車輛軸承故障導致列車脫軌風險的保護層，并且每個保護層都獨立發揮作用，防止事故的發生。如圖1 所示，車輛軸承發生故障時，軸溫探測、聲學診斷、圖像檢測、人工巡檢等保護層依次獨立發揮保護作用。只有當所有保護層都失效，車輛軸承故障才可能導致事故發生。

圖1 保護層作用示意

2.1 鐵路安全風險評價模型流程

（1）篩選初始場景

基于故障樹分析方法，對鐵路運輸安全風險事件發生的原因和后果進行分析，涵蓋人員作業、設備系統、外部環境及管理4 個方面，篩選得到LOPA方法的初始場景。

（2）識別初始事件

在所有保護層都失效的情況下，可能導致事故發生的事件即為初始事件。通過定性分析，識別初始事件。

（3）評估獨立保護層

為防止初始事件發展為事故而設置的設施裝備、作業活動等措施，稱為保護層。為確保保護層是獨立的，對于嵌套或條件關系下發揮作用的保護層，需將其整體看作一個保護層。例如，對于上跨橋墜物這一初始事件，為確保行車安全，設置了異物侵限監測系統，包括檢測網、服務器、監測軟件，檢測到墜物后將信息發送到列控中心，將軌道電路置為占用狀態，進而實現列車自動防護。這樣監測系統與信號系統、列車自動防護系統（ATP）共同構成一個保護層，而從檢測網、服務器、監測軟件、軌道電路接口、車載ATP 構成的要素中，如果其中任何一個發生故障將造成保護層失效，則稱為保護失效。

（4）計算初始事件失效頻率

初始事件失效頻率計算公式為

（5）評估風險

事件場景的風險可根據初始事件失效頻率和導致后果的嚴重程度來確定，某一場景（包括設備故障、違章作業、環境災害等）造成危害的風險值計算公式為

2.2 初始事件失效頻率計算

由公式（2）可知，初始事件失效頻率由固有發生頻率和保護層失效率決定。

2.2.1 固有發生頻率

固有發生頻率受多種因素影響，例如，行車設備固有故障頻率不但取決于設備本身的原始故障頻率，還受到設備建設使用年限、運行環境惡劣程度、檢修養護水平等諸多因素的影響。由歷史統計數據得到由若干主要影響因素修正后為

其中，E1 為設備運用時長權重；E2 為維修養護情況權重，例如維修養護計劃兌現率；E3 為設備運用程度，例如客運、客貨混跑、重載等運用場景的對應權重；E4 為行車運行環境惡劣程度，例如在雨雪、冰凍、風沙等惡劣環境中運行的對應權重。

2.2.2 保護層失效率

保護層失效率是指為確保設備正常運行而設置的保護措施的失效發生率。各類檢測監測裝置/系統保護層或人工檢查都是為及時監測設備固有故障的發生而設置的保護措施，因此，可視為保護層。對于檢測監測裝置/系統保護層，可參考安全完整性等級SIL3的標準，確定設備失效率；可通過設備故障固有頻率與檢出頻率計算得到人工檢查保護層失效率，如公式（5）所示。

為簡化計算，可認為設備檢測監測和人工檢查發現了設備故障，有效地制止其導致事故發生，且各種保護措施之間是互相獨立的，每一種保護措施檢出的設備故障對設備固有故障實現全覆蓋，才能認為其保護100%有效。

由公式（2）可知，保護層越多，且每一個保護層失效率越低，該初始事件失效的頻率越低。

2.2.3 后果嚴重程度計算

（1）人員傷亡損失。人員傷亡主要包括事故導致的死亡損失和傷害損失。對于人員死亡損失，《中華人民共和國侵權責任法》第十六條第11 款死亡賠償金規定“按照當地居民平均可支配收入計算，賠償二十年”。國家統計局發布2020 年全國居民人均可支配收入為32 189 元，故1 名人員死亡損失約計為64 萬元。對于人員傷害損失，依據《英國工程安全管理黃皮書》給出的受傷人數與死亡人數等價轉化估算，等價死亡數=死亡數+（0.1×重大傷害）+（0.005×輕微傷害）。

（2）耽誤列車損失。依據部分鐵路局集團公司發布的鐵路中斷行車經濟損失參考標準，分別設定高速和普速兩類線路的交通事故造成耽誤線路運營單位時間的經濟損失。

（3）財產損失。考慮事故直接財產損失，主要包括行車設備設施損失和貨物損失，數據來源于鐵路交通事故調查報告。

3 案例分析

以設備故障類風險為例，對某貨運車站道岔相關風險進行分析。按照上述基于保護層分析的步驟，先篩選初始場景、識別初始事件、評估獨立保護層，然后采用專家評判法和數據統計法，采集風險計算模型所需數據。

3.1 數據取值

根據歷史事故故障和檢測監測數據，結合設備養護經驗，將每類線路一定時期內的平均故障次數作為固有發生頻率，同時可根據外部環境和時間情況，進行動態調整。

E1：從鐵路工務管理信息系統（PWIS）獲取線路設備投入使用時間，并按照表1 對設備投入使用時間進行離散化處理。

表1 設備運用時長權重對照

E2：從工務安全生產管理系統獲取線路設備檢修信息，并按照表2 對維修養護計劃兌現率進行離散化處理。

表2 維修養護情況權重對照

E3：從工務安全生產管理系統獲取線路運用場景，具體取值如表3 所示。

表3 設備運用程度對照

E4：根據月份和預定義的線路所處地理環境確定行車運行環境惡劣程度，具體取值如表4 所示。

表4 環境惡劣程度對照

（2）保護層失效率

PFDi1：人工檢查操作的失效率。從工務安全生產管理系統中獲取該線路人工檢查發現的缺陷數量，

由公式（5）計算得到失效率。

PFDi2：監測設備的失效率。參考安全完整性等級SIL3的標準，對設備失效率進行賦值。

（3）后果嚴重程度

3.2 結果分析

針對某貨運車站道岔相關風險，基于本文所述風險評價方法，從相關業務系統采集樣本數據，通過模型分析給出以貨幣表示的動態道岔病害，包括道岔幾何尺寸超限、岔枕歪斜失效、聯結零件斷缺損、道床翻漿冒泥、鋼軌肥邊魚鱗傷等度量值，部分道岔風險項及對應的風險值如表5 所示，從中發現，幾何尺寸嚴重超限、鋼軌肥邊魚鱗傷、聯結零件斷缺損為風險值較高的、發生頻率較高的風險，在運輸生產中需要重點關注，這也與專家經驗分析的結果一致。

表5 部分道岔風險值計算結果

4 結束語

本文對LOPA 方法進行了概述，并構建了基于LOPA 方法的鐵路安全風險量化評價模型。結合鐵路運輸生產實際，對風險評價模型中的分析步驟、保護層概念、模型參數進行了實例化定義，并詳細介紹了模型的運算過程和關鍵變量的取值方法。本文提出的保護層分析模型對鐵路運輸安全風險度量進行了積極地探索，模型簡單適用、易于擴展。研究成果已在鐵路安全監督大數據應用系統中開展了初步運用，為下一步風險等級評估、精準預警打下了基礎。