亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        需求階段的無線閉塞中心交接危險(xiǎn)因素分析

        2018-05-07 08:01:45劉金濤李克平
        鐵道學(xué)報(bào) 2018年4期
        關(guān)鍵詞:自動(dòng)機(jī)安全控制車載

        劉金濤,李克平

        (1.北京交通大學(xué) 國(guó)家軌道交通安全評(píng)估研究中心, 北京 100044;2.北京交通大學(xué) 軌道交通控制與安全國(guó)家重點(diǎn)實(shí)驗(yàn)室,北京 100044)

        無線閉塞中心RBC(Radio Block Center)作為我國(guó)CTCS-3級(jí)列車運(yùn)行控制系統(tǒng)的核心子系統(tǒng),向列車提供移動(dòng)授權(quán)MA(Movement Authority)及各種靜態(tài)、動(dòng)態(tài)線路信息以保障列車的安全運(yùn)行。由于RBC的管轄范圍有限,在相鄰RBC之間要進(jìn)行列車控制權(quán)的交接。在RBC交接過程中出現(xiàn)任何與MA、線路信息等有關(guān)的問題,都有可能影響高速列車的正常運(yùn)行,甚至導(dǎo)致高速鐵路安全事故。根據(jù)鐵路安全標(biāo)準(zhǔn)EN 50129[1]的要求,要在系統(tǒng)生命周期的需求階段對(duì)系統(tǒng)實(shí)施危險(xiǎn)因素分析,找出可能的危險(xiǎn)致因,以便為后續(xù)的系統(tǒng)安全設(shè)計(jì)和安全評(píng)估提供依據(jù)。因此,在需求階段對(duì)RBC交接過程進(jìn)行危險(xiǎn)因素分析,對(duì)于保障RBC交接過程中列車的安全運(yùn)行具有重要意義。

        需求階段的危險(xiǎn)因素分析是對(duì)系統(tǒng)需求規(guī)范所描述的系統(tǒng)進(jìn)行分析。由于系統(tǒng)需求規(guī)范采用不同類型的描述方式(如術(shù)語描述、結(jié)構(gòu)描述、場(chǎng)景描述等)從多種角度描述系統(tǒng)需求,并且不同類型的描述又相互關(guān)聯(lián)(參見《CTCS-3級(jí)列控系統(tǒng)需求規(guī)范》[2]),因此保證了系統(tǒng)需求規(guī)范的邏輯嚴(yán)密性,但也帶來了復(fù)雜的表述以及部分信息的重疊。這就要求用于危險(xiǎn)因素分析的建模語言要具有較強(qiáng)且無二義性的表達(dá)能力。另外,從控制結(jié)構(gòu)的角度來講,RBC交接過程中存在控制-反饋回路(如RBC與車載設(shè)備、車載設(shè)備與列車等),而控制-反饋結(jié)構(gòu)容易造成危險(xiǎn)致因之間非線性的因果關(guān)系[3],增加了危險(xiǎn)因素分析的難度。

        目前應(yīng)用較為廣泛的系統(tǒng)危險(xiǎn)因素分析方法主要基于事件鏈機(jī)制,代表方法有故障樹分析FTA、失效模式影響分析FMEA等。這類方法認(rèn)為系統(tǒng)危險(xiǎn)的出現(xiàn)是由一系列因果關(guān)系事件的順序發(fā)生所導(dǎo)致的?;谑录湹姆治龇椒ㄒ撞僮?,但是難以分析非線性因果關(guān)系的致因事件[3]。另外,此類方法受分析人員技能水平的影響較大。為此,有學(xué)者研究基于模型的危險(xiǎn)因素分析方法[4-6], 該方法以系統(tǒng)狀態(tài)模型或失效邏輯模型為基礎(chǔ),例如NuSMV模型[4]、AADL模型[5]、FPTN模型[6]等,并利用形式化分析工具自動(dòng)進(jìn)行致因分析,在一定程度上減少了分析人員的技能水平對(duì)于分析結(jié)果準(zhǔn)確性的影響。但是,基于模型的方法在本質(zhì)上也屬于基于事件鏈的方法,難以分析非線性因果關(guān)系的致因事件。

        與前述方法不同,基于系統(tǒng)理論的事故模型及過程[3]STAMP(System-theoretic Accident Model and Processes),以分層控制結(jié)構(gòu)作為分析模型,從控制的角度來分析安全問題。STAMP關(guān)注系統(tǒng)內(nèi)部的控制與反饋過程,能夠充分分析非線性因果關(guān)系的危險(xiǎn)致因。因此,本文基于STAMP理論對(duì)RBC交接過程進(jìn)行危險(xiǎn)因素分析。但是,現(xiàn)有研究[7-8]主要使用自然語言來描述分層控制結(jié)構(gòu),容易出現(xiàn)歧義或表述模糊的情況,難以滿足需求階段危險(xiǎn)因素分析對(duì)建模語言的要求。而且,目前基于STAMP進(jìn)行危險(xiǎn)因素分析完全依靠分析人員進(jìn)行人工實(shí)施,分析結(jié)果可信度受分析人員技能水平的影響較大。

        考慮到形式化的混成自動(dòng)機(jī)[9]HA(Hybrid Automata)具有準(zhǔn)確、無二義性、可進(jìn)行圖形化建模的優(yōu)點(diǎn),且對(duì)象約束語言O(shè)CL(Object Constraint Language)[10]能夠?qū)D形化模型無法表達(dá)的建模信息進(jìn)行描述,本文使用混成自動(dòng)機(jī)結(jié)合OCL來描述分層控制結(jié)構(gòu)。另外,在混成自動(dòng)機(jī)模型的基礎(chǔ)上,本文利用形式化的可達(dá)性分析對(duì)部分危險(xiǎn)因素進(jìn)行自動(dòng)化辨識(shí)。

        1 STAMP概述

        STAMP基于系統(tǒng)論的觀點(diǎn)認(rèn)為系統(tǒng)具有層次化的控制結(jié)構(gòu),即系統(tǒng)由多個(gè)不同層次的控制環(huán)路組成,其中上一層的組織或結(jié)構(gòu)通過控制過程來向下一層的組織或結(jié)構(gòu)施加約束,同時(shí)下一層通過反饋過程向上一層反映約束的執(zhí)行情況。在這種層次控制過程中,如果某一層出現(xiàn)了不安全的控制,整個(gè)系統(tǒng)的安全就難以保證。文獻(xiàn)[3]給出了詳細(xì)的不安全控制分類,比如控制器向被控者發(fā)出錯(cuò)誤的控制命令,控制器在必要的時(shí)候沒有提供控制命令等等。不安全的控制是系統(tǒng)事故出現(xiàn)的直接致因,而不安全控制行為則是由系統(tǒng)中的控制缺陷(如控制算法存在問題、執(zhí)行器存在問題等)導(dǎo)致的,因此控制缺陷是系統(tǒng)事故的根本致因??刂迫毕莸囊话惴诸惪蓞⒁娢墨I(xiàn)[3],在此不再贅述。

        基于STAMP分析系統(tǒng)危險(xiǎn)的致因,主要分為以下幾個(gè)步驟:針對(duì)已經(jīng)辨識(shí)出的系統(tǒng)危險(xiǎn),建立系統(tǒng)的分層控制結(jié)構(gòu);根據(jù)分層控制結(jié)構(gòu),找出系統(tǒng)中潛在的不安全控制;依據(jù)控制缺陷分類,進(jìn)一步分析不安全控制出現(xiàn)的原因——控制缺陷,即系統(tǒng)危險(xiǎn)的根本致因。

        2 需求階段的危險(xiǎn)因素分析方法

        基于STAMP理論,需求階段的危險(xiǎn)因素分析方法如圖1所示,分為3步:步驟1,針對(duì)待分析的系統(tǒng)級(jí)危險(xiǎn),建立需求階段的危險(xiǎn)因素分析模型,即系統(tǒng)分層控制結(jié)構(gòu);步驟2,辨識(shí)潛在的導(dǎo)致系統(tǒng)危險(xiǎn)的不安全控制;步驟3,依據(jù)需求階段的控制缺陷分類,通過人工分析和形式化分析相結(jié)合的方式,確定控制缺陷。

        圖1 需求階段的危險(xiǎn)因素分析方法框圖

        本文提出的需求階段的危險(xiǎn)因素分析方法與以往基于STAMP的危險(xiǎn)因素分析過程一致,主要區(qū)別在于:在步驟1中采用分層控制框圖、混成自動(dòng)機(jī)以及對(duì)象約束語言O(shè)CL實(shí)現(xiàn)系統(tǒng)分層控制結(jié)構(gòu)的刻畫,而非自然語言形式的分層控制結(jié)構(gòu)構(gòu)建方式;在步驟3中依據(jù)需求階段的控制缺陷分類實(shí)施危險(xiǎn)因素分析,而非系統(tǒng)運(yùn)行階段的控制缺陷分類;在步驟3中采用人工分析與形式化分析相結(jié)合的方式辨識(shí)控制缺陷,而非完全的人工分析方式。

        2.1 危險(xiǎn)因素分析模型構(gòu)建

        根據(jù)STAMP理論,危險(xiǎn)因素分析模型由系統(tǒng)組件間的控制反饋關(guān)系、控制器內(nèi)部的控制算法、過程模型、執(zhí)行器和傳感器的工作過程等內(nèi)容組成[2]。對(duì)此,本文采用如下建模策略分別針對(duì)不同內(nèi)容進(jìn)行建模,從而最終構(gòu)成危險(xiǎn)因素分析模型。

        (1)采用STAMP理論中的分層控制框圖[2]對(duì)RBC交接過程中各組件的關(guān)系進(jìn)行刻畫。其中,組件間的控制關(guān)系以向下的箭頭進(jìn)行表示,反饋關(guān)系以向上的箭頭進(jìn)行表示。

        (2)利用混成自動(dòng)機(jī)[9]對(duì)控制算法、執(zhí)行器和傳感器的工作過程進(jìn)行刻畫。其中,利用混成自動(dòng)機(jī)的狀態(tài)表示控制算法的具體步驟,利用狀態(tài)遷移觸發(fā)條件表示算法各步驟的判定條件,利用混成自動(dòng)機(jī)的狀態(tài)遷移過程刻畫相應(yīng)組件的動(dòng)態(tài)工作過程。

        (3)除了上述分層控制關(guān)系、控制算法、執(zhí)行器和傳感器之外,危險(xiǎn)因素分析模型中還包含控制器的過程模型。過程模型是控制器對(duì)被控過程的理解和認(rèn)知,例如,在RBC交接過程中RBC的過程模型就是列車當(dāng)前狀態(tài)、周圍環(huán)境等信息的集合。

        根據(jù)STAMP理論對(duì)于過程模型的描述,本文給出過程模型的形式化定義如下。

        定義1控制器中的過程模型PM(Process Model)是一個(gè)五元組,PM= (S,E,f,R,W),其中:

        (1)S={Si,i=1, 2, …,N}是一個(gè)非空有限的系統(tǒng)變量集合,N為被控對(duì)象的系統(tǒng)變量總個(gè)數(shù),Si為被控對(duì)象的第i個(gè)系統(tǒng)變量。

        (2)E={Ej,j=1, 2, …,M}是一個(gè)非空有限的環(huán)境變量集合,M為被控對(duì)象所處環(huán)境的環(huán)境變量總數(shù),Ej為被控對(duì)象的第j個(gè)環(huán)境變量。

        (3)f:S→{S,E}為變量集合之間的關(guān)系函數(shù),且f={fS,fE},fS為系統(tǒng)變量之間的關(guān)系函數(shù),fE為系統(tǒng)變量與環(huán)境變量之間的關(guān)系函數(shù)。

        (4)R={fS(Si,Sk) ,fE(Sl,Ej)}是變量之間的關(guān)系集合,其中,{Si,Sk,Sl,i≠k}?S且Ej∈E。

        (5)W={Wp(Si) ,Si∈S,p=1, 2, …,V}是改變被控對(duì)象狀態(tài)的行為集合,其自變量為被控對(duì)象的系統(tǒng)變量。

        根據(jù)上述過程模型的定義,過程模型主要包含系統(tǒng)變量、環(huán)境變量、變量間的關(guān)系以及改變系統(tǒng)狀態(tài)的方式等內(nèi)容。對(duì)此,本文采用對(duì)象約束語言O(shè)CL[10]分別對(duì)各項(xiàng)內(nèi)容進(jìn)行描述。

        2.2 需求階段的控制缺陷分類

        建立系統(tǒng)的危險(xiǎn)因素分析模型之后,可辨識(shí)系統(tǒng)中潛在的不安全控制。這些不安全控制是系統(tǒng)危險(xiǎn)的直接致因,而導(dǎo)致不安全控制的控制缺陷才是危險(xiǎn)的根本致因。在此,需要依據(jù)一定的控制缺陷分類作為指導(dǎo)原則辨識(shí)控制缺陷。

        雖然STAMP給出了控制缺陷的一般性分類[3],但是這些控制缺陷反映的是系統(tǒng)實(shí)際運(yùn)行中的危險(xiǎn)因素,例如,不恰當(dāng)?shù)膱?zhí)行器操作會(huì)導(dǎo)致控制行為的錯(cuò)誤實(shí)施;錯(cuò)誤的修改控制算法會(huì)造成錯(cuò)誤的控制行為等。需求階段的系統(tǒng)由系統(tǒng)需求規(guī)范SRS(System Requirements Specification)來描述,反映的是需求層面的系統(tǒng)結(jié)構(gòu)、工作流程等信息,因而此階段的控制缺陷將有不同的表現(xiàn)形式。

        為了明確需求階段的控制缺陷分類,本文定義了影響控制行為的因素集合。

        定義2控制器的控制行為CA(Control Action)受五元組(AL,PM,C,A,F(xiàn))的影響表示為

        (AL,PM,C,A,F(xiàn))→CA

        ( 1 )

        式中:AL表示控制器的控制算法,在需求階段,AL由系統(tǒng)需求規(guī)范進(jìn)行描述,并且通過控制器中的功能模塊來具體實(shí)現(xiàn);PM表示控制器中的過程模型,在需求階段,PM由系統(tǒng)需求規(guī)范進(jìn)行定義,同時(shí)其變量的初始值由控制器的輸入決定;C表示控制器的協(xié)作關(guān)系,控制器各自的責(zé)任及與其他控制器的關(guān)系由系統(tǒng)需求規(guī)范進(jìn)行定義說明;A表示控制環(huán)路中的執(zhí)行器,在需求階段,A的功能由系統(tǒng)需求規(guī)范進(jìn)行描述,并且通過其內(nèi)部功能模塊來具體實(shí)現(xiàn);F表示控制環(huán)路中的反饋過程,反饋機(jī)制由系統(tǒng)需求規(guī)范進(jìn)行定義,并且通過傳感器的內(nèi)部功能模塊具體實(shí)現(xiàn)。

        根據(jù)上述定義可以看出,影響控制行為的各類因素在需求階段主要由以下3方面內(nèi)容決定:控制器的輸入、控制環(huán)路中各個(gè)組件的功能模塊以及系統(tǒng)需求規(guī)范的描述。如果這3方面內(nèi)容出現(xiàn)問題,定義2中的5類元素就會(huì)相應(yīng)出現(xiàn)問題,進(jìn)而導(dǎo)致不安全的控制行為。根據(jù)定義2中的內(nèi)容,得到需求階段控制缺陷的一般性分類,如圖2所示。

        圖2 需求階段的控制缺陷分類

        圖2給出的控制缺陷分類主要面向系統(tǒng)需求階段。根據(jù)控制缺陷不同的來源,圖2所示的控制缺陷可分為:與控制器輸入相關(guān)的控制缺陷、與組件功能模塊相關(guān)的控制缺陷以及與系統(tǒng)需求規(guī)范相關(guān)的控制缺陷。后續(xù)的危險(xiǎn)因素分析將依據(jù)這種控制缺陷分類來展開。

        2.3 控制缺陷分析

        根據(jù)需求階段的控制缺陷分類,可分析造成不安全控制的原因,即系統(tǒng)危險(xiǎn)的根本致因。本文采用人工分析和形式化分析相結(jié)合的方式來辨識(shí)控制缺陷,如圖3所示。

        圖3 控制缺陷分析方法框圖

        圖3左邊虛線框表示通過人工分析的方式,辨識(shí)與控制器輸入相關(guān)的控制缺陷。其中,主要依據(jù)“控制器的輸入錯(cuò)誤、缺失或沒有及時(shí)更新”作為引導(dǎo)詞,對(duì)該類控制缺陷進(jìn)行辨識(shí)。

        圖3右邊虛線框表示利用可達(dá)性分析[11],辨識(shí)與組件功能模塊相關(guān)以及與系統(tǒng)需求規(guī)范相關(guān)的控制缺陷,包括:

        (1)根據(jù)危險(xiǎn)因素分析模型中的混成自動(dòng)機(jī)模型,建立形式化工具可執(zhí)行的PHAVer模型。

        (2)基于形式化的PHAVer模型,將不安全控制作為目標(biāo)集合進(jìn)行可達(dá)性分析。如果目標(biāo)集合可達(dá),則根據(jù)工具給出的系統(tǒng)可達(dá)集合逆向確認(rèn)與系統(tǒng)需求規(guī)范SRS相關(guān)的控制缺陷;如果目標(biāo)集合不可達(dá),則不存在該類控制缺陷。

        (3)基于形式化的PHAVer模型,利用故障注入的方式對(duì)其進(jìn)行擴(kuò)展。利用擴(kuò)展后的模型,進(jìn)行可達(dá)性分析,辨識(shí)與組件功能模塊相關(guān)的控制缺陷。對(duì)于該過程的具體實(shí)現(xiàn),可詳見文獻(xiàn)[12]。

        3 需求階段的RBC交接建模與分析

        3.1 RBC交接場(chǎng)景及系統(tǒng)危險(xiǎn)

        在CTCS-3級(jí)系統(tǒng)中,列車車載設(shè)備向RBC報(bào)告列車當(dāng)前的位置等信息,并接收由RBC提供的移動(dòng)授權(quán)MA(Movement Authority)。由于RBC的管轄范圍有限,列車從當(dāng)前RBC(移交RBC)管轄區(qū)域行駛至相鄰RBC(接收RBC)管轄區(qū)域時(shí),列車控制權(quán)要進(jìn)行相應(yīng)的交接,為此《CTCS-3級(jí)系統(tǒng)需求規(guī)范》[2]規(guī)定了詳細(xì)的流程,這個(gè)過程稱之為RBC交接。RBC交接過程可根據(jù)列車車載電臺(tái)的工作情況分為:只有一部電臺(tái)正常的RBC交接和兩部電臺(tái)都正常的RBC交接。本文僅考慮兩部電臺(tái)同時(shí)工作的RBC交接過程。

        在兩部電臺(tái)都正常的情況下,當(dāng)列車通過RBC切換預(yù)告應(yīng)答器組后,車載設(shè)備向“移交RBC”發(fā)送列車位置報(bào)告。“移交RBC”接收到位置報(bào)告后,向列車及“接收RBC”發(fā)送相應(yīng)信息,從而正式發(fā)起交接過程。一方面,“移交RBC”根據(jù)“接收RBC”提供的信息,生成包含邊界的MA并發(fā)送給列車;另一方面,列車與“接收RBC”建立會(huì)話。當(dāng)列車的最大安全前端通過交接邊界后,“接收RBC”將接管列車控制權(quán)并通知“移交RBC”。當(dāng)列車最小安全末端經(jīng)過邊界應(yīng)答器組后,列車與“移交RBC”最終結(jié)束會(huì)話。詳細(xì)的交接流程可參見文獻(xiàn)[12]。

        另外,本文選取“在RBC交接過程中,CTCS-3級(jí)列控系統(tǒng)未能防止列車超出安全的速度及距離限制”作為待分析的系統(tǒng)級(jí)危險(xiǎn)。

        3.2 危險(xiǎn)因素分析模型

        圖4 RBC交接過程的分層控制框圖

        根據(jù)前述內(nèi)容,首先建立系統(tǒng)的分層控制框圖,如圖4所示。圖4給出了RBC交接過程的系統(tǒng)分層控制框圖。其中,Handover RBC表示移交RBC;Takeover RBC表示接收RBC;OBE表示車載設(shè)備;Train表示列車。圖4中向下的箭頭表示控制,例如車載設(shè)備控制列車;向上的箭頭表示反饋,例如列車向車載設(shè)備反饋當(dāng)前速度;水平箭頭表示控制器之間的信息交互,例如“移交RBC”與“接收RBC”之間存在信息交互。圖4中箭頭旁的信息表示相應(yīng)的控制命令、反饋數(shù)據(jù)或交互信息,其具體含義見表1。

        在圖4所示的分層控制結(jié)構(gòu)中,兩個(gè)RBC以及車載設(shè)備作為控制器,具有控制算法和過程模型。針對(duì)各自的控制算法以及列車的運(yùn)行過程,建立相應(yīng)的混成自動(dòng)機(jī)模型,如圖5所示。

        表1 圖4中信息的含義

        圖5 RBC交接過程的混成自動(dòng)機(jī)模型

        圖5(a)給出了RBC交接過程中車載設(shè)備的混成自動(dòng)機(jī)模型。其中,該模型由并發(fā)的上下兩個(gè)自動(dòng)機(jī)模型組成。上部的模型僅有一個(gè)通信狀態(tài)Comm,表示車載設(shè)備與RBC的通信過程,包含發(fā)送位置報(bào)告、接收通信版本信息等;下部的模型主要描述車載設(shè)備對(duì)列車的監(jiān)控算法,包括曲線計(jì)算CurveCal、監(jiān)控Supervision、報(bào)警Warning、常用制動(dòng)觸發(fā)ServiceBrake、緊急制動(dòng)觸發(fā)EmergBrake等狀態(tài),車載設(shè)備首先計(jì)算速度監(jiān)控曲線,然后進(jìn)行速度比較,最后根據(jù)相應(yīng)的結(jié)果選擇實(shí)施報(bào)警、常用制動(dòng)或緊急制動(dòng)。

        圖5(b)所示混成自動(dòng)機(jī)模型描述了交接過程中列車的運(yùn)行狀態(tài),包括加速Acc、減速Dec、常用制動(dòng)SBrake以及緊急制動(dòng)EBrake。其中,關(guān)鍵字flow所引導(dǎo)的微分表達(dá)式描述了列車的動(dòng)態(tài)行駛過程,不變集inv對(duì)列車的速度、加速度取值進(jìn)行了約束。常數(shù)A和-B分別代表列車的最大加速度和最大減速度,mV和k分別代表期望速度值和實(shí)際偏差值。

        圖5(c)給出了RBC交接過程中“移交RBC”和“接收RBC”的混成自動(dòng)機(jī)模型,該模型由并發(fā)的上中下3個(gè)自動(dòng)機(jī)模型組成。上部的模型描述了“移交RBC”的移交控制算法,包括起始Initial-a、消息處理Handle-a、預(yù)移交PreHand以及移交Handover等4個(gè)過程。中部模型描述了“接收RBC”的接管控制算法,包括起始Initial-b、消息處理Handle-b以及接管Takeover等3個(gè)過程。最下部的模型描述了“移交RBC”和“接收RBC”對(duì)列車的控制算法,包括列車管理TrainManage、進(jìn)路檢查RouteCheck、移動(dòng)授權(quán)縮短MAShorten、移動(dòng)授權(quán)計(jì)算MACalculate和消息發(fā)送MesgSend等過程。圖5中的消息含義參見表1。

        根據(jù)定義1,建立RBC和車載設(shè)備的過程模型,如圖6、圖7所示。其中,圖6所示的過程模型同屬于“移交RBC”和“接收RBC”,對(duì)RBC中的列車位置、進(jìn)路情況等變量進(jìn)行聲明,并刻畫了各變量間的約束關(guān)系,例如進(jìn)路的取消將導(dǎo)致MA的縮短等。另外,還對(duì)改變變量取值的方式進(jìn)行了描述。圖7所示過程模型對(duì)車載設(shè)備中列車速度、列車位置、MA終點(diǎn)等變量進(jìn)行了聲明,給出了變量間的約束關(guān)系,例如列車制動(dòng)距離不能超過MA終點(diǎn)等。此外,還描述了車載設(shè)備改變列車狀態(tài)的方式,如常用制動(dòng)、緊急制動(dòng)等。

        圖6 RBC的過程模型

        圖7 車載設(shè)備的過程模型

        3.3 系統(tǒng)危險(xiǎn)致因分析

        根據(jù)圖1所示方法,步驟2和步驟3要分析系統(tǒng)危險(xiǎn)的致因。其中,步驟2辨識(shí)不安全控制,步驟3辨識(shí)導(dǎo)致不安全控制的控制缺陷。

        3.3.1 不安全的控制

        根據(jù)圖4給出的控制框圖,辨識(shí)出導(dǎo)致系統(tǒng)級(jí)危險(xiǎn)“在RBC交接過程中,CTCS-3級(jí)列控系統(tǒng)未能防止列車超出安全的速度及距離限制”的不安全控制UCA(Unsafe Control Action)如下:

        UCA1:在RBC交接過程中,“移交RBC”向車載設(shè)備提供了錯(cuò)誤的包含交接邊界的MA。

        UCA2:列車接近交接邊界且“接收RBC”轄區(qū)內(nèi)進(jìn)路發(fā)生變化時(shí),“移交RBC”未及時(shí)縮短MA。

        UCA3:存在臨時(shí)限速時(shí),“移交RBC”沒有向車載設(shè)備提供臨時(shí)限速。

        UCA4:存在臨時(shí)限速時(shí),“移交RBC”提供了錯(cuò)誤的臨時(shí)限速。

        UCA5:當(dāng)需要車載設(shè)備實(shí)施制動(dòng)時(shí),車載設(shè)備沒有提供制動(dòng)命令。

        3.3.2 控制缺陷分析

        對(duì)于與控制器輸入相關(guān)的控制缺陷ICF(Input- related Control Flaws),以圖2所示的“控制器的輸入錯(cuò)誤、缺失或者沒有及時(shí)更新”作為引導(dǎo)詞,并結(jié)合圖6、圖7所示過程模型,進(jìn)行人工分析,結(jié)果如下:

        UCA1:在RBC交接過程中,“移交RBC”向車載設(shè)備提供了錯(cuò)誤的包含交接邊界的MA。

        ICF1.1:“接收RBC”向“移交RBC”提供的轄區(qū)內(nèi)進(jìn)路信息錯(cuò)誤;

        ICF1.2:“移交RBC”獲得錯(cuò)誤的列車位置;

        ICF1.3:“移交RBC”獲得錯(cuò)誤的列車數(shù)據(jù)。

        UCA2:列車接近交接邊界且“接收RBC”轄區(qū)內(nèi)進(jìn)路發(fā)生變化時(shí),“移交RBC”未及時(shí)縮短MA。

        ICF2.1:“接收RBC”沒有及時(shí)向“移交RBC”提供新的進(jìn)路信息;

        ICF2.2:“移交RBC”中的列車位置更新不及時(shí)。

        UCA3:存在臨時(shí)限速時(shí),“移交RBC”沒有向車載設(shè)備提供臨時(shí)限速。

        ICF3.1:“移交RBC”未收到臨時(shí)限速;

        ICF3.2:“移交RBC”收到的臨時(shí)限速設(shè)置范圍錯(cuò)誤。

        UCA4:存在臨時(shí)限速時(shí),“移交RBC”提供了錯(cuò)誤的臨時(shí)限速。

        ICF4.1:“移交RBC”收到的臨時(shí)限速錯(cuò)誤。

        UCA5:當(dāng)需要車載設(shè)備實(shí)施制動(dòng)時(shí),車載設(shè)備沒有提供制動(dòng)命令。

        ICF5.1:車載設(shè)備獲得錯(cuò)誤的列車實(shí)際速度;

        ICF5.2:車載設(shè)備中用于計(jì)算速度距離曲線的列車數(shù)據(jù)錯(cuò)誤;

        ICF5.3:車載設(shè)備獲得錯(cuò)誤的線路描述數(shù)據(jù);

        ICF5.4:車載設(shè)備獲得錯(cuò)誤的MA信息。

        對(duì)于與組件功能模塊相關(guān)的控制缺陷以及與系統(tǒng)需求規(guī)范相關(guān)的控制缺陷,利用形式化的方式進(jìn)行辨識(shí)。

        首先,將圖5所示的混成自動(dòng)機(jī)模型轉(zhuǎn)換為形式化工具可執(zhí)行的PHAVer模型,限于篇幅,模型片段如圖8所示。

        圖8 PHAVer模型片段

        其次,將不安全控制描述為目標(biāo)集合的形式,見表2。利用形式化工具PHAVer對(duì)模型進(jìn)行可達(dá)性分析。結(jié)果顯示目標(biāo)集合不可達(dá),說明不存在與系統(tǒng)需求規(guī)范相關(guān)的控制缺陷。

        表2 不安全控制及相應(yīng)的功能相關(guān)控制缺陷

        最后,根據(jù)經(jīng)驗(yàn)并參考文獻(xiàn)[13]所列舉的組件功能故障情況,選取48個(gè)與車載設(shè)備及RBC相關(guān)的故障進(jìn)行故障注入,即在系統(tǒng)PHAVer模型中增加故障情況下的狀態(tài)遷移,構(gòu)成擴(kuò)展后的形式化模型。同樣以表2所示的不安控制為目標(biāo)集合,利用形式化工具PHAVer對(duì)擴(kuò)展后的模型進(jìn)行可達(dá)性分析。結(jié)果顯示目標(biāo)集合可達(dá),即注入故障之后,系統(tǒng)中將會(huì)出現(xiàn)不安全控制。根據(jù)形式化工具給出的可達(dá)狀態(tài)集合,可確定與組件功能模塊相關(guān)的控制缺陷,見表2。其中,表2中功能模塊故障含義見表3。

        表3 功能模塊故障的含義

        表3(續(xù))

        3.4 與現(xiàn)有研究的比較

        文獻(xiàn)[13-14]采用傳統(tǒng)的FTA和FMEA對(duì)需求階段的ETCS-2級(jí)列控系統(tǒng)RBC交接進(jìn)行了危險(xiǎn)致因分析。將上述文獻(xiàn)與本文工作進(jìn)行比較后發(fā)現(xiàn):

        (1)上述文獻(xiàn)對(duì)于與輸入相關(guān)的危險(xiǎn)致因描述并不詳細(xì)。例如,文獻(xiàn)[13]將“不正確的地面子系統(tǒng)輸入數(shù)據(jù)”作為危險(xiǎn)致因,并沒有描述不正確輸入的相關(guān)詳細(xì)內(nèi)容。而詳細(xì)的致因信息是后續(xù)系統(tǒng)安全設(shè)計(jì)和安全評(píng)估的重要依據(jù)。相比之下,本文分析與輸入相關(guān)的控制缺陷時(shí),不僅明確了是哪些不正確的輸入導(dǎo)致危險(xiǎn),還指出了不正確輸入的類型(錯(cuò)誤、缺失或者更新不及時(shí)),比如,RBC獲取的限速信息錯(cuò)誤、RBC中的列車位置更新不及時(shí)等。造成這種差異的原因在于:故障樹本身不含有引導(dǎo)詞,其分析的細(xì)致程度更多的是由分析人員的主觀經(jīng)驗(yàn)來決定。而本文使用了不安全控制分類、需求階段控制缺陷分類等起引導(dǎo)詞作用的信息,有助于更細(xì)致的分析。

        (2)當(dāng)針對(duì)不同的系統(tǒng)危險(xiǎn)進(jìn)行分析時(shí),文獻(xiàn)[13-14]的分析過程重用性較差。而本文所建的分層控制框圖、混成自動(dòng)機(jī)模型以及過程模型可重復(fù)用于不同危險(xiǎn)的分析。

        除上述基于FTA、FMEA的危險(xiǎn)因素分析外,文獻(xiàn)[4-5]采用基于形式化模型的方式來分析系統(tǒng)危險(xiǎn)因素。利用形式化模型(如SMV模型、AADL模型等)描述系統(tǒng)狀態(tài),通過故障注入的方式將系統(tǒng)組件的功能故障添加至形式化模型,利用模型檢驗(yàn)的方式分析系統(tǒng)危險(xiǎn)致因。然而,這些形式化的分析方法采用故障注入的方式,難以分析除組件功能故障之外的危險(xiǎn)致因。相比之下,本文利用人工分析與形式化分析相結(jié)合的方式既能分析與組件功能相關(guān)的致因,又能分析與組件輸入相關(guān)的致因。另外,文獻(xiàn)[4-5]采用模型檢驗(yàn)技術(shù)進(jìn)行危險(xiǎn)因素分析,當(dāng)系統(tǒng)變量較多時(shí)易出現(xiàn)“狀態(tài)空間爆炸”的問題。而本文所采用的可達(dá)性分析技術(shù)則不存在此類問題。

        4 結(jié)束語

        本文采用分層控制框圖刻畫RBC交接過程中的控制-反饋關(guān)系,并利用混成自動(dòng)機(jī)HA和對(duì)象約束語言O(shè)CL分別描述其中的控制算法、過程模型等內(nèi)容,實(shí)現(xiàn)對(duì)需求階段RBC交接分層控制結(jié)構(gòu)的刻畫。針對(duì)RBC交接過程中具體的系統(tǒng)危險(xiǎn),依據(jù)需求階段的控制缺陷分類,利用人工分析和形式化分析相結(jié)合的方式辨識(shí)系統(tǒng)危險(xiǎn)的根本致因。將分析結(jié)果與現(xiàn)有研究結(jié)果進(jìn)行比較,結(jié)果表明本文所提方法適用于需求階段的RBC交接危險(xiǎn)因素分析。

        參考文獻(xiàn):

        [1]CENELEC. Standard EN 50129 Railway Applications: Communications, Signaling and Processing Systems Safety Related Electronic Systems for Signaling [S]. 2003.

        [2]中華人民共和國(guó)鐵道部. CTCS-3級(jí)列控系統(tǒng)系統(tǒng)需求規(guī)范(SRS) [S]. 北京:中國(guó)鐵道出版社,2009.

        [3]LEVESON N G. Engineering a Safer World: Systems Thinking Applied to Safety Engineering Systems [M]. Massachusetts: MIT Press, 2012.

        [4]VILLAFIORITA A. The FSAP/NuSMV-SA Safety Analysis Platform [J]. International Journal on Software Tools for Technology Transfer, 2007, 9(1):5-24.

        [5]BOZZANO M. Safety, Dependability and Performance Analysis of Extended AADL Models [J]. The Computer Journal, 2010, 54(5):1-22.

        [6]RU N, TAO T. A Model-based Framework for the Safety Analysis of Computer-based Railway Signaling Systems [C]// Computer System Design and Operation in the Railway and other Transit Systems, 2010, 114: 827-838.

        [7]ISHIMATSU T. Hazard Analysis of Complex Spacecraft Using Systems-theoretic Process Analysis [J]. Journal of Spacecraft & Rockets, 2014, 51(2):509-522.

        [8]LU Y Z, SHU G T. STAMP-based Safety Control Approach for Flight Testing of a Low-cost Unmanned Subscale Blended-wing-body Demonstrator [J]. Safety Science, 2015, 74:102-113.

        [9]THOMAS A, HENZINGER Z. The Theory of Hybrid Automata [C]// Proceedings of the 11th Annual IEEE Symposium on Logic in Computer Science. New York: IEEE,1996: 278-292.

        [10]CORREA A, WERNER C, BARROS M. Refactoring to Improve the Understandability of Specifications Written in Object Constraint Language [J]. IET Software, 2009, 3(2): 69-90.

        [11]DANG T, TESTYLIER R. Reachability Analysis for Polynomial Dynamical Systems Using the Bernstein Expansion [J]. Reliable Computing, 2013:128-152.

        [12]劉金濤,唐濤,趙林,等. 基于UML模型的CTCS-3級(jí)列控系統(tǒng)功能安全分析方法[J]. 鐵道學(xué)報(bào), 2013, 35(10):59-66.

        LIU Jintao, TANG Tao, ZHAO Lin, et al. Functional Safety Analysis of CTCS-3 Train Control System Based on

        UML Model [J]. Journal of the Railway Society, 2013, 35(10):59-66.

        [13]ERTMS/ETCS SUBSET-088: ETCS Application Level 2- Safety Analysis Part 1-Functional Fault Tree [EB/OL]. http://www.era.europa.eu.2016-08-01.

        [14]ERTMS/ETCS SUBSET-078: Failure Modes and Effects Analysis for ETCS Application Level 2 [EB/OL]. http://www.era.europa.eu.2016-08-01.

        猜你喜歡
        自動(dòng)機(jī)安全控制車載
        機(jī)械設(shè)計(jì)自動(dòng)化設(shè)備安全控制研究
        {1,3,5}-{1,4,5}問題與鄰居自動(dòng)機(jī)
        建筑施工現(xiàn)場(chǎng)的安全控制
        高速磁浮車載運(yùn)行控制系統(tǒng)綜述
        一種基于模糊細(xì)胞自動(dòng)機(jī)的新型疏散模型
        廣義標(biāo)準(zhǔn)自動(dòng)機(jī)及其商自動(dòng)機(jī)
        智能互聯(lián)勢(shì)不可擋 車載存儲(chǔ)需求爆發(fā)
        基于ZVS-PWM的車載隔離DC-DC的研究
        新型輕便式車載電子系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)
        熱成像技術(shù)在食品質(zhì)量安全控制中的應(yīng)用
        久久久久久亚洲AV成人无码国产| 大肉大捧一进一出好爽视频动漫| 特黄做受又硬又粗又大视频小说| 亚洲国产美女精品久久久久| 久久久久久岛国免费网站| 99久久久69精品一区二区三区 | 亚洲综合偷自成人网第页色| 国产精品vⅰdeoxxxx国产| 国产做无码视频在线观看浪潮| 丁香九月综合激情| 久久久亚洲免费视频网| 射精专区一区二区朝鲜| 波多野结衣aⅴ在线| 久久精品韩国日本国产| 久久伊人亚洲精品视频| 日日天干夜夜狠狠爱| 亚洲第一成人网站| 一片内射视频在线观看| 成人久久黑人中出内射青草| 巨胸喷奶水www视频网站| 91在线在线啪永久地址| 亚洲视一区二区三区四区| 极品尤物人妻堕落沉沦| 暖暖视频在线观看免费| 一本大道久久东京热无码av| 亚洲国语对白在线观看| 大地资源在线影视播放| 午夜无码片在线观看影院| 国产无遮挡又黄又爽无VIP| 日韩精品视频在线观看无| 麻豆影视视频高清在线观看| 国内无遮码无码| 午夜一区二区三区免费观看| 国产成人精品亚洲日本在线观看| 国产真实乱人偷精品人妻| 黑人一区二区三区在线| 亚洲最新国产av网站| 无套内射无矿码免费看黄| 午夜久久精品国产亚洲av| 蜜桃传媒免费在线观看| 国产综合无码一区二区辣椒|