铁路车站锁系统集成安全需求自动验证的设计.docVIP

铁路车站联锁系统集成自动认证的安全性需求设计 摘 要 铁路联锁系统（RIS）是一个嵌入式系统（即一个监控系统），该系统是为了保证一个火车站的安全运行。当然，RIS是一个故障-安全系统。 在本文中我们探讨在一个给定的行业系统即铁路联锁系统中设计集成自动形式化验证方法的可能性。 我们的工作主要的障碍是：选择一个正式的验证工具，有效地解决手头的问题和设计验证的成本有效的整合策略等工具。 最后，我们是能够设计出一个成功的整合策略以满足上述约束。而且这样做既不需要修改原设计也不用再培训人员。 我们专为新加坡地铁的做了这项验证实验。实验表明，我们的集成策略自动验证系统设计的确能适应现实的生产实际。 介 绍 铁路联锁系统（RIS）是一个嵌入式系统（即一个监控系统），以确保在火车站的设备能安全运行。如RIS确保不可能使（无论手动或通过一些其他的系统自动控制）可能会导致列车碰撞的道岔发生动作。图1显示了一个联锁系统的作用在铁路控制层次。结构 很明显，RIS是一个故障-安全系统。的确，RIS的客户（通常是铁路公司）越来越重视新设计的系统安全性的依据。权威机关和即将到来的标准（如CENELEC EN50128/129 欧洲 [4, 5]）也要求越来越强烈地意识到每个新设计的RIS的安全性。 因此，当要设计一个风险很大的项目而且需要付出极大精力去规范其正确性。不用说，这往往会增加生产成本以及上市时间,而这是由于RIS不断加深的复杂性。 在这种情况下，增加系统设计的正确性（关于给定的规格）和减少可能的生产时间和成本成了开发新系统所必须要考虑的。人们研究了很多方法来解决上面的问题。例如参考书目[ 6，9，14，15，16，17，18，19，20，21，22，23，24，25，26 ]。 我们工作的目标是在一个给定的工业设计流程中有效地整合RIS实现自动验证在一个给定的工业设计流程。给出的例子很接近我们的论文：[ 6，7 ]。请注意，我们目前研究的是在一个给定的工业设计流程一体化的自动验证而不是验证研究一个给定的火车站的案例，案例研究（例如在[ 7 ]）。 由于我们是研究自动验证，所以对RIS验证必须通过模型检测。事实上，因为RIS是若干个有限状态组成的系统，所以通过模型穷举检测自动验证是符合实际的。 图1 联锁系统 通过模型检测[ 2 ]这种手段，自动验证已经非常成功地用于硬件设计模型。事实上，在一个需要考虑给定属性的系统模型里，它保证能取到所有的状态空间样本。这种方法增加了设计者的自信心和设计产品正确性。 在我们的论文中，RIS的实现需要使用一个有限状态编程语言，它的语法和语义和VCL [ 6 ]非常相似，它就是用于RIS系统设计的编程语言。 因此，对我们而言，RIS的实现就是对一个有限状态程序的定义。我们的目的是验证这些程序满足给定的规格。因为我们是直接地把自动验证程序应用于RIS程序，而且我们没有任何建模活动，因此就没有建模误差（抽象）。在这方面我们与一开始就有来自网络表格的硬件电路认证的设计方案面临着相同的实际情况。 产品所能完成的功能（安全要求）是由信号方面专家给我们的。我们在这里的任务只是马上编写RIS程序使之具备这样的功能。因此，例如，如需求上的确认（即“我们的要求是正确的吗？”），编程过程中的准确性（例如，信号人员人工完成的工作）还有如RIS一系列完整的功能需求的设计则不属于我们的工作范围。这些问题已经由信号专家用其他方法得以解决。 输入我们设计程序的是一个程序P，P规定为RIS和一个正式的安全需求程序φ。而输出是标准是判断当P满足φ时，转向YES，当P不满足φ时，则转向NO。 虽然模型检测是一个详尽的方法，但这个方法在我们的论文中是作为一种增加RIS设计自信心的工具。事实上，即使与模型检查器检查正确，许多问题可能仍然是存在的。例如，模型检验的正确性通常是通过非正式方法得以证明的，所以说它只是依赖于测试。通常用以判断正确性的软件同样只有在与相适应的模型检查器互联之后才能适应生产流程。 我们的目标不是来解决这些问题。这就是我们的目的不是证明（不管那意味着什么）RIS的正确性。在考虑到成本和效益的问题上，我们还没有那种能力既要求成本又要求做到尽可能的集成，模型检查在给定的设计流程，以增加RIS设计信心。这意味着我们接受使用的工具（如模型检查器，接口的软件）没有正式的评价认证。然而，模型检查器是广泛使用的工具。因此，他们已经经过许多独立的用户的多次测试。此外，软件界面很简单。它通常包括从一个格式翻译到另一个。因此，通常地测试就足以发现错误。 所有的模型检查器的核心（SMV [10], Mur [27], SPIN [28 ])的可实现性分析，即所有的状态可从给定的初始状态集开始计算。可实现性分析可以以多种方式实现。这是每一个有效的特定类别的系