三模型体系的列车运行控制系统形式化建模及验证方法
【专利摘要】本发明涉及一种三模型体系的列车运行控制系统形式化建模及验证方法,包括:构建描述待验证模型的系统模型,描述对系统模型中输入变量限制的环境模型以及描述系统所需满足的安全需求和功能需求的验证模型;所述的验证模型调用系统模型,验证模型中所有待验证的需求共同影响环境模型的内容,并通过环境配置矩阵为每条待验证的需求配置环境信息;所述的环境模型模拟系统与外界的交互,描述系统输入变量需满足的关系,并将外界的影响反馈给系统模型。与现有技术相比,本发明具有提高了系统的安全性和可维护性等优点。
【专利说明】
三模型体系的列车运行控制系统形式化建模及验证方法
技术领域
[0001]本发明涉及一种列车运行控制系统建模方法,尤其是涉及一种基于三模型体系的列车运行控制系统形式化建模及验证方法。
【背景技术】
[0002]列车运行控制系统是安全相关的系统,其模型的正确性和安全性直接关系到人民生命财产的安全。根据CLENLIC-EN50128的要求,其安全完整性等级需要达到SIL4级要求。传统的系统开发方法往往通过测试来验证系统的功能需求,但并不能百分百保证功能实现的正确性,更无法保证其安全需求也得到满足。而形式化开发和验证的方法就可以解决这样的困难,因此形式化方法正在逐步的受到各信号厂商和业主的重视。对于目前已有的形式化建模和验证方法,基本都是将带验证的功能需求或安全需求直接采用形式化语言进行描述后放入待验证的系统模型中,整体模型无清晰的结构,建模和模型的维护的难度均较大。由于列车运行控制系统涉及到的变量中数值型的变量的所占比例很大,导致验证其状态空间较大,进行验证需要消耗的非常多的硬件资源和时间,有些情况下验证器甚至无法运行,导致无法给出验证结果。
【发明内容】
[0003]本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种三模型体系的列车运行控制系统形式化建模及验证方法,将用于进行形式化验证的模型分为系统模型、环境模型、验证模型,从而提高了系统的安全性和可维护性。
[0004]本发明的目的可以通过以下技术方案来实现:
[0005]—种三模型体系的列车运行控制系统形式化建模及验证方法,包括:构建描述待验证模型的系统模型,描述对系统模型中输入变量限制的环境模型以及描述系统所需满足的安全需求和功能需求的验证模型;
[0006]所述的验证模型调用系统模型,验证模型中所有待验证的需求共同影响环境模型的内容,并通过环境配置矩阵为每条待验证的需求配置环境信息;所述的环境模型模拟系统与外界的交互,描述系统输入变量需满足的关系,并将外界的影响反馈给系统模型。
[0007]将列车运行控制系统形式化验证的整体模型进行模块化,使得整个模型结构更加清晰。
[0008]将所述的验证模型从整体模型中分离出来,用于保护验证模型不被修改。
[0009]将所述的环境模型从整体模型中分离出来,通过环境模型来描述系统与外界的交互;所述的环境模型对系统模型的输入加入相应的限制,剔除已知的在任何实际情况下均无法覆盖的系统状态空间,可以有效的缩减系统状态空间,提高验证效率。
[0010]所述的环境模块根据信号设备进行分类,得到由多个子环境模型组成的环境模型库,对于不同的需求根据涉及到的信号设备,只需选择对应的子环境模型即可,可以降低建模和模型维护的难度。
[0011]所述的验证模型调用系统模型,并描述系统的应满足的安全需求和功能。
[0012]所述的验证模型决定环境模型的内容,即验证模型的各条需求均有部分已知的任何实际情况下均无法覆盖的状态空间,明确这部分的状态空间后可确定环境模型的内容。
[0013]将所述的验证模型和环境模型分离,在建模过程中,无论与系统交互的环境如何发生变化,均无需修改验证模型,只需对环境模型进行修改即可,使得验证模型更加的稳定,便于维护。
[0014]所述的验证模型根据功能场景进行模块化,一个功能场景对应一个模块,使得验证模型更加易于维护。
[0015]所有待验证的需求根据功能场景划分模块后,每个模块根据涉及到的信号设备的不同选择不同的子环境模型,通过环境配置矩阵配置每个模块的子环境模型;
[0016]所述的环境配置矩阵为连接环境模型和验证模型的桥梁,当某个功能场景发生变更导致涉及到的子环境模型发生变化时,只需要修改环境配置矩阵中对应的配置项即可,使得验证模型有更好的稳定性。
[0017]所述验证模型将部分通用算法抽取出来构成通用算法库,该通用算法库在对系统模型中不同的模块进行建模验证时复用。
[0018]与现有技术相比,本发明将控制系统形式化验证的整体模型进行模块化,使得整个模型结构更加清晰;将系统模型从整个模型分离出来,可以很好的保护系统模型不被修改;通过对系统模型的输入加入相应的限制组织成环境模型,剔除已知的在任何实际情况下均无法覆盖的系统状态空间,可以有效的缩减状态空间,提高验证效率;将验证模型和环境模型分离,在建模过程时,无论与系统交互的环境如何发生变化,均无需修改验证模型,只需对环境模型进行修改即可,使得验证模型更加的稳定,便于维护。
【附图说明】
[0019]图1为本发明的原理不意图;
[0020]图2为本发明的验证流程图。
【具体实施方式】
[0021]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
[0022]本发明三模型体系的列车运行控制系统形式化建模及验证方法,包括:构建描述待验证模型的系统模型,描述对系统模型中输入变量限制的环境模型以及描述系统所需满足的安全需求和功能需求的验证模型,各模型具体内容如下:
[0023](I)系统模型即为描述列车运行控制系统逻辑的模型,在验证时将系统模型作为黑盒,可以降低验证的复杂度。同时由于在模型维护过程中只要系统开发人员不对系统模型进行修改,该模型就不需要变更,将其从整体模型中分离出来,可以很好的保护系统模型不会在进行其他修改时被错误的更改。
[0024](2)环境模型的作用在于描述系统与外界进行交互的方式,以及外界对系统行为的影响,主要是对系统模型输入的限制,描述各种输入数据的具体取值情况或者各种输入变量之间的关系。通过增加环境模型的概念,可以通过对输入的限制降低验证的状态空间,提尚验证的效率。
[0025]对于列车运行控制系统而言,环境模型还可以根据信号设备进行模块化,一个模块描述对一种信号设备的限制,以此构成环境模型库。对于不同的安全需求,涉及到的信号设备是整个信号设备集的子集,因此只需要根据信号设备子集和信号设备全集的关系进行每条安全需求的环境配置,选择适用的子环境模型,降低了建模的难度。
[0026]在进行验证时,如果验证失败,一般有可能是系统模型出错或环境模型出错或验证模型出错,且后两种情况居多,尤其是当环境模型出错时,较难定位,因此将环境模型根据信号设备进行模块化,对于某条验证失败的安全需求,检查环境模型的建模是否正确时,只需要检查相关的子环境模型即可,使得错误更容易定位,降低了环境模型和验证模型开发调试的难度,使得环境模型更容易维护。
[0027](3)验证模型用于描述待验证的安全需求或功能需求。验证模型的各条需求中均存在一些已知的在任何实际情况下均无法覆盖的状态空间,明确这部分的状态空间后便可以对输入进行限制,从而得到环境模型。将环境模型和验证模型分离,可以使得对验证模型进行建模时,无需考虑与外界的交互情况,只需关注系统的内部逻辑。
[0028]对于每条安全需求或功能需求,还可以根据不同的功能场景进行模块化,可以降低建模和验证的复杂度,也使得验证模型更易维护,而且对于不同场景模块只需在模块配置信息处选择环境配置矩阵对应的配置项就可以进行相关环境下的验证。当某个功能场景发生变更导致涉及到的子环境模型出现变化时,只需修改环境配置矩阵中对应的配置项即可。
[0029]对于一条需求进行验证时,只有当所有场景下的子模块都验证通过时,整条需求才算验证通过。如果某一个子模块验证失败,则该条需求验证失败,进行调试时,可以根据对应的场景去检查验证模型建模是否出错。
[0030]对于验证模型中,如果涉及到数值计算,必然会有一些通用的算法,为了防止共因失效,验证模型中的这些算法需要和原系统模型中的算法背对背开发。这些通用算法可以放入通用模块库,供验证模型调用,在验证模型不同的子模块中甚至不同的子系统验证模型中均可以复用。
[0031 ]本实施例叙述了对列车运行控制系统建立三模型体系结构的形式化模型以及验证的流程。
[0032]1.建立三模型体系的形式化模型过程包括:
[0033]I)获得系统模型,识别系统模型的输入变量,将系统模型设为只读模式;
[0034]2)在待验证模块中识别需要验证的功能需求或安全需求;
[0035]3)将识别出的待验证需求根据功能场景进行分类;
[0036]4)分析每条待验证的需求,确定无法覆盖的状态空间;
[0037]5)根据I)和4)的内容得到初步的环境模型;
[0038]6)在待验证的系统中识别出所有的信号设备;
[0039]7)对每一个信号设备,建立子环境模型;
[0040]8)建立每条需求的每个功能场景下的形式化描述;
[0041]9)确定每条需求的每个功能场景所对应的子环境模型,进行环境配置,配置信息形成环境配置矩阵。
[0042]2.需求验证的过程包括:
[0043]I)将系统模型、环境模型、验证模型以及环境配置矩阵输入验证器进行验证;
[0044]2)如果验证通过,得到验证报告;
[0045]3)如果某条需求验证失败,则首先找出该条需求对应失败的功能场景;
[0046]4)分析3)中找出的失败的功能场景下对应的待验证需求的形式化描述,如果出错,则进行修改验证模型中对应模块的形式化描述,回到I)重新验证;
[0047]5)如果4)中出错的功能场景下的待验证的需求形式化描述未出错,则识别出该功能场景下对应的子环境模型,分析是否子环境模型出错,如果出错,则修改对应的子环境模型,回到I)重新验证;
[0048]6)如果子环境模型未出错,则将出错信息提供给系统模型开发人员,分析系统模型是否出错,若出错则根据系统模型开发人员给出的更新后的系统模型再重新验证;
[0049]7)重复3)-6)对所有验证出错的需求进行分析直到所有需求验证通过。
[0050]具体的验证流程如图2所示。
[0051 ]本发明在形式化建模验证的基础上将模型分为由系统模型、环境模型和验证模型构成的三模型体系结构,可以有效缩减验证的状态空间,提高了验证效率,同时使得验证过程中更易定位模型错误,减小了建模和模型维护的难度。本方法主要适用的领域为列车运行控制系统,除此以外,也适用于各种安全相关的其他领域的系统。
[0052]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
【主权项】
1.一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,包括:构建描述待验证模型的系统模型,描述对系统模型中输入变量限制的环境模型以及描述系统所需满足的安全需求和功能需求的验证模型; 所述的验证模型调用系统模型,验证模型中所有待验证的需求共同影响环境模型的内容,并通过环境配置矩阵为每条待验证的需求配置环境信息;所述的环境模型模拟系统与外界的交互,描述系统输入变量需满足的关系,并将外界的影响反馈给系统模型。2.根据权利要求1所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,将所述的验证模型从整体模型中分离出来,用于保护验证模型不被修改。3.根据权利要求1所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,将所述的环境模型从整体模型中分离出来,通过环境模型来描述系统与外界的交互;所述的环境模型对系统模型的输入加入相应的限制,剔除已知的在任何实际情况下均无法覆盖的系统状态空间。4.根据权利要求1所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,所述的环境模块根据信号设备进行分类,得到由多个子环境模型组成的环境模型库,对于不同的需求根据涉及到的信号设备,只需选择对应的子环境模型即可。5.根据权利要求1所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,所述的验证模型调用系统模型,并描述系统的应满足的安全需求和功能。6.根据权利要求1所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,所述的验证模型决定环境模型的内容,即验证模型的各条需求均有部分已知的任何实际情况下均无法覆盖的状态空间,明确这部分的状态空间后可确定环境模型的内容。7.根据权利要求1所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,将所述的验证模型和环境模型分离,在建模过程中,无论与系统交互的环境如何发生变化,均无需修改验证模型,只需对环境模型进行修改即可。8.根据权利要求1或7所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,所述的验证模型根据功能场景进行模块化,一个功能场景对应一个模块。9.根据权利要求8所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,所有待验证的需求根据功能场景划分模块后,每个模块根据涉及到的信号设备的不同选择不同的子环境模型,通过环境配置矩阵配置每个模块的子环境模型; 所述的环境配置矩阵为连接环境模型和验证模型的桥梁,当某个功能场景发生变更导致涉及到的子环境模型发生变化时,只需要修改环境配置矩阵中对应的配置项即可。10.根据权利要求1或5所述的一种三模型体系的列车运行控制系统形式化建模及验证方法,其特征在于,所述验证模型将部分通用算法抽取出来构成通用算法库,该通用算法库在对系统模型中不同的模块进行建模验证时复用。
【文档编号】G06F19/00GK105844091SQ201610159955
【公开日】2016年8月10日
【申请日】2016年3月21日
【发明人】周庭梁, 刘静, 罗娟, 陈祥, 左辉, 陈小红
【申请人】卡斯柯信号有限公司