姜 楠

(北京全路通信信號研究設(shè)計院集團有限公司，北京 100070)

1 概述

我國鐵路行業(yè)正在經(jīng)歷飛速的發(fā)展，越來越多的高速鐵路開通，帶來鐵路運行速度、舒適性和列車密度的提升。國內(nèi)高速鐵路的運營里程已經(jīng)超過其他國家，并且還在不斷地增長。

伴隨著高速鐵路的建設(shè)和運營，鐵路信號設(shè)備也在向計算機化、信息化、多系統(tǒng)協(xié)同工作的方向發(fā)展。

中國高速鐵路的發(fā)展在實踐和工程中帶動和促進了世界高速鐵路技術(shù)的不斷發(fā)展，高速列車的商業(yè)運行速度迅速提高。旅行時間的節(jié)約，旅行條件的改善，旅行費用的降低，綠色環(huán)保出行理念的提升，使得高速鐵路在世界范圍內(nèi)呈現(xiàn)出蓬勃發(fā)展的強勁勢頭。

高速鐵路在中國以及世界范圍內(nèi)的快速發(fā)展，人們對高速鐵路認同程度不斷提高，同時對高速鐵路的安全性提出了期待和要求。參考民航飛機的安全性，自1970年起，飛機系統(tǒng)建立以1×10-9為特征的事故率標準。對于災(zāi)難性的事件，期望其發(fā)生的概率低于1×10-9時，認為是極不可能發(fā)生的。目前高速鐵路要求達到的安全目標，即不發(fā)生災(zāi)難性事件的概率，基本也是1×10-9數(shù)量級。

人們對安全的追求是沒有止境的，高速鐵路相關(guān)的安全標準和規(guī)范也隨著工程實踐而改進。本文本著防微杜漸的思想，結(jié)合信號控制系統(tǒng)設(shè)計、維護、調(diào)試中發(fā)現(xiàn)的一些問題，給出一些對安全性改進的建議和方法。

2 面臨的問題和挑戰(zhàn)

2.1 復雜性增加

高速鐵路信號系統(tǒng)已經(jīng)是一個復雜的系統(tǒng)，應(yīng)用了大量的計算機技術(shù)、軟件工程技術(shù)、通信信息技術(shù)。高速鐵路的信號系統(tǒng)由多個子系統(tǒng)構(gòu)成，如TCC子系統(tǒng)、ATP子系統(tǒng)、RBC子系統(tǒng)、CTC子系統(tǒng)。每個子系統(tǒng)都運行著復雜的軟件，有的子系統(tǒng)的代碼可能超過30萬行。這些子系統(tǒng)大部分是安全相關(guān)系統(tǒng)，承擔著保障鐵路安全運行的功能，如果安全功能失效，可能導致災(zāi)難性的后果。

GB/T 20438（IEC 61508）對于簡單安全相關(guān)系統(tǒng)有一個定義：一種安全相關(guān)系統(tǒng)，應(yīng)滿足兩個條件：

1) 已很好地確定了每個單獨部件的失效模式 ；

2) 能夠完全確定在故障狀態(tài)下系統(tǒng)的行為。

GB/T 20438同時給出一個簡單安全系統(tǒng)的舉例：一個或幾個限位開關(guān)，通過一些繼電器來切斷電機電源的系統(tǒng)。

對比簡單安全相關(guān)系統(tǒng)的定義，TCC、ATP等不能歸類為簡單安全相關(guān)系統(tǒng)，而是復雜的安全相關(guān)系統(tǒng)。根據(jù)簡單安全相關(guān)系統(tǒng)定義，可以推定，對于TCC、ATP等復雜安全相關(guān)系統(tǒng)：

1) 不能很好地確定每個單獨部件的失效模式 ；

2) 不能完全確定在故障狀態(tài)下系統(tǒng)的行為。

對于復雜系統(tǒng)，由于其失效模式難以一一確定，也難以完全確定在故障狀態(tài)下的行為，必然存在不確定性。尤其是對于系統(tǒng)性故障復雜軟件，現(xiàn)在還沒有好的方法來完全排除軟件中的錯誤，實現(xiàn)復雜的無錯軟件，這一點在EN 50128的引言中有如下描述。

目前，無論是質(zhì)量保證法（即避錯措施）還是軟件容錯法的應(yīng)用，都無法保證系統(tǒng)絕對安全。尚未發(fā)現(xiàn)一個可證明較復雜的安全相關(guān)軟件中不存在錯誤的方法，特別是規(guī)范和設(shè)計的錯誤。

如何減少系統(tǒng)性故障，尤其是軟件的錯誤，是高速鐵路信號控制系統(tǒng)面臨的一個挑戰(zhàn)。

2.2 信息隱藏

高速鐵路的發(fā)展，帶來大量的計算機化技術(shù)、通信和信息技術(shù)、大量復雜的軟件?，F(xiàn)代鐵路的信號系統(tǒng)，已經(jīng)由當初的硬接線繼電系統(tǒng)，發(fā)展為基于大規(guī)模集成電路、邏輯器件和處理器為基礎(chǔ)的電子系統(tǒng)。

基于處理器系統(tǒng)與硬接線繼電系統(tǒng)的一個明顯區(qū)別就是信息和邏輯的可視化程度完全不同。

基于硬接線的繼電系統(tǒng)，其電路和動作是完全可視的，所有接線對于設(shè)計人員、調(diào)試人員、維護人員等是公開的。對于聯(lián)鎖系統(tǒng)，繼電聯(lián)鎖的解鎖電路，最終用戶可以與電路設(shè)計人員一樣，了解所有的電路邏輯，根據(jù)電路和接線圖，推斷電路的檢查條件和動作特征。

基于處理器的電子系統(tǒng)，其內(nèi)部的數(shù)據(jù)流、邏輯流、控制流一般對外不可見，只能從系統(tǒng)邊界的輸入和輸出來推斷其內(nèi)部行為。除了設(shè)計人員，其他人員很難清楚內(nèi)部的處理邏輯、實現(xiàn)方式。在一定程度上，基于處理器的電子系統(tǒng)，內(nèi)部錯誤更難以發(fā)現(xiàn)。

2.3 多系統(tǒng)協(xié)同

現(xiàn)代高速鐵路系統(tǒng)是由多個系統(tǒng)協(xié)同工作的大系統(tǒng)，各子系統(tǒng)間具有復雜的信息流、每一個子系統(tǒng)需要根據(jù)來自其他子系統(tǒng)的信息配合，并與其他子系統(tǒng)配合輸出相應(yīng)的信息。

一個典型的CTCS-3信號控制系統(tǒng)中的信息數(shù)據(jù)流向，如圖1所示。由圖1可以看出，地面設(shè)備、軌旁設(shè)備、車載設(shè)備三者間有復雜的信息交互和數(shù)據(jù)流向；地面設(shè)備各子系統(tǒng)內(nèi)部間，也有著復雜的信息流。

以S5聯(lián)鎖子系統(tǒng)為例，流入的信息流有：CTC信息、TCC信息、站內(nèi)設(shè)備信息；流出的信息流有：CTC信息、TCC信息、站內(nèi)設(shè)備信息、RBC信息。各信息說明如表1所示。

這種多系統(tǒng)協(xié)同工作的大系統(tǒng)，面臨的共同問題是子系統(tǒng)間信息流的故障傳播，一個子系統(tǒng)信息流故障時如何抑制其傳播，以縮小有害影響。

在TR50506-2中，對故障傳播給出一個示例，如圖2所示。

圖1 CTCS信號系統(tǒng)數(shù)據(jù)流

在一個指定的功能單元（FU）內(nèi)的錯誤傳播（如內(nèi)部傳播）是由計算過程導致的：一個錯誤成功地演化成其他錯誤。

錯誤傳播從一個功能單元(i級)到另一個從i級功能單元接受服務(wù)的功能單元（i+1級）通過服務(wù)接口傳播發(fā)生。同時，i級功能單元提供給i+1級的服務(wù)錯誤，且隨后i+1級功能單元的故障看起來是i級功能單元的一個外部失效，并將錯誤傳播給了i+1級別的功能單元。

此處指的功能單元，可以是某個子系統(tǒng)，也可以是某個子系統(tǒng)內(nèi)部的一個模塊，失效傳播的機制是類似的。

2.4 單故障

從飛機系統(tǒng)安全性的發(fā)展來看，安全性的提升經(jīng)歷了以下幾個階段：

階段1：追求系統(tǒng)功能的完整性，沒有引入單故障概念；

表1 聯(lián)鎖系統(tǒng)與RBC交互信息

圖2 故障、錯誤和失效的產(chǎn)生以及表現(xiàn)機制的例子

階段2：完整性加上有限的設(shè)計特征選擇冗余，考慮單故障的故障率；

階段3：引入單故障概念，必須考慮災(zāi)難性單故障；

階段4：引入故障安全概念，考慮任一單故障加上任一可預知故障組合。使用FMEA，F(xiàn)HA，F(xiàn)TA進行風險分析。

借鑒飛機系統(tǒng)的安全性，結(jié)合鐵路信號設(shè)備運行的實踐情況來看，單故障在鐵路信號設(shè)備中可以引起巨大的危害，鐵路相關(guān)的標準，如EN 50129，明確提出了對單點隨機故障的防護要求，對于SIL3/SIL4系統(tǒng)，任何單一可能的隨機故障，不應(yīng)導致系統(tǒng)處于危險狀態(tài)，危及行車安全。

從鐵路信號設(shè)備的實際運營情況來看，相比單點隨機故障，系統(tǒng)性的單點故障頻率更高，產(chǎn)生的危害也更大。

3 安全性改進

有針對性地給出應(yīng)對系統(tǒng)高復雜性、信息隱藏、多系統(tǒng)協(xié)同工作和單故障的幾點改進研究方向。

3.1 形式化

形式化方法（Formal Methods）的基本含義是借助數(shù)學方法來研究計算機科學中的有關(guān)問題。

形式化方法提供一個框架，在框架中可以用數(shù)學的方式開發(fā)和驗證系統(tǒng)。

形式化方法在EN 50129和EN 50128中都有要求。由于軟件的錯誤都是系統(tǒng)性故障，沒有隨機性故障，所以在EN 50128中，多次出現(xiàn)對形式化方法的強烈推薦（HR）使用要求。

如在EN 50128中，表A.2軟件需求規(guī)范，采用形式化方法進行軟件需求描述，被強烈推薦使用。

對于形式化方法來說，由于其基于嚴格的數(shù)學，具有嚴格的語法和語義定義，從而可以準確地描述系統(tǒng)模型，排除矛盾、二義性、含糊性等情況；同時，在對系統(tǒng)進行嚴格描述的過程中，將會幫助用戶明確其原本模糊的需求，并發(fā)現(xiàn)用戶所陳述的需求中存在的矛盾等情況，從而相對完整、正確地理解用戶需求，最終得到一個完整、正確的系統(tǒng)模型。

形成完整的形式化模型后，則可以進行形式證明。

在EN 50128表A.5，如表2所示，驗證和測試中，形式證明技術(shù)在SIL3和SIL4等級中被強烈推薦使用。

表2 驗證和測試技術(shù)要求

形式證明的目標是使用理論模型、數(shù)學模型及規(guī)則，就有可能在程序不需要運行的條件下證明程序的正確性。

如PROVER公司提供針對鐵路信號領(lǐng)域的形式化證明工具。在根據(jù)要求編寫形式化設(shè)計規(guī)范、測試規(guī)范、安全規(guī)范后，可以證明軟件實現(xiàn)的正確性。由于形式化證明是基于數(shù)學的方法，其結(jié)果是嚴謹可信的。或者說在假設(shè)其前期規(guī)范正確的前提下，產(chǎn)生的軟件是無錯的。

法國在鐵路信號的形式化上應(yīng)用較多，如巴黎地鐵14號線的安全關(guān)鍵部分就采用形式化的開發(fā)和證明方法。

對于復雜的軟件，采用形式化方法開發(fā)、形式證明；或?qū)扔袀鹘y(tǒng)開發(fā)方法設(shè)計的復雜系統(tǒng)，采用形式化方法來對其驗證，或要求第三方采用形式化方法來進行獨立形式驗證，可能是復雜系統(tǒng)安全性提升的一個重點方向。

3.2 信息可視化

可視化是指將數(shù)據(jù)信息轉(zhuǎn)化為一種視覺形式，其充分利用人們對可視模式快速識別的自然能力?？梢暬瘜⑷四X與計算機這兩個最強大的信息處理系統(tǒng)聯(lián)系在一起?？梢暯缑婺軌蚋行У乇O(jiān)視、操作、過濾、對比與理解大規(guī)模數(shù)據(jù)，并與之方便交互，從而可以極其有效地發(fā)現(xiàn)隱藏在信息內(nèi)部的特征和規(guī)律。

可視化是一種計算方法，它把計算機使用的數(shù)字和代碼轉(zhuǎn)換成幾何信息，使外部人員可以觀看他們的計算邏輯和結(jié)果。

對于基于計算機的鐵路信號設(shè)備來說，數(shù)據(jù)信息的可視化，應(yīng)包括將安全相關(guān)運算和輸出結(jié)果信息以易于工程和操作人員理解、熟悉的圖形化形式直觀展示出來。

對于研發(fā)人員來說，關(guān)鍵信息的圖形化展示，每一個數(shù)據(jù)項作為單個圖元元素表示，大量的數(shù)據(jù)集構(gòu)成數(shù)據(jù)圖像，同時將數(shù)據(jù)的各個屬性值以多維數(shù)據(jù)的形式表示，可以從不同的維度觀察數(shù)據(jù)，從而對數(shù)據(jù)進行更深入的觀察和分析。

對于工程、調(diào)試、運營、維護人員來說，關(guān)鍵信息的圖形化展示，可以實時、全面地向使用人員交互設(shè)備狀態(tài)和輸出，作為圖形化信息的觀察者，可以方便、直觀地與自己的預期進行比較，更容易發(fā)現(xiàn)問題。

如聯(lián)鎖系統(tǒng)對于涉及行車安全的對外輸出信息，根據(jù)是否在人機界面進行顯示，說明如表3所示。

根據(jù)數(shù)據(jù)信息可視化原則，對于涉及行車安全的信息，應(yīng)在有人值守終端進行顯示，而不是只由最終使用該信息的系統(tǒng)進行處理和使用。

遵循信息可視化原則可以大大增加各個環(huán)節(jié)發(fā)現(xiàn)錯誤輸出的概率。

聯(lián)鎖形成的給RBC的SA信息應(yīng)與進路信息疊加顯示；CTC顯示RBC生成的行車許可延伸。當信息有誤時，操作人員有機會及時發(fā)現(xiàn)和盯防，在系統(tǒng)調(diào)試期間也容易發(fā)現(xiàn)異常。

表3 聯(lián)鎖輸出數(shù)據(jù)信息

如果所有安全信息輸出不能實現(xiàn)，至少在調(diào)試，測試、安裝階段，應(yīng)具備信息可視化的條件，使隱藏故障容易發(fā)現(xiàn)。

3.3 信息融合

多源信息融合(簡稱為信息融合)是指組合和合并多個來源的信息或數(shù)據(jù)以便形成一個統(tǒng)一結(jié)果的技術(shù)。它起源于軍事領(lǐng)域中的多傳感器綜合應(yīng)用，往往又叫多傳感器數(shù)據(jù)融合(或數(shù)據(jù)融合)。

信息融合是一種多層次、多方面的數(shù)據(jù)處理過程，對來自多個信息源的數(shù)據(jù)進行自動檢測、關(guān)聯(lián)、相關(guān)、估計及組合等處理。

對于高速鐵路信號控制系統(tǒng)這種多協(xié)作、多數(shù)據(jù)來源的大系統(tǒng)，有條件做信息融合處理。對于涉及行車安全的信息，當具備多信息融合的條件時，應(yīng)采用自監(jiān)督或相互監(jiān)督的機制，對多數(shù)據(jù)進行關(guān)聯(lián)、組合等處理，通過多數(shù)據(jù)源來提高安全性、同時防止錯誤的數(shù)據(jù)在子系統(tǒng)間有害傳播。

根據(jù)《鐵路車站計算機聯(lián)鎖安全原則》TB/T3482如下2條要求。

1） 來自其他安全系統(tǒng)的通信數(shù)據(jù)，如果經(jīng)安全校驗后數(shù)據(jù)出現(xiàn)非預期或矛盾的結(jié)果，計算機聯(lián)鎖系統(tǒng)應(yīng)采取安全措施。

推而廣之，所有安全相關(guān)的設(shè)備，作為信息使用方，可以在已有信息的基礎(chǔ)上根據(jù)冗余信息進行規(guī)則符合性校驗，避免單一信息出錯造成不可接受的安全后果。

某一信息接收方，當具有一致或相近信息含義的數(shù)據(jù)具有多個來源時，應(yīng)對多來源數(shù)據(jù)進行基于安全的一致性檢查。

2） 聯(lián)鎖軟件內(nèi)部同一設(shè)備狀態(tài)和運算結(jié)果，需要對外驅(qū)動以及給多個外部系統(tǒng)發(fā)送時，對外驅(qū)動以及給各系統(tǒng)發(fā)送的信息含義應(yīng)一致。

推而廣之，所有安全相關(guān)的設(shè)備，軟件應(yīng)采取技術(shù)手段檢查輸出的一致性。如車載可根據(jù)收到的C2和C3信息，進行基于安全的行車許可比較，提升系統(tǒng)安全性能。

3.4 單故障防御

EN 50129中對單故障的要求：當可識別的任何一種單一隨機硬件故障發(fā)生時，應(yīng)保證SIL3/SIL4的系統(tǒng)保持安全。

除單一故障外，還對多重故障的影響有要求：應(yīng)及時檢測可能直接造成危害或與繼發(fā)故障組合后造成危害的多重故障（例如兩重或三重故障），并且強制達到一個安全狀態(tài)。

另外，還要求進行共因失效分析，以確保多重故障只在多個隨機單一故障組合情況下發(fā)生，而不是一個共因故障的結(jié)果。

EN 50129中，對單一故障防御的要求是基于硬件隨機故障提出的，基于硬件的隨機故障，系統(tǒng)性故障則不可量化。比如軟件的實現(xiàn)錯誤，是通過一系列技術(shù)、質(zhì)量、安全管理的要求，來降低系統(tǒng)性故障發(fā)生的概率。

從另一個角度來說，EN 50129并沒有提出對系統(tǒng)性單一故障防御的要求。而是采取了與SIL等級對應(yīng)的技術(shù)和管理措施后，可以認為系統(tǒng)性故障發(fā)生的概率與硬件隨機性故障在一個量級上。

但是目前鐵路領(lǐng)域的信號系統(tǒng)，其規(guī)模、復雜度均已經(jīng)達到很高的水平，通過采取標準要求的技術(shù)和管理措施，從實踐來看，是否能同硬件隨機失效一樣，降低到可以忽略的水平，是一個值得商榷和進一步探討的問題。

正如EN 50129中B3.6中提到的系統(tǒng)性故障防護（人的設(shè)計錯誤，軟件錯誤）要求：除通過質(zhì)量和安全管理技術(shù)來減少人為錯誤的概率之外，還應(yīng)通過技術(shù)性措施，使即便存在一個危害性系統(tǒng)性故障，也應(yīng)最大程度地防止它產(chǎn)生不可接受的風險。不妨也在有條件時，適當考慮單一的系統(tǒng)性故障防御，如上文提到的多源數(shù)據(jù)校驗、信息可視化技術(shù)，從工程實踐的角度，提高鐵路信號設(shè)備的安全水平。

4 總結(jié)和展望

本文通過對高速鐵路信號系統(tǒng)的發(fā)展、面臨的問題和挑戰(zhàn)的分析，提出安全性改進的幾個可能的方向，希望能夠進一步提升中國高速鐵路信號系統(tǒng)的安全性，滿足人們安全、高效出行的要求。

[1]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 28808-2012 軌道交通 通信、信號和處理系統(tǒng)控制和防護系統(tǒng)軟件[S].北京：中國標準出版社，2013.

[2]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員.GB/T 28809-2012 軌道交通 通信、信號和處理系統(tǒng)信號用安全相關(guān)電子系統(tǒng)[S].北京：中國標準出版社，2013.

[3]國家鐵路局.TB/T 3482-2017 鐵路車站計算機聯(lián)鎖安全原則[S].北京：中國鐵道出版社，2017.

[4]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 20438.1-2006 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全[S].北京：中國標準出版社，2006.

[5]佘曉麗.協(xié)同交互失效分析方法及鐵路信號系統(tǒng)應(yīng)用[D].北京：清華大學，2016.

[6]英國標準學會.BS PD CLC/TR 50506-2-2009鐵路應(yīng)用-通信、信號和處理系統(tǒng)-50129應(yīng)用指導[S].英國標準學會，2009.

[7]呂毅.形式化方法介紹及其在工程中的應(yīng)用[J].微電子學與計算機,2003（10）：26-28.

[8]陳科文.多源信息融合關(guān)鍵問題、研究進展與新動向[J].計算機科學，2013（8）：6-8.