基于STPA的列控系统安全分析

【摘  要】随着近年来中国的高速铁路和城市轨道交通的高速发展，信号系统也随之更新换代，CTCS-3列控系统和CBTC系统投入使用，列车控制系统的组织方式和操作流程也在发生变化。

STPA的危险分析方法是基于STAMP事故致因理论的危险分析方法，以系统的功能控制图为模型，并以引导词协助分析，它可以在设计完成之前提供指导设计所需要的信息。STPA从最早的概念设计阶段开始，把安全设计到系统中去，是构建更加安全系统的经济、有效的方法。STPA方法的应用，可以在系统设计的概念阶段，识别出列车控制系统基本安全需求，为列车控制系统的设计提供方法指导。

【关键词】STAMP;STPA方法;列车控制系统;安全分析

引言

CTCS-3级列控系统是保障高速铁路列车安全运行的关键系统，应采用有效的方法对其功能安全进行分析，发现影响系统功能安全的关键因素，进而采取适当的措施提高系统的安全性，从而保障列车的安全运行。

Nancy Leveson将系统安全性的问题转化为系统控制的问题，提出了系统理论的事故模型及过程，并以此为基础提出了用于系统安全分析的方法——系统理论的过程分析。与前两类方法相比，STPA更关注系统本身的结构并考虑组件间的非线性关系对系统安全的影响。

1.基于STPA的分析方法流程概述

安全需求辨识是基于STAMP理论，识别出系统的顶层危险后，从列车运行控制系统最初的设计开始，通过STPA方法辨识系统的顶层危险，提出安全需求，用安全需求指导下一步的系统设计，如此迭代进行，遵循safety guide design的原则。通过此过程，明确了列车运行控制系统各组成部分的安全责任，体现安全指导下的列车运行控制系统开发过程，以及安全是构筑到系统设计中的理念。

2.STPA迭代分析过程

2.1系统级危险识别

首先进行系统级的相关危险的识别。系统相关危险就是系统的相关危险状态。列控系统的危险来自于其被控对象—列车。本文选取列车与障碍物相撞这一列车相关的事故为例进行分析。结合事故识别行车场景下的危险，该事故对应的危险如下：

H1 列车与侵入轨道限界内的障碍物相撞，如遗落的维修工具。

2.2 STPA分析迭代过程

（1）分层控制结构图

如果在列车运行的前方有侵入轨道限界内障碍物，那么列車车头与其之间的距离应不小于紧急制动距离。

（2）辨识不安全控制行为及致因分析。对于不安全控制行为用表格的形式呈现其致因因素，致因场景并得到相应的安全需求，在文中以UCA1这一个不安全控制行为的分析为例展示其表格化分析结果：

UCA1 不安全

控制行为 当列车车头与运行前方侵入轨道限界内的障碍物之间距离等于紧急制动距离时，列车未进行紧急制动

C1 致因因素 控制输入或外部信息错误或缺失

S1 致因场景 运营场景 覆盖所有场景

致因 控制器未获知列车运行前方有侵入轨道限界内的障碍物

SaR1 需求 控制器须得到障碍物位置报告

分析所得到的安全需求，将其分配给分层控制结构图中控制器，传感器，执行器等各组成部分，得到安全需求，根据这些安全需求，可以进行下一步的迭代设计。

（3）迭代设计过程。在上一节得到安全需求的基础上，进行下一步的迭代设计，将控制器细化为人工控制器与机器控制器，依然以列车与侵入轨道限界内的障碍物相撞这一危险再次进行STPA分析过程，找到其安全需求，相应地分配给人工控制器与机器控制器。

在有了分层控制结构图作为设计基础后，仍按照上节中的STPA分析过程对于细化后的设计进行分析，具体的过程在文中不再重复赘述。

在分配好各部分的安全需求后，依据相应安全需求再次进行迭代设计，将机器控制器细化为地面设备和车载设备，人工控制器也相应的细化为调度员和值班员，得到迭代后的分层控制结构图：

在对细化后的设计进行STPA分析得到其安全需求。

2.3安全需求

控制算法：

（1）当列车前方警冲标附近存在其他列车时，控制器需要对前方列车车尾是否超过警冲标进行判断。当前方列车车尾超过警冲标或未判断成功时控制器需要在列车与前方车尾位置小于制动距离前提供制动。（2）当列车未收到线路的方向或运行方向与线路方向相悖时不能缓解制动。（3）如果在列车运行的前方有工作人员，那么列车车头与工作人员间的距离应不小于列车的制动距离。（4）控制器须使列车在前方线路静态限速不明时须在进入前方线路前停车（5）列车行驶在静态限速发生改变的线路，控制区控车需要同时满足列车头部和尾部的静态限速。

过程模型：

（1）列车的速度位置信息需要周期性更新。控制器须监测列车速度（包括方向）和位置信息的更新，当列车速度或位置信息停止更新时，控制器输出制动。（2）控制器须知道整列列车的位置范围。（3）控制器计算距离须考虑列车速度和位置信息的更新时间。（4）控制器计算距离时须考虑列车速度和位置信息的正常误差。（5）列车在投入运营前，控制器须确认牵引制动模型参数是否与本次列车一致。

传感器和执行器：

（1）系统需要对采集线路上所有列车位置。（2）传感器需要在列车脱节时依然能够正确的采集其各部分位置。（3）在置信区间X内，列车位置传感器的定位误差须小于Xm。（4）在置信区间X内，列车位置更新周期须小于Xs。（5）系统需要采集列车的运行速度。

3.结语

本文首先从系统级层面找到了顶层事故以及相对应的危险，选取了其中的列车与侵入轨道线界内的障碍物相撞这一危险进行了STPA迭代分析，基于STAMP对已辨识的系统危险进行致因分析，即通过分析系统中存在的控制问题，逐步辨识出导致系统危险的根本原因以及可用于保障系统安全的约束条件。用安全需求来指导设计，展现了由初始控制器分层控制结构图到细化的控制结构图的一次完整的STPA迭代设计过程，并在最终将所得到的安全需求与IRSE的需求作比较，验证STPA应用于列控系统安全分析的有效性，并有其独特的优势。

参考文献

[1]Nancy G. Leveson， “A New Accident Model for Engineering Safer Systems，” Safety Science 42， 237–270，April 2004.

[2]Nancy G. Leveson， System Safety Engineering： Back to the Future， http：//sunnyday.mit.edu/book2.pdf，Cambridge， MA， 2008.

[3]刘金涛，唐涛，徐田华，等.基于UML的CTCS-3级列控系统需求规范形式化验证方法EJ3.中国铁道科学，201l，32（3）：93—99.

作者简介：孙昊天（199--），男，黑龙江大庆人，汉族，硕士研究生，助理工程师，从事轨道交通信号设计研究。