基于混合通信顺序进程的高速铁路列控系统形式化建模与验证方法

针对高速铁路列控系统的混杂特性,提出一种基于混合通信顺序进程(HCSP)的列控系统形式化建模与验证方法。引入了HCSP的假设条件,建立列控系统的行为模型;定义了HCSP到混合自动机(HA)的转换规则,将HCSP模型转换成HA模型;利用模型检验工具PHAVer对HA模型进行自动验证。以高速铁路列控系统典型的行车许可运营场景为例,建立区间闭塞分区行车许可场景的HCSP模型;根据转换规则将行车许可场景的HCSP模型转换成HA模型;用PHAVer验证了所建立的区间闭塞分区行车许可场景模型的正确性,从而证明了基于HCSP的高速铁路列控系统建模及验证方法的有效性。     

高速铁路列控系统运营场景实时性的建模与验证

高速铁路列控系统是一个典型的分布式实时系统,其时间约束主要反映在运营场景中子系统之间的交互过程中。时序逻辑的扩展方法并不能完全满足描述分布式实时系统性质的需要,并且随着系统的复杂性提高,列控系统运营场景中诸如超时、期限、直到…才等形式化描述与验证上存在不足。本文提出一种适合于列控系统场景建模与验证的方法,其核心思想是使用混合通信顺序进程HCSP(Hybrid Communicating Sequential Process)形式化描述分布式实时系统模型,提出转换规则,转换成时间自动机网络模型并进行自动验证。最后通过对典型场景无线闭塞中心RBC(Radio Block Center)切换的相关属性进行建模与验证,分析证明方法的有效性。     

基于UML的列车运行监控装置功能建模分析

既有线铁路系统运营场景复杂，运营需求多变，导致列车运行监控装置（LKJ）功能需求变化频繁，为了合理、规范地管理功能需求，有必要基于UML对LKJ功能进行建模研究。通过分析LKJ的结构与功能，建立了系统的用例模型；利用UML语言中的类图、顺序图和状态图，分析LKJ主要运营场景的静态结构与动态行为，并由此建立各场景的静态模型和动态模型；最终对所建LKJ功能模型进行验证，确保模型的正确性和完整性。利用所建的LKJ功能UML模型，能避免对LKJ功能需求的歧义理解，有利于开发与维护工作的顺利进行。     

基于在线一致性测试理论的CBTC车载ATO功能测试研究

自动列车驾驶系统(ATO)是CBTC系统的重要组成部分,验证测试其控制功能逻辑的正确性和安全性至关重要。介绍了ATO控制原理和功能,分析了CBTC中典型的两车追踪控制运行场景控制流程,得到了该场景下的列车运行安全需求。结合时间自动机理论,建立了包含列车动力学、车载ATO、ZC以及时钟控制器的两车追踪场景时间自动机网络模型,验证了模型中安全需求的正确性;基于一致性测试理论,定义了被测车载ATO软件与测试环境的可观测输入/输出接口,利用UPPAAL-TRON工具设计了被测车载ATO软件的一致性测试框架,并进行了一致性测试分析。在此基础上,采用变异测试,针对典型的车载ATO软件功能实现错误(错误的安全距离、静态限速、功能逻辑以及命令丢失等)进行了安全性验证。结论表明:该在线一致性测试方法能够及时发现车载ATO软件行为与规范模型的不一致,有效提升了车载ATO功能测试的检错能力。     

基于UML语言的CTCS-1级车载ATP功能建模分析

分析CTCS-1级车载ATP的硬件结构和功能需求，建立系统的用例模型；从系统运营场景出发，划分系统功能的参与者，定义参与者的属性和行为，由此建立了场景类图模型和系统类图模型；利用活动图和时序图，从不同角度描述了系统功能参与者间的交互情况；借助编程语言对所建功能模型进行了验证。     

CTCS-3级列控系统RBC控车场景建模与验证

应用统一建模语言UML与模型检验工具PHAVer(Polyhedral Hybrid Automaton verifier)相结合的方法,研究CTCS-3级列控系统RBC控车场景:列车注册与启动、行车许可、等级转换、列车注销的混成性。首先通过UML支持的扩展机制,引入构造型(Stereotype)对UML进行面向混成性的扩展,建立RBC控车场景UML模型,实现对RBC控车场景混成性的描述。然后依据UML到PHAVer的转换规则,将UML模型转换成PHAVer模型。最后,依据CTCS-3级列控系统需求规范,总结RBC控车场景的功能需求,运用PHAVer进行验证,证明CTCS-3级列控系统需求规范的正确性。     

基于Petri网的全自动无人驾驶列车停站场景形式化建模与验证

为进一步提高全自动无人驾驶系统的安全性,采用Petri网理论在全生命周期早期对系统运营场景的实现流程进行形式化建模与验证。选取正线运营中的列车停站这一典型运营场景,进行对象提取与状态分析,结合各对象与库所、变迁的对应关系,建立Petri网模型,并利用仿真软件PIPE对其有效性和正确性进行形式化验证。针对可能出现的异常情况对模型进行优化,设置车门与站台门开关时序,避免乘客拥挤时出现安全隐患。试验结果表明：建立的Petri网模型有界、安全且无死锁,满足列车停站场景功能需求,模型的可靠性和有效性得以验证,为全自动无人驾驶系统的开发应用与安全分析提供理论支撑。     

车地协同下的联锁子系统HCPN建模与验证

联锁子系统作为站内行车安全的关键保障,是车地协同下的列车运行控制系统的重要组成部分。传统联锁子系统存在地面集中控制失效风险大、列车自主化程度低等不足,为顺应精简系统结构、降低运营成本和提升列车自主化的列控技术发展趋势,设计一种车地协同下的联锁子系统用于城际铁路。考虑多车间的进路冲突是影响子系统功能实现的关键因素,提出进路预延伸策略以避免列车间的进路冲突。为确保联锁子系统功能安全,采用一种基于层次着色Petri网(HCPN)的系统功能建模与验证方法。通过对联锁子系统的主要功能实现过程—进路建立过程进行分析,提取子系统的功能需求,以此建立顶层需求模型。为缩小底层实现与顶层需求之间的差距,建立基于数据及行为低抽象度表达的模块层模型,并在其中引入死锁控制策略实现对系统功能逻辑的完整表达。以冲突进路建立场景为模型的输入参数,执行验证过程,通过对模型标准状态空间性能分析,实现对模型正确性的检验。在此基础上,采用分支时序逻辑ASK-CTL公式与状态空间搜索算法相结合的验证方法,完成对子系统功能安全性的检验。研究结果表明:模型的行为特性同子系统预期相一致,能够正确表达系统的行为。所设计子系统满足功能安全需求,可为底层实现提供依据。     

基于MSC与UPPAAL的区域控制器切换场景建模与验证

区域控制器(Zone Controller,ZC)边界切换场景是城市轨道交通列车控制系统的重要场景,切换过程中移交ZC、接管ZC和车载子系统之间要进行频繁的信息交互,因而对其安全性和实时性有更严苛的要求。根据ZC子系统特点,将MSC半形式化方法作为切入点,结合时间自动机理论,建立ZC切换场景的MSC模型和时间自动机网络模型,用于ZC切换场景功能和受限活性的安全验证。结果表明:ZC边界切换控制功能满足系统安全性和受限活性的规范要求。因此此种建模验证方法是可行的,可以将其应用于列控系统其他场景的建模与验证过程中。     

基于MBSE的车门系统设计研究

以文档为载体的传统设计方法存在着需求表述不明确、设计信息传递不准确、设计变更困难等问题，文章将基于模型的系统工程(MBSE)思想引入设计过程，并以轨道车辆车门系统为例进行可行性验证，形成了一种适用于轨道车辆的产品正向设计流程。首先，详细介绍了MBSE思想的实施过程，包括建模语言、建模方法、建模工具；其次，基于Magic Grid方法论，结合轨道车辆应用场景，进行车门系统正向设计；通过利益相关者需求的不断细化，定义系统和子系统功能，设计系统和子系统活动逻辑，梳理各级接口通信信息，明确系统物理实现需求，支撑后续详细设计阶段工作开展；最后，采用SysML语言描述车门系统的需求、功能、架构模型，并建立相应的追溯关系，验证该方法的可行性。结果表明，MBSE思想在车门系统设计上得到了成功应用，以模型为载体的MBSE设计方法能够准确传达设计意图和设计信息，有效地提高设计和变更效率，形成的产品正向设计流程可扩展应用于轨道车辆总体系统设计过程。     

基于MSC与UPPAAL的列控系统等级转换场景形式化验证

等级转换是C3级列控系统的重要场景,是列控系统兼容性的集中体现,转换的成功与否直接关系到列车的运行安全和行车效率。因此,有必要对设计规范中所描述的转换过程进行形式化建模和验证,以保障系统的安全性和实时性。为保证设计规范与所建模型的一致性,采取消息顺序图(MSC)与时间自动机相结合的方式,建立等级转换场景中C2级向C3级转换过程的MSC模型,并将其转换为时间自动机模型。应用UPPAAL对模型的安全性和受限活性进行仿真验证,结果表明设计规范中所描述的转换过程是安全可靠的,可以满足C3级列控系统的兼容性和安全性要求。     

基于STPA与多智能体的列控运营场景危险分析及仿真验证方法

针对列控系统运营场景危险行为与危险致因辨识的复杂性特征及其缺乏有效的仿真验证手段等问题,考虑致因因素间呈现的非线性特点,提出1种将系统理论过程分析(STPA)方法与多智能体仿真技术相结合的列控运营场景危险分析及仿真验证方法。以单电台无线闭塞中心(RBC)切换场景为例,构建分层控制多智能体结构模型,利用STPA方法辨识RBC切换场景下潜在的不安全控制行为,分析导致不安全控制的危险致因,并针对危险致因制定系统安全约束;结合多智能体仿真技术,设计与构建RBC切换场景多智能体仿真平台,通过危险致因和安全约束的分别注入,对危险场景进行仿真分析,验证危险分析的正确性以及安全约束的可行性。依托京广高铁武汉—广州段下行线某区段数据,以RBC切换场景中的不安全控制行为RBC1-ATP-USCA-7为例进行仿真验证。结果表明:未加安全约束条件时,存在行车事故风险;而在注入安全约束后,行车安全得到相应的保障。     

车车通信列控系统资源管理单元安全性分析

基于车车通信的列控系统在传统车地通信的基础上,引入了车车通信技术,后车与前车实时通信,极大地简化了地面设备,提高了列车运行效率.使用STPA法对该系统的关键设备(资源管理单元)的安全性进行研究.以资源管理单元下发临时限速命令的过程为例,识别出过程中的危险行为,找出系统的不安全因素,规划安全性设计需求.通过安全性设计需求...     

基于多层STAMP模型的CTCS-1级列控系统功能安全分析方法

根据CTCS-1级列控系统总体设计方案,以安全控制为核心,结合系统理论事故模型和控制过程提出多层STAMP模型与相应的安全分析方法。利用UML语言对列控系统内部组件交互控制过程进行描述并将其转换为多层STAMP模型和故障分析模型,分析危险事件产生原因,实现对系统功能的安全分析。以CTCS-1级列车进站场景为例,建立多层STAMP模型并针对可能发生的危险事件进行系统功能安全分析。分析结果表明,多层STAMP模型和安全分析方法适用于CTCS-1级列控系统的功能安全分析。     

基于Timed RAISE的高速列车RBC切换协议形式化建模及验证

在CTCS-3(Chinese Train Control System Level 3)级列控系统中,RBC(Radio Block Center)切换是影响列车安全高效运行的重要环节,现阶段对RBC切换协议进行验证分析所使用的形式化方法还存在状态爆炸或描述性质单一等问题。基于Timed RAISE的形式化方法,结合域的模型,在对RBC切换流程分析的基础上,构建状态转移图,得到切换协议的形式化模型,使用等价和推断的推理规则对模型的正确性和实时性进行推理验证,得到的结果表明,RBC切换协议满足规范标准对正确性与实时性的要求,将验证结果与其他文献的结论进行比较分析,说明该方法具有通用性,对于推广其在列控系统场景验证中的应用有一定的实际意义。     

CTCS-3列车控制系统数据融合方法研究

数据融合是提高列车控制数据完备性和保证列车安全的重要方法,CTCS-3列控系统已在传感器层面进行了局部数据融合。本文在分析列控系统技术规范、CTCS-3列控系统结构及工作原理的基础上,提出一种CTCS-3列控系统决策层数据融合方法,分析融合的可行性并建立实现该方法的模型。该方法通过CTCS-3列控系统C3控制单元与C2控制单元之间进行列控信息交换,实现行车许可、线路描述信息、临时限速等核心列控数据的数据融合。融合后的列控数据更可信、准确、可靠。使用融合后的列控数据计算列车允许速度和生成监控曲线,使列车控制的安全性更高。     

基于混合系统模型预测控制的列车优化运行

为保证列车高效率运行,需要对自动驾驶系统进行高效设计。列车运行过程具有高度非线性化的特性,针对这一特性,通过引入整数变量,建立基于混合系统的列车混合逻辑动态模型,其次考虑列车运行过程的多重约束,通过二次规划求解控制律。同时为了降低控制器计算量,在模型预测控制的基础上引入了阶梯式控制策略。最后利用Matlab仿真软件使其跟踪一条即定曲线,对所提的控制策略进行数值仿真。结果表明,该控制器可以在降低计算量的基础上,保证列车准时高效跟踪既定曲线,当改变控制器参数时,对跟踪效果有较大的影响。仿真结果对本文采用的方法进行了有效验证。     

欧洲应答器编码策略的安全性研究

应答器信息在车-地间进行无线传输过程中的安全可靠性对于保障列控系统的安全十分重要。我国列车控制系统(CTCS)已将应答器作为CTCS-1及以上级别系统的关键设备,用于向运行列车传输列控安全信息。本文分析了应答器信息在传输和接收过程中可能存在的随机突发错误、异步传输错误、长短帧报文误译及报文切换时错译等各种错误模式。为保证信息传输和接收过程的安全可靠性,研究了欧洲应答器编码策略中采用的CRC循环冗余码及同步信息码校验、10到11 bit字转换、整形约束条件检查等防护措施在编、译码过程中对以上错误模式的防范能力,从理论上论证得到:欧洲应答器编码策略有效保证了应答器信息在传输和接收过程中的安全性,对于我国研制适用于CTCS的应答器具有借鉴作用。     

行车安全综合监控系统的时序Petri网描述及验证

行车安全综合监控系统规模大,复杂程度高,且具有不确定性。研究有效的形式化分析和验证方法对系统测试和可行性分析等方面具有重要意义。本文基于时序Petri网,提出了相应的分析和验证方法。然后,以系统中数据处理和传输过程的公平性、及时性和可靠性等问题为例,进行建模、分析和验证,从而说明本方法的有效性。