JP3246337B2 - Verification device of interlocking device and verification method of interlocking device - Google Patents
Verification device of interlocking device and verification method of interlocking deviceInfo
- Publication number
- JP3246337B2 JP3246337B2 JP17647496A JP17647496A JP3246337B2 JP 3246337 B2 JP3246337 B2 JP 3246337B2 JP 17647496 A JP17647496 A JP 17647496A JP 17647496 A JP17647496 A JP 17647496A JP 3246337 B2 JP3246337 B2 JP 3246337B2
- Authority
- JP
- Japan
- Prior art keywords
- verification
- interlocking device
- interlocking
- real
- description
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【0001】[0001]
【発明の属する技術分野】本発明は、鉄道保安機能を実
現する連動装置の設計検証に係わり、特に装置の連動論
理及び装置の動作するタイミングに係わる実時間的制約
の充足の双方を計算機を利用して検証する方法に関する
ものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a design verification of an interlocking device for realizing a railway security function, and more particularly to a computer utilizing both the interlocking logic of the device and satisfying a real-time constraint on the timing at which the device operates. And verification methods.
【0002】[0002]
【従来の技術】連動装置には、継電装置を用いた方式と
(以下、「継電連動装置」と呼ぶ)と、マイクロコンピ
ュータを使用した方式(以下、「電子連動装置」と呼
ぶ)がある。継電連動装置が設計者の意図通りに誤りな
く動作することを検証するために、従来は、実物の連動
装置と現場機器を使い、人手によるテストを行なってい
たため、多大な労力と時間が必要であった。また、誤り
を発見する可能性を高めるためには、できるだけ多く
の、そして様々なケースの動作パタンをテストする必要
があった。また、電子連動装置が設計者の意図通りに誤
りなく動作することを検証するために、従来は、計算機
上でのシミュレーションによるテストを行なっていた。
この方法では、連動装置を計算機上でのシミュレーショ
ンに適合する形式の論理データで表現する必要がある。
従来はこの論理データの作成は人手に寄って行なわざる
を得なかったが、通常この論理データは複雑なものにな
るので、多大な労力と時間を必要とした。また、誤りを
発見する可能性を高めるためには、やはり数多く様々な
ケースの動作パタンをテストする必要があった。計算機
を利用した連動装置の検証には、特開平5−16807
号公報に見られるように、連動図表の表す連動条件と、
その連動図表に基づいて作成される回路群の結線図から
得られる連動論理データを計算機によるシミュレーショ
ンによって照合する方法が存在した。この方法は計算機
上でのシミュレーションに適合した連動論理データの作
成を容易にすることを目的としているが、上述の数多く
様々なケースの動作パタンをテストする必要があるとい
う問題は解決していない。また、この方法は、連動図表
によって表される連動装置の機能と、実際の連動装置を
構成する回路群の連動論理との整合性を検証することを
目的としており、両者間の矛盾については検証ができる
が、連動装置の設計が設計者の意図通り正しくなされて
いることの検証は不可能である。また、通常、連動装置
は信号や転てつ器の動作について、論理による連動条件
だけでなく動作するタイミングに関する実時間的制約を
も満たす必要がある。上記の方法は論理的な連動条件に
関する検証を行なうものであり、タイミングに関する実
時間的制約が充足されるかどうかを検証することはでき
ない。2. Description of the Related Art There are two types of interlocking devices: a system using a relay device (hereinafter referred to as a "relay interlocking device") and a system using a microcomputer (hereinafter referred to as an "electronic interlocking device"). is there. Conventionally, a manual test was performed using real interlocking devices and field devices to verify that the relay interlocking devices operate as intended without errors, requiring a great deal of labor and time. Met. Also, in order to increase the possibility of finding errors, it was necessary to test as many and as many different operation patterns as possible. In addition, in order to verify that the electronic interlocking device operates without error as intended by the designer, conventionally, a simulation test was performed on a computer.
In this method, the interlocking device needs to be represented by logical data in a format suitable for simulation on a computer.
In the past, this logical data had to be created manually, but usually this logical data was complicated and required a great deal of labor and time. Also, in order to increase the possibility of finding an error, it was necessary to test operation patterns in many different cases. For verification of an interlocking device using a computer, refer to
As shown in the official gazette, the interlocking conditions shown in the interlocking chart
There has been a method of collating interlocked logic data obtained from a connection diagram of a circuit group created based on the interlocked chart by computer simulation. Although this method aims at facilitating the creation of interlocked logical data suitable for simulation on a computer, it does not solve the problem that it is necessary to test the operation patterns of many various cases described above. The purpose of this method is to verify the consistency between the function of the interlocking device represented by the interlocking diagram and the interlocking logic of the circuit group that constitutes the actual interlocking device. However, it is impossible to verify that the design of the interlocking device is correctly performed as intended by the designer. In general, the interlocking device needs to satisfy not only the interlocking condition by logic but also the real-time constraint on the operation timing of the signal and the operation of the switch. The method described above verifies the logical interlocking condition, and cannot verify whether the real-time constraint on the timing is satisfied.
【0003】[0003]
【発明が解決しようとする課題】上述のように、継電連
動装置の実物の連動装置や現場機器を用いたテストによ
る検証は多大な労力と時間を必要とする。一方、電子連
動装置の計算機上でのシミュレーションによる検証で
は、連動装置を計算機上でのシミュレーションに適合す
る形式の論理データで表現するのに多大な労力と時間を
必要とした。また、実物の装置や機器を用いたテスト及
び計算機によるシミュレーションによる検証の両方の場
合とも、連動装置に誤りが存在しても、テストパタンが
その誤り箇所から影響を受けるものでなければ誤りを発
見できない。従って、連動装置に誤りがないことを完全
に保証するためには、連動装置のすべての部分と状態を
検査するテストパタンを用意しなければならない。一般
にはそのようなテストパタンの数は膨大なものになるた
め、実行は現実的ではない。そこで、通常は誤りが特に
重大な影響を及ぼしそうな部分を検査するためのテスト
パタンを用意することで対処している。このため、テス
トパタンが作用しない部分と状態が残るので、連動装置
に誤りがないことを保証できないという問題点があっ
た。また、通常、連動装置に誤りが存在することが判明
した場合でも、誤りが装置のどこにあるかを完全に特定
することは容易ではない。従って、検証の結果誤りが発
見されたときには誤りのある箇所を特定するのに必要な
情報を提供することが必要とされる。また、連動装置の
検証においては、その動作が連動論理に従って正しく動
作することと同時に、動作のタイミングに関する実時間
的制約が充足されることをも検証する必要がある。さら
にこのとき、動作のタイミングに関する実時間的制約条
件の充足を検証の対象とすると、検証作業が複雑にな
り、検証に要する労力が著しく増大するという問題点が
ある。その一方で、設計の誤りが存在する場合には、そ
の誤りは連動装置の設計に現れる実時間的制約条件の一
部にのみ関わるのが通常であり、検証を行なう際には必
ずしもすべての実時間的制約条件を考慮する必要はない
ので、できるだけ少ない実時間的制約条件の下で検証を
行ない、検証作業の効率化をはかることが望ましい。As described above, verification by a test using a real interlocking device or a field device of the relay interlocking device requires a great deal of labor and time. On the other hand, in verification of an electronic interlocking device by simulation on a computer, a great deal of labor and time were required to express the interlocking device with logical data in a format suitable for simulation on a computer. In both the tests using real devices and equipment and the verification by computer simulation, even if there is an error in the interlocking device, if the test pattern is not affected by the error location, the error is found. Can not. Therefore, in order to completely guarantee that the interlocking device is free from errors, it is necessary to prepare a test pattern for checking all parts and states of the interlocking device. In general, the number of such test patterns can be enormous, making them impractical. Therefore, the problem is usually dealt with by preparing a test pattern for checking a portion where an error is likely to have a particularly serious effect. For this reason, a portion where the test pattern does not act and a state remain, so that there is a problem that it cannot be guaranteed that there is no error in the interlock device. Also, even if it is found that an error exists in the interlocking device, it is usually not easy to completely identify where the error exists in the device. Therefore, when an error is found as a result of the verification, it is necessary to provide information necessary for specifying the location of the error. In the verification of the interlocking device, it is necessary to verify that the operation correctly operates according to the interlocking logic and that the real-time constraint on the operation timing is satisfied. Further, at this time, if the satisfaction of the real-time constraint condition regarding the operation timing is to be verified, there is a problem that the verification operation is complicated and the labor required for the verification is significantly increased. On the other hand, if there is a design error, the error usually involves only a part of the real-time constraints that appear in the design of the interlocking device. Since there is no need to consider time constraints, it is desirable to perform verification under as few real-time constraints as possible to increase the efficiency of the verification work.
【0004】本発明は、このような問題点を解決するた
めになされたもので、連動装置が設計者の意図通り正し
く設計されており、要求仕様を満たすものであることを
保証することを目的としたものである。SUMMARY OF THE INVENTION The present invention has been made to solve such a problem, and has as its object to guarantee that an interlocking device is correctly designed as intended by a designer and satisfies required specifications. It is what it was.
【0005】[0005]
【課題を解決するための手段】本発明の第1の構成によ
る連動装置の検証装置は、連動装置の設計記述と連動装
置に対する要求仕様の記述とをそれぞれ拘束条件を表現
する形式的言語に変換する変換器と、上記変換器により
変換された2つの形式的言語記述の等価性を証明する形
式的検証器と、上記証明の結果を出力する検証結果出力
手段とを備えたものである。According to a first aspect of the present invention, there is provided an interlocking apparatus verification apparatus for converting a design description of an interlocking apparatus and a description of a required specification for the interlocking apparatus into a formal language expressing constraint conditions. And a formal verifier for proving the equivalence of the two formal language descriptions converted by the converter, and a verification result output means for outputting the result of the proof.
【0006】本発明の第2の構成による連動装置の検証
装置は、上記形式的検証器が、上記2つの記述が等価で
ない場合に、この矛盾によって生起される事例を反例と
して出力するものである。In the verification device for an interlocking device according to the second configuration of the present invention, the formal verifier outputs a case caused by this contradiction as a counter example when the two descriptions are not equivalent. .
【0007】本発明の第3の構成による連動装置の検証
装置は、上記形式的言語として論理的条件と実時間的制
約条件とをともに表現できる言語を使用したものであ
る。The verification device for an interlocking device according to the third configuration of the present invention uses a language capable of expressing both logical conditions and real-time constraints as the formal language.
【0008】本発明の第1の方法による連動装置の検証
方法は、上記第1の構成による連動装置の検証装置を用
い、上記2つの記述間の矛盾の有無、および連動装置の
設計の正否を検証するものである。In a first aspect of the present invention, a method for verifying an interlocking device uses the interlocking device verification device having the above-described first configuration to determine whether or not there is a contradiction between the two descriptions and whether the design of the interlocking device is correct. To verify.
【0009】本発明の第2の方法による連動装置の検証
方法は、上記第2の構成による連動装置の検証装置を用
い、上記反例の出力を用いて設計上の誤りのある部分を
特定するものである。A verification method of an interlocking device according to a second method of the present invention uses the interlocking device verification device according to the second configuration, and specifies a portion having a design error using the output of the counterexample. It is.
【0010】本発明の第3の構成による連動装置の検証
方法は、上記第3の構成による連動装置の検証装置を用
い、入力された記述の中に現われる実時間的制約条件の
うち、等価性の証明に影響を与えない実時間的制約条件
を除外し、検証負荷を軽減して行うものである。A third aspect of the present invention relates to a method for verifying an interlocking device, wherein the verification device for an interlocking device according to the third configuration is used for verifying equivalence among real-time constraints appearing in an input description. The real-time constraints that do not affect the proof of the above are excluded, and the verification load is reduced.
【0011】[0011]
実施の形態1.図1は、本発明の第1の実施の形態によ
る連動装置検証方法を実行する装置の構成を示す図であ
る。図中の矢印はデータの流れを表している。本発明は
変換器2、形式的検証器3、検証結果出力手段4から構
成される。変換器2は一種の翻訳器であり、連動図表の
ように連動装置の設計を一定の形式で記述した表現を形
式的検証器3で扱うことができる形式的言語の記述に変
換するためのものである。形式的検証器3は、形式的言
語による2つの記述を入力し、その等価性を証明するた
めのものである。Embodiment 1 FIG. FIG. 1 is a diagram illustrating a configuration of an apparatus that executes an interlocking apparatus verification method according to a first embodiment of the present invention. The arrows in the figure represent the flow of data. The present invention comprises a converter 2, a formal verifier 3, and a verification result output means 4. The converter 2 is a kind of translator, and is used to convert an expression that describes a design of an interlocking device in a fixed format like an interlocking diagram into a description of a formal language that can be handled by the formal verifier 3. It is. The formal verifier 3 is for inputting two descriptions in a formal language and proving their equivalence.
【0012】次に、図1を用いて本発明による連動装置
検証の大まかな流れを説明する。設計者は、使い慣れた
表現手段を用いて連動装置の設計を記述し、これを入力
記述1の記述(1)とする。この記述(1)は変換器2
により自動的に形式的言語による記述(1* )に変換さ
れる。さらに、この連動装置に関する別の記述があると
き、これを入力記述1の記述(2)とする。この記述
(2)は変換器2により自動的に形式的言語による記述
(2* )に変換される。このとき記述(2)が直接形式
的言語で記述されていれば変換器2は何もせず、記述
(2)と記述(2* )は同じ内容である。記述(1* )
と記述(2* )とを形式的検証器3に入力し、両者の内
容の等価性を形式的に証明することを試みる。ここで、
記述(1*)を連動装置の設計を記述したものとし、記
述(2* )を連動装置が実現すべき機能、すなわち連動
装置に対する要求仕様とすれば、検証結果出力手段4に
より入力された2つの記述が等価であるか否かを検証す
ることにより連動装置の設計が正しいか否かが判定でき
る。形式的検証器3は等価性が成立しない時には、これ
を記述1* と記述2* の間で矛盾する事例の生起という
形で出力する機能を備えている。Next, a general flow of verification of an interlocking device according to the present invention will be described with reference to FIG. The designer describes the design of the interlocking device using a familiar expression means, and uses the description as the description (1) of the input description 1. This description (1) corresponds to the converter 2
Automatically converts it into a description (1 * ) in a formal language. Further, when there is another description related to this interlocking device, this is used as the description (2) of the input description 1. This description (2) is automatically converted by the converter 2 into a description (2 * ) in a formal language. At this time, if the description (2) is directly described in a formal language, the converter 2 does nothing, and the description (2) and the description (2 * ) have the same contents. Description (1 * )
And the description (2 * ) are input to the formal verifier 3, and an attempt is made to formally prove the equivalence of the contents of the two. here,
If the description (1 * ) describes the design of the interlocking device, and the description (2 * ) is a function to be realized by the interlocking device, that is, a required specification for the interlocking device, the 2 input by the verification result output means 4 By verifying whether or not the two descriptions are equivalent, it can be determined whether or not the design of the interlocking device is correct. The formal verifier 3 has a function of outputting an inconsistent case between the description 1 * and the description 2 * when the equivalence is not established.
【0013】次に、入力記述の1つが連動図表であり、
形式的言語が論理的条件と実時間的制約条件の両方を表
現できる形式的言語である場合を例に、本発明をさらに
詳しく説明する。C言語など多くのプログラム言語は上
記の両方の条件を表現できるが、ほとんどのプログラム
言語の場合、その言語による記述の等価性を証明する一
般的な方法は存在しない。上記の条件を表現でき、かつ
等価性の証明が可能な言語(拘束条件の表現が可能な言
語であり、以下、拘束条件記述言語と記す)としては、
Timed Computational Tree Logic「R. Alur, C. Courco
ubetis and D.Dill :“Model-checking for real-time
systems”,Proceedings of Fifth Annual IEEE Sympos
ium on Logic in Computer Science,pages 414-425,I
EEE Computer Society Press(1990)」(以下、TCTL
と記す)、Real-Time Logic「F.Jahanian and A. K. Mo
k :“Safety Analysis of Timing Properties in Real-
Time Systems”,IEEE Transactions on Software Engi
neering,pages 890 - 904, Vol.12, No.9(1986)」(以
下、RTLと記す)、TNL「T. Yoneda, A. Shibayam
a, B.-H. Schlingloff and E. M. Clarke :“Efficient
Verification ofParallel Real-Time Systems”,Proc
eedings of the 5th International Conference on Com
puter Aided Verification,pages 321-332, LNCS 697,
Springer-Verlag(1993)」などがある。また、証明の能
力に制限があるが、制約論理プログラム「Jaffar, J. a
nd J.- L. Lassez :“Constraint Logic Programmin
g”, Proceedings of the 14th ACM Symposium on Prin
ciples of Programming Languages, pages 111-119, AC
M(1987)」も拘束記述言語として使用できる。以下の例
では拘束条件記述言語としてTCTL及びTCTLの状
態遷移グラフによる表現を採用する。Next, one of the input descriptions is an interlocking chart,
The present invention will be described in further detail by taking as an example a case where a formal language is a formal language that can express both logical conditions and real-time constraints. Many programming languages, such as the C language, can express both of the above conditions, but for most programming languages, there is no general way to prove the equivalence of descriptions in that language. Languages that can express the above conditions and can prove equivalence (languages that can express constraint conditions, hereinafter referred to as constraint description languages) include:
Timed Computational Tree Logic "R. Alur, C. Courco
ubetis and D.Dill: “Model-checking for real-time
systems ”, Proceedings of Fifth Annual IEEE Sympos
ium on Logic in Computer Science, pages 414-425, I
EEE Computer Society Press (1990) "(hereinafter TCTL
Real-Time Logic "F. Jahanian and AK Mo
k: “Safety Analysis of Timing Properties in Real-
Time Systems ”, IEEE Transactions on Software Engi
neering, pages 890-904, Vol. 12, No. 9 (1986) "(hereinafter referred to as RTL) and TNL" T. Yoneda, A. Shibayam.
a, B.-H. Schlingloff and EM Clarke: “Efficient
Verification of Parallel Real-Time Systems ”, Proc
eedings of the 5th International Conference on Com
puter Aided Verification, pages 321-332, LNCS 697,
Springer-Verlag (1993) ". Although the proof ability is limited, the constraint logic program "Jaffar, J. a
nd J.- L. Lassez: “Constraint Logic Programmin
g ”, Proceedings of the 14th ACM Symposium on Prin
ciples of Programming Languages, pages 111-119, AC
M (1987) "can also be used as a constraint description language. In the following example, TCTL and a TCTL state transition graph expression will be used as the constraint description language.
【0014】検証の対象として図2の連動図と図3の連
動表からなる連動図表で表される連動装置(の一部)を
とり上げ、その性質を検証する。図2の連動図は連動装
置の設備の構成を表している。太線は線路を表す。矢印
5は車両の進入方向を表す。すなわち、図2では車両は
左から右へ進行する。縦線で区切られた各々の区間には
軌道回路が設置され、区間内の車両の有無を検出する。
下1T、21T、1RTはそれぞれの区間の軌道回路の
名称を表す。記号6は信号機を、1Rは信号機の名称を
表す。信号機1Rは軌道回路下1Tの方向から軌道回路
1RTの方向への進行を制御しており、通常は進行信号
を現示する。このように通常時に信号機が現示する信号
(つまり進行信号)をここでは信号機の定位(または進
行現示)という。線路の交差する点7には転てつ機が設
置されており、21はこの転てつ機の名称を表す。転て
つ機は通常は3本斜線8の方向に進路をとるよう固定さ
れている。このように通常時に転てつ機が固定されてい
る方向を転てつ機の定位という。すなわち、図2では転
てつ機21は通常は軌道回路1RTの方向を定位とす
る。As an object to be verified, (part of) an interlocking device represented by an interlocking diagram composed of the interlocking diagram of FIG. 2 and the interlocking table of FIG. 3 is taken, and the properties thereof are verified. The interlocking diagram of FIG. 2 shows the configuration of the equipment of the interlocking device. Bold lines represent tracks. Arrow 5 indicates the approach direction of the vehicle. That is, in FIG. 2, the vehicle travels from left to right. A track circuit is installed in each section separated by a vertical line, and the presence or absence of a vehicle in the section is detected.
The lower 1T, 21T, and 1RT represent the names of track circuits in each section. Symbol 6 represents a traffic light, and 1R represents the name of the traffic light. The traffic light 1R controls the progress from the direction 1T below the track circuit to the direction of the track circuit 1RT, and usually indicates a progress signal. Thus, the signal that the traffic signal usually shows
Here, the localization (or heading) of the traffic light
). A point machine is installed at the intersection 7 of the tracks, and 21 indicates the name of the point machine. The point machine is usually fixed so as to take a course in the direction of three oblique lines 8. In this way, the direction in which the point is fixed during normal times is referred to as localization of the point. That is, in FIG. 2, the pointing machine 21 normally determines the direction of the track circuit 1RT as the localization.
【0015】図3の連動表は、連動装置の各設備の連動
条件を表している。番号欄に記入される名称は、連動表
のこの欄がどの設備に関する連動条件を記述しているか
を表す。すなわち、図3は信号機1Rに関する連動条件
を記述している。鎖錠欄には、番号欄の設備が連動して
動作する設備の名称が記入される。図3は信号機1Rと
転てつ機21が連動して動作することを表す。信号制御
又はてつ査鎖錠欄(以下、信号制御欄)には、番号欄の
設備の動作を制御する設備の名称が記入される。図3
は、軌道回路21Tが設置された区間内に車両が存在し
ないときのみ信号機1Rが進行信号を現示できることを
表す。接近鎖錠又は保留鎖錠欄(以下、接近鎖錠欄)に
は、軌道回路の名称と、時間(以下、解錠時素)が記入
され、この軌道回路が設置される区間内に車両が存在す
るとき、番号欄の設備は該当欄に記入された解錠時素の
表す時間だけその状態を保持しなければならないことを
表す。図3では、軌道回路下1Tが設置された区間内に
車両が存在するとき、信号機1Rは60秒間その現示を
変更できないことを表す。この制約によって該当する車
両が通過し終るまで転てつ機の切替が行なわれないこと
を保証する。The interlocking table of FIG. 3 shows the interlocking conditions of each facility of the interlocking device. The name entered in the number column indicates which facility in this linkage table describes the linkage condition for which equipment. That is, FIG. 3 describes the interlocking condition regarding the traffic light 1R. In the lock column, the names of the facilities in which the facilities in the number fields operate in conjunction are written. FIG. 3 shows that the traffic light 1R and the switch 21 operate in conjunction with each other. The name of the equipment that controls the operation of the equipment in the number column is written in the signal control or lock column (hereinafter, signal control column). FIG.
Indicates that the traffic light 1R can show the traveling signal only when there is no vehicle in the section where the track circuit 21T is installed. The name of the track circuit and the time (hereinafter, unlocking time) are written in the approach lock or hold lock column (hereinafter referred to as the approach lock column), and the vehicle is located within the section where this track circuit is installed. When present, it indicates that the equipment in the number column must hold its state for the time indicated by the unlocking element entered in the corresponding column. FIG. 3 shows that when a vehicle is present in the section where the track circuit below 1T is installed, the traffic light 1R cannot change its indication for 60 seconds. This constraint guarantees that the switch will not be switched until the vehicle has passed.
【0016】図2及び図3の連動図表は変換器2によっ
て図4に示す拘束条件記述言語TCTLの状態遷移グラ
フ表現に変換される。変換器2は、連動図表から各設備
の動作状態の状態遷移条件を抽出する。すなわち、変換
器2は連動図より各設備と軌道回路の位置関係を、連動
表より各設備の連動論理を読みとり、各設備の動作状態
を状態遷移グラフの状態とし、軌道回路の位置関係と連
動論理から状態遷移条件を構成する。接近鎖錠又は保留
鎖錠欄に記入された解錠時素は、状態遷移が起こるタイ
ミングに対する実時間的制約として記述される。ここ
で、連動装置の場合は各設備の動作状態は有限個であ
り、また、状態遷移条件には実時間的制約が含まれる。
従って、拘束条件記述言語は状態遷移条件に実時間的制
約を含んだ有限状態遷移グラフを容易に記述できること
が望ましい。上記のTCTL、RTL、TNLは上述の
要件を満たす。また、後述するように、これらの言語で
は動作状態が有限個であることによって等価性の証明が
可能になる。(ただし、有限個でなくとも証明ができる
場合もある。)The interlocking charts of FIGS. 2 and 3 are converted by the converter 2 into a state transition graph expression of the constraint description language TCTL shown in FIG. The converter 2 extracts the state transition condition of the operation state of each facility from the interlocking chart. That is, the converter 2 reads the positional relationship between each facility and the track circuit from the link diagram, the link logic of each facility from the link table, sets the operation state of each facility to the state of the state transition graph, and links with the positional relationship of the track circuit. Construct state transition conditions from logic. The unlock time entered in the approach lock or hold lock column is described as a real-time constraint on the timing at which the state transition occurs. Here, in the case of the interlocking device, the operation state of each facility is limited, and the state transition condition includes a real-time constraint.
Therefore, it is desirable that the constraint description language can easily describe a finite state transition graph in which state transition conditions include real-time constraints. The above TCTL, RTL, and TNL satisfy the above requirements. In addition, as will be described later, in these languages, equivalence can be proved by a finite number of operation states. (However, there may be cases where a proof can be obtained even if it is not a finite number.)
【0017】図2及び図3の連動図表から変換器2によ
って得られるTCTLの状態遷移グラフ表現(図4)の
うち、信号1Rの状態に関する部分をフローチャート化
したものを図5に示す。図5の9、13、15、19は
状態遷移グラフの状態を表わし、10、11、14、1
6、17、20は状態遷移の条件を表わす。また、1
2、18は実時間的制約条件を表現するために導入され
た計時機能を起動することを表わし、状態遷移条件1
4、20はこの計時機能を用いて実時間的制約条件の検
査を表現する。FIG. 5 is a flowchart showing a part relating to the state of the signal 1R in the TCTL state transition graph expression (FIG. 4) obtained by the converter 2 from the interlocking charts of FIGS. In FIG. 5, 9, 13, 15, and 19 represent states of the state transition graph, and 10, 11, 14, 1
6, 17, and 20 represent conditions for state transition. Also, 1
Reference numerals 2 and 18 denote activation of a clock function introduced to express real-time constraints, and a state transition condition 1
Reference numerals 4 and 20 express the checking of the real-time constraint condition using the timing function.
【0018】一般に、信号は定位、定位を保持、反位、
反位を保持の4状態をとる。これら4状態はそれぞれ図
5の状態9、13、15、19に対応づけられる。図3
の信号制御欄の記述より、信号1Rは軌道回路21Tの
状態に応じて制御される。すなわち、信号1Rが定位9
のとき、軌道回路21Tの状態を検査し(10)、その
区間内に列車があるときは信号1Rは反位15になる。
この区間に列車がないときは、図3の接近鎖錠欄の記述
より、信号1Rは軌道回路下1Tの状態に応じて制御さ
れる。すなわち、軌道回路下1Tの状態検査11の結
果、その区間内に列車がないときは信号1Rは定位9に
なる。この区間に列車があるときは、接近鎖錠欄記載の
解錠時素に従い、信号1Rは60秒間直前の状態を保持
する(13)。すなわち、軌道回路下1Tの検査11が
終了後、計時を開始し(12)、保持の状態13に遷移
する。この状態は60秒経過後に(14)解除され、再
び軌道回路の検査10、11を経て通常の定位9か定位
の保持13または反位15になる。信号1Rが反位のと
きも同様である。In general, a signal is localized, maintains localization, inverted,
Takes four states of holding the inversion. These four states correspond to states 9, 13, 15, and 19 in FIG. 5, respectively. FIG.
The signal 1R is controlled in accordance with the state of the track circuit 21T according to the description in the signal control column. That is, the signal 1R is located at the localization 9
At this time, the state of the track circuit 21T is inspected (10), and if there is a train in that section, the signal 1R is inverted.
When there is no train in this section, the signal 1R is controlled according to the state of 1T below the track circuit according to the description in the approach lock column of FIG. That is, as a result of the state inspection 11 under the track circuit 1T, when there is no train in the section, the signal 1R is in the localization 9 state. When there is a train in this section, the signal 1R keeps the state immediately before for 60 seconds according to the unlocking time described in the approach lock column (13). That is, after the inspection 11 under the track circuit 1T is completed, time measurement is started (12), and the state transits to the holding state 13. This state is released after the elapse of 60 seconds (14), and the state changes to the normal localization 9 or the localization holding 13 or the inversion 15 through the inspections 10 and 11 of the track circuit again. The same applies to the case where the signal 1R is inverted.
【0019】転てつ機21は、図3の鎖錠欄より信号1
Rと連動することがわかるので、信号1Rと同様な状態
遷移をする。また、図2の列車の進行方向5と軌道回路
の並ぶ順番より、列車が通過する際には必ず軌道回路下
1T、21T、1RTの順序で列車が検知されることが
わかる。従ってこのことを表わす状態遷移表現も変換器
2によって作成される。The switch 21 detects the signal 1 from the lock column of FIG.
Since it is known that the signal is interlocked with R, the same state transition as the signal 1R is made. Further, from the traveling direction 5 of the train and the order in which the track circuits are arranged in FIG. 2, it can be seen that the train is always detected in the order of 1T, 21T, and 1RT under the track circuit when the train passes. Accordingly, a state transition expression representing this is also created by the converter 2.
【0020】一方、連動装置のもう一つの記述が図6の
命題を拘束条件記述言語TCTLで表現したもので与え
られたとする。TCTLは連言、宣言、含意、否定など
の通常の論理関係に加え、事象の起きるタイミングに関
して実時間的な制約条件を記述する表現形式を備えた言
語である。従って図6のような命題はTCTLで容易に
記述できる。図6の命題のTCTLによる表現を図10
に示す。このように連動装置の記述を拘束条件記述言語
で行なった場合には、変換器2は何もしないで良い。On the other hand, it is assumed that another description of the interlocking device is given by expressing the proposition of FIG. 6 in the constraint description language TCTL. TCTL is a language provided with an expression form that describes real-time constraints on the timing at which an event occurs, in addition to ordinary logical relationships such as conjunction, declaration, implication, and negation. Therefore, the proposition shown in FIG. 6 can be easily described in TCTL. FIG. 10 shows the TCTL expression of the proposition of FIG.
Shown in When the description of the interlocking device is made in the constraint description language, the converter 2 does not need to do anything.
【0021】このTCTLによる命題の記述と先に連動
図表を変換して得たTCTLの状態遷移グラフ表現とを
形式的検証器3に入力し、両者の等価性の証明を行な
う。この証明方法について説明する。まず、簡単のため
実時間的制約が現れない場合を考える。上述したよう
に、連動図表から得られたTCTLの状態遷移グラフ表
現は有限個の状態しか持たない。従って、起こり得る状
態遷移の系列を機械的に列挙することが可能である。列
挙された状態遷移系列とTCTLによる命題の記述を比
較し、両者が等価であるかどうかを判定することで証明
が可能である。次に、実時間的制約が現れる場合を考え
る。例えば図5では信号1Rが定位を保持した状態13
で、60秒経過したかどうか(14)が問題となる。こ
のとき、状態13を経過時間によって場合分けし、「信
号1Rが定位を保持して60秒経過していない状態」と
「信号1Rが定位を保持して60秒経過した状態」とい
う2つの状態に置き換えて考えることで、実時間的制約
がない場合と同様に証明ができる。状態19と実時間的
制約20についても同様である。The description of the proposition by the TCTL and the state transition graph representation of the TCTL obtained by converting the interlocking chart first are input to the formal verifier 3 to prove the equivalence of the two. This proof method will be described. First, let us consider a case where no real-time constraint appears for simplicity. As described above, the state transition graph representation of TCTL obtained from the interlocking chart has only a finite number of states. Therefore, it is possible to mechanically enumerate a series of possible state transitions. Proof can be made by comparing the enumerated state transition sequence with the description of the proposition by TCTL and determining whether or not both are equivalent. Next, consider the case where a real-time constraint appears. For example, in FIG.
Thus, whether or not 60 seconds have elapsed (14) becomes a problem. At this time, the state 13 is divided into cases according to the elapsed time, and two states of “a state in which the signal 1R holds the localization and 60 seconds have not elapsed” and “a state in which the signal 1R holds the localization and 60 seconds have elapsed” Can be proved in the same way as when there is no real-time constraint. The same applies to the state 19 and the real-time constraint 20.
【0022】本実施の形態では、図6に記述された「信
号1Rが定位でかつ軌道回路下1Tの設置された区間内
に車両がある」状態は、図5中では状態9から検査1
0、11を経て状態13へ向かう経路上のみで起こり得
る。このとき、状態13と検査14から、60秒以内に
は信号1Rは反位にならないことがわかる。さらに、上
述のように転てつ機21は信号1Rと連動していること
から、転てつ機21も60秒以内には反位にならないこ
とが証明される。この証明の成功により、図2及び図3
の連動図表で表される連動装置が図6の命題で表わされ
た要求仕様を満たすことわかる。またこれにより、連動
装置の設計意図が実現されていることが検証される。In the present embodiment, the state in which "the signal 1R is located and the vehicle is in the section where the track circuit 1T is located" described in FIG. 6 is described from FIG.
It can only occur on the path going to state 13 via 0,11. At this time, it is understood from the state 13 and the inspection 14 that the signal 1R is not inverted within 60 seconds. Further, since the switch 21 is linked with the signal 1R as described above, it is proved that the switch 21 does not turn over within 60 seconds. Due to the success of this proof, FIGS. 2 and 3
It can be seen that the interlocking device represented by the interlocking diagram satisfies the required specifications expressed by the proposition of FIG. This also verifies that the design intention of the interlocking device is realized.
【0023】実施の形態2.本発明の第2の実施の形態
として、連動装置の設計に誤りがある場合に対する本発
明の検証方法の機能について説明する。ここで、図2及
び図3からなる連動図表と、図7の命題をTCTLで記
述した表現が入力された場合を説明する。図7の命題
は、軌道回路21T及び1RTが設置された区間に車両
があるときは信号1Rを反位すなわち停止現示にして後
続の車両の進入を禁止し、追突を回避することを意味し
ている。図7の命題のTCTLによる表現を図11に示
す。実施の形態1の場合と同様に、図2及び図3から変
換器2によって得られた図5の状態遷移グラフと図7の
TCTLの記述を形式的検証器3に入力する。形式的検
証器3は両者の等価性の証明を行なうが、証明に失敗
し、等価でないことを示す反例として、図8の命題のT
CTLによる記述(図12)を出力する。Embodiment 2 FIG. As a second embodiment of the present invention, the function of the verification method of the present invention for a case where there is an error in the design of the interlocking device will be described. Here, a case will be described in which an interlocking chart composed of FIGS. 2 and 3 and an expression in which the proposition of FIG. 7 is described in TCTL are input. The proposition of FIG. 7 means that when there is a vehicle in the section where the track circuits 21T and 1RT are installed, the signal 1R is inverted, that is, a stop sign is displayed, and the entry of the following vehicle is prohibited, and a rear-end collision is avoided. ing. FIG. 11 shows a TCTL expression of the proposition of FIG. As in the first embodiment, the state transition graph of FIG. 5 and the description of TCTL of FIG. 7 obtained by the converter 2 from FIGS. 2 and 3 are input to the formal verifier 3. The formal verifier 3 proves the equivalence of the two, but the proof fails, and as a counterexample indicating that the two are not equivalent, the formal verifier T of FIG.
The CTL description (FIG. 12) is output.
【0024】設計者は図7の仕様が満たされない原因が
連動装置のどこにあるかを推測するための情報としてこ
の反例を用いることができる。具体的には、図8の反例
が実現するとき、すなわち軌道回路1RTの区間に列車
があり軌道回路21Tの区間に列車がないときに信号1
Rが定位なるには、図5で、(a)信号1Rが定位9の
とき、遷移条件10、11の検査の結果、再び定位9に
なる場合、(b)信号1Rが反位15のとき、遷移条件
16、17の検査の結果、定位9になる場合、の2つの
場合しかない。従って、この2つの場合のいずれかに誤
りがあると限定できる。実際には両方の場合の遷移条件
に軌道回路1RTの検査を付け加える、すなわち、図3
の信号制御欄に1RTを加えるのが正しい。The counterexample can be used by the designer as information for estimating where in the interlocking apparatus the cause of the failure to satisfy the specifications in FIG. Specifically, when the counter example of FIG. 8 is realized, that is, when there is a train in the section of the track circuit 1RT and there is no train in the section of the track circuit 21T, the signal 1
In order for R to be localized, in FIG. 5, (a) when the signal 1R is in the localization 9, as a result of the inspection of the transition conditions 10 and 11, if the signal 1R is in the localization again, (b) There are only two cases, as a result of the inspection of the conditions 16 and 17, when the localization 9 is obtained. Therefore, it can be limited that there is an error in either of the two cases. In practice, the inspection of the track circuit 1RT is added to the transition conditions in both cases, ie, FIG.
It is correct to add 1RT to the signal control column of.
【0025】このように連動装置の設計に誤りがあると
き、形式的検証器3は等価性の成立しない事を設計意図
に反する事例の生起という形で指摘するので、使用者は
この事例を用いて誤まりの原因を特定することができ
る。これにより設計の誤まりの特定とその修正の作業が
著しく容易となる。As described above, when there is an error in the design of the interlocking device, the formal verifier 3 points out that the equivalence is not established in the form of a case contrary to the design intention, and the user uses this case. Can identify the cause of the error. This helps identify design errors and correct them.
It becomes remarkably easy.
【0026】実施の形態3.次に、形式的検証器が入力
された記述の中に現われる実時間的制約条件のうち、等
価性の証明に影響を与えない実時間的制約条件を除外
し、検証負荷を軽減して検証を行う性質を持つものであ
る場合の検証方法について説明する。連動装置の設計が
動作のタイミングに関する実時間的制約条件を持つ場
合、実施の形態1で述べたように、形式的検証器3によ
る証明を行なう際にはこの制約条件に応じて場合分けを
行う必要がある。一般に、実時間的制約条件が複雑にな
ると、この場合分けの数が爆発的に増加し、証明に莫大
な時間を要するようになる。しかしながら一方で、連動
装置の場合には実時間的制約が影響するのは連動図表の
接近鎖錠欄に関係する部分のみであり、この影響は連動
装置全体に影響するとは限らない。そこで、この発明の
形式的検証器を用いることにより限定した実時間的制約
条件のもとに検証に要する時間の軽減が可能である。Embodiment 3 FIG. Next, the formal verifier excludes the real-time constraints that do not affect the proof of equivalence among the real-time constraints that appear in the input description, reduce the verification load, and perform verification. A description will be given of a verification method in the case of having the property to perform. When the design of the interlocking device has real-time constraints on the operation timing, as described in the first embodiment, when performing the proof by the formal verifier 3, the cases are classified according to the constraints. There is a need. In general, when the real-time constraints are complicated, the number of cases is explosively increased, and enormous time is required for proof. On the other hand, in the case of the interlocking device, the real-time restriction affects only the portion related to the approach lock column of the interlocking chart, and this influence does not necessarily affect the entire interlocking device. Therefore, by using the formal verifier of the present invention, it is possible to reduce the time required for verification under limited real-time constraints.
【0027】ここで、図2及び図3からなる連動図表
と、図9の命題のTCTLによる記述(図13)が入力
された場合を説明する。図9の命題は、列車が区間21
Tにある時、転てつ機21が反位を取り、後続列車の追
突を防止するという仕様を表わす。実施の形態1及び2
の場合と同様に、図2及び図3から変換器2によって得
られた図5の状態遷移グラフと図9の命題のTCTLに
よる記述を形式的検証器3に入力する。形式的検証器3
は両者の等価性の証明を試みる。このとき、実時間的制
約条件が証明に必要のないものと仮定し、これを除去す
る。すなわち、第図5では12、13、14、18、1
9、20を除去し、13に向かう矢印を9へ、19に向
かう矢印を15へ向けた状態遷移グラフが得られる。こ
の状態遷移グラフを用いると証明が成功する。この証明
の成功によって図2及び図3の連動図表で表される連動
装置が図9の仕様を満たすことがわかる。Here, a description will be given of a case where the interlocking chart composed of FIGS. 2 and 3 and the description of the proposition of FIG. 9 by TCTL (FIG. 13) are input. The proposition of FIG.
When it is at T, it indicates a specification that the point machine 21 takes a reverse position to prevent a rear-end collision of the following train. Embodiments 1 and 2
As in the case of (1), the state transition graph of FIG. 5 obtained by the converter 2 from FIGS. 2 and 3 and the description of the proposition of FIG. 9 by TCTL are input to the formal verifier 3. Formal Verifier 3
Attempts to prove their equivalence. At this time, it is assumed that the real-time constraints are not necessary for the proof, and are removed. That is, in FIG. 5, 12, 13, 14, 18, 1
By removing 9 and 20, a state transition graph is obtained in which the arrow toward 13 points to 9 and the arrow toward 19 points to 15. The proof is successful when this state transition graph is used. It can be seen from the success of this proof that the interlocking device shown in the interlocking diagrams of FIGS. 2 and 3 satisfies the specifications of FIG.
【0028】さらに、図9の命題のTCTL記述のかわ
りに図6の命題のTCTL記述を入力する。上と同様に
形式的検証器3は証明を試みる。このとき、先程と同様
にまず状態遷移グラフに現れる実時間的制約条件を除去
して証明を行なうが、図6の命題は実時間的制約を含む
ものであるから明らかにこの証明は失敗する。次に、形
式的検証器3は先に除去した実時間的制約条件が証明に
必要であると判定する。そこで、この実時間的制約条件
を改めて状態遷移グラフに加えた後証明を行なうと、実
施の形態1と同様に証明に成功し、図2及び図3の連動
図表で表される連動装置が図6の仕様を満たすことわか
る。Further, the TCTL description of the proposition of FIG. 6 is input instead of the TCTL description of the proposition of FIG. As above, the formal verifier 3 attempts a proof. At this time, as in the previous case, the proof is first performed by removing the real-time constraints appearing in the state transition graph, but this proof clearly fails because the proposition of FIG. 6 includes the real-time constraints. Next, the formal verifier 3 determines that the previously removed real-time constraints are necessary for proof. Therefore, when this real-time constraint is newly added to the state transition graph and the proof is performed, the proof is successfully performed as in the first embodiment, and the interlocking device represented by the interlocking charts of FIGS. 6 is satisfied.
【0029】このように連動装置の設計の検証におい
て、設計上の実時間的制約のうち個々の要求仕様の検証
が必要な制約のみを摘出することが可能となり、緩和さ
れた実時間的制約を用いて短時間で検証を行うことがで
きる。As described above, in the verification of the design of the interlocking device, it is possible to extract only the constraints that require verification of the individual required specifications from the real-time constraints on the design, and to reduce the relaxed real-time constraints. Verification can be performed in a short time by using the method.
【0030】[0030]
【発明の効果】以上のように本発明の第1の構成によれ
ば、連動装置の設計記述と連動装置に対する要求仕様の
記述とをそれぞれ拘束条件を表現する形式的言語に変換
する変換器と、上記変換器により変換された2つの形式
的言語記述の等価性を証明する形式的検証器と、上記証
明の結果を出力する検証結果出力手段とを備えたので、
実物の連動装置や現場機器を使うことなく検証が可能に
なるため検証に必要な労力や時間を大幅に軽減できる。
また、連動装置の設計を計算機上での処理に適合する形
式に自動的に変換するため、計算機処理に適合するデー
タの作成が容易になり、さらに洩れのない厳密な検証が
可能になるので、シミュレーションの欠点である検証の
不完全さを補い、検証の信頼性を高めることができる。
また、連動装置の設計記述と連動装置に対する要求仕様
の記述との等価性を証明するようにしたことにより、連
動装置の設計が要求仕様に適合したものであるか否かを
検証することができる。As described above, according to the first configuration of the present invention, a converter for converting a design description of an interlocking device and a description of required specifications for the interlocking device into a formal language expressing constraint conditions, respectively. A formal verifier that certifies the equivalence of the two formal language descriptions converted by the converter, and a verification result output unit that outputs the result of the proof.
Verification can be performed without using a real interlocking device or on-site equipment, thereby greatly reducing the labor and time required for verification.
In addition, since the design of the interlocking device is automatically converted to a format that is compatible with computer processing, it is easy to create data that is compatible with computer processing, and it is possible to perform strict verification without omission, It is possible to compensate for the incompleteness of the verification, which is a drawback of the simulation, and to increase the reliability of the verification.
Further, since the equivalence between the design description of the interlocking device and the description of the required specification for the interlocking device is proved, it is possible to verify whether the design of the interlocking device conforms to the required specification. .
【0031】また、本発明の第2の構成によれば、上記
形式的検証器が、上記2つの記述が等価でない場合に、
この矛盾によって生起される事例を反例として出力する
ので、誤りが連動装置のどこにあるかを特定するための
情報を提供することが可能となる。Further, according to the second configuration of the present invention, the formal verifier determines whether the two descriptions are not equivalent.
Since a case caused by this contradiction is output as a counterexample, it is possible to provide information for specifying where the error is in the interlocking device.
【0032】また、本発明の第3の構成によれば、上記
形式的言語として論理的条件と実時間的制約条件とをと
もに表現できる言語を使用したので、連動装置の設計に
動作の連動論理条件とタイミングに関する実時間的制約
の両方を記述可能とし、さらに形式的検証器として上述
の形式的言語による2つの記述の等価性を証明する能力
を持つもの用いて検証を実現することにより、連動論理
条件とタイミングに関する実時間的制約条件の両方につ
いて洩れのない厳密な検証を行なうことが可能となる。According to the third configuration of the present invention, a language capable of expressing both logical conditions and real-time constraints is used as the formal language. Linkage is achieved by enabling both real-time constraints on conditions and timing to be described, and by using a formal verifier that has the ability to prove the equivalence of two descriptions in the formal language described above. It is possible to perform strict verification without omission for both the logical conditions and the real-time constraints on timing.
【0033】また、本発明の第1の方法によれば、上記
第1の構成による連動装置の検証装置を用い、上記2つ
の記述間の矛盾の有無、および連動装置の設計の正否を
検証するので、実物の連動装置や現場機器を使うことな
く検証が可能になるため検証に必要な労力や時間を大幅
に軽減できる。また、連動装置の設計を計算機上での処
理に適合する形式に自動的に変換するため、計算機処理
に適合するデータの作成が容易になり、さらに洩れのな
い厳密な検証が可能になるので、シミュレーションの欠
点である検証の不完全さを補い、検証の信頼性を高める
ことができる。また、連動装置の設計記述と連動装置に
対する要求仕様の記述との等価性を証明するようにした
ことにより、連動装置の設計が要求仕様に適合したもの
であるか否かを検証することができる。Further, according to the first method of the present invention, the presence or absence of inconsistency between the two descriptions and the correctness of the design of the interlocking device are verified by using the interlocking device verification device having the first configuration. Therefore, the verification can be performed without using a real interlocking device or on-site equipment, so that labor and time required for the verification can be greatly reduced. In addition, since the design of the interlocking device is automatically converted to a format that is compatible with computer processing, it is easy to create data that is compatible with computer processing, and it is possible to perform strict verification without omission, It is possible to compensate for the incompleteness of the verification, which is a drawback of the simulation, and to increase the reliability of the verification. Further, since the equivalence between the design description of the interlocking device and the description of the required specification for the interlocking device is proved, it is possible to verify whether the design of the interlocking device conforms to the required specification. .
【0034】また、本発明の第2の方法によれば、上記
第2の構成による連動装置の検証装置を用い、上記反例
の出力を用いて設計上の誤りのある部分を特定するの
で、連動装置の検証と、それにもとずく設計修正に要す
る労力と時間を大幅に軽減することが可能である。Further, according to the second method of the present invention, a portion having a design error is specified by using the output of the counterexample using the verification device for the interlocking device according to the second configuration. It is possible to greatly reduce the labor and time required for the verification of the device and the design correction based on it.
【0035】また、本発明の第3の方法によれば、上記
第3の構成による連動装置の検証装置を用い、入力され
た記述の中に現われる実時間的制約条件のうち、等価性
の証明に影響を与えない実時間的制約条件を除外し、検
証負荷を軽減して行うので、検証に要する労力と時間を
大幅に軽減することが可能である。Further, according to the third method of the present invention, the verification of equivalence among the real-time constraints appearing in the input description is performed using the interworking device verification device having the third configuration. Since the real-time constraint condition that does not affect the verification is excluded and the verification load is reduced, the labor and time required for the verification can be significantly reduced.
【図1】 本発明の実施の形態1による連動装置の検証
装置を示す構成図である。FIG. 1 is a configuration diagram showing a verification device of an interlocking device according to a first embodiment of the present invention.
【図2】 本発明の実施の形態1に係わる連動装置の設
備の構成を示す連動図を説明する図である。FIG. 2 is a diagram for explaining an interlocking diagram showing the configuration of the equipment of the interlocking device according to the first embodiment of the present invention.
【図3】 本発明の実施の形態1に係わる連動装置の各
設備の連動条件を示す連動表を説明する図である。FIG. 3 is a diagram illustrating an interlocking table indicating interlocking conditions of each facility of the interlocking device according to the first embodiment of the present invention.
【図4】 本発明の実施の形態1に係わるTCTLの状
態遷移グラフ表現を示す図である。FIG. 4 is a diagram showing a TCTL state transition graph expression according to the first embodiment of the present invention.
【図5】 本発明の実施の形態1に係わるTCTLの状
態遷移グラフ表現のうち信号1Rの状態に関する部分を
示すフローチャートである。FIG. 5 is a flowchart showing a part related to the state of the signal 1R in the TCTL state transition graph representation according to the first embodiment of the present invention.
【図6】 図2及び図3の連動図表で表わされる連動装
置の仕様の例を示す図である。FIG. 6 is a diagram showing an example of specifications of an interlocking device represented by the interlocking charts of FIGS. 2 and 3;
【図7】 図2及び図3の連動図表で表わされる連動装
置の仕様の例を示す図である。FIG. 7 is a diagram showing an example of specifications of an interlocking device represented by the interlocking charts of FIGS. 2 and 3;
【図8】 図2及び図3の連動図表で表わされる連動装
置が図7の仕様を満たすかどうかの証明を試み、失敗し
たときに得られた反例を示す図である。FIG. 8 is a diagram showing a counter example obtained when the interlocking device shown in the interlocking diagrams of FIGS. 2 and 3 attempts to prove whether or not the specification of FIG. 7 satisfies the specification of FIG. 7 and fails.
【図9】 図2及び図3の連動図表で表わされる連動装
置の仕様の例を示す図である。FIG. 9 is a diagram showing an example of specifications of an interlocking device represented by the interlocking charts of FIGS. 2 and 3;
【図10】 図2及び図3の連動図表で表される連動装
置の仕様のTCTLによる記述例を示す図である。FIG. 10 is a diagram showing an example of a description by TCTL of the specification of the interlocking device represented by the interlocking diagrams of FIGS. 2 and 3;
【図11】 図2及び図3の連動図表で表される連動装
置の仕様のTCTLによる記述例を示す図である。FIG. 11 is a diagram illustrating an example of a description by TCTL of the specification of the interlocking device represented by the interlocking diagrams of FIGS. 2 and 3;
【図12】 図2及び図3の連動図表で表される連動装
置の仕様のTCTLによる記述例を示す図である。FIG. 12 is a diagram illustrating an example of a description in TCTL of the specification of the interlocking device represented by the interlocking diagrams of FIGS. 2 and 3;
【図13】 図2及び図3の連動図表で表される連動装
置の仕様のTCTLによる記述例を示す図である。FIG. 13 is a diagram illustrating an example of a description by TCTL of the specification of the interlocking device represented by the interlocking diagrams of FIGS. 2 and 3;
1 入力記述、2 変換器、3 形式的検証器、4 検
証結果出力手段、5車両の進入方向、6 信号機、7
転てつ機、8 転てつ機の定位。1 input description, 2 converter, 3 formal verifier, 4 verification result output means, 5 approach direction of vehicle, 6 traffic light, 7
Pointer, 8 Positioning of the pointer.
───────────────────────────────────────────────────── フロントページの続き (58)調査した分野(Int.Cl.7,DB名) B61L 19/06 ──────────────────────────────────────────────────の Continued on front page (58) Field surveyed (Int.Cl. 7 , DB name) B61L 19/06
Claims (6)
要求仕様の記述とをそれぞれ拘束条件を表現する形式的
言語に変換する変換器と、上記変換器により変換された
2つの形式的言語記述の等価性を証明する形式的検証器
と、上記証明の結果を出力する検証結果出力手段とを備
えた連動装置の検証装置。1. A converter for converting a design description of an interlocking device and a description of a required specification for the interlocking device into a formal language expressing constraint conditions, and two formal language descriptions converted by the converter. A verification device for an interlocking device, comprising: a formal verifier for proving equivalence; and verification result output means for outputting a result of the above proof.
等価でない場合に、この矛盾によって生起される事例を
反例として出力するものである請求項1記載の連動装置
の検証装置。2. The apparatus according to claim 1, wherein the formal verifier outputs a case caused by the contradiction as a counter example when the two descriptions are not equivalent.
間的制約条件とをともに表現できる言語を使用した請求
項1記載の連動装置の検証装置。3. The apparatus according to claim 1, wherein a language capable of expressing both a logical condition and a real-time constraint condition is used as the formal language.
い、上記2つの記述間の矛盾の有無、および連動装置の
設計の正否を検証する連動装置の検証方法。4. A method of verifying an interlocking device, comprising using the interlocking device verification device according to claim 1 to check whether there is a contradiction between the two descriptions and whether the design of the interlocking device is correct.
い、上記反例の出力を用いて設計上の誤りのある部分を
特定する連動装置の検証方法。5. A method of verifying an interlocking device, wherein the verification device of the interlocking device according to claim 2 is used to specify a part having a design error using the output of the counterexample.
い、入力された記述の中に現われる実時間的制約条件の
うち、等価性の証明に影響を与えない実時間的制約条件
を除外し、検証負荷を軽減して検証を行う連動装置の検
証方法。6. A real-time constraint condition which does not affect proof of equivalence among real-time constraint conditions appearing in an input description, using the verification device for an interlocking device according to claim 3. And a verification method for an interlocking device that performs verification while reducing the verification load.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP17647496A JP3246337B2 (en) | 1996-07-05 | 1996-07-05 | Verification device of interlocking device and verification method of interlocking device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP17647496A JP3246337B2 (en) | 1996-07-05 | 1996-07-05 | Verification device of interlocking device and verification method of interlocking device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH1016776A JPH1016776A (en) | 1998-01-20 |
| JP3246337B2 true JP3246337B2 (en) | 2002-01-15 |
Family
ID=16014313
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP17647496A Expired - Fee Related JP3246337B2 (en) | 1996-07-05 | 1996-07-05 | Verification device of interlocking device and verification method of interlocking device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3246337B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5302874B2 (en) * | 2009-12-25 | 2013-10-02 | 株式会社日立製作所 | Interlocking chart verification device and interlocking chart verification method |
-
1996
- 1996-07-05 JP JP17647496A patent/JP3246337B2/en not_active Expired - Fee Related
Non-Patent Citations (1)
| Title |
|---|
| 島添、面川、吉田,デザインダイバーシティにより構築される電子連動用データ作成ツールの開発,電気学会論文誌C,日本,第115巻第5号,665−671 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH1016776A (en) | 1998-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Damm et al. | Verification of a radio-based signaling system using the STATEMATE verification environment | |
| JP2009087354A (en) | Automatic test generation system and method for web application | |
| Bernardeschi et al. | Model checking fault tolerant systems | |
| Pataricza et al. | UML-based design and formal analysis of a safety-critical railway control software module | |
| Gharehbaghi et al. | Transaction-based post-silicon debug of many-core system-on-chips | |
| Janota | Using Z specification for railway interlocking safety | |
| JP3246337B2 (en) | Verification device of interlocking device and verification method of interlocking device | |
| CN116157799A (en) | Dynamic CDC verification method | |
| Boroday et al. | Can a model checker generate tests for non-deterministic systems? | |
| Morley | Safety assurance in interlocking design | |
| JP2802140B2 (en) | How to design logic circuits | |
| Fummi et al. | On the use of a high-level fault model to check properties incompleteness | |
| Schlör et al. | Using a visual formalism for design verification in industrial environments | |
| Heimdahl et al. | Deviation analysis through model checking | |
| Fukuda et al. | VDM specification of an interlocking system and a simulator for its validation | |
| Calame et al. | TTCN-3 testing of hoorn-kersenboogerd railway interlocking | |
| Gnesi et al. | A formal specification and validation of a critical system in presence of byzantine errors | |
| JPH07121576A (en) | Failure simulation device | |
| Entrena et al. | Logic optimization of unidirectional circuits with structural methods | |
| JP3586587B2 (en) | System and method for verifying connection between circuit blocks of LSI | |
| Grinthal | Tutorial: Software Quality Assurance for CAD | |
| JPH11353348A (en) | Device and method for test case generation | |
| Goli et al. | Simulation-based Verification of SystemC-based VPs at the ESL | |
| JP3171236B2 (en) | Input terminal competition pattern detection system | |
| CN115525929A (en) | Formal verification method and system for interlocking data security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071102 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081102 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081102 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091102 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |