基于安全知識庫的軌道交通安全預評價方法

盛 峰， 安雪暉， 林海香， 曾小清， 胡娜娜， 李 冬， 包繼錦

（1. 清華大學 土木水利學院， 北京 100084；2. 中電建路橋集團有限公司， 北京 100070；3. 蘭州交通大學自動化與電氣工程學院， 甘肅 蘭州 730070；4. 同濟大學道路與交通工程教育部重點實驗室， 上海 201804）

軌道交通安全相關系統的安全預評價體現了“安全第一，預防為主”的方針，對提高軌道交通運營的安全性有很大作用［1］。

城市軌道交通安全相關系統的安全評價，早期以歐盟EN系列標準為執行準則形成的一種安全評估工作方法，包括EN50126［2］、EN50128［3］和EN50129［4］等。其中EN50126標準定義了系統的RAMS（Reliability、Availability、Maintainability、Safety），即可靠性、可用性、可維護性和安全性，并且規定了安全生命周期內各個階段對RAMS的管理和要求；EN50128對鐵路控制和防護系統的軟件進行了安全完善度等級（safety integrity leve1，SIL）的劃分，針對不同的安全要求制訂了相應的標準；EN50129主要是針對信號系統安全控制中的要求提出的相應安全管控工作模式，是城市軌道交通信號系統安全控制工作的重要基礎。在此基礎上，國外還陸續采用了一系列安全評估系統，如英國采用可行性最低原則(as low as reasonably practicable，ALARP）作為風險判據的原則，德國采用最小內在死亡率（minimum endogenous mortality,MEM)原則來評判風險的可容忍度，法國采用風險水平大致相當(globalement au moins aussi bon,GAMAB)原則來評判安全風險［5］，在城市軌道交通安全評估工作中所發揮出的優勢非常明顯。我國城市軌道交通建設的安全評價工作啟動較晚，相應的安全預評價工作更是起步較晚。當前在我國開展城市軌道交通安全評估工作的主要模式［6］有兩種：一種是申請第三方安全評價工作，根據AQ 8002—2007《安全預評價導則》［7］和AQ 8005—2007《城市軌道交通安全評價驗收細則》［8］來展開全面的安全評估工作。但上述標準只框定了安全預評價的范圍和總體流程，并未說明安全預評價過程和具體的方法，導致在實際中對信號系統的安全預評價難度較大。另一種是通過第三方評估工作單位，針對城市軌道交通試運營條件和安全管理工作進行獨立評估和分析。

從總體上講，在當前軌道交通快速發展的需求下，我國軌道交通安全相關系統的預評價方法尚不成熟，積累的各類故障、事故案例無法得到有效共享，需結合人工智能技術建立軌道交通安全風險知識庫，以解決實際工程中預評價工作難以開展的問題。然而，當前軌道交通安全相關系統的安全領域知識均以文本、圖像等半結構化或非結構化數據形式存在，組織松散、關聯性弱、不能共享擴展、更不能關聯發現新知識，全靠人工經驗積累，這給預評價工作辨識風險源、制定針對性防控措施帶來技術挑戰。因此，構建一個既能辨識風險隱患，又能關聯組織所有安全知識點的安全知識庫成為解決問題的關鍵。

1 基于5M本體的安全知識庫構建方法

1.1 5M要素的定義

安全評價基于事故致因理論，從事故根源出發，尋找風險點進行安全等級評價，較多采用要素模型，宏觀上普遍考慮的是在人員（Man）、設備（Machine）、環境（Media）和管理（Management）中選擇要素建立評價模型［9］，有單要素評價模型［10］，二要素評價模型［11］、四要素評價模型［12］等。由于安全相關系統對安全性要求更高，一般的要素評價模型不能夠充分發現系統在設計、施工、安裝、調試、運營、維保等全生命周期各階段的安全隱患，需要加入體現安全相關系統安全特色的要素—任務（Mission），該要素反映系統在全生命周期各階段完成規定安全功能的能力。鑒于此，從軌道交通安全相關系統實際應用情況出發，提出針對安全相關系統的五大安全要素Man、Machine、Media、Management 和Mission，各要素定義如下：

Man主要指安全相關系統的內部施工、調試、使用、維護人員和安全相關系統外部人員。軌道交通運輸安全的各項活動與人密切關聯，由于精力不集中、工作負荷、誤操作、違章作業、疲勞與警惕性等形成人的不安全行為，就會觸發事故。

Machine主要指安全相關系統設備，由于設備種類多、數量大、配置分散、連續運轉、維修保養不到位等，會形成設備隱患。

Media 指信號系統所處的自然環境和與之關聯的供電、車輛、軌道等應用環境，如供電電源擾動、斷軌、車輪打滑、車地通信中斷等，這些環境的變化都會造成設備的不安全狀態或導致人的不安全行為。

Management 指安全相關系統的建設、施工、使用和維保的安全管理。軌道交通安全相關系統中安全管理的內部缺陷和主體的素質缺陷、組織氛圍惡化、管理分工失衡、管理部門之間的職權競爭等都會造成人或設備的不安全狀態。

Mission 是指安全相關系統設定應完成的安全功能。如未實現故障-安全、設備功能不足、設計缺陷等都會使安全相關系統安全功能失效，這一要素有助于發現安全相關系統設計、安裝、施工等全生命周期中的安全隱患。

1.2 安全本體建模

本體的構建方法多是通過領域專家實現，較為有代表性的方法有IDEF5 法［13］（ICAM DEFinition Method）、骨架法［14］、多倫多虛擬企業建模法［15］（toronto virtual enterprise，TOVE）、Methontology 法［16］、七步法［17］、五步循環法［18］、混合法［19］、多專業領域本體構建（multiple major domain ontology building，MMDOB）法［20］等，綜合上述方法提出軌道交通安全相關系統安全本體構建方法，具體流程如圖1所示。

圖1 安全本體構建流程Fig. 1 Construction process of security ontology

根據圖1 流程，首先從相應的城市軌道交通安全評估標準規范中抽取軌道交通安全相關系統安全風險領域概念，并梳理建立概念體系結構。形成城市軌道交通安全風險本體的概念集合，以信號系統為例：｛信號系統，事故案例，事故致因要素，風險事件，安全控制措施，…｝。

其次，對概念集合進行耦合性分析。仍以信號系統為例，根據軌道交通信號系統事故致因機理分析結果，建立信號系統安全風險耦合模型，如圖2所示，信號系統在事故致因要素影響條件下（has cause Factor），形成風險事件（cause Accident），即具有事故致因因素，安全控制對這種風險事件提供控制措施（has Solution）防止信號系統事故發生，這四者之間互相影響，互相依賴。

圖2 信號系統安全風險耦合模型Fig. 2 Security risk coupling model of signal system

根據耦合模型確定安全本體特征屬性，即將“Cause Accident”、“has Cause factor”和“has Solution”作為對象屬性，分別描述本體概念“風險事件”和“事故案例”、“信號系統”的對象特征；“Crash_ type”、“Accident _ type”、“Accident _ district”等作為數據屬性，描述概念“事故案例”的事故數值屬性。

采用語義規則語言（semantic web rule language，SWRL）描述該安全本體的推理規則如下：

根據上述規則，調用Hermit 推理機［21］進行規則推理校驗，未有報錯，說明該安全本體概念邏輯嚴密，具有一致性，完成了安全本體構建。此時本體中各概念類之間產生了關聯關系，形成了軌道交通安全本體推理模型。

1.3 5M本體安全知識庫構建

在5M要素與本體推理模型基礎上，搭建安全知識庫框架如圖3 所示。5M 要素作為安全知識庫事故致因要素，貫穿于安全相關系統的設計、施工、測試、運營、維保等全生命周期。安全控制措施是針對事故致因因素（風險事件）及其所處系統生命周期階段采取相應預防風險事件發生的措施；整個框架基于軌道交通安全本體模型搭建，通過語義關聯鏈接各概念類，添加了SWRL推理規則，知識庫覆蓋信號系統全生命周期各階段事故案例、事故致因要素、事故致因因素（風險事件）和相應安全措施，形成一個完整的軌道交通安全知識庫框架體系。

圖3 信號系統安全知識庫架構Fig. 3 Architecture of security knowledge base of signal system

2 基于安全知識庫的軌道交通安全預評價方法

根據我國國家標準GB/T 21562-2008《軌道交通可靠性、可用性、可維修性和安全性規范及示例》［22］以及AQ8001-2007《安全評價通則》［23］標準要求，一般軌道交通安全預評價方法主要包括如下流程：風險界定→風險辨識→風險預估計→風險評級→風險控制。

軌道交通安全預評價首要問題是風險辨識，鑒于目前主要依靠人工辨識風險，再制定安全控制措施，本文提出一種基于安全知識庫的軌道交通安全預評價方法，具體如下：

第一步，風險界定。將預評價對象進行5M 分類，在5M要素定義上進一步細化安全相關系統風險因素，并與具體設備和具體管理制度、具體設計項結合，形成可操作的5M辨識風險項。

第二步，風險辨識。按5M辨識模型分類逐項與知識庫進行案例比對實現風險辨識，即按照查詢詞引導本體推理查詢，按照案例相似，初步識別系統中潛在的危險和有害因素。具體查詢詞的選取，按照“5M要素詞→各事故致因因素中的通用風險項→各特定風險項”，層層過渡，逐層選取關鍵詞在信號系統安全風險知識庫中推理查詢，再完成案例相似性比對。

第三步，風險預估計。按照風險的嚴重程度考慮人員傷亡、環境破壞、經濟損失、工程延誤、運營中斷等不同方面的不利影響，參考城軌建設和運營評價規范，采用五級標度法劃分風險損失后果為災難性的（A）、非常嚴重的（B）、嚴重的（C）、需要考慮的（D）和可忽略的（E）五個等級［24］，再將梳理出的風險點及其相似案例所關聯的事故類型、事故形態等事故信息作為風險損失后果的參考，查表標定損失后果，便于工程開展風險評級。

根據安全知識庫庫包含相似案例事故信息估算事故頻率，例如“線纜破損”存在至少2個相似案例，則事故概率等于相似案例與案例總數之比（約0.01），查表1得到可能性等級為2；又如“CBI（聯鎖）設備缺陷”存在1 個相似案例，則查表1 可能性等級為3。

表1 風險發生可能性等級標準Tab. 1 Risk occurrence possibility grade standard

由事故風險(事故概率與損失后果相乘)，形成預估計風險矩陣，查風險矩陣等級表2，逐項評定風險級別。

表2 風險等級標準Tab. 2 Standard for risk level

第四步，根據風險估計的結果定出總體風險等級。

第五步，為系統風險項制定風險控制措施。由上一步找出的系統薄弱環節，追溯影響其安全的因素，按照工程全生命周期的階段，分階段制定控制措施，完成軌道交通安全相關系統的風險控制。

3 應用案例

以“上海某軌道交通車輛段改擴建工程風險評價”項目為例。項目要擴建車輛段，增加八條停車線，需要對車輛段內既有信號系統中的計算機聯鎖、微機監測、列車自動監控系統（automatic train supervision， ATS）設備、電源屏及UPS 設備、50 Hz相敏軌道電路、信號機等進行擴充增容，段內列車信號機改為調車信號機，正線交叉渡線道岔遷改，并對正線車站的既有計算機聯鎖、列車自動防護系統（automatic train protection， ATP）、列車自動駕駛系統（automatic train operation， ATO）、ATS 等進行改造。更新改造要求在不停運前提下進行工程施工，并完成新舊系統的過渡，既要確保行車運營安全，又要保證工程項目的順利實施，因此急需進行信號系統改擴建項目安全預評價。

首先，建立信號系統5M辨識模型，如圖4所示。圖中，破折號表示該類故障發生在所處系統全生命周期的階段。

圖4 信號系統安全風險辨識模型Fig. 4 Security risk identification model of signal system

其次，進行基于安全知識庫的風險辨識。在各風險項辨識中，例如，選取風險辨識模型“功能”下的特定風險“工程設計符合標準規范”項作為查詢參考，判斷本改擴建項目中“出段進入正線無岔區段長度38 m是否符合《上海城市軌道交通工程技術標準（暫行）》的規定，在知識庫中輸入查詢語句“進入正線無岔區段長度 some xsd ：integer［＜= 100］”，推理規則生效，查詢到案例1作為相似案例，說明本項目存在工程設計與標準規范不符的情況，辨識出該風險點，如圖5 a所示。

圖5 特定風險項辨識Fig. 5 Identification of specific risk items

再根據安全知識庫中各知識結點關聯特性，順鏈接查看，從其知識圖譜中得到具體安全控制措施，如圖5 b所示。上述為后續安全控制提供參考。

4 結果討論

預評價的重難點是預評價過程中的風險辨識和風險控制措施，這兩個過程直接影響評價效果和系統安全。基于安全知識庫的軌道交通安全預評價方法與其他評價方法雖然都能完成對安全相關系統的預評價，但預評價的效果是不一樣的。

使用知識庫辨識信號系統風險點，可在知識庫推理查詢方式下，找出信號設計參數是否符合信號設計標準規范的案例，并且安全知識庫可實現“致因設備→事故致因要素→風險事件→事故案例→安全控制措施”之間的因果關聯關系的可視化展示，彌補人工經驗辨識力的不足，減少人工辨識工作量，加快辨識進程，方便制定后續安全控制措施。同時，采用5M辨識模型，即在增加了“Mission”致因要素后，辨識信號系統風險隱患的效果顯著。

參考以往采用查全率、查準率評價知識庫［25］，結合本次所用方法，制定體現預評價關鍵過程完成質量的指標，即風險辨識覆蓋率（C）、風險辨識質量（Q）、風險控制措施精準度（A），用這些指標評判預評價方法的效果。C指風險辨識總數占知識庫案例總數的比例，體現了預評價方法中風險識別的全面性；Q指所辨識出對安全相關系統的安全性影響較大的風險項數量占風險辨識總數的比例，體現了預評價方法的有效性；A是指為提高系統安全性，所制定的風險控制措施針對安全相關系統全生命周期的某一階段或某一風險項的最大措施數量占全部控制措施總量的百分比，符合預評價事前管理的全局性要求，體現了預評價方法的實施效果。

式中：M為風險辨識總數；N為案例總數。

式中：L為較大影響風險項數量。

式中：R為風險控制措施數量；下標T表示全生命周期階段；I為風險控制措施總數。

針對上述應用案例，分別采用基于安全知識庫的軌道交通安全預評價方法和一般評價法，通過C、Q、A三個指標比較。一般評價法采用《地鐵運營安全評價標準》中針對信號系統的從功能和管理要素建立的“信號設備評價表”作為參考［26］，按照該表的定性定量指標進行預風險分析。采用本研究方法的風險辨識總數是123，取Ⅱ級風險項數量23 作為較大影響風險項數量，對應知識庫推薦風險措施總數27條，例如，針對“線纜破損”這一風險項的全生命周期階段最大風險控制措施3 條；采用一般評價法的風險辨識總數是24，Ⅱ級風險項數量3，風險控制措施總數最大24，針對各風險項的全生命周期階段最大風險控制措施1條，為方便比對，設定兩種方法均有知識庫，且知識庫案例總數均為同一值。將數值分別代入式（1）—（3）中，計算后得到兩種方法實施效果的比對如圖6所示。

圖6 本研究方法與一般評價法比較圖Fig. 6 Comparison between this research method and general evaluation method

由圖6可知，基于安全知識庫的軌道交通安全預評價方法明顯優于一般評價法，尤其在風險控制措施精準度上，本研究方法針對設計、施工、調試、試運營、運營和維保各階段制定風險控制措施，風險控制措施精準度約為11 %；而一般評價法僅針對運營和維護階段的信號設備風險點和維護保養管理制定措施，風險控制措施精準度約為4 %。與一般評價法相比，本研究方法在風險辨識質量上提高了6 %，控制措施精準度提高了7 %，在風險辨識覆蓋率上提高了50 %。因此，采用基于安全知識庫的軌道交通安全預評價方法對于提高安全相關系統的安全管理水平具有較大意義。

5 結論

在實踐中開展軌道交通安全相關系統的安全預評價，其技術難點在于風險辨識依賴人工經驗積累，對技術人員能力要求極高。本研究提出基于安全知識庫的軌道交通安全預評價方法，將經驗積累轉為易于共享和管理的安全知識庫，提高了方法的可用性；宏觀上采用5M 要素對信號系統風險辨識分類，有利于認清風險根源；微觀上從系統全生命周期角度對安全相關系統分階段風險辨識并評定風險損失，有利于制定安全相關系統風險控制措施。

對這種新預評價法的實施效果與《地鐵運營安全評價標準》采用的安全檢查表法做了比較，表明該方法在辨識質量、風險控制措施精準度和辨識覆蓋率上分別提高了6 %、7 %和50 %的比例，具有明顯的提升優化效果，進一步完善了軌道交通安全預評價理論，有利于加強軌道交通安全管理，也為其他安全相關系統的風險預評價提供參考。

作者貢獻聲明：

盛 峰：建模思路，初稿撰寫。

安雪暉：數據收集，數據挖掘與建模。

林海香：數據收集與處理。

曾小清：風險辨識。

胡娜娜：算法測試。

李 冬：實驗結果可視化。

包繼錦：數據整理。