一种轨道交通联锁系统安全分析开发方法及装置

技术领域

本发明涉及系统安全评估技术领域，特别是涉及一种轨道交通联锁系统安全分析开发方法及装置。

背景技术

当下，越来越多软件密集型系统应用于铁路、航空、核工业等安全攸关领域中，这些系统中的组件丰富且以复杂的方式交互，在系统设计后期进行安全分析往往困难重重，这使得在早期进行适当的安全分析变得至关重要。大多数安全分析技术都考虑个别的失败(例如：故障树分析、故障模式和影响分析等)，许多安全关键决策和假设是在开发过程中做出的，基于组件的故障在分析中很容易被忽略。

STPA（System-Theoretic Processing Analysis）是一种基于大型复杂系统事故模型STAMP(Systems-Theoretic Accident Model and Processes)的安全分析技术，能够发现组件之间由于功能失调或无意的交互而产生的危险，使得安全分析结果更加全面。尽管STPA功能强大，但通常作为一个单独的分析来应用，仅关注于对现有设计的评估，而不是从一开始就推动设计和需求。尽早发现潜在的问题至关重要，因为发现问题的时间越晚，成本就会成倍增加。在许多情况下，当问题被发现时，最好的解决方案已不再可行。

发明内容

本发明的目的是提供一种轨道交通联锁系统安全分析开发方法及装置，实现基于STPA设计的抽象精化的安全分析，提高安全分析的精细程度。

为实现上述目的，本发明提供了如下方案：一种轨道交通联锁系统安全分析开发方法，包括：建立轨道交通联锁系统的系统级安全约束表和初始控制反馈模型；所述系统级安全约束表包括系统级事故及对应的系统级危险。

基于所述系统级安全约束表，采用STPA分析方法，确定所述初始控制反馈模型的安全分析结果；所述安全分析结果包括控制行为、所述控制行为对应的系统级危险以及所述控制行为对应的系统级危险的安全约束。

判断所述初始控制反馈模型是否满足预设安全条件。

若所述初始控制反馈模型满足预设安全条件，则基于所述初始控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

若所述初始控制反馈模型不满足预设安全条件，则对所述初始控制反馈模型进行精化处理，以得到精化后控制反馈模型；所述精化处理包括引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态以及引入信号机中的一项或多项。

基于所述系统级安全约束表，采用STPA分析方法，确定所述精化后控制反馈模型的安全分析结果，并基于所述精化后控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

可选地，对所述初始控制反馈模型进行精化处理，以得到精化后控制反馈模型，具体包括：对所述初始控制反馈模型进行第一精化处理，以得到第一精化后控制反馈模型；所述第一精化处理为引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态的其中之一。

当所述第一精化后控制反馈模型满足所述预设安全条件时，将所述第一精化后控制反馈模型标记为精化后控制反馈模型。

当所述第一精化后控制反馈模型不满足所述预设安全条件时，对所述第一精化后控制反馈模型进行第二精化处理，以得到第二精化后控制反馈模型；所述第二精化处理为引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态的其中之一。

当所述第二精化后控制反馈模型满足所述预设安全条件时，将所述第二精化后控制反馈模型标记为精化后控制反馈模型。

当所述第二精化后控制反馈模型不满足所述预设安全条件时，对所述第二精化后控制反馈模型进行第三精化处理，以得到第三精化后控制反馈模型；所述第三精化处理为引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态的其中之一，且所述第一精化处理、所述第二精化处理和所述第三精化处理互不相同。

当所述第三精化后控制反馈模型满足所述预设安全条件时，将所述第三精化后控制反馈模型标记为精化后控制反馈模型。

当所述第三精化后控制反馈模型不满足所述预设安全条件时，对所述第三精化后控制反馈模型引入信号机，以得到第四精化后控制反馈模型，并将所述第四精化后控制反馈模型标记为精化后控制反馈模型。

可选地，所述第一精化处理、所述第二精化处理和所述第三精化处理分别为：引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态。

或者，所述第一精化处理、所述第二精化处理和所述第三精化处理分别为：引入道岔和道岔位置状态、引入轨道区段、引入轨道区段状态。

或者，所述第一精化处理、所述第二精化处理和所述第三精化处理分别为：引入轨道区段、引入轨道区段状态、引入道岔和道岔位置状态。

可选地，所述初始控制反馈模型的控制行为包括建立进路和取消进路。

所述初始控制反馈模型包括列车自动监控系统、列车以及计算机联锁系统。

所述列车自动监控系统用于将建立进路或者取消进路的指令发送至所述计算机联锁系统；所述计算机联锁系统用于将进路状态信息反馈至所述列车自动监控系统，以及将前进或停止的指令发送至所述列车；所述列车用于将列车状态信息反馈至所述计算机联锁系统；所述列车状态信息包括列车进入和列车离开。

可选地，方法还包括：对所述初始控制反馈模型进行致因分析，以确定所述系统级危险对应的控制行为的诱发因素。

为达上述目的，本发明还提供了如下技术方案：一种轨道交通联锁系统安全分析开发装置，包括：安全约束及控制模型建立部件，用于建立轨道交通联锁系统的系统级安全约束表和初始控制反馈模型；所述系统级安全约束表包括系统级事故及对应的系统级危险。

安全分析部件，用于基于所述系统级安全约束表，采用STPA分析方法，确定所述初始控制反馈模型的安全分析结果；所述安全分析结果包括控制行为、所述控制行为对应的系统级危险以及所述控制行为对应的系统级危险的安全约束。

控制模型判断部件，用于判断所述初始控制反馈模型是否满足预设安全条件。

第一开发部件，用于当所述初始控制反馈模型满足预设安全条件时，基于所述初始控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

精化处理部件，用于当所述初始控制反馈模型不满足预设安全条件时，对所述初始控制反馈模型进行精化处理，以得到精化后控制反馈模型；所述精化处理包括引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态以及引入信号机中的一项或多项。

第二开发部件，用于基于所述系统级安全约束表，采用STPA分析方法，确定所述精化后控制反馈模型的安全分析结果，并基于所述精化后控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明公开一种轨道交通联锁系统安全分析开发方法及装置，基于系统级安全约束表，采用STPA分析方法确定初始控制反馈模型的安全分析结果，包括控制行为、控制行为对应的系统级危险以及控制行为对应的系统级危险的安全约束；当初始控制反馈模型不满足预设安全条件，对初始控制反馈模型进行精化处理，包括引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态以及引入信号机中的一项或多项；然后基于系统级安全约束表，采用STPA分析方法确定精化后控制反馈模型的安全分析结果，从而达到了将STPA分析方法与抽象精化相结合的目的，并且其中所采用的四种精化处理，能够实现自顶向下抽象精化的安全分析，使得在系统一开始设计时就进行安全分析，安全分析的结果会立即反馈到设计过程中，以确保潜在的不安全控制不会被忽视。最后，基于精化后控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发，综合实现STPA分析方法与抽象精化相结合，使得抽象分析过程的所有中间结果可以在最终模型中进行积累，有利于创建一个全面的总体安全分析，提高安全分析的精细程度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明轨道交通联锁系统安全分析开发方法的流程示意图。

图2为本发明初始控制反馈模型的结构示意图。

图3为本发明第一精化后控制反馈模型的结构示意图。

图4为本发明第二精化后控制反馈模型的结构示意图。

图5为本发明第三精化后控制反馈模型的结构示意图。

图6为本发明第四精化后控制反馈模型的结构示意图。

图7为本发明具体实例的流程示意图。

图8为本发明轨道交通联锁系统安全分析开发系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种轨道交通联锁系统安全分析开发方法及装置，将STPA技术与抽象精化分析技术结合，应用于轨道交通联锁系统的安全分析。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，本发明实施例一提供一种轨道交通联锁系统安全分析开发方法，包括：步骤100，建立轨道交通联锁系统的系统级安全约束表和初始控制反馈模型；所述系统级安全约束表包括系统级事故及对应的系统级危险。

其中，基于列车运行工况和运行环境构建系统级安全约束表。轨道交通联锁系统的安全总目标为该系统所不能接受的事故，比如车站联锁系统（以下简称为联锁系统）中，系统级事故可定义为以下四类：列车的追尾相撞、侧面冲撞、头对头相撞和脱轨。

将系统级事故限制到该系统可控的部分，从而得到由于系统故障导致的事故，称为系统级危险，下表1示出了联锁系统中的系统级危险与系统级事故的对应关系。

表1

如图2所示为初始控制反馈模型，其中实线代表控制行为以及信息反馈，初始控制反馈模型中只有建立进路和取消进路的控制行为，初始控制反馈模型可以直观简洁地反映系统中的控制关系。

具体地，初始控制反馈模型包括列车自动监控系统、列车以及计算机联锁系统；所述列车自动监控系统用于将建立进路或者取消进路的指令发送至所述计算机联锁系统；所述计算机联锁系统用于将进路状态信息反馈至所述列车自动监控系统，以及将前进或停止的指令发送至所述列车；所述列车用于将列车状态信息反馈至所述计算机联锁系统；所述列车状态信息包括列车进入和列车离开。

步骤200，基于所述系统级安全约束表，采用STPA分析方法，确定所述初始控制反馈模型的安全分析结果；所述安全分析结果包括控制行为、所述控制行为对应的系统级危险以及所述控制行为对应的系统级危险的安全约束。

根据图2，对可能导致不安全的控制行为进行分析，得到一组与危险对应的不安全控制行为（Unsafe Control Actions，UCA）；不安全的控制行为可通过以下四个类型涵盖：a）未提供控制操作（对应下表中的未提供）；b）提供了不安全的控制操作，会导致危险（对应下表中的提供）；c）提供了控制操作，但是操作执行得过早、过迟或以错误的顺序被执行（对应下表中的错误的时机或时序）；d）提供了控制操作，但是操作过早停止或持续时间过长（对应下表中的结束太快或作用时间过长）。

对于系统中的每一个控制操作，均按以上四种类型分析是否会引发危险，引发哪（几）种危险（H1~Hn），可得到联锁系统初始模型的安全分析结果，如下表2所示。

表2

根据表2中的不安全的控制行为设置初始模型的安全约束，如表3所示。

表3

步骤300，判断所述初始控制反馈模型是否满足预设安全条件；具体地，判断初始控制反馈模型是否为最终实际需要的安全控制模型，其是否能达到所要实现的安全控制效果，可通过对初始控制反馈模型的每一结构进行排查分析来确定。

步骤400，若所述初始控制反馈模型满足预设安全条件，则基于所述初始控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

步骤500，若所述初始控制反馈模型不满足预设安全条件，则对所述初始控制反馈模型进行精化处理，以得到精化后控制反馈模型；所述精化处理包括引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态以及引入信号机中的一项或多项。

其中，对所述初始控制反馈模型进行精化处理，以得到精化后控制反馈模型，具体包括：1）对所述初始控制反馈模型进行第一精化处理，以得到第一精化后控制反馈模型；所述第一精化处理为引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态的其中之一。在一个具体实施例中，第一精化处理为引入轨道区段。

当所述第一精化后控制反馈模型满足所述预设安全条件时，将所述第一精化后控制反馈模型标记为精化后控制反馈模型；第一精化后控制反馈模型的结构示意图如图3所示。

在此情况下，经过步骤600，基于所述系统级安全约束表，采用STPA分析方法，确定所述精化后控制反馈模型的安全分析结果，具体如表4所示。

表4

根据表4中的不安全的控制行为设置初始模型的安全约束，如表5所示。

表5

最后，基于所述精化后控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

2）当所述第一精化后控制反馈模型不满足所述预设安全条件时，对所述第一精化后控制反馈模型进行第二精化处理，以得到第二精化后控制反馈模型；所述第二精化处理为引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态的其中之一。在一个具体实施例中，第二精化处理为引入道岔和道岔位置状态。

当所述第二精化后控制反馈模型满足所述预设安全条件时，将所述第二精化后控制反馈模型标记为精化后控制反馈模型；第二精化后控制反馈模型的结构示意图如图4所示。

在此情况下，经过步骤600，基于所述系统级安全约束表，采用STPA分析方法，确定所述精化后控制反馈模型的安全分析结果，具体如表6所示。

表6

根据表6中的不安全的控制行为设置初始模型的安全约束，如表7所示。

表7

最后，基于所述精化后控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

3）当所述第二精化后控制反馈模型不满足所述预设安全条件时，对所述第二精化后控制反馈模型进行第三精化处理，以得到第三精化后控制反馈模型；所述第三精化处理为引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态的其中之一，且所述第一精化处理、所述第二精化处理和所述第三精化处理互不相同。在一个具体实施例中，第三精化处理为引入轨道区段状态。

当所述第三精化后控制反馈模型满足所述预设安全条件时，将所述第三精化后控制反馈模型标记为精化后控制反馈模型；第三精化后控制反馈模型的结构示意图如图5所示。

在此情况下，经过步骤600，基于所述系统级安全约束表，采用STPA分析方法，确定所述精化后控制反馈模型的安全分析结果，具体如表8所示。

表8

根据表8中的不安全的控制行为设置初始模型的安全约束，如表9所示。

表9

最后，基于所述精化后控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

4）当所述第三精化后控制反馈模型不满足所述预设安全条件时，对所述第三精化后控制反馈模型引入信号机，以得到第四精化后控制反馈模型，并将所述第四精化后控制反馈模型标记为精化后控制反馈模型。第四精化后控制反馈模型的结构示意图如图6所示。

在此情况下，经过步骤600，基于所述系统级安全约束表，采用STPA分析方法，确定所述精化后控制反馈模型的安全分析结果，具体如表10所示。

表10

/>

/>

根据表10中的不安全的控制行为设置初始模型的安全约束，如表11所示。

表11

最后，基于所述精化后控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

优选地，所述第一精化处理、所述第二精化处理和所述第三精化处理分别为：引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态；或者，所述第一精化处理、所述第二精化处理和所述第三精化处理分别为：引入道岔和道岔位置状态、引入轨道区段、引入轨道区段状态；或者，所述第一精化处理、所述第二精化处理和所述第三精化处理分别为：引入轨道区段、引入轨道区段状态、引入道岔和道岔位置状态。

在一个具体实施例中，方法还包括：对所述初始控制反馈模型进行致因分析，以确定所述系统级危险对应的控制行为的诱发因素，从而研究为什么会出现不安全控制行为以及不安全控制行为如何造成危险，以下以UCA-1为例，给出UCA-1的致因分析。

UCA1：建立的进路的轨道区段和征用且未占用的轨道区段之间存在冲突，导致其产生的不可控因素包括：1：列车自动监控系统的建立进路算法自身算法存在漏洞。

2：列车自动监控系统进路控制信号发送设备未能正常工作，传送了错误的进路建立信息。

3：计算机联锁系统信号接收设备未能正常工作，接收了错误的进路建立信息。

4：列车自动监控系统发送给计算机联锁系统的信号在传输过程中受到外界的影响，传递了错误的进路建立信息。

5：计算机联锁系统信号发送设备未能正常工作，反馈了错误的进路信息。

6：列车自动监控系统接收设备未能正常工作，接收了错误的进路信息。

7：计算机联锁系统发送给列车自动监控系统的信号在传输过程中受到外界的影响，传递了错误的进路信息。

8：计算机联锁系统信号发送设备未能正常工作，反馈了错误的保护区段状态信息。

9：列车自动监控系统接收设备未能正常工作，接收了错误的保护区段状态信息。

10：计算机联锁系统发送给列车自动监控系统的信号在传输过程中受到外界的影响，传递了错误的保护区段状态信息。

11：轨道电路设备在采集区段信息时受到外界的影响，传递了错误的区段状态信息。

12：轨道电路信号发送设备未能正常工作，传送了错误的区段状态信息。

13：计算机联锁系统信号接收设备未能正常工作，接收了错误的区段状态信息。

14：轨道电路发送给计算机联锁系统的信号在传输过程中受到外界的影响，传递了错误的区段状态信息。

在实际应用中，通过对导致UCA1：建立的进路的轨道区段和征用且未占用的轨道区段之间存在冲突产生的不可控因素进行排查和分析，具体可通过与上文中的14条已知可能出现的原因进行匹配，以确定出现危险行为的原因，进一步保证轨道交通联锁系统在工作过程中的安全性。

如图7所示，本发明轨道交通联锁系统安全分析开发的具体实例的流程示意图包括：1）确定系统级事故与危险；2）建立控制结构图；3）识别不安全控制行为，以及判断是否为最终模型，若否，则经过抽象精化模型进行处理后，回到步骤2）并根据新的模型画出控制结构图；若是，则进入下一步；4）识别致因场景。

综上，本发明采用STPA分析技术，有利于分析出轨道交通联锁系统中由于组件之间不安全交互而引发的危害；结合抽象精化分析技术，在系统和需求开发的早期执行安全分析；可以更有效地识别潜在的问题，从而减少未来返工的需要；通过抽象精化分析实现自顶向下进行分析，分析逻辑严密，结构清晰；最后，本发明抽象分析过程的所有中间结果可以在最终模型中进行积累，有利于创建一个全面的总体安全分析。

如图8所示，为了实现实施例一中的技术方案，达到相同的技术效果，本实施例二提供了一种轨道交通联锁系统安全分析开发装置，包括：安全约束及控制模型建立部件101，用于建立轨道交通联锁系统的系统级安全约束表和初始控制反馈模型；所述系统级安全约束表包括系统级事故及对应的系统级危险。

安全分析部件201，用于基于所述系统级安全约束表，采用STPA分析方法，确定所述初始控制反馈模型的安全分析结果；所述安全分析结果包括控制行为、所述控制行为对应的系统级危险以及所述控制行为对应的系统级危险的安全约束。

控制模型判断部件301，用于判断所述初始控制反馈模型是否满足预设安全条件。

第一开发部件401，用于当所述初始控制反馈模型满足预设安全条件时，基于所述初始控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

精化处理部件501，用于当所述初始控制反馈模型不满足预设安全条件时，对所述初始控制反馈模型进行精化处理，以得到精化后控制反馈模型；所述精化处理包括引入轨道区段、引入道岔和道岔位置状态、引入轨道区段状态以及引入信号机中的一项或多项。

第二开发部件601，用于基于所述系统级安全约束表，采用STPA分析方法，确定所述精化后控制反馈模型的安全分析结果，并基于所述精化后控制反馈模型的安全分析结果进行所述轨道交通联锁系统的设计开发。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。