丁治敏

(北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070)

1 概述

高速鐵路信號(hào)系統(tǒng)是確保高速列車(chē)運(yùn)營(yíng)安全和高效運(yùn)行的關(guān)鍵裝備。通過(guò)科學(xué)有效的安全分析手段，找出高鐵信號(hào)系統(tǒng)的潛在危險(xiǎn)因素，進(jìn)而保障高鐵信號(hào)系統(tǒng)的安全性，對(duì)于國(guó)內(nèi)高速鐵路的健康發(fā)展至關(guān)重要。

由于新技術(shù)的引入，高鐵信號(hào)系統(tǒng)擁有復(fù)雜的系統(tǒng)結(jié)構(gòu)和交互關(guān)系，給以往傳統(tǒng)的危險(xiǎn)分析方式帶來(lái)了難度。針對(duì)此問(wèn)題，基于系統(tǒng)理論事故致因模型及過(guò)程（Systems-Theoretic Accident Model and Process，STAMP）成為解決復(fù)雜高鐵信號(hào)系統(tǒng)安全分析的一種有效手段。使用STAMP理論對(duì)高鐵信號(hào)系統(tǒng)進(jìn)行安全分析的起點(diǎn)和基礎(chǔ)是建立系統(tǒng)的STAMP 模型。高鐵信號(hào)系統(tǒng)具有復(fù)雜的結(jié)構(gòu)和功能，各子系統(tǒng)間又存在錯(cuò)綜復(fù)雜的信息交互關(guān)系。顯然，如果建模語(yǔ)言沒(méi)有較強(qiáng)且準(zhǔn)確的表達(dá)能力，很難僅憑分析人員的自然語(yǔ)言表述來(lái)構(gòu)建準(zhǔn)確的安全分析模型。然而，現(xiàn)階段基于STAMP 模型進(jìn)行安全分析，基本都采用自然語(yǔ)言的方式對(duì)控制結(jié)構(gòu)進(jìn)行刻畫(huà)，自然語(yǔ)言雖然便于人們溝通、交流，但容易產(chǎn)生歧義或表述不清的問(wèn)題。雖然有研究采用具有嚴(yán)格數(shù)學(xué)語(yǔ)義的形式化方法（Formal Method）刻畫(huà)STAMP 模型，但是形式化方法包含復(fù)雜的數(shù)學(xué)概念和公式，不易理解和使用，限制了其在工程界的廣泛應(yīng)用。

考慮到統(tǒng)一建模語(yǔ)言（Unified Modeling Language，UML）作為一種已被工程界廣泛接受的圖形化建模語(yǔ)言，具有易于使用、表達(dá)能力強(qiáng)的特點(diǎn)，而且相比于自然語(yǔ)言具有精確的元模型定義。采用UML 對(duì)STAMP 模型進(jìn)行刻畫(huà)，能夠有效解決基于自然語(yǔ)言的STAMP 模型歧義和二義性問(wèn)題。盡管現(xiàn)有UML 建模機(jī)制無(wú)法直接刻畫(huà)STAMP 模型，但UML 提供針對(duì)自身的擴(kuò)展機(jī)制，用戶可以根據(jù)建模對(duì)象的特點(diǎn)對(duì)傳統(tǒng)的UML 進(jìn)行擴(kuò)展，使其能夠充分刻畫(huà)建模對(duì)象。因此本文利用UML 的擴(kuò)展機(jī)制對(duì)現(xiàn)有UML 進(jìn)行擴(kuò)展，使其能夠描述高鐵信號(hào)系統(tǒng)的STAMP 模型，從而保障高鐵信號(hào)系統(tǒng)安全分析建模階段的準(zhǔn)確性。

2 高鐵信號(hào)系統(tǒng)STAMP模型元素

對(duì)UML 進(jìn)行擴(kuò)展的目的是刻畫(huà)STAMP 模型，即分層控制結(jié)構(gòu)，因此首先要明確高鐵信號(hào)系統(tǒng)STAMP 模型的特征元素。歸納該結(jié)構(gòu)的特征要素，然后針對(duì)這些要素進(jìn)行UML 擴(kuò)展。高鐵信號(hào)系統(tǒng)STAMP 模型中，有以下幾種重要元素。

1) 控制器：控制器或者說(shuō)控制者在控制結(jié)構(gòu)中起到發(fā)出控制命令的作用。而控制器生成控制命令的過(guò)程還要依賴(lài)下面兩種元素。

過(guò)程模型：過(guò)程模型是控制器對(duì)于當(dāng)前被控過(guò)程或被控對(duì)象的知識(shí)集合，起到數(shù)據(jù)庫(kù)的作用。過(guò)程模型主要包含過(guò)程變量（被控對(duì)象的當(dāng)前狀況、控制過(guò)程相關(guān)的環(huán)境情況）、各類(lèi)變量之間的關(guān)系（控制過(guò)程要遵守的規(guī)則）、以及改變被控對(duì)象狀態(tài)的方式。

控制算法：控制算法是控制者根據(jù)過(guò)程模型生成控制行為的具體流程。

2) 執(zhí)行器：執(zhí)行器是將控制命令下達(dá)給被控對(duì)象的結(jié)構(gòu)。當(dāng)然，在某些情況下，如果執(zhí)行器不屬于被分析的系統(tǒng)且可以假設(shè)始終正常工作，可以忽略執(zhí)行器。

3) 傳感器：傳感器是將被控對(duì)象的當(dāng)前狀態(tài)信息反饋給控制器的結(jié)構(gòu)，主要作用是更新控制器過(guò)程模型，使過(guò)程模型始終反映最新的被控對(duì)象情況。

4) 被控對(duì)象：在某一控制環(huán)路中，被控對(duì)象是根據(jù)控制命令執(zhí)行相關(guān)活動(dòng)的結(jié)構(gòu)。因此，從分層控制結(jié)構(gòu)的角度來(lái)看，某一環(huán)路的控制器有可能是上一級(jí)環(huán)路的被控對(duì)象。

5) 關(guān)系：在控制結(jié)構(gòu)中，控制器與被控對(duì)象之間存在控制關(guān)系和反饋關(guān)系，不同的控制器之間存在信息交互關(guān)系。

3 面向高鐵信號(hào)系統(tǒng)STAMP模型元素的UML擴(kuò)展設(shè)計(jì)

UML 作為一種通用的建模語(yǔ)言，只能對(duì)不同領(lǐng)域間共性的元素進(jìn)行刻畫(huà)，無(wú)法充分描述具體領(lǐng)域或特定對(duì)象的特有元素。因此，需要利用UML 提供的擴(kuò)展機(jī)制對(duì)其進(jìn)行擴(kuò)展，使其能夠刻畫(huà)相應(yīng)的元素。本節(jié)在第2 節(jié)所分析的STAMP 特征元素的基礎(chǔ)上，使用UML 擴(kuò)展機(jī)制中構(gòu)造型（Stereotype）的方式對(duì)UML 進(jìn)行面向STAMP 的擴(kuò)展。

3.1 類(lèi)的擴(kuò)展

類(lèi)是對(duì)那些具有相同性質(zhì)對(duì)象的抽象描述?？梢詫⒖刂破鞒橄鬄橐环N類(lèi)的概念。類(lèi)似的，STAMP模型中執(zhí)行器、傳感器以及被控對(duì)象均可以類(lèi)的形式存在?？紤]到標(biāo)準(zhǔn)UML 中使用“Class”來(lái)對(duì)類(lèi)進(jìn)行標(biāo)識(shí)，因此針對(duì)上述STAMP 的特征元素，分別用控制器類(lèi)（controllerClass）、執(zhí)行器類(lèi)（actuatorClass）、傳感器類(lèi)（sensorClass）以及被控對(duì)象類(lèi)（objectClass）進(jìn)行標(biāo)識(shí)。上述STAMP 元素類(lèi)均是在UML 類(lèi)的元模型基礎(chǔ)上擴(kuò)展而來(lái)，下面分別對(duì)其進(jìn)行介紹。

控制器類(lèi)：控制器類(lèi)繼承自標(biāo)準(zhǔn)UML 的類(lèi)，從而控制器類(lèi)具備UML 類(lèi)的特征。另外，在分層控制結(jié)構(gòu)中，控制器對(duì)被控對(duì)象進(jìn)行控制的前提是了解被控對(duì)象且具備控制算法，因此在控制器類(lèi)的元模型中，控制器類(lèi)還有同時(shí)關(guān)聯(lián)控制算法（Control algorithm）和過(guò)程模型（Process model）。 其 中， 控 制 算 法 是 狀 態(tài) 機(jī)（State machine）的泛化，即控制算法以狀態(tài)圖的形式呈現(xiàn)。在元模型中，如果兩個(gè)元素是一一對(duì)應(yīng)的關(guān)系，那么連接線上的數(shù)量值可以省略，因此如圖1 所示，一個(gè)控制器類(lèi)有唯一的控制算法和過(guò)程模型。另外，過(guò)程模型也是擴(kuò)展出的新元素，根據(jù)STAMP 的內(nèi)容，過(guò)程模型包含變量、變量關(guān)系以及改變狀態(tài)的方式等3 方面的內(nèi)容，具體的擴(kuò)展見(jiàn)下述內(nèi)容。

圖1 控制器類(lèi)的構(gòu)造型Fig.1 Stereotype of controller class

過(guò)程模型：如前所述，過(guò)程模型是控制器對(duì)于當(dāng)前被控過(guò)程或被控對(duì)象的知識(shí)集合，起到數(shù)據(jù)庫(kù)的作用。因此，過(guò)程模型的元模型主要包括3 方面內(nèi)容：1）過(guò)程模型的變量，進(jìn)一步，變量又可分為系統(tǒng)變量和環(huán)境變量；2）變量間的關(guān)系，刻畫(huà)了不同變量值的相互制約關(guān)系；3）狀態(tài)改變方式。具體的過(guò)程模型的構(gòu)造型如圖2 所示。

圖2 過(guò)程模型的構(gòu)造型Fig.2 Stereotype of process model

圖2 給出了過(guò)程模型的構(gòu)造型，但不同于控制器類(lèi)在實(shí)例化時(shí)采用UML 類(lèi)圖的形式，過(guò)程模型的實(shí)例化采用對(duì)控制器進(jìn)行約束的形式。具體來(lái)講，采用對(duì)象約束語(yǔ)言（Object Constraint Language，OCL）進(jìn)行過(guò)程模型實(shí)例化描述，同時(shí)實(shí)例化的過(guò)程模型作為控制器的一種約束。過(guò)程模型的這種實(shí)現(xiàn)形式符合UML2.0 標(biāo)準(zhǔn)關(guān)于推薦OCL 作為UML 約束補(bǔ)充的建議。另外，OCL 作為一種規(guī)范的說(shuō)明性語(yǔ)言，具有準(zhǔn)確的語(yǔ)義和語(yǔ)法，與UML 語(yǔ)言結(jié)合使用能夠消除自然語(yǔ)言可能帶來(lái)的歧義和描述不清的問(wèn)題。

執(zhí)行器類(lèi)、傳感器類(lèi)與被控對(duì)象類(lèi)：與控制器類(lèi)類(lèi)似，這3 種“類(lèi)”也繼承自標(biāo)準(zhǔn)UML 的類(lèi)，從而具備UML 類(lèi)的特征。具體的這3 種類(lèi)構(gòu)造型如圖3 所示。

3.2 關(guān)系的擴(kuò)展

前面針對(duì)STAMP 模型中的各個(gè)實(shí)體元素，擴(kuò)展了UML 的類(lèi)圖。而這些實(shí)體之間還存在各種關(guān)系，比如控制器與被控對(duì)象間的控制關(guān)系、反饋關(guān)系、控制器之間的交互關(guān)系等?？紤]到標(biāo)準(zhǔn)UML 的基礎(chǔ)包定義了關(guān)系元素，因此可以在關(guān)系元素的基礎(chǔ)上對(duì)STAMP 模型中的各種關(guān)系進(jìn)行擴(kuò)展，從而實(shí)現(xiàn)對(duì)STAMP 模型中關(guān)系的擴(kuò)展，如圖4 所示。另外，在建模時(shí)，分別用直線箭頭、虛線箭頭以及虛點(diǎn)線箭頭對(duì)控制、反饋及交互進(jìn)行圖形化表示。

圖3 執(zhí)行器類(lèi)、傳感器類(lèi)和對(duì)象類(lèi)的構(gòu)造型Fig.3 Stereotypes of actuator class, sensor class and object class

圖4 擴(kuò)展后的關(guān)系元模型Fig.4 Extended relationships meta model

4 應(yīng)用

以“在區(qū)間運(yùn)行時(shí)，車(chē)載設(shè)備獲得行車(chē)許可并監(jiān)控列車(chē)運(yùn)行的過(guò)程”，即列車(chē)在區(qū)間運(yùn)行時(shí)的“行車(chē)許可”場(chǎng)景為案例。同時(shí)，考慮到車(chē)載子系統(tǒng)與無(wú)線閉塞中心（Radio Block Center, RBC）、列車(chē)、司機(jī)之間的交互、以及RBC 與RBC、CTC 與調(diào)度員之間交互，足以代表高鐵信號(hào)系統(tǒng)內(nèi)部以及與外部環(huán)境的主要交互特征。因此，選取車(chē)載子系統(tǒng)、RBC、CTC 代表高鐵信號(hào)系統(tǒng)，選取調(diào)度員、司機(jī)代表高鐵信號(hào)系統(tǒng)的外部環(huán)境。其中，車(chē)載子系統(tǒng)考慮車(chē)載安全計(jì)算機(jī)（Vital Computer, VC）、無(wú)線通信模塊（Radio Transmission Module, RTM）、列車(chē)接口單元（Train Interface Unit, TIU）、測(cè)速測(cè)距單元（Speed and Distance Unit, SDU）等部分。

圖5 給出了案例STAMP 模型中UML 類(lèi)圖。該圖使用擴(kuò)展后UML 對(duì)研究案例的層次化控制結(jié)構(gòu)進(jìn)行描述。其中，由圖5 可見(jiàn)VC、RBC、CTC、調(diào)度員以及司機(jī)分別作為各自控制環(huán)路的控制器，并且分別具有各自的控制算法和過(guò)程模型。而車(chē)載設(shè)備中的TIU、SDU 以及RTM 分別起到執(zhí)行器和傳感器的作用。由于調(diào)度員、司機(jī)作為系統(tǒng)的外部環(huán)境，因此與它們相關(guān)的控制環(huán)路作簡(jiǎn)化處理，不再深入討論其中的執(zhí)行器和傳感器。限于篇幅，本文僅以RBC 子系統(tǒng)為例，展示其過(guò)程模型及控制算法模型，如圖6 所示。其他子系統(tǒng)如CTC、VC 等均具有類(lèi)似模型成分。

圖5 研究案例STAMP模型中的UML類(lèi)圖Fig.5 Diagram of UML class in STAMP model of research case

5 結(jié)束語(yǔ)

本文從高速鐵路信號(hào)系統(tǒng)安全分析建模工作的實(shí)際工程需求出發(fā)，提取高鐵信號(hào)系統(tǒng)STAMP模型的特征元素，明確UML 的擴(kuò)展需求。在此基礎(chǔ)上，利用UML 的擴(kuò)展機(jī)制從“類(lèi)”和“關(guān)系”兩個(gè)方面對(duì)現(xiàn)有的UML 建模能力進(jìn)行擴(kuò)展設(shè)計(jì)，形成面向高鐵信號(hào)系統(tǒng)STAMP 模型特征的UML。針對(duì)高鐵信號(hào)系統(tǒng)的典型應(yīng)用場(chǎng)景進(jìn)行建模，應(yīng)用結(jié)果表明本文設(shè)計(jì)的面向高鐵信號(hào)系統(tǒng)STAMP 的UML 建模方法，能夠?qū)崿F(xiàn)對(duì)STAMP 模型各項(xiàng)元素的刻畫(huà)，并通過(guò)采用半形式化的描述結(jié)構(gòu)保障了模型的準(zhǔn)確性和易用性，這為推動(dòng)STAMP 框架下高鐵信號(hào)系統(tǒng)安全分析工作的開(kāi)展提供了有效的建模方法和語(yǔ)言工具。

圖6 研究案例STAMP模型中RBC的過(guò)程模型和控制算法Fig.6 Process model and control algorithm of RBC in STAMP model of research case