安全目标导向的CBTC系统精化开发和确认方法及装置

本发明涉及系统安全评估领域，具体涉及一种安全目标导向的cbtc系统精化开发和确认方法及装置。

背景技术：

1、基于通信的列车控制（cbtc）系统因其高可靠性和高安全性的优势已成为城市轨道交通的主要发展方向。然而，cbtc系统是一个内部结构复杂且实时性很强的系统，如果其内部组件或功能模块存在设计缺陷，将会造成无法弥补的后果。为了及时准确地发现系统可能存在的缺陷，在深入开发系统之前，需要利用形式化方法，严谨正确地描述结构和功能，并验证其功能和性能要求，以确保cbtc系统的可靠性和安全性。

2、基于event-b的形式化方法以严密的数学理论和相关推理为基础，通过确保各开发活动的一致性和精化关系，实现构建可信系统的核心目标，是一种适用于高质量cbtc系统研发的方法。目前，在轨道交通领域已经有许多基于event-b的形式化方法的成功案例，例如，泰雷兹和阿尔斯通等轨道信号系统的主要供应商都采用event-b方法来设计和验证其在世界各地轨道系统中部署的安全关键软件。

3、然而，虽然event-b方法可以确保cbtc系统开发过程中需求的一致性，但无法保证模型在功能实现上的正确性。因此，需要一种方法来检测cbtc系统的event-b模型，以确保模型的正确性。目前面对cbtc这样复杂的安全关键系统，若采用基于模型检测的形式化方法进行开发会导致状态空间爆炸的问题。而采用定理证明的形式化开发方法虽然能够避免上述问题，但是无法保证其构建模型的正确性，所以需要一种方法保证开发过程中模型的正确性，避免模型与预期的系统功能有所偏差。

技术实现思路

1、本技术的目的在于针对上述提到的技术问题提出一种安全目标导向的cbtc系统精化开发和确认方法及装置。

2、第一方面，本发明提供了一种安全目标导向的cbtc系统精化开发和确认方法，包括以下步骤：

3、对cbtc系统进行分析，确定cbtc系统的控制结构；

4、对控制结构进行精化分层，建模得到cbtc系统的形式化模型；

5、采用event-b形式化方法对cbtc系统的形式化模型进行精化，得到event-b模型，通过rodin平台中的定理证明器完成event-b模型进行证明，得到证明后的event-b模型；

6、使用prob工具对证明后的event-b模型进行动态仿真、死锁以及不变式违背检测，得到cbtc系统开发结果。

7、作为优选，控制结构包括列车自动监控器、区域控制器、车载控制器和联锁，其中，车载控制器与列车形成控制回路，联锁与道岔区段形成控制回路，区域控制器与车载控制器形成控制回路，区域控制器与联锁形成控制回路，区域控制器用于对接收到的车载控制器提供的列车位置信息和联锁提供的进路状态信息进行计算，得到移动授权范围并发送给其管辖范围内的列车和区域控制器；联锁用于根据接收到的区域控制器提供的进路请求对进路、道岔和信号机进行控制，以完成进路的设置与锁闭，并将进路状态信息实时反馈给区域控制器；车载控制器用于根据区域控制器提供的移动授权范围和限速信息对列车的运行速度进行控制。

8、作为优选，cbtc系统的形式化模型包括模型m0_vobc_0、模型m0_vobc_1、模型m1_ci和模型m2_zc；

9、模型m0_vobc_0：建模车载控制器根据前方目的地的距离控制列车进行加速或制动行驶，确保列车不会超出前方目的地；

10、模型m0_vobc_1：引入列车移动授权信息并建模车载控制器控制列车在移动授权范围内安全的行驶，确保列车位置不会超过列车移动授权范围；

11、模型m1_ci：建模联锁向道岔发送道岔控制命令以及道岔锁闭命令，分别用来设置和锁闭道岔；

12、模型m2_zc：建模区域控制器为列车计算移动授权范围、发送移动授权范围和限速信息至车载控制器以及根据列车的运营任务向联锁发送道岔请求指令。

13、作为优选，采用event-b形式化方法对cbtc系统的形式化模型进行精化，得到event-b模型，具体包括：

14、event-b模型的建模元素包括载体集合、变量和常量，采用不变式表示不同变量之间的关系、不同常量之间的关系以及变量和常量之间的关系，将cbtc系统的形式化模型的安全约束采用不变式进行表示，采用event-b形式化方法描述cbtc系统的形式化模型中的事件和状态，得到event-b模型。

15、作为优选，使用prob工具对证明后的event-b模型进行动态仿真、死锁以及不变式违背检测，得到cbtc系统开发结果，具体包括：

16、在证明后的event-b模型中对轨道网络和列车的运营任务进行元素实例化，得到实例化结果；

17、遍历所有事件，基于实例化结果进行动态仿真，确定每个事件的运行对列车的移动授权范围的变化结果，使区域控制器能够正确的分配列车的移动授权范围，并且车载控制器能够控制列车在移动授权范围内安全的行驶，在动态仿真过程中进行不变式违背测试；

18、遍历所有事件，基于实例化结果检查是否存在以下情况：

19、区域控制器无法完成对后续的列车的移动授权范围的分配，即存在一次分配列车的移动授权范围的事件后，无法进行后续的移动授权范围分配；

20、车载控制器无法控制列车完成在后续移动授权范围内的运行，即存在一次列车运行事件后，车载控制器无法控制列车在后续的移动授权范围内继续运行；

21、遍历所有事件，基于实例化结果确定是否存在区域控制器在分配列车移动授权过程中存在违背不变式的情况或车载控制器在控制列车在移动授权范围内行驶过程中存在违背不变式的情况。

22、作为优选，在证明后的event-b模型中对轨道网络和列车的运营任务进行元素实例化，得到实例化结果，具体包括：

23、根据轨道网络对证明后的event-b模型中的载体集合的第一部分进行细化处理，载体集合的第一部分包括区段资源集合、道岔区段集合、道岔方向集合、道岔在初始阶段所处的位置，定义区段资源集合所划分的区段、道岔区段集合所包含的区段、道岔方向集合所包含的位置为定位位置或反位位置、道岔在初始阶段时的位置应处于定位位置，并对证明后的event-b模型的常量中的第一部分进行赋值，常量中的第一部分包括区段的长度；

24、进一步引入列车，为其分配具体的运营任务，根据运营任务对证明后的event-b模型中的载体集合的第二部分进行细化处理，载体集合的第二部分包括列车集合，定义列车集合所包含的具体列车，对证明后的event-b模型中的常量的第二部分进行赋值，常量的第二部分包括正加速度、负加速度、控制周期、各个列车运行方向、各个列车长度、各个列车运营任务、每个列车运营任务中区段的连续性关系、各列车运营任务每个区段末端距离初始位置的距离、每个列车运营任务中的起始区段和终止区段、列车运营任务中道岔要求的方向，得到实例化结果。

25、第二方面，本发明提供了一种安全目标导向的cbtc系统精化开发和确认装置，包括：

26、系统分析模块，被配置为对cbtc系统进行分析，确定cbtc系统的控制结构；

27、建模模块，被配置为对控制结构进行精化分层，建模得到cbtc系统的形式化模型；

28、证明模块，被配置为采用event-b形式化方法对cbtc系统的形式化模型进行精化，得到event-b模型，通过rodin平台中的定理证明器完成event-b模型进行证明，得到证明后的event-b模型；

29、检测模块，被配置为使用prob工具对证明后的event-b模型进行动态仿真、死锁以及不变式违背检测，得到cbtc系统开发结果。

30、第三方面，本发明提供了一种电子设备，包括一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。

31、第四方面，本发明提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。

32、第五方面，本发明提供了一种计算机程序产品，包括计算机程序，计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。

33、相比于现有技术，本发明具有以下有益效果：

34、（1）本发明提出的安全目标导向的cbtc系统精化开发和确认方法通过对cbtc系统进行分析、精化分层，准确地描述cbtc系统中的各个组件的控制结构，建立cbtc系统的形式化模型，以满足列车行驶的安全需求。

35、（2）本发明提出的安全目标导向的cbtc系统精化开发和确认方法采用event-b形式化方法对cbtc系统的形式化模型进行精化，构建event-b模型，以确保开发过程中的一致性，并完成模型的证明义务，保证该模型具有无碰撞和无出轨安全性质。

36、（3）本发明提出的安全目标导向的cbtc系统精化开发和确认方法采用prob工具对cbtc系统的event-b模型进行运营场景的动态仿真、死锁以及不变式违背的检测，从而确保cbtc系统的event-b模型在功能实现上的正确性。