基于統(tǒng)一建模語(yǔ)言的CTCS-3級(jí)列控系統(tǒng)風(fēng)險(xiǎn)評(píng)估的研究

趙天時(shí) 孫 超 黃銀霞

趙天時(shí):中國(guó)鐵道科學(xué)研究院標(biāo)準(zhǔn)計(jì)量研究所 碩士 100081 北京

孫 超:中國(guó)鐵道科學(xué)研究院標(biāo)準(zhǔn)計(jì)量研究所 助理研究員 100081 北京

黃銀霞:中國(guó)鐵道科學(xué)研究院 標(biāo)準(zhǔn)計(jì)量研究所 研究員 100081 北京

CTCS-3級(jí)列控系統(tǒng)(以下簡(jiǎn)稱C3系統(tǒng))評(píng)估技術(shù)研究是一項(xiàng)復(fù)雜的系統(tǒng)工程，需借鑒歐洲ETCS安全評(píng)估技術(shù)，并結(jié)合中國(guó)鐵路實(shí)際，分析C3系統(tǒng)關(guān)鍵的系統(tǒng)功能，識(shí)別和評(píng)估危險(xiǎn)，建立C3系統(tǒng)的安全目標(biāo)，提出減緩措施，才能最終完成C3系統(tǒng)評(píng)估技術(shù)及系統(tǒng)認(rèn)證技術(shù)的研究。其中對(duì)系統(tǒng)的分析、識(shí)別和評(píng)估危險(xiǎn)，以及開展安全性分析，就稱為風(fēng)險(xiǎn)評(píng)估技術(shù)。本文概述C3列控系統(tǒng)評(píng)估中的風(fēng)險(xiǎn)評(píng)估技術(shù)。

1 統(tǒng)一建模語(yǔ)言(UML)在研究中的應(yīng)用

統(tǒng)一建模語(yǔ)言(UML)是一種直觀化、明確化，構(gòu)建和文檔化軟件系統(tǒng)產(chǎn)物的通用可視化建模語(yǔ)言。利用UML建立系統(tǒng)模塊對(duì)系統(tǒng)行為進(jìn)行描述，可以減少定義、設(shè)計(jì)階段的錯(cuò)誤，從而實(shí)現(xiàn)準(zhǔn)確表達(dá)，避免自然語(yǔ)言帶來(lái)的二義性。C3系統(tǒng)是高度復(fù)雜的安全苛求系統(tǒng)，單純使用自然語(yǔ)言很難對(duì)系統(tǒng)行為進(jìn)行清晰準(zhǔn)確的描述，所以在風(fēng)險(xiǎn)評(píng)估的系統(tǒng)定義階段，需要對(duì)系統(tǒng)需求規(guī)范進(jìn)行結(jié)構(gòu)化分析，通過(guò)需求規(guī)范管理，將需求由自然語(yǔ)言轉(zhuǎn)化為UML模型，為后續(xù)風(fēng)險(xiǎn)評(píng)估奠定基礎(chǔ)。

2 C3系統(tǒng)的風(fēng)險(xiǎn)評(píng)估

C3系統(tǒng)評(píng)估是從系統(tǒng)角度，在系統(tǒng)的生命周期內(nèi)開展的自下而上和自上而下的評(píng)估技術(shù)。系統(tǒng)評(píng)估涵蓋了系統(tǒng)質(zhì)量管理、安全管理和技術(shù)安全3方面內(nèi)容。下面主要介紹安全管理的重要技術(shù)——風(fēng)險(xiǎn)評(píng)估技術(shù)。

C3系統(tǒng)風(fēng)險(xiǎn)評(píng)估通過(guò)對(duì)系統(tǒng)定義，危險(xiǎn)識(shí)別及分級(jí)，應(yīng)用合適的風(fēng)險(xiǎn)接受準(zhǔn)則判斷風(fēng)險(xiǎn)的可接受性，對(duì)不可接受風(fēng)險(xiǎn)進(jìn)行定量評(píng)價(jià)，從而將所有危險(xiǎn)都納入到危險(xiǎn)管理系統(tǒng)。在評(píng)估過(guò)程中，首先使用UML對(duì)系統(tǒng)進(jìn)行建模，然后使用結(jié)構(gòu)化的頭腦風(fēng)暴、危險(xiǎn)及可操作性研究、故障樹分析、事件樹分析和原因結(jié)果分析等安全/風(fēng)險(xiǎn)分析工具，對(duì)潛在危險(xiǎn)進(jìn)行識(shí)別和分析。

C3系統(tǒng)評(píng)估安全管理流程圖如圖1所示，虛框中部分為風(fēng)險(xiǎn)評(píng)估的完整過(guò)程，風(fēng)險(xiǎn)評(píng)估主要內(nèi)容如下。

圖1 系統(tǒng)評(píng)估中安全管理流程圖

2.1 系統(tǒng)定義

系統(tǒng)定義階段主要通過(guò)分析系統(tǒng)功能，對(duì)系統(tǒng)及其狀態(tài)進(jìn)行定義，需要考慮系統(tǒng)目標(biāo)、系統(tǒng)功能和要素、系統(tǒng)邊界和范圍、物理和功能接口、系統(tǒng)環(huán)境等因素。

根據(jù)《CTCS-3級(jí)列控系統(tǒng)總體技術(shù)方案》、《CTCS-3列控系統(tǒng)需求規(guī)范》、《CTCS-3列控系統(tǒng)功能需求規(guī)范》以及其他相關(guān)資料，考慮系統(tǒng)正常運(yùn)營(yíng)、降級(jí)和緊急模式，識(shí)別出C3系統(tǒng)的14個(gè)狀態(tài):關(guān)閉(SHD)、開啟(STU)、待機(jī)(SBY)、調(diào)車(SHU)、準(zhǔn)備下一任務(wù)(PNM)、開始任務(wù)(BRM)、任務(wù)暫停(SSP)、正常運(yùn)行(NOP)、降級(jí)(DEO)、中斷(ABT)、失效(FLD)、緊急(EMG)、恢復(fù)(REC)、結(jié)束任務(wù)(ENM)。

通過(guò)研究這14個(gè)運(yùn)行狀態(tài)及狀態(tài)間轉(zhuǎn)換的相應(yīng)流程，建立覆蓋所有需求的UML模型，并通過(guò)選擇狀態(tài)圖和順序圖作為UML模型用圖，使列車運(yùn)行過(guò)程中的核心內(nèi)容以UML圖的形式予以表達(dá)，實(shí)現(xiàn)由非形式化分析向半形式化分析轉(zhuǎn)換，為C3危險(xiǎn)分析打下基礎(chǔ)。

圖2為系統(tǒng)狀態(tài)圖，描述了C3系統(tǒng)基于事件反應(yīng)的動(dòng)態(tài)行為，顯示了C3系統(tǒng)如何根據(jù)當(dāng)前所處的狀態(tài)，對(duì)不同時(shí)間做出反應(yīng)，表達(dá)了C3系統(tǒng)運(yùn)行過(guò)程中14個(gè)狀態(tài)間的相互轉(zhuǎn)化。

在完成系統(tǒng)狀態(tài)圖后，開發(fā)每個(gè)狀態(tài)相應(yīng)的順序圖，用來(lái)反映若干個(gè)對(duì)象之間的動(dòng)態(tài)協(xié)作關(guān)系。順序圖重點(diǎn)是顯示對(duì)象之間已發(fā)送消息的先后次序，說(shuō)明對(duì)象之間的交互過(guò)程，以及系統(tǒng)執(zhí)行過(guò)程中在某一具體位置將會(huì)有什么事件發(fā)生。每個(gè)順序圖描述該狀態(tài)下各個(gè)對(duì)象在整個(gè)場(chǎng)景過(guò)程中的狀態(tài)遷移信息及遷移條件信息。

完成UML建模后，從車輛的視角為上述14個(gè)狀態(tài)編制狀態(tài)規(guī)范，描述每個(gè)狀態(tài)細(xì)節(jié)的流程規(guī)范，澄清每個(gè)狀態(tài)的角色、范圍和進(jìn)入/退出的必要條件。圖3給出關(guān)閉狀態(tài)規(guī)范示例，記錄了CTCS-3系統(tǒng)在關(guān)閉狀態(tài)下的狀態(tài)規(guī)范，并對(duì)關(guān)閉狀態(tài)進(jìn)行定義，之后描述了其進(jìn)入/觸發(fā)條件、進(jìn)入路徑、進(jìn)行何種操作，以及退出條件和退出路徑等。在狀態(tài)規(guī)范中可以通過(guò)源索引追溯至之前所開發(fā)的順序圖。狀態(tài)規(guī)范的編制為后續(xù)安全分析工作提供了分析依據(jù)和素材，為后續(xù)分析打下基礎(chǔ)。

圖2 系統(tǒng)狀態(tài)圖

圖3 關(guān)閉(SHD)狀態(tài)規(guī)范

2.2 危險(xiǎn)識(shí)別和分級(jí)

危險(xiǎn)識(shí)別是為進(jìn)一步分析工作而辨識(shí)出所有潛在的可能危險(xiǎn)。從系統(tǒng)化、結(jié)構(gòu)化角度對(duì)危險(xiǎn)進(jìn)行識(shí)別，主要考慮系統(tǒng)邊界及其與環(huán)境的交互，系統(tǒng)運(yùn)營(yíng)模式(如正常、降級(jí)、緊急)，包括維護(hù)在內(nèi)的系統(tǒng)生命周期，運(yùn)營(yíng)環(huán)境(如隧道、橋梁等)，人為因素，環(huán)境條件和相關(guān)可預(yù)測(cè)的系統(tǒng)失效模式等方面因素。

通過(guò)系統(tǒng)狀態(tài)規(guī)范，識(shí)別出系統(tǒng)全部安全功能后，運(yùn)用HAZOPS等工具分析系統(tǒng)潛在危險(xiǎn)，并運(yùn)用原因結(jié)果分析工具，確定每個(gè)危險(xiǎn)的原因及結(jié)果。識(shí)別危險(xiǎn)后，定性確定每個(gè)危險(xiǎn)的風(fēng)險(xiǎn)，再大體上對(duì)危險(xiǎn)進(jìn)行分級(jí)，一般分為可接受危險(xiǎn)和不可接受危險(xiǎn)，對(duì)于其中不可接受危險(xiǎn)，再進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析與評(píng)價(jià)。

2.3 詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)

詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)目的是確定從已識(shí)別的危險(xiǎn)中提出必須被控制的危險(xiǎn)風(fēng)險(xiǎn)及其安全措施。在選擇并確定了適合的風(fēng)險(xiǎn)接受準(zhǔn)則后，即開始詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)。首先需要識(shí)別該風(fēng)險(xiǎn)的初始場(chǎng)景，確定已有安全措施，然后根據(jù)安全準(zhǔn)則進(jìn)行判斷。該判斷可以使用定性或定量的方式，根據(jù)安全準(zhǔn)則決定判斷方式。在進(jìn)行量化判斷時(shí)，需要確定殘余風(fēng)險(xiǎn)Rr，當(dāng)前風(fēng)險(xiǎn)Rc和初始風(fēng)險(xiǎn)Ri。其中Rr=Rc－ΣRno(Rno為新措施降低風(fēng)險(xiǎn))，Rc=Ri－ΣRco(Rco為當(dāng)前措施降低風(fēng)險(xiǎn))，Ri=Pi×Si(Pi為初始危險(xiǎn)發(fā)生頻率，Si為初始危險(xiǎn)嚴(yán)重程度)。其具體過(guò)程見(jiàn)圖1中詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)框內(nèi)流程所示。

2.4 風(fēng)險(xiǎn)接受評(píng)價(jià)

詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)中得出的殘余風(fēng)險(xiǎn)Rr與之前確定的風(fēng)險(xiǎn)接受準(zhǔn)則相比較，判斷該危險(xiǎn)目前是否可接受，如果可以接受，則該危險(xiǎn)及其相應(yīng)的安全措施納入安全需求;如果不能接受，則返回詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)階段，考慮新的安全措施，并評(píng)價(jià)引入新的安全措施后該危險(xiǎn)的新殘余風(fēng)險(xiǎn)Rr，再次進(jìn)行風(fēng)險(xiǎn)接受評(píng)價(jià)。其過(guò)程見(jiàn)圖1風(fēng)險(xiǎn)接受評(píng)價(jià)框內(nèi)所示。

2.5 危險(xiǎn)日志管理

風(fēng)險(xiǎn)評(píng)估過(guò)程中需要建立并保持危險(xiǎn)日志。危險(xiǎn)日志需要關(guān)注系統(tǒng)的安全問(wèn)題。為了清晰一致，危險(xiǎn)日志需要在所定義的系統(tǒng)中考慮包含安全措施在內(nèi)的危險(xiǎn)識(shí)別和假設(shè)等內(nèi)容。

危險(xiǎn)日志管理主要內(nèi)容有3方面:①對(duì)危險(xiǎn)的詳細(xì)信息進(jìn)行記錄，如危險(xiǎn)編號(hào)、所屬系統(tǒng)、危險(xiǎn)描述、初始條件、危險(xiǎn)原因和危險(xiǎn)后果等;②安全風(fēng)險(xiǎn)定性確定;③風(fēng)險(xiǎn)估計(jì)、計(jì)算以及減緩措施確定。當(dāng)發(fā)生影響系統(tǒng)的重大變更、發(fā)現(xiàn)新危險(xiǎn)、事件數(shù)據(jù)中有新事故出現(xiàn)或系統(tǒng)假設(shè)發(fā)生變化時(shí)，危險(xiǎn)日志都需要更新。

3 結(jié)論

風(fēng)險(xiǎn)評(píng)估是C3系統(tǒng)評(píng)估中的重要技術(shù)。在基于UML語(yǔ)言的無(wú)二義性和易于描述等特性的基礎(chǔ)上，借鑒歐洲ETCS安全評(píng)估技術(shù)和評(píng)估工具，提出從C3系統(tǒng)規(guī)范到UML模型，使用UML順序圖和狀態(tài)圖對(duì)C3系統(tǒng)進(jìn)行安全分析，建立系統(tǒng)安全目標(biāo)，為最終完成C3系統(tǒng)評(píng)估技術(shù)及系統(tǒng)認(rèn)證技術(shù)的研究奠定了基礎(chǔ)，對(duì)我國(guó)C3系統(tǒng)評(píng)估的深化研究具有積極作用。

［1］中華人民共和國(guó)鐵道部．科技運(yùn)［2008］34號(hào).CTCS-3級(jí)列控系統(tǒng)總體技術(shù)方案［S］．2008．

［2］中華人民共和國(guó)鐵道部．科技運(yùn)［2008］127號(hào).CTCS-3級(jí)列控系統(tǒng)需求規(guī)范(SRS)(V1.0)［S］．2008．

［3］中華人民共和國(guó)鐵道部．科技運(yùn)［2008］113號(hào).CTCS-3列控功能需求規(guī)范［S］．2008．

［4］中華人民共和國(guó)鐵道部．運(yùn)基信號(hào)［2008］670號(hào).CTCS-3級(jí)列控車載設(shè)備人機(jī)界面(DMI)顯示規(guī)范［S］．2008．

［5］中華人民共和國(guó)鐵道部．300－350km/h鐵路客運(yùn)專線技術(shù)管理辦法(試行)［S］．北京，2009．

［6］Formal Systems(Europe)Ltd，"Failures－ Divergence Refinement FDR2 User Manual"．(2005)Copyright 1992－2005 Formal Systems(Europe)Ltd．

［7］姚淑珍，金茂忠．UML狀態(tài)圖的形式化建模及其分析［J］．北京航空航天大學(xué)學(xué)報(bào)．2007，33(4):472－476.