基于STPA的CTCS-1級列控系統(tǒng)區(qū)域列控?cái)?shù)據(jù)中心安全分析方法的研究.pdf

1、中國列車運(yùn)行控制系統(tǒng)1級(Chinese Train Control System level1，簡稱CTCS-1)適用于200km/h以下新建及改造線路，采用目標(biāo)-距離連續(xù)速度控制模式監(jiān)控列車安全運(yùn)行，目前正處于研發(fā)階段。因此，對該系統(tǒng)進(jìn)行安全分析與評估，來識別特定的應(yīng)用場景存在的安全隱患，有著非常重要的意義。區(qū)域列控?cái)?shù)據(jù)中心(Regional Data Center，簡稱RDC)作為CTCS-1級列控系統(tǒng)的核心地面設(shè)備，是一個實(shí)時多

2、任務(wù)系統(tǒng)，它處理來自調(diào)度集中、臨時限速服務(wù)器和車站聯(lián)鎖發(fā)送的數(shù)據(jù)，結(jié)合列車的位置報(bào)告，通過GSM-R網(wǎng)絡(luò)向車載設(shè)備發(fā)送線路數(shù)據(jù)和臨時限速信息。
　　本文研究了基于STPA(System-Theory Process Analysis，系統(tǒng)理論的過程分析)與模型驗(yàn)證相結(jié)合的RDC安全性分析方法。與傳統(tǒng)的風(fēng)險(xiǎn)識別方法相比，STPA能夠系統(tǒng)化、模塊化地準(zhǔn)確識別風(fēng)險(xiǎn)。論文完成的主要工作如下:
　　(1)首先，以RDC的行車數(shù)據(jù)生成和

3、臨時限速發(fā)送場景為例，完成了基于STPA的RDC安全分析流程。對事故和危險(xiǎn)進(jìn)行識別，使用SysML中的內(nèi)部模塊圖描述CTCS-1級列控系統(tǒng)的分層控制結(jié)構(gòu)模型，詳細(xì)刻畫RDC的過程模型，分析控制行為缺陷并逐項(xiàng)分析系統(tǒng)中的不安全控制行為，最終得到相關(guān)的安全約束和需求(Safety Design Requirement，簡稱SDR)，為之后的UPPAAL模型驗(yàn)證語句提供來源。
　　(2)然后，使用SysML對RDC的主要運(yùn)營場景進(jìn)行建模

4、，并將模型轉(zhuǎn)換為時間自動機(jī)模型。使用SysML順序圖對RDC信息控制中主要流程進(jìn)行建模，包括設(shè)備啟動、列車注冊、正常行車、列車注銷四個流程，使用SysML順序圖、活動圖和狀態(tài)機(jī)圖對臨時限速場景進(jìn)行單獨(dú)建模;采用ATL(Atlas Transformation Language)模型轉(zhuǎn)換方法，通過建立SysML元模型和UPPAAL元模型，以及建立明確的SysML順序圖、活動圖和狀態(tài)機(jī)圖到時間自動機(jī)的轉(zhuǎn)換規(guī)則，將SysML順序圖、活動圖和狀

5、態(tài)機(jī)圖轉(zhuǎn)換為時間自動機(jī)模型。
　　(3)最后，完成基于STPA的安全分析和基于UPPAAL的驗(yàn)證的結(jié)合，以驗(yàn)證RDC是否滿足SDR和相應(yīng)的功能要求。將STPA分析得到的SDR映射為BNF(Backus Normal Form，巴科斯范式)驗(yàn)證語句，并將其劃分為邏輯功能、時序功能和安全性三類語句;將SysML模型轉(zhuǎn)換得到的時間自動機(jī)模型進(jìn)行整合，得到時間自動機(jī)模型網(wǎng)絡(luò)，通過UPPAAL模擬仿真及安全性需求驗(yàn)證，驗(yàn)證了基于STPA的安