CN110843859A - 基于系统理论危害分析的列车自动防护系统安全分析方法 - Google Patents

Abstract

本发明提出一种基于系统理论危害分析的列车自动防护系统安全分析方法，属于列车自动防护系统安全工程领域。本发明包括：通过对系统结构组成与功能逻辑的梳理确定系统级事故与危险；构建系统的分层控制结构框图，建立系统过程模型，对系统控制行为进行分析，得到危险控制行为；分析危险控制行为是如何发生的，确定起因，明确危险控制场景，制定相应的安全约束，以用于列车自动防护系统的设计中。本发明还对得到文本使安全约束进行形式化表达，转化为线性时序逻辑语言，添加到SMV规范模型中进行验证。本发明与传统的安全分析方法相比，故障分析覆盖更广，分析有效性更高，经验证所得安全约束更加有效。

Description

基于系统理论危害分析的列车自动防护系统安全分析方法

技术领域

本发明属于列车自动防护系统安全工程领域，涉及一种基于系统理论危害分析的列车自动防护(Automaic Train Protection，简称ATP)系统的安全分析方法。

背景技术

列车自动控制系统ATC(Automatic Train Control)是近年来发展起来的，集行车指挥、运行调整以及列车驾驶自动化等功能为一体的列车控制系统。列车自动防护系统ATP作为列车自动控制系统ATC的核心子系统，主要实现列车运行的超速防护功能，以保证列车在安全状态下运行。随着ATP系统的自动化水平越来越高，功能更加复杂，系统内部组件之间的通信交互更为频繁，影响系统运行的因素不断增加，产生故障或失效的可能性增大，一旦出现故障就会产生链式反应导致整个系统损坏，不仅造成巨大的经济损失，而且严重地危及到人身安全。

传统的安全分析方法主要是基于可靠性理论、顺序模型提出的，具体适用于传统简单线性系统的安全分析，主要分析源头是部件的故障，但在现代复杂系统中，事故原因不仅仅是部件的故障，还有软件要求错误、硬件错误、人工错误与环境影响，尤其是系统各个部件之间的相互作用，所以传统的安全分析方法往往会忽略掉部分引起系统故障的关键因素，很难对系统进行全面有效的分析。

系统理论危害分析方法是一种新型的安全分析方法，最早应用于对于安全性能要求极高的航天航空系统中，该方法充分考虑和分析各个系统组成部件之间的相互作用，将故障问题视为整体系统的控制问题，将简单的链状分析转变为复杂的网状分析，分析覆盖面更广，克服了传统安全分析技术的问题，基于系统理论识别系统中存在的危险，并对系统相关组件实施安全约束以减轻危害。列车自动防护系统ATP作为列车自动控制系统ATC中一个关键的安全控制系统，其安全性要求更高，安全分析也更为复杂。

发明内容

为了提高列车自动防护系统的安全性，将系统安全性提升到可接受范围内，本发明提出了一种基于系统理论危害分析的列车自动防护系统安全分析方法，将列车自动防护系统的安全问题视为控制问题，建立列车自动防护系统的分层控制结构图，基于系统的分层控制结构图识别危险控制行为，得到相应的安全约束，以应用于列车自动防护系统的设计检测中。

本发明提供的基于系统理论危害分析的列车自动防护系统安全分析方法，包括如下步骤：

(1)通过对列车自动防护系统资料收集与整理，包括系统规范，设计要求，工作原理与工作情况等等，明确系统主要功能的工作逻辑，在此基础上确定系统级事故与危险，普遍关注的事故一般涉及到人身伤害、车辆损失、道路损失等。确定的系统级事故用A_n表示，系统级危险用H_m表示，n、m为正整数，分别代表系统级事故与危险的序号，系统级事故代表系统在运行期间应当避免的损失；系统级危害代表的是导致此类损失的系统状态；

(2)建立列车自动防护系统的分层控制结构，以分层控制循环的方式对系统功能进行表达；建立系统过程模型，过程模型中包含不同的控制对象状态；通过系统分层控制结构的分析得到系统主要控制行为，在此基础上进行危险性分析，确定危险控制行为，分别以UCA₁、UCA₂、…、UCA_n来表示。

ATP系统的分层控制结构中，将ATP系统视为控制器，牵引系统、制动系统以及车门控制系统作为执行器，列车为被控对象，传感器有车载速度传感器、确定列车位置的定位天线以及检测车门开关状态的传感器；驾驶员通过人机接口界面与ATP系统交互，在列车运行过程中出现故障时，人机接口界面向驾驶员显示故障信息；驾驶员通过牵引系统和制动系统控制列车的行驶速度以及选择准确的停站停车地点。

驾驶员的过程模型为驾驶员是否接受到ATP系统发出的减速警报。ATP系统的过程模型包括ATP系统的状态是开启还是关闭、车速传感器检测的列车速度值大小、定位传感器检测的列车实时位置、列车行驶方向、地面紧急信号的接受状态以及车门开闭状态。

(3)对危险控制行为分析，确定危险控制行为是如何发生的，明确引起危险控制行为发生的原因，分析危险控制场景，直接得到细化的安全约束，安全约束是指对系统相关控制行为进行的限制以防止产生系统事故的措施。

本发明得到七条细化的安全约束，如下：

SSR₁：当列车行驶车速超过最大允许车速且差值大于最大限制范围时，ATP系统应当首先控制列车进行常规制动，并且只有当列车车速小于安全车速时，ATP系统才能停止制动控制；

SSR₂：当ATP控制列车系统处于常规制动的情况下，并且在系统预定的制动检测时间下，列车车速仍然高于最高允许车速，ATP系统应控制列车进行紧急制动，只有当列车车速小于安全车速时，ATP系统才能停止制动控制；

SSR₃：当列车接收到地面应答器发送的紧急停车信号后，ATP系统应当控制列车进行紧急制动，并且只有当车速等于零时，才可以停止制定行为控制；

SSR₄：当列车向与操作台方向控制器制定的当前状态相冲突的方向运行时，ATP系统控制列车进行紧急制动，并维持列车速度为零；

SSR₅：列车行驶车速超过最大允许车速的限制范围时，ATP系统切断牵引系统，并向驾驶员发出警报提醒；

SSR₆：当列车速度为零且达到预定停靠站点时，ATP系统控制车门打开；

SSR₇：只有在ATP系统控制列车车门关闭的情况下，列车才具有启动牵引系统权限。

所得到的安全约束用于ATP系统的设计中。

本发明方法还将得到的安全约束进行形式化表达，首先通过控制流语句将得到的安全约束描述为形式化的语句，再将其转化为时序逻辑语言，方便下一步的模型验证。其中，各种逻辑关系表达符号含义如下所示：

IF；

&&：and；

→：THEN；

在得到细化安全约束的形式化表达后，将其添加到SMV规范模型中，应用SMV符号模型验证器对列车自动防护系统的模型进行验证。

本发明与现有技术相比，具有以下优点和积极效果：

(1)与传统的安全分析方法相比，本发明运用系统理论危害分析方法对列车自动防护系统进行分析，将安全分析问题视为控制问题，故障分析覆盖面更加全面，分析有效性更高，克服了传统分析方法的局限性，本发明方法十分适用于现代复杂的列车自动防护系统的安全分析。

(2)本发明通过对分析得到的约束结果进行形式化处理，转化为线性时序逻辑研究，经过SMV符号模型验证器验证，证明得到的安全约束结果更加有效，证明了通过本发明方法得到的约束的实用性和有效性。

附图说明

图1为本发明所应用的系统理论危害分析方法的流程示意图；

图2为本发明具体实施案例中进行列车自动防护系统安全分析的流程图；

图3为本发明构建的列车自动防护系统的分层控制结构示意图；

图4为本发明利用分层控制结构进行各个部件的分析示意图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图对本发明作进一步的详细和深入描述。

如图1所示，系统理论危害分析的输入是系统说明和设计模型，在本发明的应用场景中是列车自动防护系统的说明和设计模型，分析过程主要是首先确定系统事故与危险，构建系统分层控制机构框图，识别危险控制行为并确立初步的安全约束，进一步分析危险控制行为是如何发生的，分析其产生的危险情景，对已提出的安全约束进行细化精炼，用得到的系统控制行为安全约束来规范系统控制行为，提升列车自动防护系统的安全性能。

本发明针对列车自动防护系统的安全分析过程与图1所示的系统理论危害分析过程大致相同，不同点在于本发明在列车自动防护分析系统的危险控制行为的基础上，直接分析其产生的原因与情景，得到最后细化精炼的安全约束，省略确定初步安全约束这一步骤，初步确定的安全约束无法从深层次揭示危险控制行为发生原因，对后续步骤的指导意义并不大，且会浪费大量的时间与精力来进行整理，并经实践验证，这一步对最后设计结果的影响较小，所以在本发明中舍弃初步确定安全约束这一步。另外本发明还将最后得到的精炼安全约束形式化处理为时序逻辑语句，并应用SMV符号模型验证器来对模型的正确性进行验证。本发明具体描述过程如图2所示，下面主要分为五个步骤来说明。

步骤1：通过对列车自动防护系统相关特性的资料收集与整理，对ATP系统结构组成与功能逻辑的梳理，确定系统级事故与危险。

明确系统理论危害分析的主要功能的工作逻辑，在此基础上确定列车自动防护系统可能出现系统级事故与危险。

在本发明实施例阐述中，具体以列车自动防护系统的速度监督与超速防护、溜车防护和车门开关控制功能为主要分析对象，具体的工作逻辑总结描述如下：

对于列车自动防护系统的速度监督与超速防护功能来说，在列车运行过程中车载速度传感器检测列车的行驶速度，将数据传送给车载ATP系统，车载ATP不断地计算安全防护曲线，监督列车速度，确保列车始终低于允许的速度。当检测到列车实际速度超过ATP安全防护曲线时，将切除牵引并触发减速声光报警。当列车超过系统允许的超速限制时由ATP控车，并根据计算得出当前应进行常用制动还是紧急制动,再采取相应制动，当列车常用制动使车速降至限速之下较低速度时发出缓解信号，允许司机缓解；当ATP常用制动一段时间后，车速仍等于或高于限速，则ATP进行紧急制动；ATP紧急制动使列车停止后，发出缓解信号，允许司机缓解。这样通过控制列车多次制动或不同的制动机自动降低列车速度保证安全运行。

对于车门开关控制功能来说，ATP系统通过车门控制系统对车门的开启关闭进行控制。在列车进站停车还没有完全停稳在站台上时，ATP严禁车门开启，以此保证乘客的上下车安全；当列车正确停靠在车站规定的停车位置时，车载定位天线向地面定位天线发送列车停稳信号，ATP轨旁设备向列车发送打开车门的命令，此时ATP系统执行开启相应侧车门的操作。在列车车门关闭的情况下，车载ATP才拥有在安全状态下发车的条件。

对于溜车防护功能来说，ATP系统对停稳的列车进行监控，防止列车向与操作台方向控制器制定的当前状态相冲突的方向运行，系统检测到列车溜车超过一定的容忍范围后将触发紧急制动。

依据对上述列车自动防护系统功能的理解所确定的系统级事故与危险的结果如下所示：

事故用A₁、A₂、A₃表示；危险用H₁、H₂表示；

A₁：乘客人员受伤或死亡

A₂：列车与列车相撞

A₃：列车出轨

H₁：列车超速行驶(A₁、A₂、A₃)

H₂：车门异常的开启或关闭(A₁)

步骤2：将安全问题视为控制问题，建立系统分层控制结构图，并建立系统过程模型，过程模型中包含不同的控制对象状态。通过系统分层控制结构的分析得到系统主要控制行为，在此基础上进行危险性分析，确定危险控制行为。

分层控制结构主要由代表控制行为的功能块和反馈的箭头组成，通过分层控制结构图不仅能够明确各个组件之间的控制关系，也可以清晰地得到部件之间的交互作用，由此可以分析出非故障部件之间的不安全交互行为。如图3所示，本发明构建的系统分层控制结构所涉及的对象有外界环境、驾驶员、牵引系统、制动系统、车门控制系统、列车自动防护系统、列车和传感器。分层控制结构中，将列车自动防护系统视为控制器；牵引系统、制动系统以及车门控制系统作为执行器；列车为被控对象；传感器有车载速度传感器、确定列车位置的定位天线以及检测车门开关状态的传感器；驾驶员与列车自动防护系统通过人机接口界面联系起来，驾驶员通过显示屏获取车载ATP系统实时连续动态所输出的列车运行状态信息，如运行速度、目标距离、最大允许速度以及ATP设备工作状态等，以便于驾驶员对列车进行准确控制。在运行过程中出现故障时，向驾驶员显示故障信息，超速时发出音响报警。列车驾驶员可以通过牵引系统和制动系统控制列车的行驶速度以及选择准确的停站停车地点。

为列车员和列车自动防护系统建立过程模型，驾驶员的过程模型为驾驶员是否接受到列车自动防护系统发出的减速警报；列车自动防护系统的过程模型包括列车自动防护系统的状态是开启还是关闭、车速传感器检测的列车速度值大小、定位传感器检测的列车实时位置、列车行驶方向、地面紧急信号的接受状态、车门开闭状态。

系统理论危害分析方法规定了危险控制行为所包含的4种情况：

①安全所需要的控制行为没有执行；

②执行了安全所不需要的控制行为；

③安全所需要的控制行为执行开始的时间过早或太晚；

④安全所需要的控制行为执行时间过短或过长。

本发明根据建立的ATP系统的分层控制结构图来识别系统中的危险控制行为，首先在列车自动防护系统中，系统控制行为可总结为“制动控制、牵引控制、车门开闭控制以及减速警报”，根据上述的四种可能会出现危险控制行为情况进行分析，最后共得出10种危险控制行为，分别如下所示：

UCA₁：列车行驶车速首次超过最大允许车速的限制范围时，ATP系统没有控制列车进行常规制动；

UCA₂：当列车执行常规制动，但未能在规定时间内降速到安全速度范围时，ATP系统没有控制列车进行紧急制动；

UCA₃：当列车车速超过最大允许车速的限制范围时，ATP系统控制列车执行制动操作，但是列车车速尚未达到安全车速范围时，ATP系统就停止了制动行为控制；

UCA₄：当列车接收到地面应答器发送的紧急停车信号后，ATP系统并没有控制列车进行紧急制动；

UCA₅：当列车接收到地面应答器发送的紧急停车信号后，ATP系统控制列车进行紧急制动，但是在列车尚未停止时就停止了制动；

UCA₆：当列车向与操作台方向控制器制定的当前状态相冲突的方向运行，且超出一定的容忍范围时，ATP系统并没有控制列车进行紧急制动；

UCA₇：列车行驶车速超过最大允许车速的限制范围时，ATP系统没有切断牵引系统；

UCA₈：列车行驶车速接近最大允许车速的限制范围时，ATP系统没有向列车驾驶员发出减速警报；

UCA₉：列车速度不为零且尚未达到停靠站点时，ATP系统控制车门打开；

UCA₁₀：在ATP系统未控制列车车门关闭的情况下，牵引系统启动，列车开始行驶。

步骤3：对得到的危险控制行为进行分析，确定危险控制行为是如何发生的，即明确引起危险控制行为发生的原因，分析危险控制场景，细化精炼安全约束。

列车自动防护系统作为列车自动控制系统的核心子系统之一，其系统组织结构较为复杂，可能发生危险控制行为的情形也较为复杂，分析过程中主要从以下几个方面来考虑：

(1)硬件问题：对部件设计或操作失误导致无法正确执行控制信息的角度来分析。本发明设计的系统中可以从执行器如ATP减速警告系统、车门控制系统、制动系统和牵引系统等部件的硬件故障来考虑。

(2)软件问题：设计标准和具体实施中的权限导致无法产生正确的指令。现代复杂系统中软件的核心地位越来越突出并且集成度也越来越高，软件之间的关联性也越来越强，软件逐渐成为系统安全的关键所在。分析系统软件的设计是否符合系统功能要求标准是重要的一种方式。

(3)部件之间的交互故障：系统中具有相同原理的不同工作部件，在相同的运行环境下往往会与产生交互影响从而导致部件失效，如图4所示，可以对所构建的分层控制结构进行各个部件的分析。

(4)操作失误：人为的原因导致，主要包括操作差错、指挥错误、判断错误或者没有判断、情绪以及生理与心理方面的问题。

(5)外部环境问题：安全控制结构受到外部环境的强烈干扰导致系统难以正常工作，例如大雨雪天气导致传感器的失灵。

细化后的安全约束如下：

SSR₁：当列车行驶车速超过最大允许车速且差值大于最大限制范围时，ATP系统应当首先控制列车进行常规制动，并且只有当列车车速小于安全车速时，ATP系统才能停止制动控制；

SSR₂：当ATP控制列车系统处于常规制动的情况下，并且在系统预定的制动检测时间下，列车车速仍然高于最高允许车速，ATP系统应控制列车进行紧急制动，只有当列车车速小于安全车速时，ATP系统才能停止制动控制；

SSR₃：当列车接收到地面应答器发送的紧急停车信号后，ATP系统应当控制系统进行紧急制动，并且只有当车速等于零时，才可以停止制定行为控制；

SSR₄：当列车向与操作台方向控制器制定的当前状态相冲突的方向运行时，ATP系统控制列车进行紧急制动，并维持列车速度为零；

SSR₅：列车行驶车速超过最大允许车速的限制范围时，ATP系统切断牵引系统，并向驾驶员发出警报提醒；

SSR₆：当列车速度为零且达到预定停靠站点时，ATP系统控制车门打开；

SSR₇：只有在ATP系统控制列车车门关闭的情况下，列车才具有启动牵引系统权限。

步骤4：将得到的细化安全约束进行形式化表达，将其转化为时序逻辑语言。

步骤4中得到的细化安全约束以非形式化的文本语句表达，为了将安全约束转化为形式化时序逻辑语言的表达方式，首先通过控制流语句，例如IF-THEN,Wait-Until,Wait-For,Do-Until，将得到的安全约束描述为形式化的语句，以“SSR₁：当列车行驶车速超过最大允许车速且差值大于最大限制范围时，ATP系统应当首先控制列车进行常规制动，并且只有当列车车速小于安全车速时，ATP系统才能停止制动控制”为例，则被描述称为：

“IF Current_Speed>Allowed_Speed and Difference_Value>Limit_Range,DoATP_Conventional_Braking(active),Until Current_Speed<＝Safety_Speed”

最后，将这句形式化语句转化为线性时序逻辑语句的规定形式：

LTL₁：

(Current_Speed>Allowed_Speed)&&(Difference_Value>Limit_Range)→(ATP_Conventional_Braking＝＝active)，

(ATP_Conventional_Braking＝＝active)&&(Current_Speed<＝Safety_Speed)→(ATP_Conventional_Braking＝＝off)

根据以上形式化的表达方式，可以得到另外6个安全约束的线性时序逻辑语句：

LTL₂：

(ATP_Conventional_Braking＝＝active)&&(Time>＝Set_Time)&&(Current_Speed>Allowed_Speed)→(ATP_Emergency_Braking＝＝active)&&(ATP_Conventional_Braking＝＝off)，(ATP_Emergency_Braking＝＝active)&&(Current_Speed<＝Safety_Speed)→(ATP_Emergency_Braking＝＝off)

LTL₃：

(Emergency_Signal＝＝received)→(ATP_Emergency_Braking＝＝active),

(ATP_Emergency_Braking＝＝active)&&(Current_Speed＝＝0)→(ATP_Emergency_Braking＝＝off)

LTL₄：！(Driving_Direction＝＝Setting_Direction)→(ATP_Emergency_Braking＝＝active)

LTL₅：

(Current_Speed>Allowed_Speed)→(ATP_Traction＝＝off)&&(Alarm_Signal＝＝active)

LTL₆：

(Current_Speed＝＝0)&&(Location＝＝Parking_Station)→(ATP_Train_Door＝＝on)

LTL₇：！(ATP_Train_Door＝＝off)→(ATP_Traction＝＝off)

上述线性时序逻辑语句中的符合与形式化的表达方式中的逻辑语言对应关系为：

IF；

&&：and；

→：THEN；

！：IF NOT

上述时序逻辑语言表达中缩写的含义如下所示：

Current_Speed为当前列车车速；Allowed_Speed为最大允许车速；Difference_Value为列车当前车速与最大允许车速的差值；Limit_Range为列车行驶最大超速限制范围；ATP_Conventional_Braking为ATP系统的常规制动控制；Safety_Speed为安全车速；Time为列车已执行制动行为的时间；Set_Time为ATP系统设置的常规制动检测时间；ATP_Emergency_Braking为ATP系统的紧急制动控制；Emergency_Signal为紧急制动信号；Driving_Direction为列车现在所行驶的方向；Setting_Direction为驾驶员所设定的列车行驶方向；ATP_Traction为ATP系统的牵引系统控制；Alarm_Signal为ATP系统对驾驶员的警告信号；Location为列车当前的位置；Parking_Station为列车停靠站点；ATP_Train_Door为ATP系统控制列车车门；active表示系统执行，off表示系统关闭，received表示信号接收状态，on表示系统开启。

步骤5：得到细化安全约束的形式化表达后，将其添加到SMV规范模型中，应用SMV符号模型验证器对列车自动防护系统的模型进行验证。

将上述得到的以线性时序逻辑语句表达的安全约束写入模型，并进行形式化验证，生成相应的测试用例，形式化验证，校验软件代码级验证。

经过SMV符号模型验证器验证后可得该7条安全约束符合列车自动防护系统的模型，所以本发明方法的分析结果有效。

本发明利用系统理论危害分析方法对列车自动防护系统的安全进行分析研究，建立了列车自动防护系统的分层控制结构图，其中包含了过程模型，并且为其他的列车自动控制子系统应用系统理论危害分析提高了参考，其中本发明最终得到的安全约束可以应用在列车自动防护系统的安全分析和设计中。本发明还对得到的文本描述的安全约束转化为线性时序逻辑语言，添加到SMV规范模型中进行模型验证，证明了所得约束的实用性和有效性。与传统的安全分析方法相比，故障分析覆盖更广，分析有效性更高，十分适用于现代复杂安全关键系统的安全分析。

Claims (4)

1.一种基于系统理论危害分析的列车自动防护系统安全分析方法，其特征在于，包括：

步骤1，通过列车自动防护ATP系统主要功能的工作逻辑，确定ATP系统的系统级事故与危险；

步骤2，将ATP系统的安全问题视为控制问题，建立ATP系统的分层控制结构，为驾驶员和ATP系统建立过程模型，识别ATP系统中的危险控制行为；

ATP系统的分层控制结构中，将ATP系统视为控制器，牵引系统、制动系统以及车门控制系统作为执行器，列车为被控对象，传感器有车载速度传感器、确定列车位置的定位天线以及检测车门开关状态的传感器；驾驶员通过人机接口界面与ATP系统交互，在列车运行过程中出现故障时，人机接口界面向驾驶员显示故障信息；驾驶员通过牵引系统和制动系统控制列车的行驶速度以及选择准确的停站停车地点；

驾驶员的过程模型为驾驶员是否接受到ATP系统发出的减速警报；

ATP系统的过程模型包括ATP系统的状态是开启还是关闭、车速传感器检测的列车速度值大小、定位传感器检测的列车实时位置、列车行驶方向、地面紧急信号的接受状态以及车门开闭状态；

步骤3，对步骤2获得的危险控制行为分析，建立细化的安全约束SSR₁～SSR₇，如下：

SSR₁：当列车行驶车速超过最大允许车速且差值大于最大限制范围时，ATP系统应当首先控制列车进行常规制动，并且只有当列车车速小于安全车速时，ATP系统才能停止制动控制；

SSR₂：当ATP控制列车系统处于常规制动的情况下，并且在系统预定的制动检测时间下，列车车速仍然高于最高允许车速，ATP系统应控制列车进行紧急制动，只有当列车车速小于安全车速时，ATP系统才能停止制动控制；

SSR₃：当列车接收到地面应答器发送的紧急停车信号后，ATP系统应当控制列车进行紧急制动，并且只有当车速等于零时，才可以停止制定行为控制；

SSR₄：当列车向与操作台方向控制器制定的当前状态相冲突的方向运行时，ATP系统控制列车进行紧急制动，并维持列车速度为零；

SSR₅：列车行驶车速超过最大允许车速的限制范围时，ATP系统切断牵引系统，并向驾驶员发出警报提醒；

SSR₆：当列车速度为零且达到预定停靠站点时，ATP系统控制车门打开；

SSR₇：只有在ATP系统控制列车车门关闭的情况下，列车才具有启动牵引系统权限；

根据得到的安全约束对ATP系统进行设计。

2.根据权利要求1所述的方法，其特征在于，所述的步骤1中，确定的列车自动防护系统的系统级事故用A₁、A₂、A₃表示，系统级危险用H₁、H₂表示，分别如下：

A₁：乘客人员受伤或死亡；

A₂：列车与列车相撞；

A₃：列车出轨；

H₁：列车超速行驶；

H₂：车门异常的开启或关闭。

3.根据权利要求1或2所述的方法，其特征在于，所述的步骤2中，识别出ATP系统的10种危险控制行为，分别用UCA₁～UCA₁₀表示，如下：

UCA₁：列车行驶车速首次超过最大允许车速的限制范围时，ATP系统没有控制列车进行常规制动；

UCA₂：当列车执行常规制动，但未能在规定时间内降速到安全速度范围时，ATP系统没有控制列车进行紧急制动；

UCA₃：当列车车速超过最大允许车速的限制范围时，ATP系统控制列车执行制动操作，但是列车车速尚未达到安全车速范围时，ATP系统就停止了制动行为控制；

UCA₄：当列车接收到地面应答器发送的紧急停车信号后，ATP系统并没有控制列车进行紧急制动；

UCA₅：当列车接收到地面应答器发送的紧急停车信号后，ATP系统控制列车进行紧急制动，但是在列车尚未停止时就停止了制动；

UCA₆：当列车向与操作台方向控制器制定的当前状态相冲突的方向运行，且超出一定的容忍范围时，ATP系统并没有控制列车进行紧急制动；

UCA₇：列车行驶车速超过最大允许车速的限制范围时，ATP系统没有切断牵引系统；

UCA₈：列车行驶车速接近最大允许车速的限制范围时，ATP系统没有向列车驾驶员发出减速警报；

UCA₉：列车速度不为零且尚未达到停靠站点时，ATP系统控制车门打开；

UCA₁₀：在ATP系统未控制列车车门关闭的情况下，牵引系统启动，列车开始行驶。

4.根据权利要求1所述的方法，其特征在于，所述的方法，还包括：将得到的安全约束通过控制流语句转换为形式化的语句，然后再转换为时序逻辑语言，时序逻辑语言中的逻辑符号代表如下控制语句：

□：IF；

&&：and；

→：THEN；

在得到时序逻辑语言表达的安全约束后，输入SMV符号模型验证器，对列车自动防护系统的模型进行验行验证。

Images