基于STPA與多智能體的列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法

張亞?wèn)|，王 碩，李 亞，郭 進(jìn)，李科宏

（1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院，四川 成都 611756；2.西華大學(xué) 管理學(xué)院，四川 成都 610039）

作為列車(chē)控制核心技術(shù)裝備之一，列控系統(tǒng)廣泛應(yīng)用于我國(guó)高速鐵路和城市軌道交通，主要實(shí)現(xiàn)列車(chē)移動(dòng)授權(quán)實(shí)時(shí)計(jì)算、追蹤間隔自動(dòng)控制、運(yùn)行速度安全防護(hù)等安全苛求功能，在保障行車(chē)安全、提高運(yùn)輸效率等方面起到了關(guān)鍵作用。一旦列控系統(tǒng)發(fā)生危險(xiǎn)失效，輕則中斷行車(chē)影響效率，重則導(dǎo)致重大行車(chē)事故。

在控制列車(chē)安全、高效運(yùn)行的過(guò)程中，列控系統(tǒng)中包含了從注冊(cè)啟動(dòng)到停車(chē)注銷(xiāo)共十幾種運(yùn)營(yíng)場(chǎng)景，不同場(chǎng)景下存在不同的參與主體、交互行為與控制模式，不同場(chǎng)景間又存在復(fù)雜的動(dòng)態(tài)切換與疊加關(guān)系，這導(dǎo)致列控系統(tǒng)潛在的危險(xiǎn)行為及其致因具有隱蔽性、多樣性、復(fù)雜性較強(qiáng)的特征，且致因事件間的關(guān)系呈現(xiàn)非線(xiàn)性特點(diǎn)。因此，對(duì)列控復(fù)雜運(yùn)營(yíng)場(chǎng)景進(jìn)行系統(tǒng)危險(xiǎn)分析及安全驗(yàn)證，對(duì)于保障行車(chē)安全具有重要意義。

目前在業(yè)界應(yīng)用較為廣泛的系統(tǒng)危險(xiǎn)分析方法，主要是基于線(xiàn)性事件鏈的。例如：故障模式影響分析（Failure Mode and Effects Analysis，F(xiàn)MEA）、故障樹(shù)分析（Fault Tree Analysis，F(xiàn)TA）、事件樹(shù)分析（Event Tree Analysis，ETA）等［1］。這類(lèi)傳統(tǒng)分析方法認(rèn)為事故是由一系列存在因果關(guān)系的事件線(xiàn)性順序發(fā)生而導(dǎo)致的，其雖有簡(jiǎn)單易用等優(yōu)點(diǎn)，但卻難以分析致因事件間呈現(xiàn)復(fù)雜非線(xiàn)性關(guān)系的危險(xiǎn)場(chǎng)景［2］。為彌補(bǔ)其不足，美國(guó)麻省理工學(xué)院的Nancy Leveson 教授提出系統(tǒng)理論事故模型與過(guò)程（System-Theoretic Accident Model and Processes，STAMP）安全理論。該理論基于系統(tǒng)論和控制論，在充分考慮組織管理、系統(tǒng)交互等對(duì)系統(tǒng)安全影響的基礎(chǔ)上，將系統(tǒng)視為1種分層控制結(jié)構(gòu)，從控制的角度分析安全問(wèn)題，認(rèn)為安全性是人為因素、系統(tǒng)組件、環(huán)境因素和組織管理因素在非線(xiàn)性相互作用下的1 種整體涌現(xiàn)性。一旦出現(xiàn)外部干擾、組件失效或組件的異常交互未能得到很好地控制等情況，即安全約束失效，則會(huì)產(chǎn)生不安全控制行為，導(dǎo)致事故發(fā)生［3］。

基于STAMP 理論，Nancy Leveson 進(jìn)一步提出了用于危險(xiǎn)分析的系統(tǒng)理論過(guò)程分析方法（Sys?tem-Theoretic Process Analysis，STPA）。與傳統(tǒng)分析方法相比，STPA 方法關(guān)注系統(tǒng)內(nèi)部的控制—反饋過(guò)程，可充分分析具有非線(xiàn)性因果關(guān)系的危險(xiǎn)致因。當(dāng)前，STAMP 理論及STPA 方法已在航空航天、交通運(yùn)輸、工業(yè)控制等領(lǐng)域安全苛求系統(tǒng)的危險(xiǎn)分析中得到逐步運(yùn)用［4-5］。在鐵路領(lǐng)域，閆宏偉等［6］利用STPA 方法對(duì)列車(chē)進(jìn)站停車(chē)運(yùn)營(yíng)場(chǎng)景進(jìn)行建模與危險(xiǎn)致因分析，分析結(jié)果為列控系統(tǒng)設(shè)計(jì)提供了理論依據(jù)。OUYANG等［7］基于STAMP理論對(duì)“4.28”膠濟(jì)鐵路事故進(jìn)行分析，對(duì)事故傳播過(guò)程進(jìn)行建模與討論，為事故應(yīng)急管理制定了有效措施。劉宏杰等［8］結(jié)合STPA 方法與XSTAMP軟件，對(duì)平交道口控制系統(tǒng)進(jìn)行安全分析，利用線(xiàn)性時(shí)序邏輯語(yǔ)言，最終得到形式化的安全需求。劉金濤等［9-10］利用形式化方法對(duì)STPA 進(jìn)行擴(kuò)展，實(shí)現(xiàn)了對(duì)CTCS-3級(jí)系統(tǒng)功能的安全分析，并以無(wú)線(xiàn)閉塞中心交接為對(duì)象，基于STAMP 理論提出1種混成自動(dòng)機(jī)和對(duì)象約束語(yǔ)言O(shè)CL 與STAMP 模型相結(jié)合的方法，分析了需求階段的無(wú)線(xiàn)閉塞中心交接危險(xiǎn)因素。SPIEGEL 等［11］提出1 種將Petri網(wǎng)形式化模型集成到STAMP中的新方法——形式化STAMP，并將該方法應(yīng)用到“7.23”溫州動(dòng)車(chē)事故的建模與分析中。綜上，基于STAMP 和ST?PA 的系統(tǒng)安全分析方法研究，目前集中在方法的直接應(yīng)用或與形式化方法的結(jié)合等方面，主要解決STAMP 和STPA 分析過(guò)程存在的歧義性問(wèn)題，并利用仿真建模技術(shù)實(shí)現(xiàn)系統(tǒng)模型的形式化驗(yàn)證。而關(guān)于危險(xiǎn)分析與仿真技術(shù)相結(jié)合的研究相對(duì)少見(jiàn)，能夠仿真驗(yàn)證STPA危險(xiǎn)分析結(jié)果的有效技術(shù)手段也較為缺乏。

智能體是人工智能領(lǐng)域中的重要概念，其模型描述（控制器、感應(yīng)器與執(zhí)行器）與STAMP分層控制結(jié)構(gòu)模型中的控制—反饋回路（控制器、傳感器與執(zhí)行器）在結(jié)構(gòu)上是統(tǒng)一的。在表達(dá)復(fù)雜系統(tǒng)的層次關(guān)系、子系統(tǒng)的自主行為以及子系統(tǒng)間的動(dòng)態(tài)交互與協(xié)同控制等方面，多智能體模型具有顯著優(yōu)勢(shì)［12］。借助多智能體仿真技術(shù)手段，易于實(shí)現(xiàn)危險(xiǎn)致因和安全約束的分別注入，從而仿真驗(yàn)證危險(xiǎn)致因和安全約束對(duì)系統(tǒng)安全的影響。

考慮以上因素，本文將STPA危險(xiǎn)分析方法與多智能體仿真技術(shù)相結(jié)合，提出1種列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法；以單電臺(tái)的無(wú)線(xiàn)閉塞中心（Radio Block Center，RBC）切換場(chǎng)景為研究對(duì)象，辨識(shí)該運(yùn)營(yíng)場(chǎng)景下潛在的不安全控制行為，提取其危險(xiǎn)致因和安全約束；構(gòu)建多智能體仿真平臺(tái)，通過(guò)危險(xiǎn)致因和安全約束的注入與仿真，驗(yàn)證提出的列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法的正確性和可行性。

1 列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法

參考文獻(xiàn)［3］和文獻(xiàn)［12］，結(jié)合我國(guó)高速鐵路列控系統(tǒng)特點(diǎn)，提出1 種列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法。該方法的總體流程可歸納為：基于列控系統(tǒng)運(yùn)營(yíng)場(chǎng)景的需求描述，分析運(yùn)營(yíng)場(chǎng)景中的參與主體、交互行為與控制邏輯，結(jié)合STAMP理論與多智能體建模方法，構(gòu)建運(yùn)營(yíng)場(chǎng)景分層控制多智能體結(jié)構(gòu)模型；基于該模型，利用STPA方法進(jìn)行運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析；利用多智能體仿真技術(shù)，構(gòu)建運(yùn)營(yíng)場(chǎng)景多智能體仿真平臺(tái)，注入危險(xiǎn)致因和安全約束，通過(guò)仿真，驗(yàn)證危險(xiǎn)分析的正確性。具體流程如圖1所示。

圖1 危險(xiǎn)分析及仿真驗(yàn)證總體流程

1.1 運(yùn)營(yíng)場(chǎng)景分層控制多智能體結(jié)構(gòu)模型構(gòu)建

根據(jù)列控運(yùn)營(yíng)場(chǎng)景需求描述，分析特定運(yùn)營(yíng)場(chǎng)景下的參與主體、交互行為和控制邏輯，將每個(gè)參與主體抽象為1 個(gè)單獨(dú)的智能體，基于STAMP 理論和參與主體間的交互行為，逐步細(xì)化運(yùn)營(yíng)場(chǎng)景各層次不同智能體間的控制—反饋關(guān)系，明確每個(gè)層次通過(guò)控制過(guò)程向下層施加的約束以及向上層反饋約束的執(zhí)行結(jié)果，構(gòu)建基于特定運(yùn)營(yíng)場(chǎng)景的分層控制多智能體結(jié)構(gòu)模型（以下簡(jiǎn)稱(chēng)為“結(jié)構(gòu)模型”）。

1.2 運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析

基于結(jié)構(gòu)模型，利用STPA方法進(jìn)行運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析，步驟如下。

步驟1：結(jié)合不安全控制行為分類(lèi)，從以下多個(gè)方面，辨識(shí)運(yùn)營(yíng)場(chǎng)景下潛在的系統(tǒng)不安全控制行為。包括：系統(tǒng)未提供所需的安全控制；提供了錯(cuò)誤的控制行為；在錯(cuò)誤的時(shí)間（過(guò)早/過(guò)晚）提供控制行為；控制行為結(jié)束過(guò)早或持續(xù)過(guò)長(zhǎng)等。

步驟2：在結(jié)構(gòu)模型中，提取與不安全控制行為相關(guān)的控制—反饋回路，如圖2 所示，并從以下多個(gè)方面識(shí)別不安全控制行為的危險(xiǎn)致因。包括：控制器輸入錯(cuò)誤/缺失；控制算法不恰當(dāng)；過(guò)程模型不一致、不完整或不正確；傳感器不恰當(dāng)運(yùn)行造成反饋不正確、不精確、消息延遲/未被提供；執(zhí)行器不恰當(dāng)運(yùn)行造成控制行為不合適、無(wú)效或錯(cuò)誤等。

步驟3：在不安全控制行為及其危險(xiǎn)致因辨識(shí)的基礎(chǔ)上，針對(duì)每1條不安全控制行為的具體危險(xiǎn)致因，制定相應(yīng)的系統(tǒng)安全約束。

圖2 基于控制—反饋回路的危險(xiǎn)致因辨識(shí)

1.3 運(yùn)營(yíng)場(chǎng)景仿真驗(yàn)證

基于構(gòu)建的結(jié)構(gòu)模型，利用多智能體仿真技術(shù)和Mason 開(kāi)發(fā)工具，構(gòu)建運(yùn)營(yíng)場(chǎng)景多智能體仿真平臺(tái)，實(shí)現(xiàn)列控運(yùn)營(yíng)場(chǎng)景的多智能體仿真以及危險(xiǎn)致因注入等功能。在1.2 節(jié)得到的危險(xiǎn)致因、安全約束基礎(chǔ)上，結(jié)合結(jié)構(gòu)模型，分析危險(xiǎn)致因及對(duì)應(yīng)安全約束的發(fā)生位置、持續(xù)時(shí)長(zhǎng)和注入時(shí)機(jī)。在仿真過(guò)程中，依據(jù)以上信息，將危險(xiǎn)致因和安全約束分別注入仿真平臺(tái)，分析危險(xiǎn)致因和安全約束對(duì)系統(tǒng)安全的影響，驗(yàn)證危險(xiǎn)分析的正確性以及安全約束的可行性。

仿真平臺(tái)由控制臺(tái)子系統(tǒng)、多智能體仿真子系統(tǒng)、危險(xiǎn)致因/安全約束注入子系統(tǒng)、仿真監(jiān)測(cè)子系統(tǒng)4 個(gè)部分組成，平臺(tái)架構(gòu)如圖3 所示。各子系統(tǒng)承擔(dān)的功能分別是：控制臺(tái)子系統(tǒng)用于控制仿真進(jìn)程；多智能體仿真子系統(tǒng)用于運(yùn)營(yíng)場(chǎng)景各個(gè)智能體的功能邏輯仿真及其信息交互；危險(xiǎn)致因/安全約束注入子系統(tǒng)用于實(shí)現(xiàn)仿真過(guò)程中的危險(xiǎn)致因/安全約束注入；仿真監(jiān)測(cè)子系統(tǒng)用于監(jiān)測(cè)記錄仿真狀態(tài)以及可視化展示。

圖3 列控運(yùn)營(yíng)場(chǎng)景多智能體仿真平臺(tái)

2 單電臺(tái)RBC 切換場(chǎng)景的建模與危險(xiǎn)分析

無(wú)線(xiàn)閉塞中心（RBC）切換場(chǎng)景是CTCS-3級(jí)列控系統(tǒng)14 種典型運(yùn)營(yíng)場(chǎng)景之一，分雙電臺(tái)切換和單電臺(tái)切換2 種情況?？紤]到單電臺(tái)RBC 切換場(chǎng)景參與主體多、交互邏輯復(fù)雜、安全性要求高，本文以這一運(yùn)營(yíng)場(chǎng)景為例，將其代入前述危險(xiǎn)分析及多智能體仿真驗(yàn)證方法，進(jìn)行建模與危險(xiǎn)分析。

2.1 單電臺(tái)RBC切換場(chǎng)景描述

單電臺(tái)RBC切換場(chǎng)景如圖4所示，描述了列車(chē)在2個(gè)不同RBC的邊界處，實(shí)現(xiàn)行車(chē)許可控制的安全切換過(guò)程。其中，RBC1 負(fù)責(zé)向RBC2 發(fā)送切換預(yù)告信息、進(jìn)路請(qǐng)求信息、列車(chē)數(shù)據(jù)等；RBC2 負(fù)責(zé)向RBC1發(fā)送進(jìn)路信息、接管列車(chē)信息等。該場(chǎng)景下，當(dāng)列車(chē)最小安全末端越過(guò)切換點(diǎn)后，車(chē)載設(shè)備根據(jù)RBC1 的命令切斷與RBC1 的通信連接，才開(kāi)始呼叫RBC2建立通信會(huì)話(huà)，獲得新的行車(chē)許可。在此過(guò)程中，車(chē)載設(shè)備使用RBC1先前提供的延伸到RBC2控制區(qū)域的行車(chē)許可監(jiān)控列車(chē)運(yùn)行。

圖4 單電臺(tái)RBC切換場(chǎng)景

2.2 系統(tǒng)級(jí)事故與危險(xiǎn)定義

根據(jù)單電臺(tái)RBC 切換場(chǎng)景，分別定義并編號(hào)RBC 切換過(guò)程中可能發(fā)生的系統(tǒng)級(jí)事故以及導(dǎo)致這些事故發(fā)生的系統(tǒng)級(jí)危險(xiǎn)，詳見(jiàn)表1和表2。

表1 系統(tǒng)級(jí)事故定義

表2 系統(tǒng)級(jí)危險(xiǎn)定義

2.3 分層控制多智能體結(jié)構(gòu)模型構(gòu)建

分析可知單電臺(tái)RBC 切換場(chǎng)景的參與主體包括：列車(chē)超速防護(hù)系統(tǒng)（ATP）、移交RBC1、接收RBC2、切換應(yīng)答器組、列車(chē)。將每個(gè)主體視為1 個(gè)智能體（Agent），基于控制模型的構(gòu)建方法，建立單電臺(tái)RBC 切換場(chǎng)景下的分層控制多智能體結(jié)構(gòu)模型（以下簡(jiǎn)稱(chēng)為RBC 切換結(jié)構(gòu)模型），如圖5 所示。由圖可知：車(chē)載ATP 智能體分別與RBC1智能體、RBC2 智能體、列車(chē)智能體、切換應(yīng)答器組智能體間存在控制—反饋回路，RBC1 智能體與RBC2智能體間存在控制—反饋回路。

2.4 不安全控制行為辨識(shí)

圖5 RBC切換結(jié)構(gòu)模型

基于RBC 切換結(jié)構(gòu)模型，以RBC1 智能體與車(chē)載ATP 智能體之間的控制—反饋回路為例，結(jié)合不安全控制行為分類(lèi)，辨識(shí)潛在的不安全控制行為。由于篇幅所限，僅列出部分辨識(shí)結(jié)果見(jiàn)表3。其中，不安全控制行為的編號(hào)規(guī)則為：RBC1（智能體1）-ATP（智能體2）-USCA（不安全控制行為的英文首字母縮寫(xiě)）-序號(hào)。

2.5 危險(xiǎn)致因辨識(shí)與安全約束制定

以不安全控制行為RBC1-ATP-USCA-7 為例，進(jìn)行危險(xiǎn)致因辨識(shí)與安全約束制定。與該不安全控制行為對(duì)應(yīng)的控制—反饋回路，如圖6所示。

圖6 RBC1-ATP-USCA-7對(duì)應(yīng)的控制—反饋回路

基于控制—反饋回路，利用1.2 節(jié)所述運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析方法，進(jìn)行危險(xiǎn)致因辨識(shí)，制定安全約束，由于篇幅所限，僅列出部分分析結(jié)果，見(jiàn)表4。其中，危險(xiǎn)致因場(chǎng)景ID的編號(hào)規(guī)則為：RBC1-ATP-USCA-7（不安全控制行為編號(hào)）-CF（致因因素的英文首字母縮寫(xiě)）-序號(hào)；安全約束ID 的編號(hào)規(guī)則為：RBC1-ATP-USCA-7（不安全控制行為編號(hào)）-SC（安全約束的英文首字母縮寫(xiě)）-序號(hào)。

表3 RBC1智能體與車(chē)載ATP智能體間潛在的不安全控制行為（部分）

表4 危險(xiǎn)致因與安全約束（部分）

3 仿真驗(yàn)證

3.1 仿真參數(shù)設(shè)置

選取京廣高鐵武漢—廣州段下行線(xiàn)K1 242+041—K1 263+195段進(jìn)行仿真驗(yàn)證。所選線(xiàn)路全長(zhǎng)21.154 km，最高運(yùn)行速度310 km·h-1，線(xiàn)路坡度數(shù)據(jù)見(jiàn)表5，線(xiàn)路曲線(xiàn)數(shù)據(jù)見(jiàn)表6。全線(xiàn)劃分閉塞分區(qū)11個(gè)，RBC切換預(yù)告點(diǎn)（LTA）位于K1 243+238，RBC 切換執(zhí)行點(diǎn)（RN）位于K1 249+348。以該段線(xiàn)路的單電臺(tái)RBC 切換場(chǎng)景為對(duì)象，仿真相關(guān)列控參數(shù)見(jiàn)表7。

仿真列車(chē)選取CRH380A 型動(dòng)車(chē)組，動(dòng)力配置6M2T，編組長(zhǎng)度203 m，列車(chē)限速350 km·h-1，荷載重量429.2 t，回轉(zhuǎn)系數(shù)0.1。列車(chē)牽引、制動(dòng)性能數(shù)據(jù)分別如圖7和圖8所示。

3.2 多智能體仿真平臺(tái)構(gòu)建

參照RBC 切換場(chǎng)景技術(shù)規(guī)范，前文提出的RBC 切換結(jié)構(gòu)模型以及仿真參數(shù)，利用多智能體仿真工具M(jìn)ason，構(gòu)建列控RBC 切換場(chǎng)景多智能體仿真平臺(tái)。仿真平臺(tái)主界面如圖9所示，其中軌道區(qū)段不同顏色表示不同含義：藍(lán)色表示空閑、紅色表示正常占用、白色表示移動(dòng)授權(quán)、紫色表示故障占用。

表5 仿真場(chǎng)景線(xiàn)路坡度

表6 仿真場(chǎng)景線(xiàn)路曲線(xiàn)

表7 仿真場(chǎng)景列控參數(shù)

圖7 列車(chē)牽引性能曲線(xiàn)

圖8 列車(chē)最大常用制動(dòng)性能曲線(xiàn)

圖9 仿真平臺(tái)主界面

3.3 仿真驗(yàn)證

基于仿真平臺(tái)，對(duì)單電臺(tái)RBC 切換場(chǎng)景危險(xiǎn)分析進(jìn)行仿真驗(yàn)證。驗(yàn)證時(shí)，本文以RBC 切換場(chǎng)景中的不安全控制行為RBC1-ATP-USCA-7 為例，選取導(dǎo)致該不安全控制行為的2 種典型危險(xiǎn)致因及其對(duì)應(yīng)的安全約束，分析其對(duì)系統(tǒng)安全的影響，驗(yàn)證危險(xiǎn)分析的正確性以及安全約束的可行性。

1）危險(xiǎn)致因RBC1-ATP-USCA-7-CF-1

該危險(xiǎn)致因可描述為：切換流程啟動(dòng)后，RBC2 進(jìn)路授權(quán)范圍內(nèi)有異常占用，RBC1 與RBC2 通信中斷，RBC2 不能向RBC1 發(fā)送縮短的進(jìn)路授權(quán)。

（1）將危險(xiǎn)致因注入仿真平臺(tái)。列車(chē)在RBC1控制區(qū)域內(nèi)運(yùn)行，到達(dá)RBC 切換預(yù)告應(yīng)答器組后，RBC1 向RBC2 請(qǐng)求進(jìn)路（RBC1 與RBC2 通信正常），RBC1 根據(jù)RBC2 提供的進(jìn)路信息，將列車(chē)移動(dòng)授權(quán)延伸至RBC2 管轄范圍內(nèi)（行車(chē)許可終點(diǎn)：K1 259+129）。列車(chē)越過(guò)切換預(yù)告點(diǎn)后危險(xiǎn)致因發(fā)生，RBC1 與RBC2 通信中斷，并且RBC2 進(jìn)路授權(quán)范圍內(nèi)的第1 個(gè)軌道區(qū)段（K1 249+383—K1 251+347）變?yōu)楣收险加?。由于RBC2 不能向RBC1 發(fā)送縮短的進(jìn)路授權(quán)，在未加安全約束條件下，列車(chē)將按照通信中斷前的移動(dòng)授權(quán)繼續(xù)運(yùn)行，如圖10所示，此時(shí)列車(chē)將會(huì)冒進(jìn)該故障軌道區(qū)段，導(dǎo)致行車(chē)事故，危及行車(chē)安全。

圖10 注入危險(xiǎn)致因時(shí)的RBC1與RBC2通信中斷仿真結(jié)果

（2）將安全約束RBC1-ATP-USCA-7-SC-1注入仿真平臺(tái)。該安全約束可描述為：切換流程啟動(dòng)后RBC1 與RBC2 通信中斷，RBC1 應(yīng)向車(chē)載ATP 發(fā)送縮短至切換邊界的移動(dòng)授權(quán)。注入安全約束后，RBC1 與RBC2 通信中斷，RBC2 進(jìn)路授權(quán)范圍內(nèi)有異常占用，RBC1 將縮短移動(dòng)授權(quán)至RBC1 管轄邊界處并發(fā)送給列車(chē)，車(chē)載將重新計(jì)算生成目標(biāo)點(diǎn)在切換點(diǎn)前的目標(biāo)距離速度防護(hù)曲線(xiàn)。仿真結(jié)果如圖11 所示，可以看出，注入安全約束后，行車(chē)安全得到了保障。

圖11 注入危險(xiǎn)致因及相應(yīng)安全約束時(shí)的RBC1與RBC2通信中斷仿真結(jié)果

2）危險(xiǎn)致因RBC1-ATP-USCA-7-CF-4

該危險(xiǎn)致因可描述為：RBC1 與車(chē)載ATP 通信中斷，RBC1 不能向車(chē)載ATP 發(fā)送縮短的移動(dòng)授權(quán)。

（1）將危險(xiǎn)致因注入仿真平臺(tái)。列車(chē)在RBC1控制區(qū)域內(nèi)運(yùn)行，越過(guò)RBC 切換預(yù)告應(yīng)答器組后，RBC1 向RBC2 請(qǐng)求進(jìn)路，RBC1 根據(jù)RBC2 提供的進(jìn)路信息，將列車(chē)移動(dòng)授權(quán)延伸至RBC2管轄范圍內(nèi)，此時(shí)RBC1 與車(chē)載ATP 通信中斷，如果RBC2 進(jìn)路授權(quán)范圍內(nèi)的進(jìn)路狀態(tài)發(fā)生變化，例如RBC2 進(jìn)路授權(quán)范圍內(nèi)的第3 個(gè)軌道區(qū)段（里程K1 253+303—K1 255+292）變?yōu)楣收险加茫捎赗BC1 不能向車(chē)載ATP 發(fā)送縮短的移動(dòng)授權(quán)，在未加安全約束條件下，列車(chē)將按照通信中斷前的移動(dòng)授權(quán)繼續(xù)運(yùn)行，如圖12 所示。此時(shí)列車(chē)將會(huì)冒進(jìn)該故障軌道區(qū)段，導(dǎo)致行車(chē)事故，危及行車(chē)安全。

圖12 注入危險(xiǎn)致因時(shí)的車(chē)載ATP與RBC通信中斷仿真結(jié)果

（2）將安全約束RBC1-ATP-USCA-7-SC-4注入仿真平臺(tái)。該安全約束可描述為：RBC1 與車(chē)載ATP 通信中斷超時(shí)后，車(chē)載ATP 應(yīng)觸發(fā)最大常用制動(dòng)。注入安全約束后，車(chē)載ATP 與RBC1 通信中斷超時(shí)后，車(chē)載ATP 向列車(chē)輸出最大常用制動(dòng)，當(dāng)列車(chē)速度降至CTCS-2 級(jí)最大允許速度250 km ·h-1后，自動(dòng)轉(zhuǎn)換為CTCS-2 級(jí)運(yùn)行，列車(chē)根據(jù)CTCS-2 級(jí)列控系統(tǒng)行車(chē)許可（終點(diǎn)為故障軌道區(qū)段入口）繼續(xù)運(yùn)行。仿真結(jié)果如圖13 所示，可以看出，注入安全約束后，行車(chē)安全得到了保障。

圖13 注入危險(xiǎn)致因及相應(yīng)安全約束時(shí)的車(chē)載ATP與RBC通信中斷仿真結(jié)果

4 結(jié) 語(yǔ)

本文提出1 種基于STPA 與多智能體的列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法，采用分層控制多智能體結(jié)構(gòu)模型描述RBC 切換場(chǎng)景的控制—反饋關(guān)系，結(jié)合STPA 方法辨識(shí)RBC 切換場(chǎng)景下潛在的不安全控制行為，基于控制—反饋回路分析導(dǎo)致不安全控制行為的危險(xiǎn)致因，進(jìn)而制定系統(tǒng)安全約束。以單電臺(tái)RBC 切換場(chǎng)景為研究對(duì)象，利用多智能體仿真技術(shù)構(gòu)建仿真平臺(tái)，選取危險(xiǎn)分析數(shù)據(jù)中的2 條危險(xiǎn)致因以及對(duì)應(yīng)的安全約束，分別進(jìn)行危險(xiǎn)致因和安全約束的注入與仿真，仿真結(jié)果驗(yàn)證了危險(xiǎn)分析的正確性以及安全約束的可行性。該方法不僅支持單危險(xiǎn)致因注入的仿真分析，而且未來(lái)還可擴(kuò)展為多危險(xiǎn)致因耦合的復(fù)雜危險(xiǎn)場(chǎng)景仿真驗(yàn)證，具有一定的應(yīng)用價(jià)值與前景。