[发明专利]一种用于对再生水回用系统进行安全分析的方法及系统

说明书

本发明公开了一种用于对再生水回用系统进行安全分析的方法及系统，属于系统安全控制技术领域。本发明方法包括：针对再生水回用系统的控制系统进行危险行为识别，并获取识别结果；针对识别结果，确定识别结果中每个危险行为的发生方式，根据危险行为的发生方式，确定再生水回用系统的安全性需求；针对安全性需求及控制系统进行建模，获取验证模型，对验证模型进行控制系统的安全性进行验证，获取验证结果，根据验证结果完成对再生水回用系统的安全分析。本发明获得的安全需求，结合模型检查技术，识别了导致危险软件行为的潜在因果场景，据发现的危险原因修改设计后，消除危险行为。

技术领域

本发明涉及系统安全控制技术领域，并且更具体地，涉及一种用于对再生水回用系统进行安全分析的方法及系统。

背景技术

再生水系统是一个复杂的非传统供水系统，主要包括水源(污水/二级处理出水)、污水再生处理、再生水储存与输配以及再生水利用等基本要素。污水(通常为二级处理出水)经过再生水系统，成为达到一定水质要求的再生水。继而通过输配与储存系统，将再生水供给不同用户。由于污水中的生物和化学污染种类繁多、组分复杂、危害效应和处理特性各异，因此再生水不同利用途径所需的安全保障水平也不同，再生水系统中的每个要素都可能对再生水的水质安全保障和风险控制产生影响。

按照“源头控制与过程控制相结合、单元优化与系统优化相结合”的基本原则，识别并将关键因子控制在可接受的风险水平是保障再生水系统安全可靠且高效运行的基本思路。传统的安全性分析技术是将硬件安全分析方法扩展到软件领域。例如软件故障树分析(Software Fault Tree Analysis，SFTA)和软件失效模式和影响分析(SoftwareFailure Mode and Effects Analysis，SFMEA)等均是基于传统链式/树式的事故因果模型的安全性分析方法，并且是为过去简单、松耦合的系统而开发的。这些分析方法主要集中在故障事件上，而目前与软件相关的系统危害通常是由软件缺陷、软件需求错误和组成系统的不同组件之间不受控制的交互作用所造成的，因此确保系统的安全运行需要充分了解与软件密切相关的潜在危险，以便在设计中消除潜在危险。

针对传统安全性分析方法的不足，Leverson等提出了基于系统理论事故模型和过程(Systems Theoretic Accident Model and Processes，STAMP)的安全性分析方法——系统理论过程分析(System Theoretic Process Analysis，STPA)。这种分析方式将事故的潜在原因扩展为动态控制问题，而不是简单的部件失效问题。在此基础上，Thomas提出了一种基于控制结构图中各控制器的过程模型变量组合的STPA扩展方法，用于识别系统中存在的危险行为。Abdulkhaleq等研究了使用STPA在系统级分析软件安全性的可行性，并成功应用于汽车巡航控制系统的软件安全性分析中。

目前，关于再生水回用系统的安全性分析的研究存在一些问题：

(1)有关再生水控制系统的安全性分析仍主要局限于传统的故障树分析、故障模式及影响分析等基于事件链的安全性分析方法，这些方法的结果已不适应当今再生水控制系统体现出的安全性需求；

(2)即使是极少数应用STAMP进行再生水控制系统安全性分析的相关研究工作中，对系统的静态结构与动态行为等相关信息仍主要采用自然语言来进行刻画和描述，模型的准确性和易理解性难以保证；

(3)这些极少数相关研究工作在实施STPA的过程中，如寻找事故致因等内容仍主要采取人工分析的方式，分析结果的全面性、可信度等都受到分析人员的知识水平和主观判断等因素影响；

(4)随着再生水控制系统的复杂程度不断上升，安全性分析的工作量也不断上升，系统中可能导致危险的事故致因的定位也愈加困难和耗费人力，如何保证系统设计与安全性分析工作的同步进行甚至有机统一是亟待解决的问题。

发明内容