CN115494829A - 一种自主列车运行控制系统建模及验证方法 - Google Patents

Abstract

本发明公开了一种自主列车运行控制系统建模及验证方法，属于轨道交通系统建模领域。该方法包括：对自主列车运行控制系统进行分析，得到自主列车运行控制系统分析图；基于所述自主列车运行控制系统分析图对所述自主列车运行控制系统进行非形式化描述；基于所述非形式化描述对所述自主列车运行控制系统进行建模；采用Event‑B形式化方法对所述自主列车运行控制系统的模型进行优化；通过Rodin平台中的定理证明器对优化后的自主列车运行控制系统的模型进行证明。本发明基于抽象数据类型（ADT）与Event‑B方法的精化策略对自主列车运行控制系统进行建模，利用ADT的抽象概念，能够有效弥补单一使用精化策略的不足之处。

Description

一种自主列车运行控制系统建模及验证方法

技术领域

本发明涉及轨道交通系统建模技术领域，特别是涉及一种自主列车运行控制系统建模及验证方法。

背景技术

列车自主运行控制系统（Train Autonomous Circumambulate System，TACS）以车车通信为基础，以车载控制为核心，实现列车自主进路、自主防护、自主调整等核心功能，打破了传统的基于通信的列车控制系统（Communcation Based Train Control System，CBTC）固有限制。通过软件计算、网络通信和自动化控制三大技术的协同，提供更加灵活且细粒度的列车控制、连续的安全列车间隔保证和超速防护，促使列车可以在更短的运行间隔内进行追踪运行，极大地提升了轨道交通运输的效率和安全保障。与其他制式的列车控制技术相比，由于追求细粒度的车辆控制和更密集的车辆运能投放，TACS系统的精准性需求更高、实时性更强、安全性需求变得尤为突出。此外，由车-车及车-地之间无线通信方式而引入的众多不确定因素，更加深了解决这些问题的难度。作为TACS系统的核心组成部分，TACS系统软件的正确性、安全性和可靠性直接关系到整个系统的成败。

对于轨道交通系统建模，由于其物理环境与系统行为的复杂性，在形式化建模与验证过程中极易发生状态空间爆炸问题。这使得保证轨道系统安全性变得十分困难。目前对于轨道交通系统的建模与验证的研究中，Event-B是主流的、获得工业界认可的形式化方法，将Event-B方法用于CTBC系统的研究较多，由于TACS系统的新颖性，还未有研究人员将Event-B方法用于TACS系统的形式化建模与验证。但从CBTC系统的形式化建模与验证研究来看，单一使用Event-B方法的精化策略仍然存在建模过程冗长、证明复杂度过高的问题。相较CBTC系统，TACS系统更为复杂，如果单一使用Event-B方法对TACS系统进行证明，上述问题会被进一步扩大。

发明内容

基于此，本发明的目的是提供一种自主列车运行控制系统建模及验证方法。

为实现上述目的，本发明提供了如下方案：

一种自主列车运行控制系统建模及验证方法，包括：

对自主列车运行控制系统进行分析，得到自主列车运行控制系统分析图；

基于所述自主列车运行控制系统分析图对所述自主列车运行控制系统进行非形式化描述；

基于所述非形式化描述对所述自主列车运行控制系统进行建模；

采用Event-B形式化方法对所述自主列车运行控制系统的模型进行优化；

通过Rodin平台中的定理证明器对优化后的自主列车运行控制系统的模型进行证明。

可选地，所述自主列车运行控制系统包括列车、区段资源和资源管理器；在所述自主列车运行控制系统中，所述列车的移动包括：资源请求、资源分配以及资源释放；

在所述资源请求阶段，所述列车向所述资源管理器请求运营任务中的所述区段资源；

在所述资源分配阶段，所述资源管理器将所述区段资源分配至对应的所述列车；

在所述资源释放阶段，所述资源管理器将所述列车从排序队列中移除，若释放的区段资源为线性区段时，则将列车的移动授权范围缩小，若释放的区段资源为道岔区段时，则将列车的移动授权范围缩小且所述资源管理器将所述道岔区段的定位侧防区和反位侧防区的方向锁闭进行释放。

可选地，所述自主列车运行控制系统的模型包括9层，每层模型具有不同的需求规约，且每层模型待验证的性质也不同。

可选地，所述自主列车运行控制系统的9层模型分别为模型M0_active_net、模型M1_train、模型M2_ma、模型M3_req、模型M4_queue、模型M5_point、模型M6_direction、模型M7_collision_free以及模型M8_derailment_free。

可选地，所述采用Event-B形式化方法对所述自主列车运行控制系统的模型进行优化，具体包括：

建立轨道网络以及区域Region ADT；

所述模型M0_active_net关注于所述自主列车运行控制系统中活动的所述轨道网络；

所述模型M1_train、所述模型M2_ma以及所述模型M3_req分别将列车、MA以及列车请求区段资源的集合使用所述区域Region ADT表示；

所述模型M4_queue、模型M5_point和M6_direction中逐层引入所述自主列车运行控制系统的排序队列、资源细分和方向锁闭的性质；

所述模型M7_collision_free和模型M8_derailment_free考虑所述自主列车运行控制系统的无碰撞、无侧冲以及无脱轨的安全属性。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明基于抽象数据类型（ADT）与Event-B方法的精化策略对自主列车运行控制系统进行建模，利用ADT的抽象概念，能够有效弥补单一使用精化策略的不足之处。且本发明将轨道网络、轨道区域以及移动授权等复杂系统组件在初始模型只指定组件的必要属性，仅在后续系统开发过程必要的优化阶段才引入组件的具体定义，从而能够有效的降低系统开发和证明的复杂度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的自主列车运行控制系统建模及验证方法的流程图；

图2为本发明提供的自主列车运行控制系统建模及验证方法的总体流程图；

图3为本发明提供的自主列车运行控制系统分析图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为确保TACS系统的安全性，TACS系统的研发必须采用可信构造技术，可信构造技术是一种能够在系统开发的过程中逐步形成系统可信属性的技术。对轨道交通控制系统而言，主要的可信属性包括功能正确性、安全性和可靠性。国际标准EN50128、EN50129等是目前轨道交通控制系统研发企业用于确保其系统开发过程可信性的准则。其本质是通过对轨道交通控制系统研发过程各个阶段实施严格的过程控制和质量管理来规范系统的开发过程，从而提升和保证开发系统的质量。这些标准通过推荐相关的方法，例如形式化建模和验证、系统的测试和仿真等来引导系统开发人员和评测人员实施可信保障的工程活动。

基于Event-B的形式化方法以严密的数学理论和相关推理为基础，通过保证各开发活动的一致性的精化关系达到构造可信系统的核心目标，是一种系统的开发方法。由于形式化方法本身是自证正确的，因此非常适合应用于苛求质量的TACS系统的各种研发活动，也被业界视为最具有潜力和应用前景的可信构建方法。目前，基于Event-B的形式化方法在轨道交通的领域也有较多案例，例如，轨道信号系统的两大主要供应商泰雷兹以及阿尔斯通公司均采用Event-B方法来设计、验证其部署在世界各地轨道系统中的安全关键软件。

同基于中央控制的CBTC系统相比，基于分布式列车自主运行的TACS系统的资源管理逻辑进行形式化建模和验证工作更具有挑战性。由于TACS系统是基于列车自主竞争轨道资源的系统，关于线路地图的限制约束要比基于CBTC系统更多，TACS系统与物理环境的交互行为更加复杂，在证明过程中更容易引起状态空间爆炸的问题。Event-B是采用精化策略管理系统的复杂性，通过对抽象机的逐步精化，可以在机器中不断丰富系统行为。同时，Event-B的证明义务可以保证不同精化层的机器间状态变量的一致性。因此，基于Event-B的精化方法，能够自顶向下的对大型复杂的TACS系统进行形式化建模，并能够逐步证明系统的安全性质。

然而，TACS系统庞大的规模和复杂逻辑，即使单一组件也可能存在过度复杂控制逻辑，简单的依赖Event-B的精化方案构建系统不同粒度的抽象模型已经不能满足大型复杂系统的建模和验证要求。在基于Event-B的开发过程中，建模和验证深度融合，将验证视作建模的必要组成部分。对系统安全属性的证明尽可能在前期的抽象模型中完成，以减少证明所涉及的细节，从而简化证明达到提高证明自动化程度的目的。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1-图2所示，本发明提供的自主列车运行控制系统建模及验证方法，包括以下步骤：

步骤101：对自主列车运行控制系统进行分析，得到自主列车运行控制系统分析图。

分析自主列车运行控制系统，了解该系统的工作模式和控制结构，分析系统中每个独立组件的功能和控制动作，绘制出自主列车运行控制系统分析图，即TACS系统分析图，如图3所示。该系统由以下单元组成：列车、区段资源和资源管理器。

在TACS系统中，列车移动的同时，其TCC与资源管理器RMn状态空间会随着其列车移动进行动态变化，列车的移动需要经过三个步骤：

1、资源请求；

2、资源分配；

3、资源释放。

在资源请求阶段，列车（如图3中位于区段S1处列车T1）向资源管理器请求运营任务中的区段资源。列车T1首先进行请求区段资源S1、S2、S3、S4和S5，轨旁资源管理器RM1、RM2和RM4根据列车T1的请求，建立其相应的排序队列。

在资源分配阶段，资源管理器将区段资源分配至对应列车（如图3中位于区段S1处列车T1）。当资源管理器RM2分配道岔可动区资源S2至列车T1时，列车T1位于道岔可动区资源S2排序队列的队首位置，并且道岔可动区资源S2的方向锁闭与列车T1的行驶方向一致，资源管理器RM2可将道岔可动区资源S2分配至列车T1，并将定位侧防区资源S3和反位侧防区资源S6的方向锁闭为岔心向岔后。当资源管理器RM4分配区段资源S4至列车T1时，此时区段资源S4被列车T2占用，列车T1对列车T2进行追踪运行，列车T1与列车T2建立通信，资源管理器RM4将列车T2尾部的部分区段资源分配至列车T1，如图3中位于区段S1处列车T1组件MA（(Movement Authority，移动授权，其表现形式是一段带有运行许可方向的轨道线路），需要注意的是，列车捕获区段资源不能跳跃捕获，需要连续的捕获区段资源。

在资源释放阶段，列车释放区段资源时（如图3中位于区段S1处列车T1），资源管理器RMn将列车T1从排序队列中移除，若释放的区段资源为线性区段时，则将列车T1的移动授权范围缩小，若释放的区段资源为道岔区段时，在移动授权范围缩小的同时资源管理器RMn将道岔定位侧防区和反位侧防区的方向锁闭进行释放。

当列车T1驶入的下一区段为追踪运行的区段资源S4时（如图3中位于区段S3和S4处列车T1），列车T1可进入区段资源S4，与列车T2在同一区段行驶，但列车T1的移动授权范围为T2的尾部（如图3中位于区段S3和S4处列车T1组件MA），不能超过T2的尾部，否则会发生追尾事故发生。

当两列列车的运营任务发生冲突时（如图3中T3和位于区段S1处列车T1），列车T3的MA扩展至区段资源S7，但资源管理器RM2不能将道岔反位侧防区S6分配至列车T3，也不能扳动道岔可动区S2，当列车T1驶离道岔可动区S2后，资源管理器RM2可为其它列车分配道岔可动区S2并扳动道岔可动区S2，但列车T1未驶离道岔定位侧防区S3时，资源管理器RM2不能将道岔反位侧防区S6分配至其它列车。当列车T1释放道岔定位侧防区S3后，资源管理器RM2将道岔反位侧防区S6的方向锁闭释放并将道岔反位侧防区S6分配至列车T3，同时资源管理器RM2将反位侧防区S6的方向锁闭为岔后向岔心方向，将定位侧防区S3的方向锁闭为岔心向岔后。

步骤102：基于所述自主列车运行控制系统分析图对所述自主列车运行控制系统进行非形式化描述。

可将TACS系统中的一些性质做非形式化描述，其中至少要保证以下一些性质：

（1）TACS系统的目标是安全控制列车在轨道网络中运行；

（2）轨道网络中包含若干区段资源；

（3）区段资源分为道岔区段和非道岔区段（线性区段）；

（4）道岔分为两种类型：发散道岔和合拢道岔；

（5）道岔区域划分为道岔可动区和道岔侧防区；

（6）道岔可动区可能处于两种不同的位置：定位和反位；

（7）道岔侧防区域只能有一侧侧防区被分配或占用；

（8）一个区段状态可以分为征用、分配、占用和释放四个状态；

（9）只有区段资源为征用状态，系统才能为列车分配区段资源；

（10）只有区段资源为分配状态，列车才能占用区段资源；

（11）区段资源能够组成相邻区段的有序序列；

（12）区段资源含有方向属性；

（13）列车请求区段资源，资源管理器将列车移入排序队列；

（14）当区段资源为征用状态，方向锁闭与列车运营方向一致或无方向锁闭，且列车处于区段资源的排队队列的首位时，资源管理器可为列车分配区段资源；

（15）资源管理器分配区段资源后，资源管理器对区段资源施加方向锁闭；

（16）当区段的排序队列为空时，系统将区段资源方向锁闭进行释放；

（17）资源管理器分配区段资源后，列车的移动授权扩展至当前区段；

（18）当列车需要分配的资源被其他列车占用，且两车运营方向一致的情况下，当前列车与前车进行通信，移动授权扩展至前车尾部；

（19）当区段资源方向锁闭与列车运营方向不一致的情况下，系统不会分配当前区段资源给列车；

（20）道岔可动区方向需要扳动至列车请求方向；

（21）列车的移动授权范围不能相交；

（22）在道岔区段，当前列车与前车运营方向一致时，前后列车可共享道岔资源；

（23）在道岔区段，当前列车与前车运营方向不一致时，前车驶离道岔可动区段，资源管理器可为后车分配道岔可动区段，并扳动道岔，但不能分配道岔侧防区段，待前车驶离另一侧道岔侧防区段，资源管理器才能将道岔侧防区段资源分配至后车；

（24）列车释放线性区段资源时，资源管理器将列车从线性区段资源的排队队列中移除；

（25）列车释放道岔侧防区资源时，资源管理器将列车从道岔侧防区资源的排队队列中移除，并将另一侧侧防区资源的方向锁闭释放。

步骤103：基于所述非形式化描述对所述自主列车运行控制系统进行建模。

根据步骤102中的非形式化的描述，将模型划分为9层，每层具有不同的需求规约，并且每层要验证的性质也不同，TACS系统形式化模型如下：

（1）模型M0_active_net：关注活动的轨道网络概念，定义Network ADT来抽象表示轨道网络；

（2）模型M1_train：建模轨道网络中的列车，使用Region ADT，列车被抽象的建模为轨道网络中的某一区域；

（3）模型M2_ma：引入列车MA和追踪运行的概念，列车MA同样使用Region ADT建模，因为列车MA与列车相似，列车进行追踪运行时，将列车MA抽象的建模到前方列车尾部位置；

（4）模型M3_req：引入列车请求区段资源概念，列车请求区段资源也使用RegionADT建模，因为列车请求区段资源与列车MA类似；

（5）模型M4_queue：引入队列的概念，将轨道网络中的每一个区段映射一个队列，在列车请求区段资源时，进入区段资源的排序队列中；

（6）模型M5_point：将轨道网络中的区段资源细分，轨道网络中的区段资源分为道岔区段和无岔区段，道岔区段分为道岔可动区和道岔侧防区；

（7）模型M6_direction：引入方向锁闭的概念，轨道网络中的区段资源含有方向属性，在列车扩展MA至此区段时，将区段资源的方向进行锁闭，在道岔区段时，将相关联的区段方向也进行锁闭；

（8）模型M7_collision_free：建立MAs和列车之间无碰撞的特性，这些属性使用Region ADT进行建模，对于防侧冲的特性，则要使用不变式来保持，当道岔侧防区的一侧被占用时，另一侧无列车MA扩展至此区段；

（9）模型M8_derailment_free：在列车MA和列车上建立无脱轨属性，这些属性使用连接Network ADT和Region ADT进行建模。

步骤104：采用Event-B形式化方法对所述自主列车运行控制系统的模型进行优化。

步骤104包括以下内容：

（1）在建立模型之前，需要抽象的建立轨道网络Network ADT以及区域RegionADT，保证在后续模型建立过程中降低模型的复杂度。

（2）模型M0_active_net主要关注于TACS系统中活动的轨道网络。

（3）模型M1_train~模型M3_req分别将列车、MA以及列车请求区段资源的集合使用区域Region ADT表示，实现ADT的重用。

（4）模型M4_queue~M6_direction中逐层引入TACS系统的排序队列、资源细分和方向锁闭的性质。

（5）模型M7_collision_free和模型M8_derailment_free考虑TACS系统的无碰撞、无侧冲以及无脱轨的安全属性。

步骤105：通过Rodin平台中的定理证明器对优化后的自主列车运行控制系统的模型进行证明。

根据以上的步骤得到TACS的Event-B建模元素，部分Event-B建模元素包括载体集合、变量和常量。

载体集合如下：

（1）载体集合SEC_TYPE为区段集合，包含的常量为：SEC、SUBSEC、LinearSec、Point、Div_Point、Cnv_Point、Point_Def_N、Point_Def_R、TRK；

（2）载体集合TRAIN为列车集合；

（3）载体集合NET_TYPE为轨道网络集合，包含的常量为：NET、enlarge、contract；

（4）载体集合REGION_TYPE为区域集合，包含的常量为：REGION、contained、disjoint、extend、reduce、REGION2SEC、inside；

（5）载体集合LockDirection为方向锁闭集合，包含的常量为：up、down、initial；

（6）载体集合N为自然数。

变量如下：

（1）active_net，含义为活动的轨道网络，变量类型为NET_TYPE；

（2）active_trains，含义为活动的列车，变量类型为TRAIN；

（3）train_reg，含义为列车占用区域，变量类型为REGION_TYPE；

（4）train_ma，含义为列车移动授权，变量类型为REGION_TYPE；

（5）train_req，含义为列车请求区段资源区域，变量类型为REGION_TYPE；

（6）sec_queue，含义为区段排序队列，变量类型为N；

（7）train_route，含义为列车运营任务中区段连续性，变量类型为SEC_TYPE；

（8）next，含义为物理轨道的连续性，变量类型为SEC_TYPE；

（9）train_direction，含义为列车的运营任务方向，变量类型为LockDirection；

（10）sec_direction，含义为区段的方向锁闭，变量类型为LockDirection。

常量如下：

（1）SEC，含义为轨道区段；

（2）SUBSEC，含义为轨道子区段；

（3）NET，含义为轨道网络；

（4）enlarge，含义为扩大轨道网络；

（5）contract，含义为缩小轨道网络；

（6）REGION，含义为轨道区域范围；

（7）contained，含义为区域的包含关系；

（8）disjoint，含义为区域不相交关系；

（9）extend，含义为扩展区域范围；

（10）reduce，含义为缩小区域范围；

（11）REGION2SEC，含义为区域对应得区段集合；

（11）inside，含义为区域在轨道网络之中；

（12）LinearSec，含义为线性区段；

（13）Point，含义为道岔区段；

（14）Div_Point，含义为发散道岔；

（15）Cnv_Point，含义为合拢道岔；

（16）Point_Def_N，含义为道岔定位侧防区；

（17）Point_Def_R，含义为道岔反位侧防区；

（18）TRK，含义为逻辑区段的连续性；

（19）up，含义为上行方向；

（20）down，含义为下行方向；

（21）initial，含义为无方向状态。

不变式：

Inv1.1： ∀tr1, tr2 · tr1 ∈ active_trains ∧ tr2 ∈ active_trains ∧tr1 ≠ tr2 ⇒ (train_ma(tr1) ↦ train_ma(tr2))∈disjoint；

Inv1.2： ∀tr1, tr2 · tr1 ∈ active_trains ∧ tr2 ∈ active_trains ∧tr1 ≠ tr2 ⇒ (train_reg(tr1) ↦ train_reg(tr2))∈disjoint；

Inv1.1表示两列列车的MA范围不相交；Inv1.2表示两列列车的占用区域不相交。这两个不变式对应TACS系统中的安全性质，即列车无碰撞。在模型中完成这两个不变式的证明即完成无碰撞安全性质证明过程。

在步骤105中使用Rodin平台的定理证明器完成步骤104产生的所有证明义务，证明义务汇总如下：

（1）模型M0_active_net：证明义务总数为6，其中自动证明个数为6，手动证明个数为0；

（2）模型M1_train：证明义务总数为9，其中自动证明个数为9，手动证明个数为0；

（3）模型M2_ma：证明义务总数为37，其中自动证明个数37，手动证明个数为0；

（4）模型M3_req：证明义务总数为26，其中自动证明个数26，手动证明个数为0；

（5）模型M4_queue：证明义务总数为25，其中自动证明个数23，手动证明个数为2；

（6）模型M5_point：证明义务总数为56，其中自动证明个数23，手动证明个数为33；

（7）模型M6_direction：证明义务总数为43，其中自动证明个数40，手动证明个数为3；

（8）模型M7_collision：证明义务总数为175，其中自动证明个数149，手动证明个数为26；

（9）模型M8_derailment_free：证明义务总数为43，其中自动证明个数36，手动证明个数为7。

模型M0_active_net~模型M3_req的自动证明成功率达到了100%，主要原因是在上述四层模型中使用了Network_ADT以及Region ADT，保证在模型中对轨道网络以及区域进行抽象，降低了模型的复杂度，并且对于TACS系统中的一些相似属性，能够实现ADT的重用，简化了建模过程。而在模型M4_queue~M8_derailment_free中，某些属性无法用ADT来表示，所以自动化证明无法达到100%，特别是模型M5_poin，因TACS系统对于道岔区段资源细分程度高，逻辑较为复杂，无法使用ADT，自动证明只达到了41.1%。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (5)

1.一种自主列车运行控制系统建模及验证方法，其特征在于，包括：

对自主列车运行控制系统进行分析，得到自主列车运行控制系统分析图；

基于所述自主列车运行控制系统分析图对所述自主列车运行控制系统进行非形式化描述；

基于所述非形式化描述对所述自主列车运行控制系统进行建模；

采用Event-B形式化方法对所述自主列车运行控制系统的模型进行优化；

通过Rodin平台中的定理证明器对优化后的自主列车运行控制系统的模型进行证明。

2.根据权利要求1所述的自主列车运行控制系统建模及验证方法，其特征在于，所述自主列车运行控制系统包括列车、区段资源和资源管理器；在所述自主列车运行控制系统中，所述列车的移动包括：资源请求、资源分配以及资源释放；

在所述资源请求阶段，所述列车向所述资源管理器请求运营任务中的所述区段资源；

在所述资源分配阶段，所述资源管理器将所述区段资源分配至对应的所述列车；

在所述资源释放阶段，所述资源管理器将所述列车从排序队列中移除，若释放的区段资源为线性区段时，则将列车的移动授权范围缩小，若释放的区段资源为道岔区段时，则将列车的移动授权范围缩小且所述资源管理器将所述道岔区段的定位侧防区和反位侧防区的方向锁闭进行释放。

3.根据权利要求1所述的自主列车运行控制系统建模及验证方法，其特征在于，所述自主列车运行控制系统的模型包括9层，每层模型具有不同的需求规约，且每层模型待验证的性质也不同。

4.根据权利要求3所述的自主列车运行控制系统建模及验证方法，其特征在于，所述自主列车运行控制系统的9层模型分别为模型M0_active_net、模型M1_train、模型M2_ma、模型M3_req、模型M4_queue、模型M5_point、模型M6_direction、模型M7_collision_free以及模型M8_derailment_free。

5.根据权利要求4所述的自主列车运行控制系统建模及验证方法，其特征在于，所述采用Event-B形式化方法对所述自主列车运行控制系统的模型进行优化，具体包括：

建立轨道网络以及区域Region ADT；

所述模型M0_active_net关注于所述自主列车运行控制系统中活动的所述轨道网络；

所述模型M1_train、所述模型M2_ma以及所述模型M3_req分别将列车、MA以及列车请求区段资源的集合使用所述区域Region ADT表示；

所述模型M4_queue、模型M5_point和M6_direction中逐层引入所述自主列车运行控制系统的排序队列、资源细分和方向锁闭的性质；

所述模型M7_collision_free和模型M8_derailment_free考虑所述自主列车运行控制系统的无碰撞、无侧冲以及无脱轨的安全属性。

Images