高 僮，張亞?wèn)|，郭 進(jìn)，王 建

(西南交通大學(xué)信息科學(xué)與技術(shù)學(xué)院，成都 611756)

列車運(yùn)行控制系統(tǒng)(以下簡(jiǎn)稱列控系統(tǒng))是高速鐵路信號(hào)系統(tǒng)的關(guān)鍵技術(shù)和核心裝備，能有效保證列車安全、準(zhǔn)時(shí)、舒適、高速、高密度不間斷運(yùn)行，是高速鐵路的“大腦和中樞神經(jīng)”[1]。列控系統(tǒng)作為安全苛求系統(tǒng)，一旦發(fā)生危險(xiǎn)失效，將會(huì)導(dǎo)致非常嚴(yán)重的行車事故。因此，針對(duì)復(fù)雜交互作用下的列控系統(tǒng)運(yùn)營(yíng)場(chǎng)景，如何科學(xué)地分析危險(xiǎn)事件間的風(fēng)險(xiǎn)耦合路徑，是列控系統(tǒng)安全領(lǐng)域亟待解決的問(wèn)題之一。臨時(shí)限速場(chǎng)景是列控系統(tǒng)典型運(yùn)營(yíng)場(chǎng)景之一，如果未按計(jì)劃下達(dá)或下達(dá)錯(cuò)誤的臨時(shí)限速信息，將可能導(dǎo)致重大行車事故，因此保證臨時(shí)限速場(chǎng)景的安全性，對(duì)于保障高速鐵路運(yùn)營(yíng)安全具有重要的意義[2]。

目前，針對(duì)列控系統(tǒng)的安全分析以及形式化建模驗(yàn)證已有較多研究，周翔等[3]通過(guò)分析臨時(shí)限速命令擬定校驗(yàn)、下達(dá)和執(zhí)行反饋等基本操作流程，結(jié)合信息之間的交互關(guān)系和交互方式，利用時(shí)間自動(dòng)機(jī)理論建立了臨時(shí)限速場(chǎng)景的時(shí)間自動(dòng)機(jī)網(wǎng)絡(luò)模型；胡雪蓮、周翔等[4-5]采用時(shí)間自動(dòng)機(jī)理論和消息順序圖(MSC)相結(jié)合的方法，對(duì)列控系統(tǒng)不同運(yùn)營(yíng)場(chǎng)景進(jìn)行了建模與驗(yàn)證；周果等[6]以Markov決策過(guò)程為基礎(chǔ)集成列控系統(tǒng)的正常行為和失效行為提出了綜合系統(tǒng)行為模型CBM，并通過(guò)概率模型檢驗(yàn)工具PRISM對(duì)危險(xiǎn)失效概率進(jìn)行了準(zhǔn)確計(jì)算； DIRK S等[7]考慮到STAMP不包含形式化建模的缺陷，將深度危險(xiǎn)分析方法ProFunD與Petri網(wǎng)模型相結(jié)合，并將其巧妙融入到STAMP中，且利用該方法對(duì)中國(guó)溫州7.23動(dòng)車事故進(jìn)行了實(shí)例分析。綜上，目前的研究主要集中在列控系統(tǒng)危險(xiǎn)分析、形式化建模驗(yàn)證或兩者結(jié)合的方面，而列控系統(tǒng)運(yùn)營(yíng)場(chǎng)景風(fēng)險(xiǎn)耦合路徑分析方法的研究相對(duì)少見(jiàn)。

以列控系統(tǒng)復(fù)雜運(yùn)營(yíng)場(chǎng)景之一(臨時(shí)限速)為研究對(duì)象，結(jié)合深度優(yōu)先搜索算法，對(duì)含有危險(xiǎn)致因因素的臨時(shí)限速場(chǎng)景時(shí)間自動(dòng)機(jī)模型進(jìn)行系統(tǒng)位置遷移路徑自動(dòng)搜索，得到列控系統(tǒng)臨時(shí)限速場(chǎng)景風(fēng)險(xiǎn)耦合路徑。采取的技術(shù)路線如圖1所示。

圖1 技術(shù)路線

為實(shí)現(xiàn)臨時(shí)限速場(chǎng)景風(fēng)險(xiǎn)耦合路徑的自動(dòng)搜索，首先，按照STPA危險(xiǎn)分析方法的實(shí)施流程，分步驟進(jìn)行危險(xiǎn)分析，得到臨時(shí)限速運(yùn)營(yíng)場(chǎng)景危險(xiǎn)日志；同時(shí)，根據(jù)臨時(shí)限速場(chǎng)景描述和場(chǎng)景分層控制結(jié)構(gòu)模型，利用時(shí)間自動(dòng)機(jī)理論進(jìn)行形式化建模，得到正常臨時(shí)限速場(chǎng)景時(shí)間自動(dòng)機(jī)模型；然后，將STPA分析出的危險(xiǎn)致因作為位置遷移條件注入到系統(tǒng)正常時(shí)間自動(dòng)機(jī)模型中，得到了含有危險(xiǎn)致因因素的列控系統(tǒng)臨時(shí)限速場(chǎng)景時(shí)間自動(dòng)機(jī)模型；最后，利用自動(dòng)搜索算法，編制了遷移路徑自動(dòng)搜索工具軟件，利用軟件對(duì)含有危險(xiǎn)致因因素的臨時(shí)限速場(chǎng)景時(shí)間自動(dòng)機(jī)模型進(jìn)行系統(tǒng)位置遷移路徑自動(dòng)搜索，得到列控系統(tǒng)臨時(shí)限速場(chǎng)景風(fēng)險(xiǎn)耦合路徑。

1 相關(guān)基礎(chǔ)知識(shí)

1.1 列控系統(tǒng)臨時(shí)限速運(yùn)營(yíng)場(chǎng)景

臨時(shí)限速運(yùn)營(yíng)場(chǎng)景主要由調(diào)度員、CTC、TSRS、RBC以及TCC等子系統(tǒng)和人員相互交互，實(shí)現(xiàn)臨時(shí)限速命令的擬定、驗(yàn)證、下達(dá)、執(zhí)行等過(guò)程。CTC系統(tǒng)主要負(fù)責(zé)擬定臨時(shí)限速命令，通過(guò)調(diào)度員在CTC終端輸入臨時(shí)限速命令參數(shù)信息，擬定臨時(shí)限速命令；TSRS統(tǒng)一管理系統(tǒng)的運(yùn)行過(guò)程，其工作包括需對(duì)由CTC下達(dá)的臨時(shí)限速進(jìn)行有效性檢驗(yàn)[8]、對(duì)將要執(zhí)行的臨時(shí)限速命令向CTC發(fā)出激活提示、對(duì)臨時(shí)限速命令進(jìn)行拆分與轉(zhuǎn)換等；最后，RBC和TCC執(zhí)行完臨時(shí)限速命令后，分別通過(guò)GSM-R網(wǎng)絡(luò)或有源應(yīng)答器將臨時(shí)限速命令傳輸給列車[9]。

為更好的理解臨時(shí)限速運(yùn)營(yíng)場(chǎng)景的系統(tǒng)行為，通過(guò)圖2來(lái)展示臨時(shí)限速場(chǎng)景的一個(gè)設(shè)置階段過(guò)程。臨時(shí)限速場(chǎng)景的設(shè)置過(guò)程主要由3個(gè)階段組成，分別為臨時(shí)限速命令擬定、臨時(shí)限速命令驗(yàn)證和臨時(shí)限速命令執(zhí)行。

圖2 設(shè)置臨時(shí)限速命令的操作時(shí)序

1.2 基于STPA的臨時(shí)限速運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析

STPA方法辨識(shí)系統(tǒng)控制缺陷時(shí)遵循一系列的流程[10-13]，其流程如圖3所示。

圖3 STPA實(shí)施流程

基于STPA的臨時(shí)限速運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析結(jié)合臨時(shí)限速運(yùn)營(yíng)場(chǎng)景的操作流程和STPA分析流程進(jìn)行危險(xiǎn)分析。

首先，確定系統(tǒng)級(jí)危險(xiǎn)。對(duì)臨時(shí)限速的安全分析[14-15]中所要考慮的事故主要從兩個(gè)方面去考慮，一是對(duì)人造成了傷害[A1]；二是對(duì)設(shè)備造成了傷害[A2]。因此，臨時(shí)限速下的系統(tǒng)級(jí)危險(xiǎn)如下。

H1：列車在需要收到臨時(shí)限速命令的情況下，未收到臨時(shí)限速命令。

H2：列車接收到了錯(cuò)誤的臨時(shí)限速命令。

H3：列車在不需要收到臨時(shí)限速命令的情況下，收到了臨時(shí)限速命令。

相應(yīng)的系統(tǒng)級(jí)安全約束如下。

SC1：列車在需要收到臨時(shí)限速命令的情況下，收到了臨時(shí)限速命令。

SC2：列車接收到正確的臨時(shí)限速信息。

SC3：列車在不需要收到臨時(shí)限速命令的情況下，未收到臨時(shí)限速命令。

根據(jù)圖2所示的臨時(shí)限速運(yùn)營(yíng)場(chǎng)景的操作流程構(gòu)建分層控制結(jié)構(gòu)模型。分層控制結(jié)構(gòu)模型的最頂層由CTC和調(diào)度員組成，CTC通過(guò)向TSRS發(fā)送控制信息，約束TSRS的行為，而TSRS作為CTC的下一層，通過(guò)對(duì)臨時(shí)限速調(diào)度命令進(jìn)行拆分和轉(zhuǎn)換，向在臨時(shí)限速調(diào)度命令所管轄范圍內(nèi)的TCC和RBC發(fā)送臨時(shí)限速信息，因此，TCC和RBC作為TSRS的下一層。然后，TCC通過(guò)應(yīng)答器、RBC通過(guò)GSM-R將臨時(shí)限速信息發(fā)送給列車，因此，應(yīng)答器和GSM-R作為TCC和RBC的下一層，最后一層為列車。其中，各個(gè)子系統(tǒng)之間通過(guò)控制行為進(jìn)行交互。

然后，通過(guò)對(duì)臨時(shí)限速運(yùn)營(yíng)場(chǎng)景的主要角色或要素的運(yùn)行過(guò)程和控制行為進(jìn)行分析，得到39個(gè)控制行為，根據(jù)STPA識(shí)別不安全控制行為的方法，即按照以下4種場(chǎng)景進(jìn)行識(shí)別：未提供控制行為、提供了控制行為、錯(cuò)誤時(shí)機(jī)或時(shí)序提供控制行為以及提供控制行為結(jié)束太快/時(shí)間過(guò)長(zhǎng)。從而得到臨時(shí)限速運(yùn)營(yíng)場(chǎng)景的不安全控制行為列表。

最后，針對(duì)每一條不安全控制行為進(jìn)行控制缺陷分析。先進(jìn)行不安全控制行為的過(guò)程模型圖及致因因素分析，再結(jié)合專家提出的相關(guān)的安全約束，最終制定了臨時(shí)限速運(yùn)營(yíng)場(chǎng)景的危險(xiǎn)日志。

1.3 含有危險(xiǎn)致因因素的臨時(shí)限速場(chǎng)景時(shí)間自動(dòng)機(jī)模型

構(gòu)建臨時(shí)限速運(yùn)營(yíng)場(chǎng)景時(shí)間自動(dòng)機(jī)模型方法的具體流程如圖4所示。

圖4 時(shí)間自動(dòng)機(jī)模型構(gòu)建方法

臨時(shí)限速運(yùn)營(yíng)場(chǎng)景時(shí)間自動(dòng)機(jī)模型由CTC、調(diào)度員、TSRS、TCC、RBC等五部分組成，進(jìn)程之間通過(guò)共享變量和通道來(lái)進(jìn)行同步或通信。

根據(jù)設(shè)置臨時(shí)限速命令的操作流程描述以及通道和位置的命名，可以構(gòu)建臨時(shí)限速場(chǎng)景正常的時(shí)間自動(dòng)機(jī)模型。通過(guò)將1.2節(jié)分析得出的不安全控制行為的致因因素，作為位置遷移的條件注入到臨時(shí)限速場(chǎng)景正常的時(shí)間自動(dòng)機(jī)模型中，從而得到了含有危險(xiǎn)致因因素的臨時(shí)限速場(chǎng)景時(shí)間自動(dòng)機(jī)模型。

根據(jù)1.2節(jié)得知，通過(guò)對(duì)設(shè)置臨時(shí)限速命令的操作流程進(jìn)行描述，STPA進(jìn)行初步評(píng)估，定義了39個(gè)控制行為，在STPA危險(xiǎn)分析中將控制行為在分層控制結(jié)構(gòu)模型中得以描述，可假定 39個(gè)控制行為與UPPAAL中的通道或位置進(jìn)行一一對(duì)應(yīng)，從而實(shí)現(xiàn)對(duì)STPA與時(shí)間自動(dòng)機(jī)兩者之間建立聯(lián)系。關(guān)鍵的控制行為和對(duì)應(yīng)的UPPAAL通道或位置如表1所示。

表1 關(guān)鍵控制行為和對(duì)應(yīng)的UPPAAL通道或位置

本文主要側(cè)重于風(fēng)險(xiǎn)耦合路徑的搜索方法研究，由于篇幅原因，將以TSRS和TCC時(shí)間自動(dòng)機(jī)模型為例進(jìn)行方法研究和驗(yàn)證。在兩個(gè)模型中，包含兩個(gè)危險(xiǎn)事件，分別是：TSRS與TCC之間的信息安全數(shù)據(jù)網(wǎng)發(fā)送信息錯(cuò)誤Send_IncorrectMess和TCC與LEU之間受到通信干擾communica_Jam。

1.3.1 含有危險(xiǎn)致因的TSRS時(shí)間自動(dòng)機(jī)模型

在時(shí)間自動(dòng)機(jī)模型中，兩個(gè)圓代表了系統(tǒng)的初始狀態(tài)，一個(gè)圓代表系統(tǒng)的中間狀態(tài)，兩個(gè)狀態(tài)之間的帶有箭頭的線和上面的文字代表了兩個(gè)狀態(tài)轉(zhuǎn)換的約束條件，發(fā)出的信息用a!表示，接收的信息用a？來(lái)表示，a表示為該消息擬定的名稱，若名稱相同，則表示為同一組消息[16]。

構(gòu)建含有危險(xiǎn)致因的TSRS時(shí)間自動(dòng)機(jī)模型時(shí)，當(dāng)完成臨時(shí)限速命令的有效性校驗(yàn)以及激活驗(yàn)證后，向調(diào)度員下達(dá)執(zhí)行提示，TSRS再次拆分和轉(zhuǎn)換臨時(shí)限速命令，發(fā)送至對(duì)應(yīng)的TCC和RBC進(jìn)行臨時(shí)限速命令的執(zhí)行性檢驗(yàn)[17]。其中，TSRS與TCC之間的信息安全數(shù)據(jù)網(wǎng)出現(xiàn)發(fā)送信息錯(cuò)誤Send_IncorrectMess，狀態(tài)轉(zhuǎn)移到安全數(shù)據(jù)網(wǎng)故障狀態(tài)Safety_DataNetError；發(fā)送信息正常時(shí)Send_CorrectMess，狀態(tài)轉(zhuǎn)移到安全數(shù)據(jù)網(wǎng)正常狀態(tài)Safety_DataNetNor。不論是正常狀態(tài)還是故障狀態(tài)，都要將臨時(shí)限速命令發(fā)送給TCC進(jìn)行執(zhí)行性檢驗(yàn)。含有危險(xiǎn)致因的TSRS時(shí)間自動(dòng)機(jī)模型如圖5所示。

圖5 含有危險(xiǎn)致因的TSRS時(shí)間自動(dòng)機(jī)模型

1.3.2 含有危險(xiǎn)致因的TCC時(shí)間自動(dòng)機(jī)模型

在構(gòu)建含有危險(xiǎn)致因的TCC時(shí)間自動(dòng)機(jī)模型中，對(duì)臨時(shí)限速命令進(jìn)行有效性檢驗(yàn)，檢驗(yàn)成功后，將對(duì)臨時(shí)限速命令開(kāi)始執(zhí)行性檢驗(yàn)。其中，TSRS與TCC之間的信息安全數(shù)據(jù)網(wǎng)出現(xiàn)發(fā)送信息錯(cuò)誤Send_IncorrectMess，狀態(tài)轉(zhuǎn)移到安全數(shù)據(jù)網(wǎng)故障狀態(tài)Safety_DataNetError；發(fā)送信息正常時(shí)Send_CorrectMess，狀態(tài)轉(zhuǎn)移到安全數(shù)據(jù)網(wǎng)正常狀態(tài)Safety_DataNetNor。無(wú)論是正?；蚬收蠣顟B(tài)都要將命令發(fā)送給TCC進(jìn)行執(zhí)行檢驗(yàn)，若TCC未檢驗(yàn)出數(shù)據(jù)錯(cuò)誤仍實(shí)現(xiàn)檢驗(yàn)成功，則向TSRS返回TCC_exeSucc消息，此時(shí)當(dāng)TCC與LEU之間通信網(wǎng)絡(luò)受到干擾communica_Jam，那么狀態(tài)轉(zhuǎn)移到Communica_Error，接著TCC將發(fā)送錯(cuò)誤的臨時(shí)限速命令給車載設(shè)備。含有危險(xiǎn)致因的TCC時(shí)間自動(dòng)機(jī)模型如圖6所示。

圖6 含有危險(xiǎn)致因的TCC時(shí)間自動(dòng)機(jī)模型

2 遷移路徑自動(dòng)搜索算法

DFS用于搜索指定的頂點(diǎn)或是對(duì)圖進(jìn)行遍歷，是一個(gè)遞歸并伴有回退的過(guò)程[18-20]。

將時(shí)間自動(dòng)機(jī)模型的位置等價(jià)為有向圖的頂點(diǎn)，將時(shí)間自動(dòng)機(jī)模型的遷移路徑等價(jià)為有向圖的弧，可將時(shí)間自動(dòng)機(jī)模型等價(jià)為帶有自環(huán)弧的多重弧有向圖?；诖?，利用DFS，結(jié)合時(shí)間自動(dòng)機(jī)模型，提出基于DFS的遷移路徑自動(dòng)搜索算法。

基于DFS的遷移路徑自動(dòng)搜索是一個(gè)遞歸過(guò)程，基本思想為：從時(shí)間自動(dòng)機(jī)的起始位置開(kāi)始，訪問(wèn)尚未訪問(wèn)過(guò)的一條出發(fā)遷移，到達(dá)另一位置作為當(dāng)前位置，再訪問(wèn)當(dāng)前位置尚未訪問(wèn)過(guò)的一條出發(fā)遷移，重復(fù)上述過(guò)程，直到當(dāng)前位置不存在尚未訪問(wèn)過(guò)的出發(fā)遷移，則將當(dāng)前訪問(wèn)過(guò)的遷移作為一條遷移路徑；如果該路徑的某個(gè)遷移包含危險(xiǎn)致因因素，則將其作為一條結(jié)果遷移路徑；然后，從當(dāng)前位置去除一個(gè)遷移回退到上一個(gè)位置，將其作為當(dāng)前位置，繼續(xù)訪問(wèn)尚未訪問(wèn)過(guò)的出發(fā)遷移，直到所有的遷移全部被訪問(wèn)過(guò)，即得到結(jié)果遷移路徑集合?；贒FS的遷移路徑自動(dòng)搜索算法流程如圖7所示。

圖7 基于DFS的遷移路徑自動(dòng)搜索算法流程

基于DFS的遷移路徑自動(dòng)搜索的具體算法如下。

輸入：時(shí)間自動(dòng)機(jī)模型

輸出：遷移路徑集合

(1)定義已覆蓋遷移的集合coverSet，遷移路徑path和結(jié)果遷移路徑集合pathSet；

(2)令初始位置為location；

(3)DFS (location) ；

(4)if(存在未包含在coverSet中的location的出發(fā)遷移)；

(5)對(duì)于未被覆蓋的location的每條出發(fā)遷移transition；

(6)將transition加入到path末尾及coverSet中，并令path的末尾位置為location；

(7)DFS (location)；

(8)從path的尾部移除一個(gè)遷移；

(9)else若path中的某個(gè)遷移包含危險(xiǎn)致因因素，將當(dāng)前path添加到pathSet中；

(10) return pathSet。

3 系統(tǒng)位置遷移路徑自動(dòng)搜索工具軟件

Qt是一個(gè)跨平臺(tái)C++圖形用戶界面應(yīng)用程序開(kāi)發(fā)框架，基于DFS的遷移路徑自動(dòng)搜索算法，利用Qt實(shí)現(xiàn)遷移路徑生成工具軟件的開(kāi)發(fā)。工具軟件界面如圖8所示，包含兩個(gè)區(qū)域，左邊為用戶選擇區(qū)，供用戶選擇文件、模型及運(yùn)算算法等；右邊為結(jié)果輸出區(qū)，用于展示搜索出的遷移路徑。

圖8 位置遷移路徑生成工具

位置遷移路徑生成工具的原理流程為選擇xml文件，讀取模型，用DFS運(yùn)算路徑，按4個(gè)步驟輸出結(jié)果，如圖9所示。

圖9 工具的原理流程

4 危險(xiǎn)位置遷移路徑生成

選擇含有危險(xiǎn)致因的臨時(shí)限速模型的xml文件，讀取TSRS時(shí)間自動(dòng)機(jī)模型，得到DFS運(yùn)算的路徑共5條，如圖10所示。

圖10 含有危險(xiǎn)致因的TSRS的DFS算法路徑

選擇含有危險(xiǎn)致因的臨時(shí)限速模型的xml文件，讀取TCC時(shí)間自動(dòng)機(jī)模型，得到DFS運(yùn)算的路徑共5條，如圖11所示。

圖11 含有危險(xiǎn)致因的TCC的DFS算法路徑

5 風(fēng)險(xiǎn)耦合路徑的生成

通過(guò)第4章使用DFS算法，針對(duì)含有危險(xiǎn)致因的臨時(shí)限速場(chǎng)景時(shí)間自動(dòng)機(jī)模型進(jìn)行位置遷移路徑自動(dòng)搜索的結(jié)果得到的風(fēng)險(xiǎn)耦合路徑有兩條，如下所示。

路徑3：

Idle->order_to TCC？; T7:=0;->TCC_Test

TCC_Test->T7<=T_TCCreaction;TCC_testResult!;->TCC_TResult

TCC_TResult->TCC_returnSucc!;->verify_Succ

verify_Succ->Send_CorrectMess？;->Safety_ dataNetNor

Safety_dataNetNor->distribute_ToTCC？;T8:=0;->TCC_Execute

TCC_Execute->T8>T_TCCreaction;->verify_ Succ

verify_Succ->Send_IncorrectMess？;->Safety_ dataNetError

Safety_dataNetError->distribute_AbnToTCC？; T8:=0;->TCC_Execute

TCC_Execute->T8<=T_TCCreaction;TCC_exeResult!;->TCC_EResult

TCC_EResult->TCC_exeSucc!;->Execute_succ

Execute_succ->communica_Jam？;->Communica_Error

Communica_Error->error_To Tras!;->order_to Tras

order_to Tras->To Train？;->Tras_to Train

Tras_to Train->->Idle

在這條路徑中，TCC在激活驗(yàn)證成功后，TSRS與TCC之間的信息安全數(shù)據(jù)網(wǎng)出現(xiàn)發(fā)送信息錯(cuò)誤Send_IncorrectMess，狀態(tài)轉(zhuǎn)移到安全數(shù)據(jù)網(wǎng)故障狀態(tài)Safety_dataNetError，TCC收到異常的臨時(shí)限速執(zhí)行命令distribute_AbnToTCC；TCC進(jìn)行執(zhí)行性校驗(yàn)狀態(tài)，TCC校驗(yàn)完成后，由于TCC自身邏輯發(fā)生故障，向TSRS返回校驗(yàn)成功標(biāo)志TCC_exeSucc；與此同時(shí)，TCC與LEU之間受到通信干擾communica_Jam，TCC將錯(cuò)誤的臨時(shí)限速命令通過(guò)LEU發(fā)送給有源應(yīng)答器，且TSRS認(rèn)為目前正在執(zhí)行正確的臨時(shí)限速命令，對(duì)列控系統(tǒng)有非常大的安全隱患。此危險(xiǎn)是由TCC和TSRS之間安全數(shù)據(jù)網(wǎng)發(fā)送信息錯(cuò)誤，TCC自身邏輯發(fā)生故障，TCC與LEU之間受到通信干擾等3個(gè)危險(xiǎn)致因相互耦合作用下發(fā)生。

路徑4：

Idle->order_to TCC？; T7:=0;->TCC_Test

TCC_Test->T7<=T_TCCreaction;TCC_testResult!;->TCC_TResult

TCC_TResult->TCC_returnSucc!;->verify_Succ

verify_Succ->Send_CorrectMess？;->Safety_ dataNetNor

Safety_dataNetNor->distribute_ToTCC？;T8:=0;->TCC_Execute

TCC_Execute->T8>T_TCCreaction;->verify_ Succ

verify_Succ->Send_IncorrectMess？;->Safety_ dataNetError

Safety_dataNetError->distribute_AbnToTCC？; T8:=0;->TCC_Execute

TCC_Execute->T8<=T_TCCreaction;TCC_exeResult!;->TCC_EResult

TCC_EResult->TCC_exeSucc!;->Execute_succ

Execute_succ->communica_notJam？;->Communica_Norm

Communica_Norm->To Tras!;->order_to Tras

在這條路徑中，TCC在激活驗(yàn)證成功后，TSRS與TCC之間的信息安全數(shù)據(jù)網(wǎng)出現(xiàn)發(fā)送信息錯(cuò)誤Send_IncorrectMess，狀態(tài)轉(zhuǎn)移到安全數(shù)據(jù)網(wǎng)故障狀態(tài)Safety_dataNetError，TCC收到異常的臨時(shí)限速執(zhí)行命令distribute_AbnToTCC；TCC進(jìn)行執(zhí)行性校驗(yàn)狀態(tài)，TCC校驗(yàn)完成后，由于TCC自身邏輯發(fā)生故障，向TSRS返回校驗(yàn)成功標(biāo)志TCC_exeSucc；雖然此時(shí)TCC與LEU之間通信未受到干擾communica_notJam，TCC依舊將異常的臨時(shí)限速命令distribute_AbnToTCC通過(guò)LEU發(fā)送給有源應(yīng)答器，且TSRS認(rèn)為目前正在執(zhí)行正確的臨時(shí)限速命令，對(duì)列控系統(tǒng)有非常大的安全隱患。此危險(xiǎn)是由TCC和TSRS之間安全數(shù)據(jù)網(wǎng)發(fā)送信息錯(cuò)誤，TCC自身邏輯發(fā)生故障兩個(gè)危險(xiǎn)致因相互耦合作用下發(fā)生。

6 結(jié)論

綜合運(yùn)用STPA危險(xiǎn)分析方法和時(shí)間自動(dòng)機(jī)理論，結(jié)合深度優(yōu)先搜索算法，提出了列控運(yùn)營(yíng)場(chǎng)景風(fēng)險(xiǎn)耦合路徑自動(dòng)搜索方法。以列控系統(tǒng)臨時(shí)限速場(chǎng)景為研究對(duì)象，對(duì)含有危險(xiǎn)致因因素的臨時(shí)限速場(chǎng)景時(shí)間自動(dòng)機(jī)模型進(jìn)行系統(tǒng)位置遷移路徑自動(dòng)搜索，最終得到列控系統(tǒng)臨時(shí)限速場(chǎng)景風(fēng)險(xiǎn)耦合路徑。該研究有助于深入揭示列控系統(tǒng)復(fù)雜的危險(xiǎn)致因機(jī)理，為風(fēng)險(xiǎn)預(yù)警及安全管控提供科學(xué)支撐，對(duì)于提高列控系統(tǒng)的運(yùn)營(yíng)安全性、保障高速鐵路行車安全具有重要的理論意義和應(yīng)用價(jià)值。