基于時(shí)間自動機(jī)的自主化ATP等級轉(zhuǎn)換功能建模與驗(yàn)證

葉安君

(中鐵第一勘察設(shè)計(jì)院集團(tuán)有限公司，710043，西安//高級工程師)

我國現(xiàn)運(yùn)營的高速鐵路采用的是國產(chǎn)化CTCS-3級列車運(yùn)行控制系統(tǒng)(以下簡稱“列控系統(tǒng)”)。中國鐵路總公司是2014年開始開展自主化CTCS-3級列控系統(tǒng)技術(shù)研究的，研發(fā)了一批具有自主知識產(chǎn)權(quán)的自主化C3等級列控系統(tǒng)安全關(guān)鍵設(shè)備[1-2]。其中，自主化ATP(列車自動保護(hù))系統(tǒng)是我國鐵路的重要技術(shù)裝備，是保證高速列車行車安全、提高運(yùn)輸效率的關(guān)鍵設(shè)備[3-4]。

自主化ATP系統(tǒng)在國產(chǎn)化ATP系統(tǒng)的基礎(chǔ)上，增加和優(yōu)化了一些安全功能需求，具有SIL4級的安全需求，一旦失效可能導(dǎo)致列車出軌等行車事故。目前，自主化ATP系統(tǒng)的研究主要集中在需求規(guī)范和系統(tǒng)測試方面[5-6]，理論研究相對較少。

時(shí)間自動機(jī)[7]具有嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)基礎(chǔ)，能夠分析實(shí)時(shí)系統(tǒng)的功能邏輯需求及時(shí)間性能，在鐵路信號安全關(guān)鍵系統(tǒng)中得到了廣泛應(yīng)用[8-9]。文獻(xiàn)[10]采用時(shí)間自動機(jī)對ATP系統(tǒng)的超速防護(hù)功能進(jìn)行形式化建模，驗(yàn)證了ATP系統(tǒng)的安全性和活性；文獻(xiàn)[11]采用時(shí)間自動機(jī)分析了ATP系統(tǒng)的2乘2取2結(jié)構(gòu)，驗(yàn)證了冗余結(jié)構(gòu)的安全屬性；文獻(xiàn)[12-13]基于時(shí)間自動機(jī)分析了C3等級列控系統(tǒng)等級轉(zhuǎn)換的系統(tǒng)需求；文獻(xiàn)[14]基于時(shí)間自動機(jī)建立了等級轉(zhuǎn)換時(shí)間自動機(jī)網(wǎng)絡(luò)模型，驗(yàn)證了等級轉(zhuǎn)換過程中的安全性和實(shí)時(shí)性；文獻(xiàn)[15]采用時(shí)間自動機(jī)分析了自主化C3列控系統(tǒng)碼序校驗(yàn)以及RBC(無線閉塞中心)切換等場景。研究表明，采用時(shí)間自動機(jī)對鐵路信號系統(tǒng)進(jìn)行建模和驗(yàn)證，對系統(tǒng)的需求分析和設(shè)計(jì)具有良好的指導(dǎo)作用。本文采用時(shí)間自動機(jī)方法，以自主化ATP系統(tǒng)的C2等級轉(zhuǎn)換到C3等級功能為例，從理論上分析ATP系統(tǒng)需求的安全性、正確性和實(shí)時(shí)性，對自主化ATP系統(tǒng)的研究具有一定的理論意義。

1 自主化C3列控系統(tǒng)概述

1. 1 自主化C3列控系統(tǒng)發(fā)展過程

2007年，原鐵道部成立C3技術(shù)攻關(guān)組開展C3列控系統(tǒng)的研發(fā)工作,在引進(jìn)國外技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了ATP和RBC設(shè)備的國產(chǎn)化，并成功應(yīng)用于武廣、鄭西和京滬等高速鐵路，這項(xiàng)研究對我國列控系統(tǒng)的發(fā)展和鐵路裝備現(xiàn)代化發(fā)揮了重要作用。

2014年，中國鐵路總公司依托科研開發(fā)重點(diǎn)課題“列控系統(tǒng)設(shè)備自主化及技術(shù)要求研究”，開發(fā)具有自主知識產(chǎn)權(quán)的列控系統(tǒng)關(guān)鍵設(shè)備。2015年中國鐵道科學(xué)研究院集團(tuán)有限公司立項(xiàng)“CTCS-3級列控系統(tǒng)關(guān)鍵設(shè)備自主化研究”，專項(xiàng)對C3列控系統(tǒng)自主化研究進(jìn)行重點(diǎn)研究。在中國鐵路總公司的組織下，2016年6月至2017年1月，依托大西線綜合試驗(yàn)段，對自主化C3列控系統(tǒng)進(jìn)行了現(xiàn)場試驗(yàn)。2018年6—10月，以京沈高鐵遼寧段為試驗(yàn)平臺對自主化C3列控設(shè)備進(jìn)行了綜合試驗(yàn)，動態(tài)檢測了自主化C3列控設(shè)備的功能及性能[17]。

1. 2 自主化C3列控系統(tǒng)的特點(diǎn)

自主化C3列控系統(tǒng)在國產(chǎn)化C3列控系統(tǒng)的基礎(chǔ)上，對硬件、軟件和功能需求都提出了新的要求。

1) 硬件、軟件方面：自主化C3列控系統(tǒng)設(shè)備采用并列系工作，在保障系統(tǒng)安全性的同時(shí)增加設(shè)備可用性，擁有完全自主的知識產(chǎn)權(quán)。

2) 功能方面：自主化C3列控系統(tǒng)設(shè)備在國產(chǎn)化C3列控系統(tǒng)設(shè)備的基礎(chǔ)上，增加了一些新的功能需求。以自主化ATP系統(tǒng)為例，新增加的功能需求包括：①C3行車許可融合軌道電路信息。C3主控單元計(jì)算軌道電路信息許可，并根據(jù)列車當(dāng)前位置確定軌道電路信息許可終點(diǎn)。②在應(yīng)答器報(bào)文中增加開門側(cè)提示。③等級轉(zhuǎn)換時(shí)，不需要司機(jī)進(jìn)行確認(rèn)。④使用JRU(司法記錄單元)給各個主要模塊進(jìn)行校驗(yàn)時(shí)，保證各模塊的系統(tǒng)時(shí)間保持同步。

2 自主化ATP系統(tǒng)等級轉(zhuǎn)換功能

按照功能要求和設(shè)備配置劃分，我國列控統(tǒng)劃分為C0—C4共5個應(yīng)用等級。同條線路上可以有多種應(yīng)用等級，以滿足不同線路速度的需求。自主化列控系統(tǒng)等級轉(zhuǎn)換即是C3等級和C2等級之間的轉(zhuǎn)換。

2. 1 C2等級向C3等級轉(zhuǎn)換場景分析

自主化ATP系統(tǒng)等級轉(zhuǎn)換功能包括C2等級向C3等級轉(zhuǎn)換和C3等級向C2等級轉(zhuǎn)換兩種場景。這屬于自主化ATP系統(tǒng)運(yùn)行過程中重要的安全功能。列車如果未在指定的位置或時(shí)機(jī)轉(zhuǎn)換到正確的運(yùn)行等級，輕則可能造成行車中斷影響行車效率，重則可能導(dǎo)致行車事故造成人員傷亡。從理論上分析和驗(yàn)證等級轉(zhuǎn)換功能邏輯的安全性和準(zhǔn)確性，對保證列車行車安全具有重要意義。

自主化ATP系統(tǒng)在C3等級控車時(shí)，系統(tǒng)接收軌道電路的編碼信息，并與RBC發(fā)送的MA(移動授權(quán))進(jìn)行對比，判斷是否一致。自主化ATP系統(tǒng)與RBC、軌道電路和應(yīng)答器信息交互關(guān)系如圖1所示。

圖1 自主化ATP系統(tǒng)信息交互關(guān)系

本文以C2等級向C3等級轉(zhuǎn)換為例進(jìn)行分析。C2等級向C3等級轉(zhuǎn)換典型運(yùn)營場景包括：

1) 列車由C2等級運(yùn)營線路進(jìn)入C3等級運(yùn)營線路，如列車駛出C2等級的動車段進(jìn)入C3等級的運(yùn)營線路。

2) 列車由于無線通信中斷等原因由C3等級降級到C2等級后，需要重新轉(zhuǎn)換到C3等級控車。

為保障等級轉(zhuǎn)換功能的順利進(jìn)行，運(yùn)營線路在地面設(shè)置了RBC連接點(diǎn)(RE)、等級轉(zhuǎn)換預(yù)告(LTA)和等級轉(zhuǎn)換執(zhí)行點(diǎn)(LTO)3個轉(zhuǎn)換點(diǎn)。當(dāng)列車前端通過RE時(shí)，ATP根據(jù)應(yīng)答器信息呼叫RBC并進(jìn)行注冊。當(dāng)列車前端通過LTA點(diǎn)時(shí)，ATP將向RBC報(bào)告所在位置，RBC向ATP提供行車許可及等級轉(zhuǎn)換命令。當(dāng)列車前端通過LTO點(diǎn)時(shí)，ATP執(zhí)行控車轉(zhuǎn)換。

2. 2 C2等級向C3等級轉(zhuǎn)換功能分析

C2等級向C3等級轉(zhuǎn)換的過程主要包括列車與GSM-R網(wǎng)建立連接、與RBC建立通信會話、獲取C3等級區(qū)域的MA和執(zhí)行等級轉(zhuǎn)換4個階段，轉(zhuǎn)換邏輯如圖2所示。

圖2 C2等級向C3等級轉(zhuǎn)換序列圖

1) 與GSM-R網(wǎng)建立連接。列車從C2等級向C3等級轉(zhuǎn)換，首先要建立與GSM-R電臺的連接。當(dāng)ATP無線電臺檢測到GSM-R網(wǎng)后，自動與GSM-R網(wǎng)絡(luò)建立連接。

2) 與RBC建立通信會話。與GSM-R網(wǎng)連接成功后，ATP呼叫RBC，向RBC發(fā)送列車位置報(bào)告。RBC向車載設(shè)備發(fā)送位置報(bào)告參數(shù)信息和MA請求參數(shù)信息。車載設(shè)備收到配置參數(shù)后向RBC發(fā)送確認(rèn)信息。

3) 獲取MA。列車前端通過預(yù)告應(yīng)答器LTA后，RBC向車載設(shè)備發(fā)送包含C3等級區(qū)域的MA和等級轉(zhuǎn)換命令。若ATP不能收到MA和等級轉(zhuǎn)換命令，列車保持C2等級繼續(xù)運(yùn)行。當(dāng)列車重新獲得MA后，進(jìn)行等級轉(zhuǎn)換處理。在C3等級完全模式下，自主化ATP系統(tǒng)接收軌道電路信息的行車許可，因此，自主化ATP系統(tǒng)需要判斷C2級行車許可和RBC發(fā)送的MA是否均越過等級轉(zhuǎn)換邊界。

根據(jù)自主化ATP系統(tǒng)C2等級向C3等級轉(zhuǎn)換的功能，正常轉(zhuǎn)換過程涉及應(yīng)答器、RBC、C2行車許可、C3 MA等對象，轉(zhuǎn)換過程中可能出現(xiàn)應(yīng)答器丟失、無線通信中斷、行車許可不一致(MA越過轉(zhuǎn)換邊界，但C2行車許可未越過)等故障場景。

3 時(shí)間自動機(jī)

時(shí)間自動機(jī)[18](TA)是針對帶有時(shí)間因素的狀態(tài)轉(zhuǎn)換關(guān)系，在傳統(tǒng)的有限狀態(tài)自動機(jī)的基礎(chǔ)上引入時(shí)間約束，提出的一種基于嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)理論的描述方法，在實(shí)時(shí)系統(tǒng)的規(guī)范說明和形式化分析中占據(jù)重要地位。

定義1：時(shí)間約束

對于一個時(shí)鐘變量集合X，時(shí)間約束δ的集合Φ(X)定義如下：

δ：=x≤c|c≤x|δ|┐δ1∧δ2，

其中，x∈X,c∈Q，δ1、δ2表示時(shí)鐘約束。

定義2:時(shí)間自動機(jī)

一個時(shí)間自動機(jī)TA是一個六元組{S,S0,Σ,X,I,E}，其中：

S是一個有限位置的位置集合；

補(bǔ)救措施：一旦出現(xiàn)塌孔現(xiàn)象，需馬上增加護(hù)筒長度并用機(jī)械壓入。在下壓過程中如遇硬物阻擋無法下壓則應(yīng)當(dāng)適當(dāng)加大或者縮小孔徑，使護(hù)筒順利下壓，但兩種方案都需重新處理護(hù)筒外的空隙。

S0是一個初始位置的位置集合，且S0?S；

Σ是一個有限字符的字符集合；

X是一個有限時(shí)鐘的時(shí)鐘集合；

I是一個映射，將S中的每個位置映射到Φ(X)中的某個時(shí)間約束；

E?SΣ2xΦ(X)S是轉(zhuǎn)移的集合。

一個狀態(tài)轉(zhuǎn)移{s,a,λ,δ,s′}表示當(dāng)系統(tǒng)輸入字符a并滿足時(shí)鐘約束δ時(shí)，位置s遷移到位置s′。λ表示狀態(tài)轉(zhuǎn)移時(shí)，所有重置的時(shí)鐘變量的集合。

UPPAAL軟件是由瑞典Uppsala大學(xué)和丹麥Aalborg大學(xué)聯(lián)合開發(fā)的時(shí)間自動機(jī)集成工具環(huán)境。UPPAAL軟件對經(jīng)典的時(shí)間自動機(jī)進(jìn)行了擴(kuò)展，包括編輯器、模擬器和驗(yàn)證器，支持時(shí)間自動機(jī)的建模、仿真和驗(yàn)證。UPPAAL軟件采用on-the-fly技術(shù)，對時(shí)間自動機(jī)的可達(dá)性進(jìn)行分析，進(jìn)而能夠驗(yàn)證系統(tǒng)的安全性和活性等系統(tǒng)屬性。

4 C2等級向C3等級轉(zhuǎn)換建模

根據(jù)C2等級向C3等級的轉(zhuǎn)換邏輯，考慮到轉(zhuǎn)換過程的復(fù)雜性以及轉(zhuǎn)換過程中設(shè)備可能的故障，自主化ATP系統(tǒng)主要從正常轉(zhuǎn)換和故障場景兩個方面進(jìn)行建模，如圖3所示。對于應(yīng)答器丟失故障采用故障注入的方式，將應(yīng)答器丟失行為注入到正常轉(zhuǎn)換模型中；對于無線通信中斷和行車許可不一致故障單獨(dú)建立時(shí)間自動機(jī)模型。

圖3 自主化ATP系統(tǒng)時(shí)間自動機(jī)建模方法

C2等級向C3等級轉(zhuǎn)換的時(shí)間自動機(jī)模型C2toC3TA劃分為ATP時(shí)間自動機(jī)模型ATPTA、RBC時(shí)間自動機(jī)模型RBCTA、Balise時(shí)間自動機(jī)模型BaliseTA、通信狀態(tài)時(shí)間自動機(jī)ConnectTA和行車許可時(shí)間自動機(jī)模型MATA5個部分，則C2等級向C3等級轉(zhuǎn)換的時(shí)間自動機(jī)模型為以上5個時(shí)間自動機(jī)模型的積，即：

C2toC3TA=

ATPTA‖RBCTA‖BaliseTA‖MATA‖ConnectTA。

C2等級向C3等級轉(zhuǎn)換的時(shí)間自動機(jī)模型如圖4所示，模型中主要狀態(tài)、變量的含義如表2所示。其中，ATPTA模型中注入了應(yīng)答器丟失的場景，ConnectTA描述了無線通信中斷的故障情況，MATA描述了MA越過等級轉(zhuǎn)換邊界，但C2級行車許可未越過的故障情況。

C2等級向C3等級轉(zhuǎn)換的時(shí)間自動機(jī)模型具有1個時(shí)鐘變量x，所有通道信號均為broadcast chan類型，所有變量均為int類型。以“?”結(jié)尾的標(biāo)記表示接收到該信號時(shí)轉(zhuǎn)換發(fā)生，以“!”結(jié)尾的標(biāo)記表示發(fā)射該信號時(shí)轉(zhuǎn)換發(fā)生。

1) ATPTA模型。主要描述ATP和RBC之間的交互信息，主要包括請求與RBC建立通信會話、發(fā)送列車數(shù)據(jù)、請求MA和執(zhí)行等級轉(zhuǎn)換等過程。當(dāng)?shù)燃夀D(zhuǎn)換所有條件滿足時(shí)，ATPTA轉(zhuǎn)移到Switch狀態(tài)，表示等級轉(zhuǎn)換成功，ATPTA向RBCTA發(fā)送確認(rèn)信息。ATPTA根據(jù)ConnectTA中Connect的值判斷連接狀態(tài)，連接失敗時(shí)，轉(zhuǎn)入SwitchFail狀態(tài)，放棄等級轉(zhuǎn)換。列車通過LTO時(shí)，ATPTA根據(jù)MATA中OverLTO的值判斷是否存在制動，如果存在制動狀態(tài)，ATPTA不進(jìn)行等級轉(zhuǎn)換。

2) RBCTA模型。主要描述RBC和ATP之間的交互信息，包括ATP與RBC建立連接、發(fā)送MA和發(fā)送等級轉(zhuǎn)換命令3個部分。RBCTA根據(jù)ConnectTA的連接狀態(tài)，判斷ATP是否與RBC建立連接。在RBC與ATP成功建立連接的情況下，RBCTA與ATPTA交互列車數(shù)據(jù)、行車參數(shù)等數(shù)據(jù)，RBCTA根據(jù)列車位置及運(yùn)行狀態(tài)，向ATPTA發(fā)送等級轉(zhuǎn)換命令。當(dāng)列車通過LTO，但未接收到執(zhí)行應(yīng)答器信息時(shí)，即PassLTOState為2，ATPTA發(fā)送等級轉(zhuǎn)換信號Switch。

3) MATA模型。描述C2級行車許可、C3級MA和等級轉(zhuǎn)換邊界的關(guān)系。當(dāng)C2級行車許可和C3級MA均越過等級轉(zhuǎn)換邊界時(shí)，MATA將OverLTO變量置為1；當(dāng)C2級行車許可未越過等級轉(zhuǎn)換邊界時(shí)，OverLTO為2。ATPTA根據(jù)OverLTO的值判斷是否進(jìn)行等級轉(zhuǎn)換。

4) ConnectTA模型。描述列車與RBC的連接狀態(tài)。當(dāng)列車于RBC斷開連接時(shí)，ConnectTA將連接狀態(tài)Connect變量置為0，表示ATP與RBC連接失敗。

5) BaliseTA模型。描述列車通過RE、LTA和LTO時(shí)的行為。當(dāng)列車依次通過RE、LTA和LTO時(shí)，BaliseTA分別廣播RE、LTA和LTO信號，ATPTA接收到RE信號后發(fā)送login信號，請求RBC注冊。

5 C2等級向C3等級轉(zhuǎn)換形式化驗(yàn)證

為驗(yàn)證C2等級向C3等級轉(zhuǎn)換的時(shí)間自動機(jī)模型是否滿足自主化ATP系統(tǒng)的需求，本文從安全性、活性和實(shí)時(shí)性3個方面，利用UPPAAL軟件提供的模型檢測技術(shù)對C2toC3TA模型進(jìn)行形式化驗(yàn)證。

UPPAAL形式化驗(yàn)證的基本原理是用時(shí)間自動機(jī)M描述系統(tǒng)行為，用BNF語法描述系統(tǒng)屬性φ，分析M是否為φ的一個模型M|=φ?。

UPPAAL軟件提供的BNF語法如下：

圖4 自主化ATP C2等級轉(zhuǎn)換C3等級時(shí)間自動機(jī)模型截圖

序號狀態(tài)含義序號變量或信號含義1getPara獲取行車參數(shù)7login請求注冊RBC2Switch等級轉(zhuǎn)換過程中8Connect通信狀態(tài),0表示中斷,1表示正常3OverC2行車許可和MA均越過等級轉(zhuǎn)換邊界9switchCfm通知RBC等級轉(zhuǎn)換成功4BeforeC2行車許可未越過等級轉(zhuǎn)換邊界10reset轉(zhuǎn)換結(jié)束5PassLTORBC檢測列車通過LTO應(yīng)答器組11LTO列車通過LTO應(yīng)答器組6LTOLostLTO應(yīng)答器組丟失12PassLTOState列車通過LTO應(yīng)答器組時(shí)的狀態(tài),1表示正常通過,2表示LTO應(yīng)答器組丟失

φ::=E<>p|A[]p|E[]p|A<>p|p→q，

其中：E<>p表示p在1個狀態(tài)轉(zhuǎn)移序列s0→s1→…→sn的某個狀態(tài)下為真，則E<>p為真，s0表示初始狀態(tài)；A[]pnotE<> notp；E[]p表示存在某個狀態(tài)轉(zhuǎn)移序列s0→s1→…→sn，p在這個序列中的所有狀態(tài)下都為真，則E[]p為真；A<>pnotE[]notp；p→q表示p為真則q為真。

根據(jù)自主化ATP系統(tǒng)需求，提取C2等級向C3等級轉(zhuǎn)換過程中的安全性、活性和實(shí)時(shí)性要求。安全性指描述系統(tǒng)不期望發(fā)生的性質(zhì)，如“連接RBC失敗時(shí)，ATP能轉(zhuǎn)換到C3等級”，通常表示“壞的事情不會發(fā)生”?；钚悦枋隽讼到y(tǒng)必定發(fā)生的性質(zhì)，如“ATP能夠由C2等級轉(zhuǎn)換到C3等級”，通常表示“好的事情會發(fā)生”。實(shí)時(shí)性主要描述自主化ATP系統(tǒng)中的時(shí)間約束，如根據(jù)自主化ATP與RBC之間的通信功能，ATP與RBC連接超過10 s，則通信超時(shí)。自主化ATP系統(tǒng)形式化驗(yàn)證需求提取方法如圖5所示。

自主化ATP系統(tǒng)C2等級轉(zhuǎn)換到C3等級需要滿足安全性需求：連接RBC失敗時(shí)，ATP不能轉(zhuǎn)換到C3等級，即ATP系統(tǒng)C2等級控車；未與RBC成功建立連接時(shí)，在任何情況下都不能轉(zhuǎn)移到C3等級。根據(jù)C2toC3TA模型，該安全性需求的BNF描述如下：

圖5 自主化ATP系統(tǒng)形式化驗(yàn)證需求提取方法

A[] ConnectTA.ConnectFail imply not ATPTA. SwtichSucc

采用UPPAAL軟件的驗(yàn)證器進(jìn)行形式化驗(yàn)證，驗(yàn)證消耗時(shí)間0.001 s，消耗內(nèi)存6 884 KB。驗(yàn)證結(jié)果通過，表明C2toC3TA模型滿足該安全性需求。

C2toC3TA模型的安全性、活性和實(shí)時(shí)性需要及驗(yàn)證結(jié)果如表3所示。驗(yàn)證結(jié)果表明，自主化ATP系統(tǒng)C2等級轉(zhuǎn)換C3等級的系統(tǒng)需求滿足指定的安全性、活性和實(shí)時(shí)性要求。

表2 自主化ATP系統(tǒng)形式化驗(yàn)證內(nèi)容和驗(yàn)證結(jié)果

6 結(jié)論

本文針對自主化ATP系統(tǒng)的安全性、活性和實(shí)時(shí)性，采用時(shí)間自動機(jī)作為形式化建模和驗(yàn)證方法，以C2等級轉(zhuǎn)換C3等級的安全關(guān)鍵功能為例，建立了自主化ATP系統(tǒng)C2等級轉(zhuǎn)換C3等級的時(shí)間自動機(jī)模型；從安全性、活性和實(shí)時(shí)性3個方面，對時(shí)間自動機(jī)模型進(jìn)行了形式化驗(yàn)證；從理論上分析了自主化ATP系統(tǒng)C2等級轉(zhuǎn)換C3等級的功能邏輯。結(jié)果表明，自主化ATP系統(tǒng)滿足期望的系統(tǒng)性質(zhì)，基于時(shí)間自動機(jī)的形式化建模和驗(yàn)證方法對自主化ATP的系統(tǒng)需求分析具有一定的指導(dǎo)和應(yīng)用價(jià)值。