張利華，羅志華（華東交通大學(xué)電氣與電子工程學(xué)院，江西　南昌330013）

?

臨時(shí)限速服務(wù)器安全評(píng)估研究

張利華，羅志華
（華東交通大學(xué)電氣與電子工程學(xué)院，江西南昌330013）

摘要：近年來我國高速鐵路飛速發(fā)展，越來越多的高速鐵路線路投入使用有效的緩解了我國鐵路出行的壓力。如何保證鐵路的安全運(yùn)行成為了人們亟需研究的問題。臨時(shí)限速服務(wù)器是CTCS-3級(jí)列控系統(tǒng)的重要組成部分，其系統(tǒng)安全直接影響到高速鐵路的運(yùn)營安全。文章結(jié)合臨時(shí)限速服務(wù)器的實(shí)際運(yùn)行過程，采用安全性分析軟件SIMFIA構(gòu)建臨時(shí)限速服務(wù)器仿真模型，自動(dòng)生成系統(tǒng)故障樹，并計(jì)算失效狀態(tài)最小割集。根據(jù)最小割集可以快速找到故障源，從而達(dá)到分析臨時(shí)限速服務(wù)器安全性的目的。

關(guān)鍵詞：臨時(shí)限速服務(wù)器；安全評(píng)估；最小割集；SIMFIA；建模仿真

列控系統(tǒng)對(duì)于保障鐵路運(yùn)行安全，提高鐵路運(yùn)行效率起到了關(guān)鍵作用，在鐵路發(fā)展中具有非常重要的地位。臨時(shí)限速是指除規(guī)定的限速，由施工或者維修等原因引起的有計(jì)劃限速及自然災(zāi)害或者設(shè)備故障等引起的突發(fā)限速。由于臨時(shí)限速命令主要依據(jù)相應(yīng)的規(guī)范，標(biāo)準(zhǔn)來運(yùn)行操作,依靠經(jīng)驗(yàn)和直覺制定的規(guī)劃標(biāo)準(zhǔn)多少會(huì)有安全隱患，這些安全隱患可能會(huì)演變成系統(tǒng)故障，并最終導(dǎo)致安全事故的發(fā)生。為此，許多研究者對(duì)列控系統(tǒng)臨時(shí)限速過程進(jìn)行了安全分析。文獻(xiàn)[1]利用UPPAAL工具對(duì)臨時(shí)限速系統(tǒng)的信息交互過程進(jìn)行建模仿真，根據(jù)系統(tǒng)模型的功能屬性，驗(yàn)證了臨時(shí)限速系統(tǒng)的安全性；文獻(xiàn)[2]通過消息順序圖（MSC）對(duì)臨時(shí)限速系統(tǒng)進(jìn)行建模，這在臨時(shí)限速系統(tǒng)安全評(píng)估中尚屬首次，文章通過MSC與時(shí)間自動(dòng)機(jī)理論兩種方法相結(jié)合，根據(jù)臨時(shí)限速系統(tǒng)與外部結(jié)構(gòu)的信息交互過程建立模型，充分驗(yàn)證了系統(tǒng)的活性與安全性；文獻(xiàn)[3]使用Rational Rose建模工具中UML建模語言，用UML語言的用例視圖和類視圖分析和描述了臨時(shí)限速系統(tǒng)的功能及結(jié)構(gòu)，采用國際公認(rèn)的V模型，分析了臨時(shí)限速系統(tǒng)軟件的整個(gè)生命周期的安全，取得了比較理想的結(jié)果。大部分研究者對(duì)臨時(shí)限速系統(tǒng)的研究主要是針對(duì)臨時(shí)限速系統(tǒng)的信息交互過程進(jìn)行安全評(píng)估，但是很多時(shí)候，故障往往出自具體的硬件設(shè)備模塊。

通過使用SIMFIA軟件對(duì)臨時(shí)限速系統(tǒng)進(jìn)行分析，按照其系統(tǒng)的具體功能進(jìn)行模塊化建模仿真，自動(dòng)生成故障樹（FTA），并通過配置模型參數(shù)，自動(dòng)計(jì)算每個(gè)模塊的故障概率。SIMFIA主要根據(jù)生成的故障樹進(jìn)行定性、定量分析。故障樹（FTA）是對(duì)可能造成產(chǎn)品故障的軟件、硬件、環(huán)境和人為因素進(jìn)行定性和定量分析，幫助判明可能發(fā)生的故障模式和原因，發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)并進(jìn)行相應(yīng)的改進(jìn)。通過SIMFIA建立的系統(tǒng)，如果仿真模塊發(fā)生變化，只要重新生成故障樹及其他的數(shù)據(jù)即可。由于基于模型驅(qū)動(dòng)的SIMFIA軟件這種獨(dú)特的性能和高度自動(dòng)化的分析優(yōu)勢，使得安全評(píng)估人員可以將更多的時(shí)間投入到系統(tǒng)的模型建立上去，節(jié)省了工作者很多時(shí)間，提高了設(shè)計(jì)質(zhì)量，相對(duì)于其他的仿真方法具有顯著的優(yōu)勢[4-6]。

1 基于模型的安全評(píng)估方法

1.1 安全評(píng)估模型標(biāo)準(zhǔn)

經(jīng)過長期的鐵路事業(yè)發(fā)展，在鐵路技術(shù)安全領(lǐng)域，已經(jīng)形成了一套安全標(biāo)準(zhǔn)，對(duì)鐵路從產(chǎn)品研發(fā)到安全測試以及后來的維護(hù)維修都提供了有力的支持。鐵路領(lǐng)域的一些標(biāo)準(zhǔn)及應(yīng)用范圍主要有[7]：

1）EN 50126鐵路應(yīng)用：可靠性、可用性、可維護(hù)性和安全性（RAMS）規(guī)范和說明；

2）EN 50128鐵路應(yīng)用：鐵路控制和防護(hù)系統(tǒng)的軟件；

3）EN 50129鐵路應(yīng)用：鐵路控制系統(tǒng)領(lǐng)域的安全相關(guān)電子系統(tǒng)；

4）EN 50159.1鐵路應(yīng)用：通信、信號(hào)和處理系統(tǒng)（在封閉傳輸系統(tǒng)中與安全相關(guān)的通信）；

5）ENS 0121鐵路應(yīng)用：電磁兼容。

1.2 鐵路的V模型開發(fā)

鐵路領(lǐng)域的安全評(píng)估工作主要遵循的是安全苛求系統(tǒng)開發(fā)V模型，具體如圖1所示。

圖1 安全苛求系統(tǒng)開發(fā)V模型Fig.1 V model of demanding security system development

1.3 安全評(píng)估方法

系統(tǒng)安全分析方法是安全分析結(jié)果科學(xué)性與合理性的重要保障，在系統(tǒng)的整個(gè)安全周期中，每個(gè)階段都有適用的分析方法。對(duì)系統(tǒng)隱患進(jìn)行分析，思考的角度不同，對(duì)隱患源的分析思路也不同，使用的安全分析方法也不同。目前人們已經(jīng)研究了數(shù)十種系統(tǒng)安全分析方法，適用于不同的分析過程，從分析的邏輯方法和角度可分為歸納法和演繹法，從分析的數(shù)理方法的角度可分為定性分析方法和定量分析方法。定性分析方法是定量分析方法的基礎(chǔ)。

常用的幾種傳統(tǒng)安全分析方法主要包括安全檢查表法，預(yù)先危險(xiǎn)性分析法，故障模式等，各種方法對(duì)比如表1。

表1 主要安全評(píng)估方法列表Tab.1 The list of main security assessment methods

SIMFIA是一個(gè)非常強(qiáng)大的安全評(píng)估仿真軟件工具，能夠提供各種各樣的方法選擇，在本次安全仿真中，主要通過對(duì)模型進(jìn)行故障樹分析，求出臨時(shí)限速服務(wù)器出現(xiàn)故障的最小割集。

2 臨時(shí)限速服務(wù)器結(jié)構(gòu)

高速鐵路信號(hào)系統(tǒng)主要由地面設(shè)備和車載設(shè)備組成。地面設(shè)備主要有：列控中心（TCC），調(diào)度集中（CTC），無線閉塞中心（RBC），計(jì)算機(jī)聯(lián)鎖（CBI），軌道電路、臨時(shí)限速服務(wù)器（TSRS），無線通信設(shè)備（GSM-R）等；車載設(shè)備主要包括：應(yīng)答器接收模塊（BTM），車載安全計(jì)算機(jī)（VC），GSM-R無線通信單元（RTU）等[8-9]。具體如圖2所示。

TSRS是一個(gè)安全相關(guān)設(shè)備，是CTCS-3級(jí)列控系統(tǒng)中信號(hào)控制的重要組成部分，其設(shè)計(jì)嚴(yán)格遵循“故障-安全”原則以保證系統(tǒng)達(dá)到要求的可用性和安全性水平[10－11]。臨時(shí)限速系統(tǒng)與CTC、TCC、RBC及相鄰的TSRS等設(shè)備之間均有信息交互。調(diào)度中心主要通過3個(gè)步驟設(shè)置臨時(shí)限速過程：第1,根據(jù)線路的實(shí)際情況,調(diào)度員通過臨時(shí)限速操作終端,將全線的限速計(jì)劃命令以圖形化的方式擬定完畢,并交至CTC行調(diào)臺(tái)的行調(diào)員，行調(diào)員確認(rèn)限速命令,并送至TSRS存儲(chǔ)；第2，TSRS對(duì)存儲(chǔ)器里的計(jì)劃限速命令不斷的進(jìn)行檢查,判斷是否有到達(dá)具體執(zhí)行時(shí)間的限速命令，若有,則送到臨時(shí)限速操作終端并提示激活信息,由調(diào)度員對(duì)提示信息進(jìn)行確認(rèn)；第3,調(diào)度員確認(rèn)后,根據(jù)具體時(shí)間,激活限速命令，激活后的限速命令通過安全數(shù)據(jù)網(wǎng)傳送給TCC和RBC校驗(yàn)、執(zhí)行等，臨時(shí)限速命令的設(shè)置和取消均釆用雙重口令用來保證信息交互過程的準(zhǔn)確性[12－13]。

圖2 列控系統(tǒng)結(jié)構(gòu)圖Fig.2 The structure of train control system

3 臨時(shí)限速服務(wù)器SIMFIA建模流程

SIMFIA建模方式靈活，可自上而下展開模型，也可自下而上集成模型。通過設(shè)置各個(gè)組件模塊之間的邏輯關(guān)系，建立系統(tǒng)仿真模型，再利用SIMFIA強(qiáng)大的故障分析能力，自動(dòng)生成故障樹，從而實(shí)現(xiàn)準(zhǔn)確的安全評(píng)估。建模采用自下而上建模方式按照以下幾個(gè)步驟進(jìn)行展開。

3.1 抽象化模型

使用SIMFIA軟件對(duì)系統(tǒng)進(jìn)行建模仿真，首先需要對(duì)評(píng)估對(duì)象進(jìn)行抽象化。主要內(nèi)容為對(duì)臨時(shí)限速服務(wù)器的功能、層次、結(jié)構(gòu)和輸入輸出進(jìn)行抽象化，使之盡可能的反映真實(shí)系統(tǒng)的各方面情況。為此共建立了調(diào)度員、CTC、相鄰TSRS、TSRS、以太網(wǎng)、維修終端、維修人員、TCC、RBC、車載設(shè)備幾個(gè)模塊。其中考慮到真實(shí)系統(tǒng)全部為雙倍冗余結(jié)構(gòu)，在每個(gè)模塊內(nèi)部都包含了兩個(gè)功能相同的子模塊。例如TSRS模塊中封裝了TSRS_1和TSRS_2兩個(gè)子模塊。

3.2 建立故障模型

使用SIMFIA對(duì)抽象化的臨時(shí)限速服務(wù)器模型進(jìn)行繪制，定義模型中各模塊的邏輯連接和失效模式。并在考慮了元件（系統(tǒng)）的正常工作模式下，對(duì)模型的失效狀態(tài)進(jìn)行擴(kuò)展。在本次建模中，所有模塊的失效模式皆為正常和失效2種。

3.3 驗(yàn)證模型

完成模型的描繪和邏輯關(guān)系的連接設(shè)置后，需要對(duì)模型的準(zhǔn)確性進(jìn)行驗(yàn)證。主要是驗(yàn)證模型的正確性、完整性、一致性。完整性指的是建立的模型是否完整，一致性指每個(gè)模塊建模標(biāo)準(zhǔn)是否一致，正確性指建立的模型是否能正確反映系統(tǒng)的工作過程。通過對(duì)模塊注入故障驗(yàn)證模型的故障傳遞過程，結(jié)果符合臨時(shí)限速服務(wù)器的真實(shí)工作過程。具體模型如圖3所示。在模型中，黑色圓圈表示輸出，白色圓圈表示輸入，四邊形表示功能模塊。

圖3 臨時(shí)限速服務(wù)器建模仿真圖Fig3. Temporary speed limit server modeling and simulation

SIMFIA建模方式靈活，可自上而下展開模型，也可自下而上集成模型。通過設(shè)置各個(gè)組件模塊之間的邏輯關(guān)系，建立系統(tǒng)仿真模型，再利用SIMFIA強(qiáng)大的故障分析能力，自動(dòng)生成故障樹，從而實(shí)現(xiàn)準(zhǔn)確的安全評(píng)估。

4 評(píng)估結(jié)果分析

根據(jù)建立的系統(tǒng)模型，選擇一些災(zāi)難性或者影響重大的失效事件生成故障樹，再進(jìn)行失效分析。SIMFIA只需要經(jīng)過簡單設(shè)置便能對(duì)任一節(jié)點(diǎn)故障樹和故障概率進(jìn)行自動(dòng)生成的計(jì)算。選擇頂事件“TSRS_1模塊失效”生成故障樹圖如圖4所示。

圖4 臨時(shí)限速服務(wù)器失效故障樹圖Fig4. TSRS failure fault tree

圖4中，事件下面有圓圈的表示該事件為頂事件失效的最小割集，三角形表示為同一事件。從圖中可以看出頂事件TSRS_1模塊失效的原因可能來自于工作中的每個(gè)途徑，并最終識(shí)別出導(dǎo)致失效的原始原因?yàn)檎{(diào)度員失效、CTC_1失效、CTC_2失效、相鄰TSRS_1失效、相鄰TSRS_2失效、TSRS_1失效的一種或者多種。假設(shè)每個(gè)功能模塊的故障率為1e-6，計(jì)算TSRS_1模塊連續(xù)工作100 h發(fā)生故障的概率為1.999 998 999 996e-6。上述過程中，如果系統(tǒng)設(shè)計(jì)發(fā)生變化，只需要重新生成故障樹即可，大大節(jié)省了計(jì)算時(shí)間。

5 結(jié)論

通過使用形式化建模方法對(duì)臨時(shí)限速服務(wù)器進(jìn)行安全性分析，我們可以得出以下結(jié)論有：

1）“TSRS_1模塊失效”發(fā)生的原因是最小割集中的一種或者多種發(fā)生導(dǎo)致，而且發(fā)生的概率為1.999 998 999 996e-6，一般來說最小割集越少，系統(tǒng)安全性越高。

2）可以根據(jù)故障發(fā)生的概率調(diào)整修理周期，并在臨時(shí)限速服務(wù)器發(fā)生故障時(shí)快速定位出故障源，找到故障傳播的途徑。

3）SIMFIA軟件與其他傳統(tǒng)故障樹分析方法相比較，具有操作簡單，層次清晰等優(yōu)點(diǎn)。

參考文獻(xiàn)：

[1]趙榮亮.列控系統(tǒng)TSRS形式化建模分析與驗(yàn)證[D].重慶：西南交通大學(xué)，2014.

[2]萬勇兵，徐中偉，梅萌. CTCS-3級(jí)列控系統(tǒng)臨時(shí)限速服務(wù)器建模與形式化驗(yàn)證[J].系統(tǒng)仿真學(xué)報(bào)，2013，25（1）：132-138.

[3]熊迎.基于UML的客運(yùn)專線列控系統(tǒng)臨時(shí)限速服務(wù)器維護(hù)終端的研究與實(shí)現(xiàn)[D].北京：北京交通大學(xué)，2012.

[4]邢逆舟，王立松.基于模型驅(qū)動(dòng)的航電系統(tǒng)安全性分析[J].計(jì)算機(jī)與現(xiàn)代化，2015（1）：21-26.

[5]谷青范，王國慶，張麗花，等.基于模型驅(qū)動(dòng)的航電系統(tǒng)安全性分析技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2015，42（3）：124-127.

[6]張福凱，賀軼斐，谷青范.基于模型驅(qū)動(dòng)的HUD系統(tǒng)安全性分析方法研究[J].航空電子技術(shù)，2014，45（3）：52-56.

[7]唐濤，徐田華，趙林.列車運(yùn)行控制系統(tǒng)規(guī)范建模與驗(yàn)證[M].北京：中國鐵道出版社，2010.

[8]聶超. CTCS-3列控?zé)o線閉塞中心研究與仿真[D].重慶：西南交通大學(xué)，2010.

[9]袁磊，王俊峰，康仁偉，等. CTCS-3級(jí)列控系統(tǒng)臨時(shí)限速建模與驗(yàn)證[J].西南交通大學(xué)學(xué)報(bào)，2013，48（4）：708-714.

[10]鄧紫陽.基于著色Petri網(wǎng)CTCS-3級(jí)列控中心建模與仿真研究[D].北京：北京交通大學(xué)，2009.

[11]易承龍.基于Simulink/Stateflow的CTCS-3級(jí)列控系統(tǒng)建模與仿真分析[D].北京：北京交通大學(xué)，2014.

[12]張愛玲. CTCS-3級(jí)列控系統(tǒng)RBC行車許可生成的形式化建模與分析[D].蘭州：蘭州交通大學(xué)，2012.

[13]秦舒，毛鑫，沈鋼.基于simulink/stateflow的列車碰撞時(shí)鉤緩系統(tǒng)建模[J].華東交通大學(xué)學(xué)報(bào)，2015，32（1）：22-26.

（責(zé)任編輯姜紅貴）

Security Assessment of Temporary Speed Restriction Server

Zhang Lihua , Luo Zhihua
（School of Electrical and Electronic Engineering, East China Jiaotong University, Nanchang 330013, China）

Abstract：In recent years, with China’s rapid development of high speed railways, more and more high speed railway lines have been put into operation effectively, alleviating the pressure on China’s railway travel. But frequent railway accidents have caused great threat to people’s life and property security. It is urgent to probe into how to ensure the safe operation of the railway. Temporary speed restriction server is an important part of CTCS-3 train control system whose safety directly affects the safe operation of high-speed railway. Combined with the actual operation of the temporary speed restriction server process, by use of the security analysis software–SIMFIA to build simulation model of temporary speed restriction server, this study automatically generated the fault tree of the system, and calculated the minimal cut sets of the failed state. According to the fact that minimum cut sets can quickly find fault source, it analyzed the security of temporary speed restriction server.

Key words：temporary speed restriction server; security assessment; minimum cut set; SIMFIA; modeling and simulation

中圖分類號(hào)：U284.92

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1005-0523（2016）03-0068-06

收稿日期：2015－11－30

基金項(xiàng)目：江西省研究生創(chuàng)新專項(xiàng)資金項(xiàng)目（YC2014-S246）；江西省教育廳科技項(xiàng)目（GJJ14371）

作者簡介：張利華（1972—），男，副教授，博士，研究方向?yàn)殡姎庑畔⒓夹g(shù)，通信網(wǎng)絡(luò)信息安全。