可信构造是指采用自身可证的全流程方法在系统开发过程中逐步形成系统的可信属性。Tc CBTC（Train-centric CBTC,以车载为核心CBTC）系统是车载设备基于运行计划和实时位置实现自主资源管理、主动间隔防护等功能的新型CBTC（Communication-based Train Control,基于通信的列车控制）系统,实现更安全、更高效、更灵活、更经济、易部署等目标。Tc CBTC系统的架构发生了更改,车载设备功能耦合度更高,因此对新型列控系统进行可信构造研究至关重要。利用STPA（System-Theoretical Process Analysis,系统理论过程分析）及CPN（Colored Petri Net,有色Petri网）,本文对Tc CBTC系统进行可信构造研究,研究工作如下:（1）从设备划分的角度,借助流程图、时序图、框图等形式,分析设备新增的功能需求。依次分析智能列车监控系统、列车管理中心、对象控制器、IVOC（Intelligent Vehicle On-board Controller,智能车载控制器）,重点分析IVOC中车车通信管理单元、线路资源管理单元、车载移动授权计算单元。（2）在功能需求分析基础上,利用STPA方法获取功能变更后而变化的安全需求。在STPA步骤0,定义系统级事故、系统级危害,绘制分层控制结构图;在STPA步骤1,按临时限速设置与生成功能、自主资源管理功能、主动间隔防护功能三个变更的功能类别,获得不安全控制行为;在STPA步骤2,获得细化不安全控制行为、致因因素。这些结果与其他方法比较可知,STPA能识别更多数量、更多类型、更细节的致因因素。（3）从车车通信流程及RSSP-II（Railway Signal Safety Communication Protocol-II,铁路安全通信协议）的设计中,抽象出车车通信链路的通信模块及安全通信模块的CPN模型,研究车车通信的可行性及通信时延。模型满足基本属性的要求,验证了特定的安全需求,从概率、数值角度证明了时延满足LTE-M（Long Term Evolution for Metro,地铁长期演进）承载CBTC业务的Qo S（Quality of Service,服务质量）需求。（4）在分层控制结构图及功能需求分析的基础上,按自上而下的建模思路,抽象出Tc CBTC系统设计的分层CPN模型,其中IVOC模型是重要的建模部分。模型仿真过程证明了逻辑功能能够正确实现;所提出的模型满足模型基本属性的要求;通过计算树逻辑编写的查询语句,验证特定安全需求;还验证了STPA方法所获取的安全需求。