基于貝葉斯網(wǎng)絡(luò)的列控系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法

車玉龍，蘇宏升

蘭州交通大學(xué)自動(dòng)化與電氣工程學(xué)院，蘭州 730070

基于貝葉斯網(wǎng)絡(luò)的列控系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法

車玉龍，蘇宏升

蘭州交通大學(xué)自動(dòng)化與電氣工程學(xué)院，蘭州 730070

1 引言

列車運(yùn)行控制系統(tǒng)是用于保障高速列車安全可靠高效運(yùn)行的安全苛求系統(tǒng)，是高速鐵路信號(hào)系統(tǒng)的“神經(jīng)中樞”，對(duì)其進(jìn)行安全風(fēng)險(xiǎn)評(píng)估顯得極其重要。評(píng)估一個(gè)新系統(tǒng)或產(chǎn)品是否符合安全、性能標(biāo)準(zhǔn)的關(guān)鍵是進(jìn)行定量和定性的風(fēng)險(xiǎn)評(píng)估。定性和定量的風(fēng)險(xiǎn)分析方法已廣泛應(yīng)用于其他行業(yè)，特別是在核電和航空航天領(lǐng)域，但是在鐵路監(jiān)管決策和安全標(biāo)準(zhǔn)執(zhí)行方面來(lái)說(shuō)是個(gè)相對(duì)較新的概念。

國(guó)內(nèi)學(xué)者已提出較多的安全風(fēng)險(xiǎn)評(píng)估體系[1-3]，但是這些安全評(píng)估框架缺少具體的實(shí)施方法。在具體的信號(hào)系統(tǒng)定量風(fēng)險(xiǎn)評(píng)估中[4-6]，F(xiàn)TA（Fault Tree Analysis，故障樹(shù)分析方法）使用最為廣泛。文獻(xiàn)[4]采用FTA和事件樹(shù)分析方法對(duì)鐵路平交道口進(jìn)行定量安全評(píng)估。文獻(xiàn)[5]用FTA定性地識(shí)別出導(dǎo)致無(wú)線閉塞中心列車超速和列車冒進(jìn)兩類安全風(fēng)險(xiǎn)的原因，缺乏定量評(píng)價(jià)。文獻(xiàn)[6]用FTA分析列控系統(tǒng)各危險(xiǎn)源的發(fā)生原因，結(jié)合模糊群決策方法，確定了危險(xiǎn)源的風(fēng)險(xiǎn)發(fā)生頻率。但像列車運(yùn)行控制系統(tǒng)這樣結(jié)構(gòu)復(fù)雜、關(guān)鍵設(shè)備冗余的可修安全苛求系統(tǒng)，采用FTA進(jìn)行安全風(fēng)險(xiǎn)評(píng)估具有一定的局限性，譬如FTA假設(shè)事件是二值的、相互獨(dú)立的，不能很好地解決復(fù)雜系統(tǒng)的建模問(wèn)題，計(jì)算精確度低并且浪費(fèi)時(shí)間。

近年來(lái)BN（Bayesian Network，貝葉斯網(wǎng)絡(luò)）在鐵路運(yùn)營(yíng)[7]，海事[8]，民航[9]等安全性領(lǐng)域的潛力得到了開(kāi)發(fā)，很好地彌補(bǔ)了傳統(tǒng)安全性評(píng)估方法的不足[10]。BN是一種基于貝葉斯推理的風(fēng)險(xiǎn)量化方法，對(duì)事件之間的依賴關(guān)系建立概率數(shù)據(jù)模型。BN不僅可以建立考慮組織、人因、環(huán)境等多因素的綜合風(fēng)險(xiǎn)模型，而且能有效地進(jìn)行不完備數(shù)據(jù)中不確定性問(wèn)題的風(fēng)險(xiǎn)分析，能得到較為客觀的定量分析結(jié)果。

本文采用BN建立列控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估模型，首先識(shí)別信號(hào)系統(tǒng)中存在的潛在危險(xiǎn)和薄弱環(huán)節(jié)、危險(xiǎn)導(dǎo)致事故的發(fā)生概率和可能的嚴(yán)重程度等。通過(guò)BN風(fēng)險(xiǎn)評(píng)估模型計(jì)算危險(xiǎn)導(dǎo)致事故發(fā)生的集合風(fēng)險(xiǎn)，將其與標(biāo)準(zhǔn)進(jìn)行比較，確定系統(tǒng)能否滿足安全要求并達(dá)到設(shè)定的安全目標(biāo)，為列控系統(tǒng)的風(fēng)險(xiǎn)管理提供科學(xué)依據(jù)。

2 基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)價(jià)流程

2.1 貝葉斯網(wǎng)絡(luò)介紹

BN是一個(gè)有向無(wú)環(huán)圖，它由代表變量的節(jié)點(diǎn)及連接這些節(jié)點(diǎn)的有向邊構(gòu)成，其中節(jié)點(diǎn)表示隨機(jī)變量，有向邊代表變量間的條件依賴關(guān)系。BN通過(guò)圖形表達(dá)不確定知識(shí)，通過(guò)條件概率表，可在模型中表達(dá)局部條件的依賴性[11]。BN的基礎(chǔ)是貝葉斯公式。

其中Bk為樣本空間Ω的一個(gè)劃分，A為任意事件，初始概率P(Bk)稱為先驗(yàn)分布，修正后的概率P(Bk|A)稱為后驗(yàn)分布，P(A|Bk)是似然函數(shù)。

利用貝葉斯網(wǎng)絡(luò)的獨(dú)立性，可以極大地減少計(jì)算聯(lián)合概率所需的參數(shù)數(shù)量，對(duì)于變量B的聯(lián)合概率分布為：

BN的節(jié)點(diǎn)可分為三類：Chance節(jié)點(diǎn)、Decision節(jié)點(diǎn)和Utility節(jié)點(diǎn)[12]，分別用橢圓形、長(zhǎng)方形、菱形表示，如圖1所示。

圖1 BN舉例

Chance節(jié)點(diǎn)表示隨機(jī)變量，有離散和連續(xù)兩種類型，Decision節(jié)點(diǎn)表示用戶決定的一個(gè)決策節(jié)點(diǎn)，和離散Chance節(jié)點(diǎn)相比，它沒(méi)有條件概率。Utility節(jié)點(diǎn)表示效用函數(shù)的附加分布，效用函數(shù)是所有Utility節(jié)點(diǎn)的總和。

2.2 基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估流程

BN是進(jìn)行原因-后果分析最適合不過(guò)的風(fēng)險(xiǎn)評(píng)估方法[13]。利用可容忍風(fēng)險(xiǎn)率THRs（Tolerable Hazard Rates，可容忍危險(xiǎn)率）等概念，識(shí)別對(duì)象（要對(duì)其評(píng)估的系統(tǒng)）在運(yùn)行環(huán)境中潛在的危險(xiǎn)，分析已識(shí)別的危險(xiǎn)導(dǎo)致的潛在結(jié)果——風(fēng)險(xiǎn)，使用貝葉斯網(wǎng)絡(luò)概率的方法計(jì)算風(fēng)險(xiǎn)的THRs。然后將風(fēng)險(xiǎn)的THRs與標(biāo)準(zhǔn)的THR（也即ASPL（Acceptable Safety Performance Limit，可接受安全性能極限））進(jìn)行比較，若不符合，重新設(shè)定相應(yīng)的值，按照原來(lái)的步驟進(jìn)行計(jì)算，直到符合標(biāo)準(zhǔn)要求為止[14]。

基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估方法是迭代的過(guò)程，輸入不同數(shù)據(jù)后對(duì)得到的結(jié)果與ASPL進(jìn)行比較，旨在評(píng)估研究的系統(tǒng)是否滿足THR水平，評(píng)估流程如圖2所示。

圖2 基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估流程

3 基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模型

3.1 相關(guān)概念

危險(xiǎn)，指可能導(dǎo)致事故的一種狀態(tài)。

事故，指一個(gè)或一系列無(wú)意識(shí)的事件導(dǎo)致死亡、受傷、系統(tǒng)或服務(wù)損失，或環(huán)境的破壞。

風(fēng)險(xiǎn)，由一個(gè)指定的危險(xiǎn)事件發(fā)生的可能性（即風(fēng)險(xiǎn)概率）和后果（即嚴(yán)重性）的結(jié)合。

EN50129用SIL（Safety Integrity Level，安全完整性等級(jí)）來(lái)說(shuō)明相關(guān)系統(tǒng)的安全目標(biāo)[15]，如表1所示。SIL指在規(guī)定時(shí)間周期內(nèi)和規(guī)定條件下安全相關(guān)系統(tǒng)成功地完成所需安全功能的能力。THR指每單位時(shí)間和每功能出現(xiàn)可承受危害源次數(shù)，通過(guò)對(duì)系統(tǒng)的風(fēng)險(xiǎn)和危害進(jìn)行定性和定量分析，來(lái)確定系統(tǒng)的THR值，進(jìn)一步確定系統(tǒng)的SIL。

表1 安全完整性等級(jí)分級(jí)標(biāo)準(zhǔn)

安全完整性越高，則其不能執(zhí)行必需的安全功能的可能性就越低。THRs能夠表示安全完整性包含的系統(tǒng)化故障完整性和隨機(jī)故障完整性。系統(tǒng)故障完整性是安全完整性的不可量化的部分，并且與危險(xiǎn)的系統(tǒng)故障（硬件和軟件）相關(guān)，系統(tǒng)的故障是在系統(tǒng)/子系統(tǒng)/設(shè)備的生命周期的各階段中的人為錯(cuò)誤所造成的。隨機(jī)的故障完整性是安全完整性的一部分，它跟有害的隨機(jī)故障有直接的聯(lián)系，特別是隨機(jī)的硬件故障，這些硬件故障是由于硬件組件有限的可靠性所造成的。

3.2 危險(xiǎn)識(shí)別

在分析系統(tǒng)需求規(guī)范、系統(tǒng)結(jié)構(gòu)和功能的基礎(chǔ)上，可以采用故障和意外分析方法（如初步危害分析、故障樹(shù)分析、事件樹(shù)分析、FMECA、HAZOPS等）識(shí)別系統(tǒng)在環(huán)境交互下運(yùn)行過(guò)程中的潛在危險(xiǎn)。

假設(shè)有系統(tǒng)或子系統(tǒng)故障模式導(dǎo)致的n個(gè)危險(xiǎn)，每個(gè)危險(xiǎn)Hj(j=1,2,…,n)的危險(xiǎn)率為HRj，HRj表示列車每小時(shí)或每運(yùn)行公里出現(xiàn)的危害源次數(shù)。危險(xiǎn)的持續(xù)時(shí)間為Dj，Dj取決于危險(xiǎn)出現(xiàn)時(shí)系統(tǒng)和環(huán)境的交互。這樣，在特定環(huán)境下，Hj危險(xiǎn)出現(xiàn)的概率為：

3.3 識(shí)別事故

識(shí)別潛在的危險(xiǎn)后，通過(guò)系統(tǒng)客觀的結(jié)果和損失分析來(lái)預(yù)測(cè)系統(tǒng)的安全風(fēng)險(xiǎn)。評(píng)估的目的是確定危險(xiǎn)是否滿足系統(tǒng)的THR值，反過(guò)來(lái)，這有助于確定系統(tǒng)的安全完整性需求。

考慮系統(tǒng)處于危險(xiǎn)狀態(tài)時(shí)系統(tǒng)和環(huán)境的交互，一個(gè)危險(xiǎn)可能會(huì)導(dǎo)致一種或多種事故的發(fā)生。給定一個(gè)危險(xiǎn)Hj，假設(shè)導(dǎo)致m種事故Ajk(j=1,2,…,n,k=1,2,…,m)，定義事故Ajk的發(fā)生概率為Cjk，利用貝葉斯網(wǎng)絡(luò)建立事故模型，可以精確計(jì)算事故Ajk的事故率ARjk：

其中，N是列車每小時(shí)或每運(yùn)行公里所受環(huán)境影響的次數(shù)。Cjk可以從已有相似系統(tǒng)中導(dǎo)致事故Ajk發(fā)生的危險(xiǎn)源的歷史數(shù)據(jù)獲得，或者將Cjk看做是導(dǎo)致事故發(fā)生的事故原因發(fā)生的概率。

3.4 集體風(fēng)險(xiǎn)評(píng)估

為了確定每個(gè)危險(xiǎn)的THR，必須確定每個(gè)事故的影響，用事故的嚴(yán)重性來(lái)表示，嚴(yán)重性指事故導(dǎo)致的財(cái)產(chǎn)損失或死亡人數(shù)。事故Ajk的嚴(yán)重度Sjk定義如下：

Sjk（財(cái)產(chǎn)損失形式）=設(shè)備損壞費(fèi)用+軌道損壞費(fèi)用+其他損失費(fèi)用+死亡人數(shù)和受傷人數(shù)等效的損失費(fèi)用

Sjk（死亡人數(shù)形式）=死亡實(shí)際人數(shù)+受傷人數(shù)等效轉(zhuǎn)換成死亡的實(shí)際人數(shù)+所有費(fèi)用等效轉(zhuǎn)換成的死亡人數(shù)

因此，每個(gè)事故的集體風(fēng)險(xiǎn)取決于事故的事故率和嚴(yán)重度。定義CRjk是事故Ajk的集體風(fēng)險(xiǎn)，則

3.5 確定THRs

為了確定THRs，所有危險(xiǎn)導(dǎo)致的事故集體風(fēng)險(xiǎn)總和必須小于或等于RB（基本案例風(fēng)險(xiǎn)，作為參考標(biāo)準(zhǔn)，也可用ASPL表示），否則得調(diào)整危險(xiǎn)率直到迭代結(jié)果滿足要求?；谪惾~斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估迭代過(guò)程最終會(huì)確定每個(gè)危險(xiǎn)Hj的THRj?；景咐L(fēng)險(xiǎn)RB的計(jì)算如公式（7）所示。

其中，nB(x)表示基本案例規(guī)定時(shí)間的事故個(gè)數(shù)，$B(x)表示基本案例事故的平均嚴(yán)重度，VB表示基本案例規(guī)定時(shí)間列車運(yùn)行公里數(shù)的交通量。nB(x)、$B(x)和VB的值都取決于歷史數(shù)據(jù)。

所有事故導(dǎo)致的系統(tǒng)風(fēng)險(xiǎn)值RP必須小于或等于相應(yīng)的基本案例風(fēng)險(xiǎn)RB，即

nP(x)受評(píng)估系統(tǒng)的設(shè)備結(jié)構(gòu)、設(shè)備危險(xiǎn)故障率、操作規(guī)范和人為因素影響。nP(x)/VP為公式（4）的事故率ARjk，因此RP是集體風(fēng)險(xiǎn)CRjk的總和，即

4 模型舉例

下面用一個(gè)例子說(shuō)明采用BN融合上面幾個(gè)風(fēng)險(xiǎn)評(píng)估步驟的過(guò)程，如圖3所示。節(jié)點(diǎn)H1、C1、AR1和CR1分別表示危險(xiǎn)H1，事故發(fā)生概率C1i，事故率AR1i，集合風(fēng)險(xiǎn)CR1i，其中i=1，2，即危險(xiǎn)H1導(dǎo)致有兩種事故發(fā)生。父節(jié)點(diǎn)H1和C1的數(shù)據(jù)來(lái)源于事故數(shù)據(jù)庫(kù)，AR1i和CR1i的值分別由公式（4）和公式（5）得到，相應(yīng)的數(shù)值結(jié)果如圖3條框所示，“yes”表示危險(xiǎn)或事故發(fā)生，“no”表示不發(fā)生。需要說(shuō)明的是，節(jié)點(diǎn)H1的取值由公式（3）確定，為簡(jiǎn)化模型，作了以下處理：Hj=N×(HRj×Dj)，N取值為2。

圖3 基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模型舉例

節(jié)點(diǎn)AR1和CR1的條件概率表如圖4所示。

圖4 節(jié)點(diǎn)AR1和CR1的條件概率表

5 實(shí)例分析

以美國(guó)列車保護(hù)警報(bào)系統(tǒng)為例。該系統(tǒng)的功能是相對(duì)于前行列車的速度進(jìn)行列車速度監(jiān)督，給司機(jī)警報(bào)，然后緊急剎車以防止列車越過(guò)危險(xiǎn)信號(hào)。該系統(tǒng)用于重載旅客列車，其目標(biāo)是降低因列車越過(guò)危險(xiǎn)信號(hào)而導(dǎo)致的傷亡風(fēng)險(xiǎn)至可接受的水平。在每英里平均有2個(gè)信號(hào)，列車運(yùn)行200 mile情況下，對(duì)列車裝備的列車保護(hù)警報(bào)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。數(shù)據(jù)均來(lái)源于美國(guó)聯(lián)邦鐵路管理局的I級(jí)鐵路事故/事件報(bào)告系統(tǒng)數(shù)據(jù)庫(kù)（http：//safetydata.fra.dot.gov/ office of safety/）。設(shè)定基礎(chǔ)案例風(fēng)險(xiǎn)RB=0.5。

5.1 危險(xiǎn)識(shí)別

列車保護(hù)警報(bào)系統(tǒng)的4個(gè)初始關(guān)鍵危險(xiǎn)在列車運(yùn)行過(guò)程中任何時(shí)刻都有可能發(fā)生，如表2所示。

表2 列車保護(hù)警報(bào)系統(tǒng)的初始危險(xiǎn)及危險(xiǎn)率

危險(xiǎn)H1，H2和H4的發(fā)生由工作人員的身體條件、閉塞或聯(lián)鎖信號(hào)的故障、其他信號(hào)故障等原因所致，危險(xiǎn)H3的發(fā)生由列車在閉塞或聯(lián)鎖信號(hào)管轄范圍內(nèi)超速、列車沒(méi)有遵守閉塞和聯(lián)鎖信號(hào)規(guī)定的或等效的限制速度、其他超速等原因所致，在此不再詳述。

5.2 基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模型

列車保護(hù)警報(bào)系統(tǒng)的危險(xiǎn)導(dǎo)致事故的發(fā)生，由事故的事故率和嚴(yán)重度可以得到事故的集合風(fēng)險(xiǎn)，從而得到系統(tǒng)的風(fēng)險(xiǎn)值RP，將RP和基本案例風(fēng)險(xiǎn)RB進(jìn)行比較，可以判別該系統(tǒng)的危險(xiǎn)是否符合相應(yīng)的標(biāo)準(zhǔn)。采用BN建立的列車保護(hù)警報(bào)系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型如圖5所示。

圖5 列車保護(hù)警報(bào)系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型

其中，父節(jié)點(diǎn)H1～H4的值如表2所示，父節(jié)點(diǎn)C1～C4表示的事故發(fā)生率Cjk如表3所示。中間節(jié)點(diǎn)AR1～AR2的條件概率可由圖4所示的方法類似得到。CR1～CR4是Utility節(jié)點(diǎn)，其賦值是事故的嚴(yán)重度，如表3所示。由Decision節(jié)點(diǎn)可求得系統(tǒng)的風(fēng)險(xiǎn)值RP。

表3 列車保護(hù)警報(bào)系統(tǒng)的初始危險(xiǎn)

計(jì)算結(jié)果得RP=0.011 514 9＜RB，說(shuō)明初始HRj=THR，危險(xiǎn)率在可接受范圍內(nèi)，不需再迭代，評(píng)估結(jié)束。

一旦確定RP，通過(guò)與RB比較，可以利用BN風(fēng)險(xiǎn)評(píng)估模型對(duì)評(píng)估系統(tǒng)與安全標(biāo)準(zhǔn)和規(guī)范不符的設(shè)備結(jié)構(gòu)、設(shè)備危險(xiǎn)故障率、操作計(jì)劃和人因等環(huán)節(jié)進(jìn)行敏感性分析。同時(shí)，考慮人為因素、軌道基礎(chǔ)設(shè)施、交通密度、列車運(yùn)營(yíng)規(guī)則、地面設(shè)備和車載設(shè)備等，整個(gè)BN風(fēng)險(xiǎn)評(píng)估能夠?yàn)樗辛锌叵到y(tǒng)設(shè)備和接口故障影響的原因作出解釋。

6 結(jié)束語(yǔ)

列控系統(tǒng)結(jié)合了通信、計(jì)算機(jī)、自動(dòng)控制等新技術(shù)，其中隱藏著大量風(fēng)險(xiǎn)。貝葉斯網(wǎng)絡(luò)處理不完備數(shù)據(jù)的不確定性問(wèn)題具有明顯的優(yōu)勢(shì)，將BN優(yōu)良的原因-后果分析能力引入到列控系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估中，建立了基于BN的風(fēng)險(xiǎn)評(píng)估模型。識(shí)別列控系統(tǒng)中存在的潛在危險(xiǎn)、危險(xiǎn)導(dǎo)致事故的發(fā)生概率和可能的嚴(yán)重程度等，利用鐵路事故數(shù)據(jù)庫(kù)和相應(yīng)的安全標(biāo)準(zhǔn)，通過(guò)BN風(fēng)險(xiǎn)評(píng)估模型計(jì)算危險(xiǎn)導(dǎo)致事故發(fā)生的THRs，確定系統(tǒng)能否滿足安全要求并達(dá)到設(shè)定的安全目標(biāo)。利用BN的雙向推理能力，可以發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)和危險(xiǎn)源的重要程度。

基于BN的風(fēng)險(xiǎn)評(píng)估方法用圖形的方式清楚了然地描述了危險(xiǎn)、風(fēng)險(xiǎn)和事故后果間的因果關(guān)系，該方法在鐵路事故數(shù)據(jù)庫(kù)和已有案例的基礎(chǔ)上，為列控系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的具體實(shí)施方法提供了新的思路。但該方法的基礎(chǔ)是事故數(shù)據(jù)或案例，然而我國(guó)鐵路基礎(chǔ)數(shù)據(jù)統(tǒng)計(jì)相比于國(guó)外比較薄弱，尤其高速鐵路的設(shè)備故障率、人因失誤和環(huán)境影響等數(shù)據(jù)匱乏，因此在建立健全我國(guó)鐵路事故/故障數(shù)據(jù)庫(kù)方面需要做更多的工作。

[1]郜春海，燕飛，唐濤.軌道交通信號(hào)系統(tǒng)安全評(píng)估方法研究[J].中國(guó)安全科學(xué)學(xué)報(bào)，2005，15（10）：74-79.

[2]燕飛.列車運(yùn)行控制系統(tǒng)安全保障與認(rèn)證方法研究[J].中國(guó)安全科學(xué)學(xué)報(bào)，2010，20（12）：98-104.

[3]郭進(jìn)，張亞?wèn)|.中國(guó)高速鐵路信號(hào)系統(tǒng)分析與思考[J].北京交通大學(xué)學(xué)報(bào)，2012，36（5）：90-94.

[4]劉敬輝，戴賢春，郭湛，等.鐵路系統(tǒng)基于風(fēng)險(xiǎn)的定量安全評(píng)估方法[J].中國(guó)鐵道科學(xué)，2009，30（5）：123-128.

[5]張?jiān)?，劉朝英，李啟翮，?無(wú)線閉塞中心系統(tǒng)安全風(fēng)險(xiǎn)分析及對(duì)策[J].中國(guó)鐵道科學(xué)，2010，31（4）：112-117.

[6]張亞?wèn)|，郭進(jìn)，戴賢春，等.列車運(yùn)行控制系統(tǒng)風(fēng)險(xiǎn)發(fā)生頻率的分析模型研究[J].中國(guó)安全科學(xué)學(xué)報(bào)，2012，22（9）：37-42.

[7]Marsh W，Bearfield G.Using Bayesian networks to model accident causation in the UK railway industry[C]//International Conference on Probabilistic Safety Assessment and Management，PSAM7，Berlin，2004.

[8]Li K X，Yin J，Bang H S，et al.Bayesian network with quantitative input for maritime risk analysis[EB/OL].[2013-05-30].http：// www.tandfonline.com/doi/abs/10.1080/18128602.2012.675527#. UoNsKKIiSpk.

[9]Netjasov F，Janic M.A review of research on risk and safety modelling in civil aviation[J].Journal of Air Transport Management，2008，14（4）：213-220.

[10]Khakzad N，Khan F，Amyotte P.Safety analysis in process facilities：comparison of fault tree and Bayesian network approaches[J].Reliability Engineering&System Safety，2011，96（8）：925-932.

[11]Weber P，Medina-Oliva G，Simon C，et al.Overview on Bayesian networks applications for dependability，risk analysis and maintenance areas[J].Engineering Applications of Artificial Intelligence，2012，25（4）：671-682.

[12]HUGIN Expert software version 7.7[EB/OL].[2013-05-30]. http：//www.hugin.com.

[13]Hartong M W，Cataldi O K.Regulatory risk evaluation of positive train control systems[C]//ASME/IEEE 2007 Joint Rail Conf and Internal Combustion Engine Division Spring Technical Conf，2007.

[14]Mokkapati C，Tse T，Rao A.A practical risk assessment methodology for safety-critical train control systems[R].US Department of Transportation，F(xiàn)ederal Railroad Administration，2009.

[15]CENELEC Standard EN-50129-2003 Railway applications：communications，signaling and processing systems—safety related electronic systems for signaling[S].2003.

CHE Yulong,SU Hongsheng

School of Automation and Electrical Engineering,Lanzhou Jiaotong University,Lanzhou 730070,China

In order to evaluate the risk of accidents caused by hazards in train control system more scientifically,Bayesian network technology is introduced to figure the causal relationship among hazards,risks and consequences in the accident.Potential hazards, probability of occurrence of accidents and potential severity are identified.By combining with the advantage of Bayesian network processing incomplete data,the risk assessment model based on Bayesian network is established to calculate the Tolerable Hazard Rates（THRs）of accidents.And they are compared with the required safety standards to determine whether the system meets the safety requirements or objectives.The model integrating the railroad grade 1 accident/incident database is used to assess U.S. train protection warning system.THRs of accidents caused by four initial hazards are less than specified value.The validity of this model provides a new thought of train for the concrete implementation method of risk assessment on train control system.

train control system;Bayesian network;hazard;risk assessment

為科學(xué)評(píng)估列車運(yùn)行控制系統(tǒng)內(nèi)各危險(xiǎn)導(dǎo)致的事故風(fēng)險(xiǎn)，用貝葉斯網(wǎng)絡(luò)描述危險(xiǎn)、風(fēng)險(xiǎn)和事故后果間的因果關(guān)系。通過(guò)識(shí)別系統(tǒng)中的潛在危險(xiǎn)、危險(xiǎn)導(dǎo)致事故的發(fā)生率和嚴(yán)重程度，結(jié)合貝葉斯網(wǎng)絡(luò)處理不完備數(shù)據(jù)的優(yōu)勢(shì)，建立基于貝葉斯網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模型，計(jì)算危險(xiǎn)導(dǎo)致事故發(fā)生的可容忍危險(xiǎn)率，判斷系統(tǒng)能否滿足安全要求并達(dá)到設(shè)定的安全目標(biāo)。以美國(guó)的列車保護(hù)警報(bào)系統(tǒng)和I級(jí)鐵路事故/事件數(shù)據(jù)庫(kù)為例，利用該模型進(jìn)行風(fēng)險(xiǎn)評(píng)估，結(jié)果表明4個(gè)初始危險(xiǎn)導(dǎo)致的事故可容忍危險(xiǎn)率小于規(guī)定值，驗(yàn)證了模型的有效性，為列控系統(tǒng)風(fēng)險(xiǎn)評(píng)估的具體實(shí)施方法提供了新思路。

列控系統(tǒng)；貝葉斯網(wǎng)絡(luò)；危險(xiǎn)源；風(fēng)險(xiǎn)評(píng)估

A

X913.4；U284

10.3778/j.issn.1002-8331.1307-0409

CHE Yulong,SU Hongsheng.Risk assessment method on train control system using Bayesian network.Computer Engineering and Applications,2013,49（24）：238-242.

鐵道部科技研究開(kāi)發(fā)計(jì)劃項(xiàng)目（No.2012X003-B）。

車玉龍（1988—），男，碩士研究生，研究方向?yàn)榱熊囘\(yùn)行控制系統(tǒng)的可靠性與安全性；蘇宏升（1969—），男，教授，博士生導(dǎo)師，研究方向?yàn)榻煌ㄐ畔⒐こ碳翱刂?，設(shè)備智能故障診斷及可靠性研究。E-mail：cylg717@163.com

2013-07-31

2013-09-15

1002-8331（2013）24-0238-05