基于STPA的列控系統安全分析

【摘? 要】隨著近年來中國的高速鐵路和城市軌道交通的高速發(fā)展，信號系統也隨之更新換代，CTCS-3列控系統和CBTC系統投入使用，列車控制系統的組織方式和操作流程也在發(fā)生變化。

STPA的危險分析方法是基于STAMP事故致因理論的危險分析方法，以系統的功能控制圖為模型，并以引導詞協助分析，它可以在設計完成之前提供指導設計所需要的信息。STPA從最早的概念設計階段開始，把安全設計到系統中去，是構建更加安全系統的經濟、有效的方法。STPA方法的應用，可以在系統設計的概念階段，識別出列車控制系統基本安全需求，為列車控制系統的設計提供方法指導。

【關鍵詞】STAMP;STPA方法;列車控制系統;安全分析

引言

CTCS-3級列控系統是保障高速鐵路列車安全運行的關鍵系統，應采用有效的方法對其功能安全進行分析，發(fā)現影響系統功能安全的關鍵因素，進而采取適當的措施提高系統的安全性，從而保障列車的安全運行。

Nancy Leveson將系統安全性的問題轉化為系統控制的問題，提出了系統理論的事故模型及過程，并以此為基礎提出了用于系統安全分析的方法——系統理論的過程分析。與前兩類方法相比，STPA更關注系統本身的結構并考慮組件間的非線性關系對系統安全的影響。

1.基于STPA的分析方法流程概述

安全需求辨識是基于STAMP理論，識別出系統的頂層危險后，從列車運行控制系統最初的設計開始，通過STPA方法辨識系統的頂層危險，提出安全需求，用安全需求指導下一步的系統設計，如此迭代進行，遵循safety guide design的原則。通過此過程，明確了列車運行控制系統各組成部分的安全責任，體現安全指導下的列車運行控制系統開發(fā)過程，以及安全是構筑到系統設計中的理念。

2.STPA迭代分析過程

2.1系統級危險識別

首先進行系統級的相關危險的識別。系統相關危險就是系統的相關危險狀態(tài)。列控系統的危險來自于其被控對象—列車。本文選取列車與障礙物相撞這一列車相關的事故為例進行分析。結合事故識別行車場景下的危險，該事故對應的危險如下：

H1 列車與侵入軌道限界內的障礙物相撞，如遺落的維修工具。

2.2 STPA分析迭代過程

（1）分層控制結構圖

如果在列車運行的前方有侵入軌道限界內障礙物，那么列車車頭與其之間的距離應不小于緊急制動距離。

（2）辨識不安全控制行為及致因分析。對于不安全控制行為用表格的形式呈現其致因因素，致因場景并得到相應的安全需求，在文中以UCA1這一個不安全控制行為的分析為例展示其表格化分析結果：

UCA1 不安全

控制行為 當列車車頭與運行前方侵入軌道限界內的障礙物之間距離等于緊急制動距離時，列車未進行緊急制動

C1 致因因素 控制輸入或外部信息錯誤或缺失

S1 致因場景 運營場景 覆蓋所有場景

致因 控制器未獲知列車運行前方有侵入軌道限界內的障礙物

SaR1 需求 控制器須得到障礙物位置報告

分析所得到的安全需求，將其分配給分層控制結構圖中控制器，傳感器，執(zhí)行器等各組成部分，得到安全需求，根據這些安全需求，可以進行下一步的迭代設計。

（3）迭代設計過程。在上一節(jié)得到安全需求的基礎上，進行下一步的迭代設計，將控制器細化為人工控制器與機器控制器，依然以列車與侵入軌道限界內的障礙物相撞這一危險再次進行STPA分析過程，找到其安全需求，相應地分配給人工控制器與機器控制器。

在有了分層控制結構圖作為設計基礎后，仍按照上節(jié)中的STPA分析過程對于細化后的設計進行分析，具體的過程在文中不再重復贅述。

在分配好各部分的安全需求后，依據相應安全需求再次進行迭代設計，將機器控制器細化為地面設備和車載設備，人工控制器也相應的細化為調度員和值班員，得到迭代后的分層控制結構圖：

在對細化后的設計進行STPA分析得到其安全需求。

2.3安全需求

控制算法：

（1）當列車前方警沖標附近存在其他列車時，控制器需要對前方列車車尾是否超過警沖標進行判斷。當前方列車車尾超過警沖標或未判斷成功時控制器需要在列車與前方車尾位置小于制動距離前提供制動。（2）當列車未收到線路的方向或運行方向與線路方向相悖時不能緩解制動。（3）如果在列車運行的前方有工作人員，那么列車車頭與工作人員間的距離應不小于列車的制動距離。（4）控制器須使列車在前方線路靜態(tài)限速不明時須在進入前方線路前停車（5）列車行駛在靜態(tài)限速發(fā)生改變的線路，控制區(qū)控車需要同時滿足列車頭部和尾部的靜態(tài)限速。

過程模型：

（1）列車的速度位置信息需要周期性更新。控制器須監(jiān)測列車速度（包括方向）和位置信息的更新，當列車速度或位置信息停止更新時，控制器輸出制動。（2）控制器須知道整列列車的位置范圍。（3）控制器計算距離須考慮列車速度和位置信息的更新時間。（4）控制器計算距離時須考慮列車速度和位置信息的正常誤差。（5）列車在投入運營前，控制器須確認牽引制動模型參數是否與本次列車一致。

傳感器和執(zhí)行器：

（1）系統需要對采集線路上所有列車位置。（2）傳感器需要在列車脫節(jié)時依然能夠正確的采集其各部分位置。（3）在置信區(qū)間X內，列車位置傳感器的定位誤差須小于Xm。（4）在置信區(qū)間X內，列車位置更新周期須小于Xs。（5）系統需要采集列車的運行速度。

3.結語

本文首先從系統級層面找到了頂層事故以及相對應的危險，選取了其中的列車與侵入軌道線界內的障礙物相撞這一危險進行了STPA迭代分析，基于STAMP對已辨識的系統危險進行致因分析，即通過分析系統中存在的控制問題，逐步辨識出導致系統危險的根本原因以及可用于保障系統安全的約束條件。用安全需求來指導設計，展現了由初始控制器分層控制結構圖到細化的控制結構圖的一次完整的STPA迭代設計過程，并在最終將所得到的安全需求與IRSE的需求作比較，驗證STPA應用于列控系統安全分析的有效性，并有其獨特的優(yōu)勢。

參考文獻

[1]Nancy G. Leveson， “A New Accident Model for Engineering Safer Systems，” Safety Science 42， 237–270，April 2004.

[2]Nancy G. Leveson， System Safety Engineering： Back to the Future， http：//sunnyday.mit.edu/book2.pdf，Cambridge， MA， 2008.

[3]劉金濤，唐濤，徐田華，等.基于UML的CTCS-3級列控系統需求規(guī)范形式化驗證方法EJ3.中國鐵道科學，201l，32（3）：93—99.

作者簡介：孫昊天（199--），男，黑龍江大慶人，漢族，碩士研究生，助理工程師，從事軌道交通信號設計研究。