张洋 陶磊 刘宇辉 邱力博

摘要：随着中国高速铁路的发展，中国高铁列车运行控制系统3级（CTCS-3）的安全性也备受关注。危险和可操作研究方法（HAZOP）是一种成熟有效的危险评价方法，基于统一建模语言（UML）顺序图能够详细直观地描述系统中对象间按时间顺序的完整交互过程。本文以CTCS-3车载子系统为例，将UML顺序图模型应用于HAZOP危险识别会议，提供直观的信息帮助会议专家有效识别系统危险源和准确地评估系统安全性，会议备忘录能够帮助消除设计缺陷和制定相关安全措施避免危险发生。

关键词：CTCS-3级列控系统  危险识别  UML顺序图

中图分类号：U293.5   文献标识码：A

中国高速铁路的发展为中国经济飞速发展注入新的动力，因此其安全性倍受到社会各界的关注。近十年来，控制技术和通信技术的发展带动中国列车运行控制系统发展和CTCS-3级功能实现并应用到运营线路中，然而高速铁路运行控制系统是复杂的社会-技术系统，由于危险识别技术却发展滞后，会在全生命周期的运营维护阶段产生动态的安全风险，需要业内投入更多的关注和研究，发现和消除系统中的安全隐患，避免严重事故的发生，保证系统更加安全、可靠为中国高速铁路服务。

对CTCS-3系统进行危险识别分析，能够描述清楚系统中所有危险问题所在，并能够提供一系列的快速有效的解决方案。危险识别技术还能够分析出设计和运行中潜在危险，帮助设计人员消除设计缺陷和制定相关措施避免危险发生。因此，危险识别技术能够显著提高CTCS-3系统的可靠性。本文主要以CTCS-3车载子系统作为研究对象说明如何基于UML顺序图进行危险识别的方法。

1 危险识别与UML顺序图

危险识别（危险源识别），识别系统中在一定触发因素作用下导致系统处于危险侧的部位、区域、场所、空间、岗位、设备及其位置，同时还要明确危险原因、危险发生过程、危险发生后影响范围和危害程度。

危险和可操作研究（HAZOP）是从中间过程分析事故原因和结果的方法，能够定性分析或定量评价的危险性进行评价，是一种有效的危险识别方法。

系统结构图或者流程图通常过于概略而不能发现潜在的危险，然而顺序图能够详细描述一个功能或事件进行的整个过程，顺序图还能够详细的层次化描述整个系统运行情况，以帮助人们发现系统潜在危险，这也正是采用顺序图的意义所在。UML建模通有助于软件系统的定义、可视化、模型化，包括描述软件架构和软件设计过程，以满足软件系统所有的需求。UML顺序图能够反映系统按照时间顺序信息和行为交互过程，因此选择UML顺序图进行危险识别能够供直观的信息帮助会议专家有效识别系统危险源和准确地评估系统安全性。

2 建立顺序圖的过程

本章以CTCS-3车载子系统建立和取消临时限速（Temporary speed restriction， TSR）命令为例，完整说明顺序图建立过程。

2.1 对研究系统UML建模

首先建立系统UML，状态图能表示系统运行的不同状态和状态间转移关系，然后根据系统状态图建立系统运行各项功能执行的UML顺序图。CTCS-3车载子系统的所建立的模型状态图如图1所示。

2.2 临时限速（TSR）

临时限速是线路固定速度以外定义的一种具有时效性的分级限速，通常应用在施工、维修、灾害等场景。临时限速由分散自律式调度集中系统（CTC）完成拟定临时限速计划调度命令内容、临时限速的设置/取消。

调度员通过TSR终端制定好全线临时限速内容，通过CTC授权后，将计划上传到TSRS服务器，TSRS储存临时限速计划，校验TSR命令后分发送到相关TCC、RBC执行;TCC系统负责控制应答器传送相应的TSR信息给C2列车;R BC系统负责通过GSM-R传送相应的TSR信息给C3列车;装有ATP车载设备的列车收到TSR信息后，控制列车按限速要求运行。

2.3 建立TSR顺序图

通过分析列车完成TSR操作整个过程中CTCS-3车载子系统各模块间交互的信息和命令来建立时序图，建立的时序图如图1所示，描述了当列车收到TSR命令时车载子系统处理的过程。

无线移动终端MT（Mobile Terminal）收到RBC发送的TSR命令，然后传输到车载无线传输模块RTM（Radio Transmission Module）。

RTM将TSR命令发送到C3控制单元C3-Ker（CTCS-3 Kernel unit）。

C3-ker负责处理TSR命令，通过查询BTM、SDU获取列车当前速度、位置，将TSR命令确认信息通过RTM、MT发送回RBC，输出制动命令到TIU，并将TSR信息发送到DMI显示。

TSR命令取消与上述过程相类似，

MT收到RBC发送的TSR取消命令，然后传输到车载无线传输模块RTM。

RTM将TSR取消命令发送到C3-Ker。

C3-Ker处理完TSR取消命令后，并将TSR信息发送到DMI显示，通过RTM和MT发回TSR取消确认到RBC。

3 顺序图正确性验证

建模最重要的一个要素就是模型能够正确地描述真实系统特性，模型是决定危险源识别重要依据，因此需要验证模型的正确性，才能更加有效帮助危险源识别发现更多危险源。

顺序图建立模型需遵守建模标准。

建模过程中每一个行为都必须严格遵守CTCS-3标准和规范文档，只有这样才能够最大程度建立贴近研究对象的模型。

危险识别会议中确认和完善顺序图。

顺序图的建立是危险识别会议的准备工作，完成顺序图建立等准备工作才可召开危险识别会议。但是危险辨别会议的前提需要专家反馈确认后的系统模型。所以，危险识别会议的专家成员明确会议内容后，首先需要对顺序图进行确认和完善。通过会议专家成员对顺序图确认和完善后，会议才可展开危险识别具体议题。

4危险识别过程

4.1 危险识别过程

引导词选择以及危险的描述。

会议主持人需要在每个行为的识别时，对识别范围对所有成员进行说明。危险辨别会议过程中由主持人选择合适的引导词来引导专家辨别危险。比如“过多”这个引导词表示在意图之外的数量上过度的意思，适用于描述与物理量有关的情况。通过遍历所有引导词识别出存在的危险隐患，全部记录并详细描述辨别出的危险。

原因和结果分析。

对识别出危险需分析并记录所有可能造成该危险的触发条件。这些原因应当是逻辑“或” 的关系。

对识别出危险需分析并记录该危险发生后，所有可能造成的结果或者事故。这些后果应当是逻辑“与”的关系。

风险矩阵定量分析。

危险识别结果采用风险矩阵形式对危险识别结果进行表述，能够更加直观说明危险的频率和严重关系，帮助研究人员评估危险识别结果确定风险等级，估计危险发生的可能性，危险发生后对整个系统的影响，进而制定预防性措施。风险矩阵参照如表1所示。红色风险等级为不可接受等級，黄色为合理可接受等级，绿色区域为风险可忽略等级。

预防性措施。

对于识别出的危险，专家应形成共识性的备忘录，包含对危险的预防性建议和措施避免发生更严重的事故，所有措施应具有实际的可操作性，帮助委托危险识别的运营管理者或生产商降低风险等级。

4.2 TSR危险识别

通过4.1方法对TSR进行危险识别的结果如表2所示。从表中可以查看，“车载系统未返回确认信息到RBC或者返回错误信息”的风险等级为9，造成原因及产生的后果。

5 结语

近年来，中国铁路和城市轨道交通飞速发展，同时伴随的重大的事故需要业内深思和投入更多的精力建立中国铁路科学系统的风险管理体系。列车运行控制系统是列车安全、可靠运行的保证，惟有通过科学有效的方法，帮助研发、设计、施工和运营单位发现工作中存在的安全隐患，解决和消除安全隐患，才能够降低事故发生率，提高列车运行控制系统安全性、可靠性。

基于顺序图的危险识别能够高效识别系统中安全隐患，与其他危险识别技术互补和完善国内危险识别理论，最终形成国内的《系统风险分析技术指南》、《铁道信号系统危险辨别技术指南》、《风险管理与控制技术指南》，对指导我国铁路信号系统的安全评估具有重要意义。