陈黎洁，黄银霞，高 莺，刘宏杰，孙 超

(1.中国铁道科学研究院 标准计量研究所，北京 100081；2.中国铁道科学研究院 研究生部，北京 100081；3.北京交通大学 列车运行控制系统国家工程研究中心，北京 100044)

由于无线通信具有传输速率高、双向传输、频段开放、标准成熟等优点，因此基于无线通信的列车控制系统(以下简称无线列控系统)已经成为了现代列控系统的发展方向。然而，由于无线通信系统本身又是一个开放透明的系统，因此存在重复、删除、插入、乱序、恶化、延时以及伪装等安全隐患，影响无线列控系统的安全。故此为保证数据传输的安全性，需要在无线通信系统之上增加1个安全通信协议[1]。安全通信协议运行于无线列控系统车载和轨旁终端设备的应用层与无线通信系统之间，通过安全传输的消息实现安全通信[2]。

很长一段时间，国内外的学者均是通过形式化验证的方法分析安全通信协议的性能。例如，Ansaldo Segnalamento Ferroviario利用UML状态图对欧洲列车运行控制系统(European Train Control System，ETCS)的安全通信协议进行定性的安全分析，验证了该协议是安全的[3]。Jae-Ho Lee等通过形式化验证对韩国铁路信号系统安全通信协议的安全性和活性进行了证明[4]；然后又通过形式化验证对韩国铁路信号系统安全通信协议的死锁、活锁、可达等特性是否满足规范进行检查[5-6]。

由上述用形式化验证方法得到的验证结果通常以“能”或“不能”、“是”或“不是”这样的布尔型开关量表示，即给出的结果往往是定性而不是定量的，并且验证的是安全通信协议的功能。然而，无线列控系统的安全通信协议是运行在无线通信环境中的，会由于无线通信系统的随机特性而导致安全通信协议中的某些变量也具有随机特征，这就要求对安全通信协议除了进行功能方面的验证还需要进行性能方面的验证。在传统的对安全通信协议的性能评价中，以安全性为例，评价人员通过现场试验检查试验结果与相关的标准或技术规范是否一致，如果一致就得出“安全”的结论，不一致就得出“不安全”的结论，但这样的评价结果也同样是定性的，而且由于不同的评价人对安全通信协议的评价标准或技术规范有不同的理解，并且现场试验也不可能模拟出所有的运营场景。在这样的背景下，本文采用仿真的方法尽可能多地模拟出安全通信协议可能的运营场景，以得到有关安全通信协议性能的仿真结果，并据此研究制定安全通信协议的性能评价规则，使得对安全通信协议性能的评价更全面。

决策论[7-10]是在概率论的基础上发展起来的，是概率论、统计判定理论和对策理论结合的产物，能够以概率的形式表示系统的随机性，而且决策论中的概念格方法已被广泛用于研究系统性能评价规则的建立[11-12]。因此，本文基于利用有色Petri网模型对列车运行控制系统安全通信协议进行的仿真结果[13-15]，进一步采用概念格方法对安全通信协议性能方面的数据(包括建立安全链接需要的时间和传输信息需要的时间)进行分析，制定安全通信协议性能的评价规则，用于判断协议是否安全；结合北京亦庄线地铁安全通信协议开发人员提供的经验数据，采用D—S(Dempster—Shafer)理论[16]对安全通信协议性能评价结果的不确定性进行分析，验证所提出安全协议性能评价规则的可行性。列控系统安全通信协议性能评价规则制定的流程如图1所示。

图1 列控系统安全通信协议性能评价规则制定流程

1 有色Petri网模型的建立

由有关列控系统安全通信协议规范[2]可知，因为信息的发送、接收和分析均要根据当前链路的状态进行，所以通信链路的状态是安全通信协议的基础。根据安全通信协议规范定义安全通信协议的状态转移图，如图2所示，它体现了通信链路的逻辑、产生的事件和相应的动作[2]。

有色Petri网是典型的形式化分析工具，它用库所、变迁和弧的连接关系表示系统的静态结构，用变迁的触发和令牌的移动表示系统的动态行为。因此，在构建安全通信协议的有色Petri网模型时，遵循以下要求。

图2 安全通信协议的状态转移图

(1)模块化建模。

(2)由于建立安全链接需要的时间(以下简称为安全链接建立时间)和传输信息需要的时间(以下简称为信息传输时间)是反映安全通信协议性能的重要指标，所以建立计时器模型(见图3)以记录这些时间。

图3 计时器模型

(3)因为安全通信协议运行于无线通信系统之上，即无线通信系统为安全通信协议提供了运行环境，所以可将无线通信系统简化为包含正常和失效2种状态的信道。

根据图2，以建立车载安全通信协议安全链接建立阶段的逻辑模型(见图4)为例，简单介绍有色Petri网模型的建立。图2中，初始情况下安全通信协议的状态为IDLE，即Petri网模型的库所ConStatus中有1个令牌IDLE，表示为1′IDLE，当安全通信协议收到列车发送的消息(Sa-CONN.request+AUl SaPDU)时，状态转换至WFTC，同时发送消息(T-CONN.request+AUl SaPDU)至信道，因此对应图2，图3中当库所AppToTrain接收到变迁TminApp发送的令牌(SaCONNReq，AUl)时，变迁IDLE激发使安全通信协议的状态转换和消息发送这2个动作并发执行。其余的状态转换以及消息发送接收的并发关系可以依次类推。

图4 车载安全通信协议安全链接建立阶段的逻辑模型

2 安全通信协议性能评价规则的制定

在文献[13—15]中，为消除单次试验中的偏差，采用给出的Petri网模型共进行了20组仿真试验，每组仿真试验均进行了10 000次独立的仿真计算。图5和图6分别为某组仿真试验中得到的安全链接建立时间和信息传输时间的历程图。

图5 安全链接建立时间

为了制定安全通信协议的性能评价规则，并分析评价人员使用评价规则后所得出评价结果的不确定性，从文献[13—15]仿真得到的安全链接建立时间数据和信息传输时间数据中选取其中的10组数据，用概念格方法对其进行分析。

图6 信息传输时间

在概念格方法中定义(U,A,I)为1个形式背景，其中U={xi|i=1,2,…,n}为对象集，A={aj|j=1,2,…,m}为属性集，I为U和A之间的二元关系，I⊆U×A；若(xi,aj)∈I，则表示xi具有属性aj，记为xiIaj。本文用1表示(xi,aj)∈I，用0表示(xi,aj)∉I，则这样的形式背景可以用0和1形式的表格表示。

在CTCS-3级列控系统总体技术方案[17]中规定：如果安全链接建立时间大于10 s，则认为建立安全链接失败，并且建立安全链接的失败概率不能大于10-2；信息传输时间可接受范围为15～20 s，如果信息传输时间小于15 s，则认为传输的信息具有时效性。按此规定对安全通信协议的安全性进行分析，会出现2种不确定的情况。①某次试验虽然成功建立了安全链接(即安全链接建立时间未超过10 s)，但是含该次试验在内的1组试验中其建立安全链的失败概率大于10-2，则无从判断安全通信协议是否安全，即安全通信协议的安全性未知；②信息传输时间处于15～20 s之间时，传输的信息是否具有时效性也是未知的(定义当信息传输时间大于20 s时传输的信息不具有时效性)。

根据上述概念格法对形式背景方式的定义，针对文献[17]分析安全通信协议时存在的安全不确定性问题，首先结合选取的10组仿真数据，计算成功建立安全链接的概率和信息传输具有时效性的概率，然后将安全通信协议的安全性视为对象，将“安全”、“未知”、“不安全”定义为安全通信协议安全性的属性，根据成功建立安全链接的概率和信息传输具有时效性的概率，并参考北京地铁亦庄线安全通信协议开发人员的开发经验，对各属性发生的概率进行赋值，从而得到这10组数据的形式背景，见表1。以表1中第1行为例，如果在第1组试验中成功建立安全链接的概率是0.997 6，信息具有时效性的概率是0.984 2，则评价人员可以认为安全通信协议是安全的概率为0.9，还有0.1的概率不确定其是否安全。

表1 形式背景

表2 形式背景简化

通过表2，得出对角矩阵Λ和形式背景矩阵B分别为

(1)

(2)

由式H=BΛB′得出

(3)

定义：设(U,A,I)为形式背景，如果1个二元组(X,C)满足X′=C，且X=C′，则(X,C)是一个形式概念，简称概念。X是概念的外延，C是概念的内涵。

形式背景(U,A,I)的概念可以用超概念与子概念的关系来定义它们之间的序关系，即

(X1,C1)≤(X2,C2)⟺X1⊆X2(⟺C1⊇C2)

则(U,A,I)的所有概念的偏序集可记为L(U,A,I)，称为概念格。

根据上述定义，在矩阵H的基础上可以得出表2表示的形式背景的概念，如(12，ace)，(34，acf)，(78，bdf)等。基于1个形式背景，可以用图形化的方式表示各概念之间的连接关系。对于2个概念节点，可以用概念关系弧表示概念节点之间的关系，由概念节点和概念关系弧表示的图称为哈希图。用哈希图表示完整的概念格的步骤如下。

(1)初始化概念格，使其包含形式背景中所有的对象，从而建立基本概念为(U，φ)的根节点。

(2)相对于根节点，通过减少对象数即增加属性数加入新的节点。这样，根节点就为新节点的父节点，新节点为根节点的子节点；然后，将所获得的新节点与其父节点相连，建立连接弧。

(3)与上步相同，再次通过减少对象数建立新的节点，并将其与它的上一层父节点相连，建立连接弧。

(4)检查该概念格是否包括了形式背景中所有的属性；若否，转步骤(3)；若是，建立最下层的基本概念(φ，A)，哈希图表示的概念格建立完成。

根据矩阵H中的概念，用哈希图得出的1个完整的概念格，如图7所示，每个概念在图中都对应着1个节点，并且每个节点都有相应的编号。

图7 用哈希图表示的概念格

概念格中既包含条件属性又包含评价属性的节点。在用哈希图表示概念格时，其父节点只包括条件属性的那些节点被称之为关键概念节点。表2中，a，b，c和d是条件属性；e，f和g是评价属性，那么图7中的关键概念节点为(5)，(6)，(7)，(8)，(9)。

根据以上分析，性能评价规则的具体提取过程如下：若给定某个关键概念节点(Xf1，Yf1)和它的父节点(Xf2，Yf2)，则性能评价规则为Yf2⟹Yf1-Yf2。

以图7的节点(5)为例，其父节点为(2)，那么它的性能评价规则为ac⟹ace-ac，即ac⟹e；节点(6)，(7)，(8)，(9)对应的性能评价规则提取过程与此类似。由图7中节点之间的关系可以提取出如表3所示的性能评价规则。

比照现实情况可知，提取的上述性能评价规则是合理的。根据规则的解释可以看出，虽然规则1和规则2具有相同的条件，但是评价结果不同；另外，规则2、规则3和规则4虽然具有不同的条件，但是评价结果相同。这是因为参与评价的人员有着不同的关注点。

表3 性能评价规则

3 性能评价结果的不确定性分析

从表3可以看出，评价人员有时不能完全确定性能评价规则中输入与输出之间的关系，即评价规则中有些条件与结果之间具有不确定性。这是由于数据的复杂性和不确定性以及受到人为主观偏好的影响，使得提取出的评价规则可能会表现出同一条件属性对应多种不同评价结果的情况。对此需要应用D—S理论分析评价人员使用评价规则所得出评价结果的不确定性。

假设“安全”包括“可用”和“可靠”，“未知”包括“可靠”和“不安全”，那么，可以通过D—S理论分析评价规则确定的概率。

由于表3中规则1、规则3和规则5涵盖了所有的输入条件和输出结果，因此结合北京地铁亦庄线列控系统安全通信协议开发人员的经验，将这3条规则的先验概率设置如下[8]。

(1)P1(协议是安全的|成功建立安全链接和信息具有时效性)=0.84：表示如果成功建立安全链接且信息具有时效性，则评价人员认为协议是安全的概率为0.84。

(2)P3(协议属性未知|成功建立安全链接和信息不具有时效性)=0.73：表示如果成功建立安全链接但信息不具有时效性，则评价人员认为协议属性未知的概率为0.73。

(3)P5(协议是不安全的|未成功建立安全链接和信息不具有时效性)=0.65：表示如果未成功建立安全链接且信息不具有时效性，则评价人员认为协议是不安全的概率为0.65。

表4 规则1与规则3的联合概率

表5 规则1和规则3与规则5的联合概率

表5中，P1,3,5{φ1}为P5{不安全}与P1,3{可靠}的不一致度，P1,3,5{φ2}为P5{不安全}与P1,3{可用，可靠}的不一致度。

针对表5中所列规则1和规则3与规则5的联合概率中包含的聚合元素集合，根据D—S理论可知它们的信任概率Bel和似然概率Pls分别为

(4)

其中，

k=P1,3,5{φ1}+P1,3,5{φ2}

由式(4)得到规则1和规则3与规则5联合概率中各聚合元素的的信任概率Bel和似然概率Pls，见表6。

表6规则1和规则3与规则5联合概率中各聚合元素集合的信任概率和似然概率

聚合元素集合信任概率似然概率不确信概率范围{不安全}0.272 00.352 4[0.272 0,0.352 4]{可靠}0.472 70.728 0[0.472 7,0.728 0]{可靠,不安全}0.857 91.000 0[0.857 9,1.000 0]{可用,可靠}0.647 60.728 0[0.647 6,0.728 0]

由表6可以得出以下结论。

(1)“不安全”的信任概率最低。导致“不安全”的条件是“安全链接未成功建立”和“信息不具有时效性”，而丢包率是影响这2个条件是否能达成的主要因素[17]；由于丢包率很低，因此“不安全”的信任概率也很低。

(2)“安全”的信任概率比“不安全”的大。这是因为“安全”的条件是“安全链接成功建立”和“信息具有时效性”，而根据作者的以往研究得知，这2个条件都有较大的概率，所以“安全”的信任概率也随之较大。

(3)“可靠，不安全”(即“未知”)的信任概率最大，也就是协议最可能的属性是“未知”。这是因为“未知”发生的条件之一是“信息是否具有时效性”，而根据规范[17]可知：信息的传输时间如果不超过15 s，则判定传输的信息具有时效性，如果信息的传输时间为15～20 s，则认为传输的信息也是可以接受的；所以仅根据信息的传输时间这1个条件难以判断列控系统安全通信协议是否安全，还必须考虑“成功建立安全链接”这个条件是否满足。

4 结束语

针对传统方法在评价列控系统安全通信协议性能时存在只能定性不能定量和对评价人员掌握评价尺度有差异考虑不足的问题，本文采用从列控系统安全通信协议性能仿真得到的数据，通过决策论中的概念格理论研究制定安全通信协议的性能评价规则。为了验证所提出的性能评价规则的可行性，采用D—S理论并参考北京地铁亦庄线列控系统安全通信协议开发人员的经验，分析评价人员使用本文安全通信协议性能评价规则所得出评价结果的不确定性，结果表明，使用本文制定的安全通信协议性能评价规则克服了传统方法的不足，而且以概率的形式定量表示安全通信协议的性能，可使评价结果更全面也更具有说服力。