江 迎 魏 倩 朱孟雯

(卡斯柯信號有限公司,200071,上海 ∥ 第一作者，高級工程師)

城市軌道交通全自動駕駛系統(tǒng)是現(xiàn)階段最新的城軌控制技術(shù)，其核心目標(biāo)是實現(xiàn)對列車的全程自動化控制。軌旁靜態(tài)數(shù)據(jù)(SGD)是列車運行控制系統(tǒng)(以下簡為“列控系統(tǒng)”)運行的基礎(chǔ)數(shù)據(jù)信息，其詳細(xì)表達(dá)了線路的基本參數(shù)狀態(tài)、站臺設(shè)置情況以及線路特殊的保護(hù)區(qū)域，是實現(xiàn)列車高效安全運行的保障性數(shù)據(jù)信息，是安全數(shù)據(jù)管理工作流的核心，對駕駛控制、自動休眠及喚醒、軟件系統(tǒng)控制升級等列車運營功能[1-2]具有重要的意義?，F(xiàn)階段，對SGD的安全管理方法是按獨立雙鏈形式進(jìn)行人工驗證計算。這雖可以一定程度上提高數(shù)據(jù)的準(zhǔn)確性，但人為失誤的不可消除性與驗證方法的繁瑣性，致使SGD安全管理的效率低、效果不佳。文獻(xiàn)[3]曾指出：人的工作流失誤是導(dǎo)致事故的主要原因。文獻(xiàn)[4]等認(rèn)知心理學(xué)領(lǐng)域的相關(guān)研究結(jié)論表明：表觀層面的工作行為失誤，其本質(zhì)來源于深層次的信息認(rèn)知偏差。文獻(xiàn)[5]論述了隨著自動化控制系統(tǒng)的發(fā)展，當(dāng)出現(xiàn)信息流缺失或者短路時可能導(dǎo)致的嚴(yán)重安全事故后果。文獻(xiàn)[6-8]闡明了信息流作為系統(tǒng)安全的生命線，在系統(tǒng)各個控制層級的迭代控制作用中所起到的關(guān)鍵作用，證明了構(gòu)建系統(tǒng)安全信息流模型的重要性和必要性。

列控系統(tǒng)的SIL(安全完整性等級)分為4級，卻鮮有文獻(xiàn)針對城市軌道交通列控系統(tǒng)，從信息流視角進(jìn)行安全模型構(gòu)建。鑒于此，本文將構(gòu)建列控系統(tǒng)安全信息流模型，依據(jù)信息安全流事故致因理論，分析該模型的安全需求，設(shè)計出優(yōu)化SGD軌道靜態(tài)數(shù)據(jù)的安全管理方法，繼而利用Python語言開發(fā)輔助軟件工具來實踐上述優(yōu)化，并對SGD的安全管理流程進(jìn)行規(guī)范和優(yōu)化，以降低人為安全驗證的失誤率，提高項目的安全可接受指標(biāo)，以期對開發(fā)數(shù)據(jù)輔助管理工具和實現(xiàn)整個系統(tǒng)更高的安全需求提供理論依據(jù)。

1 列控系統(tǒng)安全信息流模型

1. 1 模型的理論基礎(chǔ)

從安全原理的角度看，列車全自動駕駛系統(tǒng)可以抽象為物質(zhì)流、能量流及信息流的耦合體[9]。對列控系統(tǒng)結(jié)構(gòu)具象化描述如下：物質(zhì)流層面由信號基礎(chǔ)設(shè)備、車載設(shè)備、軌旁設(shè)備及聯(lián)鎖設(shè)備等組成；能量流體現(xiàn)在車輛動能狀態(tài)控制、火災(zāi)檢測信息反饋及車輛授權(quán)終點位置信息等方面；信息流在列控系統(tǒng)耦合體中是實時動態(tài)更新變化的，反映了列控系統(tǒng)即時的可用性狀態(tài)和安全狀態(tài)。系統(tǒng)安全運行的本質(zhì)表現(xiàn)為安全相關(guān)信息流的穩(wěn)定有序流動，因此，安全管理的著力點需立足于對安全相關(guān)信息的流動指示、導(dǎo)向、監(jiān)測、控制、警戒和利用。

1.2 模型結(jié)構(gòu)

如圖1所示，列控系統(tǒng)安全信息流模型主要由3個圈層組成。

圖1 列控系統(tǒng)安全信息流模型

1) 核心圈層表示列控系統(tǒng)的安全信息流由數(shù)據(jù)流和管理流兩部分組成。數(shù)據(jù)流包括SGD、ZC(區(qū)域控制數(shù)據(jù))、LC(全線同步控制數(shù)據(jù))及CC(車載數(shù)據(jù))；管理流在數(shù)據(jù)制作階段體現(xiàn)為線路基本運行規(guī)則、項目特殊配置規(guī)則、安全標(biāo)準(zhǔn)、特殊參數(shù)人工配置規(guī)范等知識類支持信息。數(shù)據(jù)流與管理流在系統(tǒng)設(shè)計制作的過程中，通過對應(yīng)的數(shù)據(jù)制作和數(shù)據(jù)驗證等管理活動，進(jìn)行迭代更新，直到最終完成系統(tǒng)需求的全部功能和安全需求，形成穩(wěn)定的功能規(guī)則信息，使得物質(zhì)流可以對能量流進(jìn)行有序的控制。

2) 中間圈層表示安全信息流是物質(zhì)流和能量流的交流媒介。物質(zhì)流→信息流→能量流的運行途徑為列控系統(tǒng)控制流，能量流→信息流→物質(zhì)流的運行流程為列控系統(tǒng)反饋流。當(dāng)安全功能對應(yīng)的控制流和反饋流穩(wěn)定正常流動時，列控系統(tǒng)就實現(xiàn)了安全有序的運行。

3) 最外的圈層概括了列控系統(tǒng)的9大功能：超速防護(hù)功能、脫軌防護(hù)功能、車間距防護(hù)功能、站臺精確停車功能、車門安全控制功能、特殊防護(hù)區(qū)激活功能、進(jìn)路安全分配聯(lián)鎖防護(hù)功能、道岔狀態(tài)檢測管理功能及臨時限速安全管理功能。每個功能的實現(xiàn)依賴于內(nèi)部多條信息流并行或有特定次序的流動。9大功能的完整執(zhí)行是信息流穩(wěn)定流動的外在表象。

2 SGD數(shù)據(jù)管理工作流的優(yōu)化

2.1 工作流優(yōu)化的必要性

基于上述安全信息流模型進(jìn)行分析可知：物質(zhì)流對能量流的有效控制依賴于數(shù)據(jù)流與管理流的協(xié)調(diào)統(tǒng)一；功能規(guī)則信息是構(gòu)成控制系統(tǒng)的數(shù)據(jù)基礎(chǔ)，有“信息閥門控制”作用；完善的功能規(guī)則信息可以將整個控制系統(tǒng)有機(jī)結(jié)合在一起。

圖2 功能規(guī)則信息的組成

隨著列控技術(shù)的自動化程度日益成熟，列控系統(tǒng)安全功能對功能規(guī)則信息的依賴將更為明顯。如圖2所示，SGD作為最基礎(chǔ)的功能規(guī)則信息，通過與管理流信息的迭代更新、循環(huán)流動，生成其他數(shù)據(jù)信息，繼而匯合統(tǒng)一構(gòu)成功能規(guī)則信息，為能量流與物質(zhì)流的交互流動創(chuàng)造規(guī)則路徑和驅(qū)動力。因此，SGD的制作和驗證是安全管理工作中最重要的一環(huán)。

2.2 信息流視域下的數(shù)據(jù)管理工作流四維度優(yōu)化

數(shù)據(jù)管理工作流程實質(zhì)是對各類規(guī)則信息的整合、分析和處理。從信息流角度來審視，數(shù)據(jù)管理工作可抽象為信息整合獲取、信息分析處理及信息輸出決策等3大階段。相應(yīng)的，現(xiàn)有數(shù)據(jù)管理工作流程為：人工判斷上游輸入文件信息、人工識別參數(shù)規(guī)則配置準(zhǔn)確性、人工進(jìn)行數(shù)據(jù)存儲格式的轉(zhuǎn)變、人工生成驗證報告結(jié)果。文獻(xiàn)[10-11]提出了信息安全流事故致因理論中的個人風(fēng)險決策研究框架為“技能-規(guī)則-知識( Skills-Regulations-Knowledges)”。由此可知，在以人為主的信息流處理流程中，風(fēng)險主要來源于4個維度：技能缺失維、規(guī)則缺陷維、知識缺乏維及心理狀態(tài)維。4個維度優(yōu)化流程如圖3所示。當(dāng)人工處理信息時，往往會由于這4個維度的影響而導(dǎo)致信息流的錯誤流動，從而為整個列控系統(tǒng)埋下安全隱患。

圖3 4個維度優(yōu)化流程

針對4個風(fēng)險源維度，要提高列控系統(tǒng)的風(fēng)險防控能力，就應(yīng)從程序化、規(guī)則化、步驟化、知識化等角度，優(yōu)化現(xiàn)有的SGD安全管理流程。

1) 程序化：基于Python語言開發(fā)的驗證軟件，可利用驗證軟件的高效和低錯誤率來規(guī)避人工勞動低效和隨機(jī)出錯的問題。

2) 規(guī)則化：將參數(shù)驗證的規(guī)則方法內(nèi)化為程序算法。將人的工作職責(zé)由原來的驗證執(zhí)行者變?yōu)轵炞C監(jiān)督者，從而提高驗證結(jié)果的準(zhǔn)確性。

3) 步驟化：利用程序運行的天然邏輯關(guān)系，將人工驗證時容易出現(xiàn)的工作流無序、紊亂、倒流等特殊情況進(jìn)行屏蔽。操作者根據(jù)程序的提示逐步完善數(shù)據(jù)管理工作。

4) 知識化：驗證軟件不僅能為驗證者計算出推薦的參數(shù)值，而且還能將該參數(shù)涉及到的相關(guān)信息全部整理出來，以方便驗證人員核查，并對該參數(shù)相關(guān)的知識進(jìn)行必要的提示。

3 驗證軟件的開發(fā)

Python語言配置了openpyxl、tkinter、docx、xml等類庫。結(jié)合SGD數(shù)據(jù)管理流程的特殊性，以4個維度優(yōu)化為著力點，驗證軟件的開發(fā)可實現(xiàn)以下功能：①整合各種格式的輸入文件，將來自Excel、xml、Word 3類不同文檔中的數(shù)據(jù)進(jìn)行保存、調(diào)用和處理，極大地提高了工作效率；②通過人機(jī)交互界面實現(xiàn)對驗證者的數(shù)據(jù)管理工作流程把控，從而屏蔽可能出現(xiàn)的流程錯誤問題；③軟件將SGD參數(shù)的配置規(guī)則內(nèi)化為算法，可根據(jù)參數(shù)名來識別參數(shù)，進(jìn)而調(diào)用來自其他格式輸入文件的參數(shù)計算信息，進(jìn)行對應(yīng)的參數(shù)驗證計算；④將各參數(shù)對應(yīng)的計算驗證方法和相關(guān)計算信息保存在驗證報告中，供驗證者對驗證結(jié)果檢查、學(xué)習(xí)和記憶，提高驗證結(jié)果的準(zhǔn)確性。圖4為驗證軟件的交互界面。

圖4 驗證軟件的交互界面

驗證軟件的運行流程如圖5所示。為使數(shù)據(jù)管理過程實現(xiàn)有序化和不可逆化，依次分3步進(jìn)行：第1步，參數(shù)是否缺失確認(rèn)工作；第2步，項目數(shù)據(jù)導(dǎo)出和轉(zhuǎn)化工作；第3步，數(shù)據(jù)自動驗證工作。每一步完成后，均要求驗證人員判斷階段性數(shù)據(jù)結(jié)果。只有數(shù)據(jù)結(jié)果滿足邏輯條件，才會將生成文件作為輸入文件，參與到下一步的運算中。階段性的檢查有利于尋找數(shù)據(jù)錯誤的原因，提高最終數(shù)據(jù)驗證結(jié)果的一致性。由于不同項目可能具有不同的特殊環(huán)境或者特殊功能配置，軟件內(nèi)置的數(shù)據(jù)配置規(guī)則不可能完全適應(yīng)于全部項目的所有參數(shù)配置；因此，只有軟件的最終輸出結(jié)果經(jīng)過人工核查后，才可以確認(rèn)數(shù)據(jù)驗證工作的完成，從而實現(xiàn)完美的人機(jī)互補，發(fā)揮軟件和人工在數(shù)據(jù)管理工作流中的各自優(yōu)勢。

圖5 輔助驗證軟件運行流程

4 結(jié)語

1) 構(gòu)建了列控系統(tǒng)的安全信息流模型，并基于安全原理分析整個列控系統(tǒng)的信息流動。SGD數(shù)據(jù)管理工作流是整個列控系統(tǒng)信息流安全的根本保障。

2) 立足于現(xiàn)有的數(shù)據(jù)管理工作流程，從信息事故致因的4個維度總結(jié)了風(fēng)險產(chǎn)生的原因，進(jìn)而對4個優(yōu)化維度進(jìn)行了重新設(shè)計，為下一步程序設(shè)計提供了理論指導(dǎo)。

3) 利用Python語言的特質(zhì)，開發(fā)了可以整合各類數(shù)據(jù)信息、內(nèi)化規(guī)則算法、提供知識幫助的輔助驗證軟件，提高了數(shù)據(jù)驗證工作的效率和準(zhǔn)確率。此項工作對提高整個列控系統(tǒng)的安全性能而言，意義重大。