CN117670630B - 一种高速铁路联锁系统安全分析方法、系统、设备及介质 - Google Patents
一种高速铁路联锁系统安全分析方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN117670630B CN117670630B CN202410145282.8A CN202410145282A CN117670630B CN 117670630 B CN117670630 B CN 117670630B CN 202410145282 A CN202410145282 A CN 202410145282A CN 117670630 B CN117670630 B CN 117670630B
- Authority
- CN
- China
- Prior art keywords
- determining
- safety
- security
- interlocking system
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 71
- 230000006399 behavior Effects 0.000 claims abstract description 49
- 238000010586 diagram Methods 0.000 claims abstract description 41
- 238000000034 method Methods 0.000 claims description 30
- 238000001514 detection method Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 abstract description 2
- 230000009471 action Effects 0.000 description 24
- 238000013459 approach Methods 0.000 description 18
- 238000013461 design Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 12
- 101100094098 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RSC3 gene Proteins 0.000 description 7
- 238000011161 development Methods 0.000 description 7
- 230000018109 developmental process Effects 0.000 description 7
- 230000014509 gene expression Effects 0.000 description 6
- 101150045592 RSC1 gene Proteins 0.000 description 5
- 101100094096 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RSC2 gene Proteins 0.000 description 5
- 101100029872 Dictyostelium discoideum pitC gene Proteins 0.000 description 4
- 101150095202 RSC4 gene Proteins 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 101100094103 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RSC6 gene Proteins 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000000047 product Substances 0.000 description 2
- 230000000750 progressive effect Effects 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 206010028980 Neoplasm Diseases 0.000 description 1
- 201000011510 cancer Diseases 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000012938 design process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009469 supplementation Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Train Traffic Observation, Control, And Security (AREA)
Abstract
本发明公开一种高速铁路联锁系统安全分析方法、系统、设备及介质,涉及高速铁路安全评估领域,包括获取高速铁路进路的联锁系统;根据所述联锁系统确定初始模型;根据所述初始模型绘制联锁系统的控制结构图;根据所述控制结构图进行不安全控制行为识别,确定安全约束;根据所述安全约束利用Event‑B和卫确定形式化安全约束;根据所述形式化安全约束确定安全分析模型;所述安全分析模型用于对联锁系统进行安全分析。本发明提高联锁系统安全分析的安全性和可靠性。
Description
技术领域
本发明涉及高速铁路安全评估领域,特别是涉及一种高速铁路联锁系统安全分析方法、系统、设备及介质。
背景技术
安全是安全攸关系统的一个重要属性。许多安全攸关系统通过软件实现了强大的功能,软件已经成为这类系统的一个重要组成成分。软件的不可预见的行为可能导致灾难性的后果,如人员伤亡、财产损失或环境干扰。开发安全攸关系统以提高可靠性和安全性的需求日益增加。
STAMP(Systems-Theoretic Accident Model and Processes)模型是一种用于系统安全分析的模型,旨在帮助识别和理解事故发生的根本原因。在STAMP模型中,安全被视为一个控制问题。为了保证系统的安全性,控制目标是确保所有的安全约束都能被满足。基于这一思想,STAMP认为在系统设计、开发和应用期间如果未能完全实施安全约束,就会导致系统故障的发生。STAMP模型的有效实施和操作是通过称为STPA的技术实现。STPA(System-Theoretic Processing Analysis)分为四个步骤:a)确定系统级事故和危险;b)绘制系统控制结构图;c)识别不安全控制行为;d)识别致因场景。尽管STPA功能强大,但通常作为一个单独的分析来应用,所分析出的安全约束没有被有效的验证。
Event-B是一种形式化方法,用于系统建模、规范和验证。它基于抽象事件和状态的概念,以及数学推理来验证系统规范的正确性。通过Event-B建模,可以形式化地描述系统的行为和状态,使得系统的设计和验证更加准确和可靠。它提供了一种严格的数学框架,帮助识别和解决系统中的潜在问题,并提供改进和优化的方向。
发明内容
本发明的目的是提供一种高速铁路联锁系统安全分析方法、系统、设备及介质,可提高联锁系统安全分析的安全性和可靠性。
为实现上述目的,本发明提供了如下方案:
一种高速铁路联锁系统安全分析方法,包括:
获取高速铁路进路的联锁系统;
根据所述联锁系统确定初始模型;
根据所述初始模型绘制联锁系统的控制结构图;
根据所述控制结构图进行不安全控制行为识别,确定安全约束;
根据所述安全约束利用Event-B和卫确定形式化安全约束;
根据所述形式化安全约束确定安全分析模型;所述安全分析模型用于对联锁系统进行安全分析。
本发明还提供一种高速铁路联锁系统安全分析系统,包括:
获取模块,用于获取高速铁路进路的联锁系统;
初始模型确定模块,用于根据所述联锁系统确定初始模型;
控制结构图确定模块,用于根据所述初始模型绘制联锁系统的控制结构图;
安全约束确定模块,用于根据所述控制结构图进行不安全控制行为识别,确定安全约束;
形式化安全约束确定模块,用于根据所述安全约束利用Event-B和卫确定形式化安全约束;
安全分析模型确定模块,用于根据所述形式化安全约束确定安全分析模型;所述安全分析模型用于对联锁系统进行安全分析。
本发明还提供一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如所述的方法。
本发明还提供一种计算机存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如所述的方法。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明获取高速铁路进路的联锁系统;根据所述联锁系统确定初始模型;根据所述初始模型绘制联锁系统的控制结构图;根据所述控制结构图进行不安全控制行为识别,确定安全约束;根据所述安全约束利用Event-B和卫确定形式化安全约束;根据所述形式化安全约束确定安全分析模型;所述安全分析模型用于对联锁系统进行安全分析,从而提高联锁系统安全分析的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明总体方案流程框图;
图2为联锁系统初始控制结构图;
图3为联锁系统第一层精化控制结构图;
图4为联锁系统第二层精化控制结构图;
图5为联锁系统第三层精化控制结构图;
图6为本发明提供的高速铁路联锁系统安全分析方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种高速铁路联锁系统安全分析方法、系统、设备及介质,可提高联锁系统安全分析的安全性和可靠性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1和图6所示,本发明提供的一种高速铁路联锁系统安全分析方法,包括:
步骤101:获取高速铁路进路的联锁系统。
步骤102:根据所述联锁系统确定初始模型。
步骤103:根据所述初始模型绘制联锁系统的控制结构图。
步骤103,具体包括:根据所述初始模型利用轨道区段绘制联锁系统的控制结构图。
步骤104:根据所述控制结构图进行不安全控制行为识别,确定安全约束。
步骤104,具体包括:根据所述控制结构图利用道岔和道岔位置进行不安全控制行为识别,确定安全约束。
步骤105:根据所述安全约束利用Event-B和卫确定形式化安全约束。
步骤105,具体包括:基于轨道区段检测根据所述安全约束利用Event-B和卫确定形式化安全约束。
步骤106:根据所述形式化安全约束确定安全分析模型;所述安全分析模型用于对联锁系统进行安全分析。
步骤106,具体包括:根据所述形式化安全约束利用联锁系统确定安全分析模型。
根据STPA方法的前三个步骤,可以分析出STAMP模型中的安全约束。结合Event-B建模,出了一种自顶向下的分层次开发模型方法,以逐步引入安全约束并确保系统的安全性。在每个开发阶段,将仔细分析系统的功能和控制结构,并识别潜在的危险和安全风险。通过STPA的分析结果,得到了STAMP模型的安全约束,这些安全约束描述了系统中必须满足的安全条件。随后,将这些安全约束转化为Event-B形式化表达,并在对应的事件中加入卫(guard,grd)来限制事件的执行条件。只有当满足卫中规定的条件时,对应的事件才能被执行。这样的设计保证了系统满足安全约束,避免系统进入不安全状态。通过这种逐步引入安全约束的方法,能够及时验证当前设计系统是否安全,在系统设计的早期阶段进行修正和改进,并在系统开发过程中不断优化系统的安全性和可靠性。本发明是将STAMP模型与Event-B建模方法结合得到的。在实际应用中的具体步骤如下:
步骤一:联锁系统需求提取
本发明中的联锁系统是基于进路的联锁控制系统,通过联锁软件实现联锁逻辑运算,并以联锁逻辑运算的结果形成各种控制行为,驱动控制电路工作,对站场中道岔,轨道区段等被控设备施加具体的操作和控制,实现对进路的管理和控制,从而完成联锁系统功能。联锁系统有以下主要功能:
1.列车控制:联锁系统负责控制列车的进站、出站、停车和发车等操作。它通过监控轨道区段的状态,确保列车按照规定的进路和时刻表安全运行。
2.区段控制:车站区域内的轨道被划分为多个区段,联锁系统负责控制和监控这些区段的占用和释放。它确保同一时间内只有一个列车可以占用一个区段,防止列车之间的冲突和碰撞。
3.道岔控制:车站内的道岔用于将列车引导到不同的轨道,联锁系统控制道岔的切换操作,确保在列车通过之前正确设置道岔位置,以提供合适的进路。
铁路联锁系统是铁路运营中的重要组成部分,用于确保列车在铁路轨道上安全运行,避免碰撞和其他事故。以下是铁路联锁系统如何实现其功能的一般步骤和组件:
1.传感器:
轨道上安装了传感器,被用于检测轨道状态、列车位置、速度等信息。
2.进路锁定:
当列车进入某个区段时,进路锁定是铁路联锁系统的重要功能。它会确保列车只有在特定条件下才能进入特定的区段,以防止不安全的情况发生。
3.安全逻辑控制器:
铁路联锁系统使用安全逻辑控制器,通常是PLC(可编程逻辑控制器)或者更现代的计算机系统。这些控制器根据传感器数据和预定的逻辑规则,判断列车是否可以行驶、停车或进入特定区段。
4.联锁表格和逻辑规则:
联锁系统通过联锁表格和逻辑规则来实现列车运行的安全控制。联锁表格记录了轨道上各个区段、道岔等的状态。逻辑规则则定义了列车在不同状态下的操作顺序和条件。
5.列车位置检测:
联锁系统需要准确地知道每列车的位置,以便进行正确的控制和判断。这可以通过各种方法实现,如轨道电路、无线传感器等。
6.进路控制:
联锁系统会根据列车位置、轨道状态等信息,计算并控制每列车的进路,确保列车按照安全的顺序进入和通过不同的区段。
7.交叉口和道岔控制:
铁路线路上的交叉口和道岔也受到联锁系统的控制。系统会确保在适当的时机切换道岔,使列车可以正确地进入目标轨道。
根据对联锁系统的主要功能进行分析,可以得出联锁系统需要满足以下需求:
需求1:一个轨道网络中有固定数量的进路。
需求2:每条进路由一组有序的轨道区段组成。
需求3:轨道区段分为道岔区段和无岔区段。
需求4:轨道区段有三种状态:空闲、预留和占用。
需求5:每个轨道区段对应一个轨道区段空闲检测设备。
需求6:两条满足行驶条件的进路之间不能有冲突。
需求7:满足行驶条件的进路的道岔必须锁闭在正确的位置上。
步骤二:联锁系统分层次设计开发
采用分层次的设计思想来实现步骤一中所描述的联锁系统需求。每层模型都在上一层模型的基础上进行完善,通过逐步完善模型的分层设计,确保系统能够实现所有的需求。下面列举出其中一种分层次设计的模型,每层模型在上一层模型的基础上增加的需求也对应被列出。模型由控制结构图、安全约束和形式化安全约束组成,每一层模型都包含这些要素,相当于这里是总的一个设计,后面步骤都是对这个设计的模型进行逐步的开发。
初始模型:抽象地指定系统中的进路,重点是无碰撞属性(需求1,需求6)。
第一层模型:引入轨道区段以及轨道区段和进路之间的联系(需求2)。
第二层模型:引入道岔和道岔位置(需求3,需求7)。
第三层模型:引入轨道区段空闲检测(需求4,需求5)。
每层模型包括控制结构图、不安全分析表、安全约束等。
步骤三:确定联锁系统级事故和危险
步骤三包括以下内容:
1、将安全总目标设置为该系统所不能接受的事故。
2、根据该系统的具体信息,明确上述1中总目标设置的系统级事故,联锁系统中系统级事故可以定义为两类:列车碰撞和列车脱轨。
3、根据系统级事故分析出导致事故发生的系统级危险,表1列出了联锁系统中的系统级事故与系统级危险的对应关系(H1,H2,H3表示危险)。
此步骤是确定系统级事故和危险,是步骤五的分析的基础,步骤五主要是分析出什么样的情况下会导致系统级事故和危险的发生。
表1:系统级事故和危险表
步骤四:绘制联锁系统控制结构图
根据步骤二进行初始模型的开发,在初始安全控制结构中,仅考虑逻辑对象进路。具体如图2所示,在初始功能控制结构图中,列车自动监控系统根据联锁系统的进路状态,为临近(驶离)车站的列车发送进路请求控制行为请求进路驶入(驶离)车站。在进路征用成功后,列车发送进入进路控制行驶入(驶离)车站,同时占用已经征用进路。在列车驶离当前占用进路的最后一个区段后,列车发送离开进路控制行为,驶离并释放被占用进路。在功能控制结构图中,实线方框代表系统中不同的组件,箭头代表控制行为或反馈行为。
步骤五:识别不安全控制行为并设计安全约束
根据步骤四绘制的控制结构图,可以确定其中包含请求进路、取消进路、前进和停止控制行为。接下来,将对这些控制行为进行分析,评估它们是否存在潜在的不安全性,以及是否可能导致系统级危险的发生。具体为按四种类型分析控制结构图中的控制操作,通过人工分析得出,通常为行业内专家进行分析。
不安全的控制行为可通过以下四个类型涵盖:a)未提供控制操作;b)提供了不安全的控制操作,会导致危险;c)提供了控制操作,但是操作执行得过早、过迟或以错误的顺序被执行;d)提供了控制操作,但是操作过早停止或持续时间过长。
对于系统中的每一个控制操作,均按以上四种类型分析是否会引发危险,会引发步骤三中哪(几)种系统级危险(H1,H2,H3)。
初始的模型是一个抽象的模型(先建立一个相对抽象的模型有助于简化分析),通过逐步细化,模型变得越来越具体。分析初始模型得到安全约束,并根据安全约束在Event-B中建立对应的形式化表达,并加入模型中,证明模型是满足安全约束的。
联锁系统初始控制结构图的不安全控制行为分析结果如表2所示,其中的H表示Hazard,翻译为“危险“;UCA表示Unsafe Control Action,翻译为“不安全控制行为”;[H1]-UCA1表示不安全控制行为UCA1会引发系统级危险H1发生,[H1]-UCA2表示不安全控制行为UCA2会引发系统级危险H1发生,[H1]-UCA3表示不安全控制行为UCA3会引发系统级危险H1发生,[H1]-UCA4表示不安全控制行为UCA4会引发系统级危险H1发生,也就是表示危险和不安全控制行为之间的对应关系。
表2:联锁系统初始模型不安全控制行为分析表
根据不安全的控制行为,设置初始模型的安全约束,如表3所示。其中的RSC表示Required Safety Constraints ,翻译为"必需的安全约束",RSC1-UCA1表示安全约束RSC1能够保证不安全控制行为UCA1不发生;RSC2-UCA2表示安全约束RSC2能够保证不安全控制行为UCA2不发生;RSC3-UCA3,UCA4表示安全约束RSC3能够保证不安全控制行为UCA3,UCA4不发生;也就是表示不安全控制行为和安全约束之间的对应关系。
表3:联锁系统初始模型安全约束表
步骤六:根据安全约束建立对应的形式化安全约束
根据步骤五分析出的安全约束,用Event-B建立对应的形式化表达,并在对应的事件中加入卫(grd),通过卫(grd)来限制事件的执行条件,可以确保系统只在满足安全条件的情况下才会执行相应的操作。这有助于避免系统进入不安全状态,提高系统的安全性和可靠性。卫是事件执行的条件,只有满足相应的卫,事件才能够执行。
Event-B是一种形式化方法,用于软件和系统的规格、设计和验证。它基于B方法,是一种用于开发高可信系统的形式化方法论之一。Event-B的核心思想是通过定义状态、事件和不变式来描述系统,从而允许系统开发者在不同抽象层次上进行系统建模、验证和分析。
主要的Event-B概念包括:
状态:系统的状态由一组变量组成,这些变量可以表示系统中的属性和状态。
事件:事件是系统中可能发生的变化,可以修改状态变量的值。每个事件都以一些卫条件(guard)和可能改变的状态变量的赋值(actions)来描述。
不变式:不变式是描述系统状态必须满足的属性,它们在系统的运行过程中始终保持不变。这些不变式有助于确保系统在运行过程中不会违反某些重要性质。
在初始的模型中,专注于进路的概念和它们之间的抽象关系。在这层模型中,请求进路被建模为事件Route_Request,取消进路被建模为事件Route_Cancel,列车驶入进路被建模为事件Train_Enter。RouteId表示为进路,PATH表示为进路所对应的路径,RouteId_Res表示预留的进路,RouteId_Occ表示占用的进路。征用的进路分为预留的进路和占用的进路两种。
Route2InitPath表示为进路和路径之间的全函数映射关系(定义域为所有的进路,值域为所有的路径),Route2CurrPath表示为进路和路径之间的偏函数映射关系(定义域为征用的进路,值域为征用的路径),PathConflict为路径与路径之间笛卡尔积的子集关系,表示冲突的路径关系,路径冲突表示对应的进路存在冲突。
grd就是安全约束在模型中的符号表达,例如请求的进路r跟征用的进路之间不冲突用符号表达就是r不属于征用(预留和占用)的进路,也就是来表示不冲突也就是说这个卫就是用Event-B的符号语言来表达安全约束。
为了保证安全约束RSC1:请求的进路r跟征用的进路之间不冲突。在请求进路(Route_Request)事件中添加添加卫1(grd1),设置请求的进路不属于征用的进路。
为了保证安全约束RSC2:取消的进路r跟占用的进路之间不冲突。在取消进路(Route_Cancel)事件中添加卫2(grd2),设置取消的进路r不属于占用的进路。
为了保证安全约束RSC3:计算机联锁系统应提供前进命令当进路被预留且不与占用进路冲突时,默认为停止命令。在列车驶入进路(Train_Enter)事件中添加卫3(grd3)和卫4(grd4),卫3表示当前进路为预留的进路,卫4表示列车请求驶入的进路r对应的路径集合与占用进路对应的路径集合之间没有交集。满足卫3和卫4时,联锁系统才能给列车发送前进命令,使列车进入该条进路。
步骤七:精化模型
第一层模型
根据步骤二进行第一层模型的开发,在初始模型的基础上引入轨道区段,重复步骤四:在新的精化模型中对原有控制结构图进行补充。如图3所示。
重复步骤五:在初始模型的不安全控制行为分析表的基础上进行修改或补充。按四种类型分析控制结构图中的控制操作,通过人工分析得出,通常为行业内专家进行分析,因为考虑了轨道区段,所以分析的结果有所改变。第一层控制结构图的不安全控制行为分析结果如表4所示:
表4:联锁系统第一层模型不安全控制行为分析表
根据不安全的控制行为,设置第一层模型的安全约束,如果表5所示。
表5:联锁系统第一层模型安全约束表
重复步骤六:将轨道区段引入到Event-B模型中,在初始模型的基础上引入新的数据类型Block表示轨道区段。根据STPA分析出的安全约束可以看到,安全约束由原先的进路之间不冲突,进一步细化为进路之间的轨道区段不冲突。通过分析得到安全约束,然后将安全约束转化为Event-B的形式化表达,将形式化表达加入Event-B中事件的卫(也就是事件发生的约束条件),这样能保证建立的Event-B模型是满足所分析出的安全约束,让建立的模型更安全可靠。
Block2Route表示为轨道区段和进路之间的偏函数映射关系(定义域为征用的进路的轨道区段,值域为征用的进路),Path2block表示路径和轨道区段之间的笛卡尔积的子集关系。
为了保证安全约束RSC1,修改Event-B模型中请求进路(Route_Request)事件,添加卫5(grd5)表示请求的进路对应的路径的轨道区段集合与征用的进路的轨道区段集合之间没有交集。
为了保证安全约束RSC2,修改Event-B模型中取消进路(Route_Cancel)事件,添加卫6 (grd6)表示取消的进路对应的路径的轨道区段集合和占用的进路的轨道区段集合之间没有交集。
为了保证安全约束RSC3,修改Event-B模型中列车驶入进路(Train_Enter)事件,添加卫7(grd7)表明当前列车驶入的进路对应的路径的轨道区段集合和占用进路的轨道区段集合之间没有交集。
第二层模型
根据步骤二进行第二层模型的开发,在第一层模型的基础上引入道岔和道岔位置,重复步骤四:在新的精化模型中对原有控制结构图进行补充。如图4所示。
重复步骤五:在第一层模型的不安全控制行为分析表的基础上进行修改或补充。第二层控制结构图的不安全控制行为分析结果如表6、表7所示,其中的[H1,H2]-UCA4表示不安全控制行为UCA4会引发系统级危险H1和H2发生,[H1]-UCA5表示不安全控制行为UCA5会引发系统级危险H1发生,[H1,H2]-UCA6表示不安全控制行为UCA6会引发系统级危险H1和H2发生,[H1,H2]-UCA7表示不安全控制行为UCA7会引发系统级危险H1和H2发生,[H1,H2,H3]-UCA8表示不安全控制行为UCA8会引发系统级危险H1、H2和H3发生,[H3]-UCA9表示不安全控制行为UCA9会引发系统级危险H3发生。
表6:联锁系统第二层模型不安全控制行为分析表
表7:联锁系统第二层模型不安全控制行为分析表
根据不安全的控制行为,设置第二层模型的安全约束,如表8所示。其中,RSC3-UCA3,UCA4,UCA5,UCA6表示安全约束RSC3能够保证不安全控制行为UCA3,UCA4,UCA5,UCA6不发生;RSC4-UCA7,UCA8表示安全约束RSC4能够保证不安全控制行为UCA7,UCA8不发生,RSC5-UCA9表示安全约束RSC5能够保证不安全控制行为UCA9不发生。
表8:联锁系统第二层模型安全约束表
/>
重复步骤六:将道岔和道岔位置引入到Event-B模型中,在第一层模型的基础上引入新的数据类型POINT表示道岔,POS表示道岔位置,Point2Pos为道岔和进路所要求道岔位置的全函数关系,Route_Point2Pos为进路,道岔,道岔的实际位置之间的全函数关系。
RSC1和RSC2没有改变,不需要修改。为了保证安全约束RSC3和RSC4,修改Event-B模型中列车驶入进路(Train_Enter)事件,添加卫8(grd8):保证列车只有在道岔锁闭在正确位置时(即道岔实际位置和进路所要求位置一致)才能驶入该条进路。
为了保证安全约束RSC5。设置不变式1(inv1),表示占用进路中道岔必须锁闭在正确的位置(即道岔实际位置和进路所要求位置一致)。
第三层模型
根据步骤二进行第三层模型的开发,在第二层模型的基础上引入轨道区段检测。重复步骤四:在新的精化模型中对原有控制结构图进行补充,图5为引入轨道区段状态后第三层模型的控制结构图。
重复步骤五:在第二层模型的不安全控制行为分析表的基础上进行修改或补充。第三层控制结构图的不安全控制行为分析结果如表9和表10所示,其中,[H1,H2]-UCA5表示不安全控制行为UCA5会引发系统级危险H1和H2发生,[H1]-UCA6表示不安全控制行为UCA6会引发系统级危险H1发生,[H1,H2]-UCA7表示不安全控制行为UCA7会引发系统级危险H1和H2发生,[H1,H2]-UCA8表示不安全控制行为UCA8会引发系统级危险H1和H2发生,[H1,H2]-UCA9表示不安全控制行为UCA9会引发系统级危险H19和H29发生,[H3]-UCA10表示不安全控制行为UCA10会引发系统级危险H3发生,[H3]-UCA11表示不安全控制行为UCA11会引发系统级危险H3发生。
表9:联锁系统第三层模型不安全控制行为分析表
表10:联锁系统第三层模型不安全控制行为分析表
根据不安全的控制行为,设置第三层模型的安全约束,如表11所示。其中,RSC3-UCA3表示安全约束RSC3能够保证不安全控制行为UCA3不发生;RSC4-UCA4,UCA5,UCA6,UCA7表示安全约束RSC4能够保证不安全控制行为UCA4,UCA5,UCA6,UCA7不发生,RSC5-UCA8,UCA9表示安全约束RSC5能够保证不安全控制行为UCA8,UCA9不发生,RSC6-UCA10,UCA11表示安全约束RSC6能够保证不安全控制行为UCA10,UCA11不发生。
表11:联锁系统第三层模型安全约束表
重复步骤六:将轨道区段状态引入到Event-B模型中,在第二层模型的基础上引入新的数据类型STATUS表示轨道区段状态。公理1(axm1)定义轨道区段有三种状态(STATUS):空闲(Vacant),预留(Reserved)和占用(Occupied)。定义Block2Status为轨道区段(BLOCK)和轨道区段状态(STATUS)的全函数关系。
axm1:partition(STATUS,{Vacant},{Reserved},{Occupied})
为了保证安全约束RSC1,修改Event-B模型中请求进路(Route_Request)事件,添加卫9(grd9)表示请求的进路的轨道区段集合和预留的轨道区段集合之间没有交集。
为了保证安全约束RSC2,修改Event-B模型中请求进路(Route_Request)事件,添加卫10(grd10)表示请求的进路的轨道区段集合和占用的轨道区段集合之间没有交集。
为了保证安全约束RSC3,修改Event-B模型中取消进路(Route_Cancel)事件,添加卫11(grd11)表示取消的进路的轨道区段集合和占用的轨道区段集合之间没有交集。
安全约束RSC4,RSC5和RSC6没有改变,不需要修改。
该方案可以用来发现系统的不安全控制行为,通过在Event-B模型中添加严格的卫来消除安全隐患。通过使用这一方法,可以对高速铁路联锁系统的设计进行验证,以确保在系统的设计阶段满足安全约束。通过逐步添加卫,可以有效地提高系统的安全性,并在设计过程中降低潜在的风险。这个方法的优势在于它在整个开发周期中都可以为系统设计提供指导,从而确保高速铁路联锁系统达到高度的可靠性和安全性。
把分析出的安全约束表达为Event-B中的卫,并加入到对应的Event-B模型中的事件中,从而保证系统安全,这个就是整个方案中提及的方法。Event-B建模是一种建模方法,就是将分析出的安全约束用Event-B来表达,也就是方案中提及的数学逻辑符号,把这个语句对应的加入到Event-B模型中去即可。
本发明还提供一种高速铁路联锁系统安全分析系统,包括:
获取模块,用于获取高速铁路进路的联锁系统。
初始模型确定模块,用于根据所述联锁系统确定初始模型。
控制结构图确定模块,用于根据所述初始模型绘制联锁系统的控制结构图。
安全约束确定模块,用于根据所述控制结构图进行不安全控制行为识别,确定安全约束。
形式化安全约束确定模块,用于根据所述安全约束利用Event-B和卫确定形式化安全约束。
安全分析模型确定模块,用于根据所述形式化安全约束确定安全分析模型;所述安全分析模型用于对联锁系统进行安全分析。
本发明还提供一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如所述的方法。
本发明还提供一种计算机存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如所述的方法。
本发明的优势如下:
1、本方法基于STAMP模型,它不仅关注单个组件或事件,而是将系统作为一个整体进行考虑。这种系统性的分析有助于深入理解事故发生的根本原因,而不仅仅是表面的故障。
2、本方法采用Event-B进行形式化建模,能够将安全约束清晰地转化为数学概念和关系。通过将安全约束转化为卫(grd)并融入事件中,限制了事件的执行条件,从而确保系统只有在满足安全条件时才会执行相应的事件。这种方式有助于预防系统陷入不安全状态,进而提升系统的安全性和可靠性水平。
3、通过结合STAMP模型和Event-B模型,通过分层次开发的思想,不仅能尽早发现软件的危险原因,并将其纳入考虑范围以制定相应的模型安全要求,还能减少模型层面的安全分析和验证的成本。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (4)
1.一种高速铁路联锁系统安全分析方法,其特征在于,包括:
获取高速铁路进路的联锁系统;
根据所述联锁系统确定初始模型;
根据所述初始模型绘制联锁系统的控制结构图,具体包括:根据所述初始模型利用轨道区段绘制联锁系统的控制结构图;
根据所述控制结构图进行不安全控制行为识别,确定安全约束,具体包括:根据所述控制结构图利用道岔和道岔位置进行不安全控制行为识别,确定安全约束;
根据所述安全约束利用Event-B和卫确定形式化安全约束,具体包括:基于轨道区段检测根据所述安全约束利用Event-B和卫确定形式化安全约束;
根据所述形式化安全约束确定安全分析模型;所述安全分析模型用于对联锁系统进行安全分析。
2.一种高速铁路联锁系统安全分析系统,其特征在于,包括:
获取模块,用于获取高速铁路进路的联锁系统;
初始模型确定模块,用于根据所述联锁系统确定初始模型;
控制结构图确定模块,用于根据所述初始模型绘制联锁系统的控制结构图,具体包括:根据所述初始模型利用轨道区段绘制联锁系统的控制结构图;
安全约束确定模块,用于根据所述控制结构图进行不安全控制行为识别,确定安全约束,具体包括:根据所述控制结构图利用道岔和道岔位置进行不安全控制行为识别,确定安全约束;
形式化安全约束确定模块,用于根据所述安全约束利用Event-B和卫确定形式化安全约束,具体包括:基于轨道区段检测根据所述安全约束利用Event-B和卫确定形式化安全约束;
安全分析模型确定模块,用于根据所述形式化安全约束确定安全分析模型;所述安全分析模型用于对联锁系统进行安全分析。
3.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1所述的方法。
4.一种计算机存储介质,其特征在于,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410145282.8A CN117670630B (zh) | 2024-02-02 | 2024-02-02 | 一种高速铁路联锁系统安全分析方法、系统、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410145282.8A CN117670630B (zh) | 2024-02-02 | 2024-02-02 | 一种高速铁路联锁系统安全分析方法、系统、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117670630A CN117670630A (zh) | 2024-03-08 |
CN117670630B true CN117670630B (zh) | 2024-04-30 |
Family
ID=90073555
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410145282.8A Active CN117670630B (zh) | 2024-02-02 | 2024-02-02 | 一种高速铁路联锁系统安全分析方法、系统、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117670630B (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101904426B1 (ko) * | 2017-12-05 | 2018-10-04 | 대아티아이 (주) | 철도안전관제를 위한 선로 변 작업 안전감시 시스템 및 이를 이용한 감시 방법 |
EP3395643A1 (en) * | 2017-04-28 | 2018-10-31 | ALSTOM Transport Technologies | Method for checking safety requirements of ssi-based data used in an interlocking control system |
CN110008607A (zh) * | 2019-04-11 | 2019-07-12 | 上海工业控制安全创新科技有限公司 | 一种基于stpa模型的功能安全危害和信息安全威胁分析方法 |
CN112163304A (zh) * | 2020-08-20 | 2021-01-01 | 西安交通大学 | 一种输电网冗余约束识别方法、存储介质及计算设备 |
CN113326040A (zh) * | 2021-06-30 | 2021-08-31 | 同济大学 | 一种轨道交通联锁系统的开发与实现方法 |
WO2022037430A1 (zh) * | 2020-08-17 | 2022-02-24 | 北京航空航天大学 | 一种准确识别损失场景的stpa方法和装置 |
KR102448793B1 (ko) * | 2021-11-09 | 2022-09-29 | 주식회사 우진기전 | 복합 연동장치를 이용한 철도상태 기반(cbm) 유지보수 예측시스템 |
JP2023036000A (ja) * | 2021-08-31 | 2023-03-13 | 合同会社バビエカ | 組み合わせ決定支援システム、組み合わせ決定支援方法、組み合わせ決定支援プログラム |
CN115808907A (zh) * | 2022-11-17 | 2023-03-17 | 华侨大学 | 一种基于通信的列车控制系统的验证方法及验证系统 |
CN115933485A (zh) * | 2022-12-21 | 2023-04-07 | 华侨大学 | 基于控制结构层次划分的安全攸关系统控制方法及装置 |
CN116187104A (zh) * | 2023-04-27 | 2023-05-30 | 华侨大学 | 一种轨道交通联锁系统安全分析开发方法及装置 |
-
2024
- 2024-02-02 CN CN202410145282.8A patent/CN117670630B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3395643A1 (en) * | 2017-04-28 | 2018-10-31 | ALSTOM Transport Technologies | Method for checking safety requirements of ssi-based data used in an interlocking control system |
KR101904426B1 (ko) * | 2017-12-05 | 2018-10-04 | 대아티아이 (주) | 철도안전관제를 위한 선로 변 작업 안전감시 시스템 및 이를 이용한 감시 방법 |
CN110008607A (zh) * | 2019-04-11 | 2019-07-12 | 上海工业控制安全创新科技有限公司 | 一种基于stpa模型的功能安全危害和信息安全威胁分析方法 |
WO2022037430A1 (zh) * | 2020-08-17 | 2022-02-24 | 北京航空航天大学 | 一种准确识别损失场景的stpa方法和装置 |
CN112163304A (zh) * | 2020-08-20 | 2021-01-01 | 西安交通大学 | 一种输电网冗余约束识别方法、存储介质及计算设备 |
CN113326040A (zh) * | 2021-06-30 | 2021-08-31 | 同济大学 | 一种轨道交通联锁系统的开发与实现方法 |
JP2023036000A (ja) * | 2021-08-31 | 2023-03-13 | 合同会社バビエカ | 組み合わせ決定支援システム、組み合わせ決定支援方法、組み合わせ決定支援プログラム |
KR102448793B1 (ko) * | 2021-11-09 | 2022-09-29 | 주식회사 우진기전 | 복합 연동장치를 이용한 철도상태 기반(cbm) 유지보수 예측시스템 |
CN115808907A (zh) * | 2022-11-17 | 2023-03-17 | 华侨大学 | 一种基于通信的列车控制系统的验证方法及验证系统 |
CN115933485A (zh) * | 2022-12-21 | 2023-04-07 | 华侨大学 | 基于控制结构层次划分的安全攸关系统控制方法及装置 |
CN116187104A (zh) * | 2023-04-27 | 2023-05-30 | 华侨大学 | 一种轨道交通联锁系统安全分析开发方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN117670630A (zh) | 2024-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Vanderhaegen | A non-probabilistic prospective and retrospective human reliability analysis method—application to railway system | |
JP5931760B2 (ja) | 列車運行制御検査装置、列車運行制御検査方法及びプログラム | |
CN110008607B (zh) | 一种基于stpa模型的功能安全危害和信息安全威胁分析方法 | |
Trentesaux et al. | The autonomous train | |
Wang et al. | An integrated hazard identification method based on the hierarchical Colored Petri Net | |
CN112606881A (zh) | 一种基于车车通信的道岔自动触发方法及装置 | |
CN114475729B (zh) | 一种磁悬浮列车自主运算移动授权方法、系统 | |
Wang et al. | Safety monitor for train‐centric CBTC system | |
Durmuş et al. | Fault diagnosis in fixed‐block railway signaling systems: a discrete event systems approach | |
Mitsch et al. | Formal verification of train control with air pressure brakes | |
Durmuş et al. | The application of automation theory to railway signaling systems: Turkish national railway signaling project | |
CN117670630B (zh) | 一种高速铁路联锁系统安全分析方法、系统、设备及介质 | |
Khan et al. | On the real time modeling of interlocking system of passenger lines of Rawalpindi Cantt train station | |
EP3395643B1 (en) | Method for checking safety requirements of ssi-based data used in an interlocking control system | |
Dincel et al. | Automata-based railway signaling and interlocking system design [testing ourselves] | |
CN115544463A (zh) | 一种基于故障树分析的安全联锁系统开发方法 | |
CN115808907A (zh) | 一种基于通信的列车控制系统的验证方法及验证系统 | |
Peleska et al. | A Stochastic Approach to Classification Error Estimates in Convolutional Neural Networks | |
Enache et al. | Approaching the railway traffic resilience with object enhanced time Petri nets | |
JPS58177767A (ja) | 列車制御方式 | |
Durmus | Control and fault diagnosis of railway signaling systems: A discrete event systems approach | |
Cappart et al. | A dedicated algorithm for verification of interlocking systems | |
Aristyo et al. | Model checking-based safety verification of a petri net representation of train interlocking systems | |
CN116750050A (zh) | 列车控制系统车地通信安全分析方法、系统、设备及介质 | |
CN116605264B (zh) | 一种区域控制器内推送救援列车管理方法、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |