基于場景分析的聯(lián)鎖系統(tǒng)安全需求識(shí)別過程研究

李衛(wèi)娟 王燕芩

計(jì)算機(jī)聯(lián)鎖系統(tǒng)是保障行車安全的重要基礎(chǔ)設(shè)備，是一個(gè)對安全性要求極為嚴(yán)格的系統(tǒng)。安全性除了體現(xiàn)在冗余結(jié)構(gòu)的系統(tǒng)硬件上，還應(yīng)考慮系統(tǒng)軟件的安全性。在軟件開發(fā)過程中，由于開發(fā)人員的人為失誤而引入軟件缺陷往往是不可避免的，一方面是由于軟件需求的描述不夠詳盡或者需求描述有誤；另一方面由于開發(fā)人員對于自然語言描述的需求理解不一樣，造成在需求編碼實(shí)現(xiàn)過程中對于系統(tǒng)復(fù)雜邏輯的設(shè)計(jì)和控制考慮不夠全面，導(dǎo)致軟件的最終設(shè)計(jì)結(jié)果與需求本身的描述存在不一致。為了保證軟件的安全性，需要系統(tǒng)邏輯設(shè)計(jì)與安全需求的一致性以及有效的安全驗(yàn)證措施保證。無論是聯(lián)鎖軟件安全設(shè)計(jì)，還是系統(tǒng)功能的安全驗(yàn)證及測試，都需要一份完整且明確的安全需求作為聯(lián)鎖設(shè)計(jì)和測試的依據(jù)，需要經(jīng)過完整的需求分析過程，識(shí)別出聯(lián)鎖系統(tǒng)關(guān)聯(lián)的安全需求。

1 聯(lián)鎖系統(tǒng)安全需求

計(jì)算機(jī)聯(lián)鎖系統(tǒng)的安全性包括了安全功能和安全性能2個(gè)方面。安全功能主要指“系統(tǒng)滿足安全約束”及“構(gòu)件或子系統(tǒng)失效對系統(tǒng)安全的影響”；安全性能包括安全完整度及風(fēng)險(xiǎn)等級(jí)等?，F(xiàn)有的聯(lián)鎖系統(tǒng)需求描述方法，一般僅是體現(xiàn)了系統(tǒng)的功能性需求、性能需求，通過對系統(tǒng)功能需求加以安全屬性標(biāo)識(shí)，來判定需求是否為安全需求。此種做法較為簡單粗暴，籠統(tǒng)的定義了系統(tǒng)的安全需求。未經(jīng)過完整安全分析，僅通過人為增加安全屬性標(biāo)識(shí)符的描述方法，導(dǎo)致將系統(tǒng)需求中的一般功能需求而非安全需求定義為安全需求，擴(kuò)大了聯(lián)鎖系統(tǒng)安全需求的范圍，并未真正體現(xiàn)出安全需求的潛在危害。無法讓設(shè)計(jì)人員在軟件設(shè)計(jì)之初，就關(guān)注到安全需求及危害，導(dǎo)致未采取有效的安全設(shè)計(jì)措施，僅是在設(shè)計(jì)上滿足了需求的功能性要求，因?yàn)槿藶槭д`可能導(dǎo)致最終的系統(tǒng)功能失效，危及行車安全。同時(shí)，這樣的需求描述，無法開展聯(lián)鎖軟件的安全驗(yàn)證。

聯(lián)鎖系統(tǒng)的安全需求，需滿足如下特征。

1）通用性：需求獨(dú)立于特定應(yīng)用站場布置，不會(huì)隨著站場設(shè)備的布置不同而發(fā)生變化。

2）安全性：安全需求有別于功能性需求和可用性需求。

3）可驗(yàn)證性：安全需求是能夠用于系統(tǒng)安全驗(yàn)證的一組安全屬性的集合，滿足安全驗(yàn)證，則認(rèn)為聯(lián)鎖系統(tǒng)是安全的。

4）能夠通過聯(lián)鎖系統(tǒng)的控制對象及對象間的制約關(guān)系獲取安全需求。

為了識(shí)別通用的安全需求，需描述聯(lián)鎖系統(tǒng)控制范圍要求的環(huán)境約束及應(yīng)用限制。對于由于約束限制不滿足引起的危害是無法通過聯(lián)鎖系統(tǒng)來保障的。聯(lián)鎖系統(tǒng)的安全運(yùn)行需遵守的限制條件：列車應(yīng)按照規(guī)定的運(yùn)行速度運(yùn)行；聯(lián)鎖系統(tǒng)的操作人員能夠按照對應(yīng)的運(yùn)營規(guī)范執(zhí)行操作；組成進(jìn)路內(nèi)的區(qū)段是連續(xù)的；道岔僅能在收到操作命令后啟動(dòng)轉(zhuǎn)換過程；列車必須按照道岔、信號(hào)機(jī)、區(qū)段的狀態(tài)要求行車。

2 計(jì)算機(jī)聯(lián)鎖系統(tǒng)風(fēng)險(xiǎn)矩陣

在聯(lián)鎖系統(tǒng)中，聯(lián)鎖功能是通過人工操作，基于進(jìn)路控制過程，圍繞道岔、信號(hào)機(jī)、區(qū)段3個(gè)主要核心控制對象的監(jiān)督、控制，指示列車按照聯(lián)鎖系統(tǒng)設(shè)定的路徑行車。通過嚴(yán)格的邏輯制約關(guān)系檢查，保證列車的安全運(yùn)行。整個(gè)安全保證過程中，涉及人員的安全和設(shè)備的安全，其潛在的危害包括：列車追尾、列車迎面碰撞、列車脫軌、列車撞傷乘客、道岔夾傷工作人員以及未知意外而引起的事故，如操作設(shè)備失效、電磁干擾。通過收集和分析不同來源的安全需求，得出聯(lián)鎖系統(tǒng)的風(fēng)險(xiǎn)矩陣，如圖1所示。

對聯(lián)鎖系統(tǒng)的安全需求來說，基本的共識(shí)是不能發(fā)生碰撞或脫軌事件。碰撞的描述：兩輛列車同時(shí)出現(xiàn)在軌道或道岔同一段被認(rèn)為是碰撞。脫軌：列車運(yùn)行與道岔開通方向不一致會(huì)導(dǎo)致脫軌。但這兩點(diǎn)是從非常高的抽象層面在描述安全需求，它們需要被精確、細(xì)化到更低的層面，從而可以直接被設(shè)計(jì)或驗(yàn)證人員使用。

圖1 計(jì)算機(jī)聯(lián)鎖系統(tǒng)風(fēng)險(xiǎn)矩陣

3 基于場景分析的安全需求分析過程

為了獲取完整的安全需求，從各種來源中提取一套通用的安全需求，并按不同的特征進(jìn)行分類。分類不僅包括系統(tǒng)的靜態(tài)方面，如沒有碰撞和脫軌，還包括從現(xiàn)有的安全相關(guān)功能要求中提取的描述系統(tǒng)的動(dòng)態(tài)方面?；趫鼍胺治龅穆?lián)鎖系統(tǒng)安全需求識(shí)別需要經(jīng)過3個(gè)過程（稱之為Situation x Hazards過程）：一是確定核心控制對象；二是定義與核心控制對象關(guān)聯(lián)的運(yùn)營場景；三是定義系統(tǒng)防護(hù)的危害區(qū)。

3.1 確定控制對象

以信號(hào)機(jī)為核心控制對象，說明信號(hào)機(jī)控制功能相關(guān)的安全需求過程。如圖2所示，針對信號(hào)機(jī)Sig，其防護(hù)范圍內(nèi)存在道岔Sw，且Sig防護(hù)進(jìn)路根據(jù)進(jìn)路防護(hù)道岔Sw的開通位置，存在不同的進(jìn)路終端。依據(jù)進(jìn)路終端的不同，存在不同的保護(hù)區(qū)段overlap。

3.2 運(yùn)行場景分析

列車要運(yùn)行經(jīng)過道岔反位的進(jìn)路，且進(jìn)路的overlap為優(yōu)先反位的overlap，則進(jìn)路、信號(hào)機(jī)、道岔、overlap及列車運(yùn)行過程之間的相互聯(lián)鎖關(guān)系存在如下場景。

S0：道岔被轉(zhuǎn)換到反位位置，但進(jìn)路未鎖閉，進(jìn)路始端信號(hào)機(jī)關(guān)閉，見圖2。

S1：進(jìn)路建立并鎖閉，且進(jìn)路關(guān)聯(lián)的overlap建立鎖閉，進(jìn)路始端信號(hào)機(jī)開放，見圖3。

圖2 進(jìn)路未建立，信號(hào)關(guān)閉

圖3 進(jìn)路鎖閉，信號(hào)開放

S2：列車運(yùn)行至進(jìn)路的接近區(qū)段，跨壓信號(hào)機(jī)，進(jìn)路始端信號(hào)機(jī)關(guān)閉，見圖4。

圖4 列車接近，跨壓信號(hào)機(jī)，信號(hào)關(guān)閉

S3：列車沿著進(jìn)路的鎖閉方向運(yùn)行，隨著列車運(yùn)行，進(jìn)路內(nèi)經(jīng)過的區(qū)段自動(dòng)解鎖，見圖5。

圖5 列車在進(jìn)路內(nèi)運(yùn)行

S4：列車越過進(jìn)路預(yù)定的停車點(diǎn)，進(jìn)入over?lap區(qū)域，列車已經(jīng)出清進(jìn)路，進(jìn)路解鎖，進(jìn)路內(nèi)道岔解鎖，道岔被要求轉(zhuǎn)換到定位位置，見圖6。

圖6 列車進(jìn)入overlap區(qū)域

3.3 識(shí)別風(fēng)險(xiǎn)區(qū)域和危害

識(shí)別風(fēng)險(xiǎn)區(qū)域，就是要求在當(dāng)前運(yùn)行場景下，根據(jù)風(fēng)險(xiǎn)矩陣關(guān)聯(lián)的設(shè)備，找出運(yùn)行場景中危害發(fā)生區(qū)域，包括：

1）信號(hào)機(jī)的防護(hù)區(qū)域。

2）能夠使列車到達(dá)信號(hào)機(jī)的可能路徑。

3）進(jìn)路中道岔當(dāng)前的物理位置所在區(qū)域。

4）運(yùn)行場景中危害發(fā)生點(diǎn)，如overlap區(qū)域。

肌間溝臂叢神經(jīng)阻滯中應(yīng)用右美托咪定超前鎮(zhèn)痛的臨床價(jià)值………………… 丁依依 葉克平 楊亦平 等（3）320

根據(jù)風(fēng)險(xiǎn)矩陣，聯(lián)鎖系統(tǒng)危害如表1所示。

表1 系統(tǒng)危害列表

3.4 風(fēng)險(xiǎn)識(shí)別

使用Situation x Hazards過程，識(shí)別出Sx場景下的危害H。以道岔位置對信號(hào)開放的運(yùn)行場景，分析道岔位置不正確時(shí)，存在的潛在風(fēng)險(xiǎn)，如圖7所示。

經(jīng)過場景分析，識(shí)別出如下風(fēng)險(xiǎn)。

1）道岔若不在進(jìn)路要求的正確位置，會(huì)導(dǎo)致列車脫軌的危害發(fā)生。

2）道岔若處于四開位置，會(huì)導(dǎo)致列車脫軌的危害發(fā)生。

3）列車經(jīng)過道岔的速度超速，會(huì)導(dǎo)致列車脫軌的危害發(fā)生。

針對已識(shí)別的風(fēng)險(xiǎn)，需判斷是否為系統(tǒng)運(yùn)行限制。對于列車超速，則不屬于聯(lián)鎖系統(tǒng)的可控范圍，那么該風(fēng)險(xiǎn)不能作為聯(lián)鎖系統(tǒng)安全需求。所以，經(jīng)過風(fēng)險(xiǎn)識(shí)別，得出當(dāng)前運(yùn)營場景下的安全需求為

通過該需求描述，有效說明了檢查道岔的位置狀態(tài)對于信號(hào)開放的影響，信號(hào)機(jī)開放必須滿足道岔位置條件。

上述安全需求分析過程，僅是從道岔的位置狀態(tài)屬性出發(fā)，分析了道岔位置與關(guān)聯(lián)信號(hào)機(jī)的安全需求。針對每一種設(shè)備，根據(jù)其不同的狀態(tài)屬性，如道岔的鎖閉、封鎖，按照同樣的方法，識(shí)別出所有道岔和信號(hào)機(jī)聯(lián)鎖關(guān)系存在的安全需求。

圖7 道岔位置風(fēng)險(xiǎn)識(shí)別流程

4 安全需求的精化描述

任何一條安全需求都應(yīng)該是確定的，無二義性的。聯(lián)鎖系統(tǒng)作為復(fù)雜系統(tǒng)，有著嚴(yán)格的以進(jìn)路控制和信號(hào)開放為目的的邏輯核心功能，無論是功能的設(shè)計(jì)實(shí)現(xiàn)還是功能需求的驗(yàn)證、測試，需求分析和詳細(xì)的需求描述都至關(guān)重要。針對識(shí)別出的聯(lián)鎖系統(tǒng)安全需求，需要對其進(jìn)行形式化描述，避免自然語言的二義性。因此，采用數(shù)學(xué)定義，從2個(gè)角度對抽象危害需求進(jìn)行精化描述：①單個(gè)對象的安全約束；②多個(gè)對象間的聯(lián)鎖約束。

4.1 單個(gè)對象的安全約束

下面列出了一些預(yù)定義的聯(lián)鎖系統(tǒng)主要對象，并且對它們指定了一些通用安全約束。

1）道岔：每個(gè)道岔都有唯一標(biāo)識(shí)符Sw，并具有如下類型定義和限制。

Constraint：一個(gè)道岔無法同時(shí)處于定位與反位的狀態(tài)。

Formal Description:ALLsw(?(normal(sw)Λreverse(sw)))

2）信號(hào)機(jī)：每個(gè)信號(hào)機(jī)都有唯一標(biāo)識(shí)符sig，并具有如下類型定義和限制。

Constraint：對任一信號(hào)機(jī)，當(dāng)允許燈光無法點(diǎn)亮?xí)r，必須點(diǎn)亮禁止燈光。

3）進(jìn)路：每條進(jìn)路由一系列連續(xù)的區(qū)段構(gòu)成。每條進(jìn)路都有唯一標(biāo)識(shí)符rt；組成進(jìn)路的每個(gè)區(qū)段有唯一標(biāo)識(shí)符t，則存在如下類型定義和限制。

Constraint：當(dāng)一條進(jìn)路被建立，則進(jìn)路被鎖閉。

4.2 多個(gè)對象間的聯(lián)鎖約束

在聯(lián)鎖系統(tǒng)中，存在4種常見的約束關(guān)系：①進(jìn)路與進(jìn)路之間；②進(jìn)路與道岔之間；③進(jìn)路與信號(hào)機(jī)之間；④信號(hào)機(jī)與道岔之間。

基于上述約束關(guān)系和聯(lián)鎖系統(tǒng)自身的功能要求，存在如下需求。

Constraint：當(dāng)一條進(jìn)路被建立時(shí)，進(jìn)路上所有道岔都必須被鎖閉。

Constraint：當(dāng)一條進(jìn)路開放時(shí)，進(jìn)路的信號(hào)機(jī)點(diǎn)亮綠燈并且進(jìn)路上所有信號(hào)機(jī)必須點(diǎn)亮紅燈。

按照上述約束關(guān)系精化描述方法，針對已識(shí)別的需求，描述示例見表2。

表2 安全需求描述示例

5 結(jié)論

聯(lián)鎖系統(tǒng)安全需求是涉及系統(tǒng)設(shè)計(jì)和驗(yàn)證的關(guān)鍵輸入，對于系統(tǒng)安全需求的識(shí)別精化，在引入SxH方法過程中，采用對象、場景逐層危害識(shí)別，對每一個(gè)對象狀態(tài)和關(guān)聯(lián)場景進(jìn)行危害分析，實(shí)現(xiàn)需求的抽象設(shè)計(jì)。從系統(tǒng)運(yùn)營場景的角度出發(fā)，找出通過何種操作、輸入會(huì)導(dǎo)致不允許發(fā)生的頂層事件，繼而找到系統(tǒng)安全需求。在基于場景需求危害分析過程中，通過系統(tǒng)的控制對象、邏輯狀態(tài)、約束條件之間的關(guān)系結(jié)果分析，應(yīng)用數(shù)學(xué)的方法描述需求，得到清晰且無二義性需求，是計(jì)算機(jī)聯(lián)鎖需求描述不錯(cuò)的選擇。