基于統(tǒng)一建模語言的CTCS-3級列控系統(tǒng)風(fēng)險評估的研究

趙天時 孫 超 黃銀霞

趙天時:中國鐵道科學(xué)研究院標(biāo)準(zhǔn)計量研究所 碩士 100081 北京

孫 超:中國鐵道科學(xué)研究院標(biāo)準(zhǔn)計量研究所 助理研究員 100081 北京

黃銀霞:中國鐵道科學(xué)研究院 標(biāo)準(zhǔn)計量研究所 研究員 100081 北京

CTCS-3級列控系統(tǒng)(以下簡稱C3系統(tǒng))評估技術(shù)研究是一項復(fù)雜的系統(tǒng)工程，需借鑒歐洲ETCS安全評估技術(shù)，并結(jié)合中國鐵路實際，分析C3系統(tǒng)關(guān)鍵的系統(tǒng)功能，識別和評估危險，建立C3系統(tǒng)的安全目標(biāo)，提出減緩措施，才能最終完成C3系統(tǒng)評估技術(shù)及系統(tǒng)認(rèn)證技術(shù)的研究。其中對系統(tǒng)的分析、識別和評估危險，以及開展安全性分析，就稱為風(fēng)險評估技術(shù)。本文概述C3列控系統(tǒng)評估中的風(fēng)險評估技術(shù)。

1 統(tǒng)一建模語言(UML)在研究中的應(yīng)用

統(tǒng)一建模語言(UML)是一種直觀化、明確化，構(gòu)建和文檔化軟件系統(tǒng)產(chǎn)物的通用可視化建模語言。利用UML建立系統(tǒng)模塊對系統(tǒng)行為進行描述，可以減少定義、設(shè)計階段的錯誤，從而實現(xiàn)準(zhǔn)確表達(dá)，避免自然語言帶來的二義性。C3系統(tǒng)是高度復(fù)雜的安全苛求系統(tǒng)，單純使用自然語言很難對系統(tǒng)行為進行清晰準(zhǔn)確的描述，所以在風(fēng)險評估的系統(tǒng)定義階段，需要對系統(tǒng)需求規(guī)范進行結(jié)構(gòu)化分析，通過需求規(guī)范管理，將需求由自然語言轉(zhuǎn)化為UML模型，為后續(xù)風(fēng)險評估奠定基礎(chǔ)。

2 C3系統(tǒng)的風(fēng)險評估

C3系統(tǒng)評估是從系統(tǒng)角度，在系統(tǒng)的生命周期內(nèi)開展的自下而上和自上而下的評估技術(shù)。系統(tǒng)評估涵蓋了系統(tǒng)質(zhì)量管理、安全管理和技術(shù)安全3方面內(nèi)容。下面主要介紹安全管理的重要技術(shù)——風(fēng)險評估技術(shù)。

C3系統(tǒng)風(fēng)險評估通過對系統(tǒng)定義，危險識別及分級，應(yīng)用合適的風(fēng)險接受準(zhǔn)則判斷風(fēng)險的可接受性，對不可接受風(fēng)險進行定量評價，從而將所有危險都納入到危險管理系統(tǒng)。在評估過程中，首先使用UML對系統(tǒng)進行建模，然后使用結(jié)構(gòu)化的頭腦風(fēng)暴、危險及可操作性研究、故障樹分析、事件樹分析和原因結(jié)果分析等安全/風(fēng)險分析工具，對潛在危險進行識別和分析。

C3系統(tǒng)評估安全管理流程圖如圖1所示，虛框中部分為風(fēng)險評估的完整過程，風(fēng)險評估主要內(nèi)容如下。

圖1 系統(tǒng)評估中安全管理流程圖

2.1 系統(tǒng)定義

系統(tǒng)定義階段主要通過分析系統(tǒng)功能，對系統(tǒng)及其狀態(tài)進行定義，需要考慮系統(tǒng)目標(biāo)、系統(tǒng)功能和要素、系統(tǒng)邊界和范圍、物理和功能接口、系統(tǒng)環(huán)境等因素。

根據(jù)《CTCS-3級列控系統(tǒng)總體技術(shù)方案》、《CTCS-3列控系統(tǒng)需求規(guī)范》、《CTCS-3列控系統(tǒng)功能需求規(guī)范》以及其他相關(guān)資料，考慮系統(tǒng)正常運營、降級和緊急模式，識別出C3系統(tǒng)的14個狀態(tài):關(guān)閉(SHD)、開啟(STU)、待機(SBY)、調(diào)車(SHU)、準(zhǔn)備下一任務(wù)(PNM)、開始任務(wù)(BRM)、任務(wù)暫停(SSP)、正常運行(NOP)、降級(DEO)、中斷(ABT)、失效(FLD)、緊急(EMG)、恢復(fù)(REC)、結(jié)束任務(wù)(ENM)。

通過研究這14個運行狀態(tài)及狀態(tài)間轉(zhuǎn)換的相應(yīng)流程，建立覆蓋所有需求的UML模型，并通過選擇狀態(tài)圖和順序圖作為UML模型用圖，使列車運行過程中的核心內(nèi)容以UML圖的形式予以表達(dá)，實現(xiàn)由非形式化分析向半形式化分析轉(zhuǎn)換，為C3危險分析打下基礎(chǔ)。

圖2為系統(tǒng)狀態(tài)圖，描述了C3系統(tǒng)基于事件反應(yīng)的動態(tài)行為，顯示了C3系統(tǒng)如何根據(jù)當(dāng)前所處的狀態(tài)，對不同時間做出反應(yīng)，表達(dá)了C3系統(tǒng)運行過程中14個狀態(tài)間的相互轉(zhuǎn)化。

在完成系統(tǒng)狀態(tài)圖后，開發(fā)每個狀態(tài)相應(yīng)的順序圖，用來反映若干個對象之間的動態(tài)協(xié)作關(guān)系。順序圖重點是顯示對象之間已發(fā)送消息的先后次序，說明對象之間的交互過程，以及系統(tǒng)執(zhí)行過程中在某一具體位置將會有什么事件發(fā)生。每個順序圖描述該狀態(tài)下各個對象在整個場景過程中的狀態(tài)遷移信息及遷移條件信息。

完成UML建模后，從車輛的視角為上述14個狀態(tài)編制狀態(tài)規(guī)范，描述每個狀態(tài)細(xì)節(jié)的流程規(guī)范，澄清每個狀態(tài)的角色、范圍和進入/退出的必要條件。圖3給出關(guān)閉狀態(tài)規(guī)范示例，記錄了CTCS-3系統(tǒng)在關(guān)閉狀態(tài)下的狀態(tài)規(guī)范，并對關(guān)閉狀態(tài)進行定義，之后描述了其進入/觸發(fā)條件、進入路徑、進行何種操作，以及退出條件和退出路徑等。在狀態(tài)規(guī)范中可以通過源索引追溯至之前所開發(fā)的順序圖。狀態(tài)規(guī)范的編制為后續(xù)安全分析工作提供了分析依據(jù)和素材，為后續(xù)分析打下基礎(chǔ)。

圖2 系統(tǒng)狀態(tài)圖

圖3 關(guān)閉(SHD)狀態(tài)規(guī)范

2.2 危險識別和分級

危險識別是為進一步分析工作而辨識出所有潛在的可能危險。從系統(tǒng)化、結(jié)構(gòu)化角度對危險進行識別，主要考慮系統(tǒng)邊界及其與環(huán)境的交互，系統(tǒng)運營模式(如正常、降級、緊急)，包括維護在內(nèi)的系統(tǒng)生命周期，運營環(huán)境(如隧道、橋梁等)，人為因素，環(huán)境條件和相關(guān)可預(yù)測的系統(tǒng)失效模式等方面因素。

通過系統(tǒng)狀態(tài)規(guī)范，識別出系統(tǒng)全部安全功能后，運用HAZOPS等工具分析系統(tǒng)潛在危險，并運用原因結(jié)果分析工具，確定每個危險的原因及結(jié)果。識別危險后，定性確定每個危險的風(fēng)險，再大體上對危險進行分級，一般分為可接受危險和不可接受危險，對于其中不可接受危險，再進行詳細(xì)風(fēng)險分析與評價。

2.3 詳細(xì)風(fēng)險評價

詳細(xì)風(fēng)險評價目的是確定從已識別的危險中提出必須被控制的危險風(fēng)險及其安全措施。在選擇并確定了適合的風(fēng)險接受準(zhǔn)則后，即開始詳細(xì)風(fēng)險評價。首先需要識別該風(fēng)險的初始場景，確定已有安全措施，然后根據(jù)安全準(zhǔn)則進行判斷。該判斷可以使用定性或定量的方式，根據(jù)安全準(zhǔn)則決定判斷方式。在進行量化判斷時，需要確定殘余風(fēng)險Rr，當(dāng)前風(fēng)險Rc和初始風(fēng)險Ri。其中Rr=Rc－ΣRno(Rno為新措施降低風(fēng)險)，Rc=Ri－ΣRco(Rco為當(dāng)前措施降低風(fēng)險)，Ri=Pi×Si(Pi為初始危險發(fā)生頻率，Si為初始危險嚴(yán)重程度)。其具體過程見圖1中詳細(xì)風(fēng)險評價框內(nèi)流程所示。

2.4 風(fēng)險接受評價

詳細(xì)風(fēng)險評價中得出的殘余風(fēng)險Rr與之前確定的風(fēng)險接受準(zhǔn)則相比較，判斷該危險目前是否可接受，如果可以接受，則該危險及其相應(yīng)的安全措施納入安全需求;如果不能接受，則返回詳細(xì)風(fēng)險評價階段，考慮新的安全措施，并評價引入新的安全措施后該危險的新殘余風(fēng)險Rr，再次進行風(fēng)險接受評價。其過程見圖1風(fēng)險接受評價框內(nèi)所示。

2.5 危險日志管理

風(fēng)險評估過程中需要建立并保持危險日志。危險日志需要關(guān)注系統(tǒng)的安全問題。為了清晰一致，危險日志需要在所定義的系統(tǒng)中考慮包含安全措施在內(nèi)的危險識別和假設(shè)等內(nèi)容。

危險日志管理主要內(nèi)容有3方面:①對危險的詳細(xì)信息進行記錄，如危險編號、所屬系統(tǒng)、危險描述、初始條件、危險原因和危險后果等;②安全風(fēng)險定性確定;③風(fēng)險估計、計算以及減緩措施確定。當(dāng)發(fā)生影響系統(tǒng)的重大變更、發(fā)現(xiàn)新危險、事件數(shù)據(jù)中有新事故出現(xiàn)或系統(tǒng)假設(shè)發(fā)生變化時，危險日志都需要更新。

3 結(jié)論

風(fēng)險評估是C3系統(tǒng)評估中的重要技術(shù)。在基于UML語言的無二義性和易于描述等特性的基礎(chǔ)上，借鑒歐洲ETCS安全評估技術(shù)和評估工具，提出從C3系統(tǒng)規(guī)范到UML模型，使用UML順序圖和狀態(tài)圖對C3系統(tǒng)進行安全分析，建立系統(tǒng)安全目標(biāo)，為最終完成C3系統(tǒng)評估技術(shù)及系統(tǒng)認(rèn)證技術(shù)的研究奠定了基礎(chǔ)，對我國C3系統(tǒng)評估的深化研究具有積極作用。

［1］中華人民共和國鐵道部．科技運［2008］34號.CTCS-3級列控系統(tǒng)總體技術(shù)方案［S］．2008．

［2］中華人民共和國鐵道部．科技運［2008］127號.CTCS-3級列控系統(tǒng)需求規(guī)范(SRS)(V1.0)［S］．2008．

［3］中華人民共和國鐵道部．科技運［2008］113號.CTCS-3列控功能需求規(guī)范［S］．2008．

［4］中華人民共和國鐵道部．運基信號［2008］670號.CTCS-3級列控車載設(shè)備人機界面(DMI)顯示規(guī)范［S］．2008．

［5］中華人民共和國鐵道部．300－350km/h鐵路客運專線技術(shù)管理辦法(試行)［S］．北京，2009．

［6］Formal Systems(Europe)Ltd，"Failures－ Divergence Refinement FDR2 User Manual"．(2005)Copyright 1992－2005 Formal Systems(Europe)Ltd．

［7］姚淑珍，金茂忠．UML狀態(tài)圖的形式化建模及其分析［J］．北京航空航天大學(xué)學(xué)報．2007，33(4):472－476.