WCMC 无线通信和移动计算 1530 - 8677 1530 - 8669 Hindawi 10.1155 / 2018/2406968 2406968 研究文章 正式的建模和研究安全验证Train-to-Train沟通 http://orcid.org/0000 - 0001 - 7279 - 9390 Haonan 1 2 1 信号与通信研究所 中国铁道科学研究院 北京10081年 中国 rails.com.cn 2 的中心国家铁路智能交通系统工程和技术 北京10081年 中国 2018年 4 6 2018年 2018年 06 12 2017年 20. 03 2018年 23 04 2018年 4 6 2018年 2018年 版权©2018 Haonan峰。 这是一个开放的文章在知识共享归属许可下发布的,它允许无限制的使用,分布和繁殖在任何媒介,提供最初的工作是正确的引用。

VBTC (vehicle-to-vehicle基于通信的列车控制)逐渐成为轨道交通领域的重要研究趋势。这导致了减少的数量优势的地面设备和改善实时系统通信的效率。train-to-train通信的特点和机制,作为安全关键系统的关键实现技术,给出了和讨论。一种新方法,基于LTS(标签转换系统)模型检查,提出了验证通信过程的安全属性。LTS方法适应模型系统行为;分析和安全检查验证通过LTSA(标签转换系统分析仪)软件。结果表明,它是一种有效的方法来验证安全属性,以及协助复杂系统的设计和开发。

 中国铁道科学研究院 1651年th5302 1651年th6603 1752年th1004 中国国家自然科学基金 61603026 北京市自然科学基金 L171004 1。介绍

与城市化的快速发展,要求提高生活水平和旅游导致城市交通运输的快速发展的要求。信号系统,作为一个交通安全的重要作用,是确保交通安全,缩短操作时间间隔,提高交通效率 1]。CBTC系统(通信基于列车控制)添加无线通信技术在传统地面联锁控制系统,使移动块操作模式下的双重保护地面ATP(自动列车保护)和车辆ATP,提供保护从车辆速度根据实时速度 2, 3]。CBTC系统有很大的优势的运输能力和系统安全,和它的伟大发展城市交通信号系统有助于降低城市交通压力( 4, 5]。

列车控制系统的下一代欢迎一个新的研究领域,遵循从成熟的CBTC系统和现代通讯技术的发展。VBTC系统在有吸引力的研究趋势是一个很好的例子 6]。系统旨在提高火车汽车控制,更好的效率,降低系统耦合和更低的成本 7]。在VBTC Train-to-train沟通是主要的支持架构,其结构简单的优势减少设备数量和降低建设和维护成本。直接实时列车之间的沟通应该减少延迟的影响引起的无向无线通信,提高系统整体效率( 8, 9]。

尽管VBTC带来创新成果通过优化通信方法,它原本属于安全关键系统,这就需要设计阶段需要仔细验证安全的程度。正式的过程建模是将自然描述语言转化为一个正式的描述语言系统的需求设计阶段期间,它可以提高系统设计的完整性和一致性。根据系统特性的描述,它可以分为两类:一是用来描述系统特征序列基于数学分析方法,如Z方法( 10),B方法( 11),VDM方法( 12];比另一种方法来描述并发系统的特点,如佩特里网( 13- - - - - - 15],有限自动机[ 16, 17],LTS ( 18]。

不同于其他形式方法,LTS有独特的能力来分析可数无限集的状态和操作系统和无限的交互式分支,所以它适合活性和并发系统的行为。它提供了方法跟踪状态运输行为,识别可观察状态,评估执行的操作序列。作为一个理想的工具来验证并发和复杂的系统,它在应用程序中获得伟大的成就验证安全协议RSSP-1 [ 19和ERTMS /交易所交易系统的需求 20.]。本文着重于正式的建模和验证基于LTS方法VBTC train-to-train通信逻辑的体系结构。

在本文的其余部分,我们首先定义和描述的新架构VBTC和部分CBTC相比 2。节 3,LTS及其辅助分析工具LTSA软件介绍和采用模型train-to-train交流的行为。安全属性train-to-train通信验证的部分 4。列出比较方面的应用和性能使用LTS方法和传统的检查方法 5。最后,给出的结论部分 6

 2。VBTC的体系结构

VBTC系统如图 1。它的五个基本部分是中央(智能培训监督系统),台湾记忆体公司(培训管理中心),OC(对象控制器)属于路边系统,IVOBC(船上智能车辆控制器)安装在车辆,和DCS(数据通信系统),它提供了数据传输静态设备和移动列车之间的联系。每个系统的主要功能如下。

基于train-to-train的列车控制系统的体系结构。

中央负责列车运行计划,监控所有其他系统的条件,和处理安全相关的事件。所有的火车线应与中央其基于周期和可靠的通信。中央检查地位的每一部分,以确保安全的操作。它将为列车提供所需的所有必要的信息来识别列车正前方或正后方。

TMC负责存储和分布的电子地图,系统配置数据、临时限速。其通信方式应该非周期或被动反应。

度是一种新型的地面设备控制单元。它收集和发送控制对象的状态来响应请求的火车和中央;同时,它接收控制信息操作输入。被动通信交互模式这种类型的单位。

IVOBC VBTC系统的核心。它继承了ATP的所有功能(自动列车保护)和ATO(自动列车运行)和V2I (vehicle-to-infrastructure)通信在CBTC系统;IVOBC也开发新功能的路线计划,路线安全保护,和移动计算的权威。

DCS应该支持多种通信协议作为IVOBC和其他系统的重要桥梁连接,通信标准应与相邻列车的距离参数自适应变化。例如,火车应该与其他列车通过在远程LTE-V2X的沟通形式,它选择direct-to-direct沟通时形成范围小于1公里。

属性差异VBTC和CBTC系统五个方面的系统组件相比,train-to-train通信模式,列车控制模式下,地面设备,日常维护(见表 1)。

对比VBTC和CBTC系统。

财产 VBTC CBTC
系统组件 中央的台湾记忆体公司IVOBCDCSOC 中央ATS(列车自动监督)数字存储单元(DSU)VOBC(车辆上控制器)DCS佐(区域控制器)CI(计算机联锁)
火车列车通信模式 直接火车之间的无线电通信 间接列车之间的交流,互动地面设备需要传递的信息
列车控制模式 IVOBC中心系统,地面只提供辅助功能,如进度计划、紧急程序 列车运行控制ATP从地面和车辆
地面设备 小路旁的设备,只有巴,开关控制器 轴的数量计数、巴、信号量
日常维护 更少的维护数据主要包括火车 维护数据量包括火车、地面设备
3所示。正式基于LTS建模和验证方法

列车之间的交流合作具有复杂的并发性和逻辑的特点同步。因此,LTS方法选择优势的实时准确的描述系统行为和并发性。train-to-train沟通合作策略VBTC由LTS建模方法,它提供了一种依据后续模拟和验证分析。

3.1。正式定义的LTS

让<我nl我ne- - - - - -formula> 年代 代表国家的通用集包括指定的错误状态<我nl我ne- - - - - -formula> π 。<我nl我ne- - - - - -formula> l 是通用的标签和作为<我nl我ne- - - - - -formula> D = l { τ } ,在那里<我nl我ne- - - - - -formula> τ 表示一个内部操作,不能观察到的环境一个LTS。

一个LTS的过程<我nl我ne- - - - - -formula> P 是一个四<我nl我ne- - - - - -formula> < , 一个 , T , 0 > ,在那里(1)

是一个可数有限和非空的状态,

一个 是一个可数集的标签<我nl我ne- - - - - -formula> 一个 = α P { τ } ,在那里<我nl我ne- - - - - -formula> α P 的字母表示<我nl我ne- - - - - -formula> P ,<我nl我ne- - - - - -formula> α P l ,

T - - - - - - { π } × 一个 × 代表一个过渡关系,地图从一个国家和一个动作到另一个状态,

0 表示的初始状态<我nl我ne- - - - - -formula> P

是允许有误差的唯一LTS状态<我nl我ne- - - - - -formula> π 作为其初始状态<我nl我ne- - - - - -formula> < { π } , D , { } , π > ,名叫<我nl我ne- - - - - -formula> E 。这个过程的字母表<我nl我ne- - - - - -formula> α E = l

一个LTS<我nl我ne- - - - - -formula> P = < , 一个 , T , 0 > 通过与行动<我nl我ne- - - - - -formula> 一个 一个 成<我nl我ne- - - - - -formula> P ,表示<我nl我ne- - - - - -formula> P 一个 P ,如果(1)

P = < , 一个 , T , 0 > ,在那里<我nl我ne- - - - - -formula> 0 π 和<我nl我ne- - - - - -formula> ( , 一个 , 0 ) T ,

P = E ,<我nl我ne- - - - - -formula> ( , 一个 , π ) T

P 一个 意味着<我nl我ne- - - - - -formula> P 这样<我nl我ne- - - - - -formula> P 一个 P

结束状态<我nl我ne- - - - - -formula> Z 年代 这样一个LTS<我nl我ne- - - - - -formula> P = < , 一个 , T , 0 > 终止如果有一个国家吗<我nl我ne- - - - - -formula> e Z 和<我nl我ne- - - - - -formula> ! ( e , 一个 , ) T 对所有<我nl我ne- - - - - -formula> 一个 一个

LTSA软件,基于LTS作为辅助分析工具,可以激活并检查整个系统的行为才能实现。它关注的并发性,提供了方法模型动画可视化系统的行为,并给出力学验证系统属性包括安全与进步。LTSA项目支持过程代数符号,比如FSP(有限状态的过程),为简洁的描述系统组件的行为( 21]。

 3.2。Train-to-Train通信机制

Train-to-train通信可以分为一组简单的活动,它的机制应该包括至少三个基本功能:(a)的识别训练前,(b)之间的通信状态管理培训和火车前,和(c)之间的通信状态管理培训和下面的火车。这些活动不执行严格固定的顺序一个接一个的物质世界。事实上,它是注意到这些活动被允许重叠或在某些情况下同时发生。

(一)培训前的识别。它可以让数字ID信息的其他列车当火车进入的地区与中央的联系。火车后确认所有的列车在同一地区的呼叫和应答模式,它开始识别和确认前面的火车。这一阶段的过程如图 2

时间序列的列车识别。

(b)之间的通信状态管理培训和火车在前面。实施阶段应该分成四个步骤如下:(1)

让火车ID前面和检查跟踪条件要求。

时发送请求消息跟踪建立跟踪条件满足。

等待和接收跟踪建立从火车前回复;火车和前面之间的沟通应该关闭如果沟通时间结束时间门的设计参数。

它成功进入跟踪模式训练后接受从火车前回复;否则火车应该重新发送跟踪建立请求消息中,火车和前面之间的通信状态仍然有效,或火车重建跟踪链接从一开始如果沟通时间结束时间门的设计参数。

这一阶段的过程如图 3

保持跟踪模式的过程。

(c)之间的通信状态管理培训和下面的火车。它类似于前一个阶段。跟踪模式是由下面的火车;确认消息发送响应跟踪请求的火车下面的火车。收到消息后火车将检查条件。这一阶段的过程如图 4

持有火车和火车后跟踪模式的过程。

 3.3。仿真和验证

设计为易于机器可读,FSP是一个简单的代数符号来描述过程模型;每个LTS状态的描述都有一个相应的FSP描述。基本的语义FSP可以很容易地定义LTS而言,和LTSA软件功能描述的LTS FSP语言作为图。在下面,他们的信件是由函数定义 (1) l t 年代 : E ξ 在哪里<我nl我ne- - - - - -formula> E 组FSP处理表达式和吗<我nl我ne- - - - - -formula> ξ 代表lts的集合。这个函数<我nl我ne- - - - - -formula> l t 年代 电感的结构定义FSP进程表达式。

在分析train-to-train沟通工作流中 3所示。2,行动组系统的行为说明了字母集<我t一个l我c>一个,同时系统进程<我t一个l我c>年代和中间过渡过程变量<我t一个l我c>米 ,(<我t一个l我c>我=1,2,…9)应该FSP语言中定义如下。

一个=<我nl我ne- - - - - -formula> { n c h k ,inisysBad inisysOK sndReqTrain、rcvFdReqTrain checkTrainID, rcvReqTrain, reqTraintimeout, trainAlarm, sndITS, isTrainPos, trainisFront, trainisBack, sndBldTracReq, bldTracReqTimeout, rcvBldTracAns, checkTracCond, tracCondisOK, tracCondNotOK, setTracMode, selfFixBlock, selfTracingMode, sndDismissTracReq, d 年代 年代 年代 T r 一个 c R e t e o u t }

S = M 1 ,

1 =(<我t一个l我c>inichk- - - - - ->inisysOK- - - - - - > M 2

∣<我t一个l我c>inichk- - - - - ->inisysBad- - - - - - > M 3),

2 =(<我t一个l我c>sndReqTrain- - - - - ->rcvFdReqTrain- - - - - - > checkTrainID -

>米 4∣<我t一个l我c>rcvReqTrain- - - - - ->checkTrainID- - - - - - > M 4

∣<我t一个l我c>sndReqTrain- - - - - ->reqTraintimeout- - - - - - > M 3),

3 =(<我t一个l我c>trainAlarm- - - - - ->sndITS- - - - - - > M 1),

4 =(<我t一个l我c>isTrainPos- - - - - ->trainisFront- - - - - - > M 5

∣<我t一个l我c>isTrainPos- - - - - ->trainisBack- - - - - - > M 6),

5 =(<我t一个l我c>sndBldTracReq- - - - - ->米 6

∣<我t一个l我c>sndBldTracReq- - - - - ->bldTracReqTimeout- - - - - - > M 3),

6= (<我t一个l我c>rcvBldTracAns- - - - - ->米 8),

米<年代ub>7= (<我t一个l我c>checkTracCond- - - - - ->tracCondisOK- - - - - - > M 8

∣<我t一个l我c>checkTracCond- - - - - ->tracCondNotOK- - - - - - > M 9),

8= (<我t一个l我c>setTracMode- - - - - ->selfFixBlock- - - - - - > M 2

∣<我t一个l我c>setTracMode- - - - - ->selfTracingMode- - - - - - > M 5),

9= (<我t一个l我c>sndDismissTracReq- - - - - ->rcvDismissTracAns- - - - - - > M 8

∣<我t一个l我c>sndDismissTracReq- - - - - ->dismissTracReqtimeout- - - - - - > M 3)。

详细解释操作FSP语言如表所示 2

行为描述系统状态转换模型。

行动 描述 行动 描述
inichk 自我系统初始化检查 sndBldTracReq 发送建立跟踪请求消息
inisysOK 自我系统的初始化检查就可以了 bldTracReqTimeout 为建立跟踪请求超时
inisysBad 自我系统的初始化检查失败 rcvBldTracAns 接收建立跟踪回答消息
sndReqTrain 请求消息发送给列车 checkTracCond 检查跟踪模式的条件
rcvFdReqTrain 从列车接收反馈信息 tracCondisOK 跟踪条件还满意
checkTrainID 检查列车ID tracCondNotOK 跟踪条件不满足
rcvReqTrain 请求消息发送给列车 setTracMode 评估培训模式
reqTraintimeout 超时请求消息 selfFixBlock 模式设置固定阻塞模式
trainAlarm 火车报警错误 selfTracingMode 模式设置跟踪模式
sndITS 给中央的错误消息 sndDismissTracReq 为解雇发送请求消息跟踪
isTrainPos 同时培训岗位 rcvDismissTracAns 接收请求消息将跟踪
trainisFront 火车是在前面 dismissTracReqtimeout 超时时间跟踪请求消息
trainisBack 火车后面

通过LTSA软件,图形转换train-to-train沟通的行为和过程模型如图 5。图中的节点 5表示系统的状态,和转换描述通过连接边缘。它注意到没有错误标签1所示这些模型检查的结果。LTSA图的验证结果 6给没有死锁或违反逻辑在19个州模型实现为可执行代码。

Train-to-train通信模型。

安全验证报告train-to-train通信模型。

 4所示。安全验证

VBTC在设计阶段,存在一些危险的情况下,不应该不允许发生。设计师和程序员应该注意和深思熟虑的行动,这些危险的情况。Fault-oriented安全公约原则是轨道交通的工程领域。禁止系统需求应该上市,实现系统的最终实现。

禁止下列行为;安全方面应该严格安全属性的系统模型进行验证。(1)

请求消息发送到另一列火车时自我系统的初始化检查失败。

请求消息发送给其他火车火车为错误警报。

建立跟踪请求消息发送到另一列火车在超时的情况下请求消息。

跟踪条件不能满足建立跟踪请求的超时。

模式是不允许设置跟踪模式在超时的情况下跟踪请求消息。

模式是不允许设置跟踪条件不满足时跟踪模式。

上面这些不可接受的行为建模的安全属性FSP语言是:

财产TrainSafety=<我t一个l我c>安全,

安全= (<我t一个l我c>inisysBad- ><我t一个l我c>sndReqTrain- ><我t一个l我c>安全

∣<我t一个l我c>trainAlarm- > sndReqTrain - ><我t一个l我c>安全

∣<我t一个l我c>reqTraintimeout- ><我t一个l我c>sndBldTrackReq- ><我t一个l我c>安全

∣<我t一个l我c>bldTrackReqTimeout- ><我t一个l我c>trackCondisOK- ><我t一个l我c>安全

∣<我t一个l我c>dismissTrackReqtimeout- ><我t一个l我c>selfTracingMode- >

安全

∣<我t一个l我c>trackCondNotOK- ><我t一个l我c>selfTracingMode- ><我t一个l我c>安全)。

似乎一个错误状态标记“1”系统图 7,这意味着,在所有过渡痕迹从初始状态开始,没有特殊的过渡从列表<我nl我ne- - - - - -formula> ( 1 ) (6),可以证实的模型系统满足安全要求。

安全属性验证图train-to-train沟通。

 5。应用程序和性能

正式的建模和验证上述方法用于train-to-train通信程序的部署。为了评估LTS建模方法的效率,两个独立的开发团队使用相同的劳动力和类似的技术经验被分配到完成这个项目。

两队同时启动任务,而他们的工作时间是八个小时在一天。整个开发过程分为两个阶段,发展阶段和测试阶段。第一阶段的主要任务是将可执行代码的模型基于系统需求;测试人员在第二阶段关注错误发生在可执行代码,分析和分类的原因。操作时间和分类错误作为重要的评价参数记录在总结在表 3

LTS比较方法和传统的人工检查。

开发方法 数量的逻辑错误 数量的数据错误 细菌总数 许多开发人员 开发时间(小时) 测试人员的数量 测试时间(小时) ×的人数总时间(小时)
LTS模型 0 7 7 6 24 7 12 228年
传统方法 17 8 25 6 48 15 12 468年

原来更高效和节省时间的使用LTS方法与传统方法相比。大约51%的总开发时间保存。更少的时间消费并没有导致质量降低。相反,正式的建模和验证质量进一步提高。通过分析错误在测试阶段,我们发现17个25 bug的传统方法都是从逻辑错误,剩下的是由于数据配置。静力学表明,逻辑错误归咎于两个原因在发展中阶段。第一个是不确定的和模棱两可的系统需求,这给程序员模糊的理解系统行为;另外一个原因是一些危险的系统行为不可预测由程序员手工筛选的极限。避免这些陷阱LTS模型开发人员。LTS模型中所有的七个数据错误来自错误的工程数据,从没有一个LTS模型的控制区域。 Nearly 72% reduction in the design flaws proves the powerful ability of LTS formal method. The comparison experimental results indicate that LTS model absolutely helps developer shorten design cycle and improve software quality.

 6。结论

允许设计师的最终目标描述train-to-train通信安全、有效,本文提出一种新颖的方法建模和验证这样的实时系统。FSP语言描述的train-to-train通信机制是简单而明确的方式介绍了逻辑属性。LTS train-to-train通信模型构建和验证功能需求以及安全属性的帮助下LTSA软件。系统仿真,LTSA验证软件显示了一个强大的工具,可视化train-to-train LTS复杂系统的模型。它彻底的和检查候选人制度的规范是否满足所需的属性,和它支持规范动画交互研究系统行为。仿真和验证结果表明,LTS方法提供了巨大的协助设计师开发更高效和可靠的实时系统。

 的利益冲突

作者宣称没有利益冲突有关的出版。

 确认

重点项目支持的研究工作一直是中国铁道科学研究院(1752年1651 th5302 1651 th6603, th1004);中国国家自然科学基金(没有。61603026);北京自然科学基金(L171004)。

 B。 C。 技术和中国轨道交通列车运行控制系统的应用系统 中国铁道学会杂志》上 2017年 39 2 1 9 10.3969 / j.issn.1001-8360.2017.02.001 2 - s2.0 - 85019379152 l f·R。 B。 基于最优切换决策算法通信的列车控制(CBTC)系统 职业训练局学报2010年IEEE车辆技术会议(2010年秋季) 2010年9月 在渥太华,加拿大 1 5 10.1109 / VETECF.2010.5594428 l f·R。 B。 T。 跨层MIMO-enabled切换设计基于无线局域网的通信的列车控制(CBTC)系统 IEEE在选定地区通讯》杂志上 2012年 30. 4 719年 728年 2 - s2.0 - 84859990565 10.1109 / JSAC.2012.120506 l f·R。 B。 T。 设计和性能增强沟通建立列车控制系统协调多点传输和接收 IEEE智能交通系统 2014年 15 3 1258年 1272年 2 - s2.0 - 84902073956 10.1109 / TITS.2014.2298409 l f·R。 B。 T。 基于切换管理通信列车控制网络使用流控制传输协议和IEEE 802.11无线局域网 EURASIP无线通讯和网络》杂志上 2012年 2012年 1 1 16 10.1186 / 1687-1499-2012-211 j·K。 分析小说CBTC系统基于铁路列车通信 铁路信号和通信 2014年 50 6 78年 80年 C。 研究列车通信合作V2V通信环境下基于状态机 2017年 北京交通大学硕士学位 H。 太阳 j·G。 Q。 新一代的CBTC系统没有CI和佐 城市快速轨道交通 2017年 30. 4 91年 95年 Briginshaw D。 Alstrom简化CBTC技术在里尔亮相 国际铁路杂志 2013年 53 1 23 24 征服者 N。 正式的RIS组件的动态运作模型 国际计算机科学杂志和网络安全 2011年 11 91年 97年 h . D。 B。 h·F。 研究基于事件b的建模和验证的联锁控制 铁路计算机应用 2013年 22 6 57 61年 征服者 n。 正式的模型移动块铁路联锁系统基于un-directed拓扑 第二届国际研讨会论文集2006年新兴科技,ICET 2006 2006年11月 白沙瓦,巴基斯坦 217年 223年 10.1109 / ICET.2006.335983 2 - s2.0 - 46149127088 首歌 H。 施奈德 E。 验证,验证和评价火车火车距离测量系统通过彩色佩特里网 可靠性工程和系统安全 2017年 164年 10 23 10.1016 / j.ress.2017.03.001 2 - s2.0 - 85014649814 施奈德 E。 施奈德 l 穆勒 J。 可靠的系统建模的概念基础 2日IFAC车间离散系统的可靠控制 2009年 42 5 198年 202年 10.3182 / 20090610 - 3 - 4004.00039 祖茂堂Horste M . M。 施奈德 E。 列车控制系统的建模和模拟使用petri网 FMRail车间 1999年 Zbl0934.81007 越南盾 Y。 x J。 基于场景的方法生成正式的联锁软件模型 计算机科学 2015年 42 1 193年 195年 x Y。 r . J。 Y。 正式的建模和参数分析方法,基于混合动力列车控制系统统一建模语言 中国铁道学会杂志》上 2016年 38 11 80年 87年 10.3969 / j.issn.1001-8360.2016.11.012 2 - s2.0 - 84996992940 X。 z W。 M。 基于模型检测的软件安全验证方法 武汉大学学报(自然科学版) 2010年 56 2 156年 160年 M。 中威 X。 W。 Yongbing W。 模型对铁路信号安全protocol-I checking-based安全验证 国际期刊的计算机应用技术 2013年 46 3 195年 202年 2 - s2.0 - 84875639650 10.1504 / IJCAT.2013.052795 Ghazel M。 形式化的一个子集ERTMS / ETCS规格验证目的 交通研究部分C:新兴技术 2014年 42 60 75年 2 - s2.0 - 84897908579 10.1016 / j.trc.2014.02.002 麦基 J。 克莱默 J。 并发状态模型和Java程序 1999年 英国奇切斯特 约翰威利的儿子有限公司