基于STPA的列控系統(tǒng)安全分析

【摘? 要】隨著近年來(lái)中國(guó)的高速鐵路和城市軌道交通的高速發(fā)展，信號(hào)系統(tǒng)也隨之更新?lián)Q代，CTCS-3列控系統(tǒng)和CBTC系統(tǒng)投入使用，列車(chē)控制系統(tǒng)的組織方式和操作流程也在發(fā)生變化。

STPA的危險(xiǎn)分析方法是基于STAMP事故致因理論的危險(xiǎn)分析方法，以系統(tǒng)的功能控制圖為模型，并以引導(dǎo)詞協(xié)助分析，它可以在設(shè)計(jì)完成之前提供指導(dǎo)設(shè)計(jì)所需要的信息。STPA從最早的概念設(shè)計(jì)階段開(kāi)始，把安全設(shè)計(jì)到系統(tǒng)中去，是構(gòu)建更加安全系統(tǒng)的經(jīng)濟(jì)、有效的方法。STPA方法的應(yīng)用，可以在系統(tǒng)設(shè)計(jì)的概念階段，識(shí)別出列車(chē)控制系統(tǒng)基本安全需求，為列車(chē)控制系統(tǒng)的設(shè)計(jì)提供方法指導(dǎo)。

【關(guān)鍵詞】STAMP;STPA方法;列車(chē)控制系統(tǒng);安全分析

引言

CTCS-3級(jí)列控系統(tǒng)是保障高速鐵路列車(chē)安全運(yùn)行的關(guān)鍵系統(tǒng)，應(yīng)采用有效的方法對(duì)其功能安全進(jìn)行分析，發(fā)現(xiàn)影響系統(tǒng)功能安全的關(guān)鍵因素，進(jìn)而采取適當(dāng)?shù)拇胧┨岣呦到y(tǒng)的安全性，從而保障列車(chē)的安全運(yùn)行。

Nancy Leveson將系統(tǒng)安全性的問(wèn)題轉(zhuǎn)化為系統(tǒng)控制的問(wèn)題，提出了系統(tǒng)理論的事故模型及過(guò)程，并以此為基礎(chǔ)提出了用于系統(tǒng)安全分析的方法——系統(tǒng)理論的過(guò)程分析。與前兩類(lèi)方法相比，STPA更關(guān)注系統(tǒng)本身的結(jié)構(gòu)并考慮組件間的非線性關(guān)系對(duì)系統(tǒng)安全的影響。

1.基于STPA的分析方法流程概述

安全需求辨識(shí)是基于STAMP理論，識(shí)別出系統(tǒng)的頂層危險(xiǎn)后，從列車(chē)運(yùn)行控制系統(tǒng)最初的設(shè)計(jì)開(kāi)始，通過(guò)STPA方法辨識(shí)系統(tǒng)的頂層危險(xiǎn)，提出安全需求，用安全需求指導(dǎo)下一步的系統(tǒng)設(shè)計(jì)，如此迭代進(jìn)行，遵循safety guide design的原則。通過(guò)此過(guò)程，明確了列車(chē)運(yùn)行控制系統(tǒng)各組成部分的安全責(zé)任，體現(xiàn)安全指導(dǎo)下的列車(chē)運(yùn)行控制系統(tǒng)開(kāi)發(fā)過(guò)程，以及安全是構(gòu)筑到系統(tǒng)設(shè)計(jì)中的理念。

2.STPA迭代分析過(guò)程

2.1系統(tǒng)級(jí)危險(xiǎn)識(shí)別

首先進(jìn)行系統(tǒng)級(jí)的相關(guān)危險(xiǎn)的識(shí)別。系統(tǒng)相關(guān)危險(xiǎn)就是系統(tǒng)的相關(guān)危險(xiǎn)狀態(tài)。列控系統(tǒng)的危險(xiǎn)來(lái)自于其被控對(duì)象—列車(chē)。本文選取列車(chē)與障礙物相撞這一列車(chē)相關(guān)的事故為例進(jìn)行分析。結(jié)合事故識(shí)別行車(chē)場(chǎng)景下的危險(xiǎn)，該事故對(duì)應(yīng)的危險(xiǎn)如下：

H1 列車(chē)與侵入軌道限界內(nèi)的障礙物相撞，如遺落的維修工具。

2.2 STPA分析迭代過(guò)程

（1）分層控制結(jié)構(gòu)圖

如果在列車(chē)運(yùn)行的前方有侵入軌道限界內(nèi)障礙物，那么列車(chē)車(chē)頭與其之間的距離應(yīng)不小于緊急制動(dòng)距離。

（2）辨識(shí)不安全控制行為及致因分析。對(duì)于不安全控制行為用表格的形式呈現(xiàn)其致因因素，致因場(chǎng)景并得到相應(yīng)的安全需求，在文中以UCA1這一個(gè)不安全控制行為的分析為例展示其表格化分析結(jié)果：

UCA1 不安全

控制行為 當(dāng)列車(chē)車(chē)頭與運(yùn)行前方侵入軌道限界內(nèi)的障礙物之間距離等于緊急制動(dòng)距離時(shí)，列車(chē)未進(jìn)行緊急制動(dòng)

C1 致因因素 控制輸入或外部信息錯(cuò)誤或缺失

S1 致因場(chǎng)景 運(yùn)營(yíng)場(chǎng)景 覆蓋所有場(chǎng)景

致因 控制器未獲知列車(chē)運(yùn)行前方有侵入軌道限界內(nèi)的障礙物

SaR1 需求 控制器須得到障礙物位置報(bào)告

分析所得到的安全需求，將其分配給分層控制結(jié)構(gòu)圖中控制器，傳感器，執(zhí)行器等各組成部分，得到安全需求，根據(jù)這些安全需求，可以進(jìn)行下一步的迭代設(shè)計(jì)。

（3）迭代設(shè)計(jì)過(guò)程。在上一節(jié)得到安全需求的基礎(chǔ)上，進(jìn)行下一步的迭代設(shè)計(jì)，將控制器細(xì)化為人工控制器與機(jī)器控制器，依然以列車(chē)與侵入軌道限界內(nèi)的障礙物相撞這一危險(xiǎn)再次進(jìn)行STPA分析過(guò)程，找到其安全需求，相應(yīng)地分配給人工控制器與機(jī)器控制器。

在有了分層控制結(jié)構(gòu)圖作為設(shè)計(jì)基礎(chǔ)后，仍按照上節(jié)中的STPA分析過(guò)程對(duì)于細(xì)化后的設(shè)計(jì)進(jìn)行分析，具體的過(guò)程在文中不再重復(fù)贅述。

在分配好各部分的安全需求后，依據(jù)相應(yīng)安全需求再次進(jìn)行迭代設(shè)計(jì)，將機(jī)器控制器細(xì)化為地面設(shè)備和車(chē)載設(shè)備，人工控制器也相應(yīng)的細(xì)化為調(diào)度員和值班員，得到迭代后的分層控制結(jié)構(gòu)圖：

在對(duì)細(xì)化后的設(shè)計(jì)進(jìn)行STPA分析得到其安全需求。

2.3安全需求

控制算法：

（1）當(dāng)列車(chē)前方警沖標(biāo)附近存在其他列車(chē)時(shí)，控制器需要對(duì)前方列車(chē)車(chē)尾是否超過(guò)警沖標(biāo)進(jìn)行判斷。當(dāng)前方列車(chē)車(chē)尾超過(guò)警沖標(biāo)或未判斷成功時(shí)控制器需要在列車(chē)與前方車(chē)尾位置小于制動(dòng)距離前提供制動(dòng)。（2）當(dāng)列車(chē)未收到線路的方向或運(yùn)行方向與線路方向相悖時(shí)不能緩解制動(dòng)。（3）如果在列車(chē)運(yùn)行的前方有工作人員，那么列車(chē)車(chē)頭與工作人員間的距離應(yīng)不小于列車(chē)的制動(dòng)距離。（4）控制器須使列車(chē)在前方線路靜態(tài)限速不明時(shí)須在進(jìn)入前方線路前停車(chē)（5）列車(chē)行駛在靜態(tài)限速發(fā)生改變的線路，控制區(qū)控車(chē)需要同時(shí)滿足列車(chē)頭部和尾部的靜態(tài)限速。

過(guò)程模型：

（1）列車(chē)的速度位置信息需要周期性更新。控制器須監(jiān)測(cè)列車(chē)速度（包括方向）和位置信息的更新，當(dāng)列車(chē)速度或位置信息停止更新時(shí)，控制器輸出制動(dòng)。（2）控制器須知道整列列車(chē)的位置范圍。（3）控制器計(jì)算距離須考慮列車(chē)速度和位置信息的更新時(shí)間。（4）控制器計(jì)算距離時(shí)須考慮列車(chē)速度和位置信息的正常誤差。（5）列車(chē)在投入運(yùn)營(yíng)前，控制器須確認(rèn)牽引制動(dòng)模型參數(shù)是否與本次列車(chē)一致。

傳感器和執(zhí)行器：

（1）系統(tǒng)需要對(duì)采集線路上所有列車(chē)位置。（2）傳感器需要在列車(chē)脫節(jié)時(shí)依然能夠正確的采集其各部分位置。（3）在置信區(qū)間X內(nèi)，列車(chē)位置傳感器的定位誤差須小于Xm。（4）在置信區(qū)間X內(nèi)，列車(chē)位置更新周期須小于Xs。（5）系統(tǒng)需要采集列車(chē)的運(yùn)行速度。

3.結(jié)語(yǔ)

本文首先從系統(tǒng)級(jí)層面找到了頂層事故以及相對(duì)應(yīng)的危險(xiǎn)，選取了其中的列車(chē)與侵入軌道線界內(nèi)的障礙物相撞這一危險(xiǎn)進(jìn)行了STPA迭代分析，基于STAMP對(duì)已辨識(shí)的系統(tǒng)危險(xiǎn)進(jìn)行致因分析，即通過(guò)分析系統(tǒng)中存在的控制問(wèn)題，逐步辨識(shí)出導(dǎo)致系統(tǒng)危險(xiǎn)的根本原因以及可用于保障系統(tǒng)安全的約束條件。用安全需求來(lái)指導(dǎo)設(shè)計(jì)，展現(xiàn)了由初始控制器分層控制結(jié)構(gòu)圖到細(xì)化的控制結(jié)構(gòu)圖的一次完整的STPA迭代設(shè)計(jì)過(guò)程，并在最終將所得到的安全需求與IRSE的需求作比較，驗(yàn)證STPA應(yīng)用于列控系統(tǒng)安全分析的有效性，并有其獨(dú)特的優(yōu)勢(shì)。

參考文獻(xiàn)

[1]Nancy G. Leveson， “A New Accident Model for Engineering Safer Systems，” Safety Science 42， 237–270，April 2004.

[2]Nancy G. Leveson， System Safety Engineering： Back to the Future， http：//sunnyday.mit.edu/book2.pdf，Cambridge， MA， 2008.

[3]劉金濤，唐濤，徐田華，等.基于UML的CTCS-3級(jí)列控系統(tǒng)需求規(guī)范形式化驗(yàn)證方法EJ3.中國(guó)鐵道科學(xué)，201l，32（3）：93—99.

作者簡(jiǎn)介：孫昊天（199--），男，黑龍江大慶人，漢族，碩士研究生，助理工程師，從事軌道交通信號(hào)設(shè)計(jì)研究。