高速鐵路無(wú)線閉塞中心（RBC）核心單元安全評(píng)估

劉子英，尹　楠，張利華

（華東交通大學(xué)電氣與電子工程學(xué)院，江西 南昌330013）

高速鐵路無(wú)線閉塞中心（RBC）核心單元安全評(píng)估

劉子英，尹楠，張利華

（華東交通大學(xué)電氣與電子工程學(xué)院，江西 南昌330013）

無(wú)線閉塞中心對(duì)高速列車進(jìn)行間隔控制和下達(dá)移動(dòng)授權(quán)，是保證高速鐵路信號(hào)系統(tǒng)高效、穩(wěn)定、準(zhǔn)確工作的關(guān)鍵因素。文章介紹了無(wú)限閉塞中心的系統(tǒng)配置結(jié)構(gòu)以及與外部接口之間信息的交互，并以此為基礎(chǔ)對(duì)無(wú)線閉塞中心進(jìn)行分層和模塊化，使用SIMFIA安全評(píng)估軟件構(gòu)建無(wú)線閉塞中心模型。對(duì)模型進(jìn)行參數(shù)設(shè)置后，運(yùn)用SIMFIA軟件的SAFETY功能生成模型的故障樹(shù)以及各模塊節(jié)點(diǎn)的故障概率，并以此進(jìn)行系統(tǒng)的安全性分析，達(dá)到安全評(píng)估的目的。

高速鐵路；無(wú)線閉塞中心；SIMFIA；故障樹(shù)；建模仿真；安全評(píng)估

高速鐵路的列車運(yùn)行控制系統(tǒng)在提高鐵路運(yùn)輸效率和保障列車運(yùn)行安全方面發(fā)揮了重要作用，與人民群眾生命財(cái)產(chǎn)和鐵路行車安全密切相關(guān)。作為我國(guó)高速鐵路最常用的列控系統(tǒng)，CTCS-3級(jí)列控系統(tǒng)采用無(wú)線通信的方式（如GSM-R）傳輸信息，并由地面子系統(tǒng)和車載子系統(tǒng)兩個(gè)部分構(gòu)成。無(wú)線閉塞中心（radio block center，RBC）作為我國(guó)高速鐵路列控系統(tǒng)中地面子系統(tǒng)的核心設(shè)備，主要用于接收車載子系統(tǒng)和其他相鄰地面子系統(tǒng)等發(fā)出的車道占用情況、高速列車行駛狀態(tài)、鐵路車站聯(lián)鎖進(jìn)路數(shù)據(jù)以及臨時(shí)的限速命令等數(shù)據(jù)。RBC通過(guò)對(duì)接收到的數(shù)據(jù)處理計(jì)算給出控車所需的控制信息，如線路的靜態(tài)信息、臨時(shí)限速以及行車許可等，再由鐵路專用的GSM-R無(wú)線通信系統(tǒng)發(fā)送給列車上的車載子系統(tǒng)［1-3］。

無(wú)線閉塞中心的仿真研究一般使用SPNP軟件和UPPAAL軟件工具，國(guó)內(nèi)外學(xué)者對(duì)此做了大量工作，并取得一定的成果。文獻(xiàn)［4］以SPNP軟件作為建模工具，以Petri網(wǎng)分層技術(shù)為基礎(chǔ)，創(chuàng)造性的將RBC系統(tǒng)劃分為底層模型和頂層模型。文獻(xiàn)［5］在文獻(xiàn)［4］的基礎(chǔ)上，通過(guò)結(jié)合馬爾可夫隨機(jī)過(guò)程和隨機(jī)Petri網(wǎng)的方法，對(duì)RBC系統(tǒng)的實(shí)時(shí)性進(jìn)行了分析研究。文獻(xiàn)［6］以UPPAAL軟件作為實(shí)時(shí)建模仿真工具，以時(shí)間自動(dòng)機(jī)理論為基礎(chǔ)，對(duì)RBC系統(tǒng)進(jìn)行分析建模，并對(duì)模型進(jìn)行了驗(yàn)證。而SIMFIA安全分析軟件與SPNP、UPPAAL及其他類似的軟件相比：在建立模型時(shí)簡(jiǎn)便快捷，輸入系統(tǒng)的狀態(tài)轉(zhuǎn)移模式、故障的傳播方式以及相關(guān)的系統(tǒng)數(shù)據(jù)后，SIMFIA軟件就可以對(duì)該系統(tǒng)建立模型；在對(duì)模型進(jìn)行安全性分析時(shí)，所需的故障樹(shù)和可靠性框圖均可以由軟件自動(dòng)生成，不再需要手工的進(jìn)行繪制，模型有關(guān)的RAMS（可靠性、可用性、可維修性、安全性）結(jié)果也都可以由軟件自動(dòng)的生成，并且可以對(duì)模型進(jìn)行動(dòng)態(tài)的仿真分析。

因此，使用SIMFIA軟件可以方便快捷的對(duì)系統(tǒng)建立模型并對(duì)模型進(jìn)行相應(yīng)的安全性計(jì)算分析。本文基于中國(guó)高速鐵路建設(shè)的實(shí)際需要，以RBC為具體研究對(duì)象，在查找數(shù)據(jù)資料的基礎(chǔ)上，對(duì)RBC系統(tǒng)結(jié)構(gòu)建立相應(yīng)的模型并對(duì)模型的相關(guān)參數(shù)進(jìn)行設(shè)置；基于SIMFIA軟件的安全分析功能，對(duì)RBC模型進(jìn)行系統(tǒng)的安全分析。

1　MBSA方法及在鐵路中的應(yīng)用

1.1MBSA方法概述

目前國(guó)際上較為流行的RAMS（可靠性、可用性、可維修性、安全性）分析研究方法是基于模型的安全分析（MBSA）方法。SIMFIA即是基于該方法的基礎(chǔ)上，適用于復(fù)雜系統(tǒng)RAMS的綜合建模仿真分析的一款軟件。與傳統(tǒng)的安全分析如故障樹(shù)分析方法不同，MBSA是在一個(gè)形式化的模型上對(duì)系統(tǒng)的故障狀態(tài)和正常狀態(tài)進(jìn)行描述，再通過(guò)各個(gè)部件的相互邏輯關(guān)系和聯(lián)系，得到系統(tǒng)特性。MBSA與傳統(tǒng)安全方法目標(biāo)一致，但MBSA更像是一類安全分析方法。

1.2MBSA在鐵路中的應(yīng)用

安全通信標(biāo)準(zhǔn)EN50159作為歐洲鐵路信號(hào)安全標(biāo)準(zhǔn)系列之一，與安全硬件EN50129、RAMS標(biāo)準(zhǔn)EN50126相互關(guān)聯(lián)。國(guó)/鐵標(biāo)GB/T24399由EN50159衍生而來(lái)，兩者互為等價(jià)標(biāo)準(zhǔn)，主要應(yīng)用于鐵路信號(hào)、通信以及處理系統(tǒng)技術(shù)安全領(lǐng)域。鐵路領(lǐng)域的安全評(píng)估工作主要遵循的是安全苛求系統(tǒng)開(kāi)發(fā)V模型，為了支持MBSA在鐵路安全領(lǐng)域的應(yīng)用，傳統(tǒng)的“V”型安全性流程被修改，從而使得安全性分析活動(dòng)植根于形式化的系統(tǒng)與故障模式中。鐵路安全領(lǐng)域中MBSA的過(guò)程是：

1）對(duì)系統(tǒng)進(jìn)行抽象化：對(duì)系統(tǒng)的結(jié)構(gòu)、功能、層次、輸入輸出進(jìn)行分析和抽象化，確保能完整的描述系統(tǒng)各方面情況；

2）對(duì)系統(tǒng)進(jìn)行形式化建模；

3）定義失效模式，建立故障模型：配置各個(gè)組件失效的邏輯關(guān)系；

4）擴(kuò)展模型：在MBSA中不僅需要考慮元件（系統(tǒng)）的正常工作模式（狀態(tài)），還需要考慮其失效模式（狀態(tài)）；

5）得出安全性分析結(jié)果，如FTA、FMEA等。

2　RBC系統(tǒng)結(jié)構(gòu)

2.1RBC系統(tǒng)配置

RBC是以信號(hào)故障安全計(jì)算機(jī)為基礎(chǔ)的控制系統(tǒng)，作為高速鐵路列控系統(tǒng)的核心，其遵循故障-安全的原則。應(yīng)用軟件采用N版本冗余技術(shù)，對(duì)表決和運(yùn)算采用不同的策略［7-8］。無(wú)線閉塞單元（radio block unit，RBU）由安全故障處理軟件、操作系統(tǒng)、硬件平臺(tái)以及網(wǎng)絡(luò)系統(tǒng)等部分組成，是RBC整體系統(tǒng)中非常重要的邏輯處理單元。RBC維護(hù)終端的作用是向操作人員提供獲取RBC系統(tǒng)文件的接口，操作人員通過(guò)該接口將存放在RBU中的系統(tǒng)診斷數(shù)據(jù)和日志文件下載并進(jìn)行分析，達(dá)到監(jiān)視整個(gè)RBC系統(tǒng)的目的。RBC本地維護(hù)終端是為了方便操作員對(duì)RBC進(jìn)行登錄與注銷，使其直接對(duì)RBC進(jìn)行診斷和維護(hù)工作。司法記錄單元（RBC juridical recorder unit，R-JRU）負(fù)責(zé)對(duì)RBC系統(tǒng)中的接口信息、控制信息等進(jìn)行記錄并提供司法依據(jù)。接口服務(wù)器 （versatile interface adapter，VIA）是實(shí)現(xiàn)RBC與R-JRU、CTC、RBC本地維護(hù)終端之間信息交互的通話路由。RBC的系統(tǒng)配置如圖1所示［9］。

圖1　RBC系統(tǒng)配置圖Fig.1　The system configuration of RBC

2.2RBC的外部接口

RBC與外部接口連接圖如圖2所示。

RBC與調(diào)度集中（CTC）設(shè)備接口：CTC與RBC的接口服務(wù)器設(shè)置在CTC系統(tǒng)調(diào)度中心，服務(wù)器的一端通過(guò)以太網(wǎng)端口接入到CTC調(diào)度中心的內(nèi)網(wǎng)，再將另一端接入RBC網(wǎng)絡(luò)。CTC系統(tǒng)經(jīng)協(xié)議轉(zhuǎn)換器（VIA）設(shè)備后和RBC系統(tǒng)建立通信連接，并進(jìn)行數(shù)據(jù)的交換。列車處于運(yùn)行或靜止?fàn)顟B(tài)時(shí)，RBC負(fù)責(zé)將列車的實(shí)時(shí)狀態(tài)信息發(fā)送給CTC系統(tǒng)，CTC系統(tǒng)也可以自主選擇要求RBC發(fā)送的列車信息，這些信息包括RBC各設(shè)備之間連接的狀態(tài)信息、列車的動(dòng)態(tài)和靜態(tài)信息以及報(bào)警信息等。此外，CTC還可以向RBC發(fā)送無(wú)條件的緊急停車命令［10］。

RBC與車站聯(lián)鎖設(shè)備接口：為了實(shí)現(xiàn)RBC與聯(lián)鎖設(shè)備之間信息的安全規(guī)范傳輸，將聯(lián)鎖系統(tǒng)和RBC的專用安全通信網(wǎng)連接形成一個(gè)封閉的局域網(wǎng)，并且采用信號(hào)授權(quán)的方式進(jìn)行信息的交互。RBC將列車的時(shí)速、長(zhǎng)度和距離下一個(gè)授權(quán)區(qū)的距離等信息以對(duì)象的方式，發(fā)送給車站聯(lián)鎖設(shè)備。聯(lián)鎖則將進(jìn)路狀態(tài)、進(jìn)路類型、授權(quán)區(qū)號(hào)等一些信息以信號(hào)授權(quán)方式，發(fā)送給RBC［11］。

RBC與臨時(shí)限速服務(wù)器（TSRS）設(shè)備接口：臨時(shí)限速服務(wù)器通過(guò)以太網(wǎng)和RBC建立連接后，向RBC發(fā)送臨時(shí)限速命令等數(shù)據(jù)。RBC對(duì)限速命令進(jìn)行處理，并將限速狀態(tài)等數(shù)據(jù)反饋給臨時(shí)限速服務(wù)器。

RBC與信號(hào)集中監(jiān)測(cè) （CSM）設(shè)備接口：RBC將其內(nèi)部各個(gè)設(shè)備的運(yùn)行狀況和故障維護(hù)等數(shù)據(jù)發(fā)送給VIA，VIA接收到這些數(shù)據(jù)后，對(duì)數(shù)據(jù)進(jìn)行匯總、處理計(jì)算，在應(yīng)用層通信協(xié)議的基礎(chǔ)上，由接口服務(wù)器向終端計(jì)算機(jī)傳輸RBC的監(jiān)測(cè)信息，之后終端計(jì)算機(jī)通過(guò)信號(hào)集中監(jiān)測(cè)網(wǎng)絡(luò)將處理后的RBC監(jiān)測(cè)信息發(fā)送給各級(jí)維修中心。其中，RBC/CSM接口服務(wù)器通過(guò)以太網(wǎng)和VIA進(jìn)行連接通信［9-10］。

RBC與GSM-R網(wǎng)絡(luò)之間的接口：RBC的系統(tǒng)主機(jī)和ISDN服務(wù)器之間通過(guò)使用VLAN交換機(jī)的TCP/ IP方式，建立兩者的通信連接。RBC通過(guò)和ISDN-PRI接口與GSM-R網(wǎng)絡(luò)移動(dòng)交換機(jī)相互連接［9，12］。

RBC與相鄰RBC接口：RBC與相鄰RBC接口：相鄰的無(wú)線閉塞中心之間，使用常用的Subset-098協(xié)議建立相互的數(shù)據(jù)交換連接。相鄰的無(wú)線閉塞中心之間數(shù)據(jù)交換主要包括軌道交界處的線路占用信息、列車的限速命令以及列車本身的狀態(tài)數(shù)據(jù)等。

圖2　RBC與外部接口連接圖Fig.2　The external interface of RBC

3　無(wú)線閉塞中心（RBC）的SIMFIA建模

3.1SIMFIA軟件建模流程

APSYS SIMFIA軟件是APSYS公司設(shè)計(jì)的一款基于模型的對(duì)設(shè)備、產(chǎn)品、過(guò)程進(jìn)行功能分析的知識(shí)獲取的軟件。SIMFIA軟件主要有FMECA功能、SAFETY功能、RELDIAG功能（可靠性框圖）、SIMTET功能和SIMUL功能［11］。SIMFIA軟件的模型建立步驟可以分為：創(chuàng)建模塊；建立連接；定義模塊輸入輸出；定義模塊內(nèi)部狀態(tài)；定義輸入和內(nèi)部狀態(tài)與該模塊自身輸出狀態(tài)的關(guān)系；驗(yàn)證模型。

3.2RBC的SIMFIA建模

對(duì)無(wú)線閉塞中心進(jìn)行建模時(shí)，主要根據(jù)信息流的傳輸來(lái)定義各個(gè)模塊，無(wú)線閉塞中心信息流傳輸過(guò)程如圖2所示，由此建立的RBC模型包括本地維護(hù)終端設(shè)備模塊；臨時(shí)限速服務(wù)器模塊；車站聯(lián)鎖設(shè)備模塊；調(diào)度集中設(shè)備模塊；無(wú)線閉塞中心模塊；相鄰RBC模塊；GSM-R網(wǎng)絡(luò)設(shè)備模塊；CSM設(shè)備模塊。SIMFIA軟件中，對(duì)模塊建立連接時(shí)需首先定義各個(gè)模塊連接點(diǎn)的類型，本次RBC建模過(guò)程中，統(tǒng)一將各個(gè)模塊的連接點(diǎn)設(shè)置成default_nominal_failed。在對(duì)RBC模型中處于最頂層的各個(gè)模塊的Logical causes進(jìn)行設(shè)置時(shí)，結(jié)合RBC系統(tǒng)本身的結(jié)構(gòu)特點(diǎn)，將接口板失效與自身失效的模塊的輸出接口，其輸出狀態(tài)均設(shè)置為failed；其它模塊的設(shè)置類似。由此建立的RBC系統(tǒng)整體模型如圖3所示。RBC模塊內(nèi)部結(jié)構(gòu)模型如圖4所示。

3.3RBC模型的驗(yàn)證

將故障源加入到模型的某一個(gè)節(jié)點(diǎn)后，可以方便地觀察到故障源信號(hào)在整個(gè)模型中的分部式傳遞過(guò)程。在故障源信號(hào)傳播的過(guò)程中，受其影響不能正常工作的模塊顯示為紅色；故障信息正在傳播的模塊顯示為綠色；受故障信號(hào)影響不能導(dǎo)通的節(jié)點(diǎn)顯示為紅色；未受故障信號(hào)影響或受到故障信號(hào)影響后依舊處于導(dǎo)通狀態(tài)的節(jié)點(diǎn)顯示為藍(lán)色。由此可以驗(yàn)證出模型的完整性和有效性符合預(yù)期設(shè)定，模型正確。CTC設(shè)備模塊引入故障源后，故障的傳遞過(guò)程如圖5所示。

圖3　RBC系統(tǒng)整體模型Fig.3　The model of RBC system

圖4　RBC模塊內(nèi)部結(jié)構(gòu)模型圖Fig.4　The internal structure model of RBC module

圖5　RBC模型故障傳遞圖Fig.5　The failure propagation of RBC

3.4RBC模型分析

運(yùn)用SIMFIA軟件的SAFETY功能對(duì)模型進(jìn)行分析時(shí)需要對(duì)各個(gè)模塊的Lambda值進(jìn)行設(shè)置，Lambda值可以通過(guò)對(duì)以往發(fā)生事故的數(shù)據(jù)記錄以及系統(tǒng)模塊所用設(shè)備的產(chǎn)品信息分析計(jì)算得到，設(shè)置符合實(shí)際的Lambda值，可以較好的模擬系統(tǒng)的實(shí)際故障狀態(tài)，對(duì)系統(tǒng)進(jìn)行安全分析，本文對(duì)RBC模型的Lambda值進(jìn)行了簡(jiǎn)單設(shè)置。RBC整體模型中無(wú)線閉塞中心模塊的故障樹(shù)如圖6所示。從故障樹(shù)圖中可以看到，“O. failed”，即無(wú)線閉塞中心模塊發(fā)生故障”，作為該故障樹(shù)的頂事件，它失效的概率為5.999700034855759e-6，引起無(wú)線閉塞中心模塊失效的原因可能來(lái)自傳輸?shù)拿恳粭l路徑，最后可以追溯到事件 “接口服務(wù)器.states. failure”，失效率為9.99947000132056e-7。由圖6的故障樹(shù)可以得到，每個(gè)底事件與底事件之間存在著“或”和“與”的邏輯關(guān)系，由此引起頂事件的失效，并且“接口服務(wù)器.states.failure”事件、“車站聯(lián)鎖設(shè)備.states.failure”事件以及“O5.wrong”事件的失效的概率均為9.9e-7，最終得到的頂事件“O.failed”失效的概率為5.9e-6，大于9.9e-7，滿足鐵路系統(tǒng)安全評(píng)估的相關(guān)標(biāo)準(zhǔn)。若RBC的結(jié)構(gòu)需要進(jìn)行調(diào)整，只要重新生成故障樹(shù)，就可以對(duì)失效要素進(jìn)行分析計(jì)算，可以很大程度上提高工作的效率。圖6中各事件失效的概率值均由SIMFIA軟件的Safety computation功能計(jì)算得到。

圖6　無(wú)線閉塞中心模塊的故障樹(shù)Fig.6　The fault tree of RBC module

4　結(jié)論

本文采用SIMFIA軟件對(duì)無(wú)線閉塞中心系統(tǒng)建立RBC系統(tǒng)模型，可自動(dòng)生成故障樹(shù)進(jìn)行安全性分析。通過(guò)對(duì)SIMFIA軟件自動(dòng)生成的故障進(jìn)行分析，找到故障樹(shù)中頂事件的最小割集和失效概率，有助于在無(wú)線閉塞中心設(shè)備的日常維修中快速定位出故障源，找到故障傳播的路徑；根據(jù)各底事件失效的概率調(diào)整其維護(hù)周期，達(dá)到提高工作效率和確保系統(tǒng)安全運(yùn)行的目的。在對(duì)RBC系統(tǒng)進(jìn)行功能失效狀態(tài)等安全性方面的分析中，SIMFIA軟件的分析結(jié)論與傳統(tǒng)故障樹(shù)方式相比是一致的。將SIMFIA軟件應(yīng)用到鐵路系統(tǒng)的安全研究領(lǐng)域中，可以大幅度提高安全評(píng)估的效率。

［1］楊浩.面向領(lǐng)域特征的列控RBC系統(tǒng)建模方法研究［D］.北京：北京交通大學(xué)，2015.

［2］呂繼東，唐濤，賈昊.客運(yùn)專線CTCS-3級(jí)列控系統(tǒng)無(wú)線閉塞中心的建模與驗(yàn)證［J］.鐵道學(xué)報(bào)，2010（6）：34-42.

［3］劉丹，杜曉鑫.京廣高鐵無(wú)線閉塞中心雙系重啟故障探討［J］.鐵道通信信號(hào)，2015（2）：81-84.

［4］梁楠.基于隨機(jī)petri網(wǎng)的CTCS-3級(jí)RBC系統(tǒng)控車流程建模與分析［D］.北京：北京交通大學(xué)，2009.

［5］梁楠，王海峰.基于SPN的CTCS-3級(jí)列控系統(tǒng)RBC實(shí)時(shí)性能分析［J］.鐵道學(xué)報(bào)，2011（2）：67-71.

［6］童超.基于時(shí)間自動(dòng)機(jī)的RBC控車流程研究［D］.重慶：西南交通大學(xué)，2009.

［7］郭榮.高速鐵路無(wú)線閉塞中心軟件設(shè)計(jì)與實(shí)現(xiàn)［D］.北京：北京交通大學(xué)，2009.

［8］王希慶，馮國(guó)良，楊國(guó)榮.無(wú)線閉塞中心和計(jì)算機(jī)聯(lián)鎖安全通信研究［J］.信息技術(shù)，2015（8）：79-82.

［9］聶超.CTCS-3列控?zé)o線閉塞中心研究與仿真［D］.重慶：西南交通大學(xué)，2010.

［10］李宏偉.高速鐵路無(wú)線閉塞中心（RBC）核心單元的研究與設(shè)計(jì)［D］.蘭州：蘭州交通大學(xué)，2009.

［11］陳建球，唐濤，袁磊.改進(jìn)ANP的無(wú)線閉塞中心管控能力評(píng)價(jià)模型［J］.交通運(yùn)輸工程學(xué)報(bào)，2015（1）：108-118.

［12］張友兵，劉嶺，何祖濤.基于隨機(jī)Petri網(wǎng)的GSM-R越區(qū)切換成功率的形式化分析［J］.華東交通大學(xué)學(xué)報(bào)，2012，30（4）：73-80.

（責(zé)任編輯姜紅貴）

Security Assessment of Key Unit of Radio Block Center for High-Speed Railway

Liu Ziying，Yin Nan，Zhang Lihua
（School of Electrical and Electronic Engineering，East China Jiaotong University，Nanchang 330013，China）

Radio block center，mainly used for the movement authority and train interval control of the highspeed trains，plays an important role in ensuring the control accuracy，efficiency，reliability and security of the high-speed railway signaling system.On the basis of the analysis of the structure and function of RBC and the information exchange between RBC and external systems，this article emphasizes the stratifying and modular process of RBC.Then a simulation model of the RBC is established by the software-SIMFIA，which obtains fault tree and failure probability of the model after setting the model parameters.It analyzes the security of the RBC system so as to achieve the purpose of safety assessment.

high-speed railway；radio block center；SIMFIA；fault tree；modeling and simulation；security assessment

U284.92

A

1005-0523（2016）04-0061-06

2016－03－08

江西省研究生創(chuàng)新專項(xiàng)資金項(xiàng)目（YC2014-S246）

劉子英（1964—），女，教授，碩士，主要研究方向?yàn)檐壍澜煌姎饣c自動(dòng)化。