谈风险接受原则（risk acceptance principle）

在轨道交通独立安全评估中，基本的过程是围绕风险管理进行的，即识别风险、对风险进行评价、对不可接受的风险采取风险缓解措施、对风险管理的证据进行闭环跟踪，将整个风险管理过程进行记录。

风险管理中经常让人感到困惑的是风险评价（risk evaluation），通常根据风险接受原则RAP(risk acceptance principle)用于判定。如何判定识别的风险是可接受的，在国际广泛应用的RAMS标准EN50126-1 2017版本中，定义了三种风险接受原则，分别是：

• the application of codes of practice Cop准则的应用

• a comparison with similar systems 相似系统的比较

• an explicit risk estimation 明确的风险评估

上面就是三个可用于判定风险是否可接受的参考原则。

风险评估过程（来自EN50126-1 2017）

这里需要注意的是风险接受原则RAP与旧版EN50126发生了变化，1999版的EN50126中，RAP基于风险矩阵中风险发生的严重度和频度，即上面的第三个原则，常见的有：

——ALARP（风险降到可行）原理（英国使用）

——GAMAB（综合最优）原理（法国使用）

——MEM（最小内源性死亡率）原理（德国使用）

这三个概念听起来有点难以理解，这里暂且不做解释，后面再说。

为什么新版标准中风险接受原则发生了变化，与原来的标准有什么区别，这个变化是来自于欧盟指令2016/798中定义的CSM-RA（common safety method - risk acceptance），即风险评估通用安全方法。

CSM-RA的目的是建立一个通用的风险评估过程用来评估铁路系统技术、运营或组织上的变化，用来协调变更的系统在欧盟不同成员国之间的相互接受。

在CSM-RA文件中，定义了它的风险管理流程图，可以看出，图中风险接受原则与EN50126是一致的，可见新版EN50126对风险接受原则的调整正是与CSM-RA保持一致。

CSM-RA的风险管理流程图

从EN50126标准与CSM-RA通用安全方法发展的时间线，也能发现，在EN50126-1999发布时，CSM-RA还未发布，在CSM-RA完善发布后，EN50126-2017新版发布，两个标准的发展历程是相辅相成的。

EN50126与CSM-RA的发展时间线

但是，EN50126的风险管理也不能等同于CSM-RA，它们之间也存在差异，简要来说有以下几点：

• CSM-RA主要关注变更的系统，EN50126适用于新系统和变更；
  

• CSM-RA只关注重大的变更，EN50126适用于所有变更；

• CSM-RA重点在于风险识别和控制，EN50126则是全生命周期。

EN50126 V模型各阶段与CSM的关系

下面来谈谈三种风险接受原则：

Use of Code of Practice（应用CoP规则）

根据特定的危害通过遵循标准规则（CoP）来控制，这种情况下风险可接受，不需要进一步分析。标准规则应该是在铁路领域得到广泛认可的，与所评估系统风险的控制相关，并且是公开可获取到的。例如在未受信的通信系统上实现安全相关的通信功能，EN50159可以作为CoP应用。

注意应用CoP规则时，需要检查所评估的系统能否被CoP所覆盖，标准规则的范围与所评估的系统之间是否存在差异，系统的设计要求参数是否与标准规则中所要求的一致。如果存在偏差，则不完全能适用CoP规则。

Use of a reference system（应用参考系统）

通过与参考系统的对比进行风险接受，参考系统应满足以下4个要求：

• 参考系统已经在实际应用中被证明是安全的，并且在将要引入该变化的国家中有资格被接受。

• 参考系统具有与被评估系统类似的功能和接口。

• 参考系统是在与被评估系统类似的操作条件下使用的。

• 参考系统是在与被评估系统类似的环境条件下使用的。

简单来说，就是用一个已经实际应用证明是安全的系统，与所评估的系统对比，通过分析相似系统的危害、风险、安全功能来判断新的系统风险是否可接受。

Use of Explicit Risk Estimation（应用明确的风险估计）

当CoP规则或参考系统不能用于将风险完全控制在可接受的水平时，通常这种情况下被评估的系统是全新的，或者与CoP规则或类似的参考系统有偏差的情况。或当选择的设计策略不允许使用CoP规则或类似的参考系统时，例如，希望产生一个以前没有尝试过的更有成本效益的设计。

风险估计可以是定量或定性的，风险估计的可接受性应基于风险接受标准（Risk acceptance criteria）,风险接受标准由所在国家法规规定，典型的风险接受标准也就是上面提到的ALARP（英国）、GAMAB（法国）、MEM（德国）。

因此以上总结下：

RAMS标准新的风险接受原则与CSM-RA保持一致，原来的以欧洲各国风险接受原则变成了其中一种方法，明确（定性或定量）的风险接受标准。

下面是ALARP、GAMAB、MEM三种风险接受标准的对比

对于不熟悉铁路安全标准的读者，可能还是难以理解，因为风险接受标准有着非常强的文化和地域特点，与各个国家的安全管理体制相关，不是一个技术性的概念。以上是对风险接受原则的解释，内容引自EN50126标准和CSM-RA相关的文件。

我国城市轨道交通独立安全评估也是基于欧洲标准EN50126，应用较多的风险接受标准是ALARP，但在风险接受方面套用ALARP原则，缺少历史数据支持，依靠大量的主动判断，并不是很有效。

从实际国情出发，对于风险的接受程度跟欧洲文化是不同的，就以疫情的控制来说，我国一直都将人民生命安全和身体健康放在第一位，采取最全面最严格最彻底的防控措施。而西方国家之所以疫情控制不利，个人猜想受其风险接受标准，要考虑成本效益的分析也是其中因素之一。

那么我国是否有对应的风险接受原则，哪些可以认为是风险。根据笔者的了解，由于安全管理方式的不同，我国法规标准中并没有类似以上的风险接受原则。

在交通运输部2019年发布的《城市轨道交通运营险性事件信息报告与分析管理办法》中，其中附录规定了城市轨道交通主要运营险性事件清单，包括16类，可以看作我国对运营风险类别的定义，具体为：

      1.列车脱轨
　　注：脱轨是指车辆在正线、配线、车场线等线路运行时，车轮落下轨面（包括脱轨后又自行复轨）或车轮轮缘顶部高于轨面（因作业需要的除外）而脱离轨道。
　　2.列车冲突
　　注：冲突是指在正线、配线、车场线等线路，列车、机车车辆相互间或与工程车、设备设施（如车库、站台、车档等）发生冲撞。
　　3.列车撞击
　　注：撞击是指在正线、配线、车场线等线路，列车或机车车辆在运行过程中与行人、机动车、非机动车及其他障碍物发生碰、撞、轧。其他障碍物是指声屏障、防火门、人防门、防淹门等构筑物及射流风机、电缆、管线等吊挂构件或其他设备脱落侵入限界。
　　4.列车挤岔
　　注：挤岔是指在正线、配线、车场线等线路，由于道岔位置不正确、尖轨未能与基本轨密贴，导致列车通过道岔时将尖轨与基本轨挤开或挤坏过程，造成尖轨弯曲变形、转辙机损坏。
　　5.列车、车站公共区、区间、主要设备房、控制中心、主变电所、车辆基地等发生火灾
　　6.乘客踩踏
　　7.车站、轨行区淹水倒灌
　　注：车站、轨行区淹水倒灌是指雨水等通过出入口、风亭、过渡段洞口等倒灌车站和轨行区，导致车站公共区积水浸泡或漫过钢轨轨面。
　　8.桥隧结构严重变形、坍塌，路基塌陷
　　9.大面积停电
　　注：大面积停电是指单个及以上车站、变电所、控制中心或车辆基地范围全部停电。
　　10.通讯网络瘫痪
　　注：通讯网络瘫痪是指行车调度指挥通讯、车地无线通讯、通讯网络传输系统等中断30分钟（含）以上。
　　11.信号系统重大故障
　　注：信号系统重大故障是指中央和本地自动监控系统（ATS）均无法监控列车运行或联锁故障错误持续60分钟（含）以上。
　　12.接触网断裂或塌网
　　13.电梯和自动扶梯重大故障
　　注：电梯和自动扶梯重大故障是指载客电梯运行中发生冲顶、坠落，或电梯轿厢滞留人员90分钟（含）以上，自动扶梯发生逆行、溜梯。
　　14.夹人夹物动车造成乘客伤亡
　　注：夹人夹物动车是指乘客或物品夹在列车车门或站台门时动车，含乘客或物品夹在列车和站台门之间时动车。
　　15.网络安全事件
　　注：网络安全事件是指因系统漏洞、计算机病毒、网络攻击、网络侵入等对运营安全造成严重影响的事件。
　　16.造成人员死亡、重伤、3人（含）以上轻伤，以及正线连续中断行车1小时（含）以上的其他运营事件
　　注：中断行车是指线路中有2个及以上车站或区间发生单向行车中断。

以上险性事件涉及行车安全、运营中断、人员伤亡、网络安全等各方面的险性事件，在范围上，运营险性事件比运营生产安全事故的内涵更加广泛。既包括了传统意义上的safety，也包括网络安全（cybersecurity），运营可用性问题（availability）。从涉及的系统方面，涵盖了轨道交通系统的车辆、通信、信号、机电设备、基础设施各个方面。

      可见，不同国家、不用用户对于风险的定义，接受程度存在一些差异的 。可以结合我国城市轨道交通运营安全的实际要求，从用户的角度来制定适合的风险接受方法。

原文始发于微信公众号（薄说安全）：谈风险接受原则（risk acceptance principle）