張洋 陶磊 劉宇輝 邱力博

摘要：隨著中國高速鐵路的發(fā)展，中國高鐵列車運行控制系統(tǒng)3級（CTCS-3）的安全性也備受關(guān)注。危險和可操作研究方法（HAZOP）是一種成熟有效的危險評價方法，基于統(tǒng)一建模語言（UML）順序圖能夠詳細(xì)直觀地描述系統(tǒng)中對象間按時間順序的完整交互過程。本文以CTCS-3車載子系統(tǒng)為例，將UML順序圖模型應(yīng)用于HAZOP危險識別會議，提供直觀的信息幫助會議專家有效識別系統(tǒng)危險源和準(zhǔn)確地評估系統(tǒng)安全性，會議備忘錄能夠幫助消除設(shè)計缺陷和制定相關(guān)安全措施避免危險發(fā)生。

關(guān)鍵詞：CTCS-3級列控系統(tǒng)? 危險識別? UML順序圖

中圖分類號：U293.5? ?文獻標(biāo)識碼：A

中國高速鐵路的發(fā)展為中國經(jīng)濟飛速發(fā)展注入新的動力，因此其安全性倍受到社會各界的關(guān)注。近十年來，控制技術(shù)和通信技術(shù)的發(fā)展帶動中國列車運行控制系統(tǒng)發(fā)展和CTCS-3級功能實現(xiàn)并應(yīng)用到運營線路中，然而高速鐵路運行控制系統(tǒng)是復(fù)雜的社會-技術(shù)系統(tǒng)，由于危險識別技術(shù)卻發(fā)展滯后，會在全生命周期的運營維護階段產(chǎn)生動態(tài)的安全風(fēng)險，需要業(yè)內(nèi)投入更多的關(guān)注和研究，發(fā)現(xiàn)和消除系統(tǒng)中的安全隱患，避免嚴(yán)重事故的發(fā)生，保證系統(tǒng)更加安全、可靠為中國高速鐵路服務(wù)。

對CTCS-3系統(tǒng)進行危險識別分析，能夠描述清楚系統(tǒng)中所有危險問題所在，并能夠提供一系列的快速有效的解決方案。危險識別技術(shù)還能夠分析出設(shè)計和運行中潛在危險，幫助設(shè)計人員消除設(shè)計缺陷和制定相關(guān)措施避免危險發(fā)生。因此，危險識別技術(shù)能夠顯著提高CTCS-3系統(tǒng)的可靠性。本文主要以CTCS-3車載子系統(tǒng)作為研究對象說明如何基于UML順序圖進行危險識別的方法。

1 危險識別與UML順序圖

危險識別（危險源識別），識別系統(tǒng)中在一定觸發(fā)因素作用下導(dǎo)致系統(tǒng)處于危險側(cè)的部位、區(qū)域、場所、空間、崗位、設(shè)備及其位置，同時還要明確危險原因、危險發(fā)生過程、危險發(fā)生后影響范圍和危害程度。

危險和可操作研究（HAZOP）是從中間過程分析事故原因和結(jié)果的方法，能夠定性分析或定量評價的危險性進行評價，是一種有效的危險識別方法。

系統(tǒng)結(jié)構(gòu)圖或者流程圖通常過于概略而不能發(fā)現(xiàn)潛在的危險，然而順序圖能夠詳細(xì)描述一個功能或事件進行的整個過程，順序圖還能夠詳細(xì)的層次化描述整個系統(tǒng)運行情況，以幫助人們發(fā)現(xiàn)系統(tǒng)潛在危險，這也正是采用順序圖的意義所在。UML建模通有助于軟件系統(tǒng)的定義、可視化、模型化，包括描述軟件架構(gòu)和軟件設(shè)計過程，以滿足軟件系統(tǒng)所有的需求。UML順序圖能夠反映系統(tǒng)按照時間順序信息和行為交互過程，因此選擇UML順序圖進行危險識別能夠供直觀的信息幫助會議專家有效識別系統(tǒng)危險源和準(zhǔn)確地評估系統(tǒng)安全性。

2 建立順序圖的過程

本章以CTCS-3車載子系統(tǒng)建立和取消臨時限速（Temporary speed restriction， TSR）命令為例，完整說明順序圖建立過程。

2.1 對研究系統(tǒng)UML建模

首先建立系統(tǒng)UML，狀態(tài)圖能表示系統(tǒng)運行的不同狀態(tài)和狀態(tài)間轉(zhuǎn)移關(guān)系，然后根據(jù)系統(tǒng)狀態(tài)圖建立系統(tǒng)運行各項功能執(zhí)行的UML順序圖。CTCS-3車載子系統(tǒng)的所建立的模型狀態(tài)圖如圖1所示。

2.2 臨時限速（TSR）

臨時限速是線路固定速度以外定義的一種具有時效性的分級限速，通常應(yīng)用在施工、維修、災(zāi)害等場景。臨時限速由分散自律式調(diào)度集中系統(tǒng)（CTC）完成擬定臨時限速計劃調(diào)度命令內(nèi)容、臨時限速的設(shè)置/取消。

調(diào)度員通過TSR終端制定好全線臨時限速內(nèi)容，通過CTC授權(quán)后，將計劃上傳到TSRS服務(wù)器，TSRS儲存臨時限速計劃，校驗TSR命令后分發(fā)送到相關(guān)TCC、RBC執(zhí)行;TCC系統(tǒng)負(fù)責(zé)控制應(yīng)答器傳送相應(yīng)的TSR信息給C2列車;R BC系統(tǒng)負(fù)責(zé)通過GSM-R傳送相應(yīng)的TSR信息給C3列車;裝有ATP車載設(shè)備的列車收到TSR信息后，控制列車按限速要求運行。

2.3 建立TSR順序圖

通過分析列車完成TSR操作整個過程中CTCS-3車載子系統(tǒng)各模塊間交互的信息和命令來建立時序圖，建立的時序圖如圖1所示，描述了當(dāng)列車收到TSR命令時車載子系統(tǒng)處理的過程。

無線移動終端MT（Mobile Terminal）收到RBC發(fā)送的TSR命令，然后傳輸?shù)杰囕d無線傳輸模塊RTM（Radio Transmission Module）。

RTM將TSR命令發(fā)送到C3控制單元C3-Ker（CTCS-3 Kernel unit）。

C3-ker負(fù)責(zé)處理TSR命令，通過查詢BTM、SDU獲取列車當(dāng)前速度、位置，將TSR命令確認(rèn)信息通過RTM、MT發(fā)送回RBC，輸出制動命令到TIU，并將TSR信息發(fā)送到DMI顯示。

TSR命令取消與上述過程相類似，

MT收到RBC發(fā)送的TSR取消命令，然后傳輸?shù)杰囕d無線傳輸模塊RTM。

RTM將TSR取消命令發(fā)送到C3-Ker。

C3-Ker處理完TSR取消命令后，并將TSR信息發(fā)送到DMI顯示，通過RTM和MT發(fā)回TSR取消確認(rèn)到RBC。

3 順序圖正確性驗證

建模最重要的一個要素就是模型能夠正確地描述真實系統(tǒng)特性，模型是決定危險源識別重要依據(jù)，因此需要驗證模型的正確性，才能更加有效幫助危險源識別發(fā)現(xiàn)更多危險源。

順序圖建立模型需遵守建模標(biāo)準(zhǔn)。

建模過程中每一個行為都必須嚴(yán)格遵守CTCS-3標(biāo)準(zhǔn)和規(guī)范文檔，只有這樣才能夠最大程度建立貼近研究對象的模型。

危險識別會議中確認(rèn)和完善順序圖。

順序圖的建立是危險識別會議的準(zhǔn)備工作，完成順序圖建立等準(zhǔn)備工作才可召開危險識別會議。但是危險辨別會議的前提需要專家反饋確認(rèn)后的系統(tǒng)模型。所以，危險識別會議的專家成員明確會議內(nèi)容后，首先需要對順序圖進行確認(rèn)和完善。通過會議專家成員對順序圖確認(rèn)和完善后，會議才可展開危險識別具體議題。

4危險識別過程

4.1 危險識別過程

引導(dǎo)詞選擇以及危險的描述。

會議主持人需要在每個行為的識別時，對識別范圍對所有成員進行說明。危險辨別會議過程中由主持人選擇合適的引導(dǎo)詞來引導(dǎo)專家辨別危險。比如“過多”這個引導(dǎo)詞表示在意圖之外的數(shù)量上過度的意思，適用于描述與物理量有關(guān)的情況。通過遍歷所有引導(dǎo)詞識別出存在的危險隱患，全部記錄并詳細(xì)描述辨別出的危險。

原因和結(jié)果分析。

對識別出危險需分析并記錄所有可能造成該危險的觸發(fā)條件。這些原因應(yīng)當(dāng)是邏輯“或” 的關(guān)系。

對識別出危險需分析并記錄該危險發(fā)生后，所有可能造成的結(jié)果或者事故。這些后果應(yīng)當(dāng)是邏輯“與”的關(guān)系。

風(fēng)險矩陣定量分析。

危險識別結(jié)果采用風(fēng)險矩陣形式對危險識別結(jié)果進行表述，能夠更加直觀說明危險的頻率和嚴(yán)重關(guān)系，幫助研究人員評估危險識別結(jié)果確定風(fēng)險等級，估計危險發(fā)生的可能性，危險發(fā)生后對整個系統(tǒng)的影響，進而制定預(yù)防性措施。風(fēng)險矩陣參照如表1所示。紅色風(fēng)險等級為不可接受等級，黃色為合理可接受等級，綠色區(qū)域為風(fēng)險可忽略等級。

預(yù)防性措施。

對于識別出的危險，專家應(yīng)形成共識性的備忘錄，包含對危險的預(yù)防性建議和措施避免發(fā)生更嚴(yán)重的事故，所有措施應(yīng)具有實際的可操作性，幫助委托危險識別的運營管理者或生產(chǎn)商降低風(fēng)險等級。

4.2 TSR危險識別

通過4.1方法對TSR進行危險識別的結(jié)果如表2所示。從表中可以查看，“車載系統(tǒng)未返回確認(rèn)信息到RBC或者返回錯誤信息”的風(fēng)險等級為9，造成原因及產(chǎn)生的后果。

5 結(jié)語

近年來，中國鐵路和城市軌道交通飛速發(fā)展，同時伴隨的重大的事故需要業(yè)內(nèi)深思和投入更多的精力建立中國鐵路科學(xué)系統(tǒng)的風(fēng)險管理體系。列車運行控制系統(tǒng)是列車安全、可靠運行的保證，惟有通過科學(xué)有效的方法，幫助研發(fā)、設(shè)計、施工和運營單位發(fā)現(xiàn)工作中存在的安全隱患，解決和消除安全隱患，才能夠降低事故發(fā)生率，提高列車運行控制系統(tǒng)安全性、可靠性。

基于順序圖的危險識別能夠高效識別系統(tǒng)中安全隱患，與其他危險識別技術(shù)互補和完善國內(nèi)危險識別理論，最終形成國內(nèi)的《系統(tǒng)風(fēng)險分析技術(shù)指南》、《鐵道信號系統(tǒng)危險辨別技術(shù)指南》、《風(fēng)險管理與控制技術(shù)指南》，對指導(dǎo)我國鐵路信號系統(tǒng)的安全評估具有重要意義。