计算机应用技术论文：一种基于模型的功能性危险源分析方法及其应用.docVIP

计算机应用技术论文：一种基于模型的功能性危险源分析方法及应用 摘要:为解决安全关键系统开发早期传统危险源分析方法不精确和不完备的问题，提出了一种基于SCADE(safety critical application development environment)模型的功能性危险源分析方法．利用SCADE数据流建立系统功能性体系结构模型和功能故障模型，将两种模型集成起来，同时，基于SCADE实现一种系统危险场景捕捉算法，对集成后的模型进行分析，得到系统的安全关键功能和系统危险源．将此方法应用于铁路信号计算机联锁系统，仿真结果表明，该方法可以提高功能性危险源分析的精确性和完备性． 关键词:危险源分析;模型;安全关键系统;计算机联锁 功能性危险源分析(functional hazard analysis，FuHA)［1］是安全关键系统安全分析的重要环节．传统的分析方法依赖于系统安全工程师，利用人工的方式进行，分析的结果完全取决于分析人员的个人经验，没有严格的统一标准．传统的FuHA分析的根本弊端在于缺少严格和精确的系统功能描述和系统故障模式表达，分析过程不是严格的数学推演过程．计算机联锁系统(computer based interlockingsystem，CBI)是铁路应用领域中的安全关键系统，它对安全性有着极为苛刻的要求．CBI系统的功能是根据列车的位置检测，控制铁路车站范围内信号机、道岔等基础设备，为列车排列进路，以保证列车在车站的运行安全，提高作业效率．FuHA分析是CBI系统设计开发的重要环节，是实现系统功能、保障系统安全的前提和依据． 近年来，基于模型的系统分析出现了许多研究成果［2-7］．这些研究大多针对不同的应用对象研究形式化模型方法，重点集中在系统设计的模型验证与分析方面，而针对系统开发生命周期中早期阶段的FuHA分析却少有研究成果报道．作者以铁路信号CBI系统为背景，应用SCADE模型［8］对FuHA进行了深入研究．SCADE模型开发环境主要应用于软件开发中系统的建模、验证和代码的自动实现，应用SCADE进行FuHA分析首先需要对CBI建模，同时对系统建立故障模型，FuHA是对二者集成的综合模型进行安全分析． 1基于SCADE模型的FuHA分析 1.1 SCADE模型 20世纪80年代，SCADE在Lustre同步模型语言的基础上被开发用来进行航空系统的设计，90年代由Esterel Technologies推广应用到安全关键软件开发领域．SCADE提供了一个交互的图形开发环境，SCADE模型的一个重要特点是它可以将模型转化为Lustre语言，Lustre语言具有严格的形式化语义［9］．Lustre程序建立在对数据流操作的基础上，一个变量(或表达式)x代表了一个数据流，即无限数据值序列(x0，x1，…，xn，…)，其中xn表示程序在第n次响应时变量x的值．一个Lustre程序是对输入数据流进行计算，输出数据流可以用数学等式来表达，如x=e代表n，xn=en．Lustre操作符是对数据流的全局操作，如x+y表示(x0+y0，x1+y1，…，xn+yn，…)这样的流． 1.2功能性危险源分析(FuHA) FuHA一般在系统开发周期的早期阶段进行，它通过对系统和子系统(包括硬件、软件、外部环境等)的功能评估来确定系统危险源．CBI系统功能可以被划分为多个子功能，子功能又被分割成更细微层次的子功能．CBI系统的FuHA分析即将系统的失效条件、故障模式与系统功能关联起来分析功能失效和功能异常，确定系统的安全关键功能及关键因素，找出系统潜在危险和危险关联因素．图1基于模型的FuHA分析方法Fig．1 Model based FuHA method 本文中提出了一种基于SCADE模型的CBI系统的FuHA分析方法．图1描述了基于SCADE模型的CBI系统的FuHA分析流程． 2 CBI系统建模 2.1 CBI系统描述 CBI系统是用来实现铁路信号联锁功能的计算机控制系统，其功能是车站进路控制．CBI系统由传统的继电器联锁控制设备发展而成．信号机、动力转辙机和轨道电路是CBI系统的基础设备，系统通过对轨道区段状态、信号状态和道岔状态进行检测，根据车站作业的进路要求对信号机和道岔实施控制．CBI系统的功能原理如图2所示．其中，各层功能描述如下． ①人机交互层的功能是操作人员通过操作界面向联锁层传递操作指令，同时接收来自联锁层的设备状态信息． ②联锁层包括容错计算机硬件平台和联锁逻辑软件，其功能是处理操作指令，根据接口层的信息进行联锁运算． ③接口层一般由结合电路和接口模块组成，是CBI系统的I/O部分，直接与室外设备相连． ④室外设备是联锁系统的控制对象，包括信号机、转辙机和轨道电路． 2.2 CBI系统FuArSCADE模