■ 刘子慧 潘伟 吴超

1.中南大学资源与安全工程学院 长沙 410083

2.中南大学安全理论创新与促进研究中心 长沙 410083

0 引言

高铁作为现代交通工具的重要组成部分，在促进经济发展和保障社会稳定中发挥着关键作用。由于高铁运行过程中内部信息传递不及时、外部环境错综复杂等特点，导致其存在诸多潜在的安全风险，容易发生追尾、脱轨等灾难性事故，给人民生命和财产造成巨大损失。例如，北京—青岛线在2008年4月28日发生的动车相撞事故[1]、英国在2016年4月3日发生的火车相撞事故[2]等，这些事故的发生往往是由于系统中某一设施的故障信息衍生传递到相近的设施，从而导致一系列连锁事故。究其根源，与相关部门管理的“漏洞”息息相关。因此，随着社会-技术系统的不断发展，从安全信息与安全行为结合的新视角深入开展安全模型的理论研究[3]，并将其应用到高铁信息系统的安全管理中势在必行。

国内外学者对高铁信息系统的安全管理开展了大量研究，其中，祁晓飞[4]和陈龙[5]分别基于管理疏忽与危险树法和层次分析法构建了高铁信息系统的安全评价模型；张健[6]和任璐[7]分别运用风险矩阵法和基于粗糙集的模糊综合评价法构建了高铁客运系统的风险评价模型和高铁行车调度系统的风险预警模型；王雷[8]和李凯[9]分别以过程方法和串并联方法为理论基础分析了高铁信息系统的相关流程和可靠性。总体而言，学界对高铁信息安全管理的研究大多都是在传统意义上的安全管理模式和事故致因原理的指导下开展，主要从事故和风险两个角度进行分析，鲜有对信息传递在安全管理方面的深入研究。随着高铁信息化程度的进一步提高，以安全信息为着眼点来分析高铁信息系统可以建立更为完善的新型安全管理模式。

同时，国内外学者主要从安全信息和安全行为两个视域对安全模型进行了深入探讨,在安全信息视域下的研究中，罗通元[10]和吴超[11]分别基于安全系统的分解原则和安全信息失真角度构建了安全信息认知通用模型；朱宇倩[12]以安全信息认知模型为理论基础构建了安全事故的事件本体模型；雷雨[13]根据流程结构的基本原理对多级安全信息认知进行了一系列优化。在安全行为视域下的研究中，吴超[14]和傅贵[15]分别构建了行为安全管理元模型和行为安全“2-4”模型；王秉[16]依据安全信息处理模型构建了安全行为干预新模型，金慧敏[17]在行为安全管理元模型的基础上构建了内隐安全行为干预模型。总体而言，学界对安全模型的理论研究较为成熟，但是针对各类模型的具体应用研究尚处于初步探索阶段。安全信息—安全行为（Safety-related Ⅰnformation—Safety-related Behavior, SⅠ-SB）系统安全模型是吴超教授课题组通过创新性研究构造的首个安全信息和安全行为相结合的新型理论模型，其可将各类事故系统中所涉及的相关安全管理要素统一化，具有普适性意义和推广应用价值[18]。

鉴于此，本文以高铁信息系统为研究对象，基于SⅠ-SB系统安全模型，通过分析我国高铁信息系统的结构组成和运行机制，构建基于高铁信息系统的SⅠ-SB 系统安全模型，并运用所建模型剖析典型案例及其事故形成机理，以期促进事故调查分析工作实施和优化安全管理人员配置，从而为高铁信息系统的安全管理提供理论与实践指导[19,20]。

1 我国高铁信息系统概述

1.1 结构组成

我国高铁信息系统的结构错综复杂，主要由功能各异、协同作用的核心子系统和边界子系统以及接口子系统3部分组成，具有纵向协调、横向耦合、属地化管理、既有线调度等特点[21]，按照区域集中二级模式[22]开展调度指挥工作。其中，核心子系统由计划调度、列车调度、动车调度、客运调度、供电调度以及综合设施调度6个子系统的路局调度中心构成，在调度指挥过程中负责接收和处理各种信息、预测和决策调度命令，具有指导性和决定性的作用；边界子系统主要由列车系统、车站系统、线路系统、动车基地系统、供电系统5 个基层生产单位构成，在调度指挥过程中负责监督和协调路局调度中心正常运行，并在其指挥下开展各项具体活动；边界子系统主要由动车组调度系统、无线闭塞中心（Radio Block Center, RBC）系统、列车无线调度电话（Fixedusers Access Switching, FAS）系统、调度集中（Centralized Traffic Control,CTC）系统、站车交互系统、电力远动终端系统、防灾安全监控系统、综合设施调度系统、旅客服务调度系统9 个子系统构成，在调度指挥过程中负责边界子系统和核心子系统之间各类信息的上传下达。

1.2 运行机制

由于高铁信息系统的复杂性和安全信息的多样性，同一个边界子系统可以经由多个接口子系统和多个核心子系统传递相关信息，同一个核心子系统可以经由多个接口子系统和多个边界子系统传递相关信息。例如，列车调度通过FAS 系统分别向列车系统和线路系统传递调度信息、车站系统通过旅游调度服务系统分别向计划调度和客运调度接收调度信息、防灾减灾系统和综合设施服务系统共同负责传递线路系统和综合设施调度间的灾害和灾害信息。其运行机制具体见图1。

图1 高铁信息系统运行机制

2 基于高铁信息系统的SI-SB系统安全模型

2.1 关键构成要素

将高铁信息系统的运行机制与SⅠ-SB 系统安全模型相结合，构建基于高铁信息系统的SⅠ-SB 系统安全模型（图2）。模型主体由高铁信息系统的安全信息空间（Safety-related Ⅰnformation, SⅠ）和安全行为空间（Safetyrelated Behavior,SB）两部分构成，其关键构成要素分为安全信息空间和安全行为空间两大类（表1）。在基于高铁信息系统的SⅠ-SB 系统安全模型中，安全信息依次通过危险源辨识过程、基层生产单位传向路局调度中心Ⅰ、路局调度中心Ⅰ传向路局调度中心ⅠⅠ、路局调度中心ⅠⅠ传向基层生产单位ⅠⅠⅠ这4个过程发生传播与缺失。

表1 关键构成要素

图2 基于高铁信息系统的SI-SB系统安全模型

2.2 安全信息传播机理

2.2.1 危险源辨识

危险源辨识指基层生产单位通过相关人员和设备对铁路系统的动态信息进行一系列筛选，主要涉及铁路系统S、基层生产单位、危险源辨识、铁路系统动态信息Ⅰb这4 个对象。其中，铁路系统S 为安全信源；基层生产单位为安全信息采集者，指处在列车运行现场中的列车系统、车站系统等边界子系统；危险源指可能影响铁路系统正常运行的人员、设备、环境以及管理4个方面的潜在因素；铁路系统动态信息Ⅰb用客观状态集E 表示为E={e1人员因素信息，e2设备因素信息，e3环境因素信息，e4决策管理信息}。该过程的安全信息传播机理见图3。

图3 危险源辨识过程

2.2.2 基层生产单位传向路局调度中心Ⅰ

基层生产单位向路局调度中心Ⅰ的安全信息传递指基层生产单位通过接口子系统A 将危险源辨识过程中获得的相关安全信息传递给路局调度中心Ⅰ，主要涉及基层生产单位、路局调度中心Ⅰ、接口子系统A、调度信号Ⅰs、安全预测问题P1、调度信号Ⅰg这6 个对象。其中，路局调度中心Ⅰ为安全信宿，包括计划调度、列车调度等核心子系统；接口子系统A 为安全信道，包括动车组调度系统、RBC等设备；调度信号Ⅰs是开展系统安全预测行为活动的依据；安全预测问题P1为监控列车系统、动车基地系统等的运行状态；调度信号Ⅰg用安全信息集S表示为S={s1列车系统信息，s2动车基地系统信息，s3车站系统信息，s4线路系统信息，s5供电系统信息}。该过程的安全信息传播机理见图4。

图4 基层生产单位向路局调度中心I的安全信息传递过程

2.2.3 路局调度中心Ⅰ传向路局调度中心ⅠⅠ

路局调度中心Ⅰ向路局调度中心ⅠⅠ的安全信息传递是指路局调度中心Ⅰ通过接口子系统B 将得到的相关安全信息传递给路局调度中心ⅠⅠ，主要涉及路局调度中心Ⅰ、接口子系统B、调度信号Ⅰk、路局调度中心ⅠⅠ、安全决策问题P2、调度信号Ⅰf这6 个对象。其中，接口子系统B 为安全信道，包括运行管理调度系统、计划编制系统等设备；调度信号Ⅰk是开展系统安全决策行为活动的依据；路局调度中心ⅠⅠ为安全信宿，包括计划调度、列车调度等核心子系统；安全决策问题P2为编制、调整并审核各路局调度中心的计划、方案和申请；调度信号Ⅰf是安全预测讯息，用安全信息集F 表示为F={f1计划调度信息，f2列车调度信息，f3综合设施调度信息，f4动车组调度信息，f5供电调度信息，f6客服调度信息}。该过程的安全信息传播机理见图5。

图5 路局调度中心I向路局调度中心II的安全信息传递过程

2.2.4 路局调度中心ⅠⅠ传向基层生产单位ⅠⅠⅠ

路局调度中心ⅠⅠ向基层生产单位ⅠⅠⅠ的安全信息传递指路局调度中心通过接口子系统C 将得到的相关安全信息传递给基层生产单位ⅠⅠⅠ，主要涉及路局调度中心ⅠⅠ、接口子系统C、基层生产单位ⅠⅠⅠ、安全执行问题P3、调度信号Ⅰd、调度信号Ⅰy这6个对象。接口子系统C为安全信道，包括动车组调度系统、RBC 等设备；基层生产单位ⅠⅠⅠ为安全信息采集者，指处在列车运行的现场中的列车系统、车站系统等边界子系统；调度信号Ⅰy是开展系统安全执行行为活动的依据；安全执行问题P3为下达并实施各路局调度中心的相关计划和方案；调度信号Ⅰd是安全决策讯息，用安全信息集D 表示为D={d1计划调度信息，d2列车调度信息，d3动车组信息，d4客服信息，d5供电信息，d6综合设施信息}。该过程的信息传播示意图见图6。

图6 路局调度中心II向基层生产单位III的安全信息传递过程

2.3 安全信息缺失机理

高铁信息系统中安全信息缺失的实质为各个路局调度中心和基层生产单位以及安全预测者、决策者、执行者这7 类缺失对象，在安全信息空间和安全行为空间两个领域中导致的铁路系统动态信息Ⅰb和调度信号（Ⅰg、Ⅰs、Ⅰf、Ⅰk、Ⅰd、Ⅰy）这7类安全信息的缺失，按缺失对象对其进行分类，安全信息缺失机理具体见表2。

表2 安全信息缺失机理（按缺失对象）

通过上述分析可知，高铁信息系统安全信息的缺失对象和原因不同，最后体现在具体行为活动中的安全信息差的程度和性质也不一样。其中，安全信息空间主要发生安全信息的永久性、暂时性和有意性缺失，安全行为空间主要发生安全信息的内容、认知和识别缺失。按缺失性质对其进行分类，安全信息缺失机理见表3。

表3 安全信息缺失机理（按缺失性质）

3 事故分析

3.1 事故概况

2011年7月23日，由杭州站开往福州南站的列车D3115（前车）与由北京南站开往福州站的列车D301（后车）在浙江省温州市内的甬温线上发生列车追尾事故，造成重大人员伤亡和财产损失。事发当时，轨道电路发生故障致使前车未能及时转换成行车模式和驶出轨道区间，同时列控中心发生故障致使后车获得无车占用码而驶入轨道区间，最终两车相撞造成此次事故。事故调查报告显示，该起事故是由于列控中心设备缺陷、上道审查不合格、应急管理不到位等因素而引发的重大铁路交通安全责任事故[23]。

3.2 事故系统的安全信息传播与缺失

3.2.1 人员间的安全信息传播与缺失

事故系统中人员间安全信息传播过程见图7。数字的大小表示传播的先后顺序，符号x 表示存在安全信息缺失，安全信息包括设备故障情况、调度命令、列车运行状态，共10个安全信息传播的过程。安全信息缺失的传播为6、7、9、10 过程，缺失内容为：终端显示错误的红光带信息、车站值班人员与列车调度人员没有及时得知前车正确的运行状态、后车没有及时获取前方相应轨道区间正确的占用码。

图7 人员间的安全信息传播

3.2.2 设备间的安全信息传播与缺失

事故系统中设备间安全信息传播过程见图8。数字的大小表示传播的先后顺序，符号x 表示存在安全信息缺失，安全信息包括采集驱动数据、轨道区段空闲、进路命令、行车许可，共6个安全信息传播的过程。安全信息缺失的传播为数字1 至6 过程，缺失内容为：列控中心系统、车站CTC系统以及调度CTC系统没有及时获取相应轨道区间正确的占用码信息、车站CTC 系统和后车获取错误的进路以及行车许可。

图8 设备间的安全信息传播

3.3 事故防范措施

通过对事故系统中安全信息的传播过程和缺失机理进行分析，得出事故系统中安全信息缺失的内容，由此可将事故发生的原因归纳为相关设备的错误显示和调度人员对列车运行状态的错误掌握两个方面，这与事故调查报告的结果是相一致的，同时验证了基于高铁信息系统的SⅠ-SB 系统安全模型的科学性与实用性。以事故发生原因为着眼点入手进而可以找出防范类似事故的措施，一方面可以通过定期检查故障状况、实施冗余设计、遵循故障导向原则等方法增加设备的安全性，另一方面可以通过安全教育、技能培训、应急管理培训等方法提高人员的可靠性。

4 结论

本文以我国高铁信息系统为研究对象，依据安全信息论、安全管理学等理论知识，运用文献研究法、交叉研究法等方法，基于SⅠ-SB 系统安全模型研究高铁信息系统中的安全信息传播和缺失并剖析事故案例，为创新高铁信息系统安全管理的思路和方法提供理论和实践指导，实现了系统安全模型从理论层面到实践层面的应用[24]。完成的工作包括：

（1）通过查阅文献资料，将高铁信息系分为核心子系统、边界子系统、接口子系统，并分析各子系统的结构组成和运行机制，为建立基于高铁信息系统的SⅠ-SB 系统安全模型奠定理论基础；

（2）建立基于高铁信息系统的SⅠ-SB 系统安全模型并分析其关键构成要素，重点阐述危险源辨识过程、基层生产单位向路局调度中心Ⅰ、路局调度中心Ⅰ向路局调度中心ⅠⅠ、路局调度中心ⅠⅠ向基层生产单位ⅠⅠⅠ这四个过程的安全信息传播机理，从缺失对象和缺失性质两个角度分析其安全信息缺失机理。

（3）运用所建模型对7.23 甬温线事故及其形成机理进行分析，从人员间与机器间两方面明晰事故系统中安全信息的传播过程、缺失内容和原因，找出关键节点并针对性提出具体防范措施，印证了模型的科学性与实用性。同时，此模型兼具普适性，可以衍变应用于综合交通运输领域中各系统的事故分析。

由于信息的多样性、行为的复杂性、技术的有限性，本文对高铁信息系统中的安全信息和安全行为的研究仅仅停留在定性分析层面，因此，今后尚需在定性研究的基础之上，开展大量的定量研究（如建立对安全信息的度量标准、探索对安全行为数据的获取测量方法），才能有效提高安全预测、决策和执行的精确度，预防和控制高铁事故的发生。故此，呼吁学界关注和开展更多深层次的关于安全信息以及安全行为的量化研究。