■ 劉子慧 潘偉 吳超

1.中南大學(xué)資源與安全工程學(xué)院 長沙 410083

2.中南大學(xué)安全理論創(chuàng)新與促進(jìn)研究中心 長沙 410083

0 引言

高鐵作為現(xiàn)代交通工具的重要組成部分，在促進(jìn)經(jīng)濟(jì)發(fā)展和保障社會穩(wěn)定中發(fā)揮著關(guān)鍵作用。由于高鐵運(yùn)行過程中內(nèi)部信息傳遞不及時、外部環(huán)境錯綜復(fù)雜等特點(diǎn)，導(dǎo)致其存在諸多潛在的安全風(fēng)險(xiǎn)，容易發(fā)生追尾、脫軌等災(zāi)難性事故，給人民生命和財(cái)產(chǎn)造成巨大損失。例如，北京—青島線在2008年4月28日發(fā)生的動車相撞事故[1]、英國在2016年4月3日發(fā)生的火車相撞事故[2]等，這些事故的發(fā)生往往是由于系統(tǒng)中某一設(shè)施的故障信息衍生傳遞到相近的設(shè)施，從而導(dǎo)致一系列連鎖事故。究其根源，與相關(guān)部門管理的“漏洞”息息相關(guān)。因此，隨著社會-技術(shù)系統(tǒng)的不斷發(fā)展，從安全信息與安全行為結(jié)合的新視角深入開展安全模型的理論研究[3]，并將其應(yīng)用到高鐵信息系統(tǒng)的安全管理中勢在必行。

國內(nèi)外學(xué)者對高鐵信息系統(tǒng)的安全管理開展了大量研究，其中，祁曉飛[4]和陳龍[5]分別基于管理疏忽與危險(xiǎn)樹法和層次分析法構(gòu)建了高鐵信息系統(tǒng)的安全評價(jià)模型；張健[6]和任璐[7]分別運(yùn)用風(fēng)險(xiǎn)矩陣法和基于粗糙集的模糊綜合評價(jià)法構(gòu)建了高鐵客運(yùn)系統(tǒng)的風(fēng)險(xiǎn)評價(jià)模型和高鐵行車調(diào)度系統(tǒng)的風(fēng)險(xiǎn)預(yù)警模型；王雷[8]和李凱[9]分別以過程方法和串并聯(lián)方法為理論基礎(chǔ)分析了高鐵信息系統(tǒng)的相關(guān)流程和可靠性?？傮w而言，學(xué)界對高鐵信息安全管理的研究大多都是在傳統(tǒng)意義上的安全管理模式和事故致因原理的指導(dǎo)下開展，主要從事故和風(fēng)險(xiǎn)兩個角度進(jìn)行分析，鮮有對信息傳遞在安全管理方面的深入研究。隨著高鐵信息化程度的進(jìn)一步提高，以安全信息為著眼點(diǎn)來分析高鐵信息系統(tǒng)可以建立更為完善的新型安全管理模式。

同時，國內(nèi)外學(xué)者主要從安全信息和安全行為兩個視域?qū)Π踩Ｐ瓦M(jìn)行了深入探討,在安全信息視域下的研究中，羅通元[10]和吳超[11]分別基于安全系統(tǒng)的分解原則和安全信息失真角度構(gòu)建了安全信息認(rèn)知通用模型；朱宇倩[12]以安全信息認(rèn)知模型為理論基礎(chǔ)構(gòu)建了安全事故的事件本體模型；雷雨[13]根據(jù)流程結(jié)構(gòu)的基本原理對多級安全信息認(rèn)知進(jìn)行了一系列優(yōu)化。在安全行為視域下的研究中，吳超[14]和傅貴[15]分別構(gòu)建了行為安全管理元模型和行為安全“2-4”模型；王秉[16]依據(jù)安全信息處理模型構(gòu)建了安全行為干預(yù)新模型，金慧敏[17]在行為安全管理元模型的基礎(chǔ)上構(gòu)建了內(nèi)隱安全行為干預(yù)模型?？傮w而言，學(xué)界對安全模型的理論研究較為成熟，但是針對各類模型的具體應(yīng)用研究尚處于初步探索階段。安全信息—安全行為（Safety-related Ⅰnformation—Safety-related Behavior, SⅠ-SB）系統(tǒng)安全模型是吳超教授課題組通過創(chuàng)新性研究構(gòu)造的首個安全信息和安全行為相結(jié)合的新型理論模型，其可將各類事故系統(tǒng)中所涉及的相關(guān)安全管理要素統(tǒng)一化，具有普適性意義和推廣應(yīng)用價(jià)值[18]。

鑒于此，本文以高鐵信息系統(tǒng)為研究對象，基于SⅠ-SB系統(tǒng)安全模型，通過分析我國高鐵信息系統(tǒng)的結(jié)構(gòu)組成和運(yùn)行機(jī)制，構(gòu)建基于高鐵信息系統(tǒng)的SⅠ-SB 系統(tǒng)安全模型，并運(yùn)用所建模型剖析典型案例及其事故形成機(jī)理，以期促進(jìn)事故調(diào)查分析工作實(shí)施和優(yōu)化安全管理人員配置，從而為高鐵信息系統(tǒng)的安全管理提供理論與實(shí)踐指導(dǎo)[19,20]。

1 我國高鐵信息系統(tǒng)概述

1.1 結(jié)構(gòu)組成

我國高鐵信息系統(tǒng)的結(jié)構(gòu)錯綜復(fù)雜，主要由功能各異、協(xié)同作用的核心子系統(tǒng)和邊界子系統(tǒng)以及接口子系統(tǒng)3部分組成，具有縱向協(xié)調(diào)、橫向耦合、屬地化管理、既有線調(diào)度等特點(diǎn)[21]，按照區(qū)域集中二級模式[22]開展調(diào)度指揮工作。其中，核心子系統(tǒng)由計(jì)劃調(diào)度、列車調(diào)度、動車調(diào)度、客運(yùn)調(diào)度、供電調(diào)度以及綜合設(shè)施調(diào)度6個子系統(tǒng)的路局調(diào)度中心構(gòu)成，在調(diào)度指揮過程中負(fù)責(zé)接收和處理各種信息、預(yù)測和決策調(diào)度命令，具有指導(dǎo)性和決定性的作用；邊界子系統(tǒng)主要由列車系統(tǒng)、車站系統(tǒng)、線路系統(tǒng)、動車基地系統(tǒng)、供電系統(tǒng)5 個基層生產(chǎn)單位構(gòu)成，在調(diào)度指揮過程中負(fù)責(zé)監(jiān)督和協(xié)調(diào)路局調(diào)度中心正常運(yùn)行，并在其指揮下開展各項(xiàng)具體活動；邊界子系統(tǒng)主要由動車組調(diào)度系統(tǒng)、無線閉塞中心（Radio Block Center, RBC）系統(tǒng)、列車無線調(diào)度電話（Fixedusers Access Switching, FAS）系統(tǒng)、調(diào)度集中（Centralized Traffic Control,CTC）系統(tǒng)、站車交互系統(tǒng)、電力遠(yuǎn)動終端系統(tǒng)、防災(zāi)安全監(jiān)控系統(tǒng)、綜合設(shè)施調(diào)度系統(tǒng)、旅客服務(wù)調(diào)度系統(tǒng)9 個子系統(tǒng)構(gòu)成，在調(diào)度指揮過程中負(fù)責(zé)邊界子系統(tǒng)和核心子系統(tǒng)之間各類信息的上傳下達(dá)。

1.2 運(yùn)行機(jī)制

由于高鐵信息系統(tǒng)的復(fù)雜性和安全信息的多樣性，同一個邊界子系統(tǒng)可以經(jīng)由多個接口子系統(tǒng)和多個核心子系統(tǒng)傳遞相關(guān)信息，同一個核心子系統(tǒng)可以經(jīng)由多個接口子系統(tǒng)和多個邊界子系統(tǒng)傳遞相關(guān)信息。例如，列車調(diào)度通過FAS 系統(tǒng)分別向列車系統(tǒng)和線路系統(tǒng)傳遞調(diào)度信息、車站系統(tǒng)通過旅游調(diào)度服務(wù)系統(tǒng)分別向計(jì)劃調(diào)度和客運(yùn)調(diào)度接收調(diào)度信息、防災(zāi)減災(zāi)系統(tǒng)和綜合設(shè)施服務(wù)系統(tǒng)共同負(fù)責(zé)傳遞線路系統(tǒng)和綜合設(shè)施調(diào)度間的災(zāi)害和災(zāi)害信息。其運(yùn)行機(jī)制具體見圖1。

圖1 高鐵信息系統(tǒng)運(yùn)行機(jī)制

2 基于高鐵信息系統(tǒng)的SI-SB系統(tǒng)安全模型

2.1 關(guān)鍵構(gòu)成要素

將高鐵信息系統(tǒng)的運(yùn)行機(jī)制與SⅠ-SB 系統(tǒng)安全模型相結(jié)合，構(gòu)建基于高鐵信息系統(tǒng)的SⅠ-SB 系統(tǒng)安全模型（圖2）。模型主體由高鐵信息系統(tǒng)的安全信息空間（Safety-related Ⅰnformation, SⅠ）和安全行為空間（Safetyrelated Behavior,SB）兩部分構(gòu)成，其關(guān)鍵構(gòu)成要素分為安全信息空間和安全行為空間兩大類（表1）。在基于高鐵信息系統(tǒng)的SⅠ-SB 系統(tǒng)安全模型中，安全信息依次通過危險(xiǎn)源辨識過程、基層生產(chǎn)單位傳向路局調(diào)度中心Ⅰ、路局調(diào)度中心Ⅰ傳向路局調(diào)度中心ⅠⅠ、路局調(diào)度中心ⅠⅠ傳向基層生產(chǎn)單位ⅠⅠⅠ這4個過程發(fā)生傳播與缺失。

表1 關(guān)鍵構(gòu)成要素

圖2 基于高鐵信息系統(tǒng)的SI-SB系統(tǒng)安全模型

2.2 安全信息傳播機(jī)理

2.2.1 危險(xiǎn)源辨識

危險(xiǎn)源辨識指基層生產(chǎn)單位通過相關(guān)人員和設(shè)備對鐵路系統(tǒng)的動態(tài)信息進(jìn)行一系列篩選，主要涉及鐵路系統(tǒng)S、基層生產(chǎn)單位、危險(xiǎn)源辨識、鐵路系統(tǒng)動態(tài)信息Ⅰb這4 個對象。其中，鐵路系統(tǒng)S 為安全信源；基層生產(chǎn)單位為安全信息采集者，指處在列車運(yùn)行現(xiàn)場中的列車系統(tǒng)、車站系統(tǒng)等邊界子系統(tǒng)；危險(xiǎn)源指可能影響鐵路系統(tǒng)正常運(yùn)行的人員、設(shè)備、環(huán)境以及管理4個方面的潛在因素；鐵路系統(tǒng)動態(tài)信息Ⅰb用客觀狀態(tài)集E 表示為E={e1人員因素信息，e2設(shè)備因素信息，e3環(huán)境因素信息，e4決策管理信息}。該過程的安全信息傳播機(jī)理見圖3。

圖3 危險(xiǎn)源辨識過程

2.2.2 基層生產(chǎn)單位傳向路局調(diào)度中心Ⅰ

基層生產(chǎn)單位向路局調(diào)度中心Ⅰ的安全信息傳遞指基層生產(chǎn)單位通過接口子系統(tǒng)A 將危險(xiǎn)源辨識過程中獲得的相關(guān)安全信息傳遞給路局調(diào)度中心Ⅰ，主要涉及基層生產(chǎn)單位、路局調(diào)度中心Ⅰ、接口子系統(tǒng)A、調(diào)度信號Ⅰs、安全預(yù)測問題P1、調(diào)度信號Ⅰg這6 個對象。其中，路局調(diào)度中心Ⅰ為安全信宿，包括計(jì)劃調(diào)度、列車調(diào)度等核心子系統(tǒng)；接口子系統(tǒng)A 為安全信道，包括動車組調(diào)度系統(tǒng)、RBC等設(shè)備；調(diào)度信號Ⅰs是開展系統(tǒng)安全預(yù)測行為活動的依據(jù)；安全預(yù)測問題P1為監(jiān)控列車系統(tǒng)、動車基地系統(tǒng)等的運(yùn)行狀態(tài)；調(diào)度信號Ⅰg用安全信息集S表示為S={s1列車系統(tǒng)信息，s2動車基地系統(tǒng)信息，s3車站系統(tǒng)信息，s4線路系統(tǒng)信息，s5供電系統(tǒng)信息}。該過程的安全信息傳播機(jī)理見圖4。

圖4 基層生產(chǎn)單位向路局調(diào)度中心I的安全信息傳遞過程

2.2.3 路局調(diào)度中心Ⅰ傳向路局調(diào)度中心ⅠⅠ

路局調(diào)度中心Ⅰ向路局調(diào)度中心ⅠⅠ的安全信息傳遞是指路局調(diào)度中心Ⅰ通過接口子系統(tǒng)B 將得到的相關(guān)安全信息傳遞給路局調(diào)度中心ⅠⅠ，主要涉及路局調(diào)度中心Ⅰ、接口子系統(tǒng)B、調(diào)度信號Ⅰk、路局調(diào)度中心ⅠⅠ、安全決策問題P2、調(diào)度信號Ⅰf這6 個對象。其中，接口子系統(tǒng)B 為安全信道，包括運(yùn)行管理調(diào)度系統(tǒng)、計(jì)劃編制系統(tǒng)等設(shè)備；調(diào)度信號Ⅰk是開展系統(tǒng)安全決策行為活動的依據(jù)；路局調(diào)度中心ⅠⅠ為安全信宿，包括計(jì)劃調(diào)度、列車調(diào)度等核心子系統(tǒng)；安全決策問題P2為編制、調(diào)整并審核各路局調(diào)度中心的計(jì)劃、方案和申請；調(diào)度信號Ⅰf是安全預(yù)測訊息，用安全信息集F 表示為F={f1計(jì)劃調(diào)度信息，f2列車調(diào)度信息，f3綜合設(shè)施調(diào)度信息，f4動車組調(diào)度信息，f5供電調(diào)度信息，f6客服調(diào)度信息}。該過程的安全信息傳播機(jī)理見圖5。

圖5 路局調(diào)度中心I向路局調(diào)度中心II的安全信息傳遞過程

2.2.4 路局調(diào)度中心ⅠⅠ傳向基層生產(chǎn)單位ⅠⅠⅠ

路局調(diào)度中心ⅠⅠ向基層生產(chǎn)單位ⅠⅠⅠ的安全信息傳遞指路局調(diào)度中心通過接口子系統(tǒng)C 將得到的相關(guān)安全信息傳遞給基層生產(chǎn)單位ⅠⅠⅠ，主要涉及路局調(diào)度中心ⅠⅠ、接口子系統(tǒng)C、基層生產(chǎn)單位ⅠⅠⅠ、安全執(zhí)行問題P3、調(diào)度信號Ⅰd、調(diào)度信號Ⅰy這6個對象。接口子系統(tǒng)C為安全信道，包括動車組調(diào)度系統(tǒng)、RBC 等設(shè)備；基層生產(chǎn)單位ⅠⅠⅠ為安全信息采集者，指處在列車運(yùn)行的現(xiàn)場中的列車系統(tǒng)、車站系統(tǒng)等邊界子系統(tǒng)；調(diào)度信號Ⅰy是開展系統(tǒng)安全執(zhí)行行為活動的依據(jù)；安全執(zhí)行問題P3為下達(dá)并實(shí)施各路局調(diào)度中心的相關(guān)計(jì)劃和方案；調(diào)度信號Ⅰd是安全決策訊息，用安全信息集D 表示為D={d1計(jì)劃調(diào)度信息，d2列車調(diào)度信息，d3動車組信息，d4客服信息，d5供電信息，d6綜合設(shè)施信息}。該過程的信息傳播示意圖見圖6。

圖6 路局調(diào)度中心II向基層生產(chǎn)單位III的安全信息傳遞過程

2.3 安全信息缺失機(jī)理

高鐵信息系統(tǒng)中安全信息缺失的實(shí)質(zhì)為各個路局調(diào)度中心和基層生產(chǎn)單位以及安全預(yù)測者、決策者、執(zhí)行者這7 類缺失對象，在安全信息空間和安全行為空間兩個領(lǐng)域中導(dǎo)致的鐵路系統(tǒng)動態(tài)信息Ⅰb和調(diào)度信號（Ⅰg、Ⅰs、Ⅰf、Ⅰk、Ⅰd、Ⅰy）這7類安全信息的缺失，按缺失對象對其進(jìn)行分類，安全信息缺失機(jī)理具體見表2。

表2 安全信息缺失機(jī)理（按缺失對象）

通過上述分析可知，高鐵信息系統(tǒng)安全信息的缺失對象和原因不同，最后體現(xiàn)在具體行為活動中的安全信息差的程度和性質(zhì)也不一樣。其中，安全信息空間主要發(fā)生安全信息的永久性、暫時性和有意性缺失，安全行為空間主要發(fā)生安全信息的內(nèi)容、認(rèn)知和識別缺失。按缺失性質(zhì)對其進(jìn)行分類，安全信息缺失機(jī)理見表3。

表3 安全信息缺失機(jī)理（按缺失性質(zhì)）

3 事故分析

3.1 事故概況

2011年7月23日，由杭州站開往福州南站的列車D3115（前車）與由北京南站開往福州站的列車D301（后車）在浙江省溫州市內(nèi)的甬溫線上發(fā)生列車追尾事故，造成重大人員傷亡和財(cái)產(chǎn)損失。事發(fā)當(dāng)時，軌道電路發(fā)生故障致使前車未能及時轉(zhuǎn)換成行車模式和駛出軌道區(qū)間，同時列控中心發(fā)生故障致使后車獲得無車占用碼而駛?cè)胲壍绤^(qū)間，最終兩車相撞造成此次事故。事故調(diào)查報(bào)告顯示，該起事故是由于列控中心設(shè)備缺陷、上道審查不合格、應(yīng)急管理不到位等因素而引發(fā)的重大鐵路交通安全責(zé)任事故[23]。

3.2 事故系統(tǒng)的安全信息傳播與缺失

3.2.1 人員間的安全信息傳播與缺失

事故系統(tǒng)中人員間安全信息傳播過程見圖7。數(shù)字的大小表示傳播的先后順序，符號x 表示存在安全信息缺失，安全信息包括設(shè)備故障情況、調(diào)度命令、列車運(yùn)行狀態(tài)，共10個安全信息傳播的過程。安全信息缺失的傳播為6、7、9、10 過程，缺失內(nèi)容為：終端顯示錯誤的紅光帶信息、車站值班人員與列車調(diào)度人員沒有及時得知前車正確的運(yùn)行狀態(tài)、后車沒有及時獲取前方相應(yīng)軌道區(qū)間正確的占用碼。

圖7 人員間的安全信息傳播

3.2.2 設(shè)備間的安全信息傳播與缺失

事故系統(tǒng)中設(shè)備間安全信息傳播過程見圖8。數(shù)字的大小表示傳播的先后順序，符號x 表示存在安全信息缺失，安全信息包括采集驅(qū)動數(shù)據(jù)、軌道區(qū)段空閑、進(jìn)路命令、行車許可，共6個安全信息傳播的過程。安全信息缺失的傳播為數(shù)字1 至6 過程，缺失內(nèi)容為：列控中心系統(tǒng)、車站CTC系統(tǒng)以及調(diào)度CTC系統(tǒng)沒有及時獲取相應(yīng)軌道區(qū)間正確的占用碼信息、車站CTC 系統(tǒng)和后車獲取錯誤的進(jìn)路以及行車許可。

圖8 設(shè)備間的安全信息傳播

3.3 事故防范措施

通過對事故系統(tǒng)中安全信息的傳播過程和缺失機(jī)理進(jìn)行分析，得出事故系統(tǒng)中安全信息缺失的內(nèi)容，由此可將事故發(fā)生的原因歸納為相關(guān)設(shè)備的錯誤顯示和調(diào)度人員對列車運(yùn)行狀態(tài)的錯誤掌握兩個方面，這與事故調(diào)查報(bào)告的結(jié)果是相一致的，同時驗(yàn)證了基于高鐵信息系統(tǒng)的SⅠ-SB 系統(tǒng)安全模型的科學(xué)性與實(shí)用性。以事故發(fā)生原因?yàn)橹埸c(diǎn)入手進(jìn)而可以找出防范類似事故的措施，一方面可以通過定期檢查故障狀況、實(shí)施冗余設(shè)計(jì)、遵循故障導(dǎo)向原則等方法增加設(shè)備的安全性，另一方面可以通過安全教育、技能培訓(xùn)、應(yīng)急管理培訓(xùn)等方法提高人員的可靠性。

4 結(jié)論

本文以我國高鐵信息系統(tǒng)為研究對象，依據(jù)安全信息論、安全管理學(xué)等理論知識，運(yùn)用文獻(xiàn)研究法、交叉研究法等方法，基于SⅠ-SB 系統(tǒng)安全模型研究高鐵信息系統(tǒng)中的安全信息傳播和缺失并剖析事故案例，為創(chuàng)新高鐵信息系統(tǒng)安全管理的思路和方法提供理論和實(shí)踐指導(dǎo)，實(shí)現(xiàn)了系統(tǒng)安全模型從理論層面到實(shí)踐層面的應(yīng)用[24]。完成的工作包括：

（1）通過查閱文獻(xiàn)資料，將高鐵信息系分為核心子系統(tǒng)、邊界子系統(tǒng)、接口子系統(tǒng)，并分析各子系統(tǒng)的結(jié)構(gòu)組成和運(yùn)行機(jī)制，為建立基于高鐵信息系統(tǒng)的SⅠ-SB 系統(tǒng)安全模型奠定理論基礎(chǔ)；

（2）建立基于高鐵信息系統(tǒng)的SⅠ-SB 系統(tǒng)安全模型并分析其關(guān)鍵構(gòu)成要素，重點(diǎn)闡述危險(xiǎn)源辨識過程、基層生產(chǎn)單位向路局調(diào)度中心Ⅰ、路局調(diào)度中心Ⅰ向路局調(diào)度中心ⅠⅠ、路局調(diào)度中心ⅠⅠ向基層生產(chǎn)單位ⅠⅠⅠ這四個過程的安全信息傳播機(jī)理，從缺失對象和缺失性質(zhì)兩個角度分析其安全信息缺失機(jī)理。

（3）運(yùn)用所建模型對7.23 甬溫線事故及其形成機(jī)理進(jìn)行分析，從人員間與機(jī)器間兩方面明晰事故系統(tǒng)中安全信息的傳播過程、缺失內(nèi)容和原因，找出關(guān)鍵節(jié)點(diǎn)并針對性提出具體防范措施，印證了模型的科學(xué)性與實(shí)用性。同時，此模型兼具普適性，可以衍變應(yīng)用于綜合交通運(yùn)輸領(lǐng)域中各系統(tǒng)的事故分析。

由于信息的多樣性、行為的復(fù)雜性、技術(shù)的有限性，本文對高鐵信息系統(tǒng)中的安全信息和安全行為的研究僅僅停留在定性分析層面，因此，今后尚需在定性研究的基礎(chǔ)之上，開展大量的定量研究（如建立對安全信息的度量標(biāo)準(zhǔn)、探索對安全行為數(shù)據(jù)的獲取測量方法），才能有效提高安全預(yù)測、決策和執(zhí)行的精確度，預(yù)防和控制高鐵事故的發(fā)生。故此，呼吁學(xué)界關(guān)注和開展更多深層次的關(guān)于安全信息以及安全行為的量化研究。