本发明涉及一种列车运行控制系统风险分析方法,尤其是涉及一种基于系统进程代数化模型的系统风险分析方法。
背景技术:
列车运行控制系统(简称“列控系统”)是一种大规模复杂系统。由于自动化、网络(列车密度和连接数量)、无线传输等技术的发展以及列车行驶速度的提升,列控系统内部组件或子系统间的相互作用正在急剧增加。安全是列控系统需要达到的首要目标之一。为了预防事故的发生,大量安全防护技术已经被应用到列控系统当中。然而,事实证明,即使对于列控系统这样具备多重安全防护技术的系统而言,事故还是会发生。对于列控系统而言,事故可被认为是一种系统特殊安全状态的最为复杂的数据集合。从事故中得到经验可以避免类似事故的发生,限制损害并改进安全相关工作。事故模型解释了为何事故会发生,即驱使系统进程达到不可接受损失的机理,且其决定了具体的防护途径。事故风险分析方法可以根据事故致因和事故机理输出事故演化过程中存在的风险因素和风险传播路径。通过事故风险分析方法,可以理解事故演化过程中系统风险的具体变化过程,进而为系统安全状态的动态监控以及事故的在线预警提供核心技术。
技术实现要素:
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于系统进程代数化模型的系统风险分析方法。
本发明的目的可以通过以下技术方案来实现:
一种基于系统进程代数化模型的系统风险分析方法,该方法构建了系统进程代数化模型amsp,其中amsp以事故演化过程作为分析对象,其输出为事故演化过程中系统风险值的变化过程;
利用amsp动态分析事故演化过程,输出以下结果:系统运行阶段系统控制结构中存在的风险因素;系统功能结构中出现的风险传播路径,以及事故演化过程中系统风险的连续变化情况。
优选地,所述的方法具体包括以下步骤:
步骤1:确定系统的安全控制结构;
步骤2:划分事故演化过程中系统进程所包含的进程阶段;
步骤3:标记进程阶段下控制结构中的风险因素和风险传播路径;
步骤4:代数化描述进程阶段下的系统风险值;
步骤5:根据步骤4推导系统进程中每个进程阶段psx下系统风险值的描述式
优选地,所述的amsp需要两类信息作为输入,分别为安全控制结构和事故事件链。
优选地,所述的安全控制结构包含系统控制结构中的组件信息和内部通信信息,所述的事故事件链需要从事故报告中分析得到。
优选地,所述的步骤1具体为:
将系统的物理结构划分为三层,分别为组件级、子系统级和系统级,对应地,将系统的功能结构也分为三层,分别组件功能、子系统功能和系统功能,其中系统功能的实现基于的是相关组件执行规定的组件功能,系统进程是系统功能按照设计序列执行以达成系统目标的动态过程;
将系统进程划分为若干进程阶段。
优选地,所述的进程阶段是系统进程为达成系统目标所经历的几个连贯的步骤;每一个步骤都是若干系统功能的有序集合;为了达成系统目标,这些步骤需要按顺序执行;进程阶段的划分根据系统进程的具体执行情况以及分析需要。
优选地,所述的步骤2中的进程阶段为事故演化过程归属于偏离预计演化方向的系统进程集合。
优选地,所述的步骤3具体为:
将系统控制结构中可能出现的风险因素,划分为三类组件故障、人员失误和安全防护,风险因素作为系统进程发生偏离的动力源,其自身的改变随着系统进程的向前推进使得接下来的进程阶段发生改变,进程阶段下的系统风险值随之改变;
当系统的运行处于某一进程阶段时,当前在系统控制结构中存在的风险因素通过交互及联合作用影响着系统风险值,风险因素之间的交互及联合在安全控制结构中以顶点、弧的状态以及状态间的传播路径来描述,根据系统控制结构,对进程阶段下的系统风险值进行代数化描述和比较,给出进程阶段下各类风险因素在系统控制结构中的标记。
优选地,所述的顶点代表组件或人员,弧代表通信通道。
优选地,所述的步骤4具体为:
(1)设系统处于进程阶段psx,记系统的安全控制结构为d,设d中映射进程阶段psx下风险因素传播过程的路径所组成的集合为
(2)设v(d)表示d的顶点集,a(d)表示d的弧集,则d=(v,a);v(d)与系统的组件集合c(s)相对应,a(d)与系统的通信集合i(s)相对应;描述安全控制结构的组成,将组件ci标记为
映射到d中,如果组件ci处于节点vi,则ci的运行状态
(3)设
(4)假设存在度量函数集合φx(v*),其将
对于风险因素传播路径j中的单个节点
(5)φx可度量
(6)根据上述三个假设,有
与现有技术相比,本发明具有以下优点:
1、本发明构建了系统进程代数化模型(amsp)。amsp能够以更优化的流程刻画系统安全状态在运行阶段的连续变化过程,克服静态安全分析模型的输出结果离散化问题以及纯动态模型的状态转移集合膨胀问题;
2、本发明能够量化分析事故演化过程并且计算每一演化阶段的系统风险值,为复杂系统安全状态的动态监控和事故的实时预警提供可靠的实现方案;
3、本发明定义了系统安全结构中风险因素和风险传播路径的图形标记方案,以更加清晰快速地分析系统运行阶段出现的危险源和事故形成机理;
4、本发明代数化描述了从组件层到系统层的风险形成机理和变化过程,为多层系统各级控制过程的安全风险动态分析算法的构建与优化提供数学基础。
附图说明
图1为系统进程代数化模型示意图;
图2为系统安全控制结构示意图;
图3为事故演化过程示意图;
图4为风险因素的标记示意图;
图5为系统风险值定义的示意图;
图6为进程阶段系统风险值代数化描述流程图;
图7为风险传播路径代数化过程中的符号含义示意图;
图8为风险值度量函数定义示意图;
图9为7.23甬温高速铁路事故示意图;
图10为ctcs-2型列控系统的安全控制结构示意图;
图11为7.23甬温高速铁路事故演化过程进程阶段示意图;
图12为第1和第2进程阶段下风险因素和风险传播路径示意图;
图13为第3和第4进程阶段下风险因素和风险传播路径示意图;
图14为进程阶段下系统风险值代数化描述式示意图;
图15为系统风险的连续增长过程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
本发明提出了一种amsp模型(系统进程代数化模型),该模型不仅描述了事故演化过程中出现的风险因素以及风险传播路径,而且能用代数化方法分析系统风险的连续变化情况。使用amsp进行系统风险分析,其应用范围为:从系统外部或内部干扰出现到损失产生的事故演化过程。利用amsp动态分析事故演化过程,可以输出以下结果:(1)系统运行阶段系统控制结构中存在的风险因素;(2)系统功能结构中出现的风险传播路径,以及(3)事故演化过程中系统风险的连续变化情况。
amsp模型如图1所示。对事故演化过程进行分析时,系统进程的终点即为事故。每一个进程阶段下都可能存在着风险因素,这些风险因素通过交互及联合决定着当前进程阶段下的系统风险值。随着系统进程的推进,风险因素的变化使得下一个进程阶段转化为另一个进程阶段。进程阶段的发展标明了系统进程的演化方向最终指向的是事故。事故演化过程则是,随着系统进程的推进,系统进程的演化方向发生了严重的偏离,最终指向的是事故。为了代数化分析事故演化过程中系统风险值的变化情况,本发明构建了amsp模型。amsp以事故演化过程作为分析对象,其输出为事故演化过程中系统风险值的变化过程。amsp需要两类信息作为输入—安全控制结构和事故事件链。安全控制结构包含系统控制结构中的组件信息和内部通信信息。事故事件链需要从事故报告中分析得到。
由于风险因素的交互作用,系统进程的演化方向发生改变,而后系统进程转化为事故演化过程。在对事故进行分析时,根据事故事件链,可以明确事故是怎样从初始事件演化而来的。将事件链中导致事故的若干主要事件作为节点,以此将事故演化过程划分成若干连续的进程阶段。在每个进程阶段下,都可能存在一些风险因素,这些风险因素可以被划分为:组件故障、人员失误和安全防护。对系统风险值的变化过程进行分析,在得到每个进程阶段下系统风险值的描述式以后,对这些描述式进行逐项比较,可以明确事故演化进程中系统风险值的变化情况。
使用amsp分析事故演化过程时,为了构建完整的模型并且得到精准的输出结果,需要完成以下5个步骤:
步骤1:确定系统的安全控制结构。控制系统基于装置,包括组件(例如,电源、传感器和其他输入装置)、通信路径、执行机构和其他输出装置。如图2所示,将系统的物理结构划分为三层—组件级、子系统级和系统级。对应地,该系统的功能结构也分为三层—组件功能、子系统功能和系统功能。系统功能的实现基于的是相关组件执行规定的组件功能。系统进程是系统功能按照设计序列执行以达成系统目标的动态过程。
将系统进程划分为若干进程阶段。进程阶段是系统进程为达成系统目标所经历的几个连贯的步骤;每一个步骤都是若干系统功能的有序集合;为了达成系统目标,这些步骤需要按顺序执行。进程阶段的划分根据系统进程的具体执行情况以及分析需要。如图3所示,假定系统在时间段[t0,tend]内运行,即系统运行的初始状态处于时刻t0,并在时刻tend达成系统目标;该系统进程被划分为n个连贯的进程阶段。系统目标的达成需要进程阶段(ps1,ps2,…,psn)的执行。具体地,进程阶段psn包含mn个系统功能
步骤2:划分事故演化过程中系统进程所包含的进程阶段。事故,从初始事件出现到损失产生,是一个动态的演化过程。如图3所示,初始事件作为事故演化过程的开端,属于系统内或系统外干扰,在多因素的共同作用下,最终导致事故。事故演化过程的终点即为损失,产生损失的大小由组件故障、安全栅防护等因素的联合作用来决定。从系统进程的角度来看,当系统进程的演化方向指向事故,并且这种演化没有被终止,那么就会形成一个完整的事故演化过程。事故演化过程归属于偏离预计演化方向的系统进程集合。在系统进程转化为事故演化过程的情况下,称相应的进程阶段为进程阶段。
步骤3:标记进程阶段下控制结构中的风险因素和风险传播路径。将系统控制结构中可能出现的风险因素(即可能使得系统风险值发生变化的因素)划分为三类—(1)组件故障、(2)人员失误和(3)安全防护,前两种风险因素使得系统风险值升高,后一种风险因素使得系统风险值降低。在每一个进程阶段下,系统中都可能出现组件故障、人员失误和安全防护,这些因素都会对系统风险值造成影响,因此均归属于系统风险因素。系统风险因素作为系统进程发生偏离的动力源,其自身的改变(类型以及数量)随着系统进程的向前推进使得接下来的进程阶段发生改变,进程阶段下的系统风险值随之改变。
当系统的运行处于某一进程阶段时,当前在系统控制结构中存在的风险因素通过交互及联合作用影响着系统风险值。风险因素之间的交互及联合可以在安全控制结构中以顶点(代表组件或人员)、弧(代表通信通道)的状态以及状态间的传播路径来描述。根据系统控制结构,可以对进程阶段下的系统风险值进行代数化描述和比较。给出进程阶段下各类风险因素在系统控制结构中的标记,如图4所示。
步骤4:代数化描述进程阶段下的系统风险值(sr)。安全相关系统在运行阶段,其所具有的系统风险值是一个随着系统进程的改变而变化的连续变量。通过对系统进程各个进程阶段下(或事故演化过程各个进程阶段下)系统物理结构中存在的风险因素及其相互作用进行分析,初步明确系统风险值发生了怎样的变化过程。设定对系统运行状态观测的时间尺度与进程阶段的时间长度相近,则系统在某一进程阶段下运行时,系统风险值是固定的。如图5所示,假设对系统运行状态观测的时间尺度
(1)设系统处于进程阶段psx。记系统的安全控制结构为d。设d中映射进程阶段psx下风险因素传播过程的路径所组成的集合为
(2)设v(d)表示d的顶点集,a(d)表示d的弧集,则d=(v,a)。v(d)与系统的组件集合c(s)相对应,a(d)与系统的通信集合i(s)相对应。为了描述安全控制结构的组成,将组件ci标记为
(3)设
(4)假设存在度量函数集合φx(v*),其可以将
(5)φx可度量
(6)根据上述三个假设,有
以上等式描述了进程阶段下的系统风险值。该系统风险值描述式反映了某一进程阶段下系统控制结构中存在的风险因素是如何改变系统风险值的,并且这种改变可以通过对特定节点处的风险因素的度量来明确。
步骤5:根据步骤4推导系统进程中每个进程阶段psx下系统风险值的描述式
下面将结合amsp应用于高速铁路列控系统事故演化过程中系统风险连续变化情况的分析,给出一个典型的实施方式,图9为应用amsp对7.23甬温高速铁路事故演化过程列控系统风险连续变化情况进行分析的实施例。
步骤1:确定ctcs-2型列控系统的安全控制结构,如图10所示。
步骤2:划分7.23甬温高速铁路事故演化过程所经历的进程阶段,如图11所示。
步骤3:根据步骤1确定的安全控制结构以及从事故调查报告得到的事故事件链,标记事故演化过程中每个进程阶段下在控制结构中出现的风险因素和风险传播路径,如图12和图13所示。
步骤4:代数化描述每个进程阶段psx下的系统风险值
步骤5:对各进程阶段下系统风险值的代数化描述式进行逐项比较,得到该事故演化过程中系统风险的连续增长过程,如图15所示。
以上结果表明,在该事故演化过程中,系统安全控制结构中的风险因素和风险传播路径可以通过图形化标记方案来快速地明确;各进程阶段下的系统风险值可以通过系统风险值代数化描述式来清晰地表述;输出的曲线显示,由于设备故障、人员失误以及安全防护因素的交互作用,系统风险值呈现连续波动式增长的过程。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。