面向高速铁路信号系统安全分析的UML扩展设计研究

面向高速铁路信号系统安全分析的
UML扩展设计研究
丁治敏
(北京全路通信信号研究设计院集团有限公司，北京 100070)
摘要：
设计面向高速铁路信号系统安全分析的专用建模语言和建模方法，对于提升安全分析结果准确性具有重要意义。

根据高铁信号系统STAMP 安全分析模型的构成，提取该安全分析模型的特征元素。

基于模型特征元素，利用UML 扩展机制实现UML 类和关系的构造型设计，并采用对象约束语言作为模型约束条件，设计面向高铁信号系统STAMP 建模的UML 建模语言。

最后应用于高铁信号系统典型场景安全分析模型的构建。

关键词：
高速铁路；安全分析；信号系统；建模语言设计中图分类号：
U284.48 文献标志码：A 文章编号：1673-4440(2020)07-0023-06Reasearch on UML Extension Design for Safety Analysis of
High-speed Railway Signaling System
Ding Zhimin
（CRSC Research & Design Institute Group Co., Ltd, Beijing 100070, China ）
Abstract: In order to improve the accuracy of safety analysis results of Chinese high-speed railway signaling system, developing the professional modeling language and method is of great signifi cance. According to the constitution of STAMP safety analysis model of high-speed railway signaling system, the feature elements of the safety analysis model are abstracted. On the basis of these feature elements, the stereotype design of UML classes and relationships are realized. The UML for the STAMP modeling of high-speed railway signaling system is designed with the constraints in Object Constraint Language. Finally, the designed language is applied to the construction of safety analysis model for a typical scenario of high-speed railway signaling system.
Keywords: high-speed railway; safety analysis; signaling system; modeling language design
DOI: 10.3969/j.issn.1673-4440.2020.07.006
1　概述
高速铁路信号系统是确保高速列车运营安全和
高效运行的关键装备。

通过科学有效的安全分析手
基金项目： 中国国家铁路集团有限公司科技研究开发计划重大课题项目（K2019X010）
段，找出高铁信号系统的潜在危险因素，进而保障高铁信号系统的安全性，对于国内高速铁路的健康发展至关重要。

由于新技术的引入，高铁信号系统拥有复杂的
系统结构和交互关系，给以往传统的危险分析方
式带来了难度。

针对此问题，基于系统理论事故
致因模型及过程（Systems-Theoretic Accident Model and Process，STAMP）成为解决复杂高铁信号系统安全分析的一种有效手段。

使用STAMP 理论对高铁信号系统进行安全分析的起点和基础是建立系统的STAMP模型。

高铁信号系统具有复杂的结构和功能，各子系统间又存在错综复杂的信息交互关系。

显然，如果建模语言没有较强且准确的表达能力，很难仅凭分析人员的自然语言表述来构建准确的安全分析模型。

然而，现阶段基于STAMP模型进行安全分析，基本都采用自然语言的方式对控制结构进行刻画，自然语言虽然便于人们沟通、交流，但容易产生歧义或表述不清的问题。

虽然有研究采用具有严格数学语义的形式化方法（Formal Method）刻画STAMP模型，但是形式化方法包含复杂的数学概念和公式，不易理解和使用，限制了其在工程界的广泛应用。

考虑到统一建模语言（Unified Modeling Language，UML）作为一种已被工程界广泛接受的图形化建模语言，具有易于使用、表达能力强的特点，而且相比于自然语言具有精确的元模型定义。

采用UML对STAMP模型进行刻画，能够有效解决基于自然语言的STAMP模型歧义和二义性问题。

尽管现有UML建模机制无法直接刻画STAMP模型，但UML提供针对自身的扩展机制，用户可以根据建模对象的特点对传统的UML进行扩展，使其能够充分刻画建模对象。

因此本文利用UML的扩展机制对现有UML进行扩展，使其能够描述高铁信号系统的STAMP模型，从而保障高铁信号系统安全分析建模阶段的准确性。

2　高铁信号系统STAMP模型元素
对UML进行扩展的目的是刻画STAMP模型，即分层控制结构，因此首先要明确高铁信号系统STAMP模型的特征元素。

归纳该结构的特征要素，然后针对这些要素进行UML扩展。

高铁信号系统STAMP模型中，有以下几种重要元素。

1) 控制器：控制器或者说控制者在控制结构中起到发出控制命令的作用。

而控制器生成控制命令的过程还要依赖下面两种元素。

过程模型：过程模型是控制器对于当前被控过程或被控对象的知识集合，起到数据库的作用。

过程模型主要包含过程变量（被控对象的当前状况、控制过程相关的环境情况）、各类变量之间的关系（控制过程要遵守的规则）、以及改变被控对象状态的方式。

控制算法：控制算法是控制者根据过程模型生成控制行为的具体流程。

2) 执行器：执行器是将控制命令下达给被控对象的结构。

当然，在某些情况下，如果执行器不属于被分析的系统且可以假设始终正常工作，可以忽略执行器。

3) 传感器：传感器是将被控对象的当前状态信息反馈给控制器的结构，主要作用是更新控制器过程模型，使过程模型始终反映最新的被控对象情况。

4) 被控对象：在某一控制环路中，被控对象是根据控制命令执行相关活动的结构。

因此，从分层控制结构的角度来看，某一环路的控制器有可能是上一级环路的被控对象。

5) 关系：在控制结构中，控制器与被控对象之间存在控制关系和反馈关系，不同的控制器之间存在信息交互关系。

3　面向高铁信号系统S TA M P模型元素的UML扩展设计
UML作为一种通用的建模语言，只能对不同领域间共性的元素进行刻画，无法充分描述具体领域或特定对象的特有元素。

因此，需要利用UML提供的扩展机制对其进行扩展，使其能够刻画相应的元素。

本节在第2节所分析的STAMP特征元素的基础上，使用UML扩展机制中构造型（Stereotype）的方式对UML进行面向STAMP的扩展。

3.1　类的扩展
类是对那些具有相同性质对象的抽象描述。

可以将控制器抽象为一种类的概念。

类似的，STAMP
模型中执行器、传感器以及被控对象均可以类的形式存在。

考虑到标准UML中使用“Class”来对类进行标识，因此针对上述STAMP的特征元素，分别用控制器类（controllerClass）、执行器类（actuatorClass）、传感器类（sensorClass）以及被控对象类（objectClass）进行标识。

上述STAMP元素类均是在UML类的元模型基础上扩展而来，下面分别对其进行介绍。

控制器类：控制器类继承自标准UML的类，从而控制器类具备UML类的特征。

另外，在分层控制结构中，控制器对被控对象进行控制的前提是了解被控对象且具备控制算法，因此在控制器类的元模型中，控制器类还有同时关联控制算法（Control algorithm）和过程模型（Process model）。

其中，控制算法是状态机（State machine）的泛化，即控制算法以状态图的形式呈现。

在元模型中，如果两个元素是一一对应的关系，那么连接线上的数量值可以省略，因此如图1所示，一个控制器类有唯一的控制算法和过程模型。

另外，过程模型也是扩展出的新元素，根据STAMP的内容，过程模型包含变量、变量关系以及改变状态的方式等3方面的内容，具体的扩展见下述内容。

过程模型：如前所述，过程模型是控制器对于当前被控过程或被控对象的知识集合，起到数据库的作用。

因此，过程模型的元模型主要包括3方面内容：1）过程模型的变量，进一步，变量又可分为系统变量和环境变量；2）变量间的关系，刻画了不同变量值的相互制约关系；3）状态改变方式。

具体的过程模型的构造型如图2所示。

Fig.2 Stereotype of process model
图2给出了过程模型的构造型，但不同于控制器类在实例化时采用UML类图的形式，过程模型的实例化采用对控制器进行约束的形式。

具体来讲，采用对象约束语言（Object Constraint Language，OCL）进行过程模型实例化描述，同时实例化的过程模型作为控制器的一种约束。

过程模型的这种实现形式符合UML2.0标准关于推荐OCL作为UML约束补充的建议。

另外，
OCL作为一种规范的说明性语言，具有准
确的语义和语法，与UML语言结合使用
能够消除自然语言可能带来的歧义和描述
不清的问题。

执行器类、传感器类与被控对象类：
与控制器类类似，这3种“类”也继承自
标准UML的类，从而具备UML类的特
征。

具体的这3种类构造型如图3所示。

3.2　关系的扩展
前面针对STAMP模型中的各个实体
元素，扩展了UML的类图。

而这些实体
之间还存在各种关系，比如控制器与被控
对象间的控制关系、反馈关系、控制器之
图� 控制器类的构造型Fig.1 Stereotype of controller class
间的交互关系等。

考虑到标准UML 的基础包定义了关系元素，因此可以在关系元素的基础上对STAMP 模型中的各种关系进行扩展，从而实现对STAMP 模型中关系的扩展，如图4所示。

另外，
在建模时，分别用直线箭头、虚线箭头以及虚点线
箭头对控制、反馈及交互进行图形化表示。

图� 扩展后的关系元模型
Fig.4 Extended relationships meta model
4　应用
以“在区间运行时，车载设备获得行车许可并
监控列车运行的过程”，即列车在区间运行时的“行
车许可”场景为案例。

同时，考虑到车载子系统与无线闭塞中心（Radio Block Center, RBC）、列车、司机之间的交互、以及RBC 与RBC、CTC 与调度员之间交互，足以代表高铁信号系统内部以及与外部环境的主要交互特征。

因此，选取车载子系统、RBC、CTC 代表高铁信号系统，选取调度员、司机
代表高铁信号系统的外部环境。

其中，车载子系统考虑车载安全计算机（Vital Computer, VC）、无线通
信模块（Radio Transmission Module, RTM）、列
车接口单元（Train Interface Unit, TIU）、测速测
距单元（Speed and Distance Unit, SDU）等部分。

图5给出了案例STAMP 模型中UML 类图。

该图使用扩展后UML 对研究案例的层次化控制结
构进行描述。

其中，由图5可见VC、RBC、CTC、调度员以及司机分别作为各自控制环路的控制器，并且分别具有各自的控制算法和过程模型。

而车载设备中的TIU、SDU 以及RTM 分别起到执行器和传感器的作用。

由于调度员、司机作为系统的外部环境，因此与它们相关的控制环路作简化处理，不再深入讨论其中的执行器和传感器。

限于篇幅，本文仅以RBC 子系统为例，展示其过程模型及控制算法模型，如图6所示。

其他子系统如CTC、VC 等
均具有类似模型成分。

图� 执行器类、传感器类和对象类的构造型
Fig.3 Stereotypes of actuator class, sensor class and object class
5　结束语
本文从高速铁路信号系统安全分析建模工作的实际工程需求出发，提取高铁信号系统STAMP
模型的特征元素，明确UML的扩展需
求。

在此基础上，利用UML的扩展机
制从“类”和“关系”两个方面对现有
的UML建模能力进行扩展设计，形成
面向高铁信号系统STAMP模型特征的
UML。

针对高铁信号系统的典型应用场
景进行建模，应用结果表明本文设计的
面向高铁信号系统STAMP的UML建模
方法，能够实现对STAMP模型各项元素
的刻画，并通过采用半形式化的描述结
构保障了模型的准确性和易用性，这为
推动STAMP框架下高铁信号系统安全分
析工作的开展提供了有效的建模方法和
语言工具。

参考文献
[1]Leveson N.A New Accident Model
for Engineering Safer Systems[J]. Safety
Science, 2004, 42(4): 237-270.
[2]Liu Jintao, Tang Tao, Zhu Jiebei, et al.
An Extended System-theoretic Hazard
Analysis Method for the Safety of High-
speed Railway Train Control Systems[J].
Proceedings of the Institution of Mechanical
Engineers, Part F:Journal of Rail and Rapid
Transit, 2017, 231(8): 821-834.
[3]Thomas J. Extending and Automating
A Systems-Theoretic Hazard Analysis for
Requirements Generation and Analysis[D].
Boston: MIT, 2013.
[4]刘金涛,唐涛,徐田华,等.基于
UML的CTCS-3级列控系统需求规范形式
化验证方法[J].中国铁道科学，2011，
32(3)：93-99.
Liu Jintao, Tang Tao, Xu Tianhua, et al. Formal Verification of CTCS-3 System Requirements Specifi cation Based UML Model[J]. China Railway Science, 2011, 32(3): 93-99.
图� 研究案例STAMP模型中的UML类图
Fig.5 Diagram of UML class in STAMP model of research case
Process model of RBC
Relation:
�. CurrentEoA⸺Barrier
Context CurrentEoA⸺列车MA不能越过障碍物 inv: self.value<= Barrier.location �. Route⸺CurrentEoA
Context Route⸺进路中出现轨道故障或进路取消将缩短MA inv： Self.fault—>shortens(CurrentEoA) inv： Self.cancel—>shortens(CurrentEoA) �. Traindata⸺Route
Context Location⸺列车数据要符合进路要求 inv: TrainData—>meets(Route)
System Variable/ Parameter: Location, TrainData, CurrentEoA, Mode
/列车位置，列车数据，当前EoA，车载设备模式
Environmental Variable: Route, Barrier, Emergency, TrackDescrip,
e.g., SSP, Gradient, ASP, TempVlimit
/进路情况，障碍物情况，紧急情况，线路描述，例如静
态限速、轴重限速、临时限速 Way of changing state:
�. Changing Train Movement
Context RBC :: provide MA()----提供MA post Condition: Location. Derivative>�
Context RBC :: provideTrackDescrip()----提供线路描述 post Condition: Location. derivative=�
Context RBC :: shortenCurrentEoA()----缩短MA
postCondition: Location.derivative—>meets(TempVlimit)
[5] Meyer C.Tanuan. Automated Analysis of Unified
Modeling Language (UML) Specifications [D]. Ontario :University of Waterloo, 2001.
[6]万丽雯.基于U M L 的联锁进路控制过程建模
[J ].兰州交通大学学报，2012，31（1）：139-142.
Wan Liwen. Research on Route Control Process of Railway Interlocking Software Modeling Based on UML[J]. Journal of Lanzhou Jiaotong University, 2012, 31(1): 139-142.
[7] Correa A, Werner C, Barros M. Refactoring to
Improve the Understandability of Specifications
[8]刘金涛,唐涛,赵林,等.基于控制关系模型
的C T C S -3级列控系统功能安全分析方法[J ].铁道学报，2015，37(8)：36-43.
Liu Jintao, Tang Tao, Zhao Lin, et al. Functional Safety Analysis of CTCS-3 Train Control System Based on Control Relationship Model[J]. Journal of the China Railway Society, 2015, 37(8): 36-43.
（收稿日期：2020-03-23）
（修回日期：2020-04-15）
***********************************************
广告索引
北京全路通信信号研究设计院集团有限公司 封面上海铁大电信科技股份有限公司 封三中移铁通有限公司北京分公司 封底。