車車通信的列控系統(tǒng)動(dòng)靜結(jié)合安全策略

馮浩楠， 范 楷， 滕 達(dá)， 臧一佩

(1.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司通信信號(hào)研究所, 北京 100081； 2.國(guó)家鐵路智能運(yùn)輸系統(tǒng)工程技術(shù)研究中心, 100081, 北京)

隨著移動(dòng)通信、計(jì)算機(jī)和自動(dòng)化控制技術(shù)的不斷發(fā)展,鐵路控制系統(tǒng)的控制效率不斷提升。目前,基于通信的列車控制(communication-based train control, CBTC)系統(tǒng)憑借精準(zhǔn)列車控制、連續(xù)列車間隔控制和超速防護(hù)等優(yōu)點(diǎn),成為城市軌道交通信號(hào)系統(tǒng)的首選[1]。為進(jìn)一步挖掘CBTC系統(tǒng)運(yùn)行潛力,提出了車車通信的列控(vehicle-based train control, VBTC)系統(tǒng)[2],通過列車之間的直接通信和協(xié)調(diào)控制,實(shí)現(xiàn)以列車為中心和車地功能一體化,減少軌旁控制系統(tǒng)數(shù)量,降低信號(hào)系統(tǒng)投資成本和便利后期維護(hù)[3]。目前VBTC系統(tǒng)仍處于研究階段,成熟的應(yīng)用案例較少。Briginshaw[4]、陳姣[5]、姜宏闊等[6]提出了各自的VBTC系統(tǒng),架構(gòu)存在較大的區(qū)別。針對(duì)形式各異的VBTC系統(tǒng),如何制定一套通用安全策略,保證新系統(tǒng)的安全性是亟待解決的問題。方宇恒等[7]基于信息物理系統(tǒng)(cyber physical system, CPS)架構(gòu)對(duì)VBTC系統(tǒng)進(jìn)行了模塊化設(shè)計(jì)和安全控制功能設(shè)計(jì)。陳坦[8]研究了北京交通大學(xué)的VBTC系統(tǒng)信息同步的移動(dòng)授權(quán)(moving authority, MA)計(jì)算防護(hù)和相對(duì)追蹤模式下的安全控制方法,但是提出的安全方案理論性較強(qiáng),缺少工程應(yīng)用的實(shí)操性；防護(hù)功能驗(yàn)證也停留在仿真實(shí)驗(yàn)階段,未對(duì)新功能進(jìn)行形式化安全驗(yàn)證。

現(xiàn)從VBTC系統(tǒng)架構(gòu)和行為出發(fā),提出動(dòng)靜結(jié)合安全防護(hù)策略:在系統(tǒng)架構(gòu)方面,VBTC系統(tǒng)的信息物理屬性包含功能安全和信息安全兩大特點(diǎn),為靜態(tài)防護(hù)安全架構(gòu)的建立提供了出發(fā)點(diǎn)；從系統(tǒng)運(yùn)行角度方面,重點(diǎn)針對(duì)VBTC系統(tǒng)中新的運(yùn)行模式,基于PN網(wǎng)(Petri network)尋找系統(tǒng)動(dòng)態(tài)狀態(tài)中的高風(fēng)險(xiǎn)因素,制定動(dòng)態(tài)防護(hù)措施確保安全。動(dòng)靜結(jié)合的安全策略立足于VBTC系統(tǒng)的特點(diǎn),對(duì)系統(tǒng)的特性和行為進(jìn)行全面分析,統(tǒng)一的安全策略為VBTC系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)提供了切實(shí)可行的安全指導(dǎo),保障系統(tǒng)安全運(yùn)行。

1 VBTC系統(tǒng)

與CBTC系統(tǒng)相比,VBTC系統(tǒng)移除大量的軌旁控制設(shè)備,將其控制功能完全轉(zhuǎn)移到車載系統(tǒng)中實(shí)現(xiàn)。雖然VBTC的形式各異,但關(guān)鍵系統(tǒng)和基本原理基本相同,主要包括:自動(dòng)列車監(jiān)控系統(tǒng)(automatic train supervision, ATS)、對(duì)象控制器(object controller, OC)、VOBC和數(shù)據(jù)通信系統(tǒng)(digital communication system, DCS)系統(tǒng)。ATS系統(tǒng)將運(yùn)行計(jì)劃圖發(fā)送給車載控制系統(tǒng)(vehicle on board contro-ller, VOBC),并實(shí)時(shí)與OC保持通信；列車根據(jù)運(yùn)行計(jì)劃圖運(yùn)行,自主排列行進(jìn)進(jìn)路,當(dāng)進(jìn)路中需要轉(zhuǎn)到道岔時(shí),VOBC系統(tǒng)通過給OC發(fā)送道岔轉(zhuǎn)動(dòng)的控制命令,同時(shí)負(fù)責(zé)列車行進(jìn)安全,并實(shí)時(shí)向ATS系統(tǒng)報(bào)告列車運(yùn)行狀況。系統(tǒng)間的信息交互如圖1所示。

圖1 VBTC系統(tǒng)信息交互Fig.1 Information interaction of VBTC system

按照信息物理系統(tǒng)架構(gòu)劃分,VBTC系統(tǒng)自上向下可以分為應(yīng)用層、協(xié)同處理層、網(wǎng)絡(luò)層和感知層4個(gè)層次。應(yīng)用層主要指ATS系統(tǒng),實(shí)現(xiàn)人機(jī)交互和運(yùn)營(yíng)決策。協(xié)調(diào)處理層主要指車載控制處理設(shè)備,具體指VOBC系統(tǒng),協(xié)同運(yùn)轉(zhuǎn)保證車輛安全運(yùn)行。網(wǎng)絡(luò)層主要指DCS系統(tǒng),網(wǎng)絡(luò)層通過WIFI網(wǎng)絡(luò)或者LTE移動(dòng)網(wǎng)絡(luò)實(shí)現(xiàn)車載系統(tǒng)之間數(shù)據(jù)、信息的交互,滿足實(shí)時(shí)通信的功能。感知層主要指OC控制的各種物理設(shè)備,具備包括道岔轉(zhuǎn)轍機(jī)、緊停按鈕、防淹門、安全門和應(yīng)答器等,實(shí)現(xiàn)物理環(huán)境數(shù)據(jù)的傳感；執(zhí)行系統(tǒng)發(fā)送的控制命令。其中,VBTC系統(tǒng)的信息屬性集中在網(wǎng)絡(luò)層、協(xié)調(diào)處理層和應(yīng)用層；物理屬性體現(xiàn)在感知層。VBTC系統(tǒng)的信息物理架構(gòu)如圖2所示。

圖2 VBTC系統(tǒng)信息物理系統(tǒng)架構(gòu)Fig.2 Cyber-physical system architecture for VBTC system

2 VBTC系統(tǒng)的靜態(tài)安全分析及防護(hù)策略

2.1 VBTC系統(tǒng)靜態(tài)風(fēng)險(xiǎn)分析

根據(jù)威脅來源,系統(tǒng)的安全屬性可分為功能安全和信息安全兩類。功能安全威脅來自系統(tǒng)內(nèi)部,與系統(tǒng)自身本體密切相關(guān),對(duì)系統(tǒng)可用性、人和環(huán)境造成危害；信息安全的威脅主要來源于系統(tǒng)外部,是外部因素利用系統(tǒng)缺陷對(duì)系統(tǒng)進(jìn)行攻擊,除對(duì)系統(tǒng)、人和環(huán)境造成危害,還會(huì)包括信息泄露[9]。

VBTC的4層架構(gòu)中,應(yīng)用層是與用戶直接操作有關(guān),具體指ATS設(shè)備與值班員之間的信息交互,由于應(yīng)用系統(tǒng)種類繁多,安全需求差異較大,給整個(gè)系統(tǒng)的安全性帶了挑戰(zhàn)。協(xié)同處理層主要指車載設(shè)備在收集到地面和相鄰車載數(shù)據(jù)后,需要進(jìn)行算法處理并正確指導(dǎo)列車行進(jìn),該層的安全算法直接關(guān)系到列車運(yùn)行安全。網(wǎng)絡(luò)層用于數(shù)據(jù)傳輸匯聚傳輸，容易受到DoS等網(wǎng)絡(luò)的攻擊,同時(shí)異構(gòu)網(wǎng)絡(luò)存在數(shù)據(jù)格式、協(xié)議認(rèn)證不同的問題,易成為系統(tǒng)的安全隱患。感知層是系統(tǒng)的基礎(chǔ),屬于物理領(lǐng)域范疇,物理設(shè)備種類繁多都部署在無人值守的環(huán)境中,容易成為系統(tǒng)的安全隱患。

2.2 VBTC系統(tǒng)的靜態(tài)安全防護(hù)技術(shù)

VBTC的應(yīng)用層主要指ATS和操作員之間的信息交互,安全防護(hù)重點(diǎn)關(guān)注在對(duì)人員身份的鑒別和控制,可采用身份鑒定技術(shù)措施和規(guī)章制度相結(jié)合的方式確保操作過程的安全。

VBTC的協(xié)調(diào)處理層具體指車載系統(tǒng)從網(wǎng)絡(luò)層接收到前后車數(shù)據(jù)和地面ATS數(shù)據(jù)后,進(jìn)行的控車運(yùn)算處理,實(shí)現(xiàn)列車之間平穩(wěn)安全行駛。數(shù)據(jù)處理和邏輯算法處理是本層的核心,數(shù)據(jù)處理可采用二取二方法確保數(shù)據(jù)安全性,邏輯算法中采取防御編程策略保證邏輯的正確性。

VBTC的網(wǎng)絡(luò)層采用的安全措施需要保證數(shù)據(jù)在通信過程中的安全性,包括完整性、一致性和機(jī)密性等要求。目前在鐵路、城市軌道交通控制系統(tǒng)中應(yīng)用的RSSP-Ⅰ和RSSP-Ⅱ的安全協(xié)議,通過采用序列號(hào)、目的標(biāo)識(shí)、時(shí)間戳、加密技術(shù)等技術(shù)應(yīng)對(duì)網(wǎng)絡(luò)傳輸中出現(xiàn)的數(shù)據(jù)重復(fù)、刪除、重排序、損壞和延遲等安全風(fēng)險(xiǎn),VBTC系統(tǒng)可以沿用此類安全協(xié)議來滿足安全通信的要求。

VBTC的感知層需要重點(diǎn)關(guān)注設(shè)備的物理安全,確?；A(chǔ)數(shù)據(jù)的采集和控制命令的有效執(zhí)行。重點(diǎn)關(guān)注道岔、屏蔽門等軌旁設(shè)備的安全,這些設(shè)備提供的進(jìn)路信息直接關(guān)系到行車安全。OC為根據(jù)車輛信息控制道岔運(yùn)轉(zhuǎn),因此要確保其安全可靠。

國(guó)際標(biāo)準(zhǔn)ISA-62443-1-1將系統(tǒng)的安全屬性分為身份驗(yàn)證控制、用戶控制、系統(tǒng)完整性、數(shù)據(jù)機(jī)密性、受限數(shù)據(jù)、響應(yīng)及時(shí)性和資源可用性7個(gè)屬性。表1總結(jié)了工業(yè)控制系統(tǒng)和軌道交通控制系統(tǒng)中常用的安全防護(hù)技術(shù),以及其與風(fēng)險(xiǎn)威脅、安全屬性的對(duì)應(yīng)關(guān)系。

表1 軌道交通控制系統(tǒng)安全防護(hù)技術(shù)

續(xù)表1

基于CPS架構(gòu),軌道交通控制系統(tǒng)成熟的安全技術(shù)在信息和物理兩個(gè)領(lǐng)域,在VBTC系統(tǒng)4個(gè)層次的靜態(tài)安全防護(hù)策略如表2所示。其中,信息領(lǐng)域特性的部分安全技術(shù)可以在多個(gè)層次發(fā)揮作用；而類似波分復(fù)用物理領(lǐng)域技術(shù)僅對(duì)感知層的信息安全起到作用。

3 VBTC系統(tǒng)的動(dòng)態(tài)安全分析及防護(hù)策略

3.1 VBTC系統(tǒng)運(yùn)行場(chǎng)景

車車通信為VBTC系統(tǒng)新增核心場(chǎng)景,VOBC系統(tǒng)識(shí)別出運(yùn)營(yíng)路徑上唯一的前車,并根據(jù)識(shí)別出的前車ID向其發(fā)起通信,前車進(jìn)行無條件應(yīng)答。識(shí)別前車的基礎(chǔ)是車載設(shè)備具備全線列車信息,ATS發(fā)送的行車計(jì)劃,以及OC提供的進(jìn)路信息。車載車車通信模塊在識(shí)別出唯一前車后,向前車發(fā)起通信,查詢前車狀態(tài),前車無條件應(yīng)答,向后車提供自身速度、加速度等列車狀態(tài)信息。VOBC系統(tǒng)中的聯(lián)鎖模塊在此前已經(jīng)與OC協(xié)同完成進(jìn)路的排列過程,所以應(yīng)能提供進(jìn)路的終點(diǎn)給車載MA計(jì)算模塊,車載MA計(jì)算模塊綜合前車狀態(tài)及進(jìn)路狀態(tài)信息,計(jì)算出列車的MA終點(diǎn)。整個(gè)場(chǎng)景如圖3所示。

由圖3可知,車車通信場(chǎng)景涉及11個(gè)通信流程。為了降低模型的復(fù)雜度,增強(qiáng)關(guān)鍵場(chǎng)景模型識(shí)別度,將車車通信場(chǎng)景分為與前車通信和車載MA計(jì)算兩個(gè)場(chǎng)景進(jìn)行分析。

表2 VBTC系統(tǒng)靜態(tài)安全防護(hù)策略

圖3 車車通信場(chǎng)景Fig.3 Scenario of train to train communication

3.2 與前車通信場(chǎng)景的動(dòng)態(tài)安全分析

3.2.1 與前車通信場(chǎng)景的PN建模

與前車通信場(chǎng)景的PN模型如圖4所示,表3描述了PN模型中的各庫(kù)所和變遷的物理意義。該模型庫(kù)所表達(dá)本車、前車車載設(shè)備及前車信息的狀態(tài)；變遷則是表示信息編制、生成、傳遞的全過程。模型的初始狀態(tài)是M0={P1,P12},表示車輛已成功辨識(shí)唯一前車,但未與前車建立聯(lián)系且DCS、本車、前車車載設(shè)備均無故障的狀態(tài)。由此狀態(tài)向后發(fā)展完成整個(gè)過程,進(jìn)一步得到模型的可達(dá)標(biāo)識(shí)集，如表4所示。

圖4 與前車通信場(chǎng)景的PN模型Fig.4 PN model of communication with front train

表3 與前車通信場(chǎng)景PN模型庫(kù)所及變遷含義

3.2.2 與前車通信場(chǎng)景的風(fēng)險(xiǎn)分析

表4 與前車通信場(chǎng)景Petri網(wǎng)可達(dá)標(biāo)志集

表5 與前車通信場(chǎng)景PN模型的高風(fēng)險(xiǎn)及對(duì)應(yīng)臨界狀態(tài)集

由表5可以分析出,當(dāng)前車車載系統(tǒng)故障情況下生成前車信息(P10庫(kù)所),DCS系統(tǒng)故障情況下進(jìn)行信息傳遞(P14,P4庫(kù)所),以及車載設(shè)備故障情況下進(jìn)行前車信息解析(P19庫(kù)所)時(shí),系統(tǒng)會(huì)產(chǎn)生安全問題。也就是說,M14、M15、M5、M17、M26、M27均是疑似高風(fēng)險(xiǎn)狀態(tài)。但進(jìn)一步分析可以看出,列車發(fā)出的前車狀態(tài)申請(qǐng)信息在傳遞過程中產(chǎn)生的延時(shí)或錯(cuò)亂(P4庫(kù)所)并不會(huì)產(chǎn)生安全問題,所以該系統(tǒng)模型的高風(fēng)險(xiǎn)狀態(tài)為M14、M15、M17、M26、M27。對(duì)模型進(jìn)行可達(dá)性分析,可以得出該模型的狀態(tài)可達(dá)圖，如圖5所示。由圖5可以看出,從原始狀態(tài)M0到可達(dá)狀態(tài)M24交織成網(wǎng)狀,系統(tǒng)運(yùn)行狀態(tài)的變化標(biāo)識(shí)較多。根據(jù)與前車通信場(chǎng)景的PN模型動(dòng)態(tài)分析系統(tǒng)的各個(gè)狀態(tài)標(biāo)識(shí)的可達(dá)性,從而尋找危險(xiǎn)狀態(tài)集,如表5所示。

圖5 與前車通信場(chǎng)景Petri網(wǎng)狀態(tài)可達(dá)圖Fig.5 Reachability map of Petri network of communication with front train

3.2.3 與前車通信場(chǎng)景的安全策略

表5中的高風(fēng)險(xiǎn)狀態(tài)產(chǎn)生的原因,以及如何使臨界狀態(tài)下的系統(tǒng)不向高風(fēng)險(xiǎn)狀態(tài)變遷原因和相應(yīng)的安全策略如下。

(1)M14狀態(tài)產(chǎn)生的原因是前車車載系統(tǒng)在故障情況下編制前車狀態(tài)信息并發(fā)送,若列車收到有錯(cuò)誤的前車狀態(tài)信息則會(huì)直接影響列車MA計(jì)算,從而產(chǎn)生安全問題。M11為該高風(fēng)險(xiǎn)狀態(tài)的臨界狀態(tài),M11通過變遷T8可達(dá)高風(fēng)險(xiǎn)狀態(tài)M14,所以,防止T8變遷點(diǎn)火,可以防止系統(tǒng)到達(dá)高風(fēng)險(xiǎn)狀態(tài)M14。防止T8變遷的物理意義可以解釋為在前車車載系統(tǒng)故障的情況下(庫(kù)所P8),車載系統(tǒng)應(yīng)具備較高的自我診斷能力,正確識(shí)別出自身故障狀態(tài),并且切段在故障情況下的輸出。也就是說,車載系統(tǒng)應(yīng)具備較高的安全等級(jí)。同理,M15狀態(tài)的情況與M14相同,不再贅述。

(2)M17狀態(tài)產(chǎn)生的原因是DCS系統(tǒng)在故障情況下,進(jìn)行前車狀態(tài)信息的傳遞。這種情況下前車狀態(tài)信息在傳遞過程中會(huì)產(chǎn)生延時(shí)或錯(cuò)亂,列車應(yīng)用延時(shí)或錯(cuò)亂的前車狀態(tài)信息進(jìn)行MA計(jì)算,會(huì)產(chǎn)生安全問題。M13為高風(fēng)險(xiǎn)狀態(tài)M17的臨界狀態(tài),臨界狀態(tài)M13通過變遷T13的點(diǎn)火到達(dá)高風(fēng)險(xiǎn)狀態(tài)M17,所以,防止變遷T13點(diǎn)火,可以防止系統(tǒng)到達(dá)高風(fēng)險(xiǎn)狀態(tài)M13。防止變遷T13點(diǎn)火的物理意義可以解釋為,在DCS設(shè)備故障時(shí),應(yīng)避免信息的傳遞,使設(shè)備導(dǎo)向安全。同時(shí),在設(shè)備的接收端,也應(yīng)具備相應(yīng)的信息驗(yàn)證機(jī)制,對(duì)信息進(jìn)行實(shí)時(shí)性及正確性的驗(yàn)證,也即提高變遷T14的點(diǎn)火條件。

(3)M26狀態(tài)產(chǎn)生的原因是前車車載系統(tǒng)在故障情況下解析前車狀態(tài)信息并用于計(jì)算,顯然會(huì)直接影響列車MA計(jì)算,從而產(chǎn)生安全問題。M21為該高風(fēng)險(xiǎn)狀態(tài)的臨界狀態(tài),M21通過變遷T19可達(dá)高風(fēng)險(xiǎn)狀態(tài)M26,所以,防止T19變遷點(diǎn)火,可以防止系統(tǒng)到達(dá)高風(fēng)險(xiǎn)狀態(tài)M26。防止T19變遷的物理意義可以解釋為,在車載系統(tǒng)故障的情況下(庫(kù)所P17),車載系統(tǒng)應(yīng)具備較高的自我診斷能力,正確識(shí)別出自身故障狀態(tài),并且切段在故障情況下的輸出。也就是說,車載系統(tǒng)應(yīng)具備較高的安全等級(jí)。同理,M27狀態(tài)的情況與M26相同,不再贅述。

3.3 車載設(shè)備MA計(jì)算的動(dòng)態(tài)安全分析

3.3.1 MA計(jì)算場(chǎng)景的PN建模

車載設(shè)備MA計(jì)算的PN模型如圖6所示,PN網(wǎng)中的各庫(kù)所和變遷的物理意義如表6所示。模型庫(kù)所描述車載設(shè)備和軌旁設(shè)備的狀態(tài)；變遷表示MA計(jì)算過程。模型的初始狀態(tài)是M0={P1,P2,P4},表示車輛收到前車狀態(tài)信息且車載設(shè)備軌旁設(shè)備均無故障的狀態(tài)。由此狀態(tài)向后發(fā)展完成整個(gè)過程,可以得到模型的可達(dá)標(biāo)識(shí)集，如表7所示。

3.3.2 MA計(jì)算場(chǎng)景的風(fēng)險(xiǎn)分析

當(dāng)車載系統(tǒng)故障情況下進(jìn)行MA計(jì)算(P3庫(kù)所),軌旁設(shè)備故障(道岔不密貼)且OCU系統(tǒng)故障使得故障無法被車載系統(tǒng)得知情況下進(jìn)行MA計(jì)算(P5、P7庫(kù)所同時(shí)存在令牌)時(shí),系統(tǒng)會(huì)產(chǎn)生安全問題。即M1、M4、M5、M7均是高風(fēng)險(xiǎn)狀態(tài)。對(duì)模型進(jìn)行可達(dá)性分析,可以得出該模型的狀態(tài)可達(dá)圖，如圖7所示。MA計(jì)算場(chǎng)景的PN動(dòng)態(tài)分析模型,可以分析系統(tǒng)的各個(gè)狀態(tài)標(biāo)識(shí)的可達(dá)性,從而尋找危險(xiǎn)狀態(tài)集,如表8所示。

圖6 MA計(jì)算場(chǎng)景PN模型Fig.6 PN model of MA calculation

表6 MA計(jì)算場(chǎng)景的各庫(kù)所和變遷的物理意義

表7 MA計(jì)算場(chǎng)景PN模型的可達(dá)標(biāo)志集

3.3.3 MA計(jì)算場(chǎng)景的安全策略

根據(jù)圖7和表8的信息,逐項(xiàng)分析系統(tǒng)的高風(fēng)險(xiǎn)狀態(tài)以及如何使臨界狀態(tài)下的系統(tǒng)不向高風(fēng)險(xiǎn)狀態(tài)變遷原因和相應(yīng)的安全策略如下。

(1)M1狀態(tài)產(chǎn)生的原因是車載系統(tǒng)在故障情況下計(jì)算MA,從而產(chǎn)生安全問題。M0為該高風(fēng)險(xiǎn)狀態(tài)的臨界狀態(tài),M0通過變遷T3可達(dá)高風(fēng)險(xiǎn)狀態(tài)M1,所以,防止T3變遷點(diǎn)火,可以防止系統(tǒng)到達(dá)高風(fēng)險(xiǎn)狀態(tài)M1。防止T3變遷的物理意義可以解釋為提高車載系統(tǒng)故障可靠性及安全性,車載系統(tǒng)應(yīng)具備較高的自我診斷能力,正確識(shí)別出自身故障狀態(tài),并且切段在故障情況下的輸出。也就是說,車載系統(tǒng)應(yīng)具備較高的安全等級(jí)。同理,M4狀態(tài)的情況與M1相同,不再贅述。

(2)M5狀態(tài)產(chǎn)生的原因是軌旁系統(tǒng)故障如道岔轉(zhuǎn)動(dòng)不到位且OC設(shè)備故障未能對(duì)軌旁設(shè)備故障進(jìn)行識(shí)別,列車在這種情況下進(jìn)行MA計(jì)算會(huì)跨越故障的軌旁設(shè)備,從而導(dǎo)致安全問題,但這種情況屬于一種故障疊加。M2為高風(fēng)險(xiǎn)狀態(tài)M5的臨界狀態(tài),臨界狀態(tài)M2通過變遷T1的點(diǎn)火到達(dá)高風(fēng)險(xiǎn)狀態(tài)M5,所以,防止變遷T8點(diǎn)火,可以防止系統(tǒng)到達(dá)高風(fēng)險(xiǎn)狀態(tài)M5。防止變遷T8點(diǎn)火的物理意義可以解釋為,提高OC故障可靠性及安全性,OC應(yīng)具備較高的自我診斷能力,正確識(shí)別出自身故障狀態(tài),并且切段在故障情況下的輸出,即OC系統(tǒng)應(yīng)具備較高的安全等級(jí)。同理,M7狀態(tài)是M1的與M5情況的疊加,不再贅述。

圖7 MA計(jì)算場(chǎng)景Petri網(wǎng)狀態(tài)可達(dá)圖Fig.7 Reachability map of MA calculation

表8 MA計(jì)算場(chǎng)景PN模型的高風(fēng)險(xiǎn)及對(duì)應(yīng)臨界狀態(tài)集

4 結(jié)論

VBTC系統(tǒng)作為全新的信號(hào)系統(tǒng),其安全性仍然是系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)所關(guān)注重點(diǎn)。從動(dòng)靜結(jié)合的角度,提出了VBTC系統(tǒng)的安全策略框架。靜態(tài)分析主要針對(duì)系統(tǒng)架構(gòu)中的物理和信息屬性,從功能安全和信息安全兩個(gè)角度詳述和分析了在系統(tǒng)的感知層、網(wǎng)絡(luò)層、協(xié)調(diào)處理層、應(yīng)用層的安全隱患的特性,通過聚合20種在軌道交通控制系統(tǒng)中主流的安全技術(shù)措施,形成靜態(tài)安全框架,涵蓋了VBTC系統(tǒng)中各個(gè)層次、不同特點(diǎn)的風(fēng)險(xiǎn)對(duì)應(yīng)的安全防護(hù)技術(shù)策略,為多種架構(gòu)形式的VBTC系統(tǒng)的實(shí)際操作提供了普遍適用的參考指導(dǎo)。動(dòng)態(tài)安全策略是針對(duì)VBTC系統(tǒng)新功能的動(dòng)態(tài)場(chǎng)景進(jìn)行分析,基于PN進(jìn)行建模后,借助可達(dá)標(biāo)識(shí)定位高風(fēng)險(xiǎn)狀態(tài)并制定相應(yīng)安全對(duì)策,為VBTC系統(tǒng)實(shí)際運(yùn)行過程中的故障分析提供指導(dǎo)依據(jù)。隨著人工智能、大數(shù)據(jù)等技術(shù)的不斷更新,新的智能安全技術(shù)也將不斷涌現(xiàn),必將推動(dòng)包括VBTC系統(tǒng)在內(nèi)的軌道交通控制系統(tǒng)的安全技術(shù)不斷發(fā)展。