基于贝叶斯网络的城市轨道交通CBTC系统SIL研究
2015-03-09张舟洋魏念龙
张舟洋,李 华,魏念龙
(1.兰州交通大学自动化与电气工程学院, 兰州 730070;2.呼和浩特供电段,呼和浩特 010000)
基于贝叶斯网络的城市轨道交通CBTC系统SIL研究
张舟洋1,李华1,魏念龙2
(1.兰州交通大学自动化与电气工程学院, 兰州730070;2.呼和浩特供电段,呼和浩特010000)
摘要:城市轨道交通CBTC系统是一个安全苛求系统,为了更好地分析CBTC系统的安全性,首先通过对整个系统自顶向下分析,对各子系统和单元模块的功能进行划分,建立CBTC系统的贝叶斯网络,然后再自下向上由子系统级别到整个CBTC系统级别逐步计算出CBTC系统的平均故障率,最后从系统失效的角度验证系统的安全完整性等级(Safety Integrity Level, SIL)。结果表明,在系统硬件设备的故障率不变的情况下,可以通过调整子系统的冗余结构,增加整个CBTC系统的容错能力来提高其随机故障的完整性,使得系统符合安全标准要求。
关键词:贝叶斯网络; CBTC系统; 安全完整性等级SIL
1概述
近年来,3C技术得到了前所未有的发展,CBTC系统将是今后城市轨道交通列控系统的发展趋势。CBTC系统是按照移动闭塞制式运行的列控系统,其通过车载设备和地面设备之间的双向通信,同时采用高精度的列车定位技术,实现列车高效、安全的追踪运行[1],这使得列车控制系统需要更高的可靠性和安全性。在国外,研究者定性或定量地研究评估基于风险的系统安全,以此来降低事故率、获得更高的安全投资效益[2,3],而国内,这方面的研究仍处于初级阶段[4-7]。旨在以IEC61508标准为基础,用贝叶斯网络的方法,对CBTC系统进行安全完整性等级的计算分析,确定系统能否满足标准的安全要求,为城市轨道交通的系统安全分析提供科学依据。
2基于贝叶斯网络的SIL验证分析
2.1SIL简述
SIL指的是在某一特定的条件下,系统在规定的时间内成功地完成要求所需安全功能的概率,是度量系统能否满足规定安全功能的一个指标。在IEC61508标准的基础上,UIC制定了一系列执行标准,用来进行铁路安全相关系统开发SIL认证。作为欧洲第一个相关领域的标准,EN50129明确定义了在整个生命周期中安全信号相关系统软、硬件开发的安全完整性等级评估内容[8]。EN50129标准用SIL表格来说明相关系统的安全目标,如表1所示。
表1 SIL表
其中PFD列为频率列表(执行频率低),PFH列为故障概率(执行频率高)。
利用概率分析,就可以在了解硬件组成部分的故障率、类型的基础上,对随机故障完整性进行量化评估。
2.2贝叶斯网络验证分析
贝叶斯网络是大型复杂系统安全分析的最好方法,区别于事件树/故障树、马尔科夫法等一些传统的安全分析方法具有建模方便、计算简练、分析明确等优势[9-12]。
贝叶斯网络(Bayesian networks,BN)是由节点、有向边和条件概率表CPT构成的有向无环图,可以直观地用N=≪V,E>,P>来表示,其中
Bayesian条件概率公式是构建网络和计算的基础
式中,Pa(Vj)为Vj在贝叶斯网络中的父节点;P(Vj)为Vj的先验概率;P(Vj|Pa(Vj))为给定P(Pa(Vj))下Vj的后验概率。
利用BN的独立性可以更简易地计算V的联合概率
假设根节点的先验概率已知,其他节点的条件概率分布也已知的条件下,那么就可以算出其他节点的联合概率分布。
以二乘二取二联锁系统为例,说明采用贝叶斯网络验证分析子系统安全完整性等级的步骤过程。二乘二取二联锁系统结构如图1所示。
图1 二乘二取二联锁系统结构
系统内部是4个完全相同的处理器单元A1、A2、B1、B2,联锁A1、A2机组成联锁子系统A,联锁B1、B2机组成联锁子系统B,子系统所包含的两个处理单元严格同步,并时时比较输出,只有当比较结果一致时子系统才有输出,若子系统A无输出,切换模块自动切向子系统B输出。
根据二乘二取二联锁系统的结构和工作原理,采用贝叶斯网络进行建模分析,如图2所示。
图2 二乘二取二联锁系统BN图
假设内部单元的故障率为0.5%,故障检测率为0.75,则节点A1(A2、B1、B2)、A(B)、C的条件概率如表2、表3、表4所示。
表2 节点A1(A2、B1、B2)的条件概率
表3 节点A(B)的条件概率
表4 节点C的条件概率
利用HUGIN软件中的联合树算法,根据表2、表3、表4对图3所构建的BN进行分析计算。在已知所有根节点A1、A2、B1、B2的条件概率分布的情况下,可以最终计算得到节点C,即整个联锁系统的故障率0.004 95。联锁系统连系着列车的安全运行,是安全等级要求为4级的系统,即PFD要求为10-5×10-4,计算所得数据不满足标准要求。此时,则修改内部单元预定故障率,重复计算过程,直到使系统满足标准要求。
3实例分析
清晰的概念以及明确的思路在保证正确地分析评估SIL的过程中起着重要作用。利用系统分析的思想对CBTC系统逐层向下进行分解,并建立系统贝叶斯网络分析模型,根据此分析模型循环迭代得到相应的系统各硬件的平均故障率,使之符合标准要求以及其组成的子系统的安全完整性等级要求。在此基础上调整子系统的冗余结构,旨在验证分析所研究的CBTC系统能否达到IEC61508标准中所规定的安全完整性等级。SIL等级验证分析流程如图3所示。
图3 基于BN的SIL等级验证分析流程
以国内某厂家的CBTC系统为例,分析其中涉及行车安全的子系统,主要包括车载设备、联锁系统、ZC区域控制器和轨旁电子单元等。在分析系统结构图的基础上,采用故障树思想,自上向下层层分析,构建CBTC系统的贝叶斯网络,如图4所示。
图4 CBTC系统贝叶斯网络
按照图3所示的基于BN的SIL验证分析流程对图4所示的网络图进行安全验证分析。系统各硬件的平均故障率初始设定值如表5所示。
表5 系统各硬件平均故障率初始设定值
将表5中的各数值代入系统贝叶斯网络各根节点的条件概率表中,循环计算联锁、车载设备等子系统的平均故障率,计算结果得到联锁子系统的平均故障率为3.28×10-5,车载ATP系统的平均故障率为1.73×10-5,联锁子系统与ATP系统均属于SIL等级为4的系统,其平均故障率标准为10-5×10-4,因此计算所得符合子系统安全标准所需。在此基础上,计算CBTC系统的平均故障率为2.2×10-3,结果不符合SIL4级的标准。因此,必须调整各子系统的冗余结构,使CBTC系统的SIL指标满足标准所需。调整后的CBTC系统BN图如图5所示。
图5 调整后的CBTC系统BN图
调整后的联锁子系统与ATP、ATO子系统为二乘二取二冗余结构,区域控制器子系统为三取二冗余结构,计算所得CBTC系统的平均故障率为1.98×10-5,满足标准要求,说明此结构的CBTC系统是安全的。
4结论
利用BN在处理不完备数据问题中的优势,对CBTC系统进行网络建模,并计算出系统的SIL指标。根据目前城市轨道交通CBTC系统的相关安全标准,对系统进行SIL的安全验证,确定系统是否满足相关标准的安全要求,为CBTC系统设备的日常维护和管理者的决策提供科学依据。然而,随着系统内部硬件之间以及与环境、软件、人为等外在因素之间的交互日益复杂,针对这些复杂问题,系统整体安全还有待进一步研究。
参考文献:
[1]IEEE Standard for Communications Based Train Control Per-formance and Functional Requirements[S].
[2]Netjasov F, Janic M. A review of research on risk and safety modeling in civil aviation[J]. Journal of Air Transport Management, 2008,14(4):213-220.
[3]Hartong M W,Cataldi O K.Regulatory Risk Evaluation of Pos-itive Train Control Systems[C].ASME,2007.
[4]燕飞.列车运行控制系统安全保障与认证方法研究[J].中国安全科学学报,2010,20(12):98-104.
[5]张跃兵,王凯,王志亮.危险源理论研究及在事故预防中的应用[J].中国安全科学学报,2011,21(6):10-16.
[6]刘敬辉,戴贤春,郭湛,等.铁路系统基于风险的定量安全评估方法[J].中国铁道科学,2009,30(5):123-128.
[7]张苑,刘朝英,李启翮,等.无线闭塞中心系统安全风险分析及对策[J].中国铁道科学,2010,31(4):112-117.
[8]EN 50129,Railway Applications-safety Related Electronic Systems for Signaling[S]. 2003.
[9]赵琼,王思华,尚方宁.基于故障树分析法的接触网可靠性分析[J].铁道标准设计,2014,58(1):105-109.
[10]朱爱红,杨亮,李博.基于故障树分析法的ATS可靠性仿真及应用[J].铁道标准设计,2013(11):105-109.
[11]WEBER P, MEDINA-OLIVA G, SIMON C, et al. Overview on Bayesian Networks Applications for dependability,Risk Analysis and Maintenance Areas[J]. Engineering Applica-tions of Artificial Intelligence, 2012,25(4):671-682.
[12]周忠宝,马超群,周经伦,等.概率安全评估方法综述[J].系统工程学报,2006,24(6):725-733.
[13]Charniak E. Baycsian networks without Tears[J]. AI Mag-azine, 1991:50.
Research on SIL of CBTC System of Urban Rail Transit Based on Bayesian Network
ZHANG Zhou-yang, LI Hua, WEI Nian-long
(1.School of Automation and Electrical Engineering, Lanzhou Jiaotong University, Lanzhou 730070, China;2.Power Supply Section of Hohhot Railway Administration, Hohhot 010000, China)
Abstract:CBTC system of urban rail transit is a demanding security system. In order to better analyze the security of CBTC system, the functions of subsystems and unit modules are divided and Bayesian network of CBTC system is established through top-down analysis of the entire system. The failure rate of CBTC system is then calculated bottom-to-top from subsystems to the entire CBTC system. Finally, SIL of the system is validated in perspective of system failure. The results show that fault-tolerant capability of entire CBTC system can be increased by adjusting redundant structure of subsystems to improve completeness of random failure and meet the safety standard requirements under the condition that system the fault rate of hardware equipment remains unchanged
Key words:Bayesian Network; CBTC system; Safety Integrity level (SIL)
中图分类号:X913.4; U284
文献标识码:A
DOI:10.13238/j.issn.1004-2954.2015.04.029
文章编号:1004-2954(2015)04-0121-04
作者简介:张舟洋(1989—),女,硕士研究生,E-mail:zzyxinsuisuoyu@sina.com。
收稿日期:2014-06-10; 修回日期:2014-07-19
