赵天时 孙 超 黄银霞

赵天时:中国铁道科学研究院标准计量研究所 硕士 100081 北京

孙 超:中国铁道科学研究院标准计量研究所 助理研究员 100081 北京

黄银霞:中国铁道科学研究院 标准计量研究所 研究员 100081 北京

CTCS-3级列控系统(以下简称C3系统)评估技术研究是一项复杂的系统工程，需借鉴欧洲ETCS安全评估技术，并结合中国铁路实际，分析C3系统关键的系统功能，识别和评估危险，建立C3系统的安全目标，提出减缓措施，才能最终完成C3系统评估技术及系统认证技术的研究。其中对系统的分析、识别和评估危险，以及开展安全性分析，就称为风险评估技术。本文概述C3列控系统评估中的风险评估技术。

1 统一建模语言(UML)在研究中的应用

统一建模语言(UML)是一种直观化、明确化，构建和文档化软件系统产物的通用可视化建模语言。利用UML建立系统模块对系统行为进行描述，可以减少定义、设计阶段的错误，从而实现准确表达，避免自然语言带来的二义性。C3系统是高度复杂的安全苛求系统，单纯使用自然语言很难对系统行为进行清晰准确的描述，所以在风险评估的系统定义阶段，需要对系统需求规范进行结构化分析，通过需求规范管理，将需求由自然语言转化为UML模型，为后续风险评估奠定基础。

2 C3系统的风险评估

C3系统评估是从系统角度，在系统的生命周期内开展的自下而上和自上而下的评估技术。系统评估涵盖了系统质量管理、安全管理和技术安全3方面内容。下面主要介绍安全管理的重要技术——风险评估技术。

C3系统风险评估通过对系统定义，危险识别及分级，应用合适的风险接受准则判断风险的可接受性，对不可接受风险进行定量评价，从而将所有危险都纳入到危险管理系统。在评估过程中，首先使用UML对系统进行建模，然后使用结构化的头脑风暴、危险及可操作性研究、故障树分析、事件树分析和原因结果分析等安全/风险分析工具，对潜在危险进行识别和分析。

C3系统评估安全管理流程图如图1所示，虚框中部分为风险评估的完整过程，风险评估主要内容如下。

图1 系统评估中安全管理流程图

2.1 系统定义

系统定义阶段主要通过分析系统功能，对系统及其状态进行定义，需要考虑系统目标、系统功能和要素、系统边界和范围、物理和功能接口、系统环境等因素。

根据《CTCS-3级列控系统总体技术方案》、《CTCS-3列控系统需求规范》、《CTCS-3列控系统功能需求规范》以及其他相关资料，考虑系统正常运营、降级和紧急模式，识别出C3系统的14个状态:关闭(SHD)、开启(STU)、待机(SBY)、调车(SHU)、准备下一任务(PNM)、开始任务(BRM)、任务暂停(SSP)、正常运行(NOP)、降级(DEO)、中断(ABT)、失效(FLD)、紧急(EMG)、恢复(REC)、结束任务(ENM)。

通过研究这14个运行状态及状态间转换的相应流程，建立覆盖所有需求的UML模型，并通过选择状态图和顺序图作为UML模型用图，使列车运行过程中的核心内容以UML图的形式予以表达，实现由非形式化分析向半形式化分析转换，为C3危险分析打下基础。

图2为系统状态图，描述了C3系统基于事件反应的动态行为，显示了C3系统如何根据当前所处的状态，对不同时间做出反应，表达了C3系统运行过程中14个状态间的相互转化。

在完成系统状态图后，开发每个状态相应的顺序图，用来反映若干个对象之间的动态协作关系。顺序图重点是显示对象之间已发送消息的先后次序，说明对象之间的交互过程，以及系统执行过程中在某一具体位置将会有什么事件发生。每个顺序图描述该状态下各个对象在整个场景过程中的状态迁移信息及迁移条件信息。

完成UML建模后，从车辆的视角为上述14个状态编制状态规范，描述每个状态细节的流程规范，澄清每个状态的角色、范围和进入/退出的必要条件。图3给出关闭状态规范示例，记录了CTCS-3系统在关闭状态下的状态规范，并对关闭状态进行定义，之后描述了其进入/触发条件、进入路径、进行何种操作，以及退出条件和退出路径等。在状态规范中可以通过源索引追溯至之前所开发的顺序图。状态规范的编制为后续安全分析工作提供了分析依据和素材，为后续分析打下基础。

图2 系统状态图

图3 关闭(SHD)状态规范

2.2 危险识别和分级

危险识别是为进一步分析工作而辨识出所有潜在的可能危险。从系统化、结构化角度对危险进行识别，主要考虑系统边界及其与环境的交互，系统运营模式(如正常、降级、紧急)，包括维护在内的系统生命周期，运营环境(如隧道、桥梁等)，人为因素，环境条件和相关可预测的系统失效模式等方面因素。

通过系统状态规范，识别出系统全部安全功能后，运用HAZOPS等工具分析系统潜在危险，并运用原因结果分析工具，确定每个危险的原因及结果。识别危险后，定性确定每个危险的风险，再大体上对危险进行分级，一般分为可接受危险和不可接受危险，对于其中不可接受危险，再进行详细风险分析与评价。

2.3 详细风险评价

详细风险评价目的是确定从已识别的危险中提出必须被控制的危险风险及其安全措施。在选择并确定了适合的风险接受准则后，即开始详细风险评价。首先需要识别该风险的初始场景，确定已有安全措施，然后根据安全准则进行判断。该判断可以使用定性或定量的方式，根据安全准则决定判断方式。在进行量化判断时，需要确定残余风险Rr，当前风险Rc和初始风险Ri。其中Rr=Rc－ΣRno(Rno为新措施降低风险)，Rc=Ri－ΣRco(Rco为当前措施降低风险)，Ri=Pi×Si(Pi为初始危险发生频率，Si为初始危险严重程度)。其具体过程见图1中详细风险评价框内流程所示。

2.4 风险接受评价

详细风险评价中得出的残余风险Rr与之前确定的风险接受准则相比较，判断该危险目前是否可接受，如果可以接受，则该危险及其相应的安全措施纳入安全需求;如果不能接受，则返回详细风险评价阶段，考虑新的安全措施，并评价引入新的安全措施后该危险的新残余风险Rr，再次进行风险接受评价。其过程见图1风险接受评价框内所示。

2.5 危险日志管理

风险评估过程中需要建立并保持危险日志。危险日志需要关注系统的安全问题。为了清晰一致，危险日志需要在所定义的系统中考虑包含安全措施在内的危险识别和假设等内容。

危险日志管理主要内容有3方面:①对危险的详细信息进行记录，如危险编号、所属系统、危险描述、初始条件、危险原因和危险后果等;②安全风险定性确定;③风险估计、计算以及减缓措施确定。当发生影响系统的重大变更、发现新危险、事件数据中有新事故出现或系统假设发生变化时，危险日志都需要更新。

3 结论

风险评估是C3系统评估中的重要技术。在基于UML语言的无二义性和易于描述等特性的基础上，借鉴欧洲ETCS安全评估技术和评估工具，提出从C3系统规范到UML模型，使用UML顺序图和状态图对C3系统进行安全分析，建立系统安全目标，为最终完成C3系统评估技术及系统认证技术的研究奠定了基础，对我国C3系统评估的深化研究具有积极作用。

［1］中华人民共和国铁道部．科技运［2008］34号.CTCS-3级列控系统总体技术方案［S］．2008．

［2］中华人民共和国铁道部．科技运［2008］127号.CTCS-3级列控系统需求规范(SRS)(V1.0)［S］．2008．

［3］中华人民共和国铁道部．科技运［2008］113号.CTCS-3列控功能需求规范［S］．2008．

［4］中华人民共和国铁道部．运基信号［2008］670号.CTCS-3级列控车载设备人机界面(DMI)显示规范［S］．2008．

［5］中华人民共和国铁道部．300－350km/h铁路客运专线技术管理办法(试行)［S］．北京，2009．

［6］Formal Systems(Europe)Ltd，"Failures－ Divergence Refinement FDR2 User Manual"．(2005)Copyright 1992－2005 Formal Systems(Europe)Ltd．

［7］姚淑珍，金茂忠．UML状态图的形式化建模及其分析［J］．北京航空航天大学学报．2007，33(4):472－476.