英语原文共 16 页,剩余内容已隐藏,支付完成后下载完整资料
动态系统安全操作边界的识别和分析方法
摘要
在本文中,介绍了在安全关键系统中安全操作边界跟踪法的潜在应用。首先,根据一组不等式约束,一个通用的安全区被定义为建立一个安全的操作边界。安全操作边界和安全关键过程变量的峰值瞬态值之间的欧氏距离被用作安全指数,来确定与这些变量有关的潜在危险的状态。
由于安全操作边界是系统运行条件的函数,随着系统的状态演化,这个边界可以展开或收缩。因此,根据选定的安全操作边界,边界跟踪方法被用来识别系统中潜在的危险状态(漏洞)。这些危险状态对系统安全的影响通过FMEA(失效模式及影响分析)根据漏洞的程度来排名。
为了验证所提方法的有效性,一个物理核动力控制测试设备(npctf)为例进行了。安全区已建立,危险状态被认定为安全漏洞。本文对实验结果进行了分析。
关键词:安全操作边界;脆弱性识别;安全分析;失效模式及影响分析
1.简介
1.1背景
安全关键系统中的故障可能会导致生命或环境的损失,严重损害。从本质上说,如果一个系统的失败导致的后果是不可接受的,那么该系统被称为一个安全关键系统。在这样的系统中,故意行为的恶作剧或操作错误,可能会危及整个操作的完整性,并导致一个灾难性的故障处理。
在安全关键系统,必须保持所有系统变量在各自的安全边界内。因此,开发适当的方法和有效的工具来确定和分析这些边界是很重要的。一旦关键过程变量的操作安全边界的建立,我们可以有效地找出系统漏洞,从而导致改进开发系统的整体安全和减少开发内部/外部人士潜在风险。因此,开发合适的方法和有效的工具,以确定安全的操作边界,并分析系统内固有的危害,这是非常重要和必要的。
1.2前期工作
系统的安全操作边界的分析是研究系统固有结构和识别分类与变量相关的潜在漏洞的过程。这一分析的最终目的是要保证系统在其特定范围内工作,并设计缓解程序,以减少在安全关键过程的风险。这种分析可以通过一系列的技术来进行,如假设的研究,故障树分析,事件树分析和失效模式与影响分析(FMEA)。每种技术提供了一个独特的视角,深入了解系统的特点。
为了识别危险状态如何可能导致系统故障,故障树分析(FTA)方法是一个有用的工具来分析系统组件故障传播的依赖性。它经常被用于系统故障在其基本组成部分的故障方面进行建模。事件树分析为给定起始事件的特定事故序列的建模提供了一个逻辑框架。为了识别失效后果的影响,FMEA经常被用来作为感性分析工具,系统地分析组件失效模式和确定他们对系统产生的影响。
对于安全工作边界识别方法,由Jesty提出的围护结构是操作和环境上的限制,在其内系统欲将以一种安全的方式运行。Balog认为从以前的事故或工作经验,和有经验的个人的场景开发和判断数据,以确定运输系统的边界和危害。
1.3问题陈述
在本文中,安全关键系统中识别安全工作边界的问题得到解决,FMEA方法已被用来识别边界漏洞并且分析这些漏洞产生的相应后果。
1.4论文组织
本文进行如下。第1节介绍背景和前期工作。第2节提出了安全操作边界识别方法。在第3节,系统漏洞的安全分析审查。第4节是一个案例研究,结论在第5节。
2.安全操作边界的识别方法
2.1安全区的定义
系统安全地带定义了系统边界的范围,这为系统变量确定了安全工作区域。系统安全区基本上描述了什么系统可以和不可以安全地运行。为了达到一定程度的操作安全,可能需要设计专用的安全功能,以防止变量漂移到危险区。一个安全关键系统的不同区域的维恩图如图1所示.以下是一些相关的概念来定义系统的安全区域。
安全操作边界
安全限制
安全约束
破坏区
危险区
安全区
图1.安全关键系统的维恩图描述
系统约束:它们是基于特定行业的规范和标准,通常通过观察预期运行事件进行计算和关键系统变量的瞬态设计基础。通常,这种约束是由底层物理过程决定的,如材料的强度,机械系统的物理限制,等等。
安全操作边界:这是由一个操作点指定的,其中安全功能被激活,以防止过程突破安全极限。此外,每个安全操作边界有一个相关联的安全状态区域。在一个安全功能的正确激活时,系统将在指定的时间量内恢复到一个预先定义的安全状态。
安全限制:它们是在设计或建立用于工厂操作中使用的限制值。所接受的安全限制或标准的值一般由基于特定的设计标准和调控细则规定的。安全限度不得在正常操作下被超过。在一个安全关键系统中变量的安全限制通常由确定性评价方法确定的,作为国际标准由国家监管机构接受。
安全区域:这些是由系统的安全操作界限和相关联的系统约束建立。安全区可能是相同的或比系统更严格的安全限制。这样的区域保证安全关键系统在正常运行时安全运行。
危险区域:它们被认定为过程变量的范围,其内的安全相关系统变量受到危险情况或不起作用的状态(故障区),即失败,阻止安全相关系统以真实的需求执行预期的功能。
2.2安全操作边界的定义
安全操作的边界可以由多个参数,例如,设计参数,环境参数,或操作参数来定义。它是由安全工作的要求,系统的安全性限制和安全变量约束来决定。一个安全关键系统,在瞬变和故障的存在下维持一个预先定义的安全操作边界是很重要的。欧氏距离是用于衡量系统有多远从指定的安全操作界限的性能指数。这个边界是由一组不等式约束决定的。安全操作边界的主要思想描述如下:
设X是状态空间在 ,考虑到一个子空间,在状态子空间,它定义了安全运行边界为一些系统状态变量。可以用一组不等式说明,其中q是定义不等式的数目,m是与安全相关的状态变量的数目,且。这些不等式依赖于特定的操作要求,物理变量的安全限值和物理过程的安全约束。
从初始条件开始,系统的轨迹将演变到工作点随着到安全操作界限(图2)距离的变化。在一般情况下,安全操作边界由一组不等式定义
(1)
图2.安全运行边界的定义
欧氏距离被定义为系统的特定的变量和在这个子空间状态变量的预定义的边界之间的瞬时最短距离。
(2)
这里S(t)= 1当x在安全运行边界内,s(t)=-1当x在安全运行边界外部;是到的最短距离。
对所有的边界,距离向量
(3)
有三个可能的条件来确定一个系统变量是否已进入到危险区域:
- 表明一些状态变量区域已经在危险区域,这些变量已经成为危险的状态。
- 表示系统状态变量是在安全操作边界上。
- 表明所有状态变量都在安全区内。然而,存在一些变量可能会变得在安全操作边界附近,他们可能有突破边界的潜能导致系统进入危险区域。
这些变量也被标注为危险状态。
安全指标向量的定义可以表述如下:
(4)
对于满足的这些变量,表明状态变量在安全区域。的变量是危险状态。
2.3边界跟踪法
为了确定系统的危险状态,有必要首先分析系统的安全操作的边界。边界跟踪是推断给定的边界的观察的序列的状态的边界的变化的问题。由于安全操作边界是系统操作条件的函数,随着系统的状态演变这个边界可以扩张或收缩。欧氏距离被用作安全指标来标识危险状态,其安全性指数低于一定的阈值。
基于选定的安全操作边界,边界跟踪方法被用来识别系统中潜在危险的状态(漏洞)。图3给出了一个流程图。
图3实时边界跟踪法
实时边界跟踪程序可以以四个步骤进行:
- 定义一个给定系统的安全运行边界。
- 计算到安全运行边界的距离向量。
- 确定欧氏距离是负的或者已经超过了预定义的安全指标。
- 不断更新新的信息,以确定系统是否即将跨越到一个危险区。为了确定系统是否已处于危险状态,我们必须通过模拟或实验验证所确定的脆弱点。
3.危险状态的安全分析
3.1安全分析
为了实施防止系统进入危险状态的措施,有必要来分析安全关键系统的失效模式和这些危险状态的影响。本文的分析涉及四个步骤:
- 定义与系统相关的所有输入和输出变量,并确定危险状态集;
- 从安全属性识别漏洞,并运用FMEA方法分析失败的可能原因;
- 不同系统变量间相互作用的相互依赖性分析;
- 识别系统中所有可能的漏洞;
- 根据他们对系统安全的潜在影响来排名漏洞。
3.2分析工作方案
每一个失效模式与危险状态之间的因果关系可以通过FMEA分析方法。FMEA方法的过程可以概括如下:
- 定义和识别所有危险状态,并选择一个状态变量进行分析;
- 根据系统的知识和目的定义基本的故障模式;
- 分析各相关系统的蓄意行为,并确定所有的故障模式,从下到上分析潜在的情况。
- 评估系统安全性的失效模式及其对系统安全性的影响。
- 通过分析这些失败的后果,找出系统的漏洞。
FMEA方法的框架如图4所示。
图4FMEA方法框架
4.案例研究
4.1系统分析
4.1.1NPCTF的简介
该方法是在NPCTF平台测试以评估其有效性。所示的平台如图5是一个多功能的过程控制系统测试设备,它包括几个动态过程,如水平,流量,温度和压力控制回路,以及控制和测量设备。 NPCTF的框图如图6。
图5.NPCTF平台
图6. NPCTF功能图
4.1.2NPCTF的关键系统的安全运行边界
在正常的稳定状态中NPCTF关键系统变量安全操作界限都列在表I中,这是由不同变量的安全极限分析和它们之间的相互关系所确定。
状态变量被定义为:
(5)
欧氏距离向量
(6)
在本文中,假设预定义的安全指数向量。这意味着,如果存在一个距离,,相应的系统变量已经超过了其安全边界,该系统是在危险的状态。
表1NPCTF的安全关键系统安全操作的边界
4.1.3NPCTF的FMEA分析
所提出的FMEA方案应用于NPCTF平台。通过危险状态的分析,这些漏洞被确定
结果示于表Ⅱ。
表2NPCTF安全关键系统的FMEA结果
|
装置 |
危险状态失效模式 |
可能的影响 |
联锁装置 |
预防措施 |
|
泵 |
F1突破最大边界 |
P1 增加,漏水; |
|
减小 CV-1 开度 |
|
F1突破最小边界 |
泵1 停止 ,ECCS 打开; |
加热器停止 |
ECCS 打开,系统休息, |
|
|
加热器 |
T2突破最大边界 |
压制,SDS1 触发, 剩余内容已隐藏,支付完成后下载完整资料 资料编号:[147700],资料为PDF文档或Word文档,PDF文档可免费转换为Word |
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
