从系统观角度看待调度集中系统安全分析

越来越多的线路开始普及调度集中系统，该系统具备对控制区内行车控制、闭塞处理、进路排列、命令下发、设备维护、施工管理等功能，为行车安全提供了系统化的管理。随着调度指挥系统的集中化与列车运行密度的提升，各级列车运行相关人员与调度集中系统之间的交互性日趋密切，调度集中系统可以解决接发列车作业安全相关的问题。然而受到操作人员技术水平的影响，调度集中系统的安全卡控效果会存在一定程度的折损。为了减少相关人员判断或操作的失误，更好地提升CTC系统保障运输安全的效果，有必要围绕调度集中系统的安全操作问题进行进一步的研究。

铁路运输组织方式和各类列车作业类型不尽相同，调度员在准备行车工作当中如果分工不合理，在下发指令时衔接不当，将会降低运行效率，引发列车冲突等行车安全问题。调度人员处理相关业务时，接触最多的就是显示器和按钮，如果显示器界面显示信息散乱或者版面上按钮排列拥挤，有可能导致调度人员误操作，引起不可估量的行车风险。业务繁忙的运行线路可能会发生设备故障、自然灾害、列车晚点等各种各样的状况，需要切换调度系统的运行模式。改变模式的时间充满了随机性，调度员处理突发状况的应急能力、管理人员对于制度流程的熟悉度都会增加操作失误的可能，从而影响调度集中系统的安全卡控效果。

对于调度集中系统实现接发列车的全方位、全生命周期的安全卡控，从人-机-环大系统角度来看，着眼于人员判断与人员操作对于调度安全的影响是一个任重而道远的课题。

CTC系统作为行车设备在我国铁路调度指挥中发挥着重要作用，同时也是保障列车正点安全运行的重要管理设施。因此，分析调度集中系统运行时行车的安全风险因素，并依据相应的风险因素进行优化提升，对于进一步提升调度集中系统的安全卡控效果具有重要意义。

国内外关于铁路调度风险已经开展了一些研究。在安全风险因素辨识方面，国内相关既有研究结合我国高速铁路安全保障系统特点，对影响车站运营安全的主要因素进行了分析，开辟了新的风险监测预警系统的运行方式。在安全事故预防方面，国内既有研究从人员、设备、管理等方面分析了铁路事故中与调度指挥相关的事故特点，提出了相应的防护措施，构建了基于信息共享交互平台的综合调度系统架构。

与国内研究的侧重点不同，国外关于铁路调度指挥的安全分析研究主要集中在调度人员相关危险因素的分类与评价。在调度人员危险因素分类方面，国外既有研究主要通过实地调研与访谈的方式，查阅历史事故调查报告，提取事故相关人因失误类型和影响因素。在调度人员危险因素的评价方面，从工具和方法的角度研究不同的手段对风险因素进行评价。

由此可见，现有研究大多数从铁路运营或人员的角度对存在的风险进行分析，专门针对调度集中系统安全优化的研究相对较少，已有的少量研究也未能从人员、设备、环境这三个方面进行深入分析潜在的行车安全风险因素，进而对调度集中系统应用背景下的人员误判断与误操作提出更合适的安全预防措施。

传统被广泛使用的系统危险分析方法基本都以事件为分析的基础，即认为系统危险的发生是由于一系列事件由于线性因果关系顺序发生而最终造成的。这种分析理念能够有效分析传统技术系统的风险致因，但是对于新一代的调度系统，这样的方法逐渐展露出不足。调度系统和操作人员、其他系统以及环境之间的交互性使得风险构成的因素之间不再是简单的线性因果关系，如何分析组件之间的交互对于系统安全的影响有待解决。为了解决这些问题，有研究人员提出了基于系统理论的事故致因模型及过程（Systems-Theoretic Accident Model and Process，STAMP）的危险分析理念，从系统论的角度将系统整体视为一种层次化的控制结构。该模型认为系统危险的发生是由于系统中出现了不安全控制行为，不安全的控制行为是由系统组件之间存在的控制缺陷造成的，比如控制策略问题、控制执行问题、反馈过程的不恰当或缺失，将系统安全问题转化为系统控制问题。在此基础上针对系统风险的分析方法，称作系统理论的过程分析（System-Theoretic Process Analysis，STPA），常常用于复杂的安全关键系统。

基于STAMP的STPA方法正是要辨识出传统分析技术难以识别的风险致因，即从系统整体的角度出发，基于系统控制结构重点辨识不安全的交互行为，而不仅局限于系统组件的失效。通常只要明确了系统结构运作的机理，就可以实施STPA分析，因而STPA可以服务于系统生命周期各个阶段的安全分析活动。应用STPA的过程如图1所示。第一步，明确需要分析的系统级危险，找出对应的系统级安全约束。第二步，建立系统的分层安全控制结构。第三步，辨识导致系统危险的不安全控制（不安全的交互行为），并制定细化的不安全约束。第四步，明晰不安全控制出现的控制缺陷，即系统危险的根本致因。

图1 STPA危险分析过程图

STPA除了找出不安全控制行为，还要分析导致不安全控制行为出现的原因，即系统自身的控制缺陷，常见的控制缺陷如图2所示。这些控制缺陷往往是系统出现问题的根本致因，相关人员可以根据缺陷对系统功能设计进行优化完善，进一步保障系统安全运行。

图2 控制缺陷的一般分类

正是由于STPA采用自顶向下的分析流程，并且依据系统分层控制结构来解析安全问题，因此非常适用于调度集中系统这类复杂的分析对象。特别是，STPA充分考虑了系统的交互性，以各组成部分间的不恰当交互作为安全分析的切入点，有助于梳理分析人为误判断及误操作对于调度安全的影响。

在分析CTC涉及的行车安全风险之前，需要通过对调度集中系统的结构机理及运作机制的深入分析，明确与CTC系统交互的其它系统之间的相互作用。在此基础上，辨识CTC安全防护的功能，分辨潜在的影响行车安全的风险因素。进而构建安全分析模型，在CTC系统原理的指导下，从人-机-环三个角度分析既有边界的行车安全风险致因，为安全防护功能的升级优化提供潜在的技术方向。

具体的实施过程包括：首先，构建基于STPA的分层控制结构模型；其次，在此基础上从人、机、环三个方面分析不同应用场景下与操作步骤、指令流程、设备执行过程、环境条件变化相关的不安全控制行为，即导致行车安全风险提升或者行车效率降低的直接或间接原因；最后，结合控制环路深入分析不安全控制出现的原因，即与行车安全风险有关的根本原因，以此来优化调度集中系统中既有安全防护的内容。

确立系统级危险：基于过往事故调查报告，首先将事故与危险大致分类，如图3所示。后续可根据控制结构框图进一步分析与调度员相关的危险原因。

图3 事故与危险分类

建立系统的分层控制结构：CTC系统是铁路调度指挥中心对管内调度区段的铁路信号设备进行集中控制，对列车运行进行直接指挥、管理的技术装备。CTC系统由助调、综调及列调工作站，CTC应用服务器，车站自律机和车站服务终端等构成。根据STPA分析方法，构建控制结构框图如图4所示。

图4 CTC分层控制结构框图

辨识不安全控制：以调度员相关的控制结构框图（图4中红色框标注）为例，辨识与调度员相关的不安全控制。识别不安全控制行为要在特定的运行环境下，识别出违反安全约束的控制行为。通常从未提供控制行为引起危险、提供控制行为引起危险、在错误的时机或时序提供控制行为引起危险、以及控制行为结束太快或作用时间过长等4个方面对可能引起危险的原因依次排查。

具体步骤包括：首先识别出所有控制行为，然后应用STPA方法对控制行为进行分析，确认危险控制行为，最后写入不安全控制行为表。案例分析结果如表1所示。

表1 调度员相关的不安全控制行为安全表

分析危险原因：通过对控制行为在四种不安全状态下的顺序分析，可以发现造成上述不安全控制行为的潜在原因可能包括：通信延迟，处理回执信息有误，列车运行计划时间冲突，界面设计不符合人因工程学等。针对这些危险原因及其所处的控制环路，可以考虑从提高通信质量和效率、加强作业流程卡控、细化安全卡控、优化列车运行计划和调整界面设计等方面入手，进一步对调度集中系统进行安全优化。

危险分析是实施CTC系统安全优化的基础。本文介绍了基于系统理论的危险分析方法，即在系统分层控制结构基础上，查找控制缺陷并分析不安全控制行为。同时，结合CTC系统的特点，应用系统理论的危险分析方法，绘制了CTC系统分层功能模型。在此基础上，根据功能框图，以接发列车事故、调车作业事故和路外伤亡事故为顶层危险，对CTC系统与调度员相关的不安全控制行为进行了案例分析应用。通过分析发现，我们可以从提高通信质量和效率、加强作业流程卡控、优化运行计划表和调整界面设计等方面入手，提升系统的安全性。为此，近年来行业内在这些方面进行了积极探索，已研发出了CTC行车作业检索系统，该系统一经投入应用，获得了运输调度部门的广泛好评。