基于復雜網絡理論的高鐵信號系統危險致因評價方法

劉金濤，鄭 偉，李克平，吳道華

(1.北京交通大學 國家軌道交通安全評估研究中心， 北京 100044；2.北京交通大學 軌道交通控制與安全國家重點實驗室， 北京 100044)

作為高速鐵路的關鍵設備，高鐵信號系統承擔著高鐵列車的安全保障任務，一旦出現問題，將直接影響列車的行車安全，甚至造成高鐵事故。保障高鐵信號系統的安全性對于我國高速鐵路的健康發展至關重要。

高鐵信號系統安全保障工作的核心是對高鐵信號系統進行危險分析，辨識出危險致因，進而針對各類潛在危險致因制定安全措施[1]。然而考慮到系統開發的費效比，在高鐵信號系統的設計階段就針對全部危險致因設計安全防護措施是不切實際的。因此需要對危險致因的重要度程度進行評價，找出關鍵的危險致因，在系統設計階段建立相應的安全措施，而對其他的致因可在系統運行階段再建立相應的安全屏障或應急計劃以消除其可能帶來的損害[2]。由此，采用有效的方法對危險致因進行評價，是實施高鐵信號系統安全保障工作的前提，對于保障高鐵列車安全運行具有重要意義。

目前被廣泛應用的危險致因評價方法可分為基于結構的方法和基于概率的方法。基于結構的方法，例如結構重要度分析[3-5]是利用致因間因果關系構成的因果關系結構對致因的重要度進行評價。然而，這類方法以致因間的線性因果關系為基礎，難以適用于高鐵信號系統這類具有非線性組件交互關系的復雜系統[6]。基于概率的方法，是利用致因事件的發生概率來評價致因的重要程度，代表方法有概率重要度分析[7-8]、臨界重要度分析[9-10]、危害度分析[11-12]、基于貝葉斯網絡的重要度分析[13]等。這類方法易于操作且能夠給出量化的致因評價結果。但是，高鐵信號系統實際外部運行環境(線路環境、人員操作等)變化性較大，難以獲得與外部干擾相關的致因發生概率。

近年來，有學者將復雜網絡[14]應用于鐵路相關事故致因的評價過程[15-20]。復雜網絡作為研究復雜系統或復雜對象的工具，能夠同時考慮單個節點屬性和節點間復雜耦合關系。相比于傳統基于結構的方法，基于復雜網絡的方法能夠刻畫組件間非線性交互關系帶來的影響。同時，相比于基于概率的方法，基于復雜網絡的方法利用網絡拓撲特征評價危險致因，既能實現對危險致因的量化評價，又避免了某些致因概率難以獲取的問題。但是，現有研究[15-20]所采用的拓撲特征指標來源于無向同質網絡，即網絡中的節點均為同一類型節點且通過無向邊進行連接，而高鐵信號系統危險致因網絡是具有危險節點和致因節點的異質網絡，并且網絡中的關系均為有向的因果關系。因此，現有的拓撲特征指標難以準確分析高鐵信號系統危險致因網絡這種有向異質網絡。

本文對現有復雜網絡拓撲特征指標進行擴展，使用復雜網絡對高鐵信號系統危險致因進行評價。其中，著重介紹高鐵信號系統危險致因網絡建模方法、基于拓撲特征的危險致因評價，并以典型的高鐵信號系統危險為例，使用該方法對相關危險致因進行評價分析。

1 高鐵信號系統危險致因網絡

復雜網絡[14]是對復雜系統或復雜對象的拓撲化描述，可以表示為由節點及節點間的邊構成的拓撲圖，也可以表示為節點間關系的鄰接矩陣。在復雜網絡中，節點間通過一條無向或有向的邊進行連接。如果兩個節點被一條邊相鄰，說明這兩個節點間存在一定的關系，比如信息傳播關系、物理連接關系等等。

基于復雜網絡這樣的特征，可以將高鐵信號系統危險及其致因抽象為復雜網絡中的節點，而致因之間以及致因與危險之間的因果關系則可以抽象為連接節點的邊。由于因果關系具有方向性，即由某一個致因導致另一個致因或危險，因此因果邊是一種有向邊。這樣，系統危險致因及其因果關系就構成了高鐵信號系統的危險致因網絡。

定義1 危險致因網絡。高鐵信號系統危險致因網絡HCN是后續進行致因評價的基礎，本文給出其形式化定義為

HCN=(Vh,Vc,E)

式中：Vh為危險節點，代表高鐵信號系統的系統級危險；Vc={Vi,i=1, 2, …,N}為一個非空有限的致因節點集合，代表危險Vh的致因因素，其中N為已辨識出的Vh致因的數量，Vi為危險Vh的第i個致因；E={〈Vi,Vj〉, 〈Vk,Vh〉}為一個非空有限的因果關系集合，代表致因之間以及致因與危險之間的因果邊，其中{Vi,Vj,Vk,i≠j,j=1, 2, …,N,k=1, 2, …,N}?Vc，〈Vi,Vj〉表示致因Vi與致因Vj間的因果關系，〈Vk,Vh〉表示致因Vk與危險Vh間的因果關系。

定義2 鄰接矩陣。根據定義1，本文通過高鐵信號系統危險致因網絡的鄰接矩陣來建立危險致因網絡，其中，鄰接矩陣HAM為

(1)

式中：i為危險致因；j為危險致因或系統危險。

根據式(1)，如果HAMij取值為1，則節點i和節點j直接存在一條因果關系邊。以高鐵信號系統的無線閉塞中心(Radio Block Center，RBC)提供“錯誤的移動授權(MA)信息”(C01)，該致因可能會造成車載計算機(Vital Computer，VC)“過晚實施制動”(C02)或“未實施制動”(C03)，進而可能造成列車超過規定的安全速度距離限制(Hazard)為例，上述致因和危險構成的HAM矩陣以及相應的網絡示例見圖1。

圖1 HAM矩陣及相應網絡示例

定義3 結構矩陣。高鐵信號系統危險致因的HAM矩陣從各節點因果關系的角度對危險致因網絡的結構進行了刻畫。為了便于后續基于拓撲的危險致因評價，在HAM基礎上，本文定義另外兩種危險致因網絡的結構矩陣：最短路徑矩陣HSPM和可達矩陣HRM，其表達式分別為

(2)

(3)

式中：Vij為節點i和j最短路徑上的節點集合；m和n為該節點集合中的元素；Inf代表路徑長度無窮大，即節點i和j間不存在連接路徑；?為空集。HSPM矩陣從各節點間最短致因路徑長度的角度，刻畫了危險致因網絡的結構特征，而HRM則從致因間是否具有間接因果關系的角度刻畫了危險致因網絡。根據上述定義，以前述高鐵信號系統危險致因為例，構建相應的HSPM矩陣和HRM矩陣，見圖2。

圖2 HSPM、HRM矩陣示例

定義4 致因類型矩陣。除上述三種結構矩陣外，為便于后續分析，本文還針對危險致因類型定義了致因類型矩陣HTM，表達式為

(4)

式中：ti為該危險致因的類型；k為任意危險致因類型。以前述高鐵信號系統危險致因為例，構建相應的HTM矩陣，見圖3。其中，RBC和VC分別為無線閉塞中心相關的致因和車載計算機相關的致因。

2 危險致因評價方法

高鐵信號系統危險致因網絡通過刻畫致因與致因之間以及致因與危險之間的因果關系，實現了對高鐵信號系統危險成因過程的拓撲結構刻畫。在此基礎上，通過拓撲分析可以對各個致因進行評價，從而為后續危險控制策略的制定提供依據。

然而，現有基于網絡拓撲分析的致因評價方法所采用的拓撲分析指標[15-20]均來自無向同質網絡，即網絡節點均為同一類型節點，且網絡邊均為無向的同類型邊。考慮到高鐵信號系統危險致因網絡的有向異質網絡特點，即由致因節點和危險節點構成且節點間通過有向的因果關系邊連接，有必要對相關拓撲分析指標進行擴展，以適應高鐵信號系統危險致因評價的需求。因此，本文提出以下幾種拓撲分析指標以用于危險致因評價。

(1)網絡平均因果作用強度

高鐵信號系統危險致因網絡作為一種因果關系網絡，任意兩個節點間的最短路徑長度反映了它們之間因果作用的強弱，即兩個致因相距越遠，它們之間的因果作用效果越弱。在此基礎上，本文定義危險致因網絡的平均因果作用強度CSHCN為

(5)

式中：H為危險節點。該拓撲指標反映了致因與系統危險間的平均因果作用效果，其值越大，說明高鐵信號系統危險致因網絡中致因節點與系統危險的因果作用越強，危險也越容易被觸發。

(2)致因的因果節點數

危險致因在網絡中的可達節點數，即該致因能夠致使其他致因發生的數量，反映了該致因作為風險源頭的影響力。可達節點數越大，說明該危險致因能夠引起的其他致因的數量越多。類似的，危險致因在網絡中的潛在源頭數，即能夠導致該致因發生的其他致因的數量，反映了該致因作為風險累積節點的程度。潛在源頭數越大，說明能夠引起該致因發生的致因數量越多。基于此，本文給出刻畫致因因果節點數量的兩個拓撲指標：可達節點數指標Ri和源頭節點數指標Si分別為

(6)

(7)

(3)致因類型的因果緊密度

高鐵信號系統危險致因網絡中的危險致因具有不同的類型，分析各個類型間的因果關系差異程度，能夠從整體上揭示危險致因因果傳播的關鍵環節。反映危險致因類型間因果緊密程度的拓撲指標PEF，其表達式為

式中：E和F為危險致因的某兩種類型。該指標以致因類型和致因間的最短路徑長度為基礎，衡量不同致因類型間的平均最短路徑長度。其值越小，說明類型間的因果關系越緊密。

(4)致因的因果中介性

危險致因的因果中介性即致因在風險傳播過程中所起到的中介作用程度。該拓撲指標綜合了傳統的拓撲指標介數Bk和致因因果作用強度兩個維度的信息，其表達式為

(9)

某致因的因果中介性反映了不同因果強度的危險成因路徑經由該致因的數量，其值越大，說明該致因對于危險成因過程越關鍵。

為了從網絡的全局角度分析危險致因的因果中介性特性，本文還給出了因果中介累積分布函數P(b)，其表達式為

(10)

式中：N(b)為因果中介值為b的致因數量。該分布函數表示隨機選取任意一個危險致因，其因果中介值大于某一特定值的概率，即反映了在高鐵信號系統危險致因網絡上因果中介性的分布特性。

使用上述基于復雜網絡的危險致因評價方法對我國高鐵信號系統的典型系統危險致因進行建模和評價分析。

3 案例分析

3.1 系統危險及危險致因

我國的高鐵信號系統由列車運行控制系統(Chinese Train Control System, CTCS)、分散自律調度集中系統(Centralized Traffic Control，CTC)以及計算機聯鎖系統組成。其中CTCS系統的典型代表是CTCS-3級列控系統。CTCS-3級列控系統包括車載控制子系統和地面控制子系統。其中，車載控制子系統又包含車載計算機、無線通信模塊等；地面控制子系統又包含無線閉塞中心、列控中心等。由以上系統組成可以看出，高鐵信號系統是一個由多種子系統和設備組成的復雜系統。目前，典型的面向復雜系統的危險致因分析技術是系統理論的過程分析(System-Theoretic Process Analysis，STPA)，已被廣泛用于高鐵信號系統的危險致因辨識過程[21-24]。

本文以高鐵信號系統的典型系統危險“高鐵信號系統沒有防止列車在運行中超出安全的速度距離限制”作為系統級危險，并選取與CTC、RBC、VC等子系統以及調度員(Dispatcher)、司機(Train Driver)等操作人員相關的危險致因[24]作為研究對象，應用本文方法進行危險致因評價。其中，文獻[24]基于STPA方法已對潛在的能夠導致系統級危險“高鐵信號系統沒有防止列車在運行中超出安全的速度距離限制”(標記為Hazard)的致因進行了辨識，所得的具體危險致因(標記為“C+編號”的形式)見表1，本文以此作為危險致因評價工作的輸入數據。

3.2 危險致因網絡

表1所示各個危險致因之間存在因果關系[24]，例如，調度員提供了錯誤的作業計劃(C01)，會導致調度集中系統產生錯誤的進路控制命令(C14)；進一步，C14又可能導致無線閉塞中心錯誤的延伸移動授權(C28)。根據危險致因網絡定義1和式(1)，可通過致因間的因果關系建立致因網絡。例如，由于C01和C14、C14和C28間存在因果關系，即和均屬于集合E，則C01和C14之間、C14和C28之間各形成一條因果關系邊。同理，可建立本案例的危險致因網絡，見圖4。其中，Hazard節點為危險節點，其他節點均為能夠導致該危險的致因節點。該危險致因網絡共包括77個致因節點和1個危險節點以及123條因果邊，各致因節點的含義同表1。需要說明的是，圖4所示危險致因網絡的正確性受輸入數據正確性和網絡建模過程正確性的影響。關于輸入數據的正確性或完備性，需要在此之前的危險致因辨識過程來保證，不在本文考慮范圍。關于網絡建模過程的正確性，目前可通過小組人工檢查的方式對每條因果邊的正確性進行核實和確認。

表1 案例的系統危險致因[24]

3.3 致因評價結果

根據危險致因評價方法，在極限情況下，即假如所有致因均能直接導致系統危險(HSPMiH取值為1)，則最大平均因果作用強度為1，也即危險致因網絡的平均因果作用強度的值區間為(0，1]。由式(5)計算可得，圖4所示危險致因網絡的平均因果作用強度值為0.412，處于中間偏低水平，這符合高鐵信號系統的層次化控制結構，即大部分致因并不會直接導致系統危險。

圖4 危險致因網絡

由式(6)和式(7)可得危險致因在網絡中的可達致因節點數和源致因節點數。基于可達/源節點數的致因分布見圖5。

圖5 基于可達/源節點數的致因分布

由圖5可以看出，有些致因的源節點數很少但可達節點數很多，如C08、C10等，這些致因在風險傳播過程中發揮源頭致因的作用，即它們往往作為風險傳播的起點；有些致因的可達節點數很少但源節點數很多，如C58、C57等，這些致因在風險傳播過程中起到風險累積致因的作用，即它們會被多種危險致因引發；有些致因具有相近的源節點數和可達節點數，即分布在圖5虛線附近的致因，如C29、C16等，這些致因在風險傳播過程中起著中轉風險的作用。圖5給出的致因分布情況，有助于確定危險致因在風險傳播過程中的角色和作用。對于源頭型致因應重點防止其向其他致因的傳播，對于風險累積型致因應重點防止其他致因向其傳播，而對于中轉型的致因則可適用上述兩種防護策略。

根據式(8)，可得危險致因類型間的因果緊密程度，見圖6。

圖6 危險致因類型的因果緊密程度

由圖6可以看出，同類型致因之間的因果緊密度值最小(1.000)，即同類致因具有更加緊密的因果關系。這是因為同類型致因出現在同一類子系統或人員內，相較不同類型致因之間的關系其耦合程度更為緊密。另外，從不同類型致因間的因果緊密程度來看，RBC相關的致因與VC相關的致因最為緊密(1.705)，這意味著對信號系統進行風險傳播控制時，這兩類致因間的路徑應為重點防控的對象。

根據式(9)，可得各個致因的因果中介值，見圖7。其中給出了25個致因的因果中介值，其他52個致因由于不承擔因果中介作用，即因果中介值為0，因此不在圖中展示。

圖7 危險致因的因果中介性

圖7所示數值表明了各個致因的重要程度，其中有些致因具有較高的因果中介性，如C57、C58、C59等，它們在信號系統危險成因過程中起到更加關鍵的中間者作用，加強對這些關鍵致因的安全防控，能夠切斷系統危險成因路徑，從而有效防控系統危險的出現。

3.4 結果分析

本文通過所提的多種拓撲特征指標，從不同維度(如因果節點數、因果緊密度、因果中介性)對危險致因進行了評價，綜合利用這些評價結果可形成具有針對性的危險控制策略。危險致因評價結果的綜合利用過程見圖8。

圖8 危險致因評價結果的綜合利用過程

圖8中，綜合利用致因評價結果形成危險控制策略的過程包括三個步驟。現根據這三個步驟，以本文3.3節所得分析結果為例，展示如何綜合利用致因評價結果確定危險防控策略。

(1)由圖7可見各個致因的重要程度。特別地，根據式(10)可得危險致因因果中介性的分布情況，見圖9。

圖9 危險致因因果中介性的累積分布

由圖9可見，因果中介性累積分布P(b)符合冪律分布的特征，并且近似曲線為P(k)～2.534k-1.91。這表明少數致因具有較高的因果中介性，而大多數致因只有較低的因果中介性。例如，圖7所示前三名的高因果中介性致因C57、C58、C59只占全部致因數量的3.9%，卻占據了全部因果中介數值的60.9%，即絕大多數危險成因路徑會經過少數幾個高中介性的致因。這意味著，防控這幾個具有高中介性的致因就能夠有效阻斷系統危險的形成。

(2)由圖5所示的致因因果節點數情況，可確定每個致因在系統危險形成過程中的角色。例如，以高因果中介性的致因C57、C58、C59為例，根據圖5所示分布情況，可發現這幾個致因起到風險累積致因的作用，即他們具有較少的可達節點但具有較多的源節點。這意味著針對它們的安全防控策略應以防止它們被引發為主。例如，增強車載計算機輸入信息(如臨時限速、線路描述信息、移動授權等數據)的完整性檢查、一致性校驗等功能的安全完整性。

(3)根據圖6所示因果緊密程度，可知RBC相關的致因與VC相關的致因最為緊密。這說明在防止高因果中介性的致因C57、C58、C59(均為VC相關的致因)被引發的過程中，要重點防控來自RBC相關致因的因果觸發路徑，即應重點部署實施針對來自RBC的輸入信息(如臨時限速、移動授權)的完整性檢查和一致性校驗。

另外，為驗證致因評價結果的有效性，按照本文所得的危險致因重要性順序，通過在危險致因網絡中移除相應致因的方式，來分析網絡平均因果作用強度值的變化情況，見圖10。按照本文所得評價順序移出因果中介性排名前六位的危險致因，網絡的平均因果作用強度值由初始的0.412變為了0.034，降幅達到91.7%，即在高鐵信號危險致因網絡中致因與危險的平均因果作用強度達到較低的水平。實際上，僅通過對前六位的致因(全部致因數量的7.8%)進行防控就可以帶來這種程度的降幅(91.7%)，這與圖9所示的冪律分布特征是相符的。

圖10 危險致因評價結果的驗證

4 結論

(1)本文面向高鐵信號系統危險致因的特點給出危險致因網絡的形式化定義。在此基礎上通過定義三類結構矩陣提出高鐵信號系統危險致因網絡建模方法。針對危險致因網絡異質特征，從因果作用強度、因果節點數、因果緊密度和因果中介性等方面擴展拓撲分析指標，提出基于拓撲的高鐵信號系統危險致因評價方法。

(2)以我國高鐵信號系統的典型系統危險致因進行建模，并通過所提拓撲特征指標對致因進行評價分析。分析過程表明，基于復雜網絡結構及拓撲特征的致因評價方法適用于高鐵信號系統的危險致因評價工作。

由于本文危險致因網絡的建模過程由人工完成，為進一步保障網絡的正確性，基于文本的危險致因網絡自動化建模方法及工具開發將是下一步工作的重點之一。另外，為進一步保障危險致因評價的準確性，如何衡量危險因果關系的強弱并將其納入評價過程，也將是下一步的工作重點。