基于STPA的CTCS-1級(jí)列控系統(tǒng)區(qū)域列控?cái)?shù)據(jù)中心安全分析方法的研究.pdf

1、中國(guó)列車(chē)運(yùn)行控制系統(tǒng)1級(jí)(Chinese Train Control System level1，簡(jiǎn)稱CTCS-1)適用于200km/h以下新建及改造線路，采用目標(biāo)-距離連續(xù)速度控制模式監(jiān)控列車(chē)安全運(yùn)行，目前正處于研發(fā)階段。因此，對(duì)該系統(tǒng)進(jìn)行安全分析與評(píng)估，來(lái)識(shí)別特定的應(yīng)用場(chǎng)景存在的安全隱患，有著非常重要的意義。區(qū)域列控?cái)?shù)據(jù)中心(Regional Data Center，簡(jiǎn)稱RDC)作為CTCS-1級(jí)列控系統(tǒng)的核心地面設(shè)備，是一個(gè)實(shí)時(shí)多

2、任務(wù)系統(tǒng)，它處理來(lái)自調(diào)度集中、臨時(shí)限速服務(wù)器和車(chē)站聯(lián)鎖發(fā)送的數(shù)據(jù)，結(jié)合列車(chē)的位置報(bào)告，通過(guò)GSM-R網(wǎng)絡(luò)向車(chē)載設(shè)備發(fā)送線路數(shù)據(jù)和臨時(shí)限速信息。
　　本文研究了基于STPA(System-Theory Process Analysis，系統(tǒng)理論的過(guò)程分析)與模型驗(yàn)證相結(jié)合的RDC安全性分析方法。與傳統(tǒng)的風(fēng)險(xiǎn)識(shí)別方法相比，STPA能夠系統(tǒng)化、模塊化地準(zhǔn)確識(shí)別風(fēng)險(xiǎn)。論文完成的主要工作如下:
　　(1)首先，以RDC的行車(chē)數(shù)據(jù)生成和

3、臨時(shí)限速發(fā)送場(chǎng)景為例，完成了基于STPA的RDC安全分析流程。對(duì)事故和危險(xiǎn)進(jìn)行識(shí)別，使用SysML中的內(nèi)部模塊圖描述CTCS-1級(jí)列控系統(tǒng)的分層控制結(jié)構(gòu)模型，詳細(xì)刻畫(huà)RDC的過(guò)程模型，分析控制行為缺陷并逐項(xiàng)分析系統(tǒng)中的不安全控制行為，最終得到相關(guān)的安全約束和需求(Safety Design Requirement，簡(jiǎn)稱SDR)，為之后的UPPAAL模型驗(yàn)證語(yǔ)句提供來(lái)源。
　　(2)然后，使用SysML對(duì)RDC的主要運(yùn)營(yíng)場(chǎng)景進(jìn)行建模

4、，并將模型轉(zhuǎn)換為時(shí)間自動(dòng)機(jī)模型。使用SysML順序圖對(duì)RDC信息控制中主要流程進(jìn)行建模，包括設(shè)備啟動(dòng)、列車(chē)注冊(cè)、正常行車(chē)、列車(chē)注銷四個(gè)流程，使用SysML順序圖、活動(dòng)圖和狀態(tài)機(jī)圖對(duì)臨時(shí)限速場(chǎng)景進(jìn)行單獨(dú)建模;采用ATL(Atlas Transformation Language)模型轉(zhuǎn)換方法，通過(guò)建立SysML元模型和UPPAAL元模型，以及建立明確的SysML順序圖、活動(dòng)圖和狀態(tài)機(jī)圖到時(shí)間自動(dòng)機(jī)的轉(zhuǎn)換規(guī)則，將SysML順序圖、活動(dòng)圖和狀

5、態(tài)機(jī)圖轉(zhuǎn)換為時(shí)間自動(dòng)機(jī)模型。
　　(3)最后，完成基于STPA的安全分析和基于UPPAAL的驗(yàn)證的結(jié)合，以驗(yàn)證RDC是否滿足SDR和相應(yīng)的功能要求。將STPA分析得到的SDR映射為BNF(Backus Normal Form，巴科斯范式)驗(yàn)證語(yǔ)句，并將其劃分為邏輯功能、時(shí)序功能和安全性三類語(yǔ)句;將SysML模型轉(zhuǎn)換得到的時(shí)間自動(dòng)機(jī)模型進(jìn)行整合，得到時(shí)間自動(dòng)機(jī)模型網(wǎng)絡(luò)，通過(guò)UPPAAL模擬仿真及安全性需求驗(yàn)證，驗(yàn)證了基于STPA的安