• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于STPA與多智能體的列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法

    2021-02-04 02:38:16張亞?wèn)|李科宏
    中國(guó)鐵道科學(xué) 2021年1期
    關(guān)鍵詞:安全控制約束列車(chē)

    張亞?wèn)|,王 碩,李 亞,郭 進(jìn),李科宏

    (1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院,四川 成都 611756;2.西華大學(xué) 管理學(xué)院,四川 成都 610039)

    作為列車(chē)控制核心技術(shù)裝備之一,列控系統(tǒng)廣泛應(yīng)用于我國(guó)高速鐵路和城市軌道交通,主要實(shí)現(xiàn)列車(chē)移動(dòng)授權(quán)實(shí)時(shí)計(jì)算、追蹤間隔自動(dòng)控制、運(yùn)行速度安全防護(hù)等安全苛求功能,在保障行車(chē)安全、提高運(yùn)輸效率等方面起到了關(guān)鍵作用。一旦列控系統(tǒng)發(fā)生危險(xiǎn)失效,輕則中斷行車(chē)影響效率,重則導(dǎo)致重大行車(chē)事故。

    在控制列車(chē)安全、高效運(yùn)行的過(guò)程中,列控系統(tǒng)中包含了從注冊(cè)啟動(dòng)到停車(chē)注銷(xiāo)共十幾種運(yùn)營(yíng)場(chǎng)景,不同場(chǎng)景下存在不同的參與主體、交互行為與控制模式,不同場(chǎng)景間又存在復(fù)雜的動(dòng)態(tài)切換與疊加關(guān)系,這導(dǎo)致列控系統(tǒng)潛在的危險(xiǎn)行為及其致因具有隱蔽性、多樣性、復(fù)雜性較強(qiáng)的特征,且致因事件間的關(guān)系呈現(xiàn)非線(xiàn)性特點(diǎn)。因此,對(duì)列控復(fù)雜運(yùn)營(yíng)場(chǎng)景進(jìn)行系統(tǒng)危險(xiǎn)分析及安全驗(yàn)證,對(duì)于保障行車(chē)安全具有重要意義。

    目前在業(yè)界應(yīng)用較為廣泛的系統(tǒng)危險(xiǎn)分析方法,主要是基于線(xiàn)性事件鏈的。例如:故障模式影響分析(Failure Mode and Effects Analysis,F(xiàn)MEA)、故障樹(shù)分析(Fault Tree Analysis,F(xiàn)TA)、事件樹(shù)分析(Event Tree Analysis,ETA)等[1]。這類(lèi)傳統(tǒng)分析方法認(rèn)為事故是由一系列存在因果關(guān)系的事件線(xiàn)性順序發(fā)生而導(dǎo)致的,其雖有簡(jiǎn)單易用等優(yōu)點(diǎn),但卻難以分析致因事件間呈現(xiàn)復(fù)雜非線(xiàn)性關(guān)系的危險(xiǎn)場(chǎng)景[2]。為彌補(bǔ)其不足,美國(guó)麻省理工學(xué)院的Nancy Leveson 教授提出系統(tǒng)理論事故模型與過(guò)程(System-Theoretic Accident Model and Processes,STAMP)安全理論。該理論基于系統(tǒng)論和控制論,在充分考慮組織管理、系統(tǒng)交互等對(duì)系統(tǒng)安全影響的基礎(chǔ)上,將系統(tǒng)視為1種分層控制結(jié)構(gòu),從控制的角度分析安全問(wèn)題,認(rèn)為安全性是人為因素、系統(tǒng)組件、環(huán)境因素和組織管理因素在非線(xiàn)性相互作用下的1 種整體涌現(xiàn)性。一旦出現(xiàn)外部干擾、組件失效或組件的異常交互未能得到很好地控制等情況,即安全約束失效,則會(huì)產(chǎn)生不安全控制行為,導(dǎo)致事故發(fā)生[3]。

    基于STAMP 理論,Nancy Leveson 進(jìn)一步提出了用于危險(xiǎn)分析的系統(tǒng)理論過(guò)程分析方法(Sys?tem-Theoretic Process Analysis,STPA)。與傳統(tǒng)分析方法相比,STPA 方法關(guān)注系統(tǒng)內(nèi)部的控制—反饋過(guò)程,可充分分析具有非線(xiàn)性因果關(guān)系的危險(xiǎn)致因。當(dāng)前,STAMP 理論及STPA 方法已在航空航天、交通運(yùn)輸、工業(yè)控制等領(lǐng)域安全苛求系統(tǒng)的危險(xiǎn)分析中得到逐步運(yùn)用[4-5]。在鐵路領(lǐng)域,閆宏偉等[6]利用STPA 方法對(duì)列車(chē)進(jìn)站停車(chē)運(yùn)營(yíng)場(chǎng)景進(jìn)行建模與危險(xiǎn)致因分析,分析結(jié)果為列控系統(tǒng)設(shè)計(jì)提供了理論依據(jù)。OUYANG等[7]基于STAMP理論對(duì)“4.28”膠濟(jì)鐵路事故進(jìn)行分析,對(duì)事故傳播過(guò)程進(jìn)行建模與討論,為事故應(yīng)急管理制定了有效措施。劉宏杰等[8]結(jié)合STPA 方法與XSTAMP軟件,對(duì)平交道口控制系統(tǒng)進(jìn)行安全分析,利用線(xiàn)性時(shí)序邏輯語(yǔ)言,最終得到形式化的安全需求。劉金濤等[9-10]利用形式化方法對(duì)STPA 進(jìn)行擴(kuò)展,實(shí)現(xiàn)了對(duì)CTCS-3級(jí)系統(tǒng)功能的安全分析,并以無(wú)線(xiàn)閉塞中心交接為對(duì)象,基于STAMP 理論提出1種混成自動(dòng)機(jī)和對(duì)象約束語(yǔ)言O(shè)CL 與STAMP 模型相結(jié)合的方法,分析了需求階段的無(wú)線(xiàn)閉塞中心交接危險(xiǎn)因素。SPIEGEL 等[11]提出1 種將Petri網(wǎng)形式化模型集成到STAMP中的新方法——形式化STAMP,并將該方法應(yīng)用到“7.23”溫州動(dòng)車(chē)事故的建模與分析中。綜上,基于STAMP 和ST?PA 的系統(tǒng)安全分析方法研究,目前集中在方法的直接應(yīng)用或與形式化方法的結(jié)合等方面,主要解決STAMP 和STPA 分析過(guò)程存在的歧義性問(wèn)題,并利用仿真建模技術(shù)實(shí)現(xiàn)系統(tǒng)模型的形式化驗(yàn)證。而關(guān)于危險(xiǎn)分析與仿真技術(shù)相結(jié)合的研究相對(duì)少見(jiàn),能夠仿真驗(yàn)證STPA危險(xiǎn)分析結(jié)果的有效技術(shù)手段也較為缺乏。

    智能體是人工智能領(lǐng)域中的重要概念,其模型描述(控制器、感應(yīng)器與執(zhí)行器)與STAMP分層控制結(jié)構(gòu)模型中的控制—反饋回路(控制器、傳感器與執(zhí)行器)在結(jié)構(gòu)上是統(tǒng)一的。在表達(dá)復(fù)雜系統(tǒng)的層次關(guān)系、子系統(tǒng)的自主行為以及子系統(tǒng)間的動(dòng)態(tài)交互與協(xié)同控制等方面,多智能體模型具有顯著優(yōu)勢(shì)[12]。借助多智能體仿真技術(shù)手段,易于實(shí)現(xiàn)危險(xiǎn)致因和安全約束的分別注入,從而仿真驗(yàn)證危險(xiǎn)致因和安全約束對(duì)系統(tǒng)安全的影響。

    考慮以上因素,本文將STPA危險(xiǎn)分析方法與多智能體仿真技術(shù)相結(jié)合,提出1種列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法;以單電臺(tái)的無(wú)線(xiàn)閉塞中心(Radio Block Center,RBC)切換場(chǎng)景為研究對(duì)象,辨識(shí)該運(yùn)營(yíng)場(chǎng)景下潛在的不安全控制行為,提取其危險(xiǎn)致因和安全約束;構(gòu)建多智能體仿真平臺(tái),通過(guò)危險(xiǎn)致因和安全約束的注入與仿真,驗(yàn)證提出的列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法的正確性和可行性。

    1 列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法

    參考文獻(xiàn)[3]和文獻(xiàn)[12],結(jié)合我國(guó)高速鐵路列控系統(tǒng)特點(diǎn),提出1 種列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法。該方法的總體流程可歸納為:基于列控系統(tǒng)運(yùn)營(yíng)場(chǎng)景的需求描述,分析運(yùn)營(yíng)場(chǎng)景中的參與主體、交互行為與控制邏輯,結(jié)合STAMP理論與多智能體建模方法,構(gòu)建運(yùn)營(yíng)場(chǎng)景分層控制多智能體結(jié)構(gòu)模型;基于該模型,利用STPA方法進(jìn)行運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析;利用多智能體仿真技術(shù),構(gòu)建運(yùn)營(yíng)場(chǎng)景多智能體仿真平臺(tái),注入危險(xiǎn)致因和安全約束,通過(guò)仿真,驗(yàn)證危險(xiǎn)分析的正確性。具體流程如圖1所示。

    圖1 危險(xiǎn)分析及仿真驗(yàn)證總體流程

    1.1 運(yùn)營(yíng)場(chǎng)景分層控制多智能體結(jié)構(gòu)模型構(gòu)建

    根據(jù)列控運(yùn)營(yíng)場(chǎng)景需求描述,分析特定運(yùn)營(yíng)場(chǎng)景下的參與主體、交互行為和控制邏輯,將每個(gè)參與主體抽象為1 個(gè)單獨(dú)的智能體,基于STAMP 理論和參與主體間的交互行為,逐步細(xì)化運(yùn)營(yíng)場(chǎng)景各層次不同智能體間的控制—反饋關(guān)系,明確每個(gè)層次通過(guò)控制過(guò)程向下層施加的約束以及向上層反饋約束的執(zhí)行結(jié)果,構(gòu)建基于特定運(yùn)營(yíng)場(chǎng)景的分層控制多智能體結(jié)構(gòu)模型(以下簡(jiǎn)稱(chēng)為“結(jié)構(gòu)模型”)。

    1.2 運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析

    基于結(jié)構(gòu)模型,利用STPA方法進(jìn)行運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析,步驟如下。

    步驟1:結(jié)合不安全控制行為分類(lèi),從以下多個(gè)方面,辨識(shí)運(yùn)營(yíng)場(chǎng)景下潛在的系統(tǒng)不安全控制行為。包括:系統(tǒng)未提供所需的安全控制;提供了錯(cuò)誤的控制行為;在錯(cuò)誤的時(shí)間(過(guò)早/過(guò)晚)提供控制行為;控制行為結(jié)束過(guò)早或持續(xù)過(guò)長(zhǎng)等。

    步驟2:在結(jié)構(gòu)模型中,提取與不安全控制行為相關(guān)的控制—反饋回路,如圖2 所示,并從以下多個(gè)方面識(shí)別不安全控制行為的危險(xiǎn)致因。包括:控制器輸入錯(cuò)誤/缺失;控制算法不恰當(dāng);過(guò)程模型不一致、不完整或不正確;傳感器不恰當(dāng)運(yùn)行造成反饋不正確、不精確、消息延遲/未被提供;執(zhí)行器不恰當(dāng)運(yùn)行造成控制行為不合適、無(wú)效或錯(cuò)誤等。

    步驟3:在不安全控制行為及其危險(xiǎn)致因辨識(shí)的基礎(chǔ)上,針對(duì)每1條不安全控制行為的具體危險(xiǎn)致因,制定相應(yīng)的系統(tǒng)安全約束。

    圖2 基于控制—反饋回路的危險(xiǎn)致因辨識(shí)

    1.3 運(yùn)營(yíng)場(chǎng)景仿真驗(yàn)證

    基于構(gòu)建的結(jié)構(gòu)模型,利用多智能體仿真技術(shù)和Mason 開(kāi)發(fā)工具,構(gòu)建運(yùn)營(yíng)場(chǎng)景多智能體仿真平臺(tái),實(shí)現(xiàn)列控運(yùn)營(yíng)場(chǎng)景的多智能體仿真以及危險(xiǎn)致因注入等功能。在1.2 節(jié)得到的危險(xiǎn)致因、安全約束基礎(chǔ)上,結(jié)合結(jié)構(gòu)模型,分析危險(xiǎn)致因及對(duì)應(yīng)安全約束的發(fā)生位置、持續(xù)時(shí)長(zhǎng)和注入時(shí)機(jī)。在仿真過(guò)程中,依據(jù)以上信息,將危險(xiǎn)致因和安全約束分別注入仿真平臺(tái),分析危險(xiǎn)致因和安全約束對(duì)系統(tǒng)安全的影響,驗(yàn)證危險(xiǎn)分析的正確性以及安全約束的可行性。

    仿真平臺(tái)由控制臺(tái)子系統(tǒng)、多智能體仿真子系統(tǒng)、危險(xiǎn)致因/安全約束注入子系統(tǒng)、仿真監(jiān)測(cè)子系統(tǒng)4 個(gè)部分組成,平臺(tái)架構(gòu)如圖3 所示。各子系統(tǒng)承擔(dān)的功能分別是:控制臺(tái)子系統(tǒng)用于控制仿真進(jìn)程;多智能體仿真子系統(tǒng)用于運(yùn)營(yíng)場(chǎng)景各個(gè)智能體的功能邏輯仿真及其信息交互;危險(xiǎn)致因/安全約束注入子系統(tǒng)用于實(shí)現(xiàn)仿真過(guò)程中的危險(xiǎn)致因/安全約束注入;仿真監(jiān)測(cè)子系統(tǒng)用于監(jiān)測(cè)記錄仿真狀態(tài)以及可視化展示。

    圖3 列控運(yùn)營(yíng)場(chǎng)景多智能體仿真平臺(tái)

    2 單電臺(tái)RBC 切換場(chǎng)景的建模與危險(xiǎn)分析

    無(wú)線(xiàn)閉塞中心(RBC)切換場(chǎng)景是CTCS-3級(jí)列控系統(tǒng)14 種典型運(yùn)營(yíng)場(chǎng)景之一,分雙電臺(tái)切換和單電臺(tái)切換2 種情況??紤]到單電臺(tái)RBC 切換場(chǎng)景參與主體多、交互邏輯復(fù)雜、安全性要求高,本文以這一運(yùn)營(yíng)場(chǎng)景為例,將其代入前述危險(xiǎn)分析及多智能體仿真驗(yàn)證方法,進(jìn)行建模與危險(xiǎn)分析。

    2.1 單電臺(tái)RBC切換場(chǎng)景描述

    單電臺(tái)RBC切換場(chǎng)景如圖4所示,描述了列車(chē)在2個(gè)不同RBC的邊界處,實(shí)現(xiàn)行車(chē)許可控制的安全切換過(guò)程。其中,RBC1 負(fù)責(zé)向RBC2 發(fā)送切換預(yù)告信息、進(jìn)路請(qǐng)求信息、列車(chē)數(shù)據(jù)等;RBC2 負(fù)責(zé)向RBC1發(fā)送進(jìn)路信息、接管列車(chē)信息等。該場(chǎng)景下,當(dāng)列車(chē)最小安全末端越過(guò)切換點(diǎn)后,車(chē)載設(shè)備根據(jù)RBC1 的命令切斷與RBC1 的通信連接,才開(kāi)始呼叫RBC2建立通信會(huì)話(huà),獲得新的行車(chē)許可。在此過(guò)程中,車(chē)載設(shè)備使用RBC1先前提供的延伸到RBC2控制區(qū)域的行車(chē)許可監(jiān)控列車(chē)運(yùn)行。

    圖4 單電臺(tái)RBC切換場(chǎng)景

    2.2 系統(tǒng)級(jí)事故與危險(xiǎn)定義

    根據(jù)單電臺(tái)RBC 切換場(chǎng)景,分別定義并編號(hào)RBC 切換過(guò)程中可能發(fā)生的系統(tǒng)級(jí)事故以及導(dǎo)致這些事故發(fā)生的系統(tǒng)級(jí)危險(xiǎn),詳見(jiàn)表1和表2。

    表1 系統(tǒng)級(jí)事故定義

    表2 系統(tǒng)級(jí)危險(xiǎn)定義

    2.3 分層控制多智能體結(jié)構(gòu)模型構(gòu)建

    分析可知單電臺(tái)RBC 切換場(chǎng)景的參與主體包括:列車(chē)超速防護(hù)系統(tǒng)(ATP)、移交RBC1、接收RBC2、切換應(yīng)答器組、列車(chē)。將每個(gè)主體視為1 個(gè)智能體(Agent),基于控制模型的構(gòu)建方法,建立單電臺(tái)RBC 切換場(chǎng)景下的分層控制多智能體結(jié)構(gòu)模型(以下簡(jiǎn)稱(chēng)為RBC 切換結(jié)構(gòu)模型),如圖5 所示。由圖可知:車(chē)載ATP 智能體分別與RBC1智能體、RBC2 智能體、列車(chē)智能體、切換應(yīng)答器組智能體間存在控制—反饋回路,RBC1 智能體與RBC2智能體間存在控制—反饋回路。

    2.4 不安全控制行為辨識(shí)

    圖5 RBC切換結(jié)構(gòu)模型

    基于RBC 切換結(jié)構(gòu)模型,以RBC1 智能體與車(chē)載ATP 智能體之間的控制—反饋回路為例,結(jié)合不安全控制行為分類(lèi),辨識(shí)潛在的不安全控制行為。由于篇幅所限,僅列出部分辨識(shí)結(jié)果見(jiàn)表3。其中,不安全控制行為的編號(hào)規(guī)則為:RBC1(智能體1)-ATP(智能體2)-USCA(不安全控制行為的英文首字母縮寫(xiě))-序號(hào)。

    2.5 危險(xiǎn)致因辨識(shí)與安全約束制定

    以不安全控制行為RBC1-ATP-USCA-7 為例,進(jìn)行危險(xiǎn)致因辨識(shí)與安全約束制定。與該不安全控制行為對(duì)應(yīng)的控制—反饋回路,如圖6所示。

    圖6 RBC1-ATP-USCA-7對(duì)應(yīng)的控制—反饋回路

    基于控制—反饋回路,利用1.2 節(jié)所述運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析方法,進(jìn)行危險(xiǎn)致因辨識(shí),制定安全約束,由于篇幅所限,僅列出部分分析結(jié)果,見(jiàn)表4。其中,危險(xiǎn)致因場(chǎng)景ID的編號(hào)規(guī)則為:RBC1-ATP-USCA-7(不安全控制行為編號(hào))-CF(致因因素的英文首字母縮寫(xiě))-序號(hào);安全約束ID 的編號(hào)規(guī)則為:RBC1-ATP-USCA-7(不安全控制行為編號(hào))-SC(安全約束的英文首字母縮寫(xiě))-序號(hào)。

    表3 RBC1智能體與車(chē)載ATP智能體間潛在的不安全控制行為(部分)

    表4 危險(xiǎn)致因與安全約束(部分)

    3 仿真驗(yàn)證

    3.1 仿真參數(shù)設(shè)置

    選取京廣高鐵武漢—廣州段下行線(xiàn)K1 242+041—K1 263+195段進(jìn)行仿真驗(yàn)證。所選線(xiàn)路全長(zhǎng)21.154 km,最高運(yùn)行速度310 km·h-1,線(xiàn)路坡度數(shù)據(jù)見(jiàn)表5,線(xiàn)路曲線(xiàn)數(shù)據(jù)見(jiàn)表6。全線(xiàn)劃分閉塞分區(qū)11個(gè),RBC切換預(yù)告點(diǎn)(LTA)位于K1 243+238,RBC 切換執(zhí)行點(diǎn)(RN)位于K1 249+348。以該段線(xiàn)路的單電臺(tái)RBC 切換場(chǎng)景為對(duì)象,仿真相關(guān)列控參數(shù)見(jiàn)表7。

    仿真列車(chē)選取CRH380A 型動(dòng)車(chē)組,動(dòng)力配置6M2T,編組長(zhǎng)度203 m,列車(chē)限速350 km·h-1,荷載重量429.2 t,回轉(zhuǎn)系數(shù)0.1。列車(chē)牽引、制動(dòng)性能數(shù)據(jù)分別如圖7和圖8所示。

    3.2 多智能體仿真平臺(tái)構(gòu)建

    參照RBC 切換場(chǎng)景技術(shù)規(guī)范,前文提出的RBC 切換結(jié)構(gòu)模型以及仿真參數(shù),利用多智能體仿真工具M(jìn)ason,構(gòu)建列控RBC 切換場(chǎng)景多智能體仿真平臺(tái)。仿真平臺(tái)主界面如圖9所示,其中軌道區(qū)段不同顏色表示不同含義:藍(lán)色表示空閑、紅色表示正常占用、白色表示移動(dòng)授權(quán)、紫色表示故障占用。

    表5 仿真場(chǎng)景線(xiàn)路坡度

    表6 仿真場(chǎng)景線(xiàn)路曲線(xiàn)

    表7 仿真場(chǎng)景列控參數(shù)

    圖7 列車(chē)牽引性能曲線(xiàn)

    圖8 列車(chē)最大常用制動(dòng)性能曲線(xiàn)

    圖9 仿真平臺(tái)主界面

    3.3 仿真驗(yàn)證

    基于仿真平臺(tái),對(duì)單電臺(tái)RBC 切換場(chǎng)景危險(xiǎn)分析進(jìn)行仿真驗(yàn)證。驗(yàn)證時(shí),本文以RBC 切換場(chǎng)景中的不安全控制行為RBC1-ATP-USCA-7 為例,選取導(dǎo)致該不安全控制行為的2 種典型危險(xiǎn)致因及其對(duì)應(yīng)的安全約束,分析其對(duì)系統(tǒng)安全的影響,驗(yàn)證危險(xiǎn)分析的正確性以及安全約束的可行性。

    1)危險(xiǎn)致因RBC1-ATP-USCA-7-CF-1

    該危險(xiǎn)致因可描述為:切換流程啟動(dòng)后,RBC2 進(jìn)路授權(quán)范圍內(nèi)有異常占用,RBC1 與RBC2 通信中斷,RBC2 不能向RBC1 發(fā)送縮短的進(jìn)路授權(quán)。

    (1)將危險(xiǎn)致因注入仿真平臺(tái)。列車(chē)在RBC1控制區(qū)域內(nèi)運(yùn)行,到達(dá)RBC 切換預(yù)告應(yīng)答器組后,RBC1 向RBC2 請(qǐng)求進(jìn)路(RBC1 與RBC2 通信正常),RBC1 根據(jù)RBC2 提供的進(jìn)路信息,將列車(chē)移動(dòng)授權(quán)延伸至RBC2 管轄范圍內(nèi)(行車(chē)許可終點(diǎn):K1 259+129)。列車(chē)越過(guò)切換預(yù)告點(diǎn)后危險(xiǎn)致因發(fā)生,RBC1 與RBC2 通信中斷,并且RBC2 進(jìn)路授權(quán)范圍內(nèi)的第1 個(gè)軌道區(qū)段(K1 249+383—K1 251+347)變?yōu)楣收险加?。由于RBC2 不能向RBC1 發(fā)送縮短的進(jìn)路授權(quán),在未加安全約束條件下,列車(chē)將按照通信中斷前的移動(dòng)授權(quán)繼續(xù)運(yùn)行,如圖10所示,此時(shí)列車(chē)將會(huì)冒進(jìn)該故障軌道區(qū)段,導(dǎo)致行車(chē)事故,危及行車(chē)安全。

    圖10 注入危險(xiǎn)致因時(shí)的RBC1與RBC2通信中斷仿真結(jié)果

    (2)將安全約束RBC1-ATP-USCA-7-SC-1注入仿真平臺(tái)。該安全約束可描述為:切換流程啟動(dòng)后RBC1 與RBC2 通信中斷,RBC1 應(yīng)向車(chē)載ATP 發(fā)送縮短至切換邊界的移動(dòng)授權(quán)。注入安全約束后,RBC1 與RBC2 通信中斷,RBC2 進(jìn)路授權(quán)范圍內(nèi)有異常占用,RBC1 將縮短移動(dòng)授權(quán)至RBC1 管轄邊界處并發(fā)送給列車(chē),車(chē)載將重新計(jì)算生成目標(biāo)點(diǎn)在切換點(diǎn)前的目標(biāo)距離速度防護(hù)曲線(xiàn)。仿真結(jié)果如圖11 所示,可以看出,注入安全約束后,行車(chē)安全得到了保障。

    圖11 注入危險(xiǎn)致因及相應(yīng)安全約束時(shí)的RBC1與RBC2通信中斷仿真結(jié)果

    2)危險(xiǎn)致因RBC1-ATP-USCA-7-CF-4

    該危險(xiǎn)致因可描述為:RBC1 與車(chē)載ATP 通信中斷,RBC1 不能向車(chē)載ATP 發(fā)送縮短的移動(dòng)授權(quán)。

    (1)將危險(xiǎn)致因注入仿真平臺(tái)。列車(chē)在RBC1控制區(qū)域內(nèi)運(yùn)行,越過(guò)RBC 切換預(yù)告應(yīng)答器組后,RBC1 向RBC2 請(qǐng)求進(jìn)路,RBC1 根據(jù)RBC2 提供的進(jìn)路信息,將列車(chē)移動(dòng)授權(quán)延伸至RBC2管轄范圍內(nèi),此時(shí)RBC1 與車(chē)載ATP 通信中斷,如果RBC2 進(jìn)路授權(quán)范圍內(nèi)的進(jìn)路狀態(tài)發(fā)生變化,例如RBC2 進(jìn)路授權(quán)范圍內(nèi)的第3 個(gè)軌道區(qū)段(里程K1 253+303—K1 255+292)變?yōu)楣收险加茫捎赗BC1 不能向車(chē)載ATP 發(fā)送縮短的移動(dòng)授權(quán),在未加安全約束條件下,列車(chē)將按照通信中斷前的移動(dòng)授權(quán)繼續(xù)運(yùn)行,如圖12 所示。此時(shí)列車(chē)將會(huì)冒進(jìn)該故障軌道區(qū)段,導(dǎo)致行車(chē)事故,危及行車(chē)安全。

    圖12 注入危險(xiǎn)致因時(shí)的車(chē)載ATP與RBC通信中斷仿真結(jié)果

    (2)將安全約束RBC1-ATP-USCA-7-SC-4注入仿真平臺(tái)。該安全約束可描述為:RBC1 與車(chē)載ATP 通信中斷超時(shí)后,車(chē)載ATP 應(yīng)觸發(fā)最大常用制動(dòng)。注入安全約束后,車(chē)載ATP 與RBC1 通信中斷超時(shí)后,車(chē)載ATP 向列車(chē)輸出最大常用制動(dòng),當(dāng)列車(chē)速度降至CTCS-2 級(jí)最大允許速度250 km ·h-1后,自動(dòng)轉(zhuǎn)換為CTCS-2 級(jí)運(yùn)行,列車(chē)根據(jù)CTCS-2 級(jí)列控系統(tǒng)行車(chē)許可(終點(diǎn)為故障軌道區(qū)段入口)繼續(xù)運(yùn)行。仿真結(jié)果如圖13 所示,可以看出,注入安全約束后,行車(chē)安全得到了保障。

    圖13 注入危險(xiǎn)致因及相應(yīng)安全約束時(shí)的車(chē)載ATP與RBC通信中斷仿真結(jié)果

    4 結(jié) 語(yǔ)

    本文提出1 種基于STPA 與多智能體的列控運(yùn)營(yíng)場(chǎng)景危險(xiǎn)分析及仿真驗(yàn)證方法,采用分層控制多智能體結(jié)構(gòu)模型描述RBC 切換場(chǎng)景的控制—反饋關(guān)系,結(jié)合STPA 方法辨識(shí)RBC 切換場(chǎng)景下潛在的不安全控制行為,基于控制—反饋回路分析導(dǎo)致不安全控制行為的危險(xiǎn)致因,進(jìn)而制定系統(tǒng)安全約束。以單電臺(tái)RBC 切換場(chǎng)景為研究對(duì)象,利用多智能體仿真技術(shù)構(gòu)建仿真平臺(tái),選取危險(xiǎn)分析數(shù)據(jù)中的2 條危險(xiǎn)致因以及對(duì)應(yīng)的安全約束,分別進(jìn)行危險(xiǎn)致因和安全約束的注入與仿真,仿真結(jié)果驗(yàn)證了危險(xiǎn)分析的正確性以及安全約束的可行性。該方法不僅支持單危險(xiǎn)致因注入的仿真分析,而且未來(lái)還可擴(kuò)展為多危險(xiǎn)致因耦合的復(fù)雜危險(xiǎn)場(chǎng)景仿真驗(yàn)證,具有一定的應(yīng)用價(jià)值與前景。

    猜你喜歡
    安全控制約束列車(chē)
    機(jī)械設(shè)計(jì)自動(dòng)化設(shè)備安全控制研究
    登上末日列車(chē)
    關(guān)愛(ài)向列車(chē)下延伸
    “碳中和”約束下的路徑選擇
    建筑施工現(xiàn)場(chǎng)的安全控制
    約束離散KP方程族的完全Virasoro對(duì)稱(chēng)
    穿越時(shí)空的列車(chē)
    適當(dāng)放手能讓孩子更好地自我約束
    人生十六七(2015年6期)2015-02-28 13:08:38
    西去的列車(chē)
    熱成像技術(shù)在食品質(zhì)量安全控制中的應(yīng)用
    上思县| 寿阳县| 梅州市| 濮阳市| 锡林郭勒盟| 绿春县| 察隅县| 陵水| 建水县| 来宾市| 道真| 温宿县| 汽车| 东乌| 股票| 定西市| 尉犁县| 吴忠市| 泽普县| 彰化县| 卓尼县| 韩城市| 海丰县| 天气| 奉节县| 嘉兴市| 万山特区| 海原县| 红原县| 微山县| 永安市| 屏边| 大石桥市| 武定县| 东阿县| 金湖县| 彩票| 兰西县| 安多县| 城固县| 天水市|