高速鐵路信號(hào)系統(tǒng)安全性改進(jìn)探討

姜 楠

(北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070)

1 概述

我國鐵路行業(yè)正在經(jīng)歷飛速的發(fā)展，越來越多的高速鐵路開通，帶來鐵路運(yùn)行速度、舒適性和列車密度的提升。國內(nèi)高速鐵路的運(yùn)營里程已經(jīng)超過其他國家，并且還在不斷地增長。

伴隨著高速鐵路的建設(shè)和運(yùn)營，鐵路信號(hào)設(shè)備也在向計(jì)算機(jī)化、信息化、多系統(tǒng)協(xié)同工作的方向發(fā)展。

中國高速鐵路的發(fā)展在實(shí)踐和工程中帶動(dòng)和促進(jìn)了世界高速鐵路技術(shù)的不斷發(fā)展，高速列車的商業(yè)運(yùn)行速度迅速提高。旅行時(shí)間的節(jié)約，旅行條件的改善，旅行費(fèi)用的降低，綠色環(huán)保出行理念的提升，使得高速鐵路在世界范圍內(nèi)呈現(xiàn)出蓬勃發(fā)展的強(qiáng)勁勢(shì)頭。

高速鐵路在中國以及世界范圍內(nèi)的快速發(fā)展，人們對(duì)高速鐵路認(rèn)同程度不斷提高，同時(shí)對(duì)高速鐵路的安全性提出了期待和要求。參考民航飛機(jī)的安全性，自1970年起，飛機(jī)系統(tǒng)建立以1×10-9為特征的事故率標(biāo)準(zhǔn)。對(duì)于災(zāi)難性的事件，期望其發(fā)生的概率低于1×10-9時(shí)，認(rèn)為是極不可能發(fā)生的。目前高速鐵路要求達(dá)到的安全目標(biāo)，即不發(fā)生災(zāi)難性事件的概率，基本也是1×10-9數(shù)量級(jí)。

人們對(duì)安全的追求是沒有止境的，高速鐵路相關(guān)的安全標(biāo)準(zhǔn)和規(guī)范也隨著工程實(shí)踐而改進(jìn)。本文本著防微杜漸的思想，結(jié)合信號(hào)控制系統(tǒng)設(shè)計(jì)、維護(hù)、調(diào)試中發(fā)現(xiàn)的一些問題，給出一些對(duì)安全性改進(jìn)的建議和方法。

2 面臨的問題和挑戰(zhàn)

2.1 復(fù)雜性增加

高速鐵路信號(hào)系統(tǒng)已經(jīng)是一個(gè)復(fù)雜的系統(tǒng)，應(yīng)用了大量的計(jì)算機(jī)技術(shù)、軟件工程技術(shù)、通信信息技術(shù)。高速鐵路的信號(hào)系統(tǒng)由多個(gè)子系統(tǒng)構(gòu)成，如TCC子系統(tǒng)、ATP子系統(tǒng)、RBC子系統(tǒng)、CTC子系統(tǒng)。每個(gè)子系統(tǒng)都運(yùn)行著復(fù)雜的軟件，有的子系統(tǒng)的代碼可能超過30萬行。這些子系統(tǒng)大部分是安全相關(guān)系統(tǒng)，承擔(dān)著保障鐵路安全運(yùn)行的功能，如果安全功能失效，可能導(dǎo)致災(zāi)難性的后果。

GB/T 20438（IEC 61508）對(duì)于簡(jiǎn)單安全相關(guān)系統(tǒng)有一個(gè)定義：一種安全相關(guān)系統(tǒng)，應(yīng)滿足兩個(gè)條件：

1) 已很好地確定了每個(gè)單獨(dú)部件的失效模式 ；

2) 能夠完全確定在故障狀態(tài)下系統(tǒng)的行為。

GB/T 20438同時(shí)給出一個(gè)簡(jiǎn)單安全系統(tǒng)的舉例：一個(gè)或幾個(gè)限位開關(guān)，通過一些繼電器來切斷電機(jī)電源的系統(tǒng)。

對(duì)比簡(jiǎn)單安全相關(guān)系統(tǒng)的定義，TCC、ATP等不能歸類為簡(jiǎn)單安全相關(guān)系統(tǒng)，而是復(fù)雜的安全相關(guān)系統(tǒng)。根據(jù)簡(jiǎn)單安全相關(guān)系統(tǒng)定義，可以推定，對(duì)于TCC、ATP等復(fù)雜安全相關(guān)系統(tǒng)：

1) 不能很好地確定每個(gè)單獨(dú)部件的失效模式 ；

2) 不能完全確定在故障狀態(tài)下系統(tǒng)的行為。

對(duì)于復(fù)雜系統(tǒng)，由于其失效模式難以一一確定，也難以完全確定在故障狀態(tài)下的行為，必然存在不確定性。尤其是對(duì)于系統(tǒng)性故障復(fù)雜軟件，現(xiàn)在還沒有好的方法來完全排除軟件中的錯(cuò)誤，實(shí)現(xiàn)復(fù)雜的無錯(cuò)軟件，這一點(diǎn)在EN 50128的引言中有如下描述。

目前，無論是質(zhì)量保證法（即避錯(cuò)措施）還是軟件容錯(cuò)法的應(yīng)用，都無法保證系統(tǒng)絕對(duì)安全。尚未發(fā)現(xiàn)一個(gè)可證明較復(fù)雜的安全相關(guān)軟件中不存在錯(cuò)誤的方法，特別是規(guī)范和設(shè)計(jì)的錯(cuò)誤。

如何減少系統(tǒng)性故障，尤其是軟件的錯(cuò)誤，是高速鐵路信號(hào)控制系統(tǒng)面臨的一個(gè)挑戰(zhàn)。

2.2 信息隱藏

高速鐵路的發(fā)展，帶來大量的計(jì)算機(jī)化技術(shù)、通信和信息技術(shù)、大量復(fù)雜的軟件?，F(xiàn)代鐵路的信號(hào)系統(tǒng)，已經(jīng)由當(dāng)初的硬接線繼電系統(tǒng)，發(fā)展為基于大規(guī)模集成電路、邏輯器件和處理器為基礎(chǔ)的電子系統(tǒng)。

基于處理器系統(tǒng)與硬接線繼電系統(tǒng)的一個(gè)明顯區(qū)別就是信息和邏輯的可視化程度完全不同。

基于硬接線的繼電系統(tǒng)，其電路和動(dòng)作是完全可視的，所有接線對(duì)于設(shè)計(jì)人員、調(diào)試人員、維護(hù)人員等是公開的。對(duì)于聯(lián)鎖系統(tǒng)，繼電聯(lián)鎖的解鎖電路，最終用戶可以與電路設(shè)計(jì)人員一樣，了解所有的電路邏輯，根據(jù)電路和接線圖，推斷電路的檢查條件和動(dòng)作特征。

基于處理器的電子系統(tǒng)，其內(nèi)部的數(shù)據(jù)流、邏輯流、控制流一般對(duì)外不可見，只能從系統(tǒng)邊界的輸入和輸出來推斷其內(nèi)部行為。除了設(shè)計(jì)人員，其他人員很難清楚內(nèi)部的處理邏輯、實(shí)現(xiàn)方式。在一定程度上，基于處理器的電子系統(tǒng)，內(nèi)部錯(cuò)誤更難以發(fā)現(xiàn)。

2.3 多系統(tǒng)協(xié)同

現(xiàn)代高速鐵路系統(tǒng)是由多個(gè)系統(tǒng)協(xié)同工作的大系統(tǒng)，各子系統(tǒng)間具有復(fù)雜的信息流、每一個(gè)子系統(tǒng)需要根據(jù)來自其他子系統(tǒng)的信息配合，并與其他子系統(tǒng)配合輸出相應(yīng)的信息。

一個(gè)典型的CTCS-3信號(hào)控制系統(tǒng)中的信息數(shù)據(jù)流向，如圖1所示。由圖1可以看出，地面設(shè)備、軌旁設(shè)備、車載設(shè)備三者間有復(fù)雜的信息交互和數(shù)據(jù)流向；地面設(shè)備各子系統(tǒng)內(nèi)部間，也有著復(fù)雜的信息流。

以S5聯(lián)鎖子系統(tǒng)為例，流入的信息流有：CTC信息、TCC信息、站內(nèi)設(shè)備信息；流出的信息流有：CTC信息、TCC信息、站內(nèi)設(shè)備信息、RBC信息。各信息說明如表1所示。

這種多系統(tǒng)協(xié)同工作的大系統(tǒng)，面臨的共同問題是子系統(tǒng)間信息流的故障傳播，一個(gè)子系統(tǒng)信息流故障時(shí)如何抑制其傳播，以縮小有害影響。

在TR50506-2中，對(duì)故障傳播給出一個(gè)示例，如圖2所示。

圖1 CTCS信號(hào)系統(tǒng)數(shù)據(jù)流

在一個(gè)指定的功能單元（FU）內(nèi)的錯(cuò)誤傳播（如內(nèi)部傳播）是由計(jì)算過程導(dǎo)致的：一個(gè)錯(cuò)誤成功地演化成其他錯(cuò)誤。

錯(cuò)誤傳播從一個(gè)功能單元(i級(jí))到另一個(gè)從i級(jí)功能單元接受服務(wù)的功能單元（i+1級(jí)）通過服務(wù)接口傳播發(fā)生。同時(shí)，i級(jí)功能單元提供給i+1級(jí)的服務(wù)錯(cuò)誤，且隨后i+1級(jí)功能單元的故障看起來是i級(jí)功能單元的一個(gè)外部失效，并將錯(cuò)誤傳播給了i+1級(jí)別的功能單元。

此處指的功能單元，可以是某個(gè)子系統(tǒng)，也可以是某個(gè)子系統(tǒng)內(nèi)部的一個(gè)模塊，失效傳播的機(jī)制是類似的。

2.4 單故障

從飛機(jī)系統(tǒng)安全性的發(fā)展來看，安全性的提升經(jīng)歷了以下幾個(gè)階段：

階段1：追求系統(tǒng)功能的完整性，沒有引入單故障概念；

表1 聯(lián)鎖系統(tǒng)與RBC交互信息

圖2 故障、錯(cuò)誤和失效的產(chǎn)生以及表現(xiàn)機(jī)制的例子

階段2：完整性加上有限的設(shè)計(jì)特征選擇冗余，考慮單故障的故障率；

階段3：引入單故障概念，必須考慮災(zāi)難性單故障；

階段4：引入故障安全概念，考慮任一單故障加上任一可預(yù)知故障組合。使用FMEA，F(xiàn)HA，F(xiàn)TA進(jìn)行風(fēng)險(xiǎn)分析。

借鑒飛機(jī)系統(tǒng)的安全性，結(jié)合鐵路信號(hào)設(shè)備運(yùn)行的實(shí)踐情況來看，單故障在鐵路信號(hào)設(shè)備中可以引起巨大的危害，鐵路相關(guān)的標(biāo)準(zhǔn)，如EN 50129，明確提出了對(duì)單點(diǎn)隨機(jī)故障的防護(hù)要求，對(duì)于SIL3/SIL4系統(tǒng)，任何單一可能的隨機(jī)故障，不應(yīng)導(dǎo)致系統(tǒng)處于危險(xiǎn)狀態(tài)，危及行車安全。

從鐵路信號(hào)設(shè)備的實(shí)際運(yùn)營情況來看，相比單點(diǎn)隨機(jī)故障，系統(tǒng)性的單點(diǎn)故障頻率更高，產(chǎn)生的危害也更大。

3 安全性改進(jìn)

有針對(duì)性地給出應(yīng)對(duì)系統(tǒng)高復(fù)雜性、信息隱藏、多系統(tǒng)協(xié)同工作和單故障的幾點(diǎn)改進(jìn)研究方向。

3.1 形式化

形式化方法（Formal Methods）的基本含義是借助數(shù)學(xué)方法來研究計(jì)算機(jī)科學(xué)中的有關(guān)問題。

形式化方法提供一個(gè)框架，在框架中可以用數(shù)學(xué)的方式開發(fā)和驗(yàn)證系統(tǒng)。

形式化方法在EN 50129和EN 50128中都有要求。由于軟件的錯(cuò)誤都是系統(tǒng)性故障，沒有隨機(jī)性故障，所以在EN 50128中，多次出現(xiàn)對(duì)形式化方法的強(qiáng)烈推薦（HR）使用要求。

如在EN 50128中，表A.2軟件需求規(guī)范，采用形式化方法進(jìn)行軟件需求描述，被強(qiáng)烈推薦使用。

對(duì)于形式化方法來說，由于其基于嚴(yán)格的數(shù)學(xué)，具有嚴(yán)格的語法和語義定義，從而可以準(zhǔn)確地描述系統(tǒng)模型，排除矛盾、二義性、含糊性等情況；同時(shí)，在對(duì)系統(tǒng)進(jìn)行嚴(yán)格描述的過程中，將會(huì)幫助用戶明確其原本模糊的需求，并發(fā)現(xiàn)用戶所陳述的需求中存在的矛盾等情況，從而相對(duì)完整、正確地理解用戶需求，最終得到一個(gè)完整、正確的系統(tǒng)模型。

形成完整的形式化模型后，則可以進(jìn)行形式證明。

在EN 50128表A.5，如表2所示，驗(yàn)證和測(cè)試中，形式證明技術(shù)在SIL3和SIL4等級(jí)中被強(qiáng)烈推薦使用。

表2 驗(yàn)證和測(cè)試技術(shù)要求

形式證明的目標(biāo)是使用理論模型、數(shù)學(xué)模型及規(guī)則，就有可能在程序不需要運(yùn)行的條件下證明程序的正確性。

如PROVER公司提供針對(duì)鐵路信號(hào)領(lǐng)域的形式化證明工具。在根據(jù)要求編寫形式化設(shè)計(jì)規(guī)范、測(cè)試規(guī)范、安全規(guī)范后，可以證明軟件實(shí)現(xiàn)的正確性。由于形式化證明是基于數(shù)學(xué)的方法，其結(jié)果是嚴(yán)謹(jǐn)可信的?；蛘哒f在假設(shè)其前期規(guī)范正確的前提下，產(chǎn)生的軟件是無錯(cuò)的。

法國在鐵路信號(hào)的形式化上應(yīng)用較多，如巴黎地鐵14號(hào)線的安全關(guān)鍵部分就采用形式化的開發(fā)和證明方法。

對(duì)于復(fù)雜的軟件，采用形式化方法開發(fā)、形式證明；或?qū)扔袀鹘y(tǒng)開發(fā)方法設(shè)計(jì)的復(fù)雜系統(tǒng)，采用形式化方法來對(duì)其驗(yàn)證，或要求第三方采用形式化方法來進(jìn)行獨(dú)立形式驗(yàn)證，可能是復(fù)雜系統(tǒng)安全性提升的一個(gè)重點(diǎn)方向。

3.2 信息可視化

可視化是指將數(shù)據(jù)信息轉(zhuǎn)化為一種視覺形式，其充分利用人們對(duì)可視模式快速識(shí)別的自然能力?？梢暬瘜⑷四X與計(jì)算機(jī)這兩個(gè)最強(qiáng)大的信息處理系統(tǒng)聯(lián)系在一起?？梢暯缑婺軌蚋行У乇O(jiān)視、操作、過濾、對(duì)比與理解大規(guī)模數(shù)據(jù)，并與之方便交互，從而可以極其有效地發(fā)現(xiàn)隱藏在信息內(nèi)部的特征和規(guī)律。

可視化是一種計(jì)算方法，它把計(jì)算機(jī)使用的數(shù)字和代碼轉(zhuǎn)換成幾何信息，使外部人員可以觀看他們的計(jì)算邏輯和結(jié)果。

對(duì)于基于計(jì)算機(jī)的鐵路信號(hào)設(shè)備來說，數(shù)據(jù)信息的可視化，應(yīng)包括將安全相關(guān)運(yùn)算和輸出結(jié)果信息以易于工程和操作人員理解、熟悉的圖形化形式直觀展示出來。

對(duì)于研發(fā)人員來說，關(guān)鍵信息的圖形化展示，每一個(gè)數(shù)據(jù)項(xiàng)作為單個(gè)圖元元素表示，大量的數(shù)據(jù)集構(gòu)成數(shù)據(jù)圖像，同時(shí)將數(shù)據(jù)的各個(gè)屬性值以多維數(shù)據(jù)的形式表示，可以從不同的維度觀察數(shù)據(jù)，從而對(duì)數(shù)據(jù)進(jìn)行更深入的觀察和分析。

對(duì)于工程、調(diào)試、運(yùn)營、維護(hù)人員來說，關(guān)鍵信息的圖形化展示，可以實(shí)時(shí)、全面地向使用人員交互設(shè)備狀態(tài)和輸出，作為圖形化信息的觀察者，可以方便、直觀地與自己的預(yù)期進(jìn)行比較，更容易發(fā)現(xiàn)問題。

如聯(lián)鎖系統(tǒng)對(duì)于涉及行車安全的對(duì)外輸出信息，根據(jù)是否在人機(jī)界面進(jìn)行顯示，說明如表3所示。

根據(jù)數(shù)據(jù)信息可視化原則，對(duì)于涉及行車安全的信息，應(yīng)在有人值守終端進(jìn)行顯示，而不是只由最終使用該信息的系統(tǒng)進(jìn)行處理和使用。

遵循信息可視化原則可以大大增加各個(gè)環(huán)節(jié)發(fā)現(xiàn)錯(cuò)誤輸出的概率。

聯(lián)鎖形成的給RBC的SA信息應(yīng)與進(jìn)路信息疊加顯示；CTC顯示RBC生成的行車許可延伸。當(dāng)信息有誤時(shí)，操作人員有機(jī)會(huì)及時(shí)發(fā)現(xiàn)和盯防，在系統(tǒng)調(diào)試期間也容易發(fā)現(xiàn)異常。

表3 聯(lián)鎖輸出數(shù)據(jù)信息

如果所有安全信息輸出不能實(shí)現(xiàn)，至少在調(diào)試，測(cè)試、安裝階段，應(yīng)具備信息可視化的條件，使隱藏故障容易發(fā)現(xiàn)。

3.3 信息融合

多源信息融合(簡(jiǎn)稱為信息融合)是指組合和合并多個(gè)來源的信息或數(shù)據(jù)以便形成一個(gè)統(tǒng)一結(jié)果的技術(shù)。它起源于軍事領(lǐng)域中的多傳感器綜合應(yīng)用，往往又叫多傳感器數(shù)據(jù)融合(或數(shù)據(jù)融合)。

信息融合是一種多層次、多方面的數(shù)據(jù)處理過程，對(duì)來自多個(gè)信息源的數(shù)據(jù)進(jìn)行自動(dòng)檢測(cè)、關(guān)聯(lián)、相關(guān)、估計(jì)及組合等處理。

對(duì)于高速鐵路信號(hào)控制系統(tǒng)這種多協(xié)作、多數(shù)據(jù)來源的大系統(tǒng)，有條件做信息融合處理。對(duì)于涉及行車安全的信息，當(dāng)具備多信息融合的條件時(shí)，應(yīng)采用自監(jiān)督或相互監(jiān)督的機(jī)制，對(duì)多數(shù)據(jù)進(jìn)行關(guān)聯(lián)、組合等處理，通過多數(shù)據(jù)源來提高安全性、同時(shí)防止錯(cuò)誤的數(shù)據(jù)在子系統(tǒng)間有害傳播。

根據(jù)《鐵路車站計(jì)算機(jī)聯(lián)鎖安全原則》TB/T3482如下2條要求。

1） 來自其他安全系統(tǒng)的通信數(shù)據(jù)，如果經(jīng)安全校驗(yàn)后數(shù)據(jù)出現(xiàn)非預(yù)期或矛盾的結(jié)果，計(jì)算機(jī)聯(lián)鎖系統(tǒng)應(yīng)采取安全措施。

推而廣之，所有安全相關(guān)的設(shè)備，作為信息使用方，可以在已有信息的基礎(chǔ)上根據(jù)冗余信息進(jìn)行規(guī)則符合性校驗(yàn)，避免單一信息出錯(cuò)造成不可接受的安全后果。

某一信息接收方，當(dāng)具有一致或相近信息含義的數(shù)據(jù)具有多個(gè)來源時(shí)，應(yīng)對(duì)多來源數(shù)據(jù)進(jìn)行基于安全的一致性檢查。

2） 聯(lián)鎖軟件內(nèi)部同一設(shè)備狀態(tài)和運(yùn)算結(jié)果，需要對(duì)外驅(qū)動(dòng)以及給多個(gè)外部系統(tǒng)發(fā)送時(shí)，對(duì)外驅(qū)動(dòng)以及給各系統(tǒng)發(fā)送的信息含義應(yīng)一致。

推而廣之，所有安全相關(guān)的設(shè)備，軟件應(yīng)采取技術(shù)手段檢查輸出的一致性。如車載可根據(jù)收到的C2和C3信息，進(jìn)行基于安全的行車許可比較，提升系統(tǒng)安全性能。

3.4 單故障防御

EN 50129中對(duì)單故障的要求：當(dāng)可識(shí)別的任何一種單一隨機(jī)硬件故障發(fā)生時(shí)，應(yīng)保證SIL3/SIL4的系統(tǒng)保持安全。

除單一故障外，還對(duì)多重故障的影響有要求：應(yīng)及時(shí)檢測(cè)可能直接造成危害或與繼發(fā)故障組合后造成危害的多重故障（例如兩重或三重故障），并且強(qiáng)制達(dá)到一個(gè)安全狀態(tài)。

另外，還要求進(jìn)行共因失效分析，以確保多重故障只在多個(gè)隨機(jī)單一故障組合情況下發(fā)生，而不是一個(gè)共因故障的結(jié)果。

EN 50129中，對(duì)單一故障防御的要求是基于硬件隨機(jī)故障提出的，基于硬件的隨機(jī)故障，系統(tǒng)性故障則不可量化。比如軟件的實(shí)現(xiàn)錯(cuò)誤，是通過一系列技術(shù)、質(zhì)量、安全管理的要求，來降低系統(tǒng)性故障發(fā)生的概率。

從另一個(gè)角度來說，EN 50129并沒有提出對(duì)系統(tǒng)性單一故障防御的要求。而是采取了與SIL等級(jí)對(duì)應(yīng)的技術(shù)和管理措施后，可以認(rèn)為系統(tǒng)性故障發(fā)生的概率與硬件隨機(jī)性故障在一個(gè)量級(jí)上。

但是目前鐵路領(lǐng)域的信號(hào)系統(tǒng)，其規(guī)模、復(fù)雜度均已經(jīng)達(dá)到很高的水平，通過采取標(biāo)準(zhǔn)要求的技術(shù)和管理措施，從實(shí)踐來看，是否能同硬件隨機(jī)失效一樣，降低到可以忽略的水平，是一個(gè)值得商榷和進(jìn)一步探討的問題。

正如EN 50129中B3.6中提到的系統(tǒng)性故障防護(hù)（人的設(shè)計(jì)錯(cuò)誤，軟件錯(cuò)誤）要求：除通過質(zhì)量和安全管理技術(shù)來減少人為錯(cuò)誤的概率之外，還應(yīng)通過技術(shù)性措施，使即便存在一個(gè)危害性系統(tǒng)性故障，也應(yīng)最大程度地防止它產(chǎn)生不可接受的風(fēng)險(xiǎn)。不妨也在有條件時(shí)，適當(dāng)考慮單一的系統(tǒng)性故障防御，如上文提到的多源數(shù)據(jù)校驗(yàn)、信息可視化技術(shù)，從工程實(shí)踐的角度，提高鐵路信號(hào)設(shè)備的安全水平。

4 總結(jié)和展望

本文通過對(duì)高速鐵路信號(hào)系統(tǒng)的發(fā)展、面臨的問題和挑戰(zhàn)的分析，提出安全性改進(jìn)的幾個(gè)可能的方向，希望能夠進(jìn)一步提升中國高速鐵路信號(hào)系統(tǒng)的安全性，滿足人們安全、高效出行的要求。

[1]中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 28808-2012 軌道交通 通信、信號(hào)和處理系統(tǒng)控制和防護(hù)系統(tǒng)軟件[S].北京：中國標(biāo)準(zhǔn)出版社，2013.

[2]中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員.GB/T 28809-2012 軌道交通 通信、信號(hào)和處理系統(tǒng)信號(hào)用安全相關(guān)電子系統(tǒng)[S].北京：中國標(biāo)準(zhǔn)出版社，2013.

[3]國家鐵路局.TB/T 3482-2017 鐵路車站計(jì)算機(jī)聯(lián)鎖安全原則[S].北京：中國鐵道出版社，2017.

[4]中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 20438.1-2006 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全[S].北京：中國標(biāo)準(zhǔn)出版社，2006.

[5]佘曉麗.協(xié)同交互失效分析方法及鐵路信號(hào)系統(tǒng)應(yīng)用[D].北京：清華大學(xué)，2016.

[6]英國標(biāo)準(zhǔn)學(xué)會(huì).BS PD CLC/TR 50506-2-2009鐵路應(yīng)用-通信、信號(hào)和處理系統(tǒng)-50129應(yīng)用指導(dǎo)[S].英國標(biāo)準(zhǔn)學(xué)會(huì)，2009.

[7]呂毅.形式化方法介紹及其在工程中的應(yīng)用[J].微電子學(xué)與計(jì)算機(jī),2003（10）：26-28.

[8]陳科文.多源信息融合關(guān)鍵問題、研究進(jìn)展與新動(dòng)向[J].計(jì)算機(jī)科學(xué)，2013（8）：6-8.