張舟洋，李　華，魏念龍

(1.蘭州交通大學(xué)自動化與電氣工程學(xué)院， 蘭州　730070；2.呼和浩特供電段，呼和浩特　010000)

?

基于貝葉斯網(wǎng)絡(luò)的城市軌道交通CBTC系統(tǒng)SIL研究

張舟洋1，李華1，魏念龍2

(1.蘭州交通大學(xué)自動化與電氣工程學(xué)院， 蘭州730070；2.呼和浩特供電段，呼和浩特010000)

摘要：城市軌道交通CBTC系統(tǒng)是一個安全苛求系統(tǒng)，為了更好地分析CBTC系統(tǒng)的安全性，首先通過對整個系統(tǒng)自頂向下分析，對各子系統(tǒng)和單元模塊的功能進(jìn)行劃分，建立CBTC系統(tǒng)的貝葉斯網(wǎng)絡(luò)，然后再自下向上由子系統(tǒng)級別到整個CBTC系統(tǒng)級別逐步計算出CBTC系統(tǒng)的平均故障率，最后從系統(tǒng)失效的角度驗證系統(tǒng)的安全完整性等級(Safety Integrity Level， SIL)。結(jié)果表明，在系統(tǒng)硬件設(shè)備的故障率不變的情況下，可以通過調(diào)整子系統(tǒng)的冗余結(jié)構(gòu)，增加整個CBTC系統(tǒng)的容錯能力來提高其隨機(jī)故障的完整性，使得系統(tǒng)符合安全標(biāo)準(zhǔn)要求。

關(guān)鍵詞：貝葉斯網(wǎng)絡(luò); CBTC系統(tǒng); 安全完整性等級SIL

1概述

近年來，3C技術(shù)得到了前所未有的發(fā)展，CBTC系統(tǒng)將是今后城市軌道交通列控系統(tǒng)的發(fā)展趨勢。CBTC系統(tǒng)是按照移動閉塞制式運(yùn)行的列控系統(tǒng)，其通過車載設(shè)備和地面設(shè)備之間的雙向通信，同時采用高精度的列車定位技術(shù)，實現(xiàn)列車高效、安全的追蹤運(yùn)行[1]，這使得列車控制系統(tǒng)需要更高的可靠性和安全性。在國外，研究者定性或定量地研究評估基于風(fēng)險的系統(tǒng)安全，以此來降低事故率、獲得更高的安全投資效益[2，3]，而國內(nèi)，這方面的研究仍處于初級階段[4-7]。旨在以IEC61508標(biāo)準(zhǔn)為基礎(chǔ)，用貝葉斯網(wǎng)絡(luò)的方法，對CBTC系統(tǒng)進(jìn)行安全完整性等級的計算分析，確定系統(tǒng)能否滿足標(biāo)準(zhǔn)的安全要求，為城市軌道交通的系統(tǒng)安全分析提供科學(xué)依據(jù)。

2基于貝葉斯網(wǎng)絡(luò)的SIL驗證分析

2.1SIL簡述

SIL指的是在某一特定的條件下，系統(tǒng)在規(guī)定的時間內(nèi)成功地完成要求所需安全功能的概率，是度量系統(tǒng)能否滿足規(guī)定安全功能的一個指標(biāo)。在IEC61508標(biāo)準(zhǔn)的基礎(chǔ)上，UIC制定了一系列執(zhí)行標(biāo)準(zhǔn)，用來進(jìn)行鐵路安全相關(guān)系統(tǒng)開發(fā)SIL認(rèn)證。作為歐洲第一個相關(guān)領(lǐng)域的標(biāo)準(zhǔn)，EN50129明確定義了在整個生命周期中安全信號相關(guān)系統(tǒng)軟、硬件開發(fā)的安全完整性等級評估內(nèi)容[8]。EN50129標(biāo)準(zhǔn)用SIL表格來說明相關(guān)系統(tǒng)的安全目標(biāo)，如表1所示。

表1　SIL表

其中PFD列為頻率列表(執(zhí)行頻率低)，PFH列為故障概率(執(zhí)行頻率高)。

利用概率分析，就可以在了解硬件組成部分的故障率、類型的基礎(chǔ)上，對隨機(jī)故障完整性進(jìn)行量化評估。

2.2貝葉斯網(wǎng)絡(luò)驗證分析

貝葉斯網(wǎng)絡(luò)是大型復(fù)雜系統(tǒng)安全分析的最好方法，區(qū)別于事件樹/故障樹、馬爾科夫法等一些傳統(tǒng)的安全分析方法具有建模方便、計算簡練、分析明確等優(yōu)勢[9-12]。

貝葉斯網(wǎng)絡(luò)(Bayesian networks，BN)是由節(jié)點、有向邊和條件概率表CPT構(gòu)成的有向無環(huán)圖，可以直觀地用N=?V，E>，P>來表示，其中表示有向無環(huán)圖G，V為節(jié)點的集合，集合中每一個節(jié)點都是一個變量；E為有向邊，連接節(jié)點變量，表示變量之間的關(guān)系，可以用(Vi，Vj)表示由Vi指向Vj，Vi稱之為Vj的父節(jié)點；P代表各節(jié)點的條件概率分布[13]。

Bayesian條件概率公式是構(gòu)建網(wǎng)絡(luò)和計算的基礎(chǔ)

式中，Pa(Vj)為Vj在貝葉斯網(wǎng)絡(luò)中的父節(jié)點；P(Vj)為Vj的先驗概率；P(Vj|Pa(Vj))為給定P(Pa(Vj))下Vj的后驗概率。

利用BN的獨(dú)立性可以更簡易地計算V的聯(lián)合概率

假設(shè)根節(jié)點的先驗概率已知，其他節(jié)點的條件概率分布也已知的條件下，那么就可以算出其他節(jié)點的聯(lián)合概率分布。

以二乘二取二聯(lián)鎖系統(tǒng)為例，說明采用貝葉斯網(wǎng)絡(luò)驗證分析子系統(tǒng)安全完整性等級的步驟過程。二乘二取二聯(lián)鎖系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1　二乘二取二聯(lián)鎖系統(tǒng)結(jié)構(gòu)

系統(tǒng)內(nèi)部是4個完全相同的處理器單元A1、A2、B1、B2，聯(lián)鎖A1、A2機(jī)組成聯(lián)鎖子系統(tǒng)A，聯(lián)鎖B1、B2機(jī)組成聯(lián)鎖子系統(tǒng)B，子系統(tǒng)所包含的兩個處理單元嚴(yán)格同步，并時時比較輸出，只有當(dāng)比較結(jié)果一致時子系統(tǒng)才有輸出，若子系統(tǒng)A無輸出，切換模塊自動切向子系統(tǒng)B輸出。

根據(jù)二乘二取二聯(lián)鎖系統(tǒng)的結(jié)構(gòu)和工作原理，采用貝葉斯網(wǎng)絡(luò)進(jìn)行建模分析，如圖2所示。

圖2　二乘二取二聯(lián)鎖系統(tǒng)BN圖

假設(shè)內(nèi)部單元的故障率為0.5%，故障檢測率為0.75，則節(jié)點A1(A2、B1、B2)、A(B)、C的條件概率如表2、表3、表4所示。

表2　節(jié)點A1(A2、B1、B2)的條件概率

表3　節(jié)點A(B)的條件概率

表4　節(jié)點C的條件概率

利用HUGIN軟件中的聯(lián)合樹算法，根據(jù)表2、表3、表4對圖3所構(gòu)建的BN進(jìn)行分析計算。在已知所有根節(jié)點A1、A2、B1、B2的條件概率分布的情況下，可以最終計算得到節(jié)點C，即整個聯(lián)鎖系統(tǒng)的故障率0.004 95。聯(lián)鎖系統(tǒng)連系著列車的安全運(yùn)行，是安全等級要求為4級的系統(tǒng)，即PFD要求為10-5×10-4，計算所得數(shù)據(jù)不滿足標(biāo)準(zhǔn)要求。此時，則修改內(nèi)部單元預(yù)定故障率，重復(fù)計算過程，直到使系統(tǒng)滿足標(biāo)準(zhǔn)要求。

3實例分析

清晰的概念以及明確的思路在保證正確地分析評估SIL的過程中起著重要作用。利用系統(tǒng)分析的思想對CBTC系統(tǒng)逐層向下進(jìn)行分解，并建立系統(tǒng)貝葉斯網(wǎng)絡(luò)分析模型，根據(jù)此分析模型循環(huán)迭代得到相應(yīng)的系統(tǒng)各硬件的平均故障率，使之符合標(biāo)準(zhǔn)要求以及其組成的子系統(tǒng)的安全完整性等級要求。在此基礎(chǔ)上調(diào)整子系統(tǒng)的冗余結(jié)構(gòu)，旨在驗證分析所研究的CBTC系統(tǒng)能否達(dá)到IEC61508標(biāo)準(zhǔn)中所規(guī)定的安全完整性等級。SIL等級驗證分析流程如圖3所示。

圖3　基于BN的SIL等級驗證分析流程

以國內(nèi)某廠家的CBTC系統(tǒng)為例，分析其中涉及行車安全的子系統(tǒng)，主要包括車載設(shè)備、聯(lián)鎖系統(tǒng)、ZC區(qū)域控制器和軌旁電子單元等。在分析系統(tǒng)結(jié)構(gòu)圖的基礎(chǔ)上，采用故障樹思想，自上向下層層分析，構(gòu)建CBTC系統(tǒng)的貝葉斯網(wǎng)絡(luò)，如圖4所示。

圖4　CBTC系統(tǒng)貝葉斯網(wǎng)絡(luò)

按照圖3所示的基于BN的SIL驗證分析流程對圖4所示的網(wǎng)絡(luò)圖進(jìn)行安全驗證分析。系統(tǒng)各硬件的平均故障率初始設(shè)定值如表5所示。

表5　系統(tǒng)各硬件平均故障率初始設(shè)定值

將表5中的各數(shù)值代入系統(tǒng)貝葉斯網(wǎng)絡(luò)各根節(jié)點的條件概率表中，循環(huán)計算聯(lián)鎖、車載設(shè)備等子系統(tǒng)的平均故障率，計算結(jié)果得到聯(lián)鎖子系統(tǒng)的平均故障率為3.28×10-5，車載ATP系統(tǒng)的平均故障率為1.73×10-5，聯(lián)鎖子系統(tǒng)與ATP系統(tǒng)均屬于SIL等級為4的系統(tǒng)，其平均故障率標(biāo)準(zhǔn)為10-5×10-4，因此計算所得符合子系統(tǒng)安全標(biāo)準(zhǔn)所需。在此基礎(chǔ)上，計算CBTC系統(tǒng)的平均故障率為2.2×10-3，結(jié)果不符合SIL4級的標(biāo)準(zhǔn)。因此，必須調(diào)整各子系統(tǒng)的冗余結(jié)構(gòu)，使CBTC系統(tǒng)的SIL指標(biāo)滿足標(biāo)準(zhǔn)所需。調(diào)整后的CBTC系統(tǒng)BN圖如圖5所示。

圖5　調(diào)整后的CBTC系統(tǒng)BN圖

調(diào)整后的聯(lián)鎖子系統(tǒng)與ATP、ATO子系統(tǒng)為二乘二取二冗余結(jié)構(gòu)，區(qū)域控制器子系統(tǒng)為三取二冗余結(jié)構(gòu)，計算所得CBTC系統(tǒng)的平均故障率為1.98×10-5，滿足標(biāo)準(zhǔn)要求，說明此結(jié)構(gòu)的CBTC系統(tǒng)是安全的。

4結(jié)論

利用BN在處理不完備數(shù)據(jù)問題中的優(yōu)勢，對CBTC系統(tǒng)進(jìn)行網(wǎng)絡(luò)建模，并計算出系統(tǒng)的SIL指標(biāo)。根據(jù)目前城市軌道交通CBTC系統(tǒng)的相關(guān)安全標(biāo)準(zhǔn)，對系統(tǒng)進(jìn)行SIL的安全驗證，確定系統(tǒng)是否滿足相關(guān)標(biāo)準(zhǔn)的安全要求，為CBTC系統(tǒng)設(shè)備的日常維護(hù)和管理者的決策提供科學(xué)依據(jù)。然而，隨著系統(tǒng)內(nèi)部硬件之間以及與環(huán)境、軟件、人為等外在因素之間的交互日益復(fù)雜，針對這些復(fù)雜問題，系統(tǒng)整體安全還有待進(jìn)一步研究。

參考文獻(xiàn)：

[1]IEEE Standard for Communications Based Train Control Per-formance and Functional Requirements[S].

[2]Netjasov F， Janic M. A review of research on risk and safety modeling in civil aviation[J]. Journal of Air Transport Management， 2008，14(4):213-220.

[3]Hartong M W，Cataldi O K.Regulatory Risk Evaluation of Pos-itive Train Control Systems[C].ASME，2007.

[4]燕飛.列車運(yùn)行控制系統(tǒng)安全保障與認(rèn)證方法研究[J].中國安全科學(xué)學(xué)報，2010，20(12)：98-104.

[5]張躍兵，王凱，王志亮.危險源理論研究及在事故預(yù)防中的應(yīng)用[J].中國安全科學(xué)學(xué)報，2011，21(6):10-16.

[6]劉敬輝，戴賢春，郭湛，等.鐵路系統(tǒng)基于風(fēng)險的定量安全評估方法[J].中國鐵道科學(xué)，2009，30(5):123-128.

[7]張苑，劉朝英，李啟翮，等.無線閉塞中心系統(tǒng)安全風(fēng)險分析及對策[J].中國鐵道科學(xué)，2010，31(4):112-117.

[8]EN 50129，Railway Applications-safety Related Electronic Systems for Signaling[S]. 2003.

[9]趙瓊，王思華，尚方寧.基于故障樹分析法的接觸網(wǎng)可靠性分析[J].鐵道標(biāo)準(zhǔn)設(shè)計，2014，58(1):105-109.

[10]朱愛紅，楊亮，李博.基于故障樹分析法的ATS可靠性仿真及應(yīng)用[J].鐵道標(biāo)準(zhǔn)設(shè)計，2013(11):105-109.

[11]WEBER P， MEDINA-OLIVA G， SIMON C， et al. Overview on Bayesian Networks Applications for dependability，Risk Analysis and Maintenance Areas[J]. Engineering Applica-tions of Artificial Intelligence， 2012，25(4):671-682.

[12]周忠寶，馬超群，周經(jīng)倫，等.概率安全評估方法綜述[J].系統(tǒng)工程學(xué)報，2006，24(6):725-733.

[13]Charniak E. Baycsian networks without Tears[J]. AI Mag-azine， 1991:50.

Research on SIL of CBTC System of Urban Rail Transit Based on Bayesian Network

ZHANG Zhou-yang， LI Hua， WEI Nian-long

(1.School of Automation and Electrical Engineering， Lanzhou Jiaotong University， Lanzhou 730070， China;2.Power Supply Section of Hohhot Railway Administration， Hohhot 010000， China)

Abstract：CBTC system of urban rail transit is a demanding security system. In order to better analyze the security of CBTC system， the functions of subsystems and unit modules are divided and Bayesian network of CBTC system is established through top-down analysis of the entire system. The failure rate of CBTC system is then calculated bottom-to-top from subsystems to the entire CBTC system. Finally， SIL of the system is validated in perspective of system failure. The results show that fault-tolerant capability of entire CBTC system can be increased by adjusting redundant structure of subsystems to improve completeness of random failure and meet the safety standard requirements under the condition that system the fault rate of hardware equipment remains unchanged

Key words：Bayesian Network; CBTC system; Safety Integrity level (SIL)

中圖分類號：X913.4； U284

文獻(xiàn)標(biāo)識碼：A

DOI:10.13238/j.issn.1004-2954.2015.04.029

文章編號：1004-2954(2015)04-0121-04

作者簡介：張舟洋(1989—)，女，碩士研究生，E-mail:zzyxinsuisuoyu@sina.com。

收稿日期：2014-06-10； 修回日期：2014-07-19