CN115808907A

CN115808907A - 一种基于通信的列车控制系统的验证方法及验证系统

Info

Publication number: CN115808907A
Application number: CN202211441041.5A
Authority: CN
Inventors: 陈祖希; 牛传军; 梅萌; 骆翔宇; 郑黎晓; 周长利; 徐中伟
Original assignee: Shubairui Xiamen Information Technology Co ltd; Huaqiao University
Current assignee: Shubairui Xiamen Information Technology Co ltd; Huaqiao University
Priority date: 2022-11-17
Filing date: 2022-11-17
Publication date: 2023-03-17

Abstract

本发明公开一种基于通信的列车控制系统的验证方法及验证系统，所述验证方法包括：根据基于通信的列车控制系统需求，获取基于通信的列车控制系统的控制结构；然后通过采用STPA方法和Event‑B方法对该控制结构进行建模，得到验证模型，对开发生成的基于通信的列车控制系统的控制行为进行验证，以保证CBTC系统开发的正确性，避免危害事件的发生。

Description

一种基于通信的列车控制系统的验证方法及验证系统

技术领域

本发明涉及列车安全控制技术领域，特别是涉及一种基于通信的列车控制系统的验证方法及验证系统。

背景技术

基于通信的列车控制(Communication Based Train Control，简称CBTC)技术打破了传统的基于轨道电路的铁路信号的固有限制，通过软件计算、网络通信和自动化控制三大技术的协同，提供更加灵活和精确的列车控制、连续的安全列车间隔保证和超速防护，并且有车载和地面处理器等能够执行安全功能的设备，实现移动闭塞技术。由于CBTC系统涉及的组件方面的高频实时协作，该系统设计与实现异常复杂，因设计缺陷而导致严重的灾难、事故和损失屡见不鲜。所以如何保证CBTC系统开发的正确性，避免危害事件的发生，成为一个亟待解决的技术问题。

发明内容

本发明的目的是提供一种基于通信的列车控制系统的验证方法及验证系统，以保证CBTC系统开发的正确性，避免危害事件的发生。

为实现上述目的，本发明提供了如下方案：

一种基于通信的列车控制系统的验证方法，所述验证方法包括如下步骤：

根据基于通信的列车控制系统需求，获取基于通信的列车控制系统的控制结构；

采用STPA方法对所述控制结构进行分层处理，获得三个层次嵌套的安全控制结构；三个层次嵌套的安全控制结构从内到外依次为第一层安全控制结构、第二层安全控制结构和第三层安全控制结构；

采用STPA方法对每一层安全控制结构进行不安全控制行为的识别，生成每一层安全控制结构的安全约束；

根据三个层次嵌套的安全控制结构和每一层安全控制结构的安全约束，采用Event-B方法对所述控制结构进行建模，获得基于通信的列车控制系统的验证模型；

基于所述验证模型对开发生成的基于通信的列车控制系统的控制行为进行验证。

可选的，所述控制结构包括列车自动监控系统、区域控制器、联锁系统和车载控制器；

所述列车自动监控系统与所述区域控制器连接；所述列车自动监控系统根据第一控制区域的所有列车的状态信息对控制区域的所有列车进行监控；所述第一控制区域为列车自动监控系统的控制区域；

所述区域控制器与所述联锁系统连接；所述区域控制器用于在道岔区域内，向所述联锁系统发送请求列车排列进路命令，所述联锁系统用于根据所述请求列车排列进路命令进行信号机的状态和道岔的位置状态的控制，并将信号机的状态信息和道岔的状态信息反馈给所述区域控制器；

所述区域控制器还与所述车载控制器连接，用于向所述车载控制器发送列车控制命令，所述列车控制命令包括移动授权命令和临时限速命令；

所述车载控制器用于根据所述列车控制命令对列车进行控制，并将列车的状态信息反馈给所述区域控制器。

可选的，所述第一层安全控制结构包括车载控制器与列成形成的控制回路；

所述第二层安全控制结构包括区域控制器与车载控制器形成的控制回路；

第三层安全控制结构包括联锁系统与区域控制器形成的控制回路、联锁系统与岔道形成的控制回路及联锁系统与信号机形成的控制回路。

可选的，所述第一层安全控制结构的安全约束包括：

列车位置不能超过移动授权命令限定的范围；

列车车速不能超过最高车速；

任意两列列车占用区域不能重叠。

可选的，所述第二层安全控制结构的安全约束包括：

区域控制器发送的移动授权命令不应与发送给第二控制区域内的其他列车的移动授权命令不应发生冲突；所述第二控制区域为区域控制器的控制区域；

区域控制器发送的移动授权命令限定的范围不应被第二控制区域内的其他列车占用。

可选的，所述第三层安全控制结构的安全约束包括：

移动授权命令限定的范围的CI进路必须为已经授权的进路，所述CI进路为列车自动监控系统发送给区域控制器的运营任务中的进路信息；

必须保证移动授权命令限定的范围内道岔位置为列车运行路线要求的道岔位置；

当信号机下游的道岔安全且锁定，应控制信号机为绿灯；

当锁定的道岔被列车占用后，应控制信号机为红色；

当信号机下游没有安全且锁定的道岔，应控制信号机为红色。

可选的，所述根据三个层次嵌套的安全控制结构和每一层安全控制结构的安全约束，采用Event-B方法对所述控制结构进行建模，获得基于通信的列车控制系统的验证模型，具体包括：

定义每一层安全控制结构内的各设备的变化信息为变量，定义每一层安全控制结构内的各设备的不变化信息为常量；所述设备为列车自动监控系统、区域控制器、联锁系统、车载控制器、列车、岔道或信号机；所述变化信息包括命令信息和状态信息，所述不变化信息包括列车运营任务；

用不变式表示不同变量之间的关系、不同常量之间的关系及变量和常量之间的关系；

将每一层安全控制结构的安全约束采用不变式进行表示；

采用Event-B方法描述每一层安全控制结构内的事件；所述事件包括命令执行的条件和命令执行的结果。

对应的基于验证模型对控制行为进行验证的方式包括：确定控制行为中的变量是否满足约束条件，执行控制行为，即事件发生，获得的命令执行的结果是否满足约束条件。

一种基于通信的列车控制系统的验证系统，所述验证系统应用于上述的验证方法，包括：

控制结构获取模块，用于根据基于通信的列车控制系统需求，获取基于通信的列车控制系统的控制结构；

分层处理模块，用于采用STPA方法对所述控制结构进行分层处理，获得三个层次嵌套的安全控制结构；三个层次嵌套的安全控制结构从内到外依次为第一层安全控制结构、第二层安全控制结构和第三层安全控制结构；

安全约束生成模块，用于采用STPA方法对每一层安全控制结构进行不安全控制行为的识别，生成每一层安全控制结构的安全约束；

建模模块，用于根据三个层次嵌套的安全控制结构和每一层安全控制结构的安全约束，采用Event-B方法对所述控制结构进行建模，获得基于通信的列车控制系统的验证模型；

验证模型，用于基于所述验证模型对开发生成的基于通信的列车控制系统的控制行为进行验证。

一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的验证方法。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现上述的验证方法。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明公开一种基于通信的列车控制系统的验证方法及验证系统，所述验证方法包括：根据基于通信的列车控制系统需求，获取基于通信的列车控制系统的控制结构；采用STPA方法对所述控制结构进行分层处理，获得三个层次嵌套的安全控制结构；采用STPA方法对每一层安全控制结构进行不安全控制行为的识别，生成每一层安全控制结构的安全约束；根据三个层次嵌套的安全控制结构和每一层安全控制结构的安全约束，采用Event-B方法对所述控制结构进行建模，获得基于通信的列车控制系统的验证模型；基于所述验证模型对开发生成的基于通信的列车控制系统的控制行为进行验证。本发明通过采用STPA方法和Event-B方法建立的验证模型对开发生成的基于通信的列车控制系统的控制行为进行验证，以保证CBTC系统开发的正确性，避免危害事件的发生。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于通信的列车控制系统的验证方法的流程图；

图2为本发明实施例提供的CBTC系统的控制结构；

图3为本发明实施例提供的列车追踪运行场景的示意图；

图4为本发明实施例提供的CBTC系统的三个层次嵌套的安全控制结构图；

图5为本发明实施例提供的模型层次化结构图；

图6为本发明实施例提供的车载控制器与列成形成的控制回路示意图；

图7为本发明实施例提供的区域控制器与车载控制器形成的控制回路示意图；

图8为本发明实施例提供的联锁系统与区域控制器形成的控制回路示意图；

图9为本发明实施例提供的联锁系统与岔道形成的控制回路示意图；

图10为本发明实施例提供的联锁系统与信号机形成的控制回路示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，本发明实施例提供的一种基于通信的列车控制系统的验证方法包括以下步骤：

步骤1：CBTC系统的需求提取。

CBTC系统包括地面设备和车载设备两大类，分布在轨旁、列车以及控制中心的数据通信设备，用来实现地面设备与地面设备、地面设备与车载设备和车载设备内部的数据通信。主要包括列车自动监控系统(Automatic Train Supervision，ATS)、区域控制器(Zone Controller，ZC)、联锁系统(Computer Based Interlocking，CI)、车载控制器(Vehicle On-Board Controller，VOBC)共同构成。CBTC系统的控制结构如图2所示，图2中的计算机联锁CI即为联锁系统CI。

CBTC系统不同组件之间的关系如图2所示，下面对这些组件进行简要描述：

列车自动监控系统ATS：ATS主要负责集中监控和管理第一控制区域内的所有列车，是CBTC系统的指挥中枢，通过对列车的位置、运行速度及其它设备状态的监控，实现列车识别追踪、自动排列进路、自动列车调整和运行图的管理等，辅助中心调度员进行全线列车的管理。

区域控制器ZC：ZC安装在轨旁，是CBTC系统的地面核心设备，是CBTC系统实现移动闭塞的关键之处。ZC根据负责区域(第二控制区域)内列车位置信息、进路状态信息和其它相关信息，向负责区域内的列车发送移动授权(Movement Authority，MA)命令，以及发送临时限速命令(Temporary Speed Restriction，TSR)。ZC提供与联锁系统CI的接口，实现在CBTC系统级别下对轨旁设备的控制和状态的监督。

联锁系统CI：CBTC模式下基于移动闭塞的原则，区域控制器ZC能够执行大部分的联锁功能。在道岔区域外，通过区域控制器ZC排列列车的进路信息，在道岔区域内，由区域控制器ZC向联锁系统CI下发请求列车排列列车进路，CI执行从ZC接受到的命令，例如设置信号机显示为允许或禁止、移动道岔至定位或反位。同时，CI提供信号机的状态、道岔的状态以及计轴区段给ZC。

车载控制器VOBC：当列车经过地面应答器时，VOBC接受地面应答器发送的信息，并根据测速传感器计算出列车当前的位置信息，OBC会周期性地向ZC发送列车的位置信息。当ZC向VOBC发送MA后，VOBC会负责控制列车在当前MA命令限制的范围内运行。同时，VOBC会监控最不利情况下的停车距离，以保证列车即使在最坏情况下也能在接收到的MA命令限制的范围内停车。

步骤2：根据步骤1中的CBTC系统的控制结构图，通过STPA方法对CBTC系统的控制结构进行分层处理。

考虑如图3所示的CBTC系统追踪运行的场景。在图3中，轨道网络被划分为若干区段，而本发明实施例中CBTC系统所考虑的联锁区域主要为道岔区域(如图3中S3和S6所示)，其中包含两台信号机(如图3中L1和L2所示)。在这个场景中，CBTC系统应正确的控制列车T1，使列车T1与列车T2永远不会发生碰撞(列车T1和列车T2的MA命令限定的范围分别如图3所示，其中列车T1的MA命令限定的范围内包含一条CI进路)，在本发明实施例中CI进路只包含道岔区段。

此场景内涉及的控制部件有ZC、CI、VOBC以及轨道的电路。基于STPA方法对步骤101提出的安全控制结构的分层框架进行分层处理，将这些部件组合成一个具有三个层次嵌套的安全控制结构，其结构图如图4所示，图4中的计算机联锁CI即为联锁系统CI，根据STPA方法，所识别出不安全控制行为的安全约束也被分配到所属的层次。

在第一层安全控制结构中，车载控制器VOBC与列车形成控制回路，车载控制器VOBC为控制器，列车为被控对象。车载控制器VOBC根据收集到的信息向列车发出加速或减速的命令，列车则通过传感器将速度以及位置反馈给车载控制器VOBC。

第二层安全控制结构中，区域控制器ZC与车载控制器VOBC形成控制环路，区域控制器ZC为控制器，车载控制器VOBC为被控对象。区域控制器ZC会周期性地为其管辖区域内的列车生成MA命令并分配至VOBC，同时，车载控制器VOBC也会周期性地将列车位置信息反馈给ZC，以便ZC能够更新列车的MA命令。

在第三层安全控制结构中，含有三个控制回路，分别是联锁系统CI与区域控制器ZC、联锁系统CI与道岔和联锁系统CI与信号机组成。在上述三个控制回路中，联锁系统CI为控制器，当区域控制器ZC将列车信息以及涉及的CI进路信息发送给CI后，CI对当前涉及的CI进路进行授权，CI进路主要包含道岔区段和信号灯，待授权完成后将CI进路发送至ZC。此时，CI进路不再被视作一个障碍物。

步骤3：根据步骤2中的CBTC系统的三个层次嵌套的安全控制结构，对每一层控制结构使用STPA方法进行不安全控制行为的识别，并生成相应的安全约束。通过Event-B方法对每一层控制结构进行建模，并将安全约束使用不变式表示，在模型中验证不变式的正确性，从而保证系统的危害控制行为不会发生。其主要部分包括如下：

通过Event-B方法的精化策略由底层控制结构到高层控制结构进行逐层建模，将使用STPA方法分析得到的安全约束使用Event-B方法中的不变式表示，并通过事件的变化验证不变式的正确性，从而保证系统不会发生危险事件，本发明实施例为了减少建模的复杂性，将列车追踪运行时，区域控制器ZC为后车计算的MA命令为到前车车尾占用区段的上一区段末端为止，主要的模型层次化结构图如图5所示。

根据图5所示，CBTC系统的模型是通过Event-B精化策略逐步精化得到最后的模型，将系统的三层安全控制结构中得到的安全约束在模型精化的过程中在对应的层次得到验证，其中模型M0_SL验证第一层安全控制结构，模型M1_MA验证第二层安全控制结构，M2_POINT、M3_POS和M4_SIGNAL验证第三层安全控制结构。对于每层模型的概述如下：

模型M0_SL：在初始模型M0_SL中，主要对第一层安全控制结构进行建模，即车载控制器VOBC与列车形成的控制回路，并在建模过程中对安全约束SR1-SR3进行验证。

模型M1_MA：建模第二层安全控制结构，模拟区域控制器ZC与车载VOBC之间的控制行为，对安全约束SR4-SR5进行验证。

模型M2_POINT、M3_POS和M4_SIGNAL：对包含联锁系统CI与区域控制器ZC、联锁系统CI与道岔和联锁系统CI与信号机三个控制环路的第三层安全控制结构进行建模验证，并验证安全约束SR6-SR10。其中，安全约束SR1-SR10在后文中有介绍，在此不再赘述。

通过上述对CBTC系统的模型层次的概述，将安全分层框架(即三个层次嵌套的安全控制结构)与模型精化层次的关系进行大致描述。下面将对模型M0_SL、M1_MA、M2_POINT、M3_POS和M4_SIGNAL层模型的建模过程与安全分层框架中产生的安全约束验证过程进行详细描述。

模型M0_SL在初始模型中主要对第一层安全控制结构进行建模，第一层安全控制结构中只考虑车载控制器VOBC与列车之间的控制环路，对于其它控制器行为进行抽象处理，，车载控制器VOBC与列车的控制环路如图6所示。

对于第一层安全控制结构。车载控制器VOBC会通过执行器向列车发送制动的命令，列车也会通过传感器向车载VOBC反馈其速度和位置信息。在此层安全控制结构中，基于STPA方法对控制行为并得到三个安全约束：

SR1：列车位置永远不能超过MA范围；

SR2：列车不能超过最高限速；

SR3：两列列车占用区域不能重叠。

将列车的反馈信息列车位置、速度抽象为变量occp、trainOccpSECFront、trainOccpSECRear和train_Speed，分别表示列车占用的区段集合、列车头部所占用的区段资源、列车尾部占用的区段资源和列车速度。对于上述变量使用以下不变式定义：

inv3：trainOccpSECRear∈dom(trainOccpSECFront)→SEC

变量trainOccpSECFront和trainOccpSECRear与变量occp之间的关系使用不变式inv5和inv6表示。不变式inv5表示列车头部占用区段属于列车整体占用区段资源集合，不变式inv6表示列车尾部占用区段也属于列车整体占用区段资源集合。

对于车载控制器VOBC的控制行为制动，引入变量braking进行表示，定义为占用轨道网络中列车的子集。而对于区域控制器ZC向列车下发的MA范围在此层模型中抽象为变量train_ma，表示每一列列车的MA范围，定义为区段资源的子集。变量的定义如inv7和inv8所示：

第一层安全控制结构分析得到的安全约束使用不变式表示，在建模过程中不得违背不变式，否则会引起安全事故。不变式inv9表示安全约束列车位置永远不能超过MA命令限定的范围(安全约束SR1)，不变式inv10表示安全约束列车不能超过最高限速(安全约束SR2)，不变式inv11表示安全约束两列列车占用区域不能重叠安全约束(SR3)。

以控制行为变量braking变化的事件Train_Brake进行举例说明：

Train_Brake

ANY tt

WHERE

grd1：tt∈Trains

grd2：tt∈dom(occp)\braking

grd3：train_Speed(tt)>sl

THEN

END

在以上事件中grd1约束列车属于轨道网络中的列车集合，grd2表明此时列车不属于刹车列车的集合，grd3表明列车速度此时大于限制速度。则行为act1表明此时车载VOBC向列车发送制动命令，将当前列车加入到刹车集合中。

模型M1_MA在此层模型中建模第二层安全控制结构，即区域控制器ZC与车载控制器VOBC之间的控制结构，区域控制器ZC会周期性地将计算的MA范围发送至车载控制器VOBC，以此来不断更新列车的MA范围，车载控制器VOBC也会将列车的位置信息周期性的反馈至区域控制器ZC，区域控制器ZC与车载控制器VOBC的控制环路如图7所示：

对于图7中安全控制结构中的控制行为MA发送通过STPA方法得到两个安全约束SR4和SR5，在此层模型中主要验证安全约束SR4和SR5：

SR4：ZC发送至VOBC的MA不应与其它列车移动授权发生冲突；

SR5：ZC发送的MA范围内区段资源不应被其它列车占用。

在此层模型中，将列车运营任务抽象为集合OBJ，常量objr将集合OBJ与区段资源集合SEC关联，表示每一个运营任务中所包含的区段资源。引入常量objrNext表示运营任务中区段资源的连续性关系，而常量fst和lst则分别表示运营任务中的第一个区段和最后一个区段。其具体的定义如下所示：

axm3：fst∈OBJ→SEC

axm4：lst∈OBJ→SEC

引入变量objt表示列车自动监控系统ATS为每列列车下发的运营任务，对于不同的两列列车其运营任务存在相同的情况，所以使用将列车集合Trai ns与运营任务集合OBJ之间的关系表示为全函数关系。区域控制器ZC向车载控制器VOBC发送MA的控制行为使用变量train_MA表示。以上变量定义如inv12～inv13所示：

inv12：objt∈Trains→OBJ

第二层安全控制结构中的安全约束SR4和SR5分别使用不变式inv14和inv15表示，不变式inv14表示任意两列列车的MA范围相交为空(安全约束SR4)，不变式inv15表示任意一列列车MA范围内的区段资源未被其它列车占用安全约束(SR5)。

对于控制行为变量train_MA的变化，本层引入新的事件Trains_Extend_Ma_Fst表示区域控制器ZC将ATS下发运营任务中的第一个区段资源分配至列车MA范围和事件Trains_Extend_Ma_Others表示区域控制器ZC将AT S下发运营任务中的其它区段资源分配至列车MA范围。对于上述事件，在这里以事件Trains_Extend_Ma_Others举例说明。

Trains_Extend_Ma_Others

ANY tt s s1

WHERE

grd1：tt∈Trains

grd3：s∈train_MA(tt)

grd5：s1∈objr(objt(tt))

THEN

END

在上述事件中，卫条件grd4表明当前区段资源不属于当前列车的MA范围，grd6和grd7保证当前区段资源不是其它列车移动授权范围内的区段资源，grd8确保当前区段资源未被其它列车占用，则动作act1将变量值trai n_MA的范围进行扩展。但在扩展区段资源后变量train_MA依然能够满足安全不变式inv14和inv15，否则会发生危险事件。

模型M2_POINT：此层模型为第三层安全控制结构的初始模型，主要对联锁系统CI与区域控制器ZC之间的控制行为进行建模验证。当区域控制器ZC获得ATS下发的运营任务后判断运营任务是否包含CI进路，若包含CI进路，则向联锁系统CI请求进路，联锁系统CI会根据道岔以及信号机的状态判断是否能发送授权进路的行为给当前ZC。联锁系统CI与区域控制器ZC之间的控制回路如图8所示，图8中的计算机联锁CI即为联锁系统CI。

图8中的控制行为进路授权通过STPA方法识别不安全的控制行为得到安全约束SR6，在此层模型中需要验证SR6的正确性。

SR6：列车MA范围内的CI进路必须是已授权的进路。

在本发明实施例中引入将联锁部分，区段资源细分为线性区段和道岔区段。对于CBTC系统，联锁系统CI管辖的范围主要为道岔区段，所以在本发明实施例中对于道岔部分的MA命令确定以联锁系统CI的方式进行建模。引入常量Point表示道岔区段集合，其定义如下所示：

联锁系统CI向区域控制器ZC发送进路授权的控制行为使用变量Point_Res表示，定义为轨道网络中被锁定的道岔集合，变量Point_Res_Train表示系统为列车锁定的道岔，将锁定的道岔集合和列车表示为全函数的关系，变量的定义分别如不变式inv16和不变式inv17所示。不变式inv18表明为列车锁定的道岔是其运营任务中的区段资源，将变量Point_Res_Train与变量objt进行关联，加强约束。。

inv17：Point_Res_Train∈Point_Res→Trains

本层要验证的安全约束SR6将其形式化为不变式inv19，表示任意一列列车其MA范围内的道岔区段资源都为已锁定的道岔资源。

对于控制行为变量Point_Res的变化，本层模型引入新事件Point_Reser ve表示对未授权的道岔进行授权，在本层模型中，因道岔的细节还未完全引入，所以卫条件grd3判断当道岔没有被授权且没有被任何列车占用，grd5判断当前道岔不属于其它列车MA范围，grd6和grd7约束道岔与当前列车MA范围内的区段资源是连续性的关系，则行为act1和act2表示对当前道岔进行授权，在变量Point_Res通过行为act1的变化后依然能够保证不变式in v19的正确性，否则会违背安全约束，发生危险事件。其具体的代码如下所示：

Point_Reserve

ANY tt s

WHERE

grd1：tt∈Trains

grd2：s∈objr(objt(tt))

grd4：s∈Point\Point_Res

grd6：s1∈train_MA(tt)

THEN

END

模型M3_POS：在此层模型中进行第三层安全控制结构中联锁系统CI与道岔的控制环路的建模。联锁系统CI根据当前区域控制器ZC请求的进路信息向道岔发送道岔控制命令，道岔会将其状态信息反馈至联锁系统CI。联锁系统CI与道岔的控制环路如图9所示，图9中的计算机联锁CI即为联锁系统CI。

基于STPA方法，对此层控制环路中的控制行为道岔控制命令进行不安全控制行为的识别得到安全约束SR7。

SR7：联锁系统CI必须保证列车MA范围内道岔位置为列车运行路线要求的道岔位置。

在本发明实施例中将联锁系统CI中道岔的方向引入，保证联锁系统CI为列车锁闭道岔时的方向为列车运营任务中所要求的道岔方向。引入集合POS表示道岔存在的所有方向，常量Default_Point_Pos表示初始情况下轨道网络中道岔默认的方向，常量OBJ_Point_Pos表示每一个列车运营任务中所要求道岔的具体方向。具体的定义如axm6～axm8所示。axm9将常量BJ_Point_Pos与常量objr相关联，表示相同运营任务中的道岔资源属于其运营任务中的区段资源。

axm6：finite(POS)

axm7：Default_Point_Pos∈Point→POS

axm8：OBJ_Point_Pos∈OBJ→(Point→POS)

联锁系统CI与道岔控制环路中的控制行为使用变量Point_Pos表示，定义为轨道网络中道岔的方向，此变量可以通过事件的行为进行变动方向来模拟道岔的扳动，其定义如inv20所示。同时，将安全约束联锁系统CI必须保证列车MA范围内道岔位置为列车运行路线要求的道岔位置(SR7)形式化为不变式inv21。

对于控制行为变量Point_Pos的变化，本层模型引入新事件Point_Set，表示为联锁系统CI根据列车运营任务将道岔方向搬动至相对应的方向。在事件中，卫条件grd5约束当前道岔区段资源没有被其它列车占用，grd6约束当前道岔不属于其它列车的MA指令限定的范围，grd7和grd8表明当前道岔与当前列车MA范围成连续性的关系，grd9表示此时道岔方向与列车运营任务要求的道岔方向不一致，行为act1则将道岔方向扳动至与列车运营任务要求的道岔方向，行为改变Point_Pos的值后依然需要维持安全不变式in v21，否则会发生危险事件。

Point_Set

ANY tt s

WHERE

grd1：s∈Point\Point_Res

grd2：tt∈Trains

grd3：s∈objr(objt(tt))

grd6：s∈dom(Point_Pos)

grd7：s1∈train_MA(tt)

grd9：Point_Pos(s)≠OBJ_Point_Pos(objt(tt))(s)

THEN

END

模型M4_SIGNAL：最后一层模型中主要建模第三层安全控制结构中的联锁系统CI与信号机之间的控制环路。在联锁系统CI获得道岔状态后，根据此时道岔的状态向信号机发送信号控制命令，信号机会将信号状态反馈至联锁系统CI。联锁系统CI与信号机的控制环路如图10所示，图10中的计算机联锁CI即为联锁系统CI。

对于图10中的信号控制命令的控制行为进行安全约束得到SR8、SR9和SR10三个安全约束，在本层模型中需要验证SR8、SR9和SR10的正确性。

SR8：联锁系统CI应控制信号机为绿灯仅当信号机下游的道岔安全且锁定；

SR9：当锁定的道岔被列车占用后，其信号灯应显示为红色；

SR10：如果信号机下游没有安全且锁定的道岔，CI应控制信号机为红灯。

引入联锁系统CI中的信号灯部分，在本发明实施例中引入信号灯集合Signal，并将集合划分为表示绿色和红色的两部分，具体定义如下：

axm10：partition(Signal，{Green}，{Red})

将控制行为信号控制命令使用变量Point_Signal表示，初始状态轨道网络中所有的信号灯都为红色，其定义如不变式inv22所示。不变式inv23表示安全约束联锁系统CI应控制信号机为绿灯仅当信号机下游的道岔安全且锁定(SR8)。不变式inv24表示安全约束当锁定的道岔被列车占用后，其信号灯应显示为红色(SR9)。不变式25表示安全约束如果信号机下游没有安全且锁定的道岔，CI应控制信号机为红灯(SR10)。

inv22：Point_Signal∈Point→Signal

对于控制行为变量Point_Signal的变化，本层模型引入新的事件Signal_Set，卫条件grd1表示当道岔被联锁系统CI为某一个列车锁定后，grd2表明此时信号灯还显示为红色，grd3表明道岔未被其它列车占用，则行为act1将其信号灯由红色转为绿色。

Signal_Set

ANY tt s

WHERE

grd1：s∈Point_Res

grd2：Point_Signal(s)＝Red

THEN

END

实施例2

本发明实施例2提供一种基于通信的列车控制系统的验证系统，所述验证系统应用于上述的验证方法，包括：

本发明实施例提供的各模块的具体实现步骤与上述实施例1所述的验证方法各步骤的实现方法，及其工作原理和有益效果类似，故此处不再详述，具体内容可参见上述方法实施例的介绍。

实施例3

本发明实施例3提供一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的验证方法。

此外，上述的存储器中的计算机程序通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

实施例4

本发明实施例4提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现上述的验证方法。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种基于通信的列车控制系统的验证方法，其特征在于，所述验证方法包括如下步骤：

2.根据权利要求1所述的基于通信的列车控制系统的验证方法，其特征在于，所述控制结构包括列车自动监控系统、区域控制器、联锁系统和车载控制器；

3.根据权利要求1所述的基于通信的列车控制系统的验证方法，其特征在于，所述第一层安全控制结构包括车载控制器与列成形成的控制回路；

4.根据权利要求3所述的基于通信的列车控制系统的验证方法，其特征在于，所述第一层安全控制结构的安全约束包括：

列车位置不能超过移动授权命令限定的范围；

列车车速不能超过最高车速；

任意两列列车占用区域不能重叠。

5.根据权利要求3所述的基于通信的列车控制系统的验证方法，其特征在于，所述第二层安全控制结构的安全约束包括：

6.根据权利要求3所述的基于通信的列车控制系统的验证方法，其特征在于，所述第三层安全控制结构的安全约束包括：

当信号机下游的道岔安全且锁定，应控制信号机为绿灯；

当锁定的道岔被列车占用后，应控制信号机为红色；

7.根据权利要求1所述的基于通信的列车控制系统的验证方法，其特征在于，所述根据三个层次嵌套的安全控制结构和每一层安全控制结构的安全约束，采用Event-B方法对所述控制结构进行建模，获得基于通信的列车控制系统的验证模型，具体包括：

将每一层安全控制结构的安全约束采用不变式进行表示；

8.一种基于通信的列车控制系统的验证系统，其特征在于，所述验证系统应用于权利要求1-7任一项所述的验证方法，包括：

9.一种电子设备，其特征在于，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的验证方法。

10.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被执行时实现如权利要求1至7中任一项所述的验证方法。