WO2024060377A1

WO2024060377A1 - 联锁数据安全性的形式化验证方法和系统

Info

Publication number: WO2024060377A1
Application number: PCT/CN2022/131326
Authority: WO
Inventors: 王燕芩; 魏民; 张铭瑶; 朱迎春; 李卫娟; 张程; 刘丽娟; 陈虹
Original assignee: 卡斯柯信号有限公司
Priority date: 2022-09-19
Filing date: 2022-11-11
Publication date: 2024-03-28
Also published as: CN115525929A

Abstract

本发明公开了一种联锁数据安全性的形式化验证方法和系统，该方法包括：采用形式化建模语言建立联锁数据形式化验证通用模型；建立联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系；根据映射关系对待验证联锁数据进行安全转化，得到联锁数据形式化验证通用模型需求的通用验证数据；从通用验证数据中选择验证对象，并选择验证算法通过形式化验证工具自动验证验证对象，以完成联锁数据安全性的形式化验证。本发明能够有效验证特定联锁数据对联锁系统需求实现的可满足性和安全性。

Description

联锁数据安全性的形式化验证方法和系统

技术领域

本发明涉及轨道联锁数据验证技术领域，尤其涉及一种联锁数据安全性的形式化验证方法和系统。

背景技术

计算机联锁系统是轨道交通运输中涉及生命财产安全的高安全性系统，其安全性需通过系统逻辑设计与安全需求的一致性和特殊安全防护措施保证。而在系统实现上，存在因需求描述不准确导致系统实现不准确，进一步导致最终系统功能失效的问题，容易危及行车安全。

结合联锁系统应用数据的设计过程和特点，因人工参与主要存在于联锁数据设计过程中的TLE文件和VTL文件的设计阶段，所以联锁系统应用数据在人工设计上也可能存在数据安全问题。

传统的联锁数据开发、设计和测试的方法并不能证明其所实现的安全相关系统完全满足功能需求和安全需求。采用传统的开发、测试、验证方法主要存在以下几方面问题：

1)使用自然语言描述需求，需求内容不够详细，容易产生二义性，设计和测试阶段均可能会出现因为对需求理解的偏差而造成设计错误或测试错误的情况。

2)传统的测试方法无法覆盖系统在某个测试场景下的所有的状态空间，这就导致一些潜在的危险问题可能没有在测试时被发现，却在实际运行中会发生。

3)对于安全需求的验证目前主要是通过开展需求、设计、实现过程中的对应关系进行追踪，大多仅停留在文档的层面，无法识别所有的危害场景，所以无法保证软件实现能够规避所有风险，以完全满足安全需求，而且对于安全需求的验证多采用人工分析的方式，效率较低，需要投入较多的人力资源。

另外，通用数据设计的复杂度很大程度上取决于车站站型的复杂性，同时，联锁数据实例化工具在功能实现上也依赖于车站站型。对于简单站型，通用联锁规则能够满足站型需要，但对于复杂站型，通用联锁规则无法满足站型功能上的需要，其需要人工进行特殊联锁功能的逻辑设计。同时，因站型的复杂性，联锁数据的双链实例化工具无法适配所有站型，特殊站型可能导致实例化生成的联锁数据文件存在错误。

发明的公开

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个目的在于提供一种基于联锁数据的布尔逻辑特点，并基于严格数学证明理论、全状态空间穷尽搜索的联锁数据安全性的形式化验证方法，该方法具有执行速度快、高自动化的特点，并能够有效验证特定联锁数据对联锁系统需求实现的可满足性和安全性。

为达到上述目的，本发明通过以下技术方案实现：

一种联锁数据安全性的形式化验证方法，包括：

采用形式化建模语言建立联锁数据形式化验证通用模型；

建立所述联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系；

根据所述映射关系对待验证联锁数据进行安全转化，得到所述联锁数据形式化验证通用模型需求的通用验证数据；

从所述通用验证数据中选择验证对象，并选择验证算法通过形式化验证工具自动验证所述验证对象，以完成联锁数据安全性的形式化验证。

可选的，通过所述联锁数据形式化验证通用模型描述联锁系统通用安全需求。

可选的，采用双链联锁数据安全转换工具对所述待验证联锁数据进行安全转化。

可选的，所述联锁数据包括描述联锁运算逻辑的VTL文件、描述站场拓扑结构和信号设备属性的TLE文件、描述联锁系统与其他系统的SyID接口文件和站场设备功能列表STA配置文件中的至少一种。

可选的，在得到所述通用验证数据之后，并进行自动验证之前，还包括：根据所述站场设备功能列表STA配置文件确定联锁数据形式化验证的范围。

可选的，所述形式化验证工具在发生验证错误时，还通过人机接口输出验证错误问题列表。

可选的，所述方法还包括：

获取并分析所述验证错误问题列表，以分析所述验证错误问题列表中是否存在反例描述，并在存在反例描述时，根据所述反例描述执行反例验证调试；

获取反例验证分析结果，并根据所述反例验证分析结果修正所述待验证联锁数据，以及重新返回对所述待验证联锁数据进行安全转化的步骤，直至所有验证对象通过形式化验证。

可选的，在所述验证对象通过形式化验证之后，还包括：生成联锁数据安全验证报告。

可选的，所述方法还包括：对所述双链联锁数据安全转换工具输出的双链文件进行比较，并在所述双链文件比较一致时，从所述双链文件中任意取一链输出文件作为所述形式化验证工具的输入数据。

可选的，所述VTL文件包括车站各设备的状态信息、联锁运算的内部逻辑信息、联锁运算的对外控制命令信息以及描述各设备变量间的联锁逻辑运算关系的布尔等式信息中的至少一种。

可选的，所述TLE文件包括车站内所有信号设备的名称和设备属性信息、各设备间的前后连接关系信息，以及描述信号设备联锁制约关系的进路表信息中的至少一种。

可选的，所述SyID接口文件包括与上位机接口的操作请求和设备状态显示信息、与轨旁设备接口的设备控制命令和状态检测信息、与列控设备接口的进路状态信息，以及与全电子执行单元接口的驱动采集信息中的至少一种。

可选的，所述站场设备功能列表STA配置文件包括联锁车站设备信息、进路信息、信号显示信息、接近区段信息和进路解锁延时时间信息中的至少一种。

为达到上述目的，本发明第二方面提供了一种联锁数据安全性的形式化验证系统，包括：

验证通用模型建立模块，用于建立所述联锁数据形式化验证通用模型，并建立所述联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系；

联锁数据安全转化模块，与所述验证通用模型建立模块连接，所述联锁数据安全转化模块用于根据所述映射关系，对待验证联锁数据进行安全转化，得到所述联锁数据形式化验证通用模型需求的通用验证数据；

形式化安全验证模块，与所述联锁数据安全转化模块连接，所述形式化安全验证模块用于根据所选择的验证算法对从所述通用验证数据中选择的验证对象进行自动验证；

形式化反例验证调试模块，与所述形式化安全验证模块连接，所述形式化反例验证调试模块用于获取并分析验证错误问题列表，以及在所述验证错误问题列表存在反例描述时，对所述反例描述执行反例验证调试；

联锁数据安全验证结果生成模块，与所述形式化安全验证模块连接，所述联锁数据安全验证结果生成模块用于根据所述形式化安全验证模块的输出结果生成联锁数据安全验证报告。

为达到上述目的，本发明第三方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现上述所述的联锁数据安全性的形式化验证方法。

为达到上述目的，本发明第四方面提供了一种电子设备，包括处理器和存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现上述所述的联锁数据安全性的形式化验证方法。

本发明至少具有以下技术效果：

1、本发明将形式化验证技术应用于计算机联锁系统联锁数据的验证，能够验证经过数据配置实例化之后的联锁系统对安全规范的满足性，可提前发现联锁系统因通用应用模型和特定应用转换规则不完整及数据验证过程的主观性而导致的错误，并且实例化之后的特定应用联锁数据才是真正联锁车站现场应用的联锁软件，由此本发明通过形式化验证方法验证联锁数据的安全性，可进一步提升联锁产品的安全性。

2、本发明采用归纳验证和模型检验相结合的形式化验证方法可覆盖系统在某个测试场景下的所有的状态空间，并可对危险事件不可能发生情况进行验证。

3、本发明采用形式化建模语言建立联锁数据形式化验证通用模型可防止出现对需求理解的偏差而造成设计错误或测试错误的情况。

4、本发明建立联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系，并根据映射关系对待验证联锁数据进行安全转化，得到联锁数据形式化验证通用模型需求的通用验证数据，可使得该方法能够适用于复杂站型。

5、本发明还提供了完整的形式化验证工具执行数据证明的过程，并且本发明还能够生成独立的联锁数据验证报告，以为系统安全性提供有效的安全论据，方便进行项目安全评估。

6、本发明还提供了联锁数据对安全需求属性验证范围的配置，本发明根据配置选择需要验证的通用安全需求，对不同车站联锁功能联锁数据提供定制化的验证，可减少验证过程中非本站联锁功能安全需求模型的遍历，从而可有效提高软件验证效率，并对于不同规模的项目实施验证更加灵活。

7、本发明还提供了联锁数据安全转换技术，以生成通用格式验证文件，从而可为不同格式联锁数据提供统一文件处理格式，以方便验证模型在不同联锁系统中的灵活应用。

附图的简要说明

图1为本发明一实施例提供的联锁数据安全性的形式化验证方法的流程图。

图2为本发明一实施例提供的联锁数据的结构示意图。

图3为本发明一实施例提供的联锁数据安全性的形式化验证方法的工作流程图。

图4为本发明一实施例提供的形式化验证工具的结构示意图。

图5为本发明一实施例提供的联锁数据安全性的形式化验证系统的结构框图。

实现本发明的最佳方式

以下结合附图和具体实施例对本发明作进一步详细说明。根据下面说明和权利要求书，本发明的优点和特征将更清楚。需说明的是，附图均采用非常简化的形式且均使用非精准的比率，仅用以方便、明晰地辅助说明本发明实施例的目的。

下面参考附图描述本实施例的联锁数据安全性的形式化验证方法和系统。

图1为本发明一实施例提供的联锁数据安全性的形式化验证方法的流程图。如图1所示，该方法包括：

步骤S1：采用形式化建模语言建立联锁数据形式化验证通用模型。

本实施例中，联锁数据是基于6502继电集中联锁的继电电路控制原理设计，其是通过定义特定的语法、语义规则，并应用布尔代数的表达方式，对6502电气集中电路中的联锁逻辑关系进行描述。联锁数据在描述上，继承了6502电路中定义的各功能继电器(在联锁数据中，所有继电器均称为参数或变量)，实现了联锁逻辑参数和站场设备的映射关联，并结合逻辑运算符“与”、“或”、“非”对设备的指定参数进行逻辑运算，以及根据站场数据拓扑结构中联锁设备的链接关系，抽象出各逻辑电路的继电器的布尔代数表达式，形成了具有联锁意义的布尔表达式，构成了特定车站联锁数据。需要说明的是，联锁数据中的每条布尔等式的逻辑是根据联锁系统的不同应用场景和不同联锁功能设计，其定义了每个信号设备间的制约关系。

如图2所示，本实施例中的联锁数据包括描述联锁运算逻辑的VTL文件、描述站场拓扑结构和信号设备属性的TLE文件、描述联锁系统与其他系统的SyID接口文件和站场设备功能列表STA配置文件中的至少一种。

其中，VTL文件用于记录车站联锁设备之间的联锁逻辑运算关系，其包括车站各设备的状态信息、联锁运算的内部逻辑信息、联锁运算的对外控制命令信息以及描述各设备变量间的联锁逻辑运算关系的布尔等式信息中的至少一种。TLE文件为文本文件，其包括车站内所有信号设备的名称和设备属性信息(如设备类型、设备用途和特殊检查条件等)、各设备间的前后连接关系信息(如上行连接关系、下行连接关系)，以及描述信号设备联锁制约关系的进路表信息中的至少一种。SyID接口文件用于记录联锁系统所有通信接口信息，其包括与上位机接口的操作请求和设备状态显示信息、与轨旁设备接口的设备控制命令和状态检测信息、与列控设备接口的进路状态信息，以及与全电子执行单元接口的驱动采集信息中的至少一种。站场设备功能列表 STA配置文件包括联锁车站设备信息、进路信息、信号显示信息、接近区段信息和进路解锁延时时间信息中的至少一种。

本实施例中，针对联锁数据的形式化验证，最简单、有效地方法是直接对TLE文件和VTL文件转换后的数据进行验证，并可根据验证需要，对验证过程中需要的验证辅助输入文件STA文件进行转换识别，以验证联锁数据的安全性。

需要说明的是，本实施例中的联锁数据形式化验证通用模型是用以描述联锁系统通用安全需求的。具体的，如图3所示，可将联锁系统自然语言描述的通用安全需求转换成形式化语言描述的联锁数据形式化验证通用模型，即实现联锁系统安全需求的形式化建模。

步骤S2：建立联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系。

本实施例中，可依据联锁数据形式化验证通用模型中安全逻辑属性定义，建立安全逻辑属性与联锁数据中联锁设备、联锁逻辑参数、车站联锁功能之间的链接关系，并确定联锁数据中的验证对象和验证输入。

具体的，可对于每个单站联锁数据，定义联锁数据形式化验证通用模型中变量的命名规则，以用于实现形式化需求变量和联锁数据代码变量的映射。本实施例中，关于形式化变量和代码变量映射的匹配文件关键谓词的引用格式为：CLASSNAME@VARNAME//表示某个类CLASSNAME的形式化变量(输入变量或者等式)VARNAME。其中，当变量名称缺失时，可将可选值定义为默认值DEFAULT，并根据DEFAULT的定义，得到对应类的全名。

需要说明的是，用户还可在系统的type模块自定义type类型，用以实现较为复杂的变量名称映射。如联锁数据中的列车进路TRAIN_ROUTE，当进路由进路名称映射到其对应的定义进路名称的变量名时，必须忽略进路名称的进路类型后缀。

步骤S3：根据映射关系对待验证联锁数据进行安全转化，得到联锁数据形式化验证通用模型需求的通用验证数据。

本实施例中，可采用双链联锁数据安全转换工具对待验证联锁数据进行安全转化。其中，该方法还包括：对双链联锁数据安全转换工具输出的双链文件进行比较，并在双链文件比较一致时，从双链文件中任意取一链输出文件作为形式化验证工具的输入数据。

本实施例中，可按照联锁数据形式化验证通用模型的数据格式要求，采用独立的相异双链联锁数据安全转换工具，对待验证联锁数据进行安全转化，以产生联锁数据形式化验证通用模型需要的通用验证数据。

具体的，可将针对某一具体车站的特定应用联锁数据文件转换成形式化验证工具可识别的数据格式LCF文件，其中LCF文件格式参见下表1。

表1 LCF文件格式

其中，可采用双链联锁数据安全转换工具Translator1&Translator2进行转换。本实施例中，每一链翻译器均需要实现对VTL文件、TLE文件和STA文件和SyID文件的转换功能，并提供对双链输出文件的比较功能。其中，在双链文件比较一致时，可任取一链输出转换文件作为形式化验证工具的输入，进行验证。

在本发明的一个实施例中，在得到通用验证数据之后，并进行自动验证之前，还包括：根据站场设备功能列表STA配置文件确定联锁数据形式化验证的范围。

具体的，可对通用验证需求是否执行验证进行可配置处理。例如，在验证前，可根据联锁车站功能列表，如是否有延续进路功能、信号机灭灯、调车功能等，确定通用验证需求范围。其中，配置文件中对于无需执行验证的需求定义值永远为真，并使用“AlwaysTure”标记，其格式为：“验证需求编号”：AlwaysTure。需要说明的是，当存在多个需求对车站数据不适用时，则分行逐一配置。

步骤S4：从通用验证数据中选择验证对象，并选择验证算法通过形式化验证工具自动验证验证对象，以完成联锁数据安全性的形式化验证。

其中，形式化验证工具在发生验证错误时，还可通过人机接口输出验证错误问题列表。

在本发明的一个实施例中，该方法还包括：获取并分析验证错误问题列表，以分析验证错误问题列表中是否存在反例描述，并在存在反例描述时，根据反例描述执行反例验证调试；获取反例验证分析结果，并根据反例验证分析结果修正待验证联锁数据，以及重新返回对待验证联锁数据进行安全转化的步骤，直至所有验证对象通过形式化验证；以及在验证对象通过形式化验证之后，生成联锁数据安全验证报告。

具体的，可通过形式化验证工具人机接口，选择验证算法，以通过形式化验证工具执行形式化自动验证，并等待形式化验证工具返回的验证结果。其中，形式化验证工具即如图4所示，形式化验证模块即形式化验证工具包括通用验证模块和特定应用配置模块，其中，通用验证模块采用的验证方法包括边界值验证法、插值验证法和归纳验证法。

进一步的，形式化验证工具验证完成后，自动在特定应用数据工程包/iLock-save中自动生成每条验证需求关联的联锁数据中验证对象的验证记录即验证错误问题列表，该验证记录用以描述验证对象是否满足安全需求模型。其中，验证对象可以为进路、道岔、信号机、区段、区段组合等。

形式化验证工具通过人机接口输出验证错误问题列表后，可对验证错误问题列表中是否存在反例描述进行分析，并在分析得到存在反例描述时，根据反例描述执行反例验证调试，以查找验证对象与需求不符合的原因。具体的，可分析验证错误问题列表，如确定每个安全需求验证结果为invalid(无效)的验证对象，当确定验证结果为invalid时，则可判断该验证对象为安全需求的反例，并根据验证对象的布尔等式，分析使布尔等式运算结果为false (错误)的输入参数的实际状态，以及判断当前需求模型对应的联锁应用场景所要求的输入参数的预期状态。分析输入参数实际状态和预期状态不一致所对应的数据设计错误的原因。

进一步的，根据错误原因分析结果修正待验证联锁数据。待验证联锁数据修改正确后，再返回重新执行对待验证联锁数据进行安全转化的步骤，以及之后的验证步骤，直至所有验证需求对应的验证对象的验证结果为valid(有效)，并在验证对象通过形式化验证之后，通过形式化验证工具的人机接口选择生成联锁数据安全验证报告。

图5为本发明一实施例提供的联锁数据安全性的形式化验证系统的结构

框图。如图5所示，该联锁数据安全性的形式化验证系统10包括：验证通用模型建立模块11、联锁数据安全转化模块12、形式化安全验证模块13、形式化反例验证调试模块14和联锁数据安全验证结果生成模块15。

其中，联锁数据安全转化模块12为独立模块，采用相异双链开发的安全工具，其他模块为集成化验证工具。

本实施例中，验证通用模型建立模块11用于建立联锁数据形式化验证通用模型，并建立联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系；联锁数据安全转化模块12与验证通用模型建立模块11连接，联锁数据安全转化模块12用于根据映射关系对待验证联锁数据进行安全转化，得到联锁数据形式化验证通用模型需求的通用验证数据；形式化安全验证模块13与联锁数据安全转化模块12连接，形式化安全验证模块13用于根据所选择的验证算法对从通用验证数据中选择的验证对象进行自动验证；形式化反例验证调试模块14与形式化安全验证模块13连接，形式化反例验证调试模块14用于获取并分析验证错误问题列表，以及在验证错误问题列表存在反例描述时，对反例描述执行反例验证调试；联锁数据安全验证结果生成模块15与形式化安全验证模块13连接，联锁数据安全验证结果生成模块15用于根据形式化安全验证模块13的输出结果生成联锁数据安全验证报告。

需要说明的是，本实施例的的联锁数据安全性的形式化验证系统具体实施方式可参见上述联锁数据安全性的形式化验证方法的具体实施方式，为避免冗余，此处不再赘述。

进一步的，本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时，实现上述的联锁数据安全性的形式化验证方法。

进一步的，本发明还提供了一种电子设备，包括处理器和存储器，存储器上存储有计算机程序，计算机程序被处理器执行时，实现上述的联锁数据安全性的形式化验证方法。

由于联锁数据主要是由描述联锁逻辑的布尔逻辑等式构成的，而联锁布尔逻辑等式采用一阶谓词逻辑运算符连接，对联锁布尔逻辑数据进行形式化验证，其中，形式化验证方法从状态空间的角度出发，对其进行模型检验。对于一个完善的联锁系统，除了要通过测试说明各项功能需求被正确无误的实现，还必须验证上述各种危险事件的不可能发生。本发明采用归纳验证和模型检验相结合的形式化验证方法可证明系统的输出无法导致危险事件发生。其中，通过模型检验可以覆盖每一个周期的所有状态空间，而通过归纳验证，则可以覆盖所有的周期。

并且，在联锁数据准备过程中，以往主要通过经验来进行联锁数据的测试以验证其安全性，但是其具体是通过遍历的方法来测试，其无法覆盖所有状态空间的问题，且在有限的安全需求情况下遍历测试一个中小型车站需消耗长达2个月的测试时间，而本发明采用联锁数据的形式化验证可以在1天左右完成联锁数据安全性验证工作，极大的提升了联锁数据验证的范围和效率，并节约了人力成本，从而在坚实的理论基础上以先进的技术方法提升了系统软件安全性，进一步保障了行车的安全。

另外，本发明已经被应用于iLOCK联锁系统联锁数据的安全验证，并对实际车站数据开通应用。本发明采用形式化方法对联锁数据进行验证，为系统的安全提供了保障。由于联锁系统内部安全主要涉及联锁数据中的布尔逻辑，而本发明采用的联锁形式化验证是从系统的安全需求出发，通过模型检验证明联锁软件的安全需求已经实现且系统功能满足系统需求，并且，本发可通过验证尽早发现联锁系统设计上的缺陷，提升产品质量和安全性。

综上所述，本发明采用归纳验证和模型检验相结合的形式化验证方法可覆盖系统在某个测试场景下的所有的状态空间，并可对危险事件不可能发生情况进行验证；本发明采用形式化建模语言建立联锁数据形式化验证通用模型可防止出现对需求理解的偏差而造成设计错误或测试错误的情况；本发明建立联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系，并根据映射关系对待验证联锁数据进行安全转化，得到联锁数据形式化验证通用模型需求的通用验证数据，可使得该方法能够适用于复杂站型；另外，本发明还提供了完整的形式化验证工具执行数据证明的过程，并且本发明还能够生成独立的联锁数据验证报告，以为系统安全性提供有效的安全论据，方便进行项目安全评估；以及，还提供了联锁数据对安全需求属性验证范围的配置，本发明根据配置选择需要验证的通用安全需求，对不同车站联锁功能联锁数据提供定制化的验证，可减少验证过程中非本站联锁功能安全需求模型的遍历，从而可有效提高软件验证效率，并对于不同规模的项目实施验证更加灵活；最后，本发明还提供了联锁数据安全转换技术，以生成通用格式验证文件，从而可为不同格式联锁数据提供统一文件处理格式，以方便验证模型在不同联锁系统中的灵活应用。

尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。

Claims

一种联锁数据安全性的形式化验证方法，其特征在于，包括：

采用形式化建模语言建立联锁数据形式化验证通用模型；

建立所述联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系；

根据所述映射关系对待验证联锁数据进行安全转化，得到所述联锁数据形式化验证通用模型需求的通用验证数据；

从所述通用验证数据中选择验证对象，并选择验证算法通过形式化验证工具自动验证所述验证对象，以完成联锁数据安全性的形式化验证。
如权利要求1所述的联锁数据安全性的形式化验证方法，其特征在于，通过所述联锁数据形式化验证通用模型描述联锁系统通用安全需求。
如权利要求1所述的联锁数据安全性的形式化验证方法，其特征在于，采用双链联锁数据安全转换工具对所述待验证联锁数据进行安全转化。
如权利要求3所述的联锁数据安全性的形式化验证方法，其特征在于，所述联锁数据包括描述联锁运算逻辑的VTL文件、描述站场拓扑结构和信号设备属性的TLE文件、描述联锁系统与其他系统的SyID接口文件和站场设备功能列表STA配置文件中的至少一种。
如权利要求4所述的联锁数据安全性的形式化验证方法，其特征在于，在得到所述通用验证数据之后，并进行自动验证之前，还包括：根据所述站场设备功能列表STA配置文件确定联锁数据形式化验证的范围。
如权利要求1所述的联锁数据安全性的形式化验证方法，其特征在于，所述形式化验证工具在发生验证错误时，还通过人机接口输出验证错误问题列表。
如权利要求6所述的联锁数据安全性的形式化验证方法，其特征在于，还包括：

获取并分析所述验证错误问题列表，以分析所述验证错误问题列表中是否存在反例描述，并在存在反例描述时，根据所述反例描述执行反例验证调试；

获取反例验证分析结果，并根据所述反例验证分析结果修正所述待验证联锁数据，以及重新返回对所述待验证联锁数据进行安全转化的步骤，直至所有验证对象通过形式化验证。
如权利要求7所述的联锁数据安全性的形式化验证方法，其特征在于，在所述验证对象通过形式化验证之后，还包括：生成联锁数据安全验证报告。
如权利要求3所述的联锁数据安全性的形式化验证方法，其特征在于，还包括：对所述双链联锁数据安全转换工具输出的双链文件进行比较，并在所述双链文件比较一致时，从所述双链文件中任意取一链输出文件作为所述形式化验证工具的输入数据。
如权利要求4所述的联锁数据安全性的形式化验证方法，其特征在于，所述VTL文件包括车站各设备的状态信息、联锁运算的内部逻辑信息、联锁运算的对外控制命令信息以及描述各设备变量间的联锁逻辑运算关系的布尔等式信息中的至少一种。
如权利要求4所述的联锁数据安全性的形式化验证方法，其特征在于，所述TLE文件包括车站内所有信号设备的名称和设备属性信息、各设备间的前后连接关系信息，以及描述信号设备联锁制约关系的进路表信息中的至少一种。
如权利要求4所述的联锁数据安全性的形式化验证方法，其特征在于，所述SyID接口文件包括与上位机接口的操作请求和设备状态显示信息、与轨旁设备接口的设备控制命令和状态检测信息、与列控设备接口的进路状态信息，以及与全电子执行单元接口的驱动采集信息中的至少一种。
如权利要求4所述的联锁数据安全性的形式化验证方法，其特征在于，所述站场设备功能列表STA配置文件包括联锁车站设备信息、进路信息、信号显示信息、接近区段信息和进路解锁延时时间信息中的至少一种。
一种联锁数据安全性的形式化验证系统，其特征在于，包括：

验证通用模型建立模块，用于建立所述联锁数据形式化验证通用模型，并建立所述联锁数据形式化验证通用模型中设定的安全逻辑属性与联锁数据中的联锁设备、联锁逻辑参数和车站联锁功能之间的映射关系；

联锁数据安全转化模块，与所述验证通用模型建立模块连接，所述联锁数据安全转化模块用于根据所述映射关系，对待验证联锁数据进行安全转化，得到所述联锁数据形式化验证通用模型需求的通用验证数据；

形式化安全验证模块，与所述联锁数据安全转化模块连接，所述形式化安全验证模块用于根据所选择的验证算法对从所述通用验证数据中选择的验证对象进行自动验证；

形式化反例验证调试模块，与所述形式化安全验证模块连接，所述形式化反例验证调试模块用于获取并分析验证错误问题列表，以及在所述验证错误问题列表存在反例描述时，对所述反例描述执行反例验证调试；

联锁数据安全验证结果生成模块，与所述形式化安全验证模块连接，所述联锁数据安全验证结果生成模块用于根据所述形式化安全验证模块的输出结果生成联锁数据安全验证报告。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现如权利要求1-13中任一项所述的联锁数据安全性的形式化验证方法。
一种电子设备，其特征在于，包括处理器和存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现如权利要求1-13中任一项所述的联锁数据安全性的形式化验证方法。