基于模型的系統(tǒng)安全分析(MBSA)

1、基于模型的系統(tǒng)安全分析（MBSA）臨時限速服務器系統(tǒng)建模分析電子信息工程學院研1408班14120281滕昌敏一、ApsysSimfia軟件簡介Simfia是空客公司所提供的基于MBSA的安全分析軟件，其運行環(huán)境是JAVA環(huán)境。Simfia包括SOFIA（軟件內核）、SIMUL（高級功能，基于動態(tài)仿真，分析安全系列的時序關系及分析故障鏈傳遞導致的不期望結果的概率）、FMECA（根據(jù)不同的輸入和標準，產(chǎn)生不同格式的各類表格，如FHA、FMEA、FMES等）、SAFETY（就安全性來說，可以輸出故障樹和故障樹相關的定量計算、RELDIAG（可靠性計算）、SIMTEST（可測試性計算）等。Simfi

2、a的建模方式很靈活，可以自上而下展開模型，也可以自下而上集成模型。Simfia最大的特點是基于模型的安全分析方法，模型的好處是模擬描述系統(tǒng)十分貼近真實系統(tǒng)，無論是運行模式還是功能失效，模型的計算是根據(jù)數(shù)學推理得到，所以結果經(jīng)得起檢驗。安全工程師重要的工作是建立模型，理解系統(tǒng)設計的方案，配置各個組件模塊之間的邏輯關系，而輸出性的分析性的結果都是可以由軟件自動生成。例如：故障樹及割集的自動生成，安全序列的自動生成,FMECA的自動生成，可靠性框圖和可測性模型的自動生成。Simfia具有良好的可視化的建模窗口，快捷的操作界面，清晰明了的菜單。在simfia上建模，其通俗易懂的層次化結構，十分貼近真實

3、系統(tǒng)的架構。Simfia是唯一能夠覆蓋RAMS的自動化分析的集成工作臺。此外，如果設計的復雜系統(tǒng)發(fā)生更改與變化，我們只需更改對應的模型信息，simfia所有輸出自動更新，迅速配置管理，并具有敏捷的迭代分析。其他同行軟件并不是“基于模型”的，可靠性、維修性、可用性及安全性制定模型必須由認為更新;在系統(tǒng)設計和可靠性、維修性、可用性及安全性模型間沒有一致性和相關性的保障。在這一方面，比傳統(tǒng)的安全分析更有效率而且大大減少了工程師們的工作量。Simfia軟件可以根據(jù)系統(tǒng)的模型生成等價的AltaRica代碼，可以用來進行隨機仿真和序列生成。Simfia軟件在使用的過程中最重要的便是建立分析系統(tǒng)的模型，模型

4、建立的合理性直接影響到后面的模型分析數(shù)據(jù)的可信性。在使用該軟件進行系統(tǒng)分析的時候，模型和數(shù)據(jù)是基礎，軟件的自帶的分析功能是手段，再通過最后的總結整理即可得到系統(tǒng)相應的性能指標，即可對系統(tǒng)的進行進一步優(yōu)化。二、臨時限速服務器系統(tǒng)簡介1、關于臨時限速臨時限速是指線路固定限速以外的、具有實效性的限速，包括：施工、維修引起的計劃性限速；自然災害、設備故障引起的突發(fā)性限速等。隨著我國咼速鐵路的跨越式發(fā)展，列車運行速度越來越快，對臨時限速設置的安全性要求也就越高。而臨時限速服務器就是傳遞臨時限速信息的一個系統(tǒng)。2、臨時限速服務器系統(tǒng)臨時限速服務器系統(tǒng)的主要部分之一就是臨時限速服務器，其內部結構包含五個模塊

5、，主要是限速命令處理模塊、限速命令存儲模塊、限速命令管理模塊和通信接口模塊。臨時限速服務器（TSRS）的主要功能是向正線CTC管轄范圍內各站/中繼站列控中心（TCC）或無線閉塞中心（RBC）傳遞臨時限速信息，實現(xiàn)對各列控中心或無線閉塞中心分配和集中管理臨時限速指令，保證限速計劃的順利實施，滿足本線臨時限速管理的能力，并能與相鄰線路臨時限速服務器接口實現(xiàn)臨時限速功能的交互。本線臨時限速由調度中心集中管理，臨時限速操作終端設置于調度中心，每個CTC行調臺對應設置一個臨時限速操作終端，臨時限速的設置、取消均在調度中心進行，臨時限速命令的設置與取消均采用雙重口令，經(jīng)行車調度員確認下達后立即執(zhí)行。CTC

6、S2級的臨時限速信息流程為：操作終端一臨時限速服務器一列控安全信息網(wǎng)一車站TCCLEU有源應點式答器一列車；CTCS3級的臨時限速信息流程為：操作終端一臨時限速服務器一無線WLAN車站RBC列車。正線臨時限速設置流程滿足運營信號2010客運專線列控系統(tǒng)臨時限速技術規(guī)范（v2.0）的規(guī)定。三、臨時限速服務器系統(tǒng)建模分析1、MBSA簡介基于模型的系統(tǒng)安全分析（MBSA）可以分為兩步。分別為對系統(tǒng)建模、針對模型對系統(tǒng)進行相關的安全性分析。MBSA是在一個形式化的模型上對系統(tǒng)的正常狀態(tài)和故障狀態(tài)展開描述。我們的目的是提供一個準確的可描述系統(tǒng)行為的模型，自動進行某些安全分析過程，從而節(jié)省人力物力并提高安

7、全分析結果的質量。具體來說，MBSA主要是通過軟件對系統(tǒng)各個模塊進行建模，包括機械結構、物理部件和軟件模塊。通過各個部件的相互聯(lián)系與邏輯關系，得到系統(tǒng)特性。該模型可描述系統(tǒng)出現(xiàn)一個或多個故障時的特性。建模完成后，故障樹和FMEA等會像副產(chǎn)品一樣自動生成。與其說MBSA是一種分析方法，不如說MBSA是一類安全分析方法。在某種層面上講，它只是提供了一個模型的平臺，為得出安全分析結果提供了計算機這一便捷工具，其實目的上并非與傳統(tǒng)安全分析方法有太大的差異。不同的建模方式有不同建模語言的定義，但建模的意義就是對實物的簡化、方便對其進行邏輯分析及數(shù)學分析。2、臨時限速服務器系統(tǒng)建模本次大作業(yè)完成的是對于臨

8、時限速服務器系統(tǒng)的建模分析，采用基于模型的安全系統(tǒng)分析方法，基于ApsysSimfia軟件進行相關工作的開展。下面給出建模分析的主要工作及結果分析。2.1 Top(Overview)如下圖3.2.1所示，給出的是臨時限速服務器系統(tǒng)的整體建模架構，其中包含的部分有調度員部分、CTC、通信機柜、臨時限速服務器部分、TCC和RBC部分、監(jiān)控維護終端部分以及相連臨時限速服務器部分等。圖321臨時限速服務器系統(tǒng)建模一Top該模型體現(xiàn)了臨時限速命令的傳達過程：首先，CTC下達臨時限速命令，通過網(wǎng)絡傳達給TSR服務器，TSRS接收臨時限速命令并校驗，然后反饋給CTC，CTC確認反饋無異常，確定限速命令，并告

9、知TSRS。然后，TSRS存儲臨時限速命令，并將臨時限速命令通過以太網(wǎng)傳送給TCC和RBC；TSRS也將收到的臨時限速信息傳送給相鄰TSRS；TSRS將自身工作狀態(tài)傳送給維護終端，并通過微機監(jiān)測將其狀態(tài)信息實時顯示給工作人員。最后，TCC控制應答器傳送相應的TSR信息給C2列車；RBC通過GSM-R傳送相應的TSR信息給C3列車。最終，車載ATP執(zhí)行限速命令,控制列車安全運行。2.2各模塊（1）通信機柜模塊如下圖3.2.2所示，給出的是通信機柜模塊的冗余結構模型。其中包含A、B兩套冗余通信設備（協(xié)議交換機A和B、路由器A和B以及交換機A和B。）。圖3.2.2通信機柜模塊模型通信機柜模塊連接CT

10、C和TSRS,實現(xiàn)將臨時限速命令由CTC傳達給TSRS并通過校驗，實驗臨時限速命令的下達。（2）以太網(wǎng)模塊如下圖3.2.3所示，給出的是以太網(wǎng)模塊的冗余結構模型。其中分別包含有TCC和RBC的冗余設備（與TCC相連的交換機A和B；與RBC相連的交換機A和圖323以太網(wǎng)模塊模型以太網(wǎng)模塊連接的是TSRS和列車，分別完成臨時限速命令通過TCC向C2級列車的傳達和通過RBC向C3級列車的傳達。列車接收臨時限速命令并執(zhí)行臨時限速命令。3、模型故障樹分析3.1故障樹的初始化定義以車載ATP的故障樹初始化定義為例，如下圖3.3.1和3.3.2所示，給出的是分別是車載ATP接收到的臨時限速命令有效和失效兩種

11、狀態(tài)模式的故障樹顯示。:乍載ATP.執(zhí)行隕速宿令:nomln刑n圖3.3.1車載ATP限速命令有效模式由故障樹可以看出，當車載ATP接收到的來自于TCC和RBC的限速命令中只要有一個有效（也表示的是C2級列車接收到來自TCC的限速命令有效，C3級列車接收到的來自RBC的限速命令有效。），并且車載ATP自身功能狀態(tài)正常，此時車載ATP正常執(zhí)行限速命令。盤ATP相檸兔逵命妾:failedstat&s:failiireREC.iMjlGSM-RliTSRfi.aiEP:wrortg.通過伺答粘輸"TSFI命令們克卅ATP:wrortg圖3.3.2車載ATP限速命令無效模式由故障樹可

12、以看出，當車載ATP接收到的來自于TCC和RBC的限速命令兩個都為無效（也表示的是C2級列車接收到來自TCC的限速命令無效，C3級列車接收到的來自RBC的限速命令無效。，或者車載ATP自身功能故障，此時車載ATP無法正常執(zhí)行限速命令。此即為故障模式。3.2模型輸出故障樹如下圖3.3.3、3.3.4和3.3.5所示，給出的分別是車載ATP的輸出故障樹、微機監(jiān)測的輸出故障樹和相連TSRS的輸出故障樹。_TI=j*-l圖3.3.3車載ATP輸出故障樹圖3.3.4微機監(jiān)測輸出故障樹圖3.3.5相鄰TSRS輸出故障樹上圖所示故障樹是在模型的所有模塊中進行了相關的失效模式定義之后由軟件自身生成的?；诖溯?/p>

13、出故障樹以及相關的失效模式計算，可以用來對實際中的系統(tǒng)進行相關的安全性能分析，極大的提高了工作效率。4、相關分析計算4.1 ReliabilityDiagram如下圖3.4.1所示為系統(tǒng)可靠性框圖，由軟件自動生成。圖3.4.1ReliabilityDiagram4.2 RAMcomputation如下圖3.4.2和3.4.3所示，給出的是設置時間為100hours和無窮時，模型的Availability,Maintenability,Reliability和Unavailability的計算結果顯示，有軟件自己生成。圖3.4.2時間設置為100hours時RAMcomputation結果圖3.4.3時間為無窮時RAMcomputation結果四、總結本次大作業(yè)是在學習了基于模型