铁路车站计算机联锁系统的模型检验.docxVIP

铁路车站计算机联锁系统的模型检验 建模方法是提高软件质量的重要途径。在从高规范到最终实现的过程中，根据形状方法选择合适的工具进行辅助设计和验证，这对提高复杂系统的安全性非常有用。在形式化方法中,模型检验(model checking) 是一种很重要的自动验证技术。主要通过显式状态搜索或隐式不动点计算来验证有穷状态并发系统的模态/命题性质。铁路车站计算机联锁系统是铁路行车的重要信号设备,联锁控制逻辑设计的正确性关系到列车的运行安全。在联锁软件设计阶段采用模型检验方法对联锁控制逻辑的设计进行验证,可以及早发现软件设计错误和缺陷。 1 自动执行系统 模型检验是一种验证系统性质的算法和方法,它从数学上完备地证明或验证系统实现是否与规范(Specification)一致。通常,模型检验采用状态空间搜索的方法,检测一个给定的计算模型是否满足某个用时态逻辑公式表示的特定性质。由于模型检验可以自动执行, 并能在系统不满足性质时提供反例,虽然限制在有穷系统上是一个缺点, 但仍可以应用于许多非常重要的场合, 如硬件控制器和通信协议等。 模型检验问题可以描述为: 对一个表示有穷状态并发系统的Kripke结构K=(S,So,R,AP,L)和一个描述系统性质的时态逻辑公式?,检验该结构K是否为?的一个模型,即检查对于任何?是否满足“K,S→ ?”。 模型检验算法和使用的时态逻辑密切相关。时态逻辑表示系统各个事件的发生在时间上的次序,它可以方便准确地描述并发系统的重要性质,如安全性(Safety)和活性(Liveness)。安全性是指系统的正确性、互斥性和无死锁性,用于说明“坏事情永远都不会发生”;活性是指系统的终止性、无活死锁性、保证服务性和响应性等,用于说明“好事情最终会发生”。 2 基于符号化表示的系统建模 符号模型检验是一种用布尔公式隐式的表示系统状态集合和迁移关系, 并在符号状态空间上进行搜索的技术。符号模型检验使用OBDDs(ordered binary decision diagrams)表示布尔函数,其以下优点是可以用于模型检验的关键:①大多数布尔函数都比较紧凑;②惟一的表现形式;③有高效算法来直接进行各种布尔运算和不动点运算。OBDDs可以像普通布尔公式那样表示布尔函数, 但需要对变量约定一个全序。对于要验证的时态逻辑公式, 通过对迁移关系进行相应的不动点运算,即可得到不动点的OBDDs表示, 用来进一步分析系统是否满足被验证性质。 符号化表示对于数字电路设计的建模十分自然, 由于它捕获了电路设计确定的状态空间规律, 因此能验证具有极大状态空间的系统, 有些情况下可达到1020个。 在符号模型检验方法的基础上,开发了模型检验工具SMV。它具有一个描述层次有穷状态并发系统的规范语言, 并从系统规范中提取以OBDDs形式表示的迁移系统, 然后用基于OBDDs的搜索算法确定系统是否满足用CTL(Computation Tree Logic)描述的被验证性质。 SMV分析软件以有限状态系统说明及其系统属性作为输入,若有限状态系统具有给定的属性,则输出true,否则输出false,并同时显示系统不满足属性的反例。其中系统说明部分用SMV分析软件规定的SMV语言编程,属性部分则用CTL逻辑表达。 SMV已经验证了许多例子, 最有影响的是对IEEE Futurebus+标准中描述的cache一致性协议进行了验证, 并发现了许多以前未发现的错误。 3 计算机联锁技术的应用 在计算机联锁系统中,进路、道岔、信号之间有关安全的逻辑关系主要由软件来实现。规模越大,作业越复杂的车站,由软件承担安全性任务的份额就越大。由于铁路运行安全至关重要,所以软件的安全性倍受关注。 计算机系统软件和联锁软件的安全性、稳定性完全取决于计算机系统硬件的选型、配置,软件的编制以及联锁安全的技术水平。联锁软件差错以及软件缺陷具有极大的隐蔽性和滞后性,这是以往继电式电气集中联锁所没有的特点。一个运行正常的计算机联锁软件,需要以下3部分正确信息。 1.车站轨道拓扑逻辑图。描述轨道电路、信号机和道岔等室外设备之间的物理连接方式。借助一定的CAD 软件,根据站场的拓扑图应能够自动生成车站联锁静态数据。此外,友好的图形界面也能方便用户操作。 2.车站联锁静态数据。包括车站所有的信号设备、控制按钮和各种进路的详细信息。 3. 车站联锁安全条件和联锁控制逻辑。描述站内各种作业所需要满足的联锁安全条件和采取的控制逻辑。 采用模型检验的方法,可对车站联锁安全条件和联锁控制逻辑的设计进行验证。首先采用SMV分析软件进行建模,然后将道岔、进路和信号机之间的联锁关系用CTL表达出来,经过SMV分析软件的符号模型检验,可以确定联锁控制逻辑的设计是否符合道岔、进路和信号机之间的联锁关系。这样可以避免人为设计