地鐵站的威脅和脆弱性風險評估: TVRA方法

摘要：人們在使用基礎設施系統時，往往沒有意識到這些系統的重要性，直到發生攻擊或損壞，導致人員傷亡或引起不適或不便。盡管在文獻中有許多關于關鍵基礎設施保護的研究，但還沒有任何發表的文獻介紹現有地鐵站的風險評估和保護的簡化方法。基于此動機，本文旨在描述和總結一項針對某綜合型地鐵車站的威脅與脆弱性風險評估(TVRA)研究結果。其范圍是以一種簡化的方法，為現有的典型車站和典型資產提供TVRA過程的細節。該文件不僅介紹了TVRA程序，而且為有助于減少現有地鐵站受到威脅的風險的緩解戰略提出了建議。假設現有的地鐵站位于一個相對較大的城市的市中心，因此靠近商業區，位于密集的商業建筑開發區內。雖然每個車站都有自己獨特的特點，但這份手稿中分享的方法是通用的，可以用于世界上的任何一個車站。

一、簡介

世界上有成千上萬的公共地鐵站，每天都有數百萬乘客和噸貨物通過這些地鐵站運送。許多車站主要位于交通網絡的關鍵十字路口。與交通基礎設施的其他組成部分一樣，地鐵站也容易受到一系列威脅、漏洞和危害。

擁擠的公共設施，尤其是地鐵站，是恐怖分子襲擊的誘人目標，因為:

? 車站可以在高峰時間和其他可預測的時間容納大量的人;

? 地鐵車站有限而緊湊的空間容納了高密度的人群，為可能造成大量傷亡的爆炸事件提供了潛在的環境;

? 地鐵車站承載著人和重要貨物，對人民和城市的財政實力、安全和穩定至關重要。

恐怖襲擊，例如發生在貝魯特的美國大使館(1983年);紐約世界貿易中心(1993年);俄克拉荷馬州的默拉聯邦大廈(1995年);美國駐肯尼亞大使館(1998年);紐約的世界貿易中心(2001年);華盛頓五角大樓(2001年);西班牙的通勤列車(2004年);英國倫敦地鐵(2005年);安卡拉的其他爆炸事件(2015);法國(2015);比利時(2016);伊斯坦布爾(2016);法國(2016);德國(2016)證明了民用基礎設施，包括地下交通網絡是非常關鍵的，敏感的和重要的人的安全和保障。

交通設施防護設計包括三個要素:

? 威脅、脆弱性和風險評估

? 爆炸分析和爆炸后穩定性研究

? 結構硬化和對策(如果需要)

盡管文獻中有關于地鐵系統關鍵基礎設施保護的研究，據作者所知，目前還沒有任何發表的文件專門針對現有地鐵站的威脅和脆弱性風險評估(TVRA)的簡化方法。基于這一動機，本文對一個典型的地鐵站進行了TVRA，并對結果進行了總結。該文件還就潛在的緩解策略提出建議，以幫助降低現有地鐵站受到威脅的風險。

本文所使用的樣本數據是從幾種不同的資源中收集的，既符合實際，又能同時反映一般地鐵車站的標準。這樣做是為了確保進行全面的風險評估。這項研究得出的結果是合理和合理的，可使決策者確定減輕措施對現有地鐵站的影響。

在這個手稿中解釋的方法涉及到幾個專業的信息，包括但不限于建筑師，結構工程師，土木工程師，爆炸工程師，電氣工程師，機械工程師，系統安全和保障，操作和維護，和風險管理專業人員。

應該強調的是，手稿顯示的方法論是適用于一個位于城市中心的普通地鐵站。市中心是吸引游客的地方，經常旅行或參觀城市。大多數乘客不熟悉地鐵站的細節，即使他們經常使用它們。

該論文并沒有提供建議，使電臺防恐怖或無風險。它提供了一些緩解風險的建議，有助于減少對類似車站的設施、員工和客戶的威脅風險。本研究中顯示的信息的完整性和準確性應在其他地鐵站的應用中進行調整和證明。表總結了本研究中考慮的資產。鼓勵讀者擴充、修改和/或重新排列表1所示的資產清單，以供自己研究地鐵車站之用。

本文討論的TVRA研究包括以下幾個階段:

? 確定項目資產

地鐵車站中的單個資產組件通過物理位置和功能進行識別。表1所列的項目是典型的資產，通常被認定為地鐵車站。

? 識別威脅:

利用執法部門和情報部門的持續投入，制定適當的項目犯罪概況，識別潛在的犯罪行為。在確定威脅時，國際病例史也被考慮在內。

? 風險評估

根據聯邦應急管理局(FEMA) 426(建筑和基礎設施保護系列參考手冊來減輕潛在的恐怖襲擊的建筑物)(426年聯邦應急管理局,2011),為了量化臨界,脆弱,和后果(影響),風險評估協議集成威脅發生的可能性在攻擊成功的概率會導致一定的大小,目標的漏洞。該程序為每種類型的威脅提供了一個相對的風險概要。這些風險概況有助于確定優先次序和更有效地分配資源以實施保護措施。

? 風險計算:

為計算各資產威脅對的風險，以及各資產所有相關威脅的總風險，本文所討論的一般地鐵站考慮以下資產:

? 主要和次要車站設施

? 流通元素、出入口

? 建筑服務系統，如照明、電梯、自動扶梯和電站電源

? 抵押資產(為抵押資產提供緩解策略超出了本文的范圍，將是另一篇論文的主題)

本研究提供了一個完整的TVRA應用程序在現有地鐵站的研究人員和實習工程師，使他們可以使用相同的程序在其他現有地鐵站。本研究旨在提供安全及保安指引，以識別:

? 資產對各種風險和威脅的主要脆弱性

? 結構性加強措施

? 需要系統治療

? 可部署的集成系統，用于應急相關的指揮、控制、通信和信息。

此外，本文所分享的材料將為在必要時用于后續緩解研究的輸入數據提供一個示例，這些數據以威脅地點、設計基礎威脅和可容忍的性能水平表示。

二、現有條件為通用地鐵車站

具有代表性的地鐵車站主要組成部分的總體描述如下:車站內有一條主要的地鐵線路，有一個中心島平臺，方向相反，可供單獨裝卸地鐵車輛。該綜合體有零售攤販、售貨亭、公共廁所和由樓梯、電梯和自動扶梯組成的垂直流通。該站的視圖如圖1所示。表1列出了本文將要評估的資產。表1中列出的資產幾乎適用于所有地鐵站。這個名單可以縮短或擴大其他TVRA研究。

三、威脅的場景

在FEMA452 (Risk Assessment: a howto Guide to reduce Potential Terrorist Attacksagainst Buildings) (FEMA 452, 2005)中，“自然災害”一詞通常指颶風、地震和洪水等自然事件。恐怖主義不同于自然災害，它源于人類活動。在本文中，只有恐怖威脅才會被視為地鐵車站威脅的相關安全考慮因素。

對于民用基礎設施，威脅通常定義為任何可能對資產造成損害的事件。恐怖襲擊威脅識別是一項艱巨的任務，因為與自然災害不同，歷史數據和概率不能用于預測恐怖襲擊。事實上，恐怖襲擊的地點、規模和復發性幾乎是不可預測的。然而，可以認為有些地點和資產比其他地方更有吸引力，更容易發生恐怖襲擊。

任何類型的基礎設施的威脅評估方案可以從一般的威脅方案到廣泛詳細的結構評估，需要設計以防御(FEMA 452, 2005)。本文討論的地鐵車站的威脅和風險概況非常廣泛，足以包括提升安全計劃的要求，包括特殊的反恐設計措施。這是針對針對人和基礎設施的傳統犯罪的常規安全應對措施的設計規定，需要常規應對和安全管理。

地鐵站點的發展特征和影響站點概況的威脅評估考慮因素將在以下章節中進行總結。由于其關鍵的交通功能、位置、占用和連接，這些特征在本研究中是必不可少的。

3.1 威脅發展信息基礎和可信度

對于正在研究的地鐵站，必須收集大量的背景信息。信息不僅需要從建筑師和工程師那里收集，還需要從執法部門、情報部門和車站所在城市和國家的軌道交通社區收集。如果存在這樣的研究，以前的威脅和風險評估工作應該進行調查。

此外，在物理和操作安全程序和防護設計的開發方面具有重要經驗的設計專業人員也應該參與進來，提供有價值的信息。這些專業人員包括但不限于建筑師、結構工程師、爆破工程師和其他大量具有廣泛保護和運輸設施設計經驗的人。

通過分析犯罪和恐怖主義歷史事件數據庫，將這些知識資源與以往的威脅和風險評估經驗結合起來;審查過境和其他聯邦機構的安全設計準則;并組織設計團隊圓桌會議。

在這一地鐵TVRA研究中，利用先前研究和評估的資產安全問題活動，確定了一份適合緩解考慮的可信和合理威脅清單。

3.2 與車站有關的安全考慮事項

有幾種方法可以在地鐵進出站對個人和/或他們的貨物進行體面、合理和全面的安全檢查。然而，目前還有其他技術、政策和程序正在考慮和發展中。在編寫這篇論文期間，存在一些試點項目。這些項目旨在幫助檢查貨物和發現個人攜帶的非法物品。這些方案的數據還沒有在地鐵網絡中投入商業實踐，以減少不存在的威脅水平。

聯邦應急管理局459 (Incremental Rehabilitation to Improve Security in Buildings) (FEMA459, 2008)文件為任何公共設施的運營商提供了一份關于使用炸藥以及其他方法所帶來的安全威脅的摘要。有一些表格向用戶提供了交付方法和可考慮用于任何項目(如果認為有必要)的炸藥質量范圍。因此，本文所考慮的具體威脅如下所述。

3.2.1 車載炸彈

根據執法部門和情報機構的說法，車載炸彈構成了可信的威脅，因此也被包括在本文中。現有的上一級車站入口為本文研究的普通地鐵車站的安全漏洞和/或恐怖襲擊創造了機會。這些威脅危及了一級資產。

3.2.2 人攜帶炸彈

隨身攜帶的炸彈也構成可信的威脅;因此，它們已列入本報告。背包式手提箱炸彈、貨運代理投遞、郵差投遞以及存儲和零售空間地點都被考慮為這種類型的威脅。

3.2.3 縱火

使用現成的、易于運輸的傳統助燃劑的縱火事件構成了特別具有挑戰性的威脅，因為即使是很小的液化劑或壓縮氣體的設計威脅也難以檢測。即使是非常小的數量，當與新的阻燃軌道車固有的可燃物相結合時，這些燃料在存在氧氣和火源的情況下，會產生令人生畏的兆瓦級火災、煙霧和有毒氣體。

這些后點火事件產品，當與產生的煙霧和煙霧結合時;阻礙疏散、救援和恢復操作。縱火事件的后果由于受到限制的環境而被放大;長期旅行的距離;提供早期火警探測和快速反應抑制的困難;困難在于實現人口的劃分和居住區域的大規模避難。有鑒于此，本報告包括了縱火威脅和事件緩解。

3.2.4 武裝襲擊

手槍和自動武器/長槍對地鐵乘客構成的威脅是基于若干因素，包括所使用的武器類型、事件地點、肇事者人數和壓制部隊到達所需的時間。由于使用地鐵站的人口中有很大比例是低于等級的，因此人們顯然擔心能否在大規模傷亡發生之前迅速作出反應并部署足夠的資源來減輕威脅。因此，本文探討了減輕槍支威脅的問題。

3.2.5 鐵路破壞

對鐵路運營的破壞仍然是地鐵站的一個擔憂。相對較小和不成熟的犯罪行為，即使在對軌道交通基礎設施了解有限的情況下執行，也會在較長時間內嚴重擾亂列車運行。嚴重的破壞可能導致列車脫軌和/或碰撞，危及生命安全。此外，這些行為可能是唯一的來源努力或更大計劃的一部分，目的是將大批人口監禁在一條隧道內，以便隨后對這些人口進行有針對性的攻擊。因此，認為對鐵路運營的破壞是適當的，可以加以緩解。

3.2.6 傳統的犯罪

在交通運輸部門，針對人身和財產的傳統犯罪是司空見慣的，大量的人力資源、視頻監控、電子入侵檢測系統和公共形象維護都致力于將流浪、破壞、盜竊、襲擊和其他犯罪行為減少到最低限度。雖然通常認為特別犯罪行為是適宜在威脅和風險評估中加以考慮的，但重要的是考慮在統計上更可能和更普遍的減輕犯罪的傳統要求。

3.3 資產和威脅場景

每個資產和相應的通用評估威脅場景和得分的一部分TVRA過程中標識Asset-Threat矩陣(表2)。這張桌子是由單獨評估每個資產的基礎上,其位置在地鐵站內,程序使用,相鄰結構,入住率和活動。決定是否每個威脅都可以被認為是對資產的可信攻擊手段。同時，評估了預期的保護緩和策略和措施，如圍欄、強行進入建筑和加固結構。

緩解措施是限制成功交付表2所述威脅的機會的手段。一般來說，可訪問性、方法的易用性、功能的識別和許多其他因素是這些評價的基礎。與成功交付此威脅相關的風險降低在本報告后面的章節中得到了確認。

表2的威脅資產矩陣提供了一種全面而緊湊的方式，以說明哪些資產會受到哪些威脅的影響。這個矩陣的目的是在一個資產一個資產的基礎上識別每個資產的特定威脅。本演示支持針對特定威脅的資產脆弱性的后續決策。它還支持關于選擇緩解策略的決策。

要使用威脅資產矩陣，首先要在矩陣的左側識別出感興趣的特定資產。對該資產的特定威脅由矩陣單元中的“x”標識，用于本研究中考慮的每個單個威脅。

四、風險評估方法

計算風險評分在TVRA研究中非常重要。風險評分有助于決策者優先考慮保護措施，并確定最佳措施，將導致最高的效益-成本比。

在安全緩解的背景下，地鐵站內各種資產的風險被量化為三個因素的函數:價值，弱點，和影響(后果)。

這種風險評估的過程如下圖2所示。

根據圖2，逐步說明如下:

步驟1：在這個過程中確定項目資產，本質上是本文前面描述的地鐵系統的各個組成部分。

步驟2：識別威脅場景，從而得到上面所示的資產威脅矩陣。

步驟3：評估步驟1中定義的每個資產的關鍵性或重要性。

步驟4：脆弱性的評估或每個威脅成功發生在每個資產的相對可能性。

步驟5：對每種資產上成功發生每種威脅的后果的評估。

步驟6：對地鐵站內每一項資產的風險計算，將資產的臨界性、資產對每一威脅進行攻擊的脆弱性以及每一威脅在資產上成功發生的后果相結合。

步驟2和步驟3通常是并行執行的，因為它們不相互依賴，由于相同的原因，步驟4和5也是如此。

用下式計算風險

其中：

C=資產的重要性

V?i=資產受到威脅編號i的漏洞

E?i=后果(用術語“效果”表示，以避免與臨界性混淆)到威脅號i的資產

n=該資產定義的威脅總數。所有威脅(從1到n)的總和。

三個因素，重要性、脆弱性和后果，將在接下來的三個小節中討論，就像為站內的資產量化每個因素(完成步驟3、4和5)的過程一樣。第4節討論了風險評估的結果。

4.1 重要性

重要性是指衡量資產對隧道所有者/運營商的重要性。在TVRA的安全緩解設計背景下，臨界性根據以下資產屬性確定隧道系統中哪些資產相對更重要，以保護免受攻擊:

? 暴露人口

?對應急的重要性

? 保護周圍/附屬結構的重要性

? 對隧道系統運營的影響

? 公眾形象和安全意識

? 重置成本

根據表3總結的評分系統定義，對每項資產對這六個屬性進行1-5的評分。對于每一項資產，將關鍵度的單一度量作為六個屬性值或得分的未加權代數平均值。

4.2 脆弱性

脆弱性是對資產被給定威脅成功攻擊的可能性的度量。在用于安全緩解設計的TVRA背景下，漏洞識別隧道系統內哪些資產相對更可能發生哪些威脅，可由下列資產屬性確定:

? 訪問等級和防御系統的能力

? 應對給定威脅的安全人員級別

? 當威脅發生時的宣傳(可發現)程度

? 目標的能見度/吸引力攻擊

? 侵略者實施特定威脅的能力

根據表4所示的評分系統定義，對每個資產和每個已識別的威脅對這五個屬性進行1-5的評分。對于每一個資產-威脅組合，脆弱性的單一測度取五個屬性值或得分的直線平均值。

4.3 后果/影響

后果是對特定威脅成功實施后資產所產生的影響或結果的一種度量。在用于安全緩解設計的TVRA背景下，“后果“確定隧道系統內資產的哪些威脅相對更有害，原因是下列資產屬性:

? 如果給定的威脅發生，預期的死亡人數

? 如果給定的威脅發生，修理費用

? 如果給定的威脅發生，資產停機

根據表5所示的評分系統定義，對每個已識別威脅的資產對這三個屬性進行1-5的評分。對于每一個資產-威脅組合，結果的單一度量作為三個屬性值或分數的直線平均值。

五、風險評估結果

如前所述，風險表示為資產重要性的函數，資產對給定威脅的脆弱性，以及如果成功地用給定威脅攻擊資產的后果。本節包括的第一組結果是屬于地鐵站的資產的初始或預緩解風險。下一組結果顯示了對預期滿足地鐵站安全性能標準并因此將初始風險降低到可接受水平的緩解策略的評估。

初始風險的評估集中于量化每個資產的重要性，然后量化每個資產上每個威脅的脆弱性和后果，如上所述。評估是在幾次圓桌講習班會議上進行的，這些會議最終就賦予每個屬性的值達成了協商一致意見。

5.1 資產重要性

表6為地鐵車站資產重要性評估樣本結果。重要性并不能提供一個完整的風險度量。本措施不包括危害(安全威脅)、資產對危害的脆弱性或危險事件的影響。

5.2資產-威脅的脆弱性和后果

評估包括許多資產，每一項都受到從1到5級的一系列威脅，導致許多資產-威脅組合，需要對脆弱性和后果進行量化。再次注意，為了使用一個與critical(重要性)不同的縮寫(即E)，結果用術語“影響”來表示。

表7為漏洞結果樣本，即得出前5名漏洞得分的資產-威脅組合。表8顯示了后果(或效應)的結果樣本，即資產威脅組合(為了清晰起見，后果結果僅顯示在列車車廂和乘客上)。

與重要性類似，脆弱性和后果的個項結果并不衡量風險，而是所有三個因素都有助于風險。這里列出個項結果的原因是為了說明評估的詳細程度和嚴密性，以及評估數據在識別風險驅動因素方面的效用(即，有助于獲得高風險評分并需要進一步評估以減輕風險的資產和/或威脅屬性)。

5.3 資產風險

利用Eq.(1)，每種資產威脅組合所產生的風險如表9所示。請注意，風險因素是按照從高到低的順序排列的，優先為每個資產制定特定的緩解措施。

安全性能標準確定每個資產類別的安全緩解目標，作為為最終緩解列表制定緩解策略的基礎。建議的潛在緩解措施清單將降低風險指數，因為一旦成功部署就會降低某一威脅所造成的影響(后果)。

六、建議設計注意事項

TVRA程序的主要目標是確定對基礎設施系統的有效和合理投資，如物理保護設計措施、電子安全系統、人員編制計劃、政策和程序。這樣做的目的是減少最關鍵資產的脆弱性，識別的威脅，被認為是對地鐵車站的最大風險。

本節將討論推薦的安全設計注意事項。 這些可以被認為是安全投資，作為實際項目基礎設施的一部分實施，它們將阻止犯罪活動，最大限度地減少業務任務活動的中斷和停工，保護生命和財產，并展現管理良好的公共交通項目的形象。

保護性設計建議基本上是旨在降低風險的緩解策略。顯然，幾乎有無數的保護措施可以包括在這個物理范圍的研究中，它的使命是有效地移動數百萬的顧客。面臨的挑戰是有選擇地采用緩解戰略，為鐵路管理所有權和公眾用戶提供最佳利益。

利用風險評估的結果，為每種資產面臨的每種威脅制定緩解戰略。預計緩解戰略將提供所需的保護，以滿足規定的性能標準。這些策略通過減少脆弱性和/或本文前面定義的每個威脅的后果來減少每個資產的風險。作者提出了最常見的安全設計建議和最有效的降低風險的方法。表10中的緩解措施提供了保護資產的機會的清晰快照視圖。

6.1TVRA結果

在上一節中，提出了針對具體威脅的緩解戰略。根據Eq.(1)，這些策略僅僅通過降低每個威脅的脆弱性和/或后果得分來降低資產風險得分。

為了從減輕風險的能力方面評價建議的緩解戰略，正在進行另一項TVRA研究，討論在選定的通用火車站實施的戰略。最后的風險評分如表11所示。該表顯示了每個資產在緩解之前和之后的風險得分。可以觀察到，采取緩解策略后的風險評分如預期的那樣下降。緩解前的平均風險得分為145.9，緩解后的平均風險得分為130.0。這在風險評分中下降了約12%，從關鍵基礎設施保護的角度來看，這是一個顯著的下降。

七、摘要和結論

本文以一種簡化的方法描述了具有典型資產的典型現有地鐵站的TVRA過程的細節。該文件還為緩解戰略提供了建議，有助于降低現有地鐵站受到威脅的風險。假設地鐵站位于一個相對較大的城市的市中心，因此靠近商業區，位于非常密集的商業建筑開發之下。首先，進行了TVRA研究，為全面、系統、合理地評估通用地鐵站資產的風險，并確定降低風險的最有效手段提供了一個全面、系統、合理的依據。

根據第一次TVRA研究的結果，考慮了一些建議的緩解措施，試圖降低風險值。為了分析建議的緩解措施的效果，進行了另一項TVRA研究。這項緩解后的TVRA研究結果表明，平均風險評分下降了12%，從關鍵基礎設施保護的角度來看，可以視為顯著下降。雖然每個車站群都有自己獨特的特點，但本文所分享的方法是通用的，可以在世界上任何一個車站實施。

術語表

資產：需要通過設計或操作緩解措施保護的通用地鐵站的一個有用或有價值的組成部分。

風險：不確定的危險事件產生結果的可能性和程度。在這種情況下，通用地鐵站內資產的風險被量化為資產重要性、資產對給定威脅的脆弱性，以及給定威脅或威脅成功發生在資產上的后果的乘積。

風險評估：將危險事件發生的頻率和有形資產對該事件的脆弱性相結合的過程;以及事件的后果。

? 系統安全將風險定義為風險的概率和嚴重程度(后果)的乘積。

風險=發生的概率×嚴重性

? 在安全方面，將資產重要性元素添加到如下公式中:

Risk=Vulnerability×Criticality×Consequences

重要性：在本文的范圍內，重要性定義為所研究的一般地鐵車站資產價值的度量。

脆弱性：在本文的范圍內，脆弱性被定義為該資產被給定威脅成功攻擊的可能性的度量。

后果/影響(嚴重性):為了本文的目的，后果被定義為對資產成功實施給定威脅時的結果(或影響)的度量。

來源：關鍵基礎設施安全應急響應中心