基于GSN方法的CTCs-3级车载安全计算机安全论证

摘要

铁路信号设备的职责就是保证列车安全运行的前提下提高行车效率，所以安全性是第一前提。CTCS-3级列控车载安全计算机是一种高安全苛求车载设备，属于列控系统中车载关键子系统列车自动防护系统ATP的核心组成部分，是综合地面信息处理，计算执行安全监督和防护，指导司机驾驶和无线信息交互等多重安全功能的信息流决策终端。
　　本文研究了在为CTCS-3级列控车载安全计算机编制安全证明文件(safetycase)过程中，如何全面整理安全证据和假设，并应用目标结构符号GSN(GoalStructuring Notation)开展安全论证的方法。
　　本文首先根据CTCS-3级列控系统车载设备技术规范和CTCS-3级列控系统技术创新总体方案，针对车载安全计算机导出了系统定义与应用条件，开展了全面详细的安全分析，根据EN50126和EN50129的要求，识别了完整的隐患并建立隐患群，对各隐患采用风险矩阵方法进行了定性风险评估，最终导出了完整的安全需求，通过故障树分析方法(FTA)分析证明了系统满足安全需求。风险控制措施和技术不在本文研究范围内。
　　在以上安全证据全面齐备的前提下，采用GSN方法全面详细地对安全证明文件中的安全管理报告和技术安全报告进行了论述，论证了CTCS-3级列控车载安全计算机的安全性，从需求满足，安全证据继承和安全管理程序等三个视角平行地开展论证，以避免一般只采用一种论证视角可能带来的目标或证据遗漏与不严密。
　　本文的研究方法和内容适用于一般列控系统设备或铁路通信信号设备的安全分析与论证，是对我国铁路信号系统安全性研究的探索，也适用一般铁路信号设备安全认证。

目录

致谢

摘要

1 引言

1．1 选题背景及意义

1．2 CTCS-3级列控车载安全计算机的研究

1．2．1 计算机安全性的概念层次

1．2．2 车载安全计算机

1．2．3 安全分析技术与比较

1．3 安全标准介绍

1．4 安全论证的研究

1．5 论文内容的结构

2 C3车载安全计算机的安全分析

2．1 系统定义与应用环境

2．1．1 C3系统概述

2．1．2 系统边界与系统环境

2．1．3 安全计算机顶层功能和假定约束

2．2 隐患识别与风险评估

2．2．1 隐患识别与分析

2．2．2 隐患日志与原因后果分析

2．2．3 风险评估

2．3 安全需求

2．3．1 安全功能需求

2．3．2 安全完整性需求

2．3．3 其它安全需求

3 安全论证与安全证明文件

3．1 安全证明文件

3．1．1 安全证据与论证

3．1．2 安全证明文件

3．1．3 安全证明文件的编制

3．2 GSN方法的应用

3．2．1 GSN方法介绍

3．2．2 如何使用GSN方法

3．3 系统安全论证框架

4 安全管理和技术安全论证

4．1 安全管理和技术安全论证

4．1．1 安全管理报告的论证结构

4．1．2 安全管理报告子目标的论证

4．2 功能与技术安全的安全论证

4．2．1 技术安全报告的论证结构

4．2．2 技术安全报告子目标的论证

5 结论

参考文献

图索引

表索引

作者简历

声明

学位论文数据集