CTCS-3(Chinese Train Control System Level Three,CTCS-3)级列车运行控制系统综合应用了计算机、通信、自动控制、供电等技术手段,系统结构和功能复杂,各种随机故障和组件故障的发生可能导致极其严重的后果,甚至车毁人亡。由于我国高铁列控系统的大多数规范都是在参照ETCS(European Train Control System,ETCS)技术标准的基础上,结合我国铁路特点研究制定CTCS-3级列控系统技术规范,且部分技术规范还在不断的修订和完善之中,CTCS-3级列控系统投入运营的时间尚短,未经过现场长期运营的检验,系统中依旧存在潜在的危险未被人们所掌握。所以基于专家经验和技术规范的传统安全保障技术对列控系统进行安全分析时已逐渐显现其不足,因此采用形式化方法对列控系统进行安全风险分析显得十分必要。本文以我国CTCS-3级列车运行控制系统为研究对象,为了分析列控系统中潜在的可能引发系统事故的危险,提出了基于STPA和有色Petri网的形式化安全分析方法,其主要特点是能够实现列控系统功能需求、系统理论事故模型与过程(System-Theoretic Accident Modeling and Process,STAMP)和有色 Petri 网(Colored Petri Nets,CPN)模型之间的转换,并保证三者之间描述的合理性和一致性。在该方法的基础之上,利用模型检验技术验证模型,并辨识危险状态的可达路径,最终给出系统的不安全控制和控制缺陷。本文主要研究内容如下:首先,本文介绍了列控系统安全分析的目的及意义,概括了安全风险理论的概念、核心思想和当前流行的安全分析方法,总结了安全风险辨识的国内外研究现状,然后对系统理论事故模型、有色Petri网模型和模型检验技术作了简要阐述。其次,提出了基于STPA和有色Petri网的安全分析方法,该方法选择CPN作为STAMP分层控制结构的形式化规范,弥补了 STAMP模型以自然语言描述系统分层控制结构和控制算法的不足,不仅避免了自然语言的二义性,降低了系统的建模难度,还能描述动态行为和状态变化。在此基础之上,通过解析CPN的中间产物XML(Extensible Markup Language)文档来实现自动寻找危险状态和危险可达路径,并分析系统中不安全控制和控制缺陷,为系统的安全运行提供指导。最后,将本文提出的安全分析方法用于对列控系统的安全分析,在一定程度上实现了自动辨识系统的危险状态和危险可达路径,并将上述分析过程用软件界面实现,完成了软件工具的开发,事实证明本文中提出的方法具有一定的可行性。