陈红霞，孙 强

（南京铁道职业技术学院，江苏 南京 210031）

0 引言

基于无线通信的列车控制（Communicationsbased Train Control，CBTC）系统是独立于轨道电路，采用高精度的列车定位和连续、高速、双向的数据通信，通过车载和地面安全设备实现对列车的控制。CBTC作为控车的关键系统，对列车的安全运行有着重要影响，由于地铁的运营环境和特点，对产品设备的可靠性、可用性、可维护性和安全性有着极高的要求，任何情况下均不允许出现系统故障，保障高安全、高可靠是CBTC系统的基本设计原则。因此，系统从设计开始就应对各种可能出现影响系统可靠性和安全的风险因素进行深入分析，识别其产生的原因，有针对性地采取各种措施以消除风险。在既有文献中，对CBTC进行安全风险分析和研究的报道极少。本文采用层次分析（Analytic Hierarchy Process，AHP）方法，辨识各种可能导致CBTC系统安全风险的原因，并对其进行分类，结合现场设备使用情况，提出相应的防范措施。

1 CBTC的系统结构及风险分析中存在的问题

1.1 CBTC系统结构及功能

典型的基于通信的列车运行控制（CBTC）系统的结构如图1所示。整个CBTC系统包括CBTC地面设备、联锁设备（CI）和CBTC车载设备，通过数据通信网络实现车载设备与地面设备的信息交换从而完成对列车的控制，是一种采用先进的数字通信技术、无线通信技术、编码技术和计算机技术，连续控制、监测列车运行的移动闭塞方式。基于车-地间无线通信，CBTC地面设备可以得到每一列车的连续位置的信息，并据此计算出每一列车的移动授权，动态更新发送给车载设备。车载设备根据接收到的移动授权和自身的运行状态，计算出列车运行的速度曲线，实现完全防护的列车运行控制。

图1 基于通信的CBTC系统结构

1.2 风险分析存在的问题

基于无线的CBTC系统具有开放的接口，是能够实现不同厂家之间信号系统互联互通的唯一手段。但同时又出现了一个问题，就是任何一个与CBTC系统中设备使用相同或兼容无线局域网协议的网络设备都有可能接入CBTC系统的无线传输系统，对系统安全运行构成危害。深圳地铁多次因CBTC系统受干扰发生的暂停故障，显示出地铁电磁环境恶化的问题[7]。这使从复杂的运行环境中准确辨识出可能导致安全风险的因素，会变得更加困难。

由于CBTC系统同时与多个外部设备或系统存在信息交换，与其中任何一个外设的信息交互出现错误或故障时，都可能引起安全风险，所以发生安全风险的概率增大，引起安全风险的原因也会相应地增多。

地铁CBTC是基于WLAN（IEEE802.11b/g）的车-地无线通信系统，由于无线局域网自身的特点，使得其他的信号很容易被系统外的用户发现。如果乘客携带有无线天线或无线网卡的电子设备，能很容易搜索到无线信号获取信息。甚至个别非法用户可能会利用一些技术手段侵入无线网。如果信息被非法入侵者窃取利用，发布错误的行车指令，将会对列车的行车安全造成极大的安全隐患，增大安全风险的概率。为此，基于层次分析法，对影响CBTC系统的各主要因素进行定量分析，确定其权重，定量计算出影响系统安全的风险，揭示系统故障原因，同时指出安全防护相对不足的因素，进而有针对性地采取措施，提高系统安全水平。

2 层次分析方法 （Analytic Hierarchy Process，AHP）

AHP是美国运筹学家匹兹堡大学教授萨蒂（T.L.Saaty）于上世纪70年代初，为美国国防部研究“根据各个工业部门对国家福利的贡献大小而进行电力分配”课题时，应用网络系统理论和多目标综合评价方法，提出的一种层次权重决策分析方法。AHP把研究对象作为一个系统，按照分解、比较判断、综合的思维方法进行决策。把定量计算和定性分析结合起来，增加了决策的有效性，同时所得结果简单明确，容易被决策者了解和掌握。用AHP分析问题主要包括以下步骤。

2.1 建立层次结构模型

模型的建立首先要进行层次的划分，最先是最高层（目标层），这一层次中只有一个元素，它一般是分析问题的预定目标或理想结果；然后是中间层（准则层），这一层次中包含了为实现目标所涉及的中间环节，可以由若干个层次组成，包括所需考虑的准则、子准则；最后是最低层（方案层），这一层次包括了为实现目标可供选择的各种措施、决策方案等。

2.2 构造成对比较判断矩阵

在建立层次结构模型后，界定各层次元素的权重比较困难，两两比较是一种常用的方法。它通过元素之间的两两比较和判断构造矩阵，对各个元素的相对重要性给出定量判断，在1～9之间对各自的重要程度赋值（见表1），并进行量化，从而构造各层次的指标判断矩阵。

表1 1～9标度的意义

2.3 一致性判断

比较判断矩阵的办法虽能减少其他因素的干扰，较客观地反映出一对因子影响力的差别。但综合全部比较结果时，其中难免会包含一定程度的非一致性，因此，要对判断矩阵作一致性检验。

（1）计算一致性指标CI

式中：λmax是判断矩阵的最大特征值。

（2）查找相应的平均随机一致性指标RI。当n=1,2,…,9时，RI的值[8]如下表2所示。

表2 随机一致性指标RI值

当CR＜0.10时，认为判断矩阵的一致性是可以接受的，否则应对判断矩阵做适当修改。

（3）计算一致性比例CR

3 基于无线的CBTC系统风险识别与分析

3.1 风险因素分析

从已有的资料和现场设备的使用情况分析，基于无线的CBTC系统风险存在于各个方面，从设计施工到设备维护的每个环节，从内部工作环境到外部运行环境，以下是影响系统风险的主要因素。

3.1.1 人的因素

目前，基于无线的CBTC系统是以“机控为主，人控为辅”的列车运行控制系统，但是任何系统的运行都不能避免突发状况，在设备不具备应对能力的情况下，必须通过人来排除。目前，由于存在对维护人员新技术培训不到位，维护人员技术不精湛等原因，可能导致误操作、维护不到位或外部人员的恶意破坏等，对行车安全产生威胁。

3.1.2 信息不安全因素

由于电磁干扰或设备老化等原因，使得如CPU、内存等出现错误，从而导致MA生成错误。在信息交换过程中，当出现偏差、程序溢出、存储和时钟校核不正确、线路基础数据配置错误或数据在转换过程中出错时，都会导致信息错误。

因为系统采用通信网络进行信息传输，车-地之间的通信延时是必然存在的，车-地的通信延时，造成CBTC系统中车载设备和地面设备对信息使用不同步。例如，当轨旁设备收到车载设备的位置报文时，列车实际位置可能已发生改变，这对列车的运行控制存在一定的安全风险。

CBTC信号系统中所有的列车调度、控制信息都是以无线方式在列车和轨旁网络之间传递，由无线网络的开放性带来的易干扰、易攻击问题，使无线信息的传输成为了CBTC信号系统最大的安全隐患。错误的控制信息可能导致危险情况的发生，降低系统的可用性，甚至危及列车运行安全。列车的高速移动会导致车-地无线通信更高的丢包率和更多的数据重发。数据的丢包和重发会降低系统运行效率，严重的丢包会使接收方在一段时间内无法得到完整的信息，列车被迫紧急停车，从而降低了运营的效率和乘客的安全感。

3.1.3 环境因素

目前，基于无线的列车控制系统（CBTC）均采用IEEE802.11标准ISM 2.4GHz频段。该频段是一个全球性免费开放的频段，基于2.4GHz的产品和技术的使用范围非常广，这些设备如果与CBTC处于相同的环境，并且工作频点重叠时，就不可避免地对CBTC无线传输系统产生同频干扰[7]。另外，随着列车速度的提高，列车在高速移动中带来的多普勒效应、隧道内的多径效应以及开放空间中采用相同协议或相同频段的设备造成的物理干扰等。雷电、暴风、雨雪、迷雾等自然灾害，也会直接影响行车安全。

3.1.4 管理因素

无论是调度命令的下达、人对设备的操作、维护、设备的检修、故障的处理等，都要通过管理来实现，都要通过有效的管理使基于无线的CBTC系统得到更高的可靠性与安全性，从而保证行车的安全性和有效性。在此，仅考虑制度的制定与实施两个因素。

根据以上分析，建立AHP层次结构模型图2所示。

图2 CBTC安全风险AHP层次结构模型

3.2 评价指标权重计算

根据表1进行成对比较，确定各因素之间的相对重要性并赋以相应的值，构造出各层次所有的判断矩阵，并计算权向量和一致性检验。利用AHP软件计算，并根据表2进行一致性检验得出表3，这些值经过AHP验证满足表2的要求，即一致性满足要求。

表3 风险影响因素及权重

表3 （续）

3.3 结果分析

图3是每组元素对于上一层元素的权重以及每个元素对安全风险影响因素的总权重。从表3和图3可以看出，信息不安全因素是影响安全风险的主要因素，其次是环境因素和人的因素，管理因素排在其后。由图3可知，通信错误、硬件失效及频率干扰等是影响安全风险的主要因素，虽然人的因素是影响系统安全的 关键因素，但不是主要因素。

图3 风险影响因素的权重

4 安全风险的改善措施

4.1 加强技术人员的培训

基于无线的CBTC，使一个以硬件为基础的系统向以软件为基础的系统演变；移动通信技术的发展，无线局域网（WLAN）技术的成熟，接口标准的制定，开放的标准的数据通信系统（DCS），极大地推进了CBTC系统的发展进程。基于无线通信技术CBTC系统已经日趋完善，在世界各个城市的轨道交通项目中得到了实际应用。但是，国产CBTC系统还不完善，国外CBTC系统与国产其他信号设备的协调工作还存在一些问题，尤其是对于后续日常维护人员的培训问题。如果培训工作不到位，缺少专业技术精、综合能力强的技术型职工，在设备维护、故障处理等方面会出现一系列的问题，如抢修查找速度慢、抢修不到位，对一些简单的系统故障不知道如何判断故障原因，或者盲目查找、无所适从，以至于导致出现故障延时过长、故障升级等情况。因此，要加强技术人员对于新设备或新技术的学习培训，设置模拟设备为新进人员学习和培训。

4.2 提高设备可靠性

通常基于无线的CBTC对通信设备和车载设备都采用双套冗余配置，确保列车控制信息与车-地信息的可靠交换。对于核心部件可采用二乘二取二或者二取二的冗余方式，在交叉比较中出现任何偏差、程序溢出、存储和时钟校核不正确时，要使系统导向安全，同时切换至备用单元，满足故障-安全的原则。

4.3 提高系统的抗干扰能力

基于无线的CBTC采用跳频扩频技术提高系统的抗干扰能力，针对无线网络的开放特点，在通信网络上采用多层结构、多种成熟的安全标准和加密规程措施，防止非法侵入截取信息。选择合理的频段、场强、天线等合理的信噪比。但是基于802.11标准的Wi-Fi与蓝牙、点对点或点对多点扩频通信、工业、科学和医疗等共用2.4GHz频段，Wi-Fi系统没有QoS保证，显然达不到承载安全业务的标准[7]。笔者认为，改变CBTC使用频段或改用GSM-R在技术上还是可行的。

4.4 加强管理

对于因系统数据源错误而导致的风险，系统本身很难进行预防，必须由数据提供方确保数据源准确无误。因此，从现场测试开始就要对数据进行严格检查，对于原始数据在生成逻辑数据的过程中出的错，一定要由专业数据工作人员使用专门的工具，并由专门的数据校核人员按规定的方法和流程严格校核数据，再通过集成测试、现场测试等测试方法，确保数据正确无误。

软件维护制约着系统的可用性，随着用户对系统的不断了解，需求可能会发生变化，修改或者对系统进行调整，很多时候在合同谈判或者投标的时候，出现回避软件维护工作，造成后续设备维护单位的工作很被动，甚至需要大量投入，可能还会影响正常运营。所以，在供货厂家的选择上，应优先考虑服务意识比较好的供货商，有利于系统的调试开通和运营维护。

5 结语

本文在分析基于无线的CBTC系统结构和功能的基础上，采用AHP方法分析所有可能导致系统安全风险的因素，结合已有文献和现场的应用情况，有针对性地提出了系统安全风险防范措施，在实际应用中有一定的借鉴和实用价值。

[1]IEEE STD 1474.1—2004,IEEE Standard for Communica⁃tions-Based Train Control(CBTC)Performance and Func⁃tional Requirements[S].

[2]IEEE STD 1474—2003,IEEE Standard for User Interface Requirements in Communications-Based Train Control(CBTC)Systems[S].

[3]IREM UCAL SARI,HULYA BEHRET.Risk governance of urban rail systems using fuzzy AHP:The case of ISTAN⁃BUL[J].International Journal of Uncertainty,Fuzziness and Knowledge-Based Systems,2012,20(Suppl):67-79.

[4]赵晓峰.无线CBTC信号系统时间同步机制分析[J].铁路通信信号工程技术（RSCE），2012，9（2）：36-39.

[5]朱光文.地铁信号系统中车-地无线通信传输的抗干扰研究[J].铁道标准设计，2012（8）：112-116.

[6]何廷润.面临电磁环境恶化的地铁CBTC系统安全性分析[J].移动通信，2012（23）：70-71.

[7]许树柏.层次分析法原理[M].天津：天津大学出版社，1988.

[8]张苑，刘朝英，李启翮，等.无线闭塞中心系统安全风险分析及对策[J].中国铁道科学，2010（7）：112-117.

[9]李晓刚.车地通信延时对CBTC系统列车运行控制的影响分析[J].铁路通信信号工程技术（RSCE），2011，8（6）：44-46.