基于STPA和有色Petri網(wǎng)的列控系統(tǒng)安全分析.pdf

1、CTCS-3(Chinese Train Control System Level Three，CTCS-3)級列車運行控制系統(tǒng)綜合應用了計算機、通信、自動控制、供電等技術(shù)手段，系統(tǒng)結(jié)構(gòu)和功能復雜，各種隨機故障和組件故障的發(fā)生可能導致極其嚴重的后果，甚至車毀人亡。由于我國高鐵列控系統(tǒng)的大多數(shù)規(guī)范都是在參照ETCS(European Train Control System，ETCS)技術(shù)標準的基礎上，結(jié)合我國鐵路特點研究制定CTCS-3

2、級列控系統(tǒng)技術(shù)規(guī)范，且部分技術(shù)規(guī)范還在不斷的修訂和完善之中，CTCS-3級列控系統(tǒng)投入運營的時間尚短，未經(jīng)過現(xiàn)場長期運營的檢驗，系統(tǒng)中依舊存在潛在的危險未被人們所掌握。所以基于專家經(jīng)驗和技術(shù)規(guī)范的傳統(tǒng)安全保障技術(shù)對列控系統(tǒng)進行安全分析時已逐漸顯現(xiàn)其不足，因此采用形式化方法對列控系統(tǒng)進行安全風險分析顯得十分必要。
　　本文以我國CTCS-3級列車運行控制系統(tǒng)為研究對象，為了分析列控系統(tǒng)中潛在的可能引發(fā)系統(tǒng)事故的危險，提出了基于STP

3、A和有色Petri網(wǎng)的形式化安全分析方法，其主要特點是能夠?qū)崿F(xiàn)列控系統(tǒng)功能需求、系統(tǒng)理論事故模型與過程(System-Theoretic Accident Modeling and Process，STAMP)和有色Petri網(wǎng)(Colored Petri Nets，CPN)模型之間的轉(zhuǎn)換，并保證三者之間描述的合理性和一致性。在該方法的基礎之上，利用模型檢驗技術(shù)驗證模型，并辨識危險狀態(tài)的可達路徑，最終給出系統(tǒng)的不安全控制和控制缺陷。本文

4、主要研究內(nèi)容如下:
　　首先，本文介紹了列控系統(tǒng)安全分析的目的及意義，概括了安全風險理論的概念、核心思想和當前流行的安全分析方法，總結(jié)了安全風險辨識的國內(nèi)外研究現(xiàn)狀，然后對系統(tǒng)理論事故模型、有色Petri網(wǎng)模型和模型檢驗技術(shù)作了簡要闡述。
　　其次，提出了基于STPA和有色Petri網(wǎng)的安全分析方法，該方法選擇CPN作為STAMP分層控制結(jié)構(gòu)的形式化規(guī)范，彌補了STAMP模型以自然語言描述系統(tǒng)分層控制結(jié)構(gòu)和控制算法的不足，不

5、僅避免了自然語言的二義性，降低了系統(tǒng)的建模難度，還能描述動態(tài)行為和狀態(tài)變化。在此基礎之上，通過解析CPN的中間產(chǎn)物XML(Extensible Markup Language)文檔來實現(xiàn)自動尋找危險狀態(tài)和危險可達路徑，并分析系統(tǒng)中不安全控制和控制缺陷，為系統(tǒng)的安全運行提供指導。
　　最后，將本文提出的安全分析方法用于對列控系統(tǒng)的安全分析，在一定程度上實現(xiàn)了自動辨識系統(tǒng)的危險狀態(tài)和危險可達路徑，并將上述分析過程用軟件界面實現(xiàn)，完成了