刘金涛，郑 伟，李克平，吴道华

(1.北京交通大学 国家轨道交通安全评估研究中心， 北京 100044；2.北京交通大学 轨道交通控制与安全国家重点实验室， 北京 100044)

作为高速铁路的关键设备，高铁信号系统承担着高铁列车的安全保障任务，一旦出现问题，将直接影响列车的行车安全，甚至造成高铁事故。保障高铁信号系统的安全性对于我国高速铁路的健康发展至关重要。

高铁信号系统安全保障工作的核心是对高铁信号系统进行危险分析，辨识出危险致因，进而针对各类潜在危险致因制定安全措施[1]。然而考虑到系统开发的费效比，在高铁信号系统的设计阶段就针对全部危险致因设计安全防护措施是不切实际的。因此需要对危险致因的重要度程度进行评价，找出关键的危险致因，在系统设计阶段建立相应的安全措施，而对其他的致因可在系统运行阶段再建立相应的安全屏障或应急计划以消除其可能带来的损害[2]。由此，采用有效的方法对危险致因进行评价，是实施高铁信号系统安全保障工作的前提，对于保障高铁列车安全运行具有重要意义。

目前被广泛应用的危险致因评价方法可分为基于结构的方法和基于概率的方法。基于结构的方法，例如结构重要度分析[3-5]是利用致因间因果关系构成的因果关系结构对致因的重要度进行评价。然而，这类方法以致因间的线性因果关系为基础，难以适用于高铁信号系统这类具有非线性组件交互关系的复杂系统[6]。基于概率的方法，是利用致因事件的发生概率来评价致因的重要程度，代表方法有概率重要度分析[7-8]、临界重要度分析[9-10]、危害度分析[11-12]、基于贝叶斯网络的重要度分析[13]等。这类方法易于操作且能够给出量化的致因评价结果。但是，高铁信号系统实际外部运行环境(线路环境、人员操作等)变化性较大，难以获得与外部干扰相关的致因发生概率。

近年来，有学者将复杂网络[14]应用于铁路相关事故致因的评价过程[15-20]。复杂网络作为研究复杂系统或复杂对象的工具，能够同时考虑单个节点属性和节点间复杂耦合关系。相比于传统基于结构的方法，基于复杂网络的方法能够刻画组件间非线性交互关系带来的影响。同时，相比于基于概率的方法，基于复杂网络的方法利用网络拓扑特征评价危险致因，既能实现对危险致因的量化评价，又避免了某些致因概率难以获取的问题。但是，现有研究[15-20]所采用的拓扑特征指标来源于无向同质网络，即网络中的节点均为同一类型节点且通过无向边进行连接，而高铁信号系统危险致因网络是具有危险节点和致因节点的异质网络，并且网络中的关系均为有向的因果关系。因此，现有的拓扑特征指标难以准确分析高铁信号系统危险致因网络这种有向异质网络。

本文对现有复杂网络拓扑特征指标进行扩展，使用复杂网络对高铁信号系统危险致因进行评价。其中，着重介绍高铁信号系统危险致因网络建模方法、基于拓扑特征的危险致因评价，并以典型的高铁信号系统危险为例，使用该方法对相关危险致因进行评价分析。

1 高铁信号系统危险致因网络

复杂网络[14]是对复杂系统或复杂对象的拓扑化描述，可以表示为由节点及节点间的边构成的拓扑图，也可以表示为节点间关系的邻接矩阵。在复杂网络中，节点间通过一条无向或有向的边进行连接。如果两个节点被一条边相邻，说明这两个节点间存在一定的关系，比如信息传播关系、物理连接关系等等。

基于复杂网络这样的特征，可以将高铁信号系统危险及其致因抽象为复杂网络中的节点，而致因之间以及致因与危险之间的因果关系则可以抽象为连接节点的边。由于因果关系具有方向性，即由某一个致因导致另一个致因或危险，因此因果边是一种有向边。这样，系统危险致因及其因果关系就构成了高铁信号系统的危险致因网络。

定义1 危险致因网络。高铁信号系统危险致因网络HCN是后续进行致因评价的基础，本文给出其形式化定义为

HCN=(Vh,Vc,E)

式中：Vh为危险节点，代表高铁信号系统的系统级危险；Vc={Vi,i=1, 2, …,N}为一个非空有限的致因节点集合，代表危险Vh的致因因素，其中N为已辨识出的Vh致因的数量，Vi为危险Vh的第i个致因；E={〈Vi,Vj〉, 〈Vk,Vh〉}为一个非空有限的因果关系集合，代表致因之间以及致因与危险之间的因果边，其中{Vi,Vj,Vk,i≠j,j=1, 2, …,N,k=1, 2, …,N}⊆Vc，〈Vi,Vj〉表示致因Vi与致因Vj间的因果关系，〈Vk,Vh〉表示致因Vk与危险Vh间的因果关系。

定义2 邻接矩阵。根据定义1，本文通过高铁信号系统危险致因网络的邻接矩阵来建立危险致因网络，其中，邻接矩阵HAM为

(1)

式中：i为危险致因；j为危险致因或系统危险。

根据式(1)，如果HAMij取值为1，则节点i和节点j直接存在一条因果关系边。以高铁信号系统的无线闭塞中心(Radio Block Center，RBC)提供“错误的移动授权(MA)信息”(C01)，该致因可能会造成车载计算机(Vital Computer，VC)“过晚实施制动”(C02)或“未实施制动”(C03)，进而可能造成列车超过规定的安全速度距离限制(Hazard)为例，上述致因和危险构成的HAM矩阵以及相应的网络示例见图1。

图1 HAM矩阵及相应网络示例

定义3 结构矩阵。高铁信号系统危险致因的HAM矩阵从各节点因果关系的角度对危险致因网络的结构进行了刻画。为了便于后续基于拓扑的危险致因评价，在HAM基础上，本文定义另外两种危险致因网络的结构矩阵：最短路径矩阵HSPM和可达矩阵HRM，其表达式分别为

(2)

(3)

式中：Vij为节点i和j最短路径上的节点集合；m和n为该节点集合中的元素；Inf代表路径长度无穷大，即节点i和j间不存在连接路径；∅为空集。HSPM矩阵从各节点间最短致因路径长度的角度，刻画了危险致因网络的结构特征，而HRM则从致因间是否具有间接因果关系的角度刻画了危险致因网络。根据上述定义，以前述高铁信号系统危险致因为例，构建相应的HSPM矩阵和HRM矩阵，见图2。

图2 HSPM、HRM矩阵示例

定义4 致因类型矩阵。除上述三种结构矩阵外，为便于后续分析，本文还针对危险致因类型定义了致因类型矩阵HTM，表达式为

(4)

式中：ti为该危险致因的类型；k为任意危险致因类型。以前述高铁信号系统危险致因为例，构建相应的HTM矩阵，见图3。其中，RBC和VC分别为无线闭塞中心相关的致因和车载计算机相关的致因。

2 危险致因评价方法

高铁信号系统危险致因网络通过刻画致因与致因之间以及致因与危险之间的因果关系，实现了对高铁信号系统危险成因过程的拓扑结构刻画。在此基础上，通过拓扑分析可以对各个致因进行评价，从而为后续危险控制策略的制定提供依据。

然而，现有基于网络拓扑分析的致因评价方法所采用的拓扑分析指标[15-20]均来自无向同质网络，即网络节点均为同一类型节点，且网络边均为无向的同类型边。考虑到高铁信号系统危险致因网络的有向异质网络特点，即由致因节点和危险节点构成且节点间通过有向的因果关系边连接，有必要对相关拓扑分析指标进行扩展，以适应高铁信号系统危险致因评价的需求。因此，本文提出以下几种拓扑分析指标以用于危险致因评价。

(1)网络平均因果作用强度

高铁信号系统危险致因网络作为一种因果关系网络，任意两个节点间的最短路径长度反映了它们之间因果作用的强弱，即两个致因相距越远，它们之间的因果作用效果越弱。在此基础上，本文定义危险致因网络的平均因果作用强度CSHCN为

(5)

式中：H为危险节点。该拓扑指标反映了致因与系统危险间的平均因果作用效果，其值越大，说明高铁信号系统危险致因网络中致因节点与系统危险的因果作用越强，危险也越容易被触发。

(2)致因的因果节点数

危险致因在网络中的可达节点数，即该致因能够致使其他致因发生的数量，反映了该致因作为风险源头的影响力。可达节点数越大，说明该危险致因能够引起的其他致因的数量越多。类似的，危险致因在网络中的潜在源头数，即能够导致该致因发生的其他致因的数量，反映了该致因作为风险累积节点的程度。潜在源头数越大，说明能够引起该致因发生的致因数量越多。基于此，本文给出刻画致因因果节点数量的两个拓扑指标：可达节点数指标Ri和源头节点数指标Si分别为

(6)

(7)

(3)致因类型的因果紧密度

高铁信号系统危险致因网络中的危险致因具有不同的类型，分析各个类型间的因果关系差异程度，能够从整体上揭示危险致因因果传播的关键环节。反映危险致因类型间因果紧密程度的拓扑指标PEF，其表达式为

式中：E和F为危险致因的某两种类型。该指标以致因类型和致因间的最短路径长度为基础，衡量不同致因类型间的平均最短路径长度。其值越小，说明类型间的因果关系越紧密。

(4)致因的因果中介性

危险致因的因果中介性即致因在风险传播过程中所起到的中介作用程度。该拓扑指标综合了传统的拓扑指标介数Bk和致因因果作用强度两个维度的信息，其表达式为

(9)

某致因的因果中介性反映了不同因果强度的危险成因路径经由该致因的数量，其值越大，说明该致因对于危险成因过程越关键。

为了从网络的全局角度分析危险致因的因果中介性特性，本文还给出了因果中介累积分布函数P(b)，其表达式为

(10)

式中：N(b)为因果中介值为b的致因数量。该分布函数表示随机选取任意一个危险致因，其因果中介值大于某一特定值的概率，即反映了在高铁信号系统危险致因网络上因果中介性的分布特性。

使用上述基于复杂网络的危险致因评价方法对我国高铁信号系统的典型系统危险致因进行建模和评价分析。

3 案例分析

3.1 系统危险及危险致因

我国的高铁信号系统由列车运行控制系统(Chinese Train Control System, CTCS)、分散自律调度集中系统(Centralized Traffic Control，CTC)以及计算机联锁系统组成。其中CTCS系统的典型代表是CTCS-3级列控系统。CTCS-3级列控系统包括车载控制子系统和地面控制子系统。其中，车载控制子系统又包含车载计算机、无线通信模块等；地面控制子系统又包含无线闭塞中心、列控中心等。由以上系统组成可以看出，高铁信号系统是一个由多种子系统和设备组成的复杂系统。目前，典型的面向复杂系统的危险致因分析技术是系统理论的过程分析(System-Theoretic Process Analysis，STPA)，已被广泛用于高铁信号系统的危险致因辨识过程[21-24]。

本文以高铁信号系统的典型系统危险“高铁信号系统没有防止列车在运行中超出安全的速度距离限制”作为系统级危险，并选取与CTC、RBC、VC等子系统以及调度员(Dispatcher)、司机(Train Driver)等操作人员相关的危险致因[24]作为研究对象，应用本文方法进行危险致因评价。其中，文献[24]基于STPA方法已对潜在的能够导致系统级危险“高铁信号系统没有防止列车在运行中超出安全的速度距离限制”(标记为Hazard)的致因进行了辨识，所得的具体危险致因(标记为“C+编号”的形式)见表1，本文以此作为危险致因评价工作的输入数据。

3.2 危险致因网络

表1所示各个危险致因之间存在因果关系[24]，例如，调度员提供了错误的作业计划(C01)，会导致调度集中系统产生错误的进路控制命令(C14)；进一步，C14又可能导致无线闭塞中心错误的延伸移动授权(C28)。根据危险致因网络定义1和式(1)，可通过致因间的因果关系建立致因网络。例如，由于C01和C14、C14和C28间存在因果关系，即和均属于集合E，则C01和C14之间、C14和C28之间各形成一条因果关系边。同理，可建立本案例的危险致因网络，见图4。其中，Hazard节点为危险节点，其他节点均为能够导致该危险的致因节点。该危险致因网络共包括77个致因节点和1个危险节点以及123条因果边，各致因节点的含义同表1。需要说明的是，图4所示危险致因网络的正确性受输入数据正确性和网络建模过程正确性的影响。关于输入数据的正确性或完备性，需要在此之前的危险致因辨识过程来保证，不在本文考虑范围。关于网络建模过程的正确性，目前可通过小组人工检查的方式对每条因果边的正确性进行核实和确认。

表1 案例的系统危险致因[24]

3.3 致因评价结果

根据危险致因评价方法，在极限情况下，即假如所有致因均能直接导致系统危险(HSPMiH取值为1)，则最大平均因果作用强度为1，也即危险致因网络的平均因果作用强度的值区间为(0，1]。由式(5)计算可得，图4所示危险致因网络的平均因果作用强度值为0.412，处于中间偏低水平，这符合高铁信号系统的层次化控制结构，即大部分致因并不会直接导致系统危险。

图4 危险致因网络

由式(6)和式(7)可得危险致因在网络中的可达致因节点数和源致因节点数。基于可达/源节点数的致因分布见图5。

图5 基于可达/源节点数的致因分布

由图5可以看出，有些致因的源节点数很少但可达节点数很多，如C08、C10等，这些致因在风险传播过程中发挥源头致因的作用，即它们往往作为风险传播的起点；有些致因的可达节点数很少但源节点数很多，如C58、C57等，这些致因在风险传播过程中起到风险累积致因的作用，即它们会被多种危险致因引发；有些致因具有相近的源节点数和可达节点数，即分布在图5虚线附近的致因，如C29、C16等，这些致因在风险传播过程中起着中转风险的作用。图5给出的致因分布情况，有助于确定危险致因在风险传播过程中的角色和作用。对于源头型致因应重点防止其向其他致因的传播，对于风险累积型致因应重点防止其他致因向其传播，而对于中转型的致因则可适用上述两种防护策略。

根据式(8)，可得危险致因类型间的因果紧密程度，见图6。

图6 危险致因类型的因果紧密程度

由图6可以看出，同类型致因之间的因果紧密度值最小(1.000)，即同类致因具有更加紧密的因果关系。这是因为同类型致因出现在同一类子系统或人员内，相较不同类型致因之间的关系其耦合程度更为紧密。另外，从不同类型致因间的因果紧密程度来看，RBC相关的致因与VC相关的致因最为紧密(1.705)，这意味着对信号系统进行风险传播控制时，这两类致因间的路径应为重点防控的对象。

根据式(9)，可得各个致因的因果中介值，见图7。其中给出了25个致因的因果中介值，其他52个致因由于不承担因果中介作用，即因果中介值为0，因此不在图中展示。

图7 危险致因的因果中介性

图7所示数值表明了各个致因的重要程度，其中有些致因具有较高的因果中介性，如C57、C58、C59等，它们在信号系统危险成因过程中起到更加关键的中间者作用，加强对这些关键致因的安全防控，能够切断系统危险成因路径，从而有效防控系统危险的出现。

3.4 结果分析

本文通过所提的多种拓扑特征指标，从不同维度(如因果节点数、因果紧密度、因果中介性)对危险致因进行了评价，综合利用这些评价结果可形成具有针对性的危险控制策略。危险致因评价结果的综合利用过程见图8。

图8 危险致因评价结果的综合利用过程

图8中，综合利用致因评价结果形成危险控制策略的过程包括三个步骤。现根据这三个步骤，以本文3.3节所得分析结果为例，展示如何综合利用致因评价结果确定危险防控策略。

(1)由图7可见各个致因的重要程度。特别地，根据式(10)可得危险致因因果中介性的分布情况，见图9。

图9 危险致因因果中介性的累积分布

由图9可见，因果中介性累积分布P(b)符合幂律分布的特征，并且近似曲线为P(k)～2.534k-1.91。这表明少数致因具有较高的因果中介性，而大多数致因只有较低的因果中介性。例如，图7所示前三名的高因果中介性致因C57、C58、C59只占全部致因数量的3.9%，却占据了全部因果中介数值的60.9%，即绝大多数危险成因路径会经过少数几个高中介性的致因。这意味着，防控这几个具有高中介性的致因就能够有效阻断系统危险的形成。

(2)由图5所示的致因因果节点数情况，可确定每个致因在系统危险形成过程中的角色。例如，以高因果中介性的致因C57、C58、C59为例，根据图5所示分布情况，可发现这几个致因起到风险累积致因的作用，即他们具有较少的可达节点但具有较多的源节点。这意味着针对它们的安全防控策略应以防止它们被引发为主。例如，增强车载计算机输入信息(如临时限速、线路描述信息、移动授权等数据)的完整性检查、一致性校验等功能的安全完整性。

(3)根据图6所示因果紧密程度，可知RBC相关的致因与VC相关的致因最为紧密。这说明在防止高因果中介性的致因C57、C58、C59(均为VC相关的致因)被引发的过程中，要重点防控来自RBC相关致因的因果触发路径，即应重点部署实施针对来自RBC的输入信息(如临时限速、移动授权)的完整性检查和一致性校验。

另外，为验证致因评价结果的有效性，按照本文所得的危险致因重要性顺序，通过在危险致因网络中移除相应致因的方式，来分析网络平均因果作用强度值的变化情况，见图10。按照本文所得评价顺序移出因果中介性排名前六位的危险致因，网络的平均因果作用强度值由初始的0.412变为了0.034，降幅达到91.7%，即在高铁信号危险致因网络中致因与危险的平均因果作用强度达到较低的水平。实际上，仅通过对前六位的致因(全部致因数量的7.8%)进行防控就可以带来这种程度的降幅(91.7%)，这与图9所示的幂律分布特征是相符的。

图10 危险致因评价结果的验证

4 结论

(1)本文面向高铁信号系统危险致因的特点给出危险致因网络的形式化定义。在此基础上通过定义三类结构矩阵提出高铁信号系统危险致因网络建模方法。针对危险致因网络异质特征，从因果作用强度、因果节点数、因果紧密度和因果中介性等方面扩展拓扑分析指标，提出基于拓扑的高铁信号系统危险致因评价方法。

(2)以我国高铁信号系统的典型系统危险致因进行建模，并通过所提拓扑特征指标对致因进行评价分析。分析过程表明，基于复杂网络结构及拓扑特征的致因评价方法适用于高铁信号系统的危险致因评价工作。

由于本文危险致因网络的建模过程由人工完成，为进一步保障网络的正确性，基于文本的危险致因网络自动化建模方法及工具开发将是下一步工作的重点之一。另外，为进一步保障危险致因评价的准确性，如何衡量危险因果关系的强弱并将其纳入评价过程，也将是下一步的工作重点。