摘要：日益蓬勃发展的高速铁路是国民经济的大动脉。为了满足高速铁路运行的高速度、高密度以及高安全性的需求,我国开发了CTCS-3级的列车运行控制系统,来实现列车速度和运行间隔的控制,以保证铁路运输的安全和运营效率。CTCS-3级列控系统的最大特点是基于GSM-R的无线通信系统来实现地面设备和车载设备之间的信息交互。然而,当列车在高速运行而越过相邻RBC边界时会引起车载设备与相邻RBC的通信切换,这涉及到了GSM-R无线消息传输以及局域网有线消息的传输等复杂过程,是CTCS-3级列控系统研究中的重点和难点问题。本文在深入了解基于模型的系统安全分析方法思想系统的基础上,针对列控系统的RBC切换过程的分层特点以及消息交互的状态流特点,采用Simulink与Stateflow相结合的方法,对RBC切换过程进行建模,并结合基于模型的系统安全分析方法步骤,扩展系统模型,加入失效模型,加入消息状态跟踪变量,最终实现对失效消息传播路径的跟踪。验证结果表明,所建模型很好地模拟了系统的行为,基于模型的分析很好地满足了系统安全分析需求。论文的主要工作如下：(1)介绍传统安全分析方法的步骤与概念,引入基于模型的系统安全分析方法思维体系,并详细介绍该方法的步骤、发展以及成果。(2)综述CTCS-3级列控系统的组成,并着重介绍RBC切换场景的消息交互流程。针对系统的特点,选用Simulink与Stateflow相结合的方式对系统建模,并分析建模的可行性、框架与基本步骤方法。(3)利用Simulink/Stateflow对RBC切换场景的消息交互过程进行建模,研究其实现的方式,清晰地模拟通信系统的消息交互流程,并对切换过程进行验证。(4)根据基于模型的系统安全分析方法思路,建立系统失效模型。对系统的失效模式进行识别与分析,针对分析出的失效模型进行建模,并扩展系统原来模型进行扩展,添加失效状态标签以及失效触发条件。(5)在系统模型与失效模型的基础上,利用Simulink模块对系统失效过程添加跟踪信号,实现失效传播过程的跟踪；并在Matlab工作空间中实现了对跟踪数据的处理。根据所得数据以及状态转移结果,生成了基于FMEA安全分析结果。