基于系统韧性理论的城市轨道交通信号系统设计_高翔.pdf

第 1 期研究报告基于系统韧性理论的城市轨道交通信号系统设计高翔1张凌翔2(1上海电气泰雷兹交通自动化系统有限公司，201206，上海;2上海申通地铁集团有限公司，201103，上海第一作者，高级工程师)摘要“故障持续运行”是对城市轨道交通信号系统的最高要求，也是基于运营高度对系统安全的理解。在自动化系统不断扩展其功能边界的趋势下，人员介入不再被认为是安全可靠的手段，系统本身应能处理更多的异常。分析了与系统可靠性相关的容错、安全完整性和韧性的概念;将系统韧性理论引入城市轨道交通信号系统设计，采用系统能力损失对系统韧性进行量化计算;建立了韧性系统设计模型，并将该模型应用于智能调度系统设计，使用韧性度量来作为最优化控制目标。仿真验证证明了系统韧性理论和方法在城市轨道交通信号系统设计中的有效性。关键词城市轨道交通;信号系统;系统设计;容错;韧性;安全完整性;故障持续运行;智能调度中图分类号U2317DOI:1016037/j1007869x202301028Urban ail Transit Signaling System Design Basedon System esilience TheoryGAO Xiang，ZHANG LingxiangAbstractFail-operational is the highest requirement forurban rail transit signaling system，and also an understandingof system safety from the high-level operation With the trendof automatic systems expanding their function boundaries，hu-man intervention is no longer considered a safe and reliablemeans，and the system itself should be capable of treating moreanomalies Concepts such as fault tolerance，safety integritylevel and resilience related to system reliability are analyzedSystem resilience theory is introduced into the design of urbanrail transit signaling system，and system resilience is quantita-tively calculated using system ability loss A design model ofthe resilience system is established，and is then applied to thedesign of intelligent scheduling system with resilience measure-ment as the optimal control target Simulation verificationproves that the systemresilience theoryand method areeffective in urban rail transit signaling system designKey wordsurban rail transit;signaling system;system de-sign;faulttolerance;resilience;safetyintegrity;fail-operational;intelligent schedulingFirst-authors addressThales SEC Transport System Co，Ltd，201206，Shanghai，China受到元器件、材料、工艺及成本的限制，单体设备的可靠性存在上限。在系统层面上，对于超过单体设备可靠性上限要求的，可以通过冗余技术来满足可靠性指标要求。铁路行业有一系列的可靠性标准，通过量化指标对系统性能进行评估，指导系统架构及软硬件设计。MTBF(平均故障间隔时间)是最常使用的可靠性指标之一。按照 EN 50126 标准1，MTBF 被定义成系统保持工作状态的平均持续时间，其本质上是指 MTBSF(运营服务的平均无故障间隔时间)。通过冗余设计，可保障单点故障不影响系统服务(即实现故障容错)，系统保持持续服务以满足 MTBSF。对安全的传统定义是“免于不可接受的风险”。安全完整性 SIL(Safety Integrity Level)是与可靠性相关的一个概念，定义为“安全相关系统在所申明的运行环境中和所申明的时间段内的条件下完成所要求安全功能的能力”1。安全完整性和可靠性是对城市轨道交通(以下简称“城轨”)信号系统的两大性能要求。基于安全完整性和可靠性的系统设计对单点设备故障进行容忍。这类故障需要在设计之初明确定义，故障场景是限定的，容错能力有限。在城轨逐步由全自动运行向自主运行发展过程中，信号系统已不能满足更高的可靠性要求。系统韧性理论是将韧性概念引入复杂系统的研究成果2-3。系统韧性理论立足于运营的角度来对系统容错能力进行观察，与基于设备 AM(可靠性、可用性、可维护性)指标提升来间接提升容错能力不同，系统韧性理论要求系统从容错本身来寻求改善措施，要求系统对故障、扰动、风险进行实时监督，基于监督结果动态采取相匹配的容错响应。本9312023 年文对系统韧性理论在城轨信号系统设计中的应用进行研究，并以城轨智能调度系统为案例来说明这一方法的有效性。1系统韧性理论韧性(esilience，中文研究者也采用“弹性”)一词来源与拉丁语动词 resilire(弹回)，指物体在被挤压发生变形后，恢复到其正常尺寸和形状的能力。其内涵就是在受到扰动后恢复正常的能力4。研究者将这一力学概念首先引入生态系统，后来又广泛应用于社会领域、经济领域和安全工程领域5。一个源自国防领域的韧性定义是:一个实体(资产、组织、社区或地区)的能力，能预测、抵制、吸收、应对、适应和从自然或人为干扰活动中恢复。这就要求具有韧性的系统应该具备 3 种能力:击退、抵抗、吸收破坏的能力(自然或人为破坏)，从破坏中恢复的能力(灾难或灾难事件)，适应新的或变化的条件(人为威胁或自然灾难)的能力3。本文认为，还应具备的第 4 个能力是预测能力，即对发生的破坏、扰动进行监督识别，并预测其影响的能力。在安全苛求领域，文献 5提出了韧性工程的概念，通过系统韧性来实现系统的安全，并将韧性定义为:系统所具备的在发生变化和扰动前/时/后调整其功能的自有能力，由此系统能够在预期的条件和非预期的条件下都能保持运行5。既有的安全观是想办法减少系统发生故障的概率，而韧性工程的安全观则将安全工作的目标调整为想办法增加系统正常工作的概率，这样即能保障安全，又能提升系统的效能，实现对系统安全与效能的兼顾。系统容错的概念是指在出现故障时系统能够继续实现其既定功能的能力6。容错、安全完整性和韧性的概念比较如表 1 所示。由表 1 可见，韧性概念涵盖的范围最大，其次是容错，最小的是安全完整性。可以通过韧性或容错设计来满足完全完整性要求。韧性实现的目标是“恢复并适应新的或变化的条件”，既有恢复到既有功能的能力，也有适应外部条件变化而产生新的功能的能力。而容错则是实现既定功能的能力，安全完整性则仅要求完成安全功能。对于运行条件而言，韧性也更加宽泛，包含了预期与非预期的条件;安全完整性则是在所申明的运行环境和所申明的时间段内，能保证系统会做出安全的响应，而在非所申明的运行环境(非预期的条件)中并不能保证。表 1容错、完全完整性和韧性概念比较Tab1Concept comparison of fault tolerance，safety integ-rity level and resilience项目容错安全完整性韧性功能范围既定功能所 要 求 的 的 安 全功能运行条件所申明的运行环境和所申明的时间段预期的条件和非预期的条件应对场景故障变化和扰动实现目标实现既定功能完成所要求的安全功能恢复并适应新的或变化的条件另外，安全完整性没有对系统持续工作能力的直接要求，系统的可持续工作能力间接地由“所申明的运行环境和所申明的时间段”这一与可靠性性能直接相关的要求所决定。为指导设计，系统韧性应通过量化的手段进行评估7，对系统韧性进行度量。系统韧性的量化评估示意图如图 1 所示。图 1系统韧性的量化评估示意图Fig1Diagram of quantitatively estimated system resilience1)保护时间 Tip:是系统容忍故障 i 而不导致能力降低的持续时间。Tip=tid ti0。2)退化时间 Tid:是在受到故障 i 的影响后系统在能力最低状态持续的时间。Tid=tim ti0。一般情况下，假设 Tid为 0。3)识别时间 Tii:是系统识别出故障 i 的时间。Tii=tii ti0。这一时间不一定会大于Tid。系统可以在能力降到最低前就识别出故障。4)恢复时间 Tir:是系统从故障 i 发生到恢复正常运行所需的时间。Tir=tir tis。一般情况下，假设Tir为 0。5)能力退化量 Pid:Pid=P0 Pi。041第 1 期研究报告6)能力损失 Pil:是由故障 i 导致的能力损失。Pil=P0(tir ti0)tirti0P(t)dt。即图中的阴影部分面积。Pil越小，系统韧性越好。需要注意的是，这里的 Pil仅考虑了单次故障，如果要综合衡量一段工作周期内多次故障的综合损失，则需要将每个故障导致的 Pil进行求和，即Pil。Pil还可以用于评估不同故障导致的能力损失，从而对故障进行分级。可靠性标准强调的是延长 MTBF 并缩短 MTT(平均修复时间)。在修复期间(tir ti0)，系统是处于下线状态，即 Pi为0，如果套用 Pil的计算方法，应该尽可能地缩短 MTT 的时间。此外，可靠性标准考虑的故障偏向于硬故障，即故障后能力立即降低到 0(Tid=0)。2基于系统韧性理论的城市轨道交通信号系统设计模型既有的城轨信号系统是容错的“故障安全”系统。当发生影响安全的故障时，这样的系统可以采取“故障持续运行”“故障降级”和“故障停机”3种不同的响应形式。1)“故障持续运行”响应形式:当出现故障时，系统继续工作，提供能力不损失。2)“故障降级”响应形式:当出现故障时，系统继续工作，提供能力有一定损失，但能够保持安全状态。3)“故障停机”响应形式:当出现故障时，系统停止工作，提供能力全部损失，转换到一个确定状态以维持安全。从“故障安全”角度考虑，一个韧性的信号系统应避免“故障停机”的响应形式。如果没有人工的介入，“故障停机”会导致 Pil。如果按照AM 设计思路，信号系统设计应设法降低单体设备的 MTT，并延长 MTBSF、控制Pil。MTBSF 和MTT 受到基础技术条件和现场工作条件限制，提升有限。然而，按照系统韧性理论，信号系统可通过增强系统韧性的技术手段来控制 Pil，这样的技术手段组合构成了新的韧性系统设计模型(见图 2)，其中包括:识别故障扰动 对导致能力损失的故障或扰动进行识别;影响预测 对故障和扰动进行分类，并依据历史数据和状态信息综合预测其影响，例如预测故障的处理时间;故障抵制 在系统中留有能力补偿的空间或容错机制，一旦发生故障或扰动，系统利用补偿空间或容错机制对故障进行抵制:恢复控制 通过自恢复或远程恢复技术，恢复系统能力;能力损失评估 对发生的能力损失进行在线评估，并对恢复措施进行评价。图 2韧性系统设计模型Fig2esilience system design model在韧性系统设计模型中，能力损失的在