信息流視域下的軌旁靜態數據安全管理優化方法*

江 迎 魏 倩 朱孟雯

(卡斯柯信號有限公司,200071,上海 ∥ 第一作者，高級工程師)

城市軌道交通全自動駕駛系統是現階段最新的城軌控制技術，其核心目標是實現對列車的全程自動化控制。軌旁靜態數據(SGD)是列車運行控制系統(以下簡為“列控系統”)運行的基礎數據信息，其詳細表達了線路的基本參數狀態、站臺設置情況以及線路特殊的保護區域，是實現列車高效安全運行的保障性數據信息，是安全數據管理工作流的核心，對駕駛控制、自動休眠及喚醒、軟件系統控制升級等列車運營功能[1-2]具有重要的意義。現階段，對SGD的安全管理方法是按獨立雙鏈形式進行人工驗證計算。這雖可以一定程度上提高數據的準確性，但人為失誤的不可消除性與驗證方法的繁瑣性，致使SGD安全管理的效率低、效果不佳。文獻[3]曾指出：人的工作流失誤是導致事故的主要原因。文獻[4]等認知心理學領域的相關研究結論表明：表觀層面的工作行為失誤，其本質來源于深層次的信息認知偏差。文獻[5]論述了隨著自動化控制系統的發展，當出現信息流缺失或者短路時可能導致的嚴重安全事故后果。文獻[6-8]闡明了信息流作為系統安全的生命線，在系統各個控制層級的迭代控制作用中所起到的關鍵作用，證明了構建系統安全信息流模型的重要性和必要性。

列控系統的SIL(安全完整性等級)分為4級，卻鮮有文獻針對城市軌道交通列控系統，從信息流視角進行安全模型構建。鑒于此，本文將構建列控系統安全信息流模型，依據信息安全流事故致因理論，分析該模型的安全需求，設計出優化SGD軌道靜態數據的安全管理方法，繼而利用Python語言開發輔助軟件工具來實踐上述優化，并對SGD的安全管理流程進行規范和優化，以降低人為安全驗證的失誤率，提高項目的安全可接受指標，以期對開發數據輔助管理工具和實現整個系統更高的安全需求提供理論依據。

1 列控系統安全信息流模型

1. 1 模型的理論基礎

從安全原理的角度看，列車全自動駕駛系統可以抽象為物質流、能量流及信息流的耦合體[9]。對列控系統結構具象化描述如下：物質流層面由信號基礎設備、車載設備、軌旁設備及聯鎖設備等組成；能量流體現在車輛動能狀態控制、火災檢測信息反饋及車輛授權終點位置信息等方面；信息流在列控系統耦合體中是實時動態更新變化的，反映了列控系統即時的可用性狀態和安全狀態。系統安全運行的本質表現為安全相關信息流的穩定有序流動，因此，安全管理的著力點需立足于對安全相關信息的流動指示、導向、監測、控制、警戒和利用。

1.2 模型結構

如圖1所示，列控系統安全信息流模型主要由3個圈層組成。

圖1 列控系統安全信息流模型

1) 核心圈層表示列控系統的安全信息流由數據流和管理流兩部分組成。數據流包括SGD、ZC(區域控制數據)、LC(全線同步控制數據)及CC(車載數據)；管理流在數據制作階段體現為線路基本運行規則、項目特殊配置規則、安全標準、特殊參數人工配置規范等知識類支持信息。數據流與管理流在系統設計制作的過程中，通過對應的數據制作和數據驗證等管理活動，進行迭代更新，直到最終完成系統需求的全部功能和安全需求，形成穩定的功能規則信息，使得物質流可以對能量流進行有序的控制。

2) 中間圈層表示安全信息流是物質流和能量流的交流媒介。物質流→信息流→能量流的運行途徑為列控系統控制流，能量流→信息流→物質流的運行流程為列控系統反饋流。當安全功能對應的控制流和反饋流穩定正常流動時，列控系統就實現了安全有序的運行。

3) 最外的圈層概括了列控系統的9大功能：超速防護功能、脫軌防護功能、車間距防護功能、站臺精確停車功能、車門安全控制功能、特殊防護區激活功能、進路安全分配聯鎖防護功能、道岔狀態檢測管理功能及臨時限速安全管理功能。每個功能的實現依賴于內部多條信息流并行或有特定次序的流動。9大功能的完整執行是信息流穩定流動的外在表象。

2 SGD數據管理工作流的優化

2.1 工作流優化的必要性

基于上述安全信息流模型進行分析可知：物質流對能量流的有效控制依賴于數據流與管理流的協調統一；功能規則信息是構成控制系統的數據基礎，有“信息閥門控制”作用；完善的功能規則信息可以將整個控制系統有機結合在一起。

圖2 功能規則信息的組成

隨著列控技術的自動化程度日益成熟，列控系統安全功能對功能規則信息的依賴將更為明顯。如圖2所示，SGD作為最基礎的功能規則信息，通過與管理流信息的迭代更新、循環流動，生成其他數據信息，繼而匯合統一構成功能規則信息，為能量流與物質流的交互流動創造規則路徑和驅動力。因此，SGD的制作和驗證是安全管理工作中最重要的一環。

2.2 信息流視域下的數據管理工作流四維度優化

數據管理工作流程實質是對各類規則信息的整合、分析和處理。從信息流角度來審視，數據管理工作可抽象為信息整合獲取、信息分析處理及信息輸出決策等3大階段。相應的，現有數據管理工作流程為：人工判斷上游輸入文件信息、人工識別參數規則配置準確性、人工進行數據存儲格式的轉變、人工生成驗證報告結果。文獻[10-11]提出了信息安全流事故致因理論中的個人風險決策研究框架為“技能-規則-知識( Skills-Regulations-Knowledges)”。由此可知，在以人為主的信息流處理流程中，風險主要來源于4個維度：技能缺失維、規則缺陷維、知識缺乏維及心理狀態維。4個維度優化流程如圖3所示。當人工處理信息時，往往會由于這4個維度的影響而導致信息流的錯誤流動，從而為整個列控系統埋下安全隱患。

圖3 4個維度優化流程

針對4個風險源維度，要提高列控系統的風險防控能力，就應從程序化、規則化、步驟化、知識化等角度，優化現有的SGD安全管理流程。

1) 程序化：基于Python語言開發的驗證軟件，可利用驗證軟件的高效和低錯誤率來規避人工勞動低效和隨機出錯的問題。

2) 規則化：將參數驗證的規則方法內化為程序算法。將人的工作職責由原來的驗證執行者變為驗證監督者，從而提高驗證結果的準確性。

3) 步驟化：利用程序運行的天然邏輯關系，將人工驗證時容易出現的工作流無序、紊亂、倒流等特殊情況進行屏蔽。操作者根據程序的提示逐步完善數據管理工作。

4) 知識化：驗證軟件不僅能為驗證者計算出推薦的參數值，而且還能將該參數涉及到的相關信息全部整理出來，以方便驗證人員核查，并對該參數相關的知識進行必要的提示。

3 驗證軟件的開發

Python語言配置了openpyxl、tkinter、docx、xml等類庫。結合SGD數據管理流程的特殊性，以4個維度優化為著力點，驗證軟件的開發可實現以下功能：①整合各種格式的輸入文件，將來自Excel、xml、Word 3類不同文檔中的數據進行保存、調用和處理，極大地提高了工作效率；②通過人機交互界面實現對驗證者的數據管理工作流程把控，從而屏蔽可能出現的流程錯誤問題；③軟件將SGD參數的配置規則內化為算法，可根據參數名來識別參數，進而調用來自其他格式輸入文件的參數計算信息，進行對應的參數驗證計算；④將各參數對應的計算驗證方法和相關計算信息保存在驗證報告中，供驗證者對驗證結果檢查、學習和記憶，提高驗證結果的準確性。圖4為驗證軟件的交互界面。

圖4 驗證軟件的交互界面

驗證軟件的運行流程如圖5所示。為使數據管理過程實現有序化和不可逆化，依次分3步進行：第1步，參數是否缺失確認工作；第2步，項目數據導出和轉化工作；第3步，數據自動驗證工作。每一步完成后，均要求驗證人員判斷階段性數據結果。只有數據結果滿足邏輯條件，才會將生成文件作為輸入文件，參與到下一步的運算中。階段性的檢查有利于尋找數據錯誤的原因，提高最終數據驗證結果的一致性。由于不同項目可能具有不同的特殊環境或者特殊功能配置，軟件內置的數據配置規則不可能完全適應于全部項目的所有參數配置；因此，只有軟件的最終輸出結果經過人工核查后，才可以確認數據驗證工作的完成，從而實現完美的人機互補，發揮軟件和人工在數據管理工作流中的各自優勢。

圖5 輔助驗證軟件運行流程

4 結語

1) 構建了列控系統的安全信息流模型，并基于安全原理分析整個列控系統的信息流動。SGD數據管理工作流是整個列控系統信息流安全的根本保障。

2) 立足于現有的數據管理工作流程，從信息事故致因的4個維度總結了風險產生的原因，進而對4個優化維度進行了重新設計，為下一步程序設計提供了理論指導。

3) 利用Python語言的特質，開發了可以整合各類數據信息、內化規則算法、提供知識幫助的輔助驗證軟件，提高了數據驗證工作的效率和準確率。此項工作對提高整個列控系統的安全性能而言，意義重大。