孫 超

（中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 標(biāo)準(zhǔn)計(jì)量研究所，北京 100081）

基于通信的列車運(yùn)行控制（CBTC ，Communication Based Train Control）系統(tǒng)目前在我國(guó)城市軌道交通中廣泛應(yīng)用。為了提高CBTC 的可靠性，降低其生命周期成本，下一代列車運(yùn)行控制（NGTC， Next Generation Train Control）系統(tǒng)已經(jīng)逐步被開發(fā)出來(lái)。NGTC 簡(jiǎn)化了信號(hào)系統(tǒng)，將聯(lián)鎖和軌旁列車自動(dòng)防護(hù)系統(tǒng)（ATP ，Automatic Train Protection）的功能融合到智能車載控制器（VOBC ，Vehicle OnBoard Controller）中，直接控制軌旁設(shè)備，通過(guò)列車間無(wú)線通信提供安全的列車間隔。

作為安全苛求系統(tǒng)，必須確保當(dāng)前的安全等級(jí)至少不會(huì)降低[1]。但是由于NGTC 的復(fù)雜性，傳統(tǒng)的安全分析很難為其定義合適的安全需求，與此同時(shí)，NGTC 中大部分的安全功能都是通過(guò)軟件實(shí)現(xiàn)的，各個(gè)子系統(tǒng)之間的相互作用也是緊密耦合的。因此，需要一種新的安全分析方法來(lái)保證系統(tǒng)的安全，除了減少部件故障引起的潛在事故，還要減少由于子系統(tǒng)之間不安全的交互而引起的潛在事故。

系統(tǒng)理論過(guò)程分析（STPA ，System-Theory Process Analysis）方法由Nancy Leveson 教授提出，是一種基于系統(tǒng)論而非可靠性理論的風(fēng)險(xiǎn)分析方法。STPA 認(rèn)為，事故的根本原因是復(fù)雜的過(guò)程導(dǎo)致系統(tǒng)的控制行為違反了應(yīng)有的安全約束，因而將安全問(wèn)題作為控制問(wèn)題來(lái)處理，由此能夠辨識(shí)系統(tǒng)由于設(shè)計(jì)錯(cuò)誤和子系統(tǒng)之間非正常交互導(dǎo)致的事故，及其致因場(chǎng)景，同時(shí)STPA 能夠在系統(tǒng)設(shè)計(jì)的初期即可開始進(jìn)行安全分析，能夠與系統(tǒng)的設(shè)計(jì)迭代進(jìn)行，為軟件密集型分布式系統(tǒng)的設(shè)計(jì)過(guò)程提供安全指導(dǎo)，通過(guò)提出充分的安全約束對(duì)可能存在的危險(xiǎn)進(jìn)行消除或控制，從而保證系統(tǒng)的安全。STPA 已經(jīng)成功應(yīng)用于多種安全苛求系統(tǒng)的分析，涉及航空航天、國(guó)防工業(yè)、交通運(yùn)輸、化學(xué)工業(yè)和醫(yī)藥生成等多種領(lǐng)域[2]。

文章簡(jiǎn)要介紹了NGTC 系統(tǒng)的總體結(jié)構(gòu)和運(yùn)行環(huán)境，研究了STPA 在NGTC 系統(tǒng)安全設(shè)計(jì)中的具體應(yīng)用，分析了NGTC 系統(tǒng)潛在的危害和相應(yīng)的致因場(chǎng)景，提出了系統(tǒng)設(shè)計(jì)的安全約束。通過(guò)將STPA對(duì)NGTC 的分析結(jié)果與CBTC 系統(tǒng)進(jìn)行對(duì)比，表明NGTC 系統(tǒng)的安全性得到了提高，證明了STPA 在列車運(yùn)行控制系統(tǒng)安全性分析中的可用性。

1 STPA方法概述

1.1 STPA產(chǎn)生背景

為了解決現(xiàn)代復(fù)雜系統(tǒng)的安全分析問(wèn)題，STPA方法在2011 年被提出，用來(lái)指導(dǎo)軟件密集型系統(tǒng)的安全分析。STPA 認(rèn)為，發(fā)生事故的本質(zhì)是系統(tǒng)的復(fù)雜過(guò)程導(dǎo)致系統(tǒng)的控制行為違反了適當(dāng)?shù)陌踩s束。因此，安全問(wèn)題的核心是提出并實(shí)施安全約束。STPA 將安全問(wèn)題看作控制問(wèn)題，采用閉環(huán)控制結(jié)構(gòu)來(lái)描述系統(tǒng)的行為，閉環(huán)控制系統(tǒng)是由相互作用的部件組成的，如圖1 所示。

圖1 系統(tǒng)控制框圖

1.2 STPA分析過(guò)程

根據(jù)系統(tǒng)存在的風(fēng)險(xiǎn)和初步的設(shè)計(jì)方案，通常認(rèn)為在高風(fēng)險(xiǎn)狀態(tài)的動(dòng)態(tài)遷移過(guò)程中，STPA 可以在系統(tǒng)設(shè)計(jì)的初期與系統(tǒng)設(shè)計(jì)同步迭代進(jìn)行。它可以辨識(shí)不安全的行為，例如人為錯(cuò)誤、控制算法、過(guò)程模型、組件之間的交互和導(dǎo)向危險(xiǎn)場(chǎng)景。在引導(dǎo)詞的幫助下，通過(guò)自上而下的方式在系統(tǒng)設(shè)計(jì)過(guò)程中提出安全約束，消除或控制危害，如圖2 所示所示。STPA 的安全分析過(guò)程可以通過(guò)以下兩個(gè)步驟來(lái)完成：（1）辨識(shí)不安全的控制行為；（2）辨識(shí)不安全控制行為的潛在致因場(chǎng)景[3]。

圖2 致因場(chǎng)景辨識(shí)的通用引導(dǎo)詞

2 NGTC系統(tǒng)結(jié)構(gòu)及安全分析方法應(yīng)用

2.1 NGTC系統(tǒng)結(jié)構(gòu)

CBTC 系統(tǒng)的缺點(diǎn)是系統(tǒng)結(jié)構(gòu)過(guò)于復(fù)雜，子系統(tǒng)過(guò)多，子系統(tǒng)之間的交互過(guò)于頻繁。大量的軌旁設(shè)備使系統(tǒng)施工、運(yùn)行和維護(hù)的成本都很高。只有在一些特定線路（例如：需要高密度、低成本和較少維護(hù)的通勤線路）使用CBTC 系統(tǒng)才可能具有較低的成本，因此，NGTC 系統(tǒng)應(yīng)運(yùn)而生。

NGTC 系統(tǒng)由車載控制器（VOBC ，Vehicle On Board Controller）、目標(biāo)控制器（OC ，Object Controller） 和列車自動(dòng)監(jiān)控（ATS ，Automatic Train Supervisor）3 部分組成，每一部分都可以通過(guò)無(wú)線鏈路直接進(jìn)行通信，使列車的運(yùn)行更加安全高效，提高了鐵路服務(wù)的質(zhì)量[4]。NGTC 系統(tǒng)的基本原理圖，如圖3 所示。

2.2 安全分析方法在NGTC中的應(yīng)用

NGTC 系統(tǒng)是典型的軟件密集型復(fù)雜社會(huì)技術(shù)系統(tǒng)，因此，軟件在系統(tǒng)中發(fā)揮著越來(lái)越重要的作用。由軟件引起的事故是大多數(shù)由于規(guī)范錯(cuò)誤或系統(tǒng)之間不受控的交互導(dǎo)致，而不是系統(tǒng)的組件故障導(dǎo)致。軟件系統(tǒng)的靈活性和邏輯復(fù)雜性使得傳統(tǒng)的安全工程技術(shù)難以通過(guò)冗余構(gòu)件來(lái)提高系統(tǒng)的安全性[5]。因此，需要一種新的安全分析方法來(lái)辨識(shí)系統(tǒng)中與軟件有關(guān)的危害及其導(dǎo)致的場(chǎng)景，提出并實(shí)施足夠的安全約束[3]。

圖3 NGTC系統(tǒng)結(jié)構(gòu)和原理示意圖

列車運(yùn)行控制系統(tǒng)的核心功能是保障列車安全高效運(yùn)行。通過(guò)車車通信保持列車之間安全的運(yùn)行間隔，通過(guò)計(jì)算列車移動(dòng)授權(quán)（MA，Movement Authority）分配鐵路線路上各區(qū)段的使用權(quán)限。

盡管STPA 已經(jīng)在許多領(lǐng)域得到應(yīng)用[6]，但是作為一種相對(duì)較新的技術(shù)，應(yīng)用于列車運(yùn)行控制系統(tǒng)方面的經(jīng)驗(yàn)依然較少。根據(jù)NGTC 的原理，本文基于SPTA 的安全分析方法，從系統(tǒng)邊界的定義開始，辨識(shí)系統(tǒng)級(jí)的事故和危害，構(gòu)建層次化的安全控制結(jié)構(gòu)，找出潛在的非安全控制行為（UCA ，Unsafe Control Action）及其會(huì)導(dǎo)致的場(chǎng)景，根據(jù)分析的過(guò)程生成并改進(jìn)相應(yīng)的安全約束[7]。

3 基于STPA的NGTC系統(tǒng)安全分析過(guò)程

基于STPA 的NGTC 系統(tǒng)安全分析過(guò)程，如圖4 所示。

圖4 基于STPA的NGTC系統(tǒng)安全分析過(guò)程

3.1 辨識(shí)系統(tǒng)危害，初步定義安全約束

系統(tǒng)安全工作的目標(biāo)是消除或控制危險(xiǎn)，防止出現(xiàn)事故或使損失降低到可接受的風(fēng)險(xiǎn)水平。NGTC系統(tǒng)主要是防止行車安全相關(guān)的事故，如表1 所示。

表1 不期望的行車事故列表

根據(jù)既有的系統(tǒng)知識(shí)和經(jīng)驗(yàn)，能夠?qū)е律鲜鍪鹿拾l(fā)生的系統(tǒng)危害，如表2 所示。

表2 系統(tǒng)危害

通過(guò)對(duì)危險(xiǎn)進(jìn)行控制可避免事故的發(fā)生，據(jù)此可初步定義安全約束，如表3 所示。

表3 初步定義的安全約束

3.2 建立分層的控制結(jié)構(gòu)

系統(tǒng)分層控制結(jié)構(gòu)依據(jù)系統(tǒng)的功能邏輯而確定，而非物理結(jié)構(gòu)圖，因而在系統(tǒng)設(shè)計(jì)初期即可進(jìn)行安全分析。NGTC 系統(tǒng)分層控制結(jié)構(gòu)，如圖5 所示。

圖5 NGTC系統(tǒng)的分層控制結(jié)構(gòu)

3.3 辨識(shí)不安全的控制行為，細(xì)化安全約束

軟件本身并不會(huì)直接導(dǎo)致?lián)p失或傷害，但可能通過(guò)錯(cuò)誤的控制行為使設(shè)備出現(xiàn)錯(cuò)誤動(dòng)作或誤導(dǎo)操作人員，從而在特定的系統(tǒng)環(huán)境中導(dǎo)致事故的發(fā)生，因此軟件安全分析的重要工作是對(duì)所有潛在不安全控制行為的辨識(shí)，以此作為安全約束細(xì)化和分配的基礎(chǔ)。列車運(yùn)行控制系統(tǒng)通常將列車停車狀態(tài)作為其安全側(cè)，因此NGTC 的控制行為應(yīng)保證列車在危險(xiǎn)情況下導(dǎo)向或處于安全側(cè)，與之相反的控制行為則認(rèn)為是非安全的控制行為（UCA）。按照STPA 提供的引導(dǎo)詞對(duì)所有的控制行為進(jìn)行分析，即可辨識(shí)到不安全控制行為，并可據(jù)此細(xì)化安全約束。NGTC系統(tǒng)非安全控制行為辨識(shí)結(jié)果，如表4 所示。

表4 VOBC潛在的非安全控制行為

細(xì)化的安全約束，如表5 所示。

表5 細(xì)化的安全約束示例

3.4 辨識(shí)致因場(chǎng)景，分配安全約束

現(xiàn)代軟件密集型系統(tǒng)是通過(guò)相互作用的組件動(dòng)態(tài)交互構(gòu)成的，其危害僅在特定的上下文環(huán)境中會(huì)出現(xiàn)并導(dǎo)致事故的發(fā)生?；赟TPA 的安全分析過(guò)程的最后也是最重要的一步是找到UCA 的致因場(chǎng)景，并針對(duì)性的分配安全約束來(lái)消除或控制危害[8]。

危險(xiǎn)的致因場(chǎng)景可以分為兩類：（1）控制器提供了不安全的控制行為；（2）控制器未提供不安全的控制行為，但是受控過(guò)程的反饋未導(dǎo)向安全測(cè)。另外，某些系統(tǒng)本身可能是按照故障- 安全的原則設(shè)計(jì)和運(yùn)行的，但是該系統(tǒng)的消息在發(fā)送到其他系統(tǒng)時(shí)可能是非安全的。本文以NGTC 中列車未能及時(shí)執(zhí)行緊急制動(dòng)為例給出分析結(jié)果，如圖6 所示。

圖6 未及時(shí)執(zhí)行緊急制動(dòng)的場(chǎng)景分析示意圖

有了事故發(fā)生的場(chǎng)景，就可以細(xì)化和分配安全約束，保障列車運(yùn)行安全。例如，根據(jù)圖6 中紅色標(biāo)注的內(nèi)容導(dǎo)致的場(chǎng)景，可以將以下安全約束分配給VOBC ：

（1）后車的列車向前運(yùn)行能夠到達(dá)的最遠(yuǎn)的位置（MAL，Movement Authority Limit）不應(yīng)超過(guò)前車的列車退行能夠到達(dá)的最遠(yuǎn)的位置（MAO，Movement Authority Origin）；

（2）VOBC 應(yīng)確保列車在任何情況下都不會(huì)越過(guò)MAL 或MAO。

4 STPA分析結(jié)果與CBTC系統(tǒng)安全需求對(duì)比

將STPA 的分析結(jié)果與傳統(tǒng)CBTC 系統(tǒng)的安全需求進(jìn)行對(duì)比，可以發(fā)現(xiàn)STPA 不僅更加簡(jiǎn)單易用，而且可以發(fā)現(xiàn)傳統(tǒng)方法中容易遺留的一些問(wèn)題。雖然這些安全需求的實(shí)現(xiàn)并不復(fù)雜，但是在傳統(tǒng)的系統(tǒng)設(shè)計(jì)和安全分析方法中確實(shí)沒(méi)有得到足夠的重視。

4.1 案例選取

以圖6 為例，有2 個(gè)值得注意的致因場(chǎng)景是：（1）MA 與其他列車的MA 發(fā)生沖突；（2）緊急制動(dòng)曲線的計(jì)算不能保證列車不會(huì)超過(guò)MA 的范圍。通過(guò)對(duì)比可以發(fā)現(xiàn)，在傳統(tǒng)的CBTC 中，MA 的定義是：列車在給定的行駛方向上，進(jìn)入并通過(guò)軌道的特定區(qū)段的權(quán)限，MA 由CBTC 系統(tǒng)分配、監(jiān)督并執(zhí)行，以確保列車之間的安全間隔，并通過(guò)聯(lián)鎖提供防護(hù)。CBTC 強(qiáng)調(diào)了列車不能越過(guò)MAL, 但是對(duì)于列車在MA 范圍以內(nèi)退行可能到達(dá)的位置以及超速防護(hù)功能都沒(méi)有限制，而是使用退行防護(hù)功能對(duì)列車可能出現(xiàn)的與期望方向不符的運(yùn)行進(jìn)行防護(hù)，但是問(wèn)題是：

（1）沒(méi)有最大距離的限制，列車不能保證最終停車的位置。沒(méi)有規(guī)定列車退行后應(yīng)該做什么，因此沒(méi)有也定義停車后的最差位置。

（2）區(qū)域控制器（ZC，Zone Controller）發(fā)送給后車的MAL 考慮了前車位置的不確定性，但是沒(méi)有考慮前車可能發(fā)生的退行。

由于以上兩點(diǎn)，導(dǎo)致后車的MAL 包含了前車退行時(shí)可能運(yùn)行到的區(qū)域，存在一定的安全隱患。在傳統(tǒng)的CBTC 系統(tǒng)中，每個(gè)子系統(tǒng)都是單獨(dú)設(shè)計(jì)并運(yùn)行，雖然前車有退行防護(hù)功能，可以提供MAO，但是僅規(guī)定了 “如果列車的退行距離超過(guò)了容許的范圍，CBTC 系統(tǒng)將啟動(dòng)緊急制動(dòng)應(yīng)用”，沒(méi)有規(guī)定后續(xù)行為。通常情況下，如果列車在退行之后需要繼續(xù)向前運(yùn)行，則允許ATP 緩解緊急制動(dòng)，這意味著MA 的計(jì)算、超速防護(hù)、退行防護(hù)的功能需要同時(shí)考慮，以確保后車的MAL 不會(huì)越過(guò)前車的MAO, 而且兩列車都要確認(rèn)各自在兩個(gè)運(yùn)行方向上的位置不會(huì)超過(guò)MAO 與MAL 之間的MA 區(qū)域。

4.2 NGTC系統(tǒng)與CBTC系統(tǒng)對(duì)比分析

在現(xiàn)有的CBTC 系統(tǒng)規(guī)范中，沒(méi)有對(duì)退行防護(hù)的最大范圍進(jìn)行定義，只是建議在后車的安全制動(dòng)模型中考慮前車的制動(dòng)誤差，因此，這里有2 個(gè)問(wèn)題：

（1）后車不知道前車退行可能到達(dá)的最遠(yuǎn)位置；

（2）安全行車間隔只能確保后車不會(huì)越過(guò)自己的MAL，而不是前車的MAO。

在CBTC 系統(tǒng)的開發(fā)過(guò)程中，定義了列車的最大退行范圍，給出了MAO 的概念。但是由于提高行車效率和某些線路的設(shè)計(jì)要求等方面原因，在ZC 計(jì)算后車的MAL 時(shí)，不能保證這個(gè)MAL 的范圍在任何情況下都被看作是MAO。其中一個(gè)場(chǎng)景是，在列車出清道岔之后需要盡快搬動(dòng)道岔，因此需要假設(shè)列車不會(huì)退行到道岔區(qū)域。

通過(guò)以上分析可以看出，STPA 在NGTC 系統(tǒng)安全分析中可以發(fā)揮其優(yōu)勢(shì)。在系統(tǒng)概念階段即可進(jìn)行應(yīng)用，并且能夠從系統(tǒng)層設(shè)計(jì)方案和需要預(yù)防的事故入手，發(fā)現(xiàn)傳統(tǒng)的安全分析方法中難以發(fā)現(xiàn)的系統(tǒng)需求和接口設(shè)計(jì)中存在的危險(xiǎn)，具有適用性和有效性，同時(shí)，針對(duì)上述問(wèn)題，設(shè)計(jì)人員不難提出兼顧安全與效率的解決方案，例如：

（1）前車根據(jù)運(yùn)行狀態(tài)計(jì)算其可能的運(yùn)行范圍邊界（此處關(guān)心列車車尾的范圍），并將其作為MAO 發(fā)送給后車。

（2）前車通過(guò)超速防護(hù)或退行防護(hù)功能，保證其在任何情況下都不會(huì)越過(guò)MAO，除非得到后車的確認(rèn)，否則MAO 不會(huì)回撤。

（3）后車應(yīng)正確接收前車的MAO 信息，據(jù)此計(jì)算自己的MAL，保證后車的MAL 不超過(guò)前列車的MAO，并與前車保持一定的安全間隔余量。

（4）后車在MAL 的基礎(chǔ)上計(jì)算防護(hù)速度，實(shí)時(shí)監(jiān)控列車速度與緊急制動(dòng)曲線之間的關(guān)系，確保后車在任何情況下都不會(huì)越過(guò)MAL。

兩列列車通過(guò)以上的方式協(xié)同控制，可以有效避免相撞事故的發(fā)生。類似的，對(duì)于雙向行車的區(qū)域，列車在進(jìn)行MA 延伸時(shí)可能會(huì)導(dǎo)致交叉的MA，那么每列車在延伸MA 時(shí)必須得到另一列車的確認(rèn)和授權(quán)。由此可以看出NGTC 系統(tǒng)設(shè)計(jì)的安全性相比CBTC 系統(tǒng)有所改進(jìn)。

5 結(jié)束語(yǔ)

由于缺乏足夠的經(jīng)驗(yàn)和故障記錄數(shù)據(jù)來(lái)支持傳統(tǒng)的安全分析方法的應(yīng)用，因此需要一種新的安全分析方法對(duì)系統(tǒng)的設(shè)計(jì)過(guò)程進(jìn)行指導(dǎo)。本文將基于STPA 的安全分析方法應(yīng)用于NGTC，并通過(guò)具體的案例研究證明了該方法的適用性和有效性。該方法能夠從系統(tǒng)的概念階段就開始應(yīng)用，并通過(guò)自上而下的分析過(guò)程全面辨識(shí)系統(tǒng)危害及其致因場(chǎng)景，從而可以在系統(tǒng)設(shè)計(jì)過(guò)程中得到控制或消除這些危害，保證系統(tǒng)的安全性。限于篇幅，本文僅對(duì)典型的危害及其致因場(chǎng)景案例進(jìn)行了分析，下一步的研究重點(diǎn)是對(duì)NGTC 的全部行為進(jìn)行建模，并在基于STPA的安全分析法的指導(dǎo)下完成系統(tǒng)安全設(shè)計(jì)工作，進(jìn)一步驗(yàn)證該方法的有效性并根據(jù)列控系統(tǒng)的特點(diǎn)對(duì)其應(yīng)用過(guò)程進(jìn)行細(xì)化。