基于系统进程代数化模型的系统风险分析方法与流程

本发明涉及一种列车运行控制系统风险分析方法，尤其是涉及一种基于系统进程代数化模型的系统风险分析方法。

背景技术：

列车运行控制系统(简称“列控系统”)是一种大规模复杂系统。由于自动化、网络(列车密度和连接数量)、无线传输等技术的发展以及列车行驶速度的提升，列控系统内部组件或子系统间的相互作用正在急剧增加。安全是列控系统需要达到的首要目标之一。为了预防事故的发生，大量安全防护技术已经被应用到列控系统当中。然而，事实证明，即使对于列控系统这样具备多重安全防护技术的系统而言，事故还是会发生。对于列控系统而言，事故可被认为是一种系统特殊安全状态的最为复杂的数据集合。从事故中得到经验可以避免类似事故的发生，限制损害并改进安全相关工作。事故模型解释了为何事故会发生，即驱使系统进程达到不可接受损失的机理，且其决定了具体的防护途径。事故风险分析方法可以根据事故致因和事故机理输出事故演化过程中存在的风险因素和风险传播路径。通过事故风险分析方法，可以理解事故演化过程中系统风险的具体变化过程，进而为系统安全状态的动态监控以及事故的在线预警提供核心技术。

技术实现要素：

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于系统进程代数化模型的系统风险分析方法。

本发明的目的可以通过以下技术方案来实现：

一种基于系统进程代数化模型的系统风险分析方法，该方法构建了系统进程代数化模型amsp，其中amsp以事故演化过程作为分析对象，其输出为事故演化过程中系统风险值的变化过程；

利用amsp动态分析事故演化过程，输出以下结果：系统运行阶段系统控制结构中存在的风险因素；系统功能结构中出现的风险传播路径，以及事故演化过程中系统风险的连续变化情况。

优选地，所述的方法具体包括以下步骤：

步骤1：确定系统的安全控制结构；

步骤2：划分事故演化过程中系统进程所包含的进程阶段；

步骤3：标记进程阶段下控制结构中的风险因素和风险传播路径；

步骤4：代数化描述进程阶段下的系统风险值；

步骤5：根据步骤4推导系统进程中每个进程阶段psx下系统风险值的描述式对这些描述式进行逐项比较，从而明确事故演化过程中系统风险值的连续变化情况。

优选地，所述的amsp需要两类信息作为输入，分别为安全控制结构和事故事件链。

优选地，所述的安全控制结构包含系统控制结构中的组件信息和内部通信信息，所述的事故事件链需要从事故报告中分析得到。

优选地，所述的步骤1具体为：

将系统的物理结构划分为三层，分别为组件级、子系统级和系统级，对应地，将系统的功能结构也分为三层，分别组件功能、子系统功能和系统功能，其中系统功能的实现基于的是相关组件执行规定的组件功能，系统进程是系统功能按照设计序列执行以达成系统目标的动态过程；

将系统进程划分为若干进程阶段。

优选地，所述的进程阶段是系统进程为达成系统目标所经历的几个连贯的步骤；每一个步骤都是若干系统功能的有序集合；为了达成系统目标，这些步骤需要按顺序执行；进程阶段的划分根据系统进程的具体执行情况以及分析需要。

优选地，所述的步骤2中的进程阶段为事故演化过程归属于偏离预计演化方向的系统进程集合。

优选地，所述的步骤3具体为：

将系统控制结构中可能出现的风险因素，划分为三类组件故障、人员失误和安全防护，风险因素作为系统进程发生偏离的动力源，其自身的改变随着系统进程的向前推进使得接下来的进程阶段发生改变，进程阶段下的系统风险值随之改变；

当系统的运行处于某一进程阶段时，当前在系统控制结构中存在的风险因素通过交互及联合作用影响着系统风险值，风险因素之间的交互及联合在安全控制结构中以顶点、弧的状态以及状态间的传播路径来描述，根据系统控制结构，对进程阶段下的系统风险值进行代数化描述和比较，给出进程阶段下各类风险因素在系统控制结构中的标记。

优选地，所述的顶点代表组件或人员，弧代表通信通道。

优选地，所述的步骤4具体为：

(1)设系统处于进程阶段psx，记系统的安全控制结构为d，设d中映射进程阶段psx下风险因素传播过程的路径所组成的集合为的拓扑结构只包含风险因素传播路径，反映的是风险因素的存在与传播；

(2)设v(d)表示d的顶点集，a(d)表示d的弧集，则d＝(v,a)；v(d)与系统的组件集合c(s)相对应，a(d)与系统的通信集合i(s)相对应；描述安全控制结构的组成，将组件ci标记为将操作人员hi标记为将组件ci与ci+1之间的通信通道ii标记为

映射到d中，如果组件ci处于节点vi,则ci的运行状态用表示ci的运行状态时，若节点vi有后继节点vi+1，以vi输出的信息标记若顶点vi无后继顶点，以vi的输入信息标记如果操作人员hi处于节点vi,则hi的工作状态同一个顶点vi可能同时包含设备组件和操作人员，因此被标记或被标记，如果通信通道ii处于节点vi与节点vi+1之间，则ii的运行状态

(3)设为中全部风险因素传播路径组成的集合，为其中的第j条风险因素传播路径，若中有n条不同的风险因素传播路径，则将中的节点vi另记为以标明该节点处于路径中，设的长度为l，开始于节点终止于节点即在路径中，考虑到风险传播路径本身必然存在的因果性，终止节点处的风险因素必然由路径中其余节点处风险因素的交互所产生，路径的风险因素的联合作用导致了节点处的风险因素，因此，将分为两部分，

(4)假设存在度量函数集合φx(v^*)，其将中节点集合v的任意子集v^*所对应的风险因素子集对系统风险的影响映射为系统风险值的改变；在进程阶段psx，φx代表四类度量函数之一，并有对于考虑到风险传播路径中信息的传递性，对弧ai通信故障影响转化为对弧ai的头节点vi+1状态影响；

对于风险因素传播路径j中的单个节点可由其中至少之一来替换；这四类函数度量中节点存在的风险因素对系统风险值造成改变，因为所以因此，

(5)φx可度量中各个节点存在的风险因素对系统整体风险值的改变；根据假设1：某一进程阶段下的系统风险值等于当前系统控制结构内所有风险传播路径所产生的风险值的总和，得到根据假设2：在一个风险传播路径中，处于终止节点的风险因素所产生的风险值等于该风险传播路径所产生的风险值，因此根据假设3：在一个风险传播路径中，处于终止节点的风险因素所产生的风险值等于处于该路径中所有其他节点的风险因素所产生的风险值的总和，因此

(6)根据上述三个假设，有如果系统正常运行，系统风险就会保持在一个初始值sr0；则进程阶段psx下的系统风险值为

与现有技术相比，本发明具有以下优点：

1、本发明构建了系统进程代数化模型(amsp)。amsp能够以更优化的流程刻画系统安全状态在运行阶段的连续变化过程，克服静态安全分析模型的输出结果离散化问题以及纯动态模型的状态转移集合膨胀问题；

2、本发明能够量化分析事故演化过程并且计算每一演化阶段的系统风险值，为复杂系统安全状态的动态监控和事故的实时预警提供可靠的实现方案；

3、本发明定义了系统安全结构中风险因素和风险传播路径的图形标记方案，以更加清晰快速地分析系统运行阶段出现的危险源和事故形成机理；

4、本发明代数化描述了从组件层到系统层的风险形成机理和变化过程，为多层系统各级控制过程的安全风险动态分析算法的构建与优化提供数学基础。

附图说明

图1为系统进程代数化模型示意图；

图2为系统安全控制结构示意图；

图3为事故演化过程示意图；

图4为风险因素的标记示意图；

图5为系统风险值定义的示意图；

图6为进程阶段系统风险值代数化描述流程图；

图7为风险传播路径代数化过程中的符号含义示意图；

图8为风险值度量函数定义示意图；

图9为7.23甬温高速铁路事故示意图；

图10为ctcs-2型列控系统的安全控制结构示意图；

图11为7.23甬温高速铁路事故演化过程进程阶段示意图；

图12为第1和第2进程阶段下风险因素和风险传播路径示意图；

图13为第3和第4进程阶段下风险因素和风险传播路径示意图；

图14为进程阶段下系统风险值代数化描述式示意图；

图15为系统风险的连续增长过程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

本发明提出了一种amsp模型(系统进程代数化模型)，该模型不仅描述了事故演化过程中出现的风险因素以及风险传播路径，而且能用代数化方法分析系统风险的连续变化情况。使用amsp进行系统风险分析，其应用范围为：从系统外部或内部干扰出现到损失产生的事故演化过程。利用amsp动态分析事故演化过程，可以输出以下结果：(1)系统运行阶段系统控制结构中存在的风险因素；(2)系统功能结构中出现的风险传播路径，以及(3)事故演化过程中系统风险的连续变化情况。

amsp模型如图1所示。对事故演化过程进行分析时，系统进程的终点即为事故。每一个进程阶段下都可能存在着风险因素，这些风险因素通过交互及联合决定着当前进程阶段下的系统风险值。随着系统进程的推进，风险因素的变化使得下一个进程阶段转化为另一个进程阶段。进程阶段的发展标明了系统进程的演化方向最终指向的是事故。事故演化过程则是，随着系统进程的推进，系统进程的演化方向发生了严重的偏离，最终指向的是事故。为了代数化分析事故演化过程中系统风险值的变化情况，本发明构建了amsp模型。amsp以事故演化过程作为分析对象，其输出为事故演化过程中系统风险值的变化过程。amsp需要两类信息作为输入—安全控制结构和事故事件链。安全控制结构包含系统控制结构中的组件信息和内部通信信息。事故事件链需要从事故报告中分析得到。

由于风险因素的交互作用，系统进程的演化方向发生改变，而后系统进程转化为事故演化过程。在对事故进行分析时，根据事故事件链，可以明确事故是怎样从初始事件演化而来的。将事件链中导致事故的若干主要事件作为节点，以此将事故演化过程划分成若干连续的进程阶段。在每个进程阶段下，都可能存在一些风险因素，这些风险因素可以被划分为：组件故障、人员失误和安全防护。对系统风险值的变化过程进行分析，在得到每个进程阶段下系统风险值的描述式以后，对这些描述式进行逐项比较，可以明确事故演化进程中系统风险值的变化情况。

使用amsp分析事故演化过程时，为了构建完整的模型并且得到精准的输出结果，需要完成以下5个步骤：

步骤1：确定系统的安全控制结构。控制系统基于装置，包括组件(例如，电源、传感器和其他输入装置)、通信路径、执行机构和其他输出装置。如图2所示，将系统的物理结构划分为三层—组件级、子系统级和系统级。对应地，该系统的功能结构也分为三层—组件功能、子系统功能和系统功能。系统功能的实现基于的是相关组件执行规定的组件功能。系统进程是系统功能按照设计序列执行以达成系统目标的动态过程。

将系统进程划分为若干进程阶段。进程阶段是系统进程为达成系统目标所经历的几个连贯的步骤；每一个步骤都是若干系统功能的有序集合；为了达成系统目标，这些步骤需要按顺序执行。进程阶段的划分根据系统进程的具体执行情况以及分析需要。如图3所示，假定系统在时间段[t0,tend]内运行，即系统运行的初始状态处于时刻t0，并在时刻tend达成系统目标；该系统进程被划分为n个连贯的进程阶段。系统目标的达成需要进程阶段(ps1,ps2,…,psn)的执行。具体地，进程阶段psn包含mn个系统功能它始于系统功能的执行，经历系统功能的按序执行，并止于系统功能的执行。

步骤2：划分事故演化过程中系统进程所包含的进程阶段。事故，从初始事件出现到损失产生，是一个动态的演化过程。如图3所示，初始事件作为事故演化过程的开端，属于系统内或系统外干扰，在多因素的共同作用下，最终导致事故。事故演化过程的终点即为损失，产生损失的大小由组件故障、安全栅防护等因素的联合作用来决定。从系统进程的角度来看，当系统进程的演化方向指向事故，并且这种演化没有被终止，那么就会形成一个完整的事故演化过程。事故演化过程归属于偏离预计演化方向的系统进程集合。在系统进程转化为事故演化过程的情况下，称相应的进程阶段为进程阶段。

步骤3：标记进程阶段下控制结构中的风险因素和风险传播路径。将系统控制结构中可能出现的风险因素(即可能使得系统风险值发生变化的因素)划分为三类—(1)组件故障、(2)人员失误和(3)安全防护,前两种风险因素使得系统风险值升高，后一种风险因素使得系统风险值降低。在每一个进程阶段下，系统中都可能出现组件故障、人员失误和安全防护，这些因素都会对系统风险值造成影响，因此均归属于系统风险因素。系统风险因素作为系统进程发生偏离的动力源，其自身的改变(类型以及数量)随着系统进程的向前推进使得接下来的进程阶段发生改变，进程阶段下的系统风险值随之改变。

当系统的运行处于某一进程阶段时，当前在系统控制结构中存在的风险因素通过交互及联合作用影响着系统风险值。风险因素之间的交互及联合可以在安全控制结构中以顶点(代表组件或人员)、弧(代表通信通道)的状态以及状态间的传播路径来描述。根据系统控制结构，可以对进程阶段下的系统风险值进行代数化描述和比较。给出进程阶段下各类风险因素在系统控制结构中的标记，如图4所示。

步骤4：代数化描述进程阶段下的系统风险值(sr)。安全相关系统在运行阶段，其所具有的系统风险值是一个随着系统进程的改变而变化的连续变量。通过对系统进程各个进程阶段下(或事故演化过程各个进程阶段下)系统物理结构中存在的风险因素及其相互作用进行分析，初步明确系统风险值发生了怎样的变化过程。设定对系统运行状态观测的时间尺度与进程阶段的时间长度相近，则系统在某一进程阶段下运行时，系统风险值是固定的。如图5所示，假设对系统运行状态观测的时间尺度则认为系统风险值在进程阶段下是不变的，系统风险值在进程阶段psi下为sr|psi＝sr|(ti-1+dt,ti-dt)＝sri，sri是固定的。按如图6所示的步骤进行代数化描述：

(1)设系统处于进程阶段psx。记系统的安全控制结构为d。设d中映射进程阶段psx下风险因素传播过程的路径所组成的集合为的拓扑结构只包含风险因素传播路径，反映的是风险因素的存在与传播。

(2)设v(d)表示d的顶点集，a(d)表示d的弧集，则d＝(v,a)。v(d)与系统的组件集合c(s)相对应，a(d)与系统的通信集合i(s)相对应。为了描述安全控制结构的组成，将组件ci标记为将操作人员hi标记为将组件ci与ci+1之间的通信通道ii标记为三种标记所用符号含义见图7。映射到d中，如果组件ci处于节点vi,则ci的运行状态用表示ci的运行状态时，若节点vi有后继节点vi+1，以vi输出的(正常/异常)信息标记若顶点vi无后继顶点，以vi的输入(正常/异常)信息标记如果操作人员hi处于节点vi,则hi的工作状态同一个顶点vi可能同时包含设备组件和操作人员，因此即可以被标记，又可以被标记。如果通信通道ii处于节点vi与节点vi+1之间,则ii的运行状态

(3)设为中全部风险因素传播路径组成的集合，为其中的第j条风险因素传播路径。若中有n条不同的风险因素传播路径，则将中的节点vi另记为以标明该节点处于路径中。设的长度为l(包含l条弧)，开始于节点(或几个不相连节点)，终止于节点(或几个不相连节点)，即在路径中，考虑到风险传播路径本身必然存在的因果性，终止节点处的风险因素必然由路径中其余节点处风险因素的交互所产生。换言之，路径的风险因素的联合作用导致了节点处的风险因素。因此，将分为两部分，

(4)假设存在度量函数集合φx(v^*)，其可以将中节点集合v的任意子集v^*所对应的风险因素子集对系统风险的影响映射为系统风险值的改变。在进程阶段psx，φx代表图9所列的四类度量函数之一，并有图8中，对于考虑到风险传播路径中信息的传递性，对弧ai通信故障影响的讨论可自然地转化为对弧ai的头节点vi1+状态影响的讨论，反之亦然。在对风险因素传播路径j中的单个节点进行讨论时，必然可由其中至少之一来替换。这四类函数度量中节点存在的风险因素对系统风险值造成改变，因为所以因此，

(5)φx可度量中各个节点存在的风险因素对系统整体风险值的改变。根据假设1：某一进程阶段下的系统风险值等于当前系统控制结构内所有风险传播路径所产生的风险值的总和，得到根据假设2：在一个风险传播路径中，处于终止节点的风险因素所产生的风险值等于该风险传播路径所产生的风险值，因此根据假设3：在一个风险传播路径中，处于终止节点的风险因素所产生的风险值等于处于该路径中所有其他节点的风险因素所产生的风险值的总和，因此

(6)根据上述三个假设，有如果系统正常运行，系统风险就会保持在一个初始值sr0。则进程阶段psx下的系统风险值为

以上等式描述了进程阶段下的系统风险值。该系统风险值描述式反映了某一进程阶段下系统控制结构中存在的风险因素是如何改变系统风险值的，并且这种改变可以通过对特定节点处的风险因素的度量来明确。

步骤5：根据步骤4推导系统进程中每个进程阶段psx下系统风险值的描述式对这些描述式进行逐项比较，就可以明确事故演化过程中系统风险值的连续变化情况。

下面将结合amsp应用于高速铁路列控系统事故演化过程中系统风险连续变化情况的分析，给出一个典型的实施方式，图9为应用amsp对7.23甬温高速铁路事故演化过程列控系统风险连续变化情况进行分析的实施例。

步骤1：确定ctcs-2型列控系统的安全控制结构，如图10所示。

步骤2：划分7.23甬温高速铁路事故演化过程所经历的进程阶段，如图11所示。

步骤3：根据步骤1确定的安全控制结构以及从事故调查报告得到的事故事件链，标记事故演化过程中每个进程阶段下在控制结构中出现的风险因素和风险传播路径，如图12和图13所示。

步骤4：代数化描述每个进程阶段psx下的系统风险值根据进程阶段下系统风险值的代数化描述式，对每个进程阶段下的系统风险值进行推导，所得结果见图14。

步骤5：对各进程阶段下系统风险值的代数化描述式进行逐项比较，得到该事故演化过程中系统风险的连续增长过程，如图15所示。

以上结果表明，在该事故演化过程中，系统安全控制结构中的风险因素和风险传播路径可以通过图形化标记方案来快速地明确；各进程阶段下的系统风险值可以通过系统风险值代数化描述式来清晰地表述；输出的曲线显示，由于设备故障、人员失误以及安全防护因素的交互作用，系统风险值呈现连续波动式增长的过程。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。