基于FRAM的軌道交通系統調度崗位安全職責分析

馮珺妍 蔡 爽工程師 吳弘飛 樊運曉教授

(1.中國地質大學(北京) 工程技術學院，北京 100083；2.北京市軌道交通運營管理公司安質部，北京 100068)

0 引言

隨著科技快速發展，人類面臨的生產系統日益復雜，系統內人員、組織與技術之間相互作用，常常引發“正常事故”。研究表明，安全職責不清是導致這些“正常事故”的根本原因。城市軌道交通系統是集信號、車輛、供電、運營調度等多專業為一體的復雜系統，事故一旦發生往往造成巨大的社會影響。系統調度崗位作為保障軌道交通正常運營的核心，崗位內角色繁多且與崗外多人員聯系密切，易產生工作安全職責重疊交叉的現象。近年來，“8.12”天津港爆炸事故及“7.23”動車事故等多起重大生產安全事故的調查報告中均反映出：事發前相關部門并不清楚各自部門的確切安全職責，監管安全職責在設計上存在部門間安全職責交叉、安全職責“空白”等問題。同樣，清晰的安全職責劃分是企業實現系統調度功能正常運行的前提，亦是預防軌道交通事故發生的關鍵，但目前鮮有學者對安全職責劃分展開系統的研究。

事故致因理論從“個人”層面發展至“組織”層面，組織層面的組織因素成為事故的主要致因。目前，組織多通過文字陳述對安全職責進行簡單羅列，無法直觀展現人員或組織間安全職責聯系及安全職責分布的合理性，可靠的崗位安全職責分布是保障安全職責得以實現的關鍵。Hollnagel提出“從安全Ⅰ到安全Ⅱ”的新見解，安全Ⅱ理念強調盡可能多的正確實施操作，提升功能成功的效果，功能共振分析方法(Function Resonance Analysis Method，FRAM)從功能角度出發，辨識動態系統中的風險因素，分析系統功能單元可能出現的變化及其耦合結果的影響；高遠等應用FRAM評估并分類政府的安全監管職能，明確9項政府安全監管職能，并將其劃分為4個層次；樊運曉等應用FRAM分析“8.12”天津港爆炸事故中人員和組織的相應安全職責。以上研究表明，采用FRAM進行安全職責分析，已收到較好效果，證明FRAM是清晰界定安全職責的有利工具。基于此，本文從安全Ⅱ視角出發，應用FRAM構建現有規章制度下的系統調度崗位安全職責體系，識別實際操作過程中人員、部門執行其崗位安全職責與預期安全職責之間存在的偏差，并試圖分析偏差共振后可能造成的負面結果，針對現有崗位安全職責體系設計提出優化的建議措施。

1 研究方法

1.1 功能共振分析法

FRAM是丹麥學者Hollnagel在2004年提出的一種解決復雜社會技術系統中安全問題的方法。由于系統的復雜性，組織、人員、技術在運行過程中易發生相互作用或耦合作用，但以往的事故致因模型僅從系統結構分解角度來分析要素，無法展現系統要素間的復雜關系，而FRAM關注系統功能的特征并非系統結構，通過控制要素(FRAM中稱為功能單元)的5方面特征確保要素的功能正常實施，通過連接系統要素的功能來展現系統正常運行方式，以關注事件成功的視角繪制功能網絡圖并分析系統要素的特征變化及其耦合結果。FRAM分析過程具體包括以下5個步驟，如圖1。

圖1 FRAM建模一般過程Fig.1 The general process of FRAM modeling

(1)確定系統邊界，識別并描述功能。應用FRAM的首要步驟是對分析系統的邊界進行描述，清晰闡述分析范圍及詳細程度后，識別系統日常運行中所需的所有功能單元，為確切表達功能單元，Hollnagel提出從輸入(Input，I)、輸出(Output，O)、前提條件(Precondition，P)、資源(Resource，R)、控制(Control，C)和時間(Time，T)6個特征維度表征功能單元，以六角形圖形化表示，如圖2。輸入(I)：啟動功能單元的事物或功能單元要處理轉化的事物，與前一個功能單元產生聯系。輸出(O)：功能單元運行的結果，可以是實體或系統狀態的轉變，與后一個功能單元產生聯系。前提條件(P)：功能單元執行前必須滿足的系統條件。資源(R)：功能單元執行過程中需要或消耗掉的事物，如程序、能量、人力等。時間(T)：約束功能單元的運行，如起始、終止時間，可看作特殊的資源類型。控制(C)：控制或控制功能單元，如計劃、程序或指導手冊、指導方針等。

圖2 功能單元的六角形參數圖Fig.2 Hexagonal parameter diagram of functional unit

(2)分析功能變化。分析功能變化需了解每個功能單元的內部及外部因素對其影響，更需理解系統內功能單元之間的耦合關系以及上下游功能之間變化的影響。功能單元輸出發生變化，主要是由于功能單元自身或其所處的運行環境發生變化。為描述該變化，Hollnagel將功能劃分為3個類別：技術、人員或組織，以時機和準確度2個指標來描述變化的表現形式。

(3)耦合分析并繪制功能網絡圖。FRAM表示的是共同完成目標的一組功能以及功能之間的潛在變化的耦合，系統內上游功能單元的“O”作為下游功能單元的“I”“P”“R”“T”或“C”，影響下游功能單元的輸出，分析系統內發生變化的多條功能單元連接，探究變化的連接在系統內傳導的過程，并據此繪制功能網絡圖。

(4)耦合結果分析。分析功能單元變化的耦合結果，并判斷其結果是否在預期可接受范圍。對于發生共振的功能單元，可依據功能失效連接關系，識別其變化原因并制定相應的屏障措施。

1.2 研究方法與思路

本研究以北京市某軌道交通運營企業系統調度崗位為研究對象，對照法律法規和企業規章，從系統功能的角度確定崗位功能，并識別在崗時間內實現系統調度功能所涉及的所有人員、部門或設備，描述各功能單元的功能屬性，構建系統調度崗位角色安全職責網絡圖。在此基礎上，通過現場調研和對一線系統調度員訪談，辨識各功能單元在生產實踐中可能產生的偏差及其可能產生的功能共振現象，并通過分析提出相應的建議措施。

2 確定系統邊界，識別及描述功能單元

經訪談了解到系統調度崗內外人員、相關部門及設備均影響系統調度員正確操作，因此將系統邊界的原則定為：在崗時間內為實現系統調度功能所涉及的所有人員、部門或設備。在此基礎上，以國家標準和北京市地方標準為基礎，結合企業規章和訪談內容，識別及合并系統邊界內安全職責相同的功能單元，確定系統調度功能正常運行所涉及的功能單元為培訓部(F1)、上一崗值班經理(F2)、值班經理(F3)、上一崗系統調度員(F4)、崗外人員(F5)、維修部人員(F6)、調度通訊設備(F7)、同值系統調度員(F8)、系統調度員(F9)。針對每一單元的功能，重新定義各特征維度的內涵如下，基于此內涵所確定的各功能單元六維度屬性表征，見表1。

表1 系統調度崗位各功能單元FRAM六維度特征描述表Tab.1 Fram characteristic description table in six dimension of each functional unit of system dispatching post

輸入(I)：法律或企業規章中相關要求，或從訪談內容得知實際操作中對相關人員的要求。輸出(O)：在崗時間內，人員、設備或組織的安全職責。前提條件(P)：工作前必須滿足的條件，如知識技能、資質。資源(R)：工作中需要消耗的事物。時間(T)：工作或應用設備的時間。控制(C)：人員監督。

基于人員、組織和技術理論(Theory of Man，Organization and Technology，TMOT)劃分功能單元類別，培訓部劃分至組織功能，調度通訊設備劃分至技術功能，其余功能單元劃分至人員功能。依據功能單元各維度的功能屬性，連接“輸出”與其他功能單元的要素，繪制系統調度崗位角色安全職責功能分布網絡圖(如圖3)，呈現現有規章制度下系統調度崗位內角色的安全職責分布及其工作聯系。

圖3 系統調度崗位角色安全職責功能分布網絡圖Fig.3 The function distribution network diagram of the role safety responsibility of system dispatching post

3 識別功能單元變化及耦合分析

不同類型的功能單元要素變化表征不同，人員功能是由個體或集體行為完成，組織功能則是指由一群人或多群人通過組織而實現的活動，技術功能是由各類機器設備實施的功能。功能變化是指功能單元實際完成的安全職責與預期設定安全職責之間的差異，通常由完成的精確程度和時機2種方式表達。功能變化可能成為導致事故的致因，多變化的耦合則會引發系統功能共振，導致重大事故發生。本文以訪談及現場調研的方式，辨識出生產實踐中出現頻率較高的功能單元變化，見表2。在此基礎上，構建系統調度崗位安全職責失效網絡圖(如圖4)，其中帶有“×”的連線表明，在生產實踐中人員、組織或設備實現的安全職責與預期安全職責之間存在偏差，虛線表明實際情況中組織安全職責設計存在缺失，加粗線條表明一定條件下存在此條連接。

表2 功能單元輸出的變化Tab.2 The change of output of functional units

續表

當系統內功能單元發生變化較多或某功能單元包含多項輸入輸出連接時，失效連接或缺失連接可能導致功能共振，產生不期望事件。由圖4可知，功能單元連接共計18項，發生變化的功能連接有10項(用“×”表示)，F1發生多項變化。表3呈現了系統內功能共振的連接，其中灰色部分為缺失連接。從控制論的角度看，正是由于功能單元之間的失效連接及缺失耦合導致不期望事件或事故發生。

圖4 系統調度崗位角色安全職責失效網絡圖Fig.4 The effective network diagram of role safety responsibility of system dispatching post

表3 系統調度崗位安全職責系統功能共振表Tab.3 System function resonance table of system dispatching post responsibility

續表

分析表3和圖4可知，F1作為安全職責系統的最高一層，共有7條功能輸出連接，F1輸出發生變化后，對下游功能產生較大影響。由于F1與F2和F3之間的連接缺失，即值班經理未接受崗前培訓。因值班經理是由經驗豐富的行車調度員擔任，其在上崗前未系統性了解系統調度員的工作內容，因此無法確保F2和F3具備相應的業務能力，易出現F3告知F8和F9的交接事項遺漏的情況，造成F8監督失效和F9操作失誤，影響軌道交通正常運營。當F8離崗后，由于F3不了解系統調度員具體工作，且未接受專業管理知識培訓，同時一名值班經理需統籌管理位于2個調度指揮大廳的地鐵線路，因此受到工作地點的限制，使其無法對F9實施及時有效的監督管理，即“F3(O)—F9(C)”流于形式(圖4中加粗線條連接)。當F7異常運行時，不僅延長了F9詢問信息時間，更會使F9接收有誤信息并做出錯誤判斷。與此同時，由于系統調度員培訓教材中部分危險場景辨識不足，且在崗前培訓階段F8與F9未區分工作角色，接受相同知識內容培訓。在培訓過程中，未就監督角色設置其工作中應注意的事項課程，因此出現超出培訓教材范圍的故障時，F9僅依據自身調度經驗操作，而F8監督角色失效，增加了故障處置的風險。

4 建議措施

基于功能單元變化和耦合結果分析，對現有崗位安全職責體系設計提出優化的建議措施，避免薄弱環節發生功能共振，提升軌道交通運營的本質安全。

4.1 值班經理接受培訓，完善多崗位培訓教材

培訓部確保值班經理接受崗前培訓并持證上崗，完善多崗位的培訓教材。由于鐵路與軌道交通行業具有極大的相似性，借鑒英國鐵路安全標準委員會(Rail Safety and Standards Board，RSSB)對一線員工管理者的培訓方案，對值班經理的培訓教材提出要求，需包含以下知識模塊：基本知識、專業知識、管理知識以及領導知識；組織多部門采用頭腦風暴方法，辨識系統調度員操作過程中的危險場景并制定應急措施，補充至系統調度員培訓教材。

4.2 增加同值調度角色監督時具體注意事項

同值系統調度員的主要工作安全職責為監督審核系統調度員操作，但在崗前培訓中，未區分同值系統調度員與系統調度員的角色，兩者的知識來源相同。而實際工作時，人員時常轉換工作角色。企業應區分系統調度員和同值系統調度員的工作任務，明確同值監督的具體注意事項，增加同值系統調度員角色的工作重點，明確操作動作的監督標準。培訓考核過程中，增加辨識操作失誤的流程。

4.3 定期維修調度通訊設備

當調度通訊設備異常運行時，可能導致系統調度員接收或發布信息有誤，或因無法操作將控制權下放至車站，延誤有效的處置時間。企業應定期指派專人維護調度通訊設備，降低設備異常運行的發生概率，同時確保備用設備處于良好狀態，保證其能隨時啟動、切換并投入運行。

5 結論

為明確軌道交通系統調度崗位內人員安全職責，基于法律法規和企業規章，應用FRAM構建系統調度崗位角色安全職責功能網絡圖，辨識并分析崗位安全職責系統中功能單元的變化及其耦合，得出以下結論：

(1)基于FRAM分析系統調度崗位內多角色安全職責，直觀展現崗位內多角色間的工作聯系，明確其各自安全職責，可避免因角色安全職責不清的事故發生。

(2)在系統調度崗功能網絡系統中，辨識各功能單元在生產實踐中產生的偏差及其耦合結果，糾正不合理的系統調度崗位設置，為企業提出相應的建議措施，豐富安全職責劃分方面的理論研究。

(3)下一步可考慮將FRAM分析功能變化階段定量化，進一步拓展FRAM的應用領域。

本研究由北京軌道交通燕房線、大興機場線運營安全與應急提升項目(地鐵多線共用運營安全字2019-B122)支持。