葉安君

(中鐵第一勘察設(shè)計(jì)院集團(tuán)有限公司，710043，西安//高級(jí)工程師)

我國(guó)現(xiàn)運(yùn)營(yíng)的高速鐵路采用的是國(guó)產(chǎn)化CTCS-3級(jí)列車(chē)運(yùn)行控制系統(tǒng)(以下簡(jiǎn)稱(chēng)“列控系統(tǒng)”)。中國(guó)鐵路總公司是2014年開(kāi)始開(kāi)展自主化CTCS-3級(jí)列控系統(tǒng)技術(shù)研究的，研發(fā)了一批具有自主知識(shí)產(chǎn)權(quán)的自主化C3等級(jí)列控系統(tǒng)安全關(guān)鍵設(shè)備[1-2]。其中，自主化ATP(列車(chē)自動(dòng)保護(hù))系統(tǒng)是我國(guó)鐵路的重要技術(shù)裝備，是保證高速列車(chē)行車(chē)安全、提高運(yùn)輸效率的關(guān)鍵設(shè)備[3-4]。

自主化ATP系統(tǒng)在國(guó)產(chǎn)化ATP系統(tǒng)的基礎(chǔ)上，增加和優(yōu)化了一些安全功能需求，具有SIL4級(jí)的安全需求，一旦失效可能導(dǎo)致列車(chē)出軌等行車(chē)事故。目前，自主化ATP系統(tǒng)的研究主要集中在需求規(guī)范和系統(tǒng)測(cè)試方面[5-6]，理論研究相對(duì)較少。

時(shí)間自動(dòng)機(jī)[7]具有嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)基礎(chǔ)，能夠分析實(shí)時(shí)系統(tǒng)的功能邏輯需求及時(shí)間性能，在鐵路信號(hào)安全關(guān)鍵系統(tǒng)中得到了廣泛應(yīng)用[8-9]。文獻(xiàn)[10]采用時(shí)間自動(dòng)機(jī)對(duì)ATP系統(tǒng)的超速防護(hù)功能進(jìn)行形式化建模，驗(yàn)證了ATP系統(tǒng)的安全性和活性；文獻(xiàn)[11]采用時(shí)間自動(dòng)機(jī)分析了ATP系統(tǒng)的2乘2取2結(jié)構(gòu)，驗(yàn)證了冗余結(jié)構(gòu)的安全屬性；文獻(xiàn)[12-13]基于時(shí)間自動(dòng)機(jī)分析了C3等級(jí)列控系統(tǒng)等級(jí)轉(zhuǎn)換的系統(tǒng)需求；文獻(xiàn)[14]基于時(shí)間自動(dòng)機(jī)建立了等級(jí)轉(zhuǎn)換時(shí)間自動(dòng)機(jī)網(wǎng)絡(luò)模型，驗(yàn)證了等級(jí)轉(zhuǎn)換過(guò)程中的安全性和實(shí)時(shí)性；文獻(xiàn)[15]采用時(shí)間自動(dòng)機(jī)分析了自主化C3列控系統(tǒng)碼序校驗(yàn)以及RBC(無(wú)線閉塞中心)切換等場(chǎng)景。研究表明，采用時(shí)間自動(dòng)機(jī)對(duì)鐵路信號(hào)系統(tǒng)進(jìn)行建模和驗(yàn)證，對(duì)系統(tǒng)的需求分析和設(shè)計(jì)具有良好的指導(dǎo)作用。本文采用時(shí)間自動(dòng)機(jī)方法，以自主化ATP系統(tǒng)的C2等級(jí)轉(zhuǎn)換到C3等級(jí)功能為例，從理論上分析ATP系統(tǒng)需求的安全性、正確性和實(shí)時(shí)性，對(duì)自主化ATP系統(tǒng)的研究具有一定的理論意義。

1 自主化C3列控系統(tǒng)概述

1. 1 自主化C3列控系統(tǒng)發(fā)展過(guò)程

2007年，原鐵道部成立C3技術(shù)攻關(guān)組開(kāi)展C3列控系統(tǒng)的研發(fā)工作,在引進(jìn)國(guó)外技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了ATP和RBC設(shè)備的國(guó)產(chǎn)化，并成功應(yīng)用于武廣、鄭西和京滬等高速鐵路，這項(xiàng)研究對(duì)我國(guó)列控系統(tǒng)的發(fā)展和鐵路裝備現(xiàn)代化發(fā)揮了重要作用。

2014年，中國(guó)鐵路總公司依托科研開(kāi)發(fā)重點(diǎn)課題“列控系統(tǒng)設(shè)備自主化及技術(shù)要求研究”，開(kāi)發(fā)具有自主知識(shí)產(chǎn)權(quán)的列控系統(tǒng)關(guān)鍵設(shè)備。2015年中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司立項(xiàng)“CTCS-3級(jí)列控系統(tǒng)關(guān)鍵設(shè)備自主化研究”，專(zhuān)項(xiàng)對(duì)C3列控系統(tǒng)自主化研究進(jìn)行重點(diǎn)研究。在中國(guó)鐵路總公司的組織下，2016年6月至2017年1月，依托大西線綜合試驗(yàn)段，對(duì)自主化C3列控系統(tǒng)進(jìn)行了現(xiàn)場(chǎng)試驗(yàn)。2018年6—10月，以京沈高鐵遼寧段為試驗(yàn)平臺(tái)對(duì)自主化C3列控設(shè)備進(jìn)行了綜合試驗(yàn)，動(dòng)態(tài)檢測(cè)了自主化C3列控設(shè)備的功能及性能[17]。

1. 2 自主化C3列控系統(tǒng)的特點(diǎn)

自主化C3列控系統(tǒng)在國(guó)產(chǎn)化C3列控系統(tǒng)的基礎(chǔ)上，對(duì)硬件、軟件和功能需求都提出了新的要求。

1) 硬件、軟件方面：自主化C3列控系統(tǒng)設(shè)備采用并列系工作，在保障系統(tǒng)安全性的同時(shí)增加設(shè)備可用性，擁有完全自主的知識(shí)產(chǎn)權(quán)。

2) 功能方面：自主化C3列控系統(tǒng)設(shè)備在國(guó)產(chǎn)化C3列控系統(tǒng)設(shè)備的基礎(chǔ)上，增加了一些新的功能需求。以自主化ATP系統(tǒng)為例，新增加的功能需求包括：①C3行車(chē)許可融合軌道電路信息。C3主控單元計(jì)算軌道電路信息許可，并根據(jù)列車(chē)當(dāng)前位置確定軌道電路信息許可終點(diǎn)。②在應(yīng)答器報(bào)文中增加開(kāi)門(mén)側(cè)提示。③等級(jí)轉(zhuǎn)換時(shí)，不需要司機(jī)進(jìn)行確認(rèn)。④使用JRU(司法記錄單元)給各個(gè)主要模塊進(jìn)行校驗(yàn)時(shí)，保證各模塊的系統(tǒng)時(shí)間保持同步。

2 自主化ATP系統(tǒng)等級(jí)轉(zhuǎn)換功能

按照功能要求和設(shè)備配置劃分，我國(guó)列控統(tǒng)劃分為C0—C4共5個(gè)應(yīng)用等級(jí)。同條線路上可以有多種應(yīng)用等級(jí)，以滿(mǎn)足不同線路速度的需求。自主化列控系統(tǒng)等級(jí)轉(zhuǎn)換即是C3等級(jí)和C2等級(jí)之間的轉(zhuǎn)換。

2. 1 C2等級(jí)向C3等級(jí)轉(zhuǎn)換場(chǎng)景分析

自主化ATP系統(tǒng)等級(jí)轉(zhuǎn)換功能包括C2等級(jí)向C3等級(jí)轉(zhuǎn)換和C3等級(jí)向C2等級(jí)轉(zhuǎn)換兩種場(chǎng)景。這屬于自主化ATP系統(tǒng)運(yùn)行過(guò)程中重要的安全功能。列車(chē)如果未在指定的位置或時(shí)機(jī)轉(zhuǎn)換到正確的運(yùn)行等級(jí)，輕則可能造成行車(chē)中斷影響行車(chē)效率，重則可能導(dǎo)致行車(chē)事故造成人員傷亡。從理論上分析和驗(yàn)證等級(jí)轉(zhuǎn)換功能邏輯的安全性和準(zhǔn)確性，對(duì)保證列車(chē)行車(chē)安全具有重要意義。

自主化ATP系統(tǒng)在C3等級(jí)控車(chē)時(shí)，系統(tǒng)接收軌道電路的編碼信息，并與RBC發(fā)送的MA(移動(dòng)授權(quán))進(jìn)行對(duì)比，判斷是否一致。自主化ATP系統(tǒng)與RBC、軌道電路和應(yīng)答器信息交互關(guān)系如圖1所示。

圖1 自主化ATP系統(tǒng)信息交互關(guān)系

本文以C2等級(jí)向C3等級(jí)轉(zhuǎn)換為例進(jìn)行分析。C2等級(jí)向C3等級(jí)轉(zhuǎn)換典型運(yùn)營(yíng)場(chǎng)景包括：

1) 列車(chē)由C2等級(jí)運(yùn)營(yíng)線路進(jìn)入C3等級(jí)運(yùn)營(yíng)線路，如列車(chē)駛出C2等級(jí)的動(dòng)車(chē)段進(jìn)入C3等級(jí)的運(yùn)營(yíng)線路。

2) 列車(chē)由于無(wú)線通信中斷等原因由C3等級(jí)降級(jí)到C2等級(jí)后，需要重新轉(zhuǎn)換到C3等級(jí)控車(chē)。

為保障等級(jí)轉(zhuǎn)換功能的順利進(jìn)行，運(yùn)營(yíng)線路在地面設(shè)置了RBC連接點(diǎn)(RE)、等級(jí)轉(zhuǎn)換預(yù)告(LTA)和等級(jí)轉(zhuǎn)換執(zhí)行點(diǎn)(LTO)3個(gè)轉(zhuǎn)換點(diǎn)。當(dāng)列車(chē)前端通過(guò)RE時(shí)，ATP根據(jù)應(yīng)答器信息呼叫RBC并進(jìn)行注冊(cè)。當(dāng)列車(chē)前端通過(guò)LTA點(diǎn)時(shí)，ATP將向RBC報(bào)告所在位置，RBC向ATP提供行車(chē)許可及等級(jí)轉(zhuǎn)換命令。當(dāng)列車(chē)前端通過(guò)LTO點(diǎn)時(shí)，ATP執(zhí)行控車(chē)轉(zhuǎn)換。

2. 2 C2等級(jí)向C3等級(jí)轉(zhuǎn)換功能分析

C2等級(jí)向C3等級(jí)轉(zhuǎn)換的過(guò)程主要包括列車(chē)與GSM-R網(wǎng)建立連接、與RBC建立通信會(huì)話、獲取C3等級(jí)區(qū)域的MA和執(zhí)行等級(jí)轉(zhuǎn)換4個(gè)階段，轉(zhuǎn)換邏輯如圖2所示。

圖2 C2等級(jí)向C3等級(jí)轉(zhuǎn)換序列圖

1) 與GSM-R網(wǎng)建立連接。列車(chē)從C2等級(jí)向C3等級(jí)轉(zhuǎn)換，首先要建立與GSM-R電臺(tái)的連接。當(dāng)ATP無(wú)線電臺(tái)檢測(cè)到GSM-R網(wǎng)后，自動(dòng)與GSM-R網(wǎng)絡(luò)建立連接。

2) 與RBC建立通信會(huì)話。與GSM-R網(wǎng)連接成功后，ATP呼叫RBC，向RBC發(fā)送列車(chē)位置報(bào)告。RBC向車(chē)載設(shè)備發(fā)送位置報(bào)告參數(shù)信息和MA請(qǐng)求參數(shù)信息。車(chē)載設(shè)備收到配置參數(shù)后向RBC發(fā)送確認(rèn)信息。

3) 獲取MA。列車(chē)前端通過(guò)預(yù)告應(yīng)答器LTA后，RBC向車(chē)載設(shè)備發(fā)送包含C3等級(jí)區(qū)域的MA和等級(jí)轉(zhuǎn)換命令。若ATP不能收到MA和等級(jí)轉(zhuǎn)換命令，列車(chē)保持C2等級(jí)繼續(xù)運(yùn)行。當(dāng)列車(chē)重新獲得MA后，進(jìn)行等級(jí)轉(zhuǎn)換處理。在C3等級(jí)完全模式下，自主化ATP系統(tǒng)接收軌道電路信息的行車(chē)許可，因此，自主化ATP系統(tǒng)需要判斷C2級(jí)行車(chē)許可和RBC發(fā)送的MA是否均越過(guò)等級(jí)轉(zhuǎn)換邊界。

根據(jù)自主化ATP系統(tǒng)C2等級(jí)向C3等級(jí)轉(zhuǎn)換的功能，正常轉(zhuǎn)換過(guò)程涉及應(yīng)答器、RBC、C2行車(chē)許可、C3 MA等對(duì)象，轉(zhuǎn)換過(guò)程中可能出現(xiàn)應(yīng)答器丟失、無(wú)線通信中斷、行車(chē)許可不一致(MA越過(guò)轉(zhuǎn)換邊界，但C2行車(chē)許可未越過(guò))等故障場(chǎng)景。

3 時(shí)間自動(dòng)機(jī)

時(shí)間自動(dòng)機(jī)[18](TA)是針對(duì)帶有時(shí)間因素的狀態(tài)轉(zhuǎn)換關(guān)系，在傳統(tǒng)的有限狀態(tài)自動(dòng)機(jī)的基礎(chǔ)上引入時(shí)間約束，提出的一種基于嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)理論的描述方法，在實(shí)時(shí)系統(tǒng)的規(guī)范說(shuō)明和形式化分析中占據(jù)重要地位。

定義1：時(shí)間約束

對(duì)于一個(gè)時(shí)鐘變量集合X，時(shí)間約束δ的集合Φ(X)定義如下：

δ：=x≤c|c≤x|δ|┐δ1∧δ2，

其中，x∈X,c∈Q，δ1、δ2表示時(shí)鐘約束。

定義2:時(shí)間自動(dòng)機(jī)

一個(gè)時(shí)間自動(dòng)機(jī)TA是一個(gè)六元組{S,S0,Σ,X,I,E}，其中：

S是一個(gè)有限位置的位置集合；

補(bǔ)救措施：一旦出現(xiàn)塌孔現(xiàn)象，需馬上增加護(hù)筒長(zhǎng)度并用機(jī)械壓入。在下壓過(guò)程中如遇硬物阻擋無(wú)法下壓則應(yīng)當(dāng)適當(dāng)加大或者縮小孔徑，使護(hù)筒順利下壓，但兩種方案都需重新處理護(hù)筒外的空隙。

S0是一個(gè)初始位置的位置集合，且S0?S；

Σ是一個(gè)有限字符的字符集合；

X是一個(gè)有限時(shí)鐘的時(shí)鐘集合；

I是一個(gè)映射，將S中的每個(gè)位置映射到Φ(X)中的某個(gè)時(shí)間約束；

E?SΣ2xΦ(X)S是轉(zhuǎn)移的集合。

一個(gè)狀態(tài)轉(zhuǎn)移{s,a,λ,δ,s′}表示當(dāng)系統(tǒng)輸入字符a并滿(mǎn)足時(shí)鐘約束δ時(shí)，位置s遷移到位置s′。λ表示狀態(tài)轉(zhuǎn)移時(shí)，所有重置的時(shí)鐘變量的集合。

UPPAAL軟件是由瑞典Uppsala大學(xué)和丹麥Aalborg大學(xué)聯(lián)合開(kāi)發(fā)的時(shí)間自動(dòng)機(jī)集成工具環(huán)境。UPPAAL軟件對(duì)經(jīng)典的時(shí)間自動(dòng)機(jī)進(jìn)行了擴(kuò)展，包括編輯器、模擬器和驗(yàn)證器，支持時(shí)間自動(dòng)機(jī)的建模、仿真和驗(yàn)證。UPPAAL軟件采用on-the-fly技術(shù)，對(duì)時(shí)間自動(dòng)機(jī)的可達(dá)性進(jìn)行分析，進(jìn)而能夠驗(yàn)證系統(tǒng)的安全性和活性等系統(tǒng)屬性。

4 C2等級(jí)向C3等級(jí)轉(zhuǎn)換建模

根據(jù)C2等級(jí)向C3等級(jí)的轉(zhuǎn)換邏輯，考慮到轉(zhuǎn)換過(guò)程的復(fù)雜性以及轉(zhuǎn)換過(guò)程中設(shè)備可能的故障，自主化ATP系統(tǒng)主要從正常轉(zhuǎn)換和故障場(chǎng)景兩個(gè)方面進(jìn)行建模，如圖3所示。對(duì)于應(yīng)答器丟失故障采用故障注入的方式，將應(yīng)答器丟失行為注入到正常轉(zhuǎn)換模型中；對(duì)于無(wú)線通信中斷和行車(chē)許可不一致故障單獨(dú)建立時(shí)間自動(dòng)機(jī)模型。

圖3 自主化ATP系統(tǒng)時(shí)間自動(dòng)機(jī)建模方法

C2等級(jí)向C3等級(jí)轉(zhuǎn)換的時(shí)間自動(dòng)機(jī)模型C2toC3TA劃分為ATP時(shí)間自動(dòng)機(jī)模型ATPTA、RBC時(shí)間自動(dòng)機(jī)模型RBCTA、Balise時(shí)間自動(dòng)機(jī)模型BaliseTA、通信狀態(tài)時(shí)間自動(dòng)機(jī)ConnectTA和行車(chē)許可時(shí)間自動(dòng)機(jī)模型MATA5個(gè)部分，則C2等級(jí)向C3等級(jí)轉(zhuǎn)換的時(shí)間自動(dòng)機(jī)模型為以上5個(gè)時(shí)間自動(dòng)機(jī)模型的積，即：

C2toC3TA=

ATPTA‖RBCTA‖BaliseTA‖MATA‖ConnectTA。

C2等級(jí)向C3等級(jí)轉(zhuǎn)換的時(shí)間自動(dòng)機(jī)模型如圖4所示，模型中主要狀態(tài)、變量的含義如表2所示。其中，ATPTA模型中注入了應(yīng)答器丟失的場(chǎng)景，ConnectTA描述了無(wú)線通信中斷的故障情況，MATA描述了MA越過(guò)等級(jí)轉(zhuǎn)換邊界，但C2級(jí)行車(chē)許可未越過(guò)的故障情況。

C2等級(jí)向C3等級(jí)轉(zhuǎn)換的時(shí)間自動(dòng)機(jī)模型具有1個(gè)時(shí)鐘變量x，所有通道信號(hào)均為broadcast chan類(lèi)型，所有變量均為int類(lèi)型。以“?”結(jié)尾的標(biāo)記表示接收到該信號(hào)時(shí)轉(zhuǎn)換發(fā)生，以“!”結(jié)尾的標(biāo)記表示發(fā)射該信號(hào)時(shí)轉(zhuǎn)換發(fā)生。

1) ATPTA模型。主要描述ATP和RBC之間的交互信息，主要包括請(qǐng)求與RBC建立通信會(huì)話、發(fā)送列車(chē)數(shù)據(jù)、請(qǐng)求MA和執(zhí)行等級(jí)轉(zhuǎn)換等過(guò)程。當(dāng)?shù)燃?jí)轉(zhuǎn)換所有條件滿(mǎn)足時(shí)，ATPTA轉(zhuǎn)移到Switch狀態(tài)，表示等級(jí)轉(zhuǎn)換成功，ATPTA向RBCTA發(fā)送確認(rèn)信息。ATPTA根據(jù)ConnectTA中Connect的值判斷連接狀態(tài)，連接失敗時(shí)，轉(zhuǎn)入SwitchFail狀態(tài)，放棄等級(jí)轉(zhuǎn)換。列車(chē)通過(guò)LTO時(shí)，ATPTA根據(jù)MATA中OverLTO的值判斷是否存在制動(dòng)，如果存在制動(dòng)狀態(tài)，ATPTA不進(jìn)行等級(jí)轉(zhuǎn)換。

2) RBCTA模型。主要描述RBC和ATP之間的交互信息，包括ATP與RBC建立連接、發(fā)送MA和發(fā)送等級(jí)轉(zhuǎn)換命令3個(gè)部分。RBCTA根據(jù)ConnectTA的連接狀態(tài)，判斷ATP是否與RBC建立連接。在RBC與ATP成功建立連接的情況下，RBCTA與ATPTA交互列車(chē)數(shù)據(jù)、行車(chē)參數(shù)等數(shù)據(jù)，RBCTA根據(jù)列車(chē)位置及運(yùn)行狀態(tài)，向ATPTA發(fā)送等級(jí)轉(zhuǎn)換命令。當(dāng)列車(chē)通過(guò)LTO，但未接收到執(zhí)行應(yīng)答器信息時(shí)，即PassLTOState為2，ATPTA發(fā)送等級(jí)轉(zhuǎn)換信號(hào)Switch。

3) MATA模型。描述C2級(jí)行車(chē)許可、C3級(jí)MA和等級(jí)轉(zhuǎn)換邊界的關(guān)系。當(dāng)C2級(jí)行車(chē)許可和C3級(jí)MA均越過(guò)等級(jí)轉(zhuǎn)換邊界時(shí)，MATA將OverLTO變量置為1；當(dāng)C2級(jí)行車(chē)許可未越過(guò)等級(jí)轉(zhuǎn)換邊界時(shí)，OverLTO為2。ATPTA根據(jù)OverLTO的值判斷是否進(jìn)行等級(jí)轉(zhuǎn)換。

4) ConnectTA模型。描述列車(chē)與RBC的連接狀態(tài)。當(dāng)列車(chē)于RBC斷開(kāi)連接時(shí)，ConnectTA將連接狀態(tài)Connect變量置為0，表示ATP與RBC連接失敗。

5) BaliseTA模型。描述列車(chē)通過(guò)RE、LTA和LTO時(shí)的行為。當(dāng)列車(chē)依次通過(guò)RE、LTA和LTO時(shí)，BaliseTA分別廣播RE、LTA和LTO信號(hào)，ATPTA接收到RE信號(hào)后發(fā)送login信號(hào)，請(qǐng)求RBC注冊(cè)。

5 C2等級(jí)向C3等級(jí)轉(zhuǎn)換形式化驗(yàn)證

為驗(yàn)證C2等級(jí)向C3等級(jí)轉(zhuǎn)換的時(shí)間自動(dòng)機(jī)模型是否滿(mǎn)足自主化ATP系統(tǒng)的需求，本文從安全性、活性和實(shí)時(shí)性3個(gè)方面，利用UPPAAL軟件提供的模型檢測(cè)技術(shù)對(duì)C2toC3TA模型進(jìn)行形式化驗(yàn)證。

UPPAAL形式化驗(yàn)證的基本原理是用時(shí)間自動(dòng)機(jī)M描述系統(tǒng)行為，用BNF語(yǔ)法描述系統(tǒng)屬性φ，分析M是否為φ的一個(gè)模型M|=φ?。

UPPAAL軟件提供的BNF語(yǔ)法如下：

圖4 自主化ATP C2等級(jí)轉(zhuǎn)換C3等級(jí)時(shí)間自動(dòng)機(jī)模型截圖

序號(hào)狀態(tài)含義序號(hào)變量或信號(hào)含義1getPara獲取行車(chē)參數(shù)7login請(qǐng)求注冊(cè)RBC2Switch等級(jí)轉(zhuǎn)換過(guò)程中8Connect通信狀態(tài),0表示中斷,1表示正常3OverC2行車(chē)許可和MA均越過(guò)等級(jí)轉(zhuǎn)換邊界9switchCfm通知RBC等級(jí)轉(zhuǎn)換成功4BeforeC2行車(chē)許可未越過(guò)等級(jí)轉(zhuǎn)換邊界10reset轉(zhuǎn)換結(jié)束5PassLTORBC檢測(cè)列車(chē)通過(guò)LTO應(yīng)答器組11LTO列車(chē)通過(guò)LTO應(yīng)答器組6LTOLostLTO應(yīng)答器組丟失12PassLTOState列車(chē)通過(guò)LTO應(yīng)答器組時(shí)的狀態(tài),1表示正常通過(guò),2表示LTO應(yīng)答器組丟失

φ::=E<>p|A[]p|E[]p|A<>p|p→q，

其中：E<>p表示p在1個(gè)狀態(tài)轉(zhuǎn)移序列s0→s1→…→sn的某個(gè)狀態(tài)下為真，則E<>p為真，s0表示初始狀態(tài)；A[]pnotE<> notp；E[]p表示存在某個(gè)狀態(tài)轉(zhuǎn)移序列s0→s1→…→sn，p在這個(gè)序列中的所有狀態(tài)下都為真，則E[]p為真；A<>pnotE[]notp；p→q表示p為真則q為真。

根據(jù)自主化ATP系統(tǒng)需求，提取C2等級(jí)向C3等級(jí)轉(zhuǎn)換過(guò)程中的安全性、活性和實(shí)時(shí)性要求。安全性指描述系統(tǒng)不期望發(fā)生的性質(zhì)，如“連接RBC失敗時(shí)，ATP能轉(zhuǎn)換到C3等級(jí)”，通常表示“壞的事情不會(huì)發(fā)生”?；钚悦枋隽讼到y(tǒng)必定發(fā)生的性質(zhì)，如“ATP能夠由C2等級(jí)轉(zhuǎn)換到C3等級(jí)”，通常表示“好的事情會(huì)發(fā)生”。實(shí)時(shí)性主要描述自主化ATP系統(tǒng)中的時(shí)間約束，如根據(jù)自主化ATP與RBC之間的通信功能，ATP與RBC連接超過(guò)10 s，則通信超時(shí)。自主化ATP系統(tǒng)形式化驗(yàn)證需求提取方法如圖5所示。

自主化ATP系統(tǒng)C2等級(jí)轉(zhuǎn)換到C3等級(jí)需要滿(mǎn)足安全性需求：連接RBC失敗時(shí)，ATP不能轉(zhuǎn)換到C3等級(jí)，即ATP系統(tǒng)C2等級(jí)控車(chē)；未與RBC成功建立連接時(shí)，在任何情況下都不能轉(zhuǎn)移到C3等級(jí)。根據(jù)C2toC3TA模型，該安全性需求的BNF描述如下：

圖5 自主化ATP系統(tǒng)形式化驗(yàn)證需求提取方法

A[] ConnectTA.ConnectFail imply not ATPTA. SwtichSucc

采用UPPAAL軟件的驗(yàn)證器進(jìn)行形式化驗(yàn)證，驗(yàn)證消耗時(shí)間0.001 s，消耗內(nèi)存6 884 KB。驗(yàn)證結(jié)果通過(guò)，表明C2toC3TA模型滿(mǎn)足該安全性需求。

C2toC3TA模型的安全性、活性和實(shí)時(shí)性需要及驗(yàn)證結(jié)果如表3所示。驗(yàn)證結(jié)果表明，自主化ATP系統(tǒng)C2等級(jí)轉(zhuǎn)換C3等級(jí)的系統(tǒng)需求滿(mǎn)足指定的安全性、活性和實(shí)時(shí)性要求。

表2 自主化ATP系統(tǒng)形式化驗(yàn)證內(nèi)容和驗(yàn)證結(jié)果

6 結(jié)論

本文針對(duì)自主化ATP系統(tǒng)的安全性、活性和實(shí)時(shí)性，采用時(shí)間自動(dòng)機(jī)作為形式化建模和驗(yàn)證方法，以C2等級(jí)轉(zhuǎn)換C3等級(jí)的安全關(guān)鍵功能為例，建立了自主化ATP系統(tǒng)C2等級(jí)轉(zhuǎn)換C3等級(jí)的時(shí)間自動(dòng)機(jī)模型；從安全性、活性和實(shí)時(shí)性3個(gè)方面，對(duì)時(shí)間自動(dòng)機(jī)模型進(jìn)行了形式化驗(yàn)證；從理論上分析了自主化ATP系統(tǒng)C2等級(jí)轉(zhuǎn)換C3等級(jí)的功能邏輯。結(jié)果表明，自主化ATP系統(tǒng)滿(mǎn)足期望的系統(tǒng)性質(zhì)，基于時(shí)間自動(dòng)機(jī)的形式化建模和驗(yàn)證方法對(duì)自主化ATP的系統(tǒng)需求分析具有一定的指導(dǎo)和應(yīng)用價(jià)值。