【摘? 要】隨著近年來中國的高速鐵路和城市軌道交通的高速發(fā)展，信號系統(tǒng)也隨之更新?lián)Q代，CTCS-3列控系統(tǒng)和CBTC系統(tǒng)投入使用，列車控制系統(tǒng)的組織方式和操作流程也在發(fā)生變化。

STPA的危險分析方法是基于STAMP事故致因理論的危險分析方法，以系統(tǒng)的功能控制圖為模型，并以引導(dǎo)詞協(xié)助分析，它可以在設(shè)計完成之前提供指導(dǎo)設(shè)計所需要的信息。STPA從最早的概念設(shè)計階段開始，把安全設(shè)計到系統(tǒng)中去，是構(gòu)建更加安全系統(tǒng)的經(jīng)濟、有效的方法。STPA方法的應(yīng)用，可以在系統(tǒng)設(shè)計的概念階段，識別出列車控制系統(tǒng)基本安全需求，為列車控制系統(tǒng)的設(shè)計提供方法指導(dǎo)。

【關(guān)鍵詞】STAMP;STPA方法;列車控制系統(tǒng);安全分析

引言

CTCS-3級列控系統(tǒng)是保障高速鐵路列車安全運行的關(guān)鍵系統(tǒng)，應(yīng)采用有效的方法對其功能安全進(jìn)行分析，發(fā)現(xiàn)影響系統(tǒng)功能安全的關(guān)鍵因素，進(jìn)而采取適當(dāng)?shù)拇胧┨岣呦到y(tǒng)的安全性，從而保障列車的安全運行。

Nancy Leveson將系統(tǒng)安全性的問題轉(zhuǎn)化為系統(tǒng)控制的問題，提出了系統(tǒng)理論的事故模型及過程，并以此為基礎(chǔ)提出了用于系統(tǒng)安全分析的方法——系統(tǒng)理論的過程分析。與前兩類方法相比，STPA更關(guān)注系統(tǒng)本身的結(jié)構(gòu)并考慮組件間的非線性關(guān)系對系統(tǒng)安全的影響。

1.基于STPA的分析方法流程概述

安全需求辨識是基于STAMP理論，識別出系統(tǒng)的頂層危險后，從列車運行控制系統(tǒng)最初的設(shè)計開始，通過STPA方法辨識系統(tǒng)的頂層危險，提出安全需求，用安全需求指導(dǎo)下一步的系統(tǒng)設(shè)計，如此迭代進(jìn)行，遵循safety guide design的原則。通過此過程，明確了列車運行控制系統(tǒng)各組成部分的安全責(zé)任，體現(xiàn)安全指導(dǎo)下的列車運行控制系統(tǒng)開發(fā)過程，以及安全是構(gòu)筑到系統(tǒng)設(shè)計中的理念。

2.STPA迭代分析過程

2.1系統(tǒng)級危險識別

首先進(jìn)行系統(tǒng)級的相關(guān)危險的識別。系統(tǒng)相關(guān)危險就是系統(tǒng)的相關(guān)危險狀態(tài)。列控系統(tǒng)的危險來自于其被控對象—列車。本文選取列車與障礙物相撞這一列車相關(guān)的事故為例進(jìn)行分析。結(jié)合事故識別行車場景下的危險，該事故對應(yīng)的危險如下：

H1 列車與侵入軌道限界內(nèi)的障礙物相撞，如遺落的維修工具。

2.2 STPA分析迭代過程

（1）分層控制結(jié)構(gòu)圖

如果在列車運行的前方有侵入軌道限界內(nèi)障礙物，那么列車車頭與其之間的距離應(yīng)不小于緊急制動距離。

（2）辨識不安全控制行為及致因分析。對于不安全控制行為用表格的形式呈現(xiàn)其致因因素，致因場景并得到相應(yīng)的安全需求，在文中以UCA1這一個不安全控制行為的分析為例展示其表格化分析結(jié)果：

UCA1 不安全

控制行為 當(dāng)列車車頭與運行前方侵入軌道限界內(nèi)的障礙物之間距離等于緊急制動距離時，列車未進(jìn)行緊急制動

C1 致因因素 控制輸入或外部信息錯誤或缺失

S1 致因場景 運營場景 覆蓋所有場景

致因 控制器未獲知列車運行前方有侵入軌道限界內(nèi)的障礙物

SaR1 需求 控制器須得到障礙物位置報告

分析所得到的安全需求，將其分配給分層控制結(jié)構(gòu)圖中控制器，傳感器，執(zhí)行器等各組成部分，得到安全需求，根據(jù)這些安全需求，可以進(jìn)行下一步的迭代設(shè)計。

（3）迭代設(shè)計過程。在上一節(jié)得到安全需求的基礎(chǔ)上，進(jìn)行下一步的迭代設(shè)計，將控制器細(xì)化為人工控制器與機器控制器，依然以列車與侵入軌道限界內(nèi)的障礙物相撞這一危險再次進(jìn)行STPA分析過程，找到其安全需求，相應(yīng)地分配給人工控制器與機器控制器。

在有了分層控制結(jié)構(gòu)圖作為設(shè)計基礎(chǔ)后，仍按照上節(jié)中的STPA分析過程對于細(xì)化后的設(shè)計進(jìn)行分析，具體的過程在文中不再重復(fù)贅述。

在分配好各部分的安全需求后，依據(jù)相應(yīng)安全需求再次進(jìn)行迭代設(shè)計，將機器控制器細(xì)化為地面設(shè)備和車載設(shè)備，人工控制器也相應(yīng)的細(xì)化為調(diào)度員和值班員，得到迭代后的分層控制結(jié)構(gòu)圖：

在對細(xì)化后的設(shè)計進(jìn)行STPA分析得到其安全需求。

2.3安全需求

控制算法：

（1）當(dāng)列車前方警沖標(biāo)附近存在其他列車時，控制器需要對前方列車車尾是否超過警沖標(biāo)進(jìn)行判斷。當(dāng)前方列車車尾超過警沖標(biāo)或未判斷成功時控制器需要在列車與前方車尾位置小于制動距離前提供制動。（2）當(dāng)列車未收到線路的方向或運行方向與線路方向相悖時不能緩解制動。（3）如果在列車運行的前方有工作人員，那么列車車頭與工作人員間的距離應(yīng)不小于列車的制動距離。（4）控制器須使列車在前方線路靜態(tài)限速不明時須在進(jìn)入前方線路前停車（5）列車行駛在靜態(tài)限速發(fā)生改變的線路，控制區(qū)控車需要同時滿足列車頭部和尾部的靜態(tài)限速。

過程模型：

（1）列車的速度位置信息需要周期性更新。控制器須監(jiān)測列車速度（包括方向）和位置信息的更新，當(dāng)列車速度或位置信息停止更新時，控制器輸出制動。（2）控制器須知道整列列車的位置范圍。（3）控制器計算距離須考慮列車速度和位置信息的更新時間。（4）控制器計算距離時須考慮列車速度和位置信息的正常誤差。（5）列車在投入運營前，控制器須確認(rèn)牽引制動模型參數(shù)是否與本次列車一致。

傳感器和執(zhí)行器：

（1）系統(tǒng)需要對采集線路上所有列車位置。（2）傳感器需要在列車脫節(jié)時依然能夠正確的采集其各部分位置。（3）在置信區(qū)間X內(nèi)，列車位置傳感器的定位誤差須小于Xm。（4）在置信區(qū)間X內(nèi)，列車位置更新周期須小于Xs。（5）系統(tǒng)需要采集列車的運行速度。

3.結(jié)語

本文首先從系統(tǒng)級層面找到了頂層事故以及相對應(yīng)的危險，選取了其中的列車與侵入軌道線界內(nèi)的障礙物相撞這一危險進(jìn)行了STPA迭代分析，基于STAMP對已辨識的系統(tǒng)危險進(jìn)行致因分析，即通過分析系統(tǒng)中存在的控制問題，逐步辨識出導(dǎo)致系統(tǒng)危險的根本原因以及可用于保障系統(tǒng)安全的約束條件。用安全需求來指導(dǎo)設(shè)計，展現(xiàn)了由初始控制器分層控制結(jié)構(gòu)圖到細(xì)化的控制結(jié)構(gòu)圖的一次完整的STPA迭代設(shè)計過程，并在最終將所得到的安全需求與IRSE的需求作比較，驗證STPA應(yīng)用于列控系統(tǒng)安全分析的有效性，并有其獨特的優(yōu)勢。

參考文獻(xiàn)

[1]Nancy G. Leveson， “A New Accident Model for Engineering Safer Systems，” Safety Science 42， 237–270，April 2004.

[2]Nancy G. Leveson， System Safety Engineering： Back to the Future， http：//sunnyday.mit.edu/book2.pdf，Cambridge， MA， 2008.

[3]劉金濤，唐濤，徐田華，等.基于UML的CTCS-3級列控系統(tǒng)需求規(guī)范形式化驗證方法EJ3.中國鐵道科學(xué)，201l，32（3）：93—99.

作者簡介：孫昊天（199--），男，黑龍江大慶人，漢族，碩士研究生，助理工程師，從事軌道交通信號設(shè)計研究。