陳黎潔，黃銀霞，高 鶯，劉宏杰，孫 超

(1.中國鐵道科學(xué)研究院 標(biāo)準(zhǔn)計量研究所，北京 100081；2.中國鐵道科學(xué)研究院 研究生部，北京 100081；3.北京交通大學(xué) 列車運(yùn)行控制系統(tǒng)國家工程研究中心，北京 100044)

由于無線通信具有傳輸速率高、雙向傳輸、頻段開放、標(biāo)準(zhǔn)成熟等優(yōu)點(diǎn)，因此基于無線通信的列車控制系統(tǒng)(以下簡稱無線列控系統(tǒng))已經(jīng)成為了現(xiàn)代列控系統(tǒng)的發(fā)展方向。然而，由于無線通信系統(tǒng)本身又是一個開放透明的系統(tǒng)，因此存在重復(fù)、刪除、插入、亂序、惡化、延時以及偽裝等安全隱患，影響無線列控系統(tǒng)的安全。故此為保證數(shù)據(jù)傳輸?shù)陌踩?，需要在無線通信系統(tǒng)之上增加1個安全通信協(xié)議[1]。安全通信協(xié)議運(yùn)行于無線列控系統(tǒng)車載和軌旁終端設(shè)備的應(yīng)用層與無線通信系統(tǒng)之間，通過安全傳輸?shù)南崿F(xiàn)安全通信[2]。

很長一段時間，國內(nèi)外的學(xué)者均是通過形式化驗證的方法分析安全通信協(xié)議的性能。例如，Ansaldo Segnalamento Ferroviario利用UML狀態(tài)圖對歐洲列車運(yùn)行控制系統(tǒng)(European Train Control System，ETCS)的安全通信協(xié)議進(jìn)行定性的安全分析，驗證了該協(xié)議是安全的[3]。Jae-Ho Lee等通過形式化驗證對韓國鐵路信號系統(tǒng)安全通信協(xié)議的安全性和活性進(jìn)行了證明[4]；然后又通過形式化驗證對韓國鐵路信號系統(tǒng)安全通信協(xié)議的死鎖、活鎖、可達(dá)等特性是否滿足規(guī)范進(jìn)行檢查[5-6]。

由上述用形式化驗證方法得到的驗證結(jié)果通常以“能”或“不能”、“是”或“不是”這樣的布爾型開關(guān)量表示，即給出的結(jié)果往往是定性而不是定量的，并且驗證的是安全通信協(xié)議的功能。然而，無線列控系統(tǒng)的安全通信協(xié)議是運(yùn)行在無線通信環(huán)境中的，會由于無線通信系統(tǒng)的隨機(jī)特性而導(dǎo)致安全通信協(xié)議中的某些變量也具有隨機(jī)特征，這就要求對安全通信協(xié)議除了進(jìn)行功能方面的驗證還需要進(jìn)行性能方面的驗證。在傳統(tǒng)的對安全通信協(xié)議的性能評價中，以安全性為例，評價人員通過現(xiàn)場試驗檢查試驗結(jié)果與相關(guān)的標(biāo)準(zhǔn)或技術(shù)規(guī)范是否一致，如果一致就得出“安全”的結(jié)論，不一致就得出“不安全”的結(jié)論，但這樣的評價結(jié)果也同樣是定性的，而且由于不同的評價人對安全通信協(xié)議的評價標(biāo)準(zhǔn)或技術(shù)規(guī)范有不同的理解，并且現(xiàn)場試驗也不可能模擬出所有的運(yùn)營場景。在這樣的背景下，本文采用仿真的方法盡可能多地模擬出安全通信協(xié)議可能的運(yùn)營場景，以得到有關(guān)安全通信協(xié)議性能的仿真結(jié)果，并據(jù)此研究制定安全通信協(xié)議的性能評價規(guī)則，使得對安全通信協(xié)議性能的評價更全面。

決策論[7-10]是在概率論的基礎(chǔ)上發(fā)展起來的，是概率論、統(tǒng)計判定理論和對策理論結(jié)合的產(chǎn)物，能夠以概率的形式表示系統(tǒng)的隨機(jī)性，而且決策論中的概念格方法已被廣泛用于研究系統(tǒng)性能評價規(guī)則的建立[11-12]。因此，本文基于利用有色Petri網(wǎng)模型對列車運(yùn)行控制系統(tǒng)安全通信協(xié)議進(jìn)行的仿真結(jié)果[13-15]，進(jìn)一步采用概念格方法對安全通信協(xié)議性能方面的數(shù)據(jù)(包括建立安全鏈接需要的時間和傳輸信息需要的時間)進(jìn)行分析，制定安全通信協(xié)議性能的評價規(guī)則，用于判斷協(xié)議是否安全；結(jié)合北京亦莊線地鐵安全通信協(xié)議開發(fā)人員提供的經(jīng)驗數(shù)據(jù)，采用D—S(Dempster—Shafer)理論[16]對安全通信協(xié)議性能評價結(jié)果的不確定性進(jìn)行分析，驗證所提出安全協(xié)議性能評價規(guī)則的可行性。列控系統(tǒng)安全通信協(xié)議性能評價規(guī)則制定的流程如圖1所示。

圖1 列控系統(tǒng)安全通信協(xié)議性能評價規(guī)則制定流程

1 有色Petri網(wǎng)模型的建立

由有關(guān)列控系統(tǒng)安全通信協(xié)議規(guī)范[2]可知，因為信息的發(fā)送、接收和分析均要根據(jù)當(dāng)前鏈路的狀態(tài)進(jìn)行，所以通信鏈路的狀態(tài)是安全通信協(xié)議的基礎(chǔ)。根據(jù)安全通信協(xié)議規(guī)范定義安全通信協(xié)議的狀態(tài)轉(zhuǎn)移圖，如圖2所示，它體現(xiàn)了通信鏈路的邏輯、產(chǎn)生的事件和相應(yīng)的動作[2]。

有色Petri網(wǎng)是典型的形式化分析工具，它用庫所、變遷和弧的連接關(guān)系表示系統(tǒng)的靜態(tài)結(jié)構(gòu)，用變遷的觸發(fā)和令牌的移動表示系統(tǒng)的動態(tài)行為。因此，在構(gòu)建安全通信協(xié)議的有色Petri網(wǎng)模型時，遵循以下要求。

圖2 安全通信協(xié)議的狀態(tài)轉(zhuǎn)移圖

(1)模塊化建模。

(2)由于建立安全鏈接需要的時間(以下簡稱為安全鏈接建立時間)和傳輸信息需要的時間(以下簡稱為信息傳輸時間)是反映安全通信協(xié)議性能的重要指標(biāo)，所以建立計時器模型(見圖3)以記錄這些時間。

圖3 計時器模型

(3)因為安全通信協(xié)議運(yùn)行于無線通信系統(tǒng)之上，即無線通信系統(tǒng)為安全通信協(xié)議提供了運(yùn)行環(huán)境，所以可將無線通信系統(tǒng)簡化為包含正常和失效2種狀態(tài)的信道。

根據(jù)圖2，以建立車載安全通信協(xié)議安全鏈接建立階段的邏輯模型(見圖4)為例，簡單介紹有色Petri網(wǎng)模型的建立。圖2中，初始情況下安全通信協(xié)議的狀態(tài)為IDLE，即Petri網(wǎng)模型的庫所ConStatus中有1個令牌IDLE，表示為1′IDLE，當(dāng)安全通信協(xié)議收到列車發(fā)送的消息(Sa-CONN.request+AUl SaPDU)時，狀態(tài)轉(zhuǎn)換至WFTC，同時發(fā)送消息(T-CONN.request+AUl SaPDU)至信道，因此對應(yīng)圖2，圖3中當(dāng)庫所AppToTrain接收到變遷TminApp發(fā)送的令牌(SaCONNReq，AUl)時，變遷IDLE激發(fā)使安全通信協(xié)議的狀態(tài)轉(zhuǎn)換和消息發(fā)送這2個動作并發(fā)執(zhí)行。其余的狀態(tài)轉(zhuǎn)換以及消息發(fā)送接收的并發(fā)關(guān)系可以依次類推。

圖4 車載安全通信協(xié)議安全鏈接建立階段的邏輯模型

2 安全通信協(xié)議性能評價規(guī)則的制定

在文獻(xiàn)[13—15]中，為消除單次試驗中的偏差，采用給出的Petri網(wǎng)模型共進(jìn)行了20組仿真試驗，每組仿真試驗均進(jìn)行了10 000次獨(dú)立的仿真計算。圖5和圖6分別為某組仿真試驗中得到的安全鏈接建立時間和信息傳輸時間的歷程圖。

圖5 安全鏈接建立時間

為了制定安全通信協(xié)議的性能評價規(guī)則，并分析評價人員使用評價規(guī)則后所得出評價結(jié)果的不確定性，從文獻(xiàn)[13—15]仿真得到的安全鏈接建立時間數(shù)據(jù)和信息傳輸時間數(shù)據(jù)中選取其中的10組數(shù)據(jù)，用概念格方法對其進(jìn)行分析。

圖6 信息傳輸時間

在概念格方法中定義(U,A,I)為1個形式背景，其中U={xi|i=1,2,…,n}為對象集，A={aj|j=1,2,…,m}為屬性集，I為U和A之間的二元關(guān)系，I?U×A；若(xi,aj)∈I，則表示xi具有屬性aj，記為xiIaj。本文用1表示(xi,aj)∈I，用0表示(xi,aj)?I，則這樣的形式背景可以用0和1形式的表格表示。

在CTCS-3級列控系統(tǒng)總體技術(shù)方案[17]中規(guī)定：如果安全鏈接建立時間大于10 s，則認(rèn)為建立安全鏈接失敗，并且建立安全鏈接的失敗概率不能大于10-2；信息傳輸時間可接受范圍為15～20 s，如果信息傳輸時間小于15 s，則認(rèn)為傳輸?shù)男畔⒕哂袝r效性。按此規(guī)定對安全通信協(xié)議的安全性進(jìn)行分析，會出現(xiàn)2種不確定的情況。①某次試驗雖然成功建立了安全鏈接(即安全鏈接建立時間未超過10 s)，但是含該次試驗在內(nèi)的1組試驗中其建立安全鏈的失敗概率大于10-2，則無從判斷安全通信協(xié)議是否安全，即安全通信協(xié)議的安全性未知；②信息傳輸時間處于15～20 s之間時，傳輸?shù)男畔⑹欠窬哂袝r效性也是未知的(定義當(dāng)信息傳輸時間大于20 s時傳輸?shù)男畔⒉痪哂袝r效性)。

根據(jù)上述概念格法對形式背景方式的定義，針對文獻(xiàn)[17]分析安全通信協(xié)議時存在的安全不確定性問題，首先結(jié)合選取的10組仿真數(shù)據(jù)，計算成功建立安全鏈接的概率和信息傳輸具有時效性的概率，然后將安全通信協(xié)議的安全性視為對象，將“安全”、“未知”、“不安全”定義為安全通信協(xié)議安全性的屬性，根據(jù)成功建立安全鏈接的概率和信息傳輸具有時效性的概率，并參考北京地鐵亦莊線安全通信協(xié)議開發(fā)人員的開發(fā)經(jīng)驗，對各屬性發(fā)生的概率進(jìn)行賦值，從而得到這10組數(shù)據(jù)的形式背景，見表1。以表1中第1行為例，如果在第1組試驗中成功建立安全鏈接的概率是0.997 6，信息具有時效性的概率是0.984 2，則評價人員可以認(rèn)為安全通信協(xié)議是安全的概率為0.9，還有0.1的概率不確定其是否安全。

表1 形式背景

表2 形式背景簡化

通過表2，得出對角矩陣Λ和形式背景矩陣B分別為

(1)

(2)

由式H=BΛB′得出

(3)

定義：設(shè)(U,A,I)為形式背景，如果1個二元組(X,C)滿足X′=C，且X=C′，則(X,C)是一個形式概念，簡稱概念。X是概念的外延，C是概念的內(nèi)涵。

形式背景(U,A,I)的概念可以用超概念與子概念的關(guān)系來定義它們之間的序關(guān)系，即

(X1,C1)≤(X2,C2)?X1?X2(?C1?C2)

則(U,A,I)的所有概念的偏序集可記為L(U,A,I)，稱為概念格。

根據(jù)上述定義，在矩陣H的基礎(chǔ)上可以得出表2表示的形式背景的概念，如(12，ace)，(34，acf)，(78，bdf)等?；?個形式背景，可以用圖形化的方式表示各概念之間的連接關(guān)系。對于2個概念節(jié)點(diǎn)，可以用概念關(guān)系弧表示概念節(jié)點(diǎn)之間的關(guān)系，由概念節(jié)點(diǎn)和概念關(guān)系弧表示的圖稱為哈希圖。用哈希圖表示完整的概念格的步驟如下。

(1)初始化概念格，使其包含形式背景中所有的對象，從而建立基本概念為(U，φ)的根節(jié)點(diǎn)。

(2)相對于根節(jié)點(diǎn)，通過減少對象數(shù)即增加屬性數(shù)加入新的節(jié)點(diǎn)。這樣，根節(jié)點(diǎn)就為新節(jié)點(diǎn)的父節(jié)點(diǎn)，新節(jié)點(diǎn)為根節(jié)點(diǎn)的子節(jié)點(diǎn)；然后，將所獲得的新節(jié)點(diǎn)與其父節(jié)點(diǎn)相連，建立連接弧。

(3)與上步相同，再次通過減少對象數(shù)建立新的節(jié)點(diǎn)，并將其與它的上一層父節(jié)點(diǎn)相連，建立連接弧。

(4)檢查該概念格是否包括了形式背景中所有的屬性；若否，轉(zhuǎn)步驟(3)；若是，建立最下層的基本概念(φ，A)，哈希圖表示的概念格建立完成。

根據(jù)矩陣H中的概念，用哈希圖得出的1個完整的概念格，如圖7所示，每個概念在圖中都對應(yīng)著1個節(jié)點(diǎn)，并且每個節(jié)點(diǎn)都有相應(yīng)的編號。

圖7 用哈希圖表示的概念格

概念格中既包含條件屬性又包含評價屬性的節(jié)點(diǎn)。在用哈希圖表示概念格時，其父節(jié)點(diǎn)只包括條件屬性的那些節(jié)點(diǎn)被稱之為關(guān)鍵概念節(jié)點(diǎn)。表2中，a，b，c和d是條件屬性；e，f和g是評價屬性，那么圖7中的關(guān)鍵概念節(jié)點(diǎn)為(5)，(6)，(7)，(8)，(9)。

根據(jù)以上分析，性能評價規(guī)則的具體提取過程如下：若給定某個關(guān)鍵概念節(jié)點(diǎn)(Xf1，Yf1)和它的父節(jié)點(diǎn)(Xf2，Yf2)，則性能評價規(guī)則為Yf2?Yf1-Yf2。

以圖7的節(jié)點(diǎn)(5)為例，其父節(jié)點(diǎn)為(2)，那么它的性能評價規(guī)則為ac?ace-ac，即ac?e；節(jié)點(diǎn)(6)，(7)，(8)，(9)對應(yīng)的性能評價規(guī)則提取過程與此類似。由圖7中節(jié)點(diǎn)之間的關(guān)系可以提取出如表3所示的性能評價規(guī)則。

比照現(xiàn)實情況可知，提取的上述性能評價規(guī)則是合理的。根據(jù)規(guī)則的解釋可以看出，雖然規(guī)則1和規(guī)則2具有相同的條件，但是評價結(jié)果不同；另外，規(guī)則2、規(guī)則3和規(guī)則4雖然具有不同的條件，但是評價結(jié)果相同。這是因為參與評價的人員有著不同的關(guān)注點(diǎn)。

表3 性能評價規(guī)則

3 性能評價結(jié)果的不確定性分析

從表3可以看出，評價人員有時不能完全確定性能評價規(guī)則中輸入與輸出之間的關(guān)系，即評價規(guī)則中有些條件與結(jié)果之間具有不確定性。這是由于數(shù)據(jù)的復(fù)雜性和不確定性以及受到人為主觀偏好的影響，使得提取出的評價規(guī)則可能會表現(xiàn)出同一條件屬性對應(yīng)多種不同評價結(jié)果的情況。對此需要應(yīng)用D—S理論分析評價人員使用評價規(guī)則所得出評價結(jié)果的不確定性。

假設(shè)“安全”包括“可用”和“可靠”，“未知”包括“可靠”和“不安全”，那么，可以通過D—S理論分析評價規(guī)則確定的概率。

由于表3中規(guī)則1、規(guī)則3和規(guī)則5涵蓋了所有的輸入條件和輸出結(jié)果，因此結(jié)合北京地鐵亦莊線列控系統(tǒng)安全通信協(xié)議開發(fā)人員的經(jīng)驗，將這3條規(guī)則的先驗概率設(shè)置如下[8]。

(1)P1(協(xié)議是安全的|成功建立安全鏈接和信息具有時效性)=0.84：表示如果成功建立安全鏈接且信息具有時效性，則評價人員認(rèn)為協(xié)議是安全的概率為0.84。

(2)P3(協(xié)議屬性未知|成功建立安全鏈接和信息不具有時效性)=0.73：表示如果成功建立安全鏈接但信息不具有時效性，則評價人員認(rèn)為協(xié)議屬性未知的概率為0.73。

(3)P5(協(xié)議是不安全的|未成功建立安全鏈接和信息不具有時效性)=0.65：表示如果未成功建立安全鏈接且信息不具有時效性，則評價人員認(rèn)為協(xié)議是不安全的概率為0.65。

表4 規(guī)則1與規(guī)則3的聯(lián)合概率

表5 規(guī)則1和規(guī)則3與規(guī)則5的聯(lián)合概率

表5中，P1,3,5{φ1}為P5{不安全}與P1,3{可靠}的不一致度，P1,3,5{φ2}為P5{不安全}與P1,3{可用，可靠}的不一致度。

針對表5中所列規(guī)則1和規(guī)則3與規(guī)則5的聯(lián)合概率中包含的聚合元素集合，根據(jù)D—S理論可知它們的信任概率Bel和似然概率Pls分別為

(4)

其中，

k=P1,3,5{φ1}+P1,3,5{φ2}

由式(4)得到規(guī)則1和規(guī)則3與規(guī)則5聯(lián)合概率中各聚合元素的的信任概率Bel和似然概率Pls，見表6。

表6規(guī)則1和規(guī)則3與規(guī)則5聯(lián)合概率中各聚合元素集合的信任概率和似然概率

聚合元素集合信任概率似然概率不確信概率范圍{不安全}0.272 00.352 4[0.272 0,0.352 4]{可靠}0.472 70.728 0[0.472 7,0.728 0]{可靠,不安全}0.857 91.000 0[0.857 9,1.000 0]{可用,可靠}0.647 60.728 0[0.647 6,0.728 0]

由表6可以得出以下結(jié)論。

(1)“不安全”的信任概率最低。導(dǎo)致“不安全”的條件是“安全鏈接未成功建立”和“信息不具有時效性”，而丟包率是影響這2個條件是否能達(dá)成的主要因素[17]；由于丟包率很低，因此“不安全”的信任概率也很低。

(2)“安全”的信任概率比“不安全”的大。這是因為“安全”的條件是“安全鏈接成功建立”和“信息具有時效性”，而根據(jù)作者的以往研究得知，這2個條件都有較大的概率，所以“安全”的信任概率也隨之較大。

(3)“可靠，不安全”(即“未知”)的信任概率最大，也就是協(xié)議最可能的屬性是“未知”。這是因為“未知”發(fā)生的條件之一是“信息是否具有時效性”，而根據(jù)規(guī)范[17]可知：信息的傳輸時間如果不超過15 s，則判定傳輸?shù)男畔⒕哂袝r效性，如果信息的傳輸時間為15～20 s，則認(rèn)為傳輸?shù)男畔⒁彩强梢越邮艿?；所以僅根據(jù)信息的傳輸時間這1個條件難以判斷列控系統(tǒng)安全通信協(xié)議是否安全，還必須考慮“成功建立安全鏈接”這個條件是否滿足。

4 結(jié)束語

針對傳統(tǒng)方法在評價列控系統(tǒng)安全通信協(xié)議性能時存在只能定性不能定量和對評價人員掌握評價尺度有差異考慮不足的問題，本文采用從列控系統(tǒng)安全通信協(xié)議性能仿真得到的數(shù)據(jù)，通過決策論中的概念格理論研究制定安全通信協(xié)議的性能評價規(guī)則。為了驗證所提出的性能評價規(guī)則的可行性，采用D—S理論并參考北京地鐵亦莊線列控系統(tǒng)安全通信協(xié)議開發(fā)人員的經(jīng)驗，分析評價人員使用本文安全通信協(xié)議性能評價規(guī)則所得出評價結(jié)果的不確定性，結(jié)果表明，使用本文制定的安全通信協(xié)議性能評價規(guī)則克服了傳統(tǒng)方法的不足，而且以概率的形式定量表示安全通信協(xié)議的性能，可使評價結(jié)果更全面也更具有說服力。