从交通强国评价指标说安全

2022年3月17日，交通运输部发布了《交通强国建设评价指标体系》，用于客观评估交通强国建设指标，发挥“标尺”和“指挥棒”作用，综合指标体系由“安全”，“便捷”，“高效”，“绿色”，“经济”五个基本特征构成，完整的指标体系设置了20项评价指标，其中安全分为生命安全、应急保障、自主可控三个维度。

交通强国建设评价指标体系

本篇从城市轨道交通领域信号、车辆等装备系统的角度，谈谈安全指标的理解：

1、生命安全

在指标体系中，体现为交通基础设施建设、运输服务、交通运输工具装备等安全运行能力及行业安全生产关键岗位从业人员素质，涵盖系统和人两个方面。以城市轨道交通领域为例，最初对于装备的安全运行能力要求体现在信号系统的安全完整性水平上，后来随着全自动运行系统的应用推广，由人进行操作的一部分安全要求通过设备来承担，安全要求扩展到了车辆、站台门、综合监控等系统。全自动运行系统降低了人为操作造成安全风险的可能性，也将这部分安全责任从人转向了设备。

对系统来说，通行的方法是采用RAMS的全生命周期保障体系和技术方法，通过对系统所在的运行环境、实现功能、内外接口分析需求、架构、接口，识别、消除和控制潜在的安全风险，贯穿于系统的开发、生产、运行、维护和退役全生命周期阶段，并通过第三方产品安全认证和工程项目评估进行检查。

对人来说，在城轨安全关键系统的研发、设计、应用和维护过程中，培养了专门从事安全分析、安全验证确认的安全工程师，通常承担的工作有技术和安全管理，包括危害识别与风险评估，安全需求的识别，安全需求的验证与确认，关键里程碑的安全审查。

2.应急保障-交通系统的韧性

韧性反映交通运输系统的稳定性和可靠性，系统需要具备健壮性，能够在恶劣的环境、外部接口交互和内部失效下保证系统功能的正常运行。对于城轨运行环境的大客流，即使是短时间的运行中断也会造成客流拥堵，引起公众满意度和服务质量下降，因此把韧性定义为安全指标的一项，也反映了交通领域运营安全与效率的结合。

可靠性工程作为RAM的集合术语，包括可靠性、可用性、可维护性、维修保障四方面的要求，在GB/T 36657-2018《可信性要求规范指南》规定了四方面的定性和定量要求，根据系统的特点不同，选取不同的量纲进行表示。注意任何指标不能脱离系统应用场景和故障影响来说，详细可以参见我的另一篇《可靠性指标MTBF的背后》。

传统的可靠性定义过于强调量化可靠性，以电子产品的可靠性预计指标为例，这种误用造成了可靠性聚焦在了数字，而不是实现可靠性所需的工程活动，这种可靠性指标可能完全无法与系统的实际表现对应。现代工程中可靠性工程属于系统工程要求的一个方面，先进行潜在的故障模式和影响等级分析，通过改进系统功能、系统架构、运用成熟技术、冗余和设计检查活动来实现，将可靠性作为一项需求，执行相应的可靠性设计和验证，并监控产品实际运行的可靠性水平。

3.应急保障-应急响应水平

反映在重大突发事件发生后的快速响应能力，主要体现在及时启动应急响应，迅速实施应急救援、交通运输保障，有效降低减轻突发事件影响等。重大突发事件可能是单一事件，更多是多重威胁事件的连锁故障反应。应急响应需要考虑对于确定的威胁的系统预计响应，系统功能的损失和恢复，恢复时间。

在交通运输部2019年发布的《城市轨道交通运营突发事件应急演练管理办法》中，规定的专项应急预案至少涵盖：

（一）列车脱轨、撞击、冲突、挤岔。

（二）土建结构病害、轨道线路故障。

（三）异物侵限、车站及线路淹水倒灌。

（四）车辆故障、供电中断、通信中断、信号系统故障。

（五）突发大客流、客伤。

（六）列车、车站公共区、区间及主要设备房等区域火灾。

（七）网络安全事件。

对于设备系统来说，以上典型突发事件可以概括为三种类型：

一是系统本身故障的可恢复能力，这个方面可以通过提升系统可靠性的方法实现，如信号系统设置不同的运行等级，保持系统的逐步降级能力和恢复机制；

二是系统面对自然威胁的可恢复能力，包括极端天气、地质灾害、火灾等。单一系统往往无法具备完全抵御此类威胁的能力，需要考虑承受威胁、缓冲和重建能力，多个系统的连锁反应；

三是系统面对人为威胁的能力，现实中直接的物理威胁较为罕见，更多的是网络世界的安全威胁。根据《关键信息基础设施安全保护条例》要求，网络安全工程贯穿于系统的全生命周期应用，同步规划，同步建设，同步使用，系统方案设计中识别需要保护的关键功能和数据，采用关键性分析、威胁评估、脆弱性评估、潜在的保护控制措施识别等基于风险的分析方法，建立预防、检测和响应不同的网络安全保护机制，访问控制和关键的功能隔离，监控并记录安全相关行为，在功能或数据受到攻击时系统降级后的缓解和应急措施。

4.自主可控-交通设施装备水平

装备的自主化水平反映供应链的安全，近年来逆全球化思潮涌动，使得装备供应链的安全更为重要，交通基础控制设备具有长生命周期、替换成本高、安全可靠要求高的特点。装备的自主可控水平，除了人们熟知的CPU芯片、操作系统，在特定的工业领域，还有一些专用技术，如工业总线协议芯片、编解码算法、开发工具链，这些即使能买到相应的技术，但是不掌握它们的基础原理和实现方法，也仅限于应用，无法修改。从装备本身的评价指标来说，可以从研发设计能力、供应链保障能力、服务保障能力、知识产权进行评价。

总结

交通强国指标体系对于安全的概念做了很好的诠释，有生命安全、韧性（稳定性、可靠性）、应急响应（可恢复能力、网络安全）、自主可控，体现了全局安全的理念。不同的安全指标虽然都称为“安全”，但它们对系统的要求不同，知识领域、技术关注点也存在差异。对于从事安全工作的人员，通过指标体系可以理解安全的内涵和外延，采用合适的工程方法来规避和减轻风险。

原文始发于微信公众号（薄说安全）：从交通强国评价指标说安全