正式的建模和研究安全验证Train-to-Train沟通

文摘

VBTC (vehicle-to-vehicle基于通信的列车控制)逐渐成为轨道交通领域的重要研究趋势。这导致了减少的数量优势的地面设备和改善实时系统通信的效率。train-to-train通信的特点和机制,作为安全关键系统的关键实现技术,给出了和讨论。一种新方法,基于LTS(标签转换系统)模型检查,提出了验证通信过程的安全属性。LTS方法适应模型系统行为;分析和安全检查验证通过LTSA(标签转换系统分析仪)软件。结果表明,它是一种有效的方法来验证安全属性,以及协助复杂系统的设计和开发。

1。介绍

与城市化的快速发展,要求提高生活水平和旅游导致城市交通运输的快速发展的要求。信号系统,作为一个交通安全的重要作用,是确保交通安全,缩短操作时间间隔,提高交通效率1]。CBTC系统(通信基于列车控制)添加无线通信技术在传统地面联锁控制系统,使移动块操作模式下的双重保护地面ATP(自动列车保护)和车辆ATP,提供保护从车辆速度根据实时速度2,3]。CBTC系统有很大的优势的运输能力和系统安全,和它的伟大发展城市交通信号系统有助于降低城市交通压力(4,5]。

列车控制系统的下一代欢迎一个新的研究领域,遵循从成熟的CBTC系统和现代通讯技术的发展。VBTC系统在有吸引力的研究趋势是一个很好的例子6]。系统旨在提高火车汽车控制,更好的效率,降低系统耦合和更低的成本7]。在VBTC Train-to-train沟通是主要的支持架构,其结构简单的优势减少设备数量和降低建设和维护成本。直接实时列车之间的沟通应该减少延迟的影响引起的无向无线通信,提高系统整体效率(8,9]。

尽管VBTC带来创新成果通过优化通信方法,它原本属于安全关键系统,这就需要设计阶段需要仔细验证安全的程度。正式的过程建模是将自然描述语言转化为一个正式的描述语言系统的需求设计阶段期间,它可以提高系统设计的完整性和一致性。根据系统特性的描述,它可以分为两类:一是用来描述系统特征序列基于数学分析方法,如Z方法(10),B方法(11),VDM方法(12];比另一种方法来描述并发系统的特点,如佩特里网(13- - - - - -15],有限自动机[16,17],LTS (18]。

不同于其他形式方法,LTS有独特的能力来分析可数无限集的状态和操作系统和无限的交互式分支,所以它适合活性和并发系统的行为。它提供了方法跟踪状态运输行为,识别可观察状态,评估执行的操作序列。作为一个理想的工具来验证并发和复杂的系统,它在应用程序中获得伟大的成就验证安全协议RSSP-1 [19和ERTMS /交易所交易系统的需求20.]。本文着重于正式的建模和验证基于LTS方法VBTC train-to-train通信逻辑的体系结构。

在本文的其余部分,我们首先定义和描述的新架构VBTC和部分CBTC相比2。节3,LTS及其辅助分析工具LTSA软件介绍和采用模型train-to-train交流的行为。安全属性train-to-train通信验证的部分4。列出比较方面的应用和性能使用LTS方法和传统的检查方法5。最后,给出的结论部分6。

2。VBTC的体系结构

VBTC系统如图1。它的五个基本部分是中央(智能培训监督系统),台湾记忆体公司(培训管理中心),OC(对象控制器)属于路边系统,IVOBC(船上智能车辆控制器)安装在车辆,和DCS(数据通信系统),它提供了数据传输静态设备和移动列车之间的联系。每个系统的主要功能如下。

中央负责列车运行计划,监控所有其他系统的条件,和处理安全相关的事件。所有的火车线应与中央其基于周期和可靠的通信。中央检查地位的每一部分,以确保安全的操作。它将为列车提供所需的所有必要的信息来识别列车正前方或正后方。

TMC负责存储和分布的电子地图,系统配置数据、临时限速。其通信方式应该非周期或被动反应。

度是一种新型的地面设备控制单元。它收集和发送控制对象的状态来响应请求的火车和中央;同时,它接收控制信息操作输入。被动通信交互模式这种类型的单位。

IVOBC VBTC系统的核心。它继承了ATP的所有功能(自动列车保护)和ATO(自动列车运行)和V2I (vehicle-to-infrastructure)通信在CBTC系统;IVOBC也开发新功能的路线计划,路线安全保护,和移动计算的权威。

DCS应该支持多种通信协议作为IVOBC和其他系统的重要桥梁连接,通信标准应与相邻列车的距离参数自适应变化。例如,火车应该与其他列车通过在远程LTE-V2X的沟通形式,它选择direct-to-direct沟通时形成范围小于1公里。

属性差异VBTC和CBTC系统五个方面的系统组件相比,train-to-train通信模式,列车控制模式下,地面设备,日常维护(见表1)。

3所示。正式基于LTS建模和验证方法

列车之间的交流合作具有复杂的并发性和逻辑的特点同步。因此,LTS方法选择优势的实时准确的描述系统行为和并发性。train-to-train沟通合作策略VBTC由LTS建模方法,它提供了一种依据后续模拟和验证分析。

3.1。正式定义的LTS

让代表国家的通用集包括指定的错误状态 。 是通用的标签和作为 ,在那里表示一个内部操作,不能观察到的环境一个LTS。

一个LTS的过程是一个四 ,在那里(1) 是一个可数有限和非空的状态,(2) 是一个可数集的标签 ,在那里的字母表示 ,和 ,(3) 代表一个过渡关系,地图从一个国家和一个动作到另一个状态,(4) 表示的初始状态 。

是允许有误差的唯一LTS状态作为其初始状态 ,名叫 。这个过程的字母表 。

一个LTS 通过与行动 成 ,表示为 ,如果(1) ,在那里 和 ,(2) , 。

意味着这样 。

结束状态 这样一个LTS 终止如果有一个国家吗 和 对所有 。

LTSA软件,基于LTS作为辅助分析工具,可以激活并检查整个系统的行为才能实现。它关注的并发性,提供了方法模型动画可视化系统的行为,并给出力学验证系统属性包括安全与进步。LTSA项目支持过程代数符号,比如FSP(有限状态的过程),为简洁的描述系统组件的行为(21]。

3.2。Train-to-Train通信机制

Train-to-train通信可以分为一组简单的活动,它的机制应该包括至少三个基本功能:(a)的识别训练前,(b)之间的通信状态管理培训和火车前,和(c)之间的通信状态管理培训和下面的火车。这些活动不执行严格固定的顺序一个接一个的物质世界。事实上,它是注意到这些活动被允许重叠或在某些情况下同时发生。

(一)培训前的识别。它可以让数字ID信息的其他列车当火车进入的地区与中央的联系。火车后确认所有的列车在同一地区的呼叫和应答模式,它开始识别和确认前面的火车。这一阶段的过程如图2。

(b)之间的通信状态管理培训和火车在前面。实施阶段应该分成四个步骤如下:(1)让火车ID前面和检查跟踪条件要求。(2)时发送请求消息跟踪建立跟踪条件满足。(3)等待和接收跟踪建立从火车前回复;火车和前面之间的沟通应该关闭如果沟通时间结束时间门的设计参数。(4)它成功进入跟踪模式训练后接受从火车前回复;否则火车应该重新发送跟踪建立请求消息中,火车和前面之间的通信状态仍然有效,或火车重建跟踪链接从一开始如果沟通时间结束时间门的设计参数。

这一阶段的过程如图3。

(c)之间的通信状态管理培训和下面的火车。它类似于前一个阶段。跟踪模式是由下面的火车;确认消息发送响应跟踪请求的火车下面的火车。收到消息后火车将检查条件。这一阶段的过程如图4。

3.3。仿真和验证

设计为易于机器可读,FSP是一个简单的代数符号来描述过程模型;每个LTS状态的描述都有一个相应的FSP描述。基本的语义FSP可以很容易地定义LTS而言,和LTSA软件功能描述的LTS FSP语言作为图。在下面,他们的信件是由函数定义 在哪里组FSP处理表达式和吗代表lts的集合。这个函数电感的结构定义FSP进程表达式。

在分析train-to-train沟通工作流中3所示。2,行动组系统的行为说明了字母集一个,同时系统进程年代和中间过渡过程变量米_我,(i = 1,2,…9)应该FSP语言中定义如下。

一个=,inisysBad inisysOK sndReqTrain、rcvFdReqTrain checkTrainID, rcvReqTrain, reqTraintimeout, trainAlarm, sndITS, isTrainPos, trainisFront, trainisBack, sndBldTracReq, bldTracReqTimeout, rcvBldTracAns, checkTracCond, tracCondisOK, tracCondNotOK, setTracMode, selfFixBlock, selfTracingMode, sndDismissTracReq, S = M₁,米₁=(inichk - > inisysOK - > M₂∣inichk - > inisysBad - > M₃),米₂=(sndReqTrain - > rcvFdReqTrain - > checkTrainID ->米₄∣rcvReqTrain - > checkTrainID - > M₄∣sndReqTrain - > reqTraintimeout - > M₃),米₃=(trainAlarm - > sndITS - > M₁),米₄=(isTrainPos - > trainisFront - > M₅∣isTrainPos - > trainisBack - > M₆),米₅=(sndBldTracReq - >米₆∣sndBldTracReq - > bldTracReqTimeout - > M₃),米₆= (rcvBldTracAns - >米₈),米₇= (checkTracCond - > tracCondisOK - > M₈∣checkTracCond - > tracCondNotOK - > M₉),米₈= (setTracMode - > selfFixBlock - > M₂∣setTracMode - > selfTracingMode - > M₅),米₉= (sndDismissTracReq - > rcvDismissTracAns - > M₈∣sndDismissTracReq - > dismissTracReqtimeout - > M₃)。

详细解释操作FSP语言如表所示2。

通过LTSA软件,图形转换train-to-train沟通的行为和过程模型如图5。图中的节点5表示系统的状态,和转换描述通过连接边缘。它注意到没有错误标签1所示这些模型检查的结果。LTSA图的验证结果6给没有死锁或违反逻辑在19个州模型实现为可执行代码。

4所示。安全验证

VBTC在设计阶段,存在一些危险的情况下,不应该不允许发生。设计师和程序员应该注意和深思熟虑的行动,这些危险的情况。Fault-oriented安全公约原则是轨道交通的工程领域。禁止系统需求应该上市,实现系统的最终实现。

禁止下列行为;安全方面应该严格安全属性的系统模型进行验证。(1)请求消息发送到另一列火车时自我系统的初始化检查失败。(2)请求消息发送给其他火车火车为错误警报。(3)建立跟踪请求消息发送到另一列火车在超时的情况下请求消息。(4)跟踪条件不能满足建立跟踪请求的超时。(5)模式是不允许设置跟踪模式在超时的情况下跟踪请求消息。(6)模式是不允许设置跟踪条件不满足时跟踪模式。

上面这些不可接受的行为建模的安全属性FSP语言是:财产TrainSafety=安全,安全= (inisysBad- >sndReqTrain- >安全∣trainAlarm- > sndReqTrain - >安全∣reqTraintimeout- >sndBldTrackReq- >安全∣bldTrackReqTimeout- >trackCondisOK- >安全∣dismissTrackReqtimeout- >selfTracingMode- >安全∣trackCondNotOK- >selfTracingMode- >安全)。

似乎一个错误状态标记“1”系统图7,这意味着,在所有过渡痕迹从初始状态开始,没有特殊的过渡从列表(6),可以证实的模型系统满足安全要求。

5。应用程序和性能

正式的建模和验证上述方法用于train-to-train通信程序的部署。为了评估LTS建模方法的效率,两个独立的开发团队使用相同的劳动力和类似的技术经验被分配到完成这个项目。

两队同时启动任务,而他们的工作时间是八个小时在一天。整个开发过程分为两个阶段,发展阶段和测试阶段。第一阶段的主要任务是将可执行代码的模型基于系统需求;测试人员在第二阶段关注错误发生在可执行代码,分析和分类的原因。操作时间和分类错误作为重要的评价参数记录在总结在表3。

原来更高效和节省时间的使用LTS方法与传统方法相比。大约51%的总开发时间保存。更少的时间消费并没有导致质量降低。相反,正式的建模和验证质量进一步提高。通过分析错误在测试阶段,我们发现17个25 bug的传统方法都是从逻辑错误,剩下的是由于数据配置。静力学表明,逻辑错误归咎于两个原因在发展中阶段。第一个是不确定的和模棱两可的系统需求,这给程序员模糊的理解系统行为;另外一个原因是一些危险的系统行为不可预测由程序员手工筛选的极限。避免这些陷阱LTS模型开发人员。LTS模型中所有的七个数据错误来自错误的工程数据,从没有一个LTS模型的控制区域。 Nearly 72% reduction in the design flaws proves the powerful ability of LTS formal method. The comparison experimental results indicate that LTS model absolutely helps developer shorten design cycle and improve software quality.

6。结论

允许设计师的最终目标描述train-to-train通信安全、有效,本文提出一种新颖的方法建模和验证这样的实时系统。FSP语言描述的train-to-train通信机制是简单而明确的方式介绍了逻辑属性。LTS train-to-train通信模型构建和验证功能需求以及安全属性的帮助下LTSA软件。系统仿真,LTSA验证软件显示了一个强大的工具,可视化train-to-train LTS复杂系统的模型。它彻底的和检查候选人制度的规范是否满足所需的属性,和它支持规范动画交互研究系统行为。仿真和验证结果表明,LTS方法提供了巨大的协助设计师开发更高效和可靠的实时系统。

的利益冲突

作者宣称没有利益冲突有关的出版。

确认

重点项目支持的研究工作一直是中国铁道科学研究院(1752年1651 th5302 1651 th6603, th1004);中国国家自然科学基金(没有。61603026);北京自然科学基金(L171004)。

引用

1. 宁和c .刘”技术和应用中国轨道交通系统,列车运行控制系统”中国铁道学会杂志》上,39卷,不。2、1 - 9,2017页。视图:出版商的网站|谷歌学术搜索
2. l .朱f . r . Yu,宁,“基于最优的切换决策算法通信的列车控制(CBTC)系统,”职业训练局学报2010年IEEE车辆技术会议(2010年秋季),页1 - 5,渥太华,加拿大,2010年9月。视图:出版商的网站|谷歌学术搜索
3. b . l .朱f . r . Yu Ning, t·唐,“跨层MIMO-enabled切换设计基于无线局域网的通信的列车控制(CBTC)系统,”IEEE在选定地区通讯》杂志上,30卷,不。4、719 - 728年,2012页。视图:出版商的网站|谷歌学术搜索
4. b . l .朱f . r . Yu Ning和t . Tang”设计和性能增强沟通建立列车控制系统协调多点传输和接收,”IEEE智能交通系统,15卷,不。3、1258 - 1272年,2014页。视图:出版商的网站|谷歌学术搜索
5. b . l .朱f . r . Yu Ning和t . Tang”切换管理沟通建立列车控制网络使用流控制传输协议和IEEE 802.11无线局域网,“EURASIP无线通讯和网络》杂志上,卷2012,不。1,硕士论文,2012页。视图:出版商的网站|谷歌学术搜索
6. j·k·许”,分析小说基于列车CBTC系统培训交流,“铁路信号和通信,50卷,不。6,78 - 80年,2014页。视图:谷歌学术搜索
7. c .李研究列车通信合作V2V通信环境下基于状态机北京交通大学,硕士,2017年。
8. h·杜,j·g .太阳,张问:“新一代的CBTC系统没有CI和佐,“城市快速轨道交通,30卷,不。4、91 - 95年,2017页。视图:谷歌学术搜索
9. d . Briginshaw“Alstrom简化CBTC技术首次在里尔,”国际铁路杂志,53卷,不。1、23 - 24日,2013页。视图:谷歌学术搜索
10. n .征服者”正式RIS组件的动态运作模型,国际计算机科学杂志和网络安全11卷,第97 - 91页,2011年。视图:谷歌学术搜索
11. h·d·通宁,和h·f·王,“基于事件b的建模和验证研究连锁路线控制,”铁路计算机应用,22卷,不。6日,57 - 61,2013页。视图:谷歌学术搜索
12. n . a .征服者”,正式的模型移动块铁路联锁系统基于un-directed拓扑,”第二届国际研讨会论文集2006年新兴科技,ICET 2006白沙瓦,页217 - 223年,巴基斯坦,2006年11月。视图:出版商的网站|谷歌学术搜索
13. h .歌曲和e·施奈德”验证,验证和评价火车火车距离测量系统通过彩色佩特里网,“可靠性工程和系统安全卷。164年,10-23,2017页。视图:出版商的网站|谷歌学术搜索
14. e·施奈德、l·施奈德和j .穆勒”概念的基础可靠的系统建模,2日IFAC车间离散系统的可靠控制,42卷,不。5,198 - 202年,2009页。视图:出版商的网站|谷歌学术搜索
15. m . m .祖茂堂Horste和e·施奈德”列车控制系统的建模和仿真,使用petri网”FMRail车间,1999年。视图:谷歌学术搜索
16. x y盾和j .高”的方法生成正式的联锁软件模型基于场景中,“计算机科学,42卷,不。1,第195 - 193页,2015。视图:谷歌学术搜索
17. x y赵、r . j . Cheng和y Cheng”正式的建模和参数分析方法,基于混合统一建模语言,列车控制系统”中国铁道学会杂志》上,38卷,不。11日,第87 - 80页,2016年。视图:出版商的网站|谷歌学术搜索
18. x, z . w .徐,m·梅”软件基于模型检测的安全验证方法,”武汉大学学报(自然科学版)卷,56号2、156 - 160年,2010页。视图:谷歌学术搜索
19. m·孟x中,w . Xi, w . Yongbing”模型checking-based安全验证铁路信号安全protocol-I”国际期刊的计算机应用技术,46卷,不。3、195 - 202年,2013页。视图:出版商的网站|谷歌学术搜索
20. m . Ghazel”形式化的一个子集ERTMS / ETCS规格验证目的,“交通研究部分C:新兴技术,42卷,60 - 75、2014页。视图:出版商的网站|谷歌学术搜索
21. j·麦基和j·克莱默并发状态模型和Java程序约翰•威利的儿子,奇切斯特,英国,1999年。

版权

版权©2018 Haonan峰。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。