基于UML的高鐵列車運行控制系統危險識別方法研究

張洋 陶磊 劉宇輝 邱力博

摘要：隨著中國高速鐵路的發展，中國高鐵列車運行控制系統3級（CTCS-3）的安全性也備受關注。危險和可操作研究方法（HAZOP）是一種成熟有效的危險評價方法，基于統一建模語言（UML）順序圖能夠詳細直觀地描述系統中對象間按時間順序的完整交互過程。本文以CTCS-3車載子系統為例，將UML順序圖模型應用于HAZOP危險識別會議，提供直觀的信息幫助會議專家有效識別系統危險源和準確地評估系統安全性，會議備忘錄能夠幫助消除設計缺陷和制定相關安全措施避免危險發生。

關鍵詞：CTCS-3級列控系統? 危險識別? UML順序圖

中圖分類號：U293.5? ?文獻標識碼：A

中國高速鐵路的發展為中國經濟飛速發展注入新的動力，因此其安全性倍受到社會各界的關注。近十年來，控制技術和通信技術的發展帶動中國列車運行控制系統發展和CTCS-3級功能實現并應用到運營線路中，然而高速鐵路運行控制系統是復雜的社會-技術系統，由于危險識別技術卻發展滯后，會在全生命周期的運營維護階段產生動態的安全風險，需要業內投入更多的關注和研究，發現和消除系統中的安全隱患，避免嚴重事故的發生，保證系統更加安全、可靠為中國高速鐵路服務。

對CTCS-3系統進行危險識別分析，能夠描述清楚系統中所有危險問題所在，并能夠提供一系列的快速有效的解決方案。危險識別技術還能夠分析出設計和運行中潛在危險，幫助設計人員消除設計缺陷和制定相關措施避免危險發生。因此，危險識別技術能夠顯著提高CTCS-3系統的可靠性。本文主要以CTCS-3車載子系統作為研究對象說明如何基于UML順序圖進行危險識別的方法。

1 危險識別與UML順序圖

危險識別（危險源識別），識別系統中在一定觸發因素作用下導致系統處于危險側的部位、區域、場所、空間、崗位、設備及其位置，同時還要明確危險原因、危險發生過程、危險發生后影響范圍和危害程度。

危險和可操作研究（HAZOP）是從中間過程分析事故原因和結果的方法，能夠定性分析或定量評價的危險性進行評價，是一種有效的危險識別方法。

系統結構圖或者流程圖通常過于概略而不能發現潛在的危險，然而順序圖能夠詳細描述一個功能或事件進行的整個過程，順序圖還能夠詳細的層次化描述整個系統運行情況，以幫助人們發現系統潛在危險，這也正是采用順序圖的意義所在。UML建模通有助于軟件系統的定義、可視化、模型化，包括描述軟件架構和軟件設計過程，以滿足軟件系統所有的需求。UML順序圖能夠反映系統按照時間順序信息和行為交互過程，因此選擇UML順序圖進行危險識別能夠供直觀的信息幫助會議專家有效識別系統危險源和準確地評估系統安全性。

2 建立順序圖的過程

本章以CTCS-3車載子系統建立和取消臨時限速（Temporary speed restriction， TSR）命令為例，完整說明順序圖建立過程。

2.1 對研究系統UML建模

首先建立系統UML，狀態圖能表示系統運行的不同狀態和狀態間轉移關系，然后根據系統狀態圖建立系統運行各項功能執行的UML順序圖。CTCS-3車載子系統的所建立的模型狀態圖如圖1所示。

2.2 臨時限速（TSR）

臨時限速是線路固定速度以外定義的一種具有時效性的分級限速，通常應用在施工、維修、災害等場景。臨時限速由分散自律式調度集中系統（CTC）完成擬定臨時限速計劃調度命令內容、臨時限速的設置/取消。

調度員通過TSR終端制定好全線臨時限速內容，通過CTC授權后，將計劃上傳到TSRS服務器，TSRS儲存臨時限速計劃，校驗TSR命令后分發送到相關TCC、RBC執行;TCC系統負責控制應答器傳送相應的TSR信息給C2列車;R BC系統負責通過GSM-R傳送相應的TSR信息給C3列車;裝有ATP車載設備的列車收到TSR信息后，控制列車按限速要求運行。

2.3 建立TSR順序圖

通過分析列車完成TSR操作整個過程中CTCS-3車載子系統各模塊間交互的信息和命令來建立時序圖，建立的時序圖如圖1所示，描述了當列車收到TSR命令時車載子系統處理的過程。

無線移動終端MT（Mobile Terminal）收到RBC發送的TSR命令，然后傳輸到車載無線傳輸模塊RTM（Radio Transmission Module）。

RTM將TSR命令發送到C3控制單元C3-Ker（CTCS-3 Kernel unit）。

C3-ker負責處理TSR命令，通過查詢BTM、SDU獲取列車當前速度、位置，將TSR命令確認信息通過RTM、MT發送回RBC，輸出制動命令到TIU，并將TSR信息發送到DMI顯示。

TSR命令取消與上述過程相類似，

MT收到RBC發送的TSR取消命令，然后傳輸到車載無線傳輸模塊RTM。

RTM將TSR取消命令發送到C3-Ker。

C3-Ker處理完TSR取消命令后，并將TSR信息發送到DMI顯示，通過RTM和MT發回TSR取消確認到RBC。

3 順序圖正確性驗證

建模最重要的一個要素就是模型能夠正確地描述真實系統特性，模型是決定危險源識別重要依據，因此需要驗證模型的正確性，才能更加有效幫助危險源識別發現更多危險源。

順序圖建立模型需遵守建模標準。

建模過程中每一個行為都必須嚴格遵守CTCS-3標準和規范文檔，只有這樣才能夠最大程度建立貼近研究對象的模型。

危險識別會議中確認和完善順序圖。

順序圖的建立是危險識別會議的準備工作，完成順序圖建立等準備工作才可召開危險識別會議。但是危險辨別會議的前提需要專家反饋確認后的系統模型。所以，危險識別會議的專家成員明確會議內容后，首先需要對順序圖進行確認和完善。通過會議專家成員對順序圖確認和完善后，會議才可展開危險識別具體議題。

4危險識別過程

4.1 危險識別過程

引導詞選擇以及危險的描述。

會議主持人需要在每個行為的識別時，對識別范圍對所有成員進行說明。危險辨別會議過程中由主持人選擇合適的引導詞來引導專家辨別危險。比如“過多”這個引導詞表示在意圖之外的數量上過度的意思，適用于描述與物理量有關的情況。通過遍歷所有引導詞識別出存在的危險隱患，全部記錄并詳細描述辨別出的危險。

原因和結果分析。

對識別出危險需分析并記錄所有可能造成該危險的觸發條件。這些原因應當是邏輯“或” 的關系。

對識別出危險需分析并記錄該危險發生后，所有可能造成的結果或者事故。這些后果應當是邏輯“與”的關系。

風險矩陣定量分析。

危險識別結果采用風險矩陣形式對危險識別結果進行表述，能夠更加直觀說明危險的頻率和嚴重關系，幫助研究人員評估危險識別結果確定風險等級，估計危險發生的可能性，危險發生后對整個系統的影響，進而制定預防性措施。風險矩陣參照如表1所示。紅色風險等級為不可接受等級，黃色為合理可接受等級，綠色區域為風險可忽略等級。

預防性措施。

對于識別出的危險，專家應形成共識性的備忘錄，包含對危險的預防性建議和措施避免發生更嚴重的事故，所有措施應具有實際的可操作性，幫助委托危險識別的運營管理者或生產商降低風險等級。

4.2 TSR危險識別

通過4.1方法對TSR進行危險識別的結果如表2所示。從表中可以查看，“車載系統未返回確認信息到RBC或者返回錯誤信息”的風險等級為9，造成原因及產生的后果。

5 結語

近年來，中國鐵路和城市軌道交通飛速發展，同時伴隨的重大的事故需要業內深思和投入更多的精力建立中國鐵路科學系統的風險管理體系。列車運行控制系統是列車安全、可靠運行的保證，惟有通過科學有效的方法，幫助研發、設計、施工和運營單位發現工作中存在的安全隱患，解決和消除安全隱患，才能夠降低事故發生率，提高列車運行控制系統安全性、可靠性。

基于順序圖的危險識別能夠高效識別系統中安全隱患，與其他危險識別技術互補和完善國內危險識別理論，最終形成國內的《系統風險分析技術指南》、《鐵道信號系統危險辨別技術指南》、《風險管理與控制技術指南》，對指導我國鐵路信號系統的安全評估具有重要意義。