CN112783005B - 一种基于仿真的系统理论过程分析方法 - Google Patents

一种基于仿真的系统理论过程分析方法 Download PDF

Info

Publication number
CN112783005B
CN112783005B CN202110017883.7A CN202110017883A CN112783005B CN 112783005 B CN112783005 B CN 112783005B CN 202110017883 A CN202110017883 A CN 202110017883A CN 112783005 B CN112783005 B CN 112783005B
Authority
CN
China
Prior art keywords
model
deviation
simulation
loss
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110017883.7A
Other languages
English (en)
Other versions
CN112783005A (zh
Inventor
钟德明
王天怀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202110017883.7A priority Critical patent/CN112783005B/zh
Publication of CN112783005A publication Critical patent/CN112783005A/zh
Application granted granted Critical
Publication of CN112783005B publication Critical patent/CN112783005B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B17/00Systems involving the use of models or simulators of said systems
    • G05B17/02Systems involving the use of models or simulators of said systems electric
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明提供一种基于仿真的系统理论过程分析方法,包括以下步骤:S1、对系统运行过程进行分析,构建系统运行分析目标;S2、根据系统运行过程构建系统模型,并对系统模型进行扩展,得到扩展模型;S3、运行扩展模型,并根据系统分析目标对运行结果进行分析,识别系统的不安全控制动作和损失场景。本发明能够通过仿真准确、高效识别混杂系统的损失场景,并且同时识别不安全控制动作,避免了在局部部件中识别不安全控制动作和损失场景的不足,也避免了人工方式难以分析复杂行为的不足。

Description

一种基于仿真的系统理论过程分析方法
技术领域
本发明涉及系统安全性分析技术领域,特别涉及一种基于仿真的系统理论过程分析方法。
背景技术
系统理论过程分析(STPA:System-Theoretic Process Analysis)是基于STAMP的危险分析方法。目前,一些关于STPA的标准正在制定,例如:美国机动车工程师学会(SAE:Society of Automotive Engineers)正在制定以下标准:《SAE AIR6913-Using STPAduring Development and Safety Assessment of Civil Aircraft》、《SAE J3187-Applying System Theoretic Process Analysis(STPA)to Automotive Applications》;中国也在开展相关标准预研工作。
STPA方法特别适合于针对复杂的工程系统的安全性分析。目前,STPA方法已经在交通、航天、航空、核电等复杂的工程系统中得到广泛应用。
2018年3月,Nancy G.Leveson和John P Thomas发布了《STPA Handbook》,这是当前国际STPA标准制定、工业应用、学术研究、方法改进的主要依据。目前《STPA Handbook》中的STPA方法采用人工方式在局部部件中进行分析,难以分析复杂系统行为,也难以准确、高效系统地识别不安全控制动作和损失场景。
发明内容
本发明的目的在于提供一种基于仿真的系统理论过程分析方法,能够通过仿真准确、高效识别混杂系统的损失场景,并且同时识别不安全控制动作(UCA),避免了在局部部件中识别UCA和损失场景的不足,也避免了人工方式难以分析复杂行为的不足。
为实现上述目的,本发明提供了如下方案:本发明提供一种基于仿真的系统理论过程分析方法,包括以下步骤:
S1、对系统运行过程进行分析,构建系统运行分析目标;
S2、根据系统运行过程构建系统模型,并对系统模型进行扩展,得到扩展模型;
S3、运行扩展模型,并根据系统分析目标对运行结果进行分析,识别系统的不安全控制动作和损失场景。
优选地,所述系统分析目标包括损失、系统级危险及系统级安全约束;
所述损失具体包括人员伤亡、财产损坏、环境污染、任务失败、信息泄露;
所述系统级危险为在特定条件下可能导致损失的系统状态;
所述系统级安全约束为系统阻止危险发生的所应具备的能力。
优选地,在所述构建系统模型过程中,采用微分方程或差分方程描述连续动态行为,采用状态机描述离散动态行为。
优选地,所述系统模型包括控制器、传感器、执行器以及被控过程部件行为。
优选地,所述扩展模型的构建过程包括:标识控制动作、确定致因因素、设计注入方案及修改系统模型。
优选地,所述设计注入方案的过程为:将控制动作与偏差组合,形成带偏差的控制动作;将致因因素与偏差组合,形成带偏差的致因因素;将带偏差的控制动作与带偏差的致因因素进行组合,得到注入方案。
优选地,所述修改系统模型的过程为:选择一个注入方案,将方案中的控制动作与致因因素的偏差注入到系统模型当中,形成系统扩展模型。
优选地,所述步骤S3的过程为:
S3.1、运行所述扩展模型,并识别所述扩展模型在运行过程中是否出现系统级危险;
S3.2、若出现系统级危险,则将带偏差的控制动作确定为不安全控制动作,将扩展模型运行的整个过程确定为损失场景。
本发明公开了以下技术效果:
本发明不需要额外识别已有STPA方法所需要的上下文(Context),运行系统扩展模型即可支撑UCA的识别;本发明所识别的UCA和损失场景更加准确,避免了“误报”和“漏报”问题;且本发明采用了仿真运行手段替代了人工静态分析,使得识别UCA和相应的损失场景具有更高的效率;同时本发明适用于混杂系统,亦适用于仅有连续动态行为或仅有离散动态行为的系统。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于仿真的系统理论过程分析方法流程示意图;
图2为本发明实施例双水箱系统示意图;
图3为本发明实施例双水箱系统模型示意图;
图4为本发明实施例离散动态行为模型示意图;
图5为本发明实施例连续动态行为模型示意图;
图6为本发明实施例第26号偏差注入方案的扩展模型运行结果示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明,其中包括一个利用本发明对双水箱系统进行分析的示例。
如图1所示,本发明提供一种基于仿真的系统理论过程分析方法,包括以下步骤:
S1、对系统运行过程进行分析,构建系统运行分析目标。
本实施例对系统分析目标进行确定,主要包括识别损失(Identify losses)、识别系统级危险(Identify system-level hazards)及识别系统级安全约束(Identifysystem-level safety constraints)。
其中,损失包括人员伤亡、财产损坏、环境污染、任务失败、信息泄露等。在许多场合,损失被称为事故。
系统级危险是在特定条件下可能导致损失的系统状态,简称危险。
系统级安全约束是系统阻止危险发生的所应具备的能力。系统在运行过程中应当实现系统级安全约束。
损失、系统级危险、系统级安全约束将用于本发明后续的仿真运行过程,用于判断或观察系统仿真运行过程是否出现系统级危险或违反系统级安全约束。
本发明中,系统是指共同作用以实现共同目标的一组部件。一个系统可能包括多个子系统,也可能是更大系统的组成部分。根据《STPA Handbook》所述STPA,系统包括控制器、传感器、执行器以及被控过程等部件。在本步骤,需要明确系统边界、组成部件及部件之间的关系。
S2、根据系统运行过程构建系统模型,并对系统模型进行扩展,得到扩展模型。
本实施例构建的系统模型为混杂系统,混杂系统(Hybrid System)是包括连续动态行为和离散动态行为的系统。其中的连续动态行为和离散动态行为分布在控制器、传感器、执行器以及被控过程当中。
本发明采用微分方程(或差分方程)和状态机描述混杂系统。其中微分方程(或差分方程)用于描述系统中的连续动态行为,而状态机描述系统中的离散动态行为,当离散动态行为较复杂,可以使用状态机的嵌套机制进行描述。由于差分方程和状态机可以在计算机上运行,而微分方程也可以转换成数值计算方程,因此后续可以对混杂系统进行计算机仿真。
所构建的系统模型可以覆盖系统的全部部件的行为,包括控制器、传感器、执行器以及被控过程等各类部件的行为。
在构建完系统模型后,对系统模型的控制动作和致因因素注入“偏差”,形成系统扩展模型。本发明中的“偏差”类型来源于危险与可操作分析(HAZard OPerabilitystudies:HAZOP)、功能共振分析(Functional Resonance Analysis Method:FRAM)、系统理论过程分析(STPA)中所描述的偏差类型。
系统扩展模型是指在系统模型的基础上注入了“偏差”的模型。系统部件、接口、参数、结构、数据等出现偏差是常见现象,也是危险产生的重要原因。有时偏差以“缺陷”的形式出现,但本发明在文字上表述上使用“注入偏差”,而不使用“注入缺陷”的原因在于:1)许多正常出现的偏差不能直接断定为“缺陷”,但是这样的偏差可能在系统的涌现作用下参与危险的形成,就如FRAM方法中所述的变异共振导致危险。2)“偏差”的含义更具有一般性。偏差的内涵可以认为包含了缺陷,因为缺陷或故障、失效可以认为是一种极端形式的偏差。
此外,偏差是许多危险分析方法中的重要概念,采用“注入偏差”概念有利于继承已有危险分析方法的经验。这些使用偏差概念的方法有:
HAZOP通过“无”、“多”、“少”、“伴随”、“部分”、“相反”、“异常”、“早”、“晚”、“先”、“后”引导词表达偏差,然后分析这些偏差是否导致危险。在HAZOP中,“异常”是一种特殊的偏差类型。
FRAM认为变异(Variability)相互作用可能导致危险。其中重点考虑的功能输出变异有“时间太早”、“时间太晚”、“持续太长”、“持续太短”、“距离太长”、“距离太短”、“力量太大”、“太小”、“方向错误”、“顺序逆转”、“顺序错误”等类型,这些变异与HAZOP中的偏差类型相似。
在《STPA Handbook》中的STPA方法中,不安全控制动作(UCA)是其重要概念,UCA的类型有“提供”、“未提供”、“过早”、“过晚”、“错误顺序”、“停止太早”、“持续太久”、“数量不足”、“数量过大”、“方向错误”等类型。这些类型与HAZOP和FRAM中所提的偏差类型相似。
在STPA中,UCA使用了偏差类型,除此以外,损失场景中的致因因素(CausalFactor,CF)也可能存在偏差。通过观察可以发现,STPA中UCA的偏差类型与HAZOP和FRAM中的偏差类型十分相似。另一方面,由于UCA参与了危险的形成,因此UCA也是危险致因因素。因此,在本发明中,控制动作(Control Action:CA)是特殊类型的CF,CA的偏差类型包含于CF的偏差类型,同时,与《STPA Handbook》中的STPA方法类似,本发明认为CA相对其他CF在危险形成过程中扮演了更加重要的作用。
构建扩展模型包括四项处理子过程,它们分别是:A)标识控制动作;B)确定致因因素;C)设计注入方案;D)修改系统模型。
A、标识控制动作
本发明处理过程将系统中的控制动作(CA)标识出来。在后续“设计注入方案”的处理过程中,这些控制动作将和偏差类型进行组合,形成带偏差的控制动作(DeviatedControl Action:DCA)。控制动作有时被理解为控制命令。控制动作分为离散型控制动作和连续型控制动作。
B、确定致因因素
理论上系统或系统模型中的任何组成成分都是危险的致因因素,致因因素分为离散型和连续型两类致因因素。根据STAMP理论,DCA是危险形成的关键致因因素。但除了DCA之外,也存在其他致因因素参与系统危险的形成。
本处理过程将依据经验标识出那些时常出现偏差的致因因素,这些致因因素的偏差形式在以往类似的系统中经常出现。
在确定偏差注入方案处理过程中这部分致因因素将和偏差类型进行组合,形成带偏差的致因因素(Deviated Causal Factor,DCF)。
本处理过程仅识别需要和偏差类型进行组合的致因因素。那些不和偏差类型进行组合的致因因素由于已经存在于系统模型中,不需要被识别,它们将按照自身原有的状态参与扩展模型的运行。
C、设计注入方案
有时一个偏差即可导致危险。有时多个偏差共同作用导致危险。在一些特殊的情况下,系统没有出现偏差也可能进入危险,其原因是系统的涌现行为未得到充分考虑,即系统部件的交互作用没有得到充分分析。针对这些情况,需要设计不同的偏差注入方案,并构建相应的系统扩展模型。
将控制动作与偏差组合,形成DCA。将致因因素与偏差组合,形成DCF。将DCA与DCF进行组合得到不同的偏差注入方案,每一个组合就是一个偏差注入方案。后续“修改系统模型”过程将针对每个注入方案形成一个系统扩展模型。
偏差类型可以来源于HAZOP中的引导词、FRAM中的变异类型、《STPA Handbook》中STPA方法的不安全控制动作(UCA)类型。故障、失效或异常可以当做特殊类型的偏差。“无偏差”也可被认为是一种特殊类型的偏差,即致因因素保持原有状态。
D、修改系统模型
选择一个注入方案,根据其中DCA和DCF所使用的偏差,修改系统模型,将偏差注入到系统模型当中,形成系统扩展模型。重复这步处理,直到每一个注入方案都有一个对应的系统扩展模型。
S3、运行扩展模型,并根据系统分析目标对运行结果进行分析,识别系统的不安全控制动作和损失场景。
本实施例运行系统扩展模型,观察运行过程是否出现系统级危险。这些危险在步骤S1的处理过程中已经被识别。如果系统运行出现危险,将扩展模型中包含的DCA确定为UCA,将扩展模型运行的整个过程确定为损失场景。在本发明中,损失场景是系统在致因因素的参与下产生系统级危险的过程,而UCA是出现在损失场景中的DCA,是在特定情境下可能导致危险的控制行为。
本发明识别UCA,不需要像《STPA Handbook》中的STPA那样人工识别控制动作偏差与系统级危险之间的联系,也不需要使用若干状态变量定义上下文。
本发明识别的损失场景是细化后的系统级危险。细化后的危险是系统级危险的具体实例。例如,“列车车速大于0时,打开列车门”是一个系统级危险,该危险的一个细化危险是“列车车速大于1米/秒时,打开列车门”。特殊情况下,通过分析获得的损失场景可能恰好是一项系统级危险本身。
运行完所有扩展模型之后,梳理汇总系统的UCA及损失场景,得到分析结果。
实施例
本实施例以双水箱系统控制为例,采用本发明方案对双水箱系统控制过程进行分析。
双水箱系统是工业生产中的常见系统,如图2所示,由两个相互连接的圆柱形容器T1和T2组成,其直径分别为12cm和5cm,高度为100cm。V1是T1的进水阀,V12是T2的进水阀,V2是T2的排水阀。V12位于T1的底部位置,距离T2底部39cm。系统的控制器、执行器、传感器和被控过程分别介绍如下:
(1)控制器(Controller)
控制器控制V1、V12、V2的开启或关闭。双水箱系统初始状态为阀门V1、V12、V2均关闭,T1液位Height1和T2液位Height2均为0。控制器在0时刻开启阀门V1,经过时长Time1后开启阀门V12,再经过时长Time2后开启阀门V2,当:
Figure BDA0002887625080000111
其中:Lmax和Lmin用于界定Height2波动的范围。在本示例中,Time1=60秒、Time2=20秒、Lmax=90cm、Lmin=10cm。
控制器的行为属于离散动态行为。
(2)执行器(Actuator)
阀门V1、V12、V2发挥执行器的作用,它们依据控制器发出的控制动作执行阀门的开启或关闭操作,决定了阀门开度的动态行为。
V12的开度是P12、V1的开度是P2。开度即阀门打开的程度。P12和P2的开度范围都是0-80度,0度表示完全打开,80度表示完全关闭。当V12、V2开启或关闭过程时,开度的动态行为具有微分方程形式,即
Figure BDA0002887625080000121
度/秒。
阀门开度的动态行为属于连续动态行为。
(3)传感器(Sensor)
传感器测量T2的液面高度Height2,并将Height2反馈给控制器,该过程属于连续动态行为。
(4)被控过程(Controlled Process)
被控过程描述被控对象的实际运行过程,包括T2液面高度的动态行为、三个阀门流量的动态行为,这些行为属于连续动态行为,使用微分方程描述。
双水箱系统中T1液位Height1和T2的液位Height2可以如下表达:
Figure BDA0002887625080000122
Figure BDA0002887625080000123
式中:
Figure BDA0002887625080000124
为阀门V1流量、
Figure BDA0002887625080000125
为阀门V12流量、
Figure BDA0002887625080000126
为阀门V2流量、A1为T1底面积、A2为T2底面积。
阀门V1流量
Figure BDA0002887625080000127
阀门V12流量
Figure BDA0002887625080000128
阀门V2流量
Figure BDA0002887625080000129
可以如下表达:
Figure BDA0002887625080000131
Figure BDA0002887625080000132
Figure BDA0002887625080000133
其中:K1(P12)为:
Figure BDA0002887625080000134
K2(P2)为:
Figure BDA0002887625080000135
S1、对双水箱系统运行过程进行分析,构建系统运行分析目标。
根据前述描述的系统信息进行分析,确定的损失、系统级危险、系统级安全性约束为:
损失(L:Loss)有:
L1:T2液体溢出导致人员伤亡。
L2:T2液体排干导致设备损坏。
系统级危险(H:Hazard)有:
H1:T2液位Height2高于Lmax+5cm;
H2:T2液位Height2低于Lmin-5cm。
系统级安全性约束(SC:Safety Constraint)有:
SCH1:T2液位Height2不应高于Lmax+5cm;
SCH2:T2液位Height2不应低于Lmin-5cm。
S2、根据双水箱系统运行过程构建系统模型,并对系统模型进行扩展,得到扩展模型。
针对双水箱系统介绍中所描述的执行器、传感器和被控过程的连续动态行为,利用MATLAB中的Simulink进行建模。针对系统介绍中所描述的控制器的离散动态行为,利用MATLAB中Stateflow进行建模。
本实施例所构建双水箱系统模型如图3所示。其中最左侧是系统运行所需要设置的一些输入条件,包括Time1=60秒、Time2=20秒、Lmax=90cm、Lmin=10cm。中间是离散动态行为模型,来源于控制器,展开之后如图4所示。最右侧是连续动态行为模型,来源于执行器、传感器和被控过程,展开之后如图5所示,包括开度、流量、液面的动态行为。由于MATLAB可以将微分方程转换成数值计算方程,因此本实施例中的系统微分方程可以与状态机一同进行计算机仿真。
在构建完系统模型后,对系统模型的控制动作和致因因素注入“偏差”,形成系统扩展模型。
(1)标识控制动作
根据系统介绍和图3所展示的控制器的离散动态行为模型,系统一共6个控制动作,分别是V1开启命令、V1关闭命令、V12开启命令、V12关闭命令、V2开启命令、V2关闭命令。
本实施例处理过程仅标识两个控制动作:V2开启命令、V2关闭命令,分别记做OpenV2、CloseV2。
(2)确定致因因素
双水箱系统中的阀门由于机械设计、制造、物理磨损、化学腐蚀等原因,时常导致开度随时间的变化率发生偏差,通俗地说,就是“开得更快了”、“开得更慢了”或者“不能开了”、“不能关了”。除了开度变化率,双水箱系统中可能还存在其他时常发生偏差的致因因素,本实施例将V12和V2的开度变化率
Figure BDA0002887625080000151
Figure BDA0002887625080000154
列为致因因素,它们的正常值为
Figure BDA0002887625080000152
度/秒。
(3)设计注入方案
A.形成带偏差的控制动作
将正常发出OpenV2记做OpenV2=TRUE,将正常发出CloseV2记做CloseV2=TRUE。控制动作OpenV2=TRUE和CloseV2=TRUE对应的带偏差的控制动作如表1所示。注入的偏差类型可以从《STPA Handbook》所定义的UCA类型选取,亦可以从HAZOP偏差类型或FRAM变异类型选取,这些类型没有本质不同。作为示例,表1中仅选择注入了“偏差为0”、“相反”、“过晚发出”3种偏差类型,针对OpenV2形成了3项DCA,针对CloseV2亦形成3项DCA。
表1
Figure BDA0002887625080000153
Figure BDA0002887625080000161
B.形成带偏差的致因因素
正常情况下
Figure BDA0002887625080000162
度/秒,作为示例,这里针对
Figure BDA0002887625080000163
形成了1项DCF,针对
Figure BDA0002887625080000164
形成了3项DCF,具体如表2所示。
表2
Figure BDA0002887625080000165
C.形成偏差注入方案
对DCA和DCF进行组合,得到3*3*1*3=27个偏差注入方案,具体如表3所示。
表3
Figure BDA0002887625080000166
Figure BDA0002887625080000171
Figure BDA0002887625080000181
(4)修改系统模型
依据每一个注入方案在系统模型中注入偏差,形成扩展模型。最终每个注入方案对应一个扩展模型,共形成27个扩展模型。
以26号偏差注入方案为例,在系统的连续动态行为模型中
Figure BDA0002887625080000191
的值由1度/秒变成1.9度/秒,
Figure BDA0002887625080000193
的值由1度/秒变成0.1度/秒。在离散动态行为模型中,通过after(1,sec)注入延时环节,26号偏差注入方案对应的扩展模型就是经过修改后的系统模型。
S3、运行双水箱扩展模型,并根据系统分析目标对运行结果进行分析,识别系统的不安全控制动作和损失场景。
双水箱系统的两个危险是“H1:T2液位Height2高于Lmax+5cm”、“H2:T2液位Height2低于Lmin-5cm”。由于Lmax=90cm、Lmin=10cm,因此两个危险即“H1:T2液位Height2高于95cm”、“H2:T2液位Height2低于5cm”。
逐一运行每一个扩展模型,观察运行过程中是否出现H1或H2。27个扩展模型其运行出现危险的情况表4所示。
表4
Figure BDA0002887625080000192
Figure BDA0002887625080000201
Figure BDA0002887625080000211
以26号方案为例,其扩展模型运行结果如图6所示。观察结果可以发现,运行过程Height2超出95cm,出现H1。不仅如此,Height2最高已达100cm,在运行过程中T2已出现溢出现象。
由于出现危险,因此该扩展模型中的两个DCA,即“OpenV2=TRUE延迟1秒发出”、“CloesV2=TRUE延迟1秒发出”被确定为UCA,而该扩展模型的运行过程被确定为这两个UCA的损失场景。除此以外,还有两个致因因素参与了危险的形成,即两个DCF:
Figure BDA0002887625080000212
度/秒、
Figure BDA0002887625080000221
度/秒。
作为对比,再以1号方案为例,该方案对应的扩展模型在运行中未出现危险,即不存在损失场景,该方案所注入的OpenV2=TRUE,CloseV2=TRUE不被确定为UCA,也不存在损失场景。
按照上述方法,逐一分析27个扩展模型的运行结果,完成UCA及其损失场景的确定工作,并作为STPA分析的结果输出,如表5所示。
表5
Figure BDA0002887625080000222
Figure BDA0002887625080000231
以上所述的实施例仅是对本发明优选方式进行的描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案做出的各种变形和改进,均应落入本发明权利要求书确定的保护范围内。

Claims (5)

1.一种基于仿真的系统理论过程分析方法,其特征在于,包括以下步骤:
S1、对系统运行过程进行分析,构建系统运行分析目标;
S2、根据系统运行过程构建系统模型,并对系统模型进行扩展,得到扩展模型;所述扩展模型的构建过程包括:标识控制动作、确定致因因素、设计注入方案及修改系统模型;所述设计注入方案的过程为:将控制动作与偏差组合,形成带偏差的控制动作;将致因因素与偏差组合,形成带偏差的致因因素;将带偏差的控制动作与带偏差的致因因素进行组合,得到注入方案;所述修改系统模型的过程为:选择一个注入方案,将方案中的控制动作与致因因素的偏差注入到系统模型当中,形成系统扩展模型;
S3、运行扩展模型,并根据系统分析目标对运行结果进行分析,识别系统的不安全控制动作和损失场景。
2.根据权利要求1所述的一种基于仿真的系统理论过程分析方法,其特征在于,所述系统分析目标包括损失、系统级危险及系统级安全约束;
所述损失具体包括人员伤亡、财产损坏、环境污染、任务失败、信息泄露;
所述系统级危险为在特定条件下可能导致损失的系统状态;
所述系统级安全约束为系统阻止危险发生的所应具备的能力。
3.根据权利要求1所述的基于仿真的系统理论过程分析方法,其特征在于,在所述构建系统模型过程中,采用微分方程或差分方程描述连续动态行为,采用状态机描述离散动态行为。
4.根据权利要求3所述的基于仿真的系统理论过程分析方法,其特征在于,所述系统模型包括控制器、传感器、执行器以及被控过程部件行为。
5.根据权利要求2所述的基于仿真的系统理论过程分析方法,其特征在于,所述步骤S3的过程为:
S3.1、运行所述扩展模型,并识别所述扩展模型在运行过程中是否出现系统级危险;
S3.2、若出现系统级危险,则将带偏差的控制动作确定为不安全控制动作,将扩展模型运行的整个过程确定为损失场景。
CN202110017883.7A 2021-01-07 2021-01-07 一种基于仿真的系统理论过程分析方法 Active CN112783005B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110017883.7A CN112783005B (zh) 2021-01-07 2021-01-07 一种基于仿真的系统理论过程分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110017883.7A CN112783005B (zh) 2021-01-07 2021-01-07 一种基于仿真的系统理论过程分析方法

Publications (2)

Publication Number Publication Date
CN112783005A CN112783005A (zh) 2021-05-11
CN112783005B true CN112783005B (zh) 2022-05-17

Family

ID=75756676

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110017883.7A Active CN112783005B (zh) 2021-01-07 2021-01-07 一种基于仿真的系统理论过程分析方法

Country Status (1)

Country Link
CN (1) CN112783005B (zh)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408262B1 (en) * 1998-03-27 2002-06-18 Iar Systems A/S Method and an apparatus for analyzing a state based system model
US20080319726A1 (en) * 2007-06-19 2008-12-25 Schlumberger Technology Corporation System and method for performing oilfield simulation operations
US20120004893A1 (en) * 2008-09-16 2012-01-05 Quantum Leap Research, Inc. Methods for Enabling a Scalable Transformation of Diverse Data into Hypotheses, Models and Dynamic Simulations to Drive the Discovery of New Knowledge
CN102136017A (zh) * 2011-03-16 2011-07-27 北京航空航天大学 一种适用于动态系统模型的随机因素注入方法
US9064213B2 (en) * 2013-02-05 2015-06-23 International Business Machines Corporation Dynamic model-based analysis of data centers
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
CN108229049B (zh) * 2018-01-17 2021-04-09 中国航空综合技术研究所 基于性能模型进行多状态系统任务可靠性建模的方法
CN108376221B (zh) * 2018-02-27 2021-07-13 哈尔滨工业大学 一种基于aadl模型扩展的软件系统安全性验证与评估方法
CN108398940A (zh) * 2018-03-16 2018-08-14 南京航空航天大学 一种基于stpa形式化模型的安全分析方法
CN109800393B (zh) * 2019-01-18 2021-04-27 南京航空航天大学 支持stpa方法分析uca的电子表格工具的实现方法

Also Published As

Publication number Publication date
CN112783005A (zh) 2021-05-11

Similar Documents

Publication Publication Date Title
CN110008607B (zh) 一种基于stpa模型的功能安全危害和信息安全威胁分析方法
WO2014058900A1 (en) Dynamically reusable classes
DE112009002365T5 (de) Dynamische Benutzerschnittstelle zur Konfiguration und Verwaltung eines Prozesssteuerungssystems
CA2897249C (en) Process control system using typical and adapter components
CN112783005B (zh) 一种基于仿真的系统理论过程分析方法
Shrestha et al. Model checking of security properties in industrial control systems (ics)
Portilla et al. Integration of supervisory control with SCADA system for a flexible manufacturing cell
Ølmheim et al. Decision Support and Monitoring Using Autonomous Systems
Alexandre et al. From centralized to decentralized approach for optimal controller of discrete manufacturing systems
Bonhomme et al. Methodology and tools for the design and verification of a smart management system for home comfort
Marzouk et al. Building information model for selecting environmental building materials
Horta et al. A STAMP based Method to Synthesize Controller of Safety-Critical Systems
Moser et al. Modeling of a Hierarchical Supervisory Controlled Industrial Process for Fault Diagnosis
Reinartz et al. Explicit representation of operator control-actions in Multilevel Flow Modeling
Mhalla et al. Contribution to the monitoring of manufacturing systems with time constraints: application to a surface treatment line
Fong et al. A hybrid modeling strategy for synthesizing diagnostic tests in sequential material-and energy-transfer operations
Cochard et al. Generation of safe plant operation sequences using reachability analysis
Xue et al. Research on design method of safety components in grader control system
Vásquez-Capacho et al. An additional layer of protection through superalarms with diagnosis capability
Sonia et al. Developpement of an industrial application with Neuro-fuzzy systems
Kamach et al. Forbidden and preforbidden states in the multi-model approach
Tilbury Reconfigureable Logic Control for Manufacturing Systems
Ambartsumyan Logic bases of technological process and equipment complex management of the flow-type manufactures
Castro et al. Energy management system based on IEC61131 automation project methodology
Miyagi et al. Modeling of hybrid supervisory systems using UML and Petri nets

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant