基于模型的系统安全分析(MBSA)

基于模型的系统安全分析（MBSA）
——————临时限速服务器系统建模分析
电子信息工程学院研1408班14120281 滕昌敏一、Apsys Simfia软件简介
Simfia是空客公司所提供的基于MBSA的安全分析软件，其运行环境是JA V A环境。

Simfia包括SOFIA（软件内核）、SIMUL（高级功能，基于动态仿真，分析安全系列的时序关系及分析故障链传递导致的不期望结果的概率）、FMECA（根据不同的输入和标准，产生不同格式的各类表格，如FHA、FMEA、FMES等）、SAFETY（就安全性来说，可以输出故障树和故障树相关的定量计算、RELDIAG （可靠性计算）、SIMTEST（可测试性计算）等。

Simfia的建模方式很灵活，可以自上而下展开模型，也可以自下而上集成模型。

Simfia最大的特点是基于模型的安全分析方法，模型的好处是模拟描述系统十分贴近真实系统，无论是运行模式还是功能失效，模型的计算是根据数学推理得到，所以结果经得起检验。

安全工程师重要的工作是建立模型，理解系统设计的方案，配置各个组件模块之间的逻辑关系，而输出性的分析性的结果都是可以由软件自动生成。

例如：故障树及割集的自动生成，安全序列的自动生成，FMECA的自动生成，可靠性框图和可测性模型的自动生成。

Simfia具有良好的可视化的建模窗口，快捷的操作界面，清晰明了的菜单。

在simfia上建模，其通俗易懂的层次化结构，十分贴近真实系统的架构。

Simfia是唯一能够覆盖RAMS的自动化分析的集成工作台。

此外，如果设计的复杂系统发生更改与变化，我们只需更改对应的模型信息，simfia所有输出自动更新，迅速配置管理，并具有敏捷的迭代分析。

其他同行软件并不是“基于模型”的，可靠性、维修性、可用性及安全性制定模型必须由认为更新；在系统设计和可靠性、维修性、可用性及安全性模型间没有一致性和相关性的保障。

在这一方面，比传统的安全分析更有效率而且大大减少了工程师们的工作量。

Simfia软件可以根据系统的模型生成等价的AltaRica代码，可以用来进行随机仿真和序列生成。

Simfia软件在使用的过程中最重要的便是建立分析系统的模型，模型建立的合理性直接影响到后面的模型分析数据的可信性。

在使用该软件进行系统分析的时候，模型和数据是基础，软件的自带的分析功能是手段，再通过最后的总结整理即可得到系统相应的性能指标，即可对系统的进行进一步优化。

二、临时限速服务器系统简介
1、关于临时限速
临时限速是指线路固定限速以外的、具有实效性的限速，包括：施工、维修引起的计划性限速；自然灾害、设备故障引起的突发性限速等。

随着我国高速铁路的跨越式发展，列车运行速度越来越快，对临时限速设置的安全性要求也就越高。

而临时限速服务器就是传递临时限速信息的一个系统。

2、临时限速服务器系统
临时限速服务器系统的主要部分之一就是临时限速服务器，其内
部结构包含五个模块，主要是限速命令处理模块、限速命令存储模块、限速命令管理模块和通信接口模块。

临时限速服务器（TSRS）的主要功能是向正线CTC管辖范围内各站/中继站列控中心（TCC）或无线闭塞中心（RBC）传递临时限速信息，实现对各列控中心或无线闭塞中心分配和集中管理临时限速指令，保证限速计划的顺利实施，满足本线临时限速管理的能力，并能与相邻线路临时限速服务器接口实现临时限速功能的交互。

本线临时限速由调度中心集中管理，临时限速操作终端设置于调度中心，每个CTC行调台对应设置一个临时限速操作终端，临时限速的设置、取消均在调度中心进行，临时限速命令的设置与取消均采用双重口令，经行车调度员确认下达后立即执行。

CTCS2级的临时限速信息流程为：操作终端—临时限速服务器—列控安全信息网—车站TCC —LEU—有源应点式答器—列车；CTCS3级的临时限速信息流程为：操作终端—临时限速服务器—无线WLAN—车站RBC—列车。

正线临时限速设置流程满足运营信号[2010]《客运专线列控系统临时限速技术规范（v2.0）》的规定。

三、临时限速服务器系统建模分析
1、MBSA简介
基于模型的系统安全分析（MBSA）可以分为两步。

分别为对系统建模、针对模型对系统进行相关的安全性分析。

MBSA是在一个形式化的模型上对系统的正常状态和故障状态展开描述。

我们的目的是提供一个准确的可描述系统行为的模型，自
动进行某些安全分析过程，从而节省人力物力并提高安全分析结果的质量。

具体来说，MBSA主要是通过软件对系统各个模块进行建模，包括机械结构、物理部件和软件模块。

通过各个部件的相互联系与逻辑关系，得到系统特性。

该模型可描述系统出现一个或多个故障时的特性。

建模完成后，故障树和FMEA等会像副产品一样自动生成。

与其说MBSA是一种分析方法，不如说MBSA是一类安全分析方法。

在某种层面上讲，它只是提供了一个模型的平台，为得出安全分析结果提供了计算机这一便捷工具，其实目的上并非与传统安全分析方法有太大的差异。

不同的建模方式有不同建模语言的定义，但建模的意义就是对实物的简化、方便对其进行逻辑分析及数学分析。

2、临时限速服务器系统建模
本次大作业完成的是对于临时限速服务器系统的建模分析，采用基于模型的安全系统分析方法，基于Apsys Simfia软件进行相关工作的开展。

下面给出建模分析的主要工作及结果分析。

2.1 Top（Overview）
如下图3.2.1所示，给出的是临时限速服务器系统的整体建模架构，其中包含的部分有调度员部分、CTC、通信机柜、临时限速服务器部分、TCC和RBC部分、监控维护终端部分以及相连临时限速服务器部分等。

图3.2.1 临时限速服务器系统建模—Top
该模型体现了临时限速命令的传达过程：
首先，CTC下达临时限速命令，通过网络传达给TSR服务器，TSRS接收临时限速命令并校验，然后反馈给CTC，CTC确认反馈无异常，确定限速命令，并告知TSRS。

然后，TSRS存储临时限速命令，并将临时限速命令通过以太网传送给TCC和RBC；TSRS也将收到的临时限速信息传送给相邻TSRS；TSRS将自身工作状态传送给维护终端，并通过微机监测将其状态信息实时显示给工作人员。

最后，TCC控制应答器传送相应的TSR信息给C2列车；RBC 通过GSM-R传送相应的TSR信息给C3列车。

最终，车载ATP执行限速命令,控制列车安全运行。

2.2 各模块
（1）通信机柜模块
如下图3.2.2所示，给出的是通信机柜模块的冗余结构模型。

其中包含A、B两套冗余通信设备（协议交换机A和B、路由器A和B 以及交换机A和B。

）。

图3.2.2 通信机柜模块模型
通信机柜模块连接CTC和TSRS，实现将临时限速命令由CTC 传达给TSRS并通过校验，实验临时限速命令的下达。

（2）以太网模块
如下图3.2.3所示，给出的是以太网模块的冗余结构模型。

其中分别包含有TCC和RBC的冗余设备（与TCC相连的交换机A 和B；与RBC相连的交换机A和B。

）。

图3.2.3 以太网模块模型
以太网模块连接的是TSRS和列车，分别完成临时限速命令通过TCC向C2级列车的传达和通过RBC向C3级列车的传达。

列车接收
临时限速命令并执行临时限速命令。

3、模型故障树分析
3.1 故障树的初始化定义
以车载ATP的故障树初始化定义为例，如下图3.3.1和3.3.2所示，给出的是分别是车载ATP接收到的临时限速命令有效和失效两种状态模式的故障树显示。

图3.3.1 车载ATP限速命令有效模式
由故障树可以看出，当车载ATP接收到的来自于TCC和RBC 的限速命令中只要有一个有效（也表示的是C2级列车接收到来自TCC的限速命令有效，C3级列车接收到的来自RBC的限速命令有效。

），并且车载ATP自身功能状态正常，此时车载ATP正常执行限速命令。

图3.3.2 车载ATP限速命令无效模式
由故障树可以看出，当车载ATP接收到的来自于TCC和RBC 的限速命令两个都为无效（也表示的是C2级列车接收到来自TCC的限速命令无效，C3级列车接收到的来自RBC的限速命令无效。

），或者车载ATP自身功能故障，此时车载ATP无法正常执行限速命令。

此即为故障模式。

3.2 模型输出故障树
如下图3.3.3、3.3.4和3.3.5所示，给出的分别是车载ATP的输出故障树、微机监测的输出故障树和相连TSRS的输出故障树。

图3.3.3 车载ATP输出故障树
图3.3.4 微机监测输出故障树
图3.3.5 相邻TSRS输出故障树
上图所示故障树是在模型的所有模块中进行了相关的失效模式定义之后由软件自身生成的。

基于此输出故障树以及相关的失效模式计算，可以用来对实际中的系统进行相关的安全性能分析，极大的提高了工作效率。

4、相关分析计算
4.1 Reliability Diagram
如下图3.4.1所示为系统可靠性框图，由软件自动生成。

图3.4.1 Reliability Diagram
4.2 RAM computation
如下图3.4.2和3.4.3所示，给出的是设置时间为100hours和无穷时，模型的Availability，Maintenability，Reliability和Unavailability
的计算结果显示，有软件自己生成。

图3.4.2 时间设置为100hours时RAM computation结果
图3.4.3 时间为无穷时RAM computation结果
四、总结
本次大作业是在学习了基于模型的系统安全分析（MBSA）的相关知识之后，针对临时限速服务器系统的工作原理及流程，使用Apsys Simfia软件对临时限速服务器系统进行了建模分析。

在此过程中，学习了Apsys Simfia软件的一些相关知识及学会了使用该软件进行简单的建模并对模型进行相关的分析。

通过查阅相关资料，对临时限速服务器系统的原理及工作流程有了进一步的了解。

希望在以后的生活和学习中能够继续学习深化。

最后，感谢各位老师和同学的教育和指导！。