一种轨道交通联锁系统的安全分析方法及系统

技术领域

本发明涉及控制系统安全分析技术领域，特别涉及一种轨道交通联锁系统的安全分析方法及系统。

背景技术

轨道交通联锁系统是典型的安全攸关系统，需要极高的安全性。确保系统的安全性，需要充分地对安全问题进行分析，发现系统中导致危险的各个因素，并针对性地采取处理措施。安全分析技术是用于分析系统中潜藏的危险，并提出解决途径的方法。传统的安全分析技术如FTA(Fault Tree Analysis，故障树分析)、FMEA(Failure Modes and EffectsAnalysis，失效模式及其影响分析)、HAZOP(Hazard&Operability Studies，危害与可操作性分析)表现出对组件交互分析的不足，导致安全分析不全面，存在潜在风险。

发明内容

本发明的目的是提供一种轨道交通联锁系统的安全分析方法及系统，以提高轨道交通联锁系统的安全分析的全面性。

为实现上述目的，本发明提供了如下方案：

一种轨道交通联锁系统的安全分析方法，所述安全分析方法包括如下步骤：

将联锁系统的安全总目标划分为多个安全子目标；

根据联锁系统中各个组件之间的控制关系和信息传递关系，绘制联锁系统的控制结构图；

根据所述控制结构图确定每个安全子目标的安全需求；

获取软件安全测试中心输出的联锁系统的测试结果，将所述测试结果作为安全证据；

根据所述安全证据分析所述联锁系统是否具备满足每个安全需求，获得安全分析结果。

可选的，所述将联锁系统的安全总目标划分为多个安全子目标，具体包括：

确定联锁系统的系统级事故；所述系统级事故包括列车追尾、正面碰撞、列车脱轨和列车侧冲；

根据联锁系统的控制逻辑确定每个所述系统级事故发生的原因，作为系统级事故对应的系统级危险，得到每个所述系统级事故对应的系统级危险；

将系统级事故发生的概率小于第一阈值的安全总目标划分成每个系统级危险发生的概率小于第二阈值的安全子目标。

可选的，所述根据所述控制结构图确定每个安全子目标的安全需求，具体包括：

根据所述控制结构图，确定每个系统级危险对应的不当控制操作，建立系统级危险与不当控制操作的对应表，作为第一对应表；

将每个不当控制操作分解为危险因素和情景，建立不当控制操作与危险因素和情景的对应表，作为第二对应表；

将风险因素不在风险因素对应的情景发生的目标，转换为安全需求，将危险因素与安全需求的对应表，作为第三对应表；

根据所述第一对应表、所述第二对应表和所述第三对应表，确定每个安全子目标的安全需求。

可选的，所述根据所述安全证据分析所述联锁系统是否具备满足每个安全需求，获得安全分析结果，之后还包括：

将安全分析方法的步骤以GSN文件的形式输出，所述GSN文件中用矩形框表示目标，用平行四边框表示策略，用椭圆形框表示假设或证据，用圆形框表示安全证据，用菱形表示论证未展开，用三角形表示论证未实例化。。

一种轨道交通联锁系统的安全分析系统，所述安全分析系统包括：

安全目标划分模块，用于将联锁系统的安全总目标划分为多个安全子目标；

控制结构图绘制模块，用于根据联锁系统中各个组件之间的控制关系和信息传递关系，绘制联锁系统的控制结构图；

安全需求确定模块，用于根据所述控制结构图确定每个安全子目标的安全需求；

安全证据获取模块，用于获取软件安全测试中心输出的联锁系统的测试结果，将所述测试结果作为安全证据；

安全分析模块，用于根据所述安全证据分析所述联锁系统是否具备满足每个安全需求，获得安全分析结果。

可选的，所述安全目标划分模块，具体包括：

系统级事故确定子模块，用于确定联锁系统的系统级事故；所述系统级事故包括列车追尾、正面碰撞、列车脱轨和列车侧冲；

系统级危险确定子模块，用于根据联锁系统的控制逻辑确定每个所述系统级事故发生的原因，作为系统级事故对应的系统级危险，得到每个所述系统级事故对应的系统级危险；

安全目标划分子模块，用于将系统级事故发生的概率小于第一阈值的安全总目标划分成每个系统级危险发生的概率小于第二阈值的安全子目标。

可选的，所述安全需求确定模块，具体包括：

第一对照表建立子模块，用于根据所述控制结构图，确定每个系统级危险对应的不当控制操作，建立系统级危险与不当控制操作的对应表，作为第一对应表；

第二对照表建立子模块，用于将每个不当控制操作分解为危险因素和情景，建立不当控制操作与危险因素和情景的对应表，作为第二对应表；

第三对照表建立子模块，用于将风险因素不在风险因素对应的情景发生的目标，转换为安全需求，将危险因素与安全需求的对应表，作为第三对应表；

安全需求确定子模块，用于根据所述第一对应表、所述第二对应表和所述第三对应表，确定每个安全子目标的安全需求。

可选的，所述安全分析系统还包括：

输出模块，用于将安全分析方法的步骤以GSN文件的形式输出，所述GSN文件中用矩形框表示目标，用平行四边框表示策略，用椭圆形框表示假设或证据，用圆形框表示安全证据，用菱形表示论证未展开，用三角形表示论证未实例化

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明公开了一种轨道交通联锁系统的安全分析方法及系统，所述安全分析方法包括如下步骤：将联锁系统的安全总目标划分为多个安全子目标；根据联锁系统中各个组件之间的控制关系和信息传递关系，绘制联锁系统的控制结构图；根据所述控制结构图确定每个安全子目标的安全需求；获取软件安全测试中心输出的联锁系统的测试结果，将所述测试结果作为安全证据；根据所述安全证据分析所述联锁系统是否具备满足每个安全需求，获得安全分析结果。本发明将安全问题视为控制问题，认为危害事件是由于不恰当的控制操作导致的，而非单纯的软件失效所致，能够分析软件的设计缺陷、组件间的不当交互和操作人员的失误导致的危险，从而获得更加全面的安全需求。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种轨道交通联锁系统的安全分析方法的流程图；

图2为本发明提供的GSN文件表示的将联锁系统的安全总目标划分为多个安全子目标的流程图；

图3为本发明提供的控制结构图；

图4为本发明提供的GSN文件表示的将安全子目标分解为会导致系统级危险的对应UCA不会发生的流程图；

图5为本发明提供的GSN文件表示的将UCA不会发生的安全目标分解为对应因素不在对应情景下发生的流程图；

图6为本发明提供的GSN文件表示的将对应因素不在对应情景下发生的安全目标分解为满足对应安全需求的流程图；

图7为本发明提供的GSN文件表示的轨道交通联锁系统的安全分析方法的流程图。

具体实施方式

本发明的目的是提供一种轨道交通联锁系统的安全分析方法及系统，以提高轨道交通联锁系统的安全分析的全面性。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对发明作进一步详细的说明。

如图1所示，本发明提供一种轨道交通联锁系统的安全分析方法，所述安全分析方法包括如下步骤：

步骤101，将联锁系统的安全总目标划分为多个安全子目标。

步骤101所述将联锁系统的安全总目标划分为多个安全子目标，具体包括：确定联锁系统的系统级事故；所述系统级事故包括列车追尾、正面碰撞、列车脱轨和列车侧冲；根据联锁系统的控制逻辑确定每个所述系统级事故发生的原因，作为系统级事故对应的系统级危险，得到每个所述系统级事故对应的系统级危险；将系统级事故发生的概率小于第一阈值的安全总目标划分成每个系统级危险发生的概率小于第二阈值的安全子目标。

步骤101具体包括如下步骤：

步骤1、将安全总目标设置为联锁系统所不能接受的事故均不发生；

步骤2、根据联锁系统的具体信息，明确步骤1中的系统级事故，具体的，系统级事故可定义为以下四类：列车追尾、正面碰撞、列车脱轨和列车侧冲；

步骤3、将系统级事故限制到联锁系统可控的部分，从而得到由于系统故障导致的事故，称为系统级危险，表1示出了联锁系统中的系统级危险与系统级事故的对应关系。

表1系统级危险与系统级事故的对应关系

步骤4、将安全总目标“所有系统级事故发生风险均降低到可接受范围”分解为“各系统级危险不发生”。

用GSN文件的格式表示安全目标分解步骤如图2所示。如图2所示，当前安全目标为安全总目标G1(联锁系统中所有事故风险均降低到可接受程度)，策略S1根据安全分析获得的系统级事故与危险表C1，将安全总目标分解为各子目标(系统级危险H1～H8均不发生)。为了安全例证的完整性，需保证以下假设的正确：a)不存在安全分析之外的系统级事故与危险，或其他事故或危险发生几率小到可接受；b)通过排除各系统级事故导出的系统级危险，可有效地排除系统级事故的发生。

步骤102，根据联锁系统中各个组件之间的控制关系和信息传递关系，绘制联锁系统的控制结构图。

明确联锁系统间各组件的控制关系和信息交流关系，绘制控制结构图；

控制结构图如图3所示，其中实线代表控制操作，虚线代表信息传递，图3可直观简洁地反映系统中的控制关系。如图3所示，车载列车自动运行系统(ATO，automatic traindriving Subsystem)和列车自动保护系统(ATP，Automatic Train ProtectionSubsystem)控制列车的正常行车与紧急刹车；联锁系统控制站内设备(道岔、信号灯等)的改变；列车监控系统(ATS，automatic train supervision Subsystem)对列车的行车和联锁系统的路线设置等内容进行规划；需要人工干预时，操作员对列车监控系统(ATS)进行控制。

步骤103，根据所述控制结构图确定每个安全子目标的安全需求。

步骤103所述根据所述控制结构图确定每个安全子目标的安全需求，具体包括：

根据所述控制结构图，确定每个系统级危险对应的不当控制操作，建立系统级危险与不当控制操作的对应表，作为第一对应表。

根据系统级危险和控制结构图，对控制操作按类型进行分析，得到一组与系统级危险对应的不当控制操作(Unsafe ControlActions，UCA)；

UCA可通过以下四个类型涵盖：a)未执行控制操作；b)执行了不安全的控制操作，会导致危险；c)执行了控制操作，但是操作执行得过早、过迟或以错误的顺序被执行；d)执行了控制操作，但是操作过早停止或持续时间过长。

对于系统中的每一个控制操作，均按以上四种类型考察是否会引发危险，引发哪(几)种危险(H1～Hn)。

联锁系统的安全分析结果，即第一对应表，如表2所示。

表2第一对应表

根据UCA与危险H1～Hn之间的联系，将安全子目标进一步分解为会导致对应系统级危险的对应UCA不会发生，用GSN(Goal Structuring Notation,目标结构化表示)文件的格式表示该过程如图4所示。

如图4所示，当前安全目标为危险H1(前后两列车之间的距离小于后车的制动距离)不会发生，策略S2以安全分析中不当控制操作与系统级危险之间的关系C2为依据，将危险分解为子目标(UCA1/2/5/6不发生)，为了确保论证的完整，需要确保以下假设的正确：a)控制结构可清晰有效地推导出UCA及对应危险；b)分析所得UCA表是完全的；c)通过排除UCA的发生，可有效排除对应危险的发生。

将每个不当控制操作分解为危险因素和情景，建立不当控制操作与危险因素和情景的对应表，作为第二对应表。

将不当控制操作分解为危险因素和情景，分解结果，即第二对应表，如表3所示。

表3第二对应表

将上一层安全目标“UCA不会发生”分解为“对应因素不在对应情景下发生”，用GSN文件的格式表示该过程如图5所示。

如图5所示，当前安全目标为UCA1(列车行驶在方向错误的道岔上)不会发生，策略S3.1根据安全分析所得UCA与危险因素之间的联系C3，将安全目标转化为子目标G4.1。为了使安全论证需要满足以下假设：a)CF1～CFn可以覆盖所有UCA；b)通过排除导致UCA的因素CF1～CFn可有效排除UCA的产生。

将风险因素不在风险因素对应的情景发生的目标，转换为安全需求，将危险因素与安全需求的对应表，作为第三对应表。

1、设定若干安全需求以防止危险因素在对应情景下发生；

2、将安全目标“防止CF1～CFn发生”转化为“满足对应安全需求Req1～Reqn”；用GSN文件的格式表示该过程如图6所示。

如图6所示，当前安全目标G4.1为“CF1(道岔方向错误，出现在列车行驶在该道岔上的情景下)不会发生”，策略S4.1根据危险因素与安全需求的联系，将安全目标转化为子目标G5.1。为了使安全论证结构严谨，需要满足假设：设置的安全需求解决了所有可能导致危险场景下的不安全因素，即CF1～CFn被Req1～Reqn完全覆盖。

根据所述第一对应表、所述第二对应表和所述第三对应表，确定每个安全子目标的安全需求。

步骤104，获取软件安全测试中心输出的联锁系统的测试结果，将所述测试结果作为安全证据。

使用一个或多个安全证据论证安全需求的完全满足，通常由专门的软件安全测试中心提供的测试结果作为安全证据。

步骤105，根据所述安全证据分析所述联锁系统是否具备满足每个安全需求，获得安全分析结果。

所述根据所述安全证据分析所述联锁系统是否具备满足每个安全需求，获得安全分析结果，之后还包括：将安全分析方法的步骤以GSN文件的形式输出，所述GSN文件中用矩形框表示目标，用平行四边框表示策略，用椭圆形框表示假设或证据，用圆形框表示安全证据，用菱形表示论证未展开，用三角形表示论证未实例化，如图7所示。

本发明还提供一种轨道交通联锁系统的安全分析系统，所述安全分析系统包括：

安全目标划分模块，用于将联锁系统的安全总目标划分为多个安全子目标；所述安全目标划分模块，具体包括：系统级事故确定子模块，用于确定联锁系统的系统级事故；所述系统级事故包括列车追尾、正面碰撞、列车脱轨和列车侧冲；系统级危险确定子模块，用于根据联锁系统的控制逻辑确定每个所述系统级事故发生的原因，作为系统级事故对应的系统级危险，得到每个所述系统级事故对应的系统级危险；安全目标划分子模块，用于将系统级事故发生的概率小于第一阈值的安全总目标划分成每个系统级危险发生的概率小于第二阈值的安全子目标。

控制结构图绘制模块，用于根据联锁系统中各个组件之间的控制关系和信息传递关系，绘制联锁系统的控制结构图。

安全需求确定模块，用于根据所述控制结构图确定每个安全子目标的安全需求。所述安全需求确定模块，具体包括：第一对照表建立子模块，用于根据所述控制结构图，确定每个系统级危险对应的不当控制操作，建立系统级危险与不当控制操作的对应表，作为第一对应表；第二对照表建立子模块，用于将每个不当控制操作分解为危险因素和情景，建立不当控制操作与危险因素和情景的对应表，作为第二对应表；第三对照表建立子模块，用于将风险因素不在风险因素对应的情景发生的目标，转换为安全需求，将危险因素与安全需求的对应表，作为第三对应表；安全需求确定子模块，用于根据所述第一对应表、所述第二对应表和所述第三对应表，确定每个安全子目标的安全需求。

安全证据获取模块，用于获取软件安全测试中心输出的联锁系统的测试结果，将所述测试结果作为安全证据；

安全分析模块，用于根据所述安全证据分析所述联锁系统是否具备满足每个安全需求，获得安全分析结果。

输出模块，用于将安全分析方法的步骤以GSN文件的形式输出，所述GSN文件中用矩形框表示目标，用平行四边框表示策略，用椭圆形框表示假设或证据，用圆形框表示安全证据，用菱形表示论证未展开，用三角形表示论证未实例化。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明公开了一种轨道交通联锁系统的安全分析方法及系统，所述安全分析方法包括如下步骤：将联锁系统的安全总目标划分为多个安全子目标；根据联锁系统中各个组件之间的控制关系和信息传递关系，绘制联锁系统的控制结构图；根据所述控制结构图确定每个安全子目标的安全需求；获取软件安全测试中心输出的联锁系统的测试结果，将所述测试结果作为安全证据；根据所述安全证据分析所述联锁系统是否具备满足每个安全需求，获得安全分析结果。本发明将安全问题视为控制问题，认为危害事件是由于不恰当的控制操作导致的，而非单纯的软件失效所致，能够分析软件的设计缺陷、组件间的不当交互和操作人员的失误导致的危险，从而获得更加全面的安全需求。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。