高速列车运行控制系统的运行安全风险动态分析方法与流程

本发明涉及轨道交通系统安全技术，尤其是涉及一种基于组合流形的高速列车运行控制系统的运行安全风险动态分析方法。

背景技术：

对于轨道交通系统而言，在追求超高速的同时，安全是另一个需要保障的目标。列车在高速行驶时，许多因素相互作用实时地影响着整个控制系统的安全性。实际情况中，基于CTCS-2级列控系统与ATO(列车自动驾驶)子系统相结合的系统构架，通过在ATO中设置列车运行安全风险动态分析功能模块对ATP(列车超速防护)子系统进行控制，可以直接实现高速运行阶段下列车的安全防护。如果能够构建一种模型来动态地描述列车高速运行阶段的控制系统安全性，实现控制系统安全风险的变化过程的实时计算，那么高速列车运行安全风险的动态监控技术和事故在线预警技术将得到支持。而这种模型的基本属性应该是有能力动态化描述系统高速运行阶段安全风险的变化过程，并能够预测事故的发生。

现有的能够分析系统安全状态变化的基本模型中，FMEA,HAZOP,Bow tie等能够输出离散的安全状态指标。然而，如果系统安全状态的改变被认为是一种动态过程，使用的分析模型的输出就应该是相对于某个或多个因素连续的反映系统安全状态的函数。一些基本的动态过程分析模型，例如Markov链，Petri网，动态故障树等，能够动态描述系统安全状态的变化过程。这些模型描述的均是系统的状态转移过程。然而，对于复杂动态系统而言，由于系统状态集合的急速膨胀问题，描述系统安全状态的完整转移过程会使得动态模型的规模异常庞大。因此，如果想要借助这些状态转移模型在高速运行期间实时输出系统安全风险的变化情况，需要消耗十分巨大的在线计算资源。

另一方面，系统安全动态分析的重要性还在于要为一线决策者提供实时有效的安全状态信息。在列车高速运行阶段，如果调度员和列车司机能够随时得到直观有效的反映系统安全状态变化的信息以及对可能要发生的事故的预警，那么他们就更有机会做出合适的决策并执行正确的操作。

综上所述，迫切需要构建新的模型来动态化分析高速列控系统运行阶段安全风险的变化情况。

技术实现要素：

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种高速列车运行控制系统的运行安全风险动态分析方法。

本发明的目的可以通过以下技术方案来实现：

一种高速列车运行控制系统的运行安全风险动态分析方法，包括以下步骤：

步骤1：基于尖点流形曲面构建系统运行状态判别模型；

步骤2：判别系统运行状态；

步骤3：基于椭圆脐流形曲面构建安全风险计算模型；

步骤4：输出运行安全指标和运行风险指标的变化情况。

优选地，所述的步骤1具体为：

在时间段[0,τ]内运行的控制过程，如果系统正常运行，则Φ0为可接受的系统目标的损失；运行的系统在τ时刻完成的目标包含的损失在Φ0以下，属于正常的可接受的系统运行状态；而如果在τ时刻不可接受的损失产生，即事故发生，则其中DE表示累积的错误的危险程度，DB表示累积的栅的防护程度；

基于黎曼-雨果尼奥特突变，以DE和DB作为控制变量，以系统安全程度DS作为状态变量，在DE、DB和DS三个正交变量组成的笛卡尔坐标系中建立尖点流形曲面，在坐标轴上，DE、DB和DS都取正数并从原点开始沿轴方向均匀增大；在尖点流形曲面上，系统安全程度DS在上半叶代表的安全区域与下半叶代表的危险区域间以任意轨迹连续变化；记尖点流形曲面为Ω，则Ω的方程为

Ω(DE,DB,DS)＝η(DE-μ)+2ω(DB-v)DS+4DS³＝0

其中参数η、ω、μ和ν由系统结构设计决定。

优选地，所述的判别系统运行状态为：利用事件树对当前运行阶段下控制结构中出现的错误和控制过程中执行的安全栅进行量化评估，其中量化评估过程需要基于危险日志，其包括在系统设计阶段和系统运行阶段识别、统计得出的危险源、危险源可能导致的后果、危险源的演化路径以及安全栅信息。

优选地，所述的判别系统运行状态具体为：

首先利用计算机自动识别当前控制结构中出现的危险源Hi，危险源Hi为错误事件Ei，基于事件树的描述方式，错误Ei经过演化路径Tδ导致后果Cδ；根据危险日志，得知错误Ei通过演化路径Tδ的统计概率Pδ及其后果的严重程度Cδ；

基于事件树的结构，利用计算机自动识别演化路径中的安全栅，根据危险日志，得知在Ei的事件树中，安全栅Bj的置信度为Lε，防护程度为Uε，数目为kj；

设系统运行到当前时刻系统控制结构中共出现了n个错误，并且系统控制过程中共执行了m个安全栅，则累积的错误的危险程度为

累积的栅的防护程度为

在尖点流形曲面的相空间中，根据控制变量DE和DB得到状态变量DS，进而判定系统运行状态是处于安全状态还是危险状态。

优选地，所述的步骤3具体为：

设系统控制过程达到系统目标需要完成N个组件功能，并且系统运行到当前阶段控制过程已经执行了M个组件功能，则系统的运行进度的大小为M/N；当系统运行状态处于安全状态时，运行进度DP＝γ＝-M/N；当系统运行状态处于危险状态时，运行进度DP＝γ＝M/N；

由于变量DE、DB和DP相互正交，因此在由这三个变量构成的控制空间中构建椭圆脐流形曲面Λ，Λ的方程为

(α,β,γ)分别对应于(DE,DB,DP)，即累积的错误的危险程度、累积的栅的防护程度和系统运行进度。

优选地，所述的步骤4具体为：

经过尖点流形曲面Ω的判别，当系统运行状态处于安全状态时，系统的运行安全指标根据椭圆脐流形曲面Λ|γ＜0进行精确的量化评估，其大小为闭合曲面Λ|γ＜0的体积V(α,β,-γ|γ＜0)，其符号为正表示系统处于安全状态；当系统运行状态处于危险状态时，系统的运行风险指标可以根据椭圆脐流形曲面Λ|γ＞0进行精确的量化评估，其大小为闭合曲面Λ|γ＞0的体积V(α,β,γ|γ＞0)，其符号为负表示系统处于危险状态；

在系统运行阶段，计算机在线识别系统控制过程中出现的错误和执行的安全栅，基于状态判别模型判别当前系统是处于安全状态还是危险状态；当系统处于安全状态时，根据系统运行进程的推进程度，基于安全风险计算模型输出运行安全指标；当系统处于危险状态时，根据系统运行进程的推进程度，基于安全风险计算模型输出运行风险指标。

与现有技术相比，本发明具有以下优点：

1、本发明构建了基于组合流形的高速列车运行控制系统运行安全风险动态分析模型，通过两种流形在数学构架上的融合完成了系统运行安全状态的判别以及安全风险指标的计算。

2、运行状态判别模型基于尖点流形曲面，其合理简洁的计算方法有利于车载计算机对列车运行安全状态进行实时有效的判别。

3、安全风险计算模型基于椭圆脐流形曲面，具有完善的数学构架，能够支持车载计算机实现列车运行安全风险的精确计算。

附图说明

图1为基于组合流形的系统运行安全风险动态分析模型示意图；

图2为事件树模型示意图；

图3为CTCS2+ATO列车运行控制系统结构及故障传播路径示意图；

图4为列车高速平稳运行时的列控系统安全风险计算曲面示意图；

图5为列车高速平稳运行时的列控系统运行状态判别曲面示意图；

图6为极端天气出现时的列控系统安全风险计算曲面示意图；

图7为极端天气出现时的列控系统运行状态判别曲面示意图；

图8为设备故障产生时的列控系统安全风险计算曲面示意图；

图9为设备故障产生时的列控系统运行状态判别曲面示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

一种基于组合流形的高速列车运行控制系统运行安全风险动态分析方法，其包含4个具体构建步骤。

步骤1：基于尖点流形曲面构建系统运行状态判别模型。

系统当前的安全状态可以视为系统经历了多个事件的发生与累积而达成的。在时间测度足够精确的条件下，事件必定是一件接一件地相继发生，而不会在同一时间并发。因此，在观测时间尺度足够精确的条件下，在系统运行阶段，随着控制过程的推进，系统整体的安全状态相对于运行时间或其他连续变量能够呈现出连续变化的趋势。

如图1中的事件链所示，在时间测量足够精确的条件下，在一个系统控制过程中，异常事件event 1,event 2,…,event n按时间顺序先后发生。

这里，正常事件被定义为：系统在理想的外部环境下运行时，预先设计的系统控制过程所要求的每一个细微步骤的精确执行。

异常事件则包含以下三层含义中的至少一种：1)外部环境的超出预计范围的改变，2)执行控制过程所要求的步骤时出现的超出可接受范围的偏差，以及3)没有执行控制过程所要求的步骤，或执行了余外的步骤。

在系统控制过程中，异常事件发生后，从最终导致的结果来看，要么使得系统的运行以安全达到目标为结束，要么使得系统的运行以事故的发生为结束。一个异常事件的发生，可能使得系统运行状态倒向危险状态(有损失产生的状态)的趋势增强，也可能使得系统运行状态倒向安全状态(安全得到保证的状态)的趋势增强。前一种情况可以被描述为“错误的发生”；后一种情况可以被描述为“栅的执行”。

在图1中的事件链所示的n个异常事件中，一部分异常事件可以被描述成错误的发生，另一部分异常事件可以被描述成栅的执行。随着运行时间的推进，错误的发生与累积使得系统运行趋向于危险状态；栅的执行与累积使得系统运行趋向于安全状态。用变量DE表示累积的错误的危险程度，用变量DB表示累积的栅的防护程度。有以下关系必定成立：以及这里，Φ为历史上系统运行产生的所有事故的严重程度的总和。以上两式分别描述了两种极限情况：1)如果系统永远运行下去，并且在运行过程中只有错误发生，没有任何栅的执行，那么由此产生的所有系统目标的损失(即事故的严重程度)的总和必定不小于Φ；2)如果系统永远运行下去，并且在运行过程中没有任何错误发生，但有栅的不断执行，那么事故绝不会发生，系统目标必定不会遭受任何损失，即损失为0。

一般情况下，在时间段[0,τ]内运行的控制过程，如果系统正常运行，则这里，Φ0为可接受的系统目标的损失。上式表示，运行的系统在τ时刻完成的目标包含的损失在Φ0以下，属于正常的可接受的系统运行状态。而如果在τ时刻不可接受的损失产生，即事故发生，则

接下来，基于黎曼-雨果尼奥特突变，以DE和DB作为控制变量，以系统安全程度DS作为状态变量，在DE、DB和DS三个正交变量组成的笛卡尔坐标系中建立尖点流形曲面，如图1中的运行状态判别模型所示。在坐标轴上，DE、DB和DS都取正数并从原点开始沿轴方向均匀增大。在尖点流形曲面上，系统安全程度DS可以在上半叶代表的安全区域与下半叶代表的危险区域间以任意轨迹连续变化。记尖点流形曲面为Ω，则Ω的方程为

Ω(DE,DB,DS)＝η(DE-μ)+2ω(DB-ν)DS+4DS³＝0

这里η、ω、μ和v由系统结构设计决定。

在尖点流形曲面Ω上，轨迹a代表系统运行状态从初始状态连续变化到某个安全状态的过程；轨迹b代表系统运行状态从初始状态连续变化到某个危险状态的过程。根据轨迹a和轨迹b的运动过程可以看到，初始状态的微小扰动使得系统状态在控制过程的结尾演化为截然不同的两种状态。例如，列车行驶初期车载安全计算机电源的故障会导致列车行驶一段时间后系统的运行状态要么是安全状态，要么是危险状态，而究竟哪种状态会出现则取决于是否有安全栅执行或者有其他故障出现。

轨迹c代表系统运行状态从某个安全状态跳变到某个危险状态的过程，其描述了系统从较高的安全运行状态变化到损失产生的过程，而该过程中出现的跳变则反映了一个事故的发生。轨迹d代表系统运行状态从某个危险状态跳变回某个安全状态的过程，该过程从一定程度的损失已经在系统运行时产生开始，通过应急措施的实现(安全栅的执行)损失逐渐被缩小，到达一定程度后，系统跳回到安全状态。损失产生后，系统的运行需要通过执行较以往更多的或者更强的安全栅回到安全状态。因此通过比较轨迹c和轨迹d，可以发现迟滞现象的存在。实际上，列车运行控制系统具有很高的结构稳定性，而对于结构稳定性很高的系统，发生的变化越大就越难恢复，迟滞就越明显。系统在运行期间，系统运行状态要么处于安全状态，要么处于危险状态；系统运行状态的跳变也是在安全状态和危险状态之间发生，跳变不会经过由尖点流形曲面中叶代表的处于中间态的初始状态。

轨迹e代表系统运行状态从初始状态开始，在上叶代表的安全区域运动，然后跳变到下叶代表的危险区域进而产生损失的过程。该过程可以被视为典型的事故演化过程中系统安全状态的变化过程。

以上关于系统运行状态随曲面轨迹变化的分析能够证明利用尖点流形曲面判别系统运行状态的合理性和可行性。

步骤2：判别系统运行状态

利用图2所示的事件树对当前运行阶段下控制结构中出现的错误和控制过程中执行的安全栅进行量化评估。量化评估过程需要基于危险日志，其包含了在系统设计阶段和系统运行阶段识别、统计得出的危险源(统计概率)、危险源可能导致的后果(严重程度)、危险源的演化路径(概率为路径包含的所有事件的统计概率的乘积)以及安全栅(置信度和防护程度)等信息。

具体地，首先利用计算机自动识别当前控制结构中出现的危险源Hi。危险源Hi即为错误事件Ei。基于事件树的描述方式，错误Ei经过演化路径Tδ导致后果Cδ(后果的严重程度也用Cδ表示，且共有ki种可能)。根据危险日志，可以得知错误Ei通过演化路径Tδ的统计概率Pδ及其后果的严重程度Cδ。

基于事件树的结构，利用计算机自动识别演化路径中的安全栅。根据危险日志，可以得知在Ei的事件树中，安全栅Bj的置信度为Lε，防护程度为Uε，数目为kj。

设系统运行到当前时刻系统控制结构中共出现了n个错误，并且系统控制过程中共执行了m个安全栅，则累积的错误的危险程度为

累积的栅的防护程度为

如图1中的运行状态判别模型所示，在尖点流形曲面的相空间中，根据控制变量(DE,DB)可以得到状态变量DS，进而判定系统运行状态是处于安全状态(曲面上叶)还是危险状态(曲面下叶)。

步骤3：基于椭圆脐流形曲面构建安全风险计算模型

利用尖点流形曲面对系统运行状态进行判别后，为了更加精确地量化评估系统处于危险状态时的运行风险指标，或处于安全状态时的运行安全指标，需要基于椭圆脐流形曲面进一步构建安全风险计算模型。

设系统控制过程达到系统目标需要完成N个组件功能，并且系统运行到当前阶段控制过程已经执行了M个组件功能，则系统的运行进度的大小为M/N。当系统运行状态处于安全状态时，运行进度DP＝γ＝-M/N；当系统运行状态处于危险状态时，运行进度DP＝γ＝M/N。这里，为运行进度赋予符号是为了判别系统运行状态是处于安全状态还是处于危险状态，但是经过计算后的运行安全指标和运行风险指标均为正数，具有实际意义。

随着系统控制过程的推进，系统内部功能交互的复杂度逐渐提升。系统的复杂度越高，结构稳定性越差，系统运行阶段的安全性随之变差。因此，运行进度DP也直接影响着系统运行安全状态。由于变量DE、DB和DP相互正交，因此在由这三个变量构成的控制空间中构建椭圆脐流形曲面Λ。Λ的方程为

这里，（α,β,γ)分别对应于(DE,DB,DP)，即累积的错误的危险程度、累积的栅的防护程度和系统运行进度。

步骤4：输出运行安全指标和运行风险指标的变化情况

曲面Λ的形状如图1中的安全风险计算模型所示。经过尖点流形曲面Ω的判别，当系统运行状态处于安全状态时，系统的运行安全指标可以根据椭圆脐流形曲面Λ|γ＜0进行精确的量化评估，其大小为闭合曲面Λ|γ＜0的体积V(α,β,-γ|γ＜0),其符号为正表示系统处于安全状态；当系统运行状态处于危险状态时，系统的运行风险指标可以根据椭圆脐流形曲面Λ|γ＞0进行精确的量化评估，其大小为闭合曲面Λ|γ＞0的体积V(α,β,γ|γ＞0)，其符号为负表示系统处于危险状态。

在系统运行阶段，计算机在线识别系统控制过程中出现的错误和执行的安全栅，基于状态判别模型判别当前系统是处于安全状态还是危险状态；当系统处于安全状态时，根据系统运行进程的推进程度，基于安全风险计算模型输出运行安全指标；当系统处于危险状态时，根据系统运行进程的推进程度，基于安全风险计算模型输出运行风险指标。

具体实施例

下面利用基于组合流形的系统运行安全动态分析方法，结合CTCS2+ATO列车运行控制系统，针对控制过程中出现列车追尾的特定情景进行分析，以此作为一个典型的实施案例。

场景描述如下：

设运行线路由如图3所示CTCS2+ATO列控系统管辖。D001次列车在t1时刻进入高速运行阶段并平稳行驶。

在t2时刻出现极端天气。极端天气造成轨道电路发送异常编码，使得D001列车的车载安全计算机强制进行刹车，致使D001次列车停留在0005AG区段，并且之后相当长的时间段内司机无法进行模式选择来启动列车运行。

在t3时刻极端天气又使得车站列控中心的轨道电路数据采集单元故障，使得调度中心显示0005AG区段无列车占用，并且使得随后发车的D002次列车前方所有区间信号灯开放。

在系统各层操作人员无线通信出现故障后，D002列车与D001列车追尾。

在整个系统控制过程中，ATO子系统特定功能模块基于系统运行安全动态分析模型对列车运行安全风险进行实时分析，并通过ATP子系统实现对列车运行安全的控制。

步骤1：基于尖点流形曲面构建系统运行状态判别模型。

根据图3中虚线代表的失效传播路径，识别控制过程中系统出现的异常事件(即错误)，包括组件故障和人员失误。所识别的具体异常事件(即错误)如表1所示，其中表1为异常事件(错误)的统计概率及后果严重度。

表1

步骤2：判别系统运行状态

利用图2所示的事件树对当前运行阶段下控制结构中出现的错误和控制过程中执行的安全栅进行量化评估。这里选用了与实际情况相似系统的危险日志以便分析，得到的量化评估结果如表1和表2所示，其中表2为安全栅的置信度及防护程度。

表2

根据图1中的运行状态判别模型，利用控制变量(DE,DB)计算得到状态变量DS，进而判定系统运行状态是处于安全状态(曲面上叶)还是危险状态(曲面下叶)。在t1、t2和t3时刻的运行状态判别曲面分别如图4-9中的Ω1、Ω2和Ω3所示。

步骤3：基于椭圆脐流形曲面构建安全风险计算模型

利用尖点流形曲面判别系统运行状态后，根据图3所示的CTCS2+ATO列车运行控制系统的具体结构以及列车追尾事故演化过程中故障的传播路径，确定系统控制过程分别达到t1、t2和t3时的运行进度DP1、DP2和DP3。在变量DE、DB和DP构成的控制空间中构建椭圆脐流形曲面，进而输出在t1、t2和t3时刻的安全风险计算曲面分别如图4-9中的Λ1、Λ2和Λ3所示。

步骤4：输出运行安全指标和运行风险指标的变化情况

在CTCS2+ATO列控系统下列车追尾特定情景的事故演化过程中，系统控制过程在t1、t2、t3时刻的运行状态判别曲面Ω1、Ω2、Ω3和安全风险计算曲面Λ1、Λ2、Λ3如图4-9所示。

当系统运行至t1时刻，运行状态判别曲面Ω1没有折叠，系统运行状态平稳地由初始状态变化到安全状态并保持在安全状态，这时的系统运行安全指标经过计算为V1＝0.390。

当系统运行至t2时刻，运行状态判别曲面Ω2出现一定程度的折叠，系统运行状态由安全状态跳变到危险状态，这时的系统运行风险指标经过计算为-V2＝-0.502。

当系统运行至t3时刻，运行状态判别曲面Ω3的折叠程度继续增大，系统运行状态达到了更加危险的状态，这时的系统运行风险指标经过计算为-V3＝-1.041。

在系统控制过程中，系统安全性的安全风险指标的变化情况为0.390→-0.502→-1.041，反映了系统的运行状态从起初的安全状态跳变到危险状态并进一步恶化的完整的事故演化过程。该变化过程与实际相符合，验证了基于组合流形的系统运行安全风险动态分析模型的合理性及可用性。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。