專利名稱:用于驗(yàn)證控制/指令系統(tǒng)的方法以及能夠通過該方法驗(yàn)證的控制/指令系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明起因于涉及用于自動(dòng)控制/指令(commande)鐵路網(wǎng)絡(luò)的轉(zhuǎn) 軌站(postesd,aiguillage)的計(jì)算機(jī)系統(tǒng)的問題����,更具體地�����,涉及用于 驗(yàn)證這樣的系統(tǒng)的方法的問題����。
背景技術(shù):
鐵路網(wǎng)絡(luò)的轉(zhuǎn)軌站允許根據(jù)在其上行駛的不同的火車車隊(duì)的需要 而放置網(wǎng)絡(luò)轉(zhuǎn)軌器(aiguille d'un r6seau)��,以便永久地確保交通的連續(xù)性��。
過去由人工操作的轉(zhuǎn)軌器現(xiàn)在由位于轉(zhuǎn)軌站中的控制/指令系統(tǒng) 遠(yuǎn)程自動(dòng)指令��。轉(zhuǎn)軌站自身可以相互連接并且連接到中央驅(qū)動(dòng)站�,鐵 路交通上必需的所有數(shù)據(jù)都位于該中央驅(qū)動(dòng)站中網(wǎng)絡(luò)的狀況、理論 時(shí)刻表����、車隊(duì)和火車的位置等。
網(wǎng)絡(luò)的任何機(jī)械中斷��,例如不利的位置或半開啟的轉(zhuǎn)軌����,將會(huì)是 災(zāi)難性的并且代表不可接受的可怕事件。這也適用于軌道的占用兼容 性中斷(ruputure de compatibilit6 d��,occupation),其很可能導(dǎo)致火車相 撞���、追尾或側(cè)撞��。
因此����,在轉(zhuǎn)軌站中的計(jì)算機(jī)系統(tǒng)運(yùn)行安全和安全性的問題是關(guān)鍵 的議題�。
現(xiàn)今,為了檢查正在建設(shè)和測(cè)試的轉(zhuǎn)軌站或者是已經(jīng)在運(yùn)行但是 在其上正在實(shí)施功能性完善的站的運(yùn)行安全����,其所配備的計(jì)算機(jī)系統(tǒng)首先逐個(gè)功能并且從網(wǎng)絡(luò)斷開地進(jìn)行單元測(cè)試階段,然后針對(duì)一連串 的各種功能進(jìn)行更為全局性的測(cè)試�����,同時(shí)例如如圖1所示����,通過模擬
器30模擬相關(guān)網(wǎng)絡(luò)部分的各種傳感器和習(xí)慣性動(dòng)作(automatisme)4-6�����, 并且通過其輸入35、 10激勵(lì)計(jì)算機(jī)系統(tǒng)3�����,并且通過計(jì)算機(jī)鏈路38重 新獲得其輸出和對(duì)檢查有用的數(shù)據(jù)�。
這樣的測(cè)試的目的是為了確保所實(shí)現(xiàn)的習(xí)慣性動(dòng)作如所預(yù)想地運(yùn) 行,即根據(jù)諸如由設(shè)計(jì)工具所限定的模型���,諸如GRAFCET�。因此�,對(duì) 在測(cè)試時(shí)所實(shí)現(xiàn)的習(xí)慣性動(dòng)作的輸出狀態(tài)是否符合由設(shè)計(jì)工具給出的 狀態(tài)進(jìn)行了測(cè)試。
然后���,執(zhí)行在真實(shí)系統(tǒng)中的試驗(yàn)階段����,此時(shí)系統(tǒng)逐個(gè)功能地與網(wǎng) 絡(luò)的傳感器和習(xí)慣性動(dòng)作����、轉(zhuǎn)軌器、交通標(biāo)志等相連接���,然后對(duì)整個(gè) 相關(guān)的網(wǎng)絡(luò)部分全局地�����,然后可選地與中央驅(qū)動(dòng)站相連接��。
系統(tǒng)驗(yàn)證小組定義了測(cè)試和試驗(yàn)階段�����。這樣的小組實(shí)現(xiàn)了由他們 執(zhí)行的用于模擬器和試驗(yàn)程序的模擬程序����,認(rèn)為可能有很多連續(xù)或者 有時(shí)同時(shí)事件的情形。
現(xiàn)在����,在此所述的控制/指令計(jì)算機(jī)系統(tǒng)被設(shè)計(jì)用于即時(shí)地處理任
■fcn" 、LK + * I I TXT F3, zrk歪fH _d2^ rfe T" CItL 換(Vn + 古,1>主IK 'H !/V厄�、P義'文,/A川J守*乂而安々/芯/|"土儀卒的大里爭(zhēng)1午1"冃片- ���。
此外�,由于實(shí)時(shí)測(cè)試和試驗(yàn)是在不同的實(shí)施條件下進(jìn)行的�,尤其 是時(shí)間條件����,沒有人可以確定這樣的條件改變將不會(huì)影響驗(yàn)證完整性���。 因此,不可能確信所擔(dān)憂的事件不會(huì)發(fā)生�����。
因而��,由測(cè)試和試驗(yàn)所組成的對(duì)所考慮的系統(tǒng)的這樣的驗(yàn)證由于
兩個(gè)基本理由而不是令人滿意的1)情形的組合如此大����,以致應(yīng)當(dāng)實(shí)
施選擇,以及2)驗(yàn)證階段是基于相互不同的實(shí)現(xiàn)��。
7在這樣的條件下���,并且不管所實(shí)施的努力如何��,仍無法建立控制/ 指令計(jì)算機(jī)系統(tǒng)的運(yùn)行和/或完整性安全的完全并正式的證據(jù)���。
并且這是因?yàn)橐脖M可能地努力實(shí)現(xiàn)這樣的不可達(dá)到的證據(jù),以致 如今對(duì)此種類型的系統(tǒng)的驗(yàn)證不可避免地是長期并且昂貴的。
然而����,在鐵路領(lǐng)域中,該驗(yàn)證問題并不限于僅有的轉(zhuǎn)軌站系統(tǒng)����。 該問題可以是相對(duì)于其它設(shè)備,諸如����,例如指令車廂門。但是更一般 地�����,該問題是相對(duì)于工業(yè)過程的實(shí)時(shí)控制/指令系統(tǒng)(對(duì)英語單詞
"control"的翻譯)��,不管涉及何種時(shí)間尺度��。
因而���,其它實(shí)時(shí)控制/指令系統(tǒng)包括任何運(yùn)動(dòng)裝置����、飛機(jī)、輪船等 的轉(zhuǎn)向系統(tǒng)�����,用于核電站和其它工廠的運(yùn)行系統(tǒng)����,交易系統(tǒng)等���。
對(duì)于轉(zhuǎn)軌站的驗(yàn)證來說����,不能容忍有任何關(guān)鍵性的風(fēng)險(xiǎn)����,并且更 不能容忍用于驗(yàn)證上文實(shí)時(shí)系統(tǒng)的災(zāi)難性的風(fēng)險(xiǎn)?����;谕瑯拥脑?���, 在該驗(yàn)證期間無法提供不擔(dān)憂的事件將不會(huì)發(fā)生的證據(jù)����。
發(fā)明內(nèi)容
因而����,申請(qǐng)人發(fā)明了一種用于在對(duì)實(shí)時(shí)系統(tǒng)…用于鐵路網(wǎng)絡(luò)的轉(zhuǎn) 軌站的轉(zhuǎn)向系統(tǒng)或其它…的驗(yàn)證期間獲得這樣的證據(jù)的方法,并且這 就是他們?nèi)绾螌?shí)現(xiàn)了本發(fā)明�����。
因而�����,本發(fā)明首先涉及一種用于驗(yàn)證工業(yè)工程的控制/指令實(shí)時(shí)系
統(tǒng)的方法�,所述實(shí)時(shí)系統(tǒng)包括輸入,所述輸入的狀態(tài)改變代表外部 事件����;輸出,用于指令外部執(zhí)行機(jī)構(gòu)����;以及自動(dòng)模塊,被布置用于響 應(yīng)于所述事件而執(zhí)行任務(wù)���,并且通過所述輸出作用于所述執(zhí)行機(jī)構(gòu)�����; 輸入和輸出狀態(tài)的集合在給定的時(shí)刻是系統(tǒng)的瞬時(shí)全局狀態(tài)����,當(dāng)完成 任務(wù)時(shí)所獲得的輸入和輸出狀態(tài)的集合是系統(tǒng)已穩(wěn)定的(stabilis6)全 局狀態(tài)���,所述驗(yàn)證方法包括以下步驟
8…建立所擔(dān)憂的事件的列表�; …通過互補(bǔ)性推斷所述自動(dòng)模塊的實(shí)質(zhì)功能��; …建立所述執(zhí)行機(jī)構(gòu)的運(yùn)行特征的列表��; …定義系統(tǒng)的初始已穩(wěn)定的全局狀態(tài)�;…從所述初始已穩(wěn)定的全局狀態(tài)模擬單個(gè)外部事件,以便獲得作 為結(jié)果的已穩(wěn)定的全局狀態(tài)��,以及…逐個(gè)事件地進(jìn)行該模擬�,以一個(gè)已穩(wěn)定的全局狀態(tài)接一個(gè)已穩(wěn) 定的全局狀態(tài)地獲得已經(jīng)被模擬的已穩(wěn)定的全局狀態(tài)。優(yōu)選地����,只要未模擬所有可能的事件組合和已穩(wěn)定的全局狀態(tài)��, 則進(jìn)行上述模擬����。如果獲得了體現(xiàn)所擔(dān)憂的事件的特征的瞬時(shí)全局狀態(tài)��,則停止模 擬并將該實(shí)時(shí)系統(tǒng)視為不可接受���。如果在對(duì)特定的事件和已穩(wěn)定的全局狀態(tài)的模擬之后無法獲得已 穩(wěn)定的全局狀態(tài)����,則發(fā)出警示����。在所有已穩(wěn)定的全局狀態(tài)上系統(tǒng)地模擬了所有可能的外部事件, 這是可能的����,因?yàn)檫@些都是有限數(shù)目并且甚至可以自動(dòng)確定。事實(shí)上�,由于僅當(dāng)沒有執(zhí)行任務(wù)時(shí)才允許執(zhí)行對(duì)應(yīng)于任何事件的 任務(wù),因此消除了當(dāng)正在執(zhí)行任務(wù)時(shí)可能發(fā)生的所有不可預(yù)測(cè)的事件 組合��。因而�,不存在任何所枚舉的事件組合��。對(duì)于所有可能的初始已穩(wěn) 定的全局狀態(tài)測(cè)試了對(duì)應(yīng)于所有可能的外部事件的任務(wù)�����,并且這些只 能從所述已穩(wěn)定的全局狀態(tài)被觸發(fā)�。通過施加可能與何為實(shí)時(shí)系統(tǒng)的真正思想相矛盾這樣的條件����,使得"時(shí)間"變量如同其它輸入一樣在系統(tǒng)之外��,并且避免了在執(zhí)行任 務(wù)時(shí)其能夠隨機(jī)地干涉����。接著,能夠獲得對(duì)系統(tǒng)的徹底驗(yàn)證���,并且因而獲得系統(tǒng)的安全的 證據(jù)�����。在試驗(yàn)階段中系統(tǒng)的服務(wù)所遵循的模擬之后���,系統(tǒng)在與上文述測(cè) 試階段期間相同的材料和/或時(shí)間條件下運(yùn)行�����。因而��,在測(cè)試階段和驗(yàn) 證試驗(yàn)之間沒有不同的實(shí)現(xiàn)�。為了進(jìn)一步降低系統(tǒng)的復(fù)雜度或其全局狀態(tài)的數(shù)量���,除了每一個(gè) 任務(wù)的輸入全局狀態(tài)的集合被限定于已穩(wěn)定的全局狀態(tài)之外��,建議…將模擬限定在從理論已穩(wěn)定的全局狀態(tài)自動(dòng)推斷的部分已穩(wěn)定 的全局狀態(tài)的子集��;…將自動(dòng)模塊的功能限定在對(duì)工業(yè)過程中可適用的規(guī)則所允許的 那些功能��。相關(guān)地�����,本發(fā)明還涉及一種用于工業(yè)過程的控制/指令實(shí)時(shí)系統(tǒng)�����, 包括管理模塊��,代表外部事件的接通-斷開輸入和指令外部執(zhí)行機(jī)構(gòu) 的接通-斷開輸出�����;自動(dòng)模塊��,用于執(zhí)行響應(yīng)于所述事件作用于所述輸 出的預(yù)定任務(wù)����,在給定時(shí)刻的輸入和輸出狀態(tài)的集合是系統(tǒng)的瞬時(shí)全 局狀態(tài),當(dāng)執(zhí)行任務(wù)時(shí)獲得的輸入和輸出狀態(tài)的集合是系統(tǒng)的已穩(wěn)定 的全局狀態(tài)����,所述系統(tǒng)的特征在于管理模塊被布置用于僅當(dāng)沒有正 在執(zhí)行對(duì)應(yīng)于另一個(gè)事件的任務(wù)時(shí)才允許執(zhí)行對(duì)應(yīng)于任意外部事件的 任務(wù),并且自動(dòng)模塊被布置為使得其對(duì)應(yīng)的動(dòng)作僅導(dǎo)致有限數(shù)目的全 局狀態(tài)���。由于僅當(dāng)沒有正在執(zhí)行對(duì)應(yīng)于另一個(gè)先前事件的任務(wù)時(shí)才允許執(zhí) 行對(duì)應(yīng)于任意外部事件的任務(wù),所以消除了當(dāng)正在執(zhí)行任務(wù)時(shí)可能發(fā) 生的所有的不可預(yù)湖I」的事件組合���。優(yōu)選地�����,自動(dòng)模塊的每一個(gè)被布置為使得其動(dòng)作只能導(dǎo)致有限數(shù) 目的已穩(wěn)定的全局狀態(tài)��。
參考附圖閱讀了下文的描述����,本發(fā)明的其它特征和優(yōu)點(diǎn)將變得更 為顯然,在所述附圖中…圖1示出了包括根據(jù)本發(fā)明的控制/指令系統(tǒng)的轉(zhuǎn)軌站的結(jié)構(gòu) 圖��,以及能夠部分地實(shí)現(xiàn)根據(jù)本發(fā)明的驗(yàn)證方法的常規(guī)的驗(yàn)證系統(tǒng)�����;…圖2示出了裝備所述轉(zhuǎn)軌站的控制/指令系統(tǒng)的有機(jī)結(jié)構(gòu)圖�;--圖3示出了帶有圖2的控制/指令系統(tǒng)的功能塊以及應(yīng)當(dāng)遵循以 便根據(jù)本發(fā)明的驗(yàn)證方法來驗(yàn)證的結(jié)構(gòu)的圖;…圖4示出了實(shí)現(xiàn)圖3上的結(jié)構(gòu)的控制/指令系統(tǒng)的簡(jiǎn)化的運(yùn)行流 程圖�����;…圖5示出了帶有第一常規(guī)驗(yàn)證系統(tǒng)的功能塊的圖���,所述第一傳 統(tǒng)驗(yàn)證系統(tǒng)能夠?qū)崿F(xiàn)根據(jù)本發(fā)明的驗(yàn)證方法����;…圖6示出了帶有第二常規(guī)驗(yàn)證系統(tǒng)的功能塊的圖����,所述第二傳 統(tǒng)驗(yàn)證系統(tǒng)實(shí)現(xiàn)根據(jù)本發(fā)明的驗(yàn)證方法;以及…圖7示出了根據(jù)本發(fā)明的驗(yàn)證方法的簡(jiǎn)化的流程圖。
具體實(shí)施方式
參考圖l����,與中央站PC2相連、由此接收運(yùn)行網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)軌站 l包括控制/指令系統(tǒng)3����,主要是工業(yè)計(jì)算機(jī),其允許對(duì)轉(zhuǎn)軌4的自動(dòng)控 制和指令�、對(duì)交通標(biāo)志5的自動(dòng)指令以及對(duì)網(wǎng)絡(luò)的狀態(tài)以及通過傳感 器6對(duì)火車的交通的控制。在實(shí)踐中�����,控制/指令系統(tǒng)3包括至少兩個(gè) 工業(yè)計(jì)算機(jī)�。下文中稱為執(zhí)行機(jī)構(gòu)4、 5的轉(zhuǎn)軌4和交通標(biāo)志5實(shí)際上是驅(qū)動(dòng)這 樣的轉(zhuǎn)軌和標(biāo)志的機(jī)構(gòu)��,而傳感器6作為響應(yīng)傳遞接通/斷開狀態(tài)或 TOR以及可能地測(cè)量M���,轉(zhuǎn)軌4和交通標(biāo)志5以及傳感器6都位于分11配給站點(diǎn)1的鐵路網(wǎng)絡(luò)的區(qū)域中,PC2負(fù)責(zé)與該網(wǎng)絡(luò)的其它站點(diǎn)的協(xié) 調(diào)��,但是它們也可以是相互連接用于獨(dú)立于PC2來通信���。計(jì)算機(jī)3允許實(shí)現(xiàn)一種常規(guī)工業(yè)過程的控制/指令實(shí)時(shí)系統(tǒng)����;艮P,能夠從所述網(wǎng)絡(luò)的所述區(qū)域收集諸如TOR狀態(tài)和測(cè)量M的數(shù)據(jù)�,以作 為響應(yīng)處理和發(fā)出TOR命令(ordres)并且可能地設(shè)置提供用于所述 區(qū)域的執(zhí)行機(jī)構(gòu)的點(diǎn)M,所有這些均實(shí)時(shí)地發(fā)生����。人機(jī)界面9允許顯示在方塊圖(synoptique)(未示出)上執(zhí)行的 控制以及當(dāng)發(fā)現(xiàn)需要時(shí)對(duì)控制板(未示出)的人為干預(yù)。在PC2顯示 控制和在控制板上的干預(yù)也是可能的(圖2)��。為了將數(shù)據(jù)傳輸?shù)接?jì)算機(jī)3并且從后者接收命令����,傳感器6和執(zhí) 行機(jī)構(gòu)4、 5通過電連接7與分配器8電連接��,并且分配器8進(jìn)而通過 一個(gè)或多個(gè)數(shù)字總線10以及可能地模擬連接與計(jì)算機(jī)3連接���。模擬器 計(jì)算機(jī)30和切換設(shè)備60將在后面討論��。參考圖2�����,計(jì)算機(jī)3被構(gòu)造成六層…用于收集數(shù)據(jù)的物理層U��,包括TOR輸入線以及轉(zhuǎn)換成數(shù)字?jǐn)?shù) 據(jù)的在這樣的層上可能的測(cè)量M�。在層11中的這樣的線存儲(chǔ)從在控制 的區(qū)域上發(fā)生的所有事件產(chǎn)生的所有TOR狀態(tài),并且在下文中這樣的 事件將被稱為外部事件����;…邏輯層,由可能的外圍設(shè)備的驅(qū)動(dòng)器和主要為中斷系統(tǒng)塊12所 占據(jù)�����。塊12實(shí)時(shí)地向下面的上層(la couche sup6rieure ci-dessous)警 示外部事件的干預(yù)���,即TOR狀態(tài)改變����?�!糜趯?shí)時(shí)地管理資源的層13��,通常包括實(shí)時(shí)監(jiān)控器模塊13��,其 是以基本語言編寫和存儲(chǔ)的軟件��。該實(shí)時(shí)監(jiān)控器使計(jì)算機(jī)3保持待機(jī)��, 當(dāng)沒有任何事可做時(shí)使后者運(yùn)行在等待循環(huán)上�����,而當(dāng)事件發(fā)生時(shí)激活 相關(guān)功能���,如將在后面看到���;…用于解釋和執(zhí)行應(yīng)用14的層,基本上是解釋器14�����,用于解釋即解譯成實(shí)時(shí)基本語言并執(zhí)行應(yīng)用軟件����,即以在此接近于轉(zhuǎn)軌站的運(yùn) 行的語言編寫和存儲(chǔ)的軟件;…狀態(tài)圖(將在后面解釋該名稱的理由)的層���,存儲(chǔ)構(gòu)建在自動(dòng) 模塊15或自動(dòng)裝置15中的上述應(yīng)用軟件���。在計(jì)算機(jī)3中�,在外部事 件的干預(yù)期間��,監(jiān)控器13使得外部事件可用并激活解釋和激活層14�����。 后者一次一個(gè)地調(diào)用并解譯相關(guān)的自動(dòng)裝置15�。然后,這樣的自動(dòng)裝 置15可選地通過輸出線17向執(zhí)行機(jī)構(gòu)4�、 5發(fā)出指令,所述指令通過 經(jīng)IHM9的方塊圖激發(fā)他們的調(diào)用使得站點(diǎn)1的人員知曉該事件����。他們 還通過引起內(nèi)部事件來觸發(fā)其它自動(dòng)裝置15的激活,這將在下文中介 紹并解釋�;…存儲(chǔ)器層16,存儲(chǔ)受控制的鐵路區(qū)域以及站點(diǎn)1的控制/指令系 統(tǒng)3的全局狀態(tài)Fi�����,這樣的狀態(tài)調(diào)節(jié)自動(dòng)裝置15的運(yùn)行����。應(yīng)用語言的使用允許站點(diǎn)1的運(yùn)行人員理解甚至修改所述應(yīng)用的 自動(dòng)裝置15的編程,而無需知道更加費(fèi)解的基本語言���。參考圖3����,解釋層14進(jìn)一步包括計(jì)算塊18���,標(biāo)記模塊19和20或 用于將事件布置在等待堆棧21和22中來處理事件的模塊��,并且層13 包括內(nèi)部時(shí)鐘23以及用于以方塊圖的形式呈現(xiàn)信息的模塊24����,所述內(nèi) 部時(shí)鐘23用于定期地在時(shí)刻Ti同步自動(dòng)裝置15的運(yùn)行����,并且傳遞其 它時(shí)間服務(wù),更具體地��,用于監(jiān)控輸入線11的實(shí)時(shí)信號(hào)tr���。管理模塊13包括匹配表25�,用于將至少一個(gè)自動(dòng)模塊15與任何 內(nèi)部或外部事件相匹配�����。作為事件的結(jié)果,這樣的表使得可以在包含 其的狀態(tài)圖的層中找到要激活的自動(dòng)裝置15��。如在此所使用的鐵路區(qū)域和控制指令系統(tǒng)的全局狀態(tài)Fi通常意指 瞬時(shí)的全局狀態(tài)Fi��,所述瞬時(shí)的全局狀態(tài)Fi在給定的時(shí)刻Ti包含TOR 輸入和指令輸出的二元狀態(tài)的設(shè)定的Ei���,可選地是所收集的測(cè)量或它 們針對(duì)預(yù)定閾值比較的狀態(tài)�����,所有這些狀態(tài)反映直到當(dāng)前時(shí)刻Ti都在發(fā)生的外部事件的連續(xù)(假設(shè)N個(gè)TOR傳感器���,則在值的范圍為l至
N的n中找到)。
外部事件en可以例如是火車運(yùn)行在軌道路段上或正駛出這樣的路 段����、到達(dá)轉(zhuǎn)軌的連接處、體現(xiàn)火車運(yùn)行的良好性能或引起TOR狀態(tài)的 存在的任何其它事件�。要在鐵路網(wǎng)絡(luò)上執(zhí)行的任務(wù)n從其產(chǎn)生。
Fi還包含指示從自動(dòng)模塊15的運(yùn)行產(chǎn)生的內(nèi)部事件(稱為ip�, p 的范圍為從1到P,假設(shè)這樣的事件數(shù)目為P)的TOR狀態(tài)的設(shè)定的 Ii���。
因而�����,內(nèi)部事件ip的示例可以是由一個(gè)或多個(gè)自動(dòng)裝置模塊15 管理的內(nèi)部變量的狀態(tài)改變�����,或者來自一個(gè)自動(dòng)裝置15而由正被另一 個(gè)自動(dòng)裝置15執(zhí)行的激活請(qǐng)求����。
瞬時(shí)全局狀態(tài)Fi使得可以推斷并且在存儲(chǔ)器27中存儲(chǔ)瞬時(shí)功能 性全局狀態(tài)Gi�,用于在IHM9上呈現(xiàn)系統(tǒng)3的狀態(tài)。
這樣的全局狀態(tài)Gi是對(duì)Fi的內(nèi)容的顯著狀態(tài)的選擇或概括���,使 得站點(diǎn)1的運(yùn)行人員能夠更容易地操縱系統(tǒng)3��。存儲(chǔ)器27還包含從連 續(xù)的全局狀態(tài)Gi提取的指示符的堆棧����,以用作工作日志或用于幫助在 IHM9上的操縱操作����。
因而,在時(shí)刻Ti處的瞬時(shí)全局狀態(tài)Fi由二元向量以N+P坐標(biāo)來 表示,外部瞬時(shí)全局狀態(tài)Ei是前N個(gè)二元值的向量����,而內(nèi)部瞬時(shí)全局 狀態(tài)Ii是P個(gè)剩余的二元值的向量。
通過設(shè)計(jì)工具�����,諸如根據(jù)規(guī)范自動(dòng)提供實(shí)時(shí)系統(tǒng)的狀態(tài)圖����,以及 可由這樣的圖訪問的系統(tǒng)的全局狀態(tài)EGA的集合,初步將有限數(shù)目J 的特定全局狀態(tài)ESj定義為鐵路網(wǎng)絡(luò)的已穩(wěn)定的和可靠的狀態(tài)�����。顯然���,如果系統(tǒng)3符合站點(diǎn)1的需要���,則已穩(wěn)定的ESj全局狀態(tài)
是可能的Fi瞬時(shí)全局狀態(tài)的部分。它們對(duì)應(yīng)于由IHM 9 (或系統(tǒng)3自 身)命令給系統(tǒng)3并由自動(dòng)裝置15執(zhí)行的任務(wù)的最終狀態(tài)�����。
網(wǎng)絡(luò)安全性的實(shí)現(xiàn)如下
…建立執(zhí)行機(jī)構(gòu)4、 5的運(yùn)行特征的列表�,從而使得可以控制良好 運(yùn)行(例如,在右側(cè)上的轉(zhuǎn)軌控制不可能導(dǎo)致從在左側(cè)上的轉(zhuǎn)軌控制 產(chǎn)生的全局狀態(tài))�,即建議使暗示用于表征安全屬性的功能的狀態(tài)正 式化;
…建立應(yīng)當(dāng)避免的所擔(dān)憂的事件的列表���,在此將在此后參考的該
列表是為了通過如下文所解釋的互補(bǔ)性推斷如下文所指示的系統(tǒng)3的 實(shí)質(zhì)保障屬性��。
為了通過所擔(dān)憂的事件的列表的互補(bǔ)性來推斷系統(tǒng)3的保障屬性���, 通過鐵路網(wǎng)絡(luò)和火車交通的全局狀態(tài)FXj使所擔(dān)憂的事件正式化 (formaliser),并且僅當(dāng)從其動(dòng)作產(chǎn)生的所有瞬時(shí)全局狀態(tài)Fi屬于可 訪問的全局狀態(tài)EGA的集合中的狀態(tài)FXj的集合的補(bǔ)集時(shí)�����,才允許任 何自動(dòng)裝置15行動(dòng)��。
對(duì)于轉(zhuǎn)軌站l�,關(guān)于鐵路網(wǎng)絡(luò)的所擔(dān)憂的事件如下
…兩輛火車會(huì)面或相撞�;
…兩輛火車側(cè)面撞擊;
…半打開的轉(zhuǎn)軌���; …一輛火車被后一輛追尾��;
…車廂飄移��;
…出軌����;
…與障礙物相撞。
例如在第一種情況下����,如果系統(tǒng)3為此而經(jīng)受與此處提到的FXj
15狀態(tài)中的單個(gè)狀態(tài)相同的單個(gè)狀態(tài)Fi,顯示兩輛火車同時(shí)在相對(duì)方向 上處于同一軌道���,則自動(dòng)裝置15的保障屬性將禁止輸出17上的任何 指令���。
每一個(gè)自動(dòng)裝置15應(yīng)當(dāng)實(shí)現(xiàn)有限數(shù)目的最終狀態(tài),而不管事件已 經(jīng)激發(fā)了其動(dòng)作����。換句話說,每一個(gè)自動(dòng)模塊15是有限狀態(tài)的自動(dòng)裝
置�����,這對(duì)于形式語言領(lǐng)域的專家而言是公知的數(shù)學(xué)概念����。也就是說����,
自動(dòng)模塊15被布置使得其動(dòng)作只能導(dǎo)致有限數(shù)目的全局狀態(tài)Fi���。 現(xiàn)在將解釋實(shí)時(shí)系統(tǒng)3的運(yùn)行���。
最初,系統(tǒng)3處于"初始"已穩(wěn)定的全局ESj狀態(tài)�。為此,在實(shí) 施時(shí)����,與表25平行但是在此包括在自動(dòng)裝置15的存儲(chǔ)器16中的標(biāo)記 堆棧包含指示其初始狀態(tài)或其運(yùn)行狀態(tài)的預(yù)定內(nèi)部變量。
提供了初始化功能FI���,其被布置成在初始時(shí)刻考慮輸入-輸出變量 狀態(tài)11、 17的組合和自動(dòng)裝置15的標(biāo)記堆棧的內(nèi)部變量�����。
初始已穩(wěn)定的全局狀態(tài)ESj由執(zhí)行初始化功能FI而產(chǎn)生����。
只要沒有事件��,管理模塊13就在等待步驟中自我循環(huán)(圖4)�。
參考圖3和4����,在步驟50期間,在輸入線11上TOR狀態(tài)的任何 改變由塊12檢測(cè)��,所述塊12在等待堆棧22中在列表的末尾存儲(chǔ)對(duì)應(yīng) 的事件en��。
在步驟51期間���,當(dāng)事件en是堆棧中最老的一個(gè)并且來到了列表 的最前端��,在將在后面定義的適當(dāng)時(shí)刻�����,由管理模塊13管理�,以便執(zhí) 行對(duì)應(yīng)的任務(wù)n����。在下一個(gè)步驟52�,模塊13在其表中查找將要執(zhí)行這樣的任務(wù)n 的自動(dòng)模塊15���,或至少將該任務(wù)n啟動(dòng)�。然后�����,其在計(jì)算塊18中加載 第一模塊15��。
在步驟53中�,解譯器14在計(jì)算塊18中同時(shí)解譯并執(zhí)行自動(dòng)裝置15。
在這樣的執(zhí)行期間�����,自動(dòng)裝置15可以
…使其管理的內(nèi)部變量Ii的狀態(tài)發(fā)展�����,因而創(chuàng)建內(nèi)部事件ip并同 時(shí)觸發(fā)標(biāo)記模塊19�����,
…測(cè)試向量Fi中的內(nèi)部和外部變量兩者��;
…向輸出線17發(fā)出指令�����,用于指令需要的執(zhí)行機(jī)構(gòu)4��、 5����。
…啟動(dòng)時(shí)間延遲,所述時(shí)間延遲導(dǎo)致將二元值分配給內(nèi)部變量���, 以便用作針對(duì)其它自動(dòng)裝置15的時(shí)間延遲指示符����。
…執(zhí)行發(fā)信號(hào)或警示功能����;
…檢査遵循保障屬性;
…執(zhí)行計(jì)算����,等。
在模塊15執(zhí)行的結(jié)尾���,解譯器14啟動(dòng)內(nèi)部事件標(biāo)記模塊19的執(zhí)行�����。
在該步驟53中�,如果在內(nèi)部事件的堆棧21中存在內(nèi)部事件ip, 則標(biāo)記模塊19系統(tǒng)地將其置位��,但是僅警示管理模塊13如下事實(shí) 存在應(yīng)當(dāng)在自動(dòng)裝置15的執(zhí)行的結(jié)尾處理的內(nèi)部事件��,以便一次僅處 理一個(gè)自動(dòng)裝置15���。
收到來自模塊19的警示后�����,在步驟54中�,模塊13檢查堆棧21 的內(nèi)容���。
如果堆棧21不是空的����,則對(duì)應(yīng)于外部事件en的任務(wù)n沒有完成,并且在步驟55中模塊13提取最老的內(nèi)部事件并返回到上述步驟52���, 以便關(guān)于外部事件在其表25中査找待執(zhí)行的自動(dòng)模塊15,并且然后啟 動(dòng)解譯器14用于同時(shí)對(duì)其解譯并執(zhí)行��。
只要堆棧21包含內(nèi)部事件�,就應(yīng)當(dāng)在表25中查找新的模塊15并 且應(yīng)當(dāng)在塊18中將其激活。因而�,專用于任務(wù)n的自動(dòng)裝置15潛在 地是對(duì)應(yīng)于所述任務(wù)n的狀態(tài)圖的節(jié)點(diǎn),所述節(jié)點(diǎn)通過作為其分支的
山A口 4_rr ���、* +A" m ^r r11 一.l ����、J+i嚴(yán) AAt l=i a:A jlL �����、Ux + TO1 AAi F=i
nP爭(zhēng)Tt ip ^rtl遷:r女��。兇III」�����,日~」農(nóng)且13 H、J/云個(gè)議仍�����、AI4Av厄�、團(tuán)tl、J/云���。 這樣的圖通往上述可訪問的全局狀態(tài)����。
如果堆棧21是空的�����,則模塊13或?qū)?4在表25中檢查到存在另 一個(gè)自動(dòng)裝置15���,所述另一個(gè)自動(dòng)裝置15被執(zhí)行用來處理進(jìn)行中的事 件��,并且在這樣的情況下���,在計(jì)算塊18中將其加載并且再次通往正在 執(zhí)行的步驟52。否則�����,完成有關(guān)事件en的任務(wù)n并且管理模塊13啟 動(dòng)標(biāo)記外部事件的模塊20。
然后����,標(biāo)記模塊20使外部事件的堆棧22推進(jìn)�,從其移除剛剛處 理過的事件en,并且作為響應(yīng)向管理模塊13警示如下事實(shí)如果存在���, 則可以考慮堆棧22的下一個(gè)外部事件en+l���。
然后,模塊13在步驟56檢査堆棧22是否是空的����,并且, …如果它不是空的�����,則模塊13返回到步驟51�����,以便處理下一個(gè) 外部事件en+l;
…如果它是空的,則不存在要執(zhí)行的任務(wù)n��,模塊13返回到步驟 50中的它的等待循環(huán)上����。
應(yīng)當(dāng)理解,在啟動(dòng)另一個(gè)任務(wù)n+l之前����,模塊13等待進(jìn)行中的任 務(wù)n的結(jié)束,并且因此���,僅當(dāng)沒有對(duì)應(yīng)于另一個(gè)事件en-l的任務(wù)n-l 已經(jīng)被執(zhí)行時(shí)才允許執(zhí)行對(duì)應(yīng)于任何外部事件en的任務(wù)n�����。
18因此��,考慮了在任務(wù)的執(zhí)行持續(xù)期間不發(fā)生外部事件的情況�����,這 防止了在自動(dòng)裝置15執(zhí)行任務(wù)期間瞬時(shí)全局狀態(tài)向量Fi的不受控制的 演變�����。
一切的發(fā)生就如時(shí)間變量在系統(tǒng)3的外部�,類似于外部事件。
總之�,如果所擔(dān)憂的事件的證據(jù)應(yīng)當(dāng)發(fā)生,則邏輯和時(shí)間解譯規(guī) 則應(yīng)當(dāng)非常清楚��。這就是為何實(shí)時(shí)系統(tǒng)3被分割為兩個(gè)不同的實(shí)時(shí)子
系統(tǒng)���,所述兩個(gè)不同的實(shí)時(shí)子系統(tǒng)由堆棧21和22所體現(xiàn),監(jiān)控tr和 同步Ti時(shí)間最經(jīng)常獨(dú)立消逝�����,并且僅當(dāng)達(dá)到預(yù)定的已穩(wěn)定的全局狀態(tài) ESj中的一個(gè)時(shí)所述監(jiān)控tr和同步Ti時(shí)間才相互匹配����。
時(shí)間tr不是由解釋器14管理,更不是由狀態(tài)圖的層所管理��。
相反����,可以將內(nèi)部事件當(dāng)作外部事件并且使內(nèi)部事件在系統(tǒng)3的 外部。然后��,這樣的事件由管理模塊13 (通過標(biāo)記模塊19和20)置 位在堆棧22中而不是堆棧21。當(dāng)其要啟動(dòng)不同于正在進(jìn)行中的任務(wù)的 任務(wù)時(shí)���,這可以是例如用作進(jìn)行中的時(shí)間延遲指示符的內(nèi)部變量的情 況�����。在系統(tǒng)3中��,這是另一種形式的從時(shí)間Ti到時(shí)間tr的"外部化 (ext6riorisation)�,��,�。
在后者的情況下,即使由時(shí)刻Ti同步的時(shí)間延遲也避開了對(duì)解譯 器14和自動(dòng)裝置15的控制�。
在步驟53期間,標(biāo)記模塊19也向模塊24傳輸呈現(xiàn)信息�,當(dāng)前正 在處理的狀態(tài)的演變,然后��,由模塊15分配的內(nèi)部變量的狀態(tài)ip的實(shí) 時(shí)演變�����。
然后���,在每一個(gè)時(shí)刻Ti����,模塊24在存儲(chǔ)器16中生成系統(tǒng)的瞬時(shí) 全局狀態(tài)Fi,并且在存儲(chǔ)器27中生成瞬時(shí)功能全局狀態(tài)Gi��,從而變得 可用于IHM9��。
19當(dāng)模塊13從模塊20接收警示��,請(qǐng)求其考慮下一個(gè)外部事件en+l 并檢查圖Dn+1作為Fi+1的功能��,模塊13可以檢查瞬時(shí)全局狀態(tài)Fi+1 是否真正包含已穩(wěn)定的全局狀態(tài)ESj+l����,并且如果不存在這樣的瞬時(shí)全 局狀態(tài)則發(fā)出警示�。
但是,此處這樣的檢査僅在系統(tǒng)的創(chuàng)建階段之后的驗(yàn)證階段期間 發(fā)生一次�,現(xiàn)在將在后面對(duì)此作出解釋。
參考圖1和5�����,根據(jù)已在本文的開頭提到的允許這樣的驗(yàn)證階段的 系統(tǒng)的第一常規(guī)實(shí)施例����,包括分配器8的鐵路網(wǎng)絡(luò)的設(shè)施被另一個(gè)模 擬計(jì)算機(jī)30所替代��,以便系統(tǒng)地和自動(dòng)地測(cè)試圖Dn的所有的分支�����。
圖1和圖3所示的以及圖5更詳細(xì)說明的計(jì)算機(jī)30實(shí)際上可以與 計(jì)算機(jī)3相同���。計(jì)算機(jī)30也包括輸入33和輸出線34、接口IHM32��、 托管模擬軟件LS的中央單元31����、與存儲(chǔ)器16和27平行的存儲(chǔ)器36 和37以及軟件LS的工作存儲(chǔ)器MS。
計(jì)算機(jī)30的輸入輸出33-34與計(jì)算機(jī)系統(tǒng)3的輸入輸出11-17通 過具有位置R和S的切換設(shè)備60相連接�����,如圖1所示�,以便在位置R (實(shí)際的)計(jì)算機(jī)3連接到分配器8,并且在位置S (模擬的)計(jì)算機(jī) 3連接到計(jì)算機(jī)30����。
在位置S��,計(jì)算機(jī)30的輸出34連接到計(jì)算機(jī)3的輸入11����,并且 計(jì)算機(jī)30的輸入33連接到計(jì)算機(jī)3的輸出17����,以便可以從計(jì)算機(jī)30 的模擬軟件LS并且通過其輸出34模擬輸入11,正如它們?cè)醋苑峙淦?8����。
這是對(duì)于計(jì)算機(jī)30的輸入33所重新獲得的輸出17的相反的情況。這些計(jì)算機(jī)3和30另外還通過計(jì)算機(jī)鏈路38以足夠的流速相連 接���,以便計(jì)算機(jī)30能夠封鎖和解封鎖時(shí)鐘23的同步Ti����,以從其存儲(chǔ) 器36和37或在其中分別初始化和讀取存儲(chǔ)器16和27的瞬時(shí)全局狀 態(tài)Fi和Gi的演變���。
存儲(chǔ)器MS包括堆棧Ro, So和St�����,用于存儲(chǔ)全局狀態(tài)ESj和全局 狀態(tài)FXj。 Ro允許執(zhí)行任務(wù)n的模擬�����,并且So包含待測(cè)試的J個(gè)全局 狀態(tài)ESj��,其通過針對(duì)tri的簡(jiǎn)單的軟件自動(dòng)獲得�����。St包含所測(cè)試的全 局狀態(tài)ESj����。
存儲(chǔ)器MS還包含堆棧Eo,其包含體現(xiàn)事件en的二元狀態(tài)的N 個(gè)值以及要記錄的警示的表E1����。
此外,軟件LS應(yīng)當(dāng)滿足至少以下條件-
…包括從軟件LS指令的執(zhí)行機(jī)構(gòu)的特征的正式化所推斷的警示 功能����;
…配備有通過所擔(dān)憂的事件的列表的互補(bǔ)性推斷的保障屬性。
為了從其所指令的執(zhí)行機(jī)構(gòu)的特征的正式化確定自動(dòng)模塊15的警 示功能��,對(duì)暗示進(jìn)行中的指令的條件正式化并且將其與網(wǎng)絡(luò)的狀態(tài)相 比較,例如在考慮要處理的轉(zhuǎn)軌4是左轉(zhuǎn)軌的情況下����,警示功能可以 包括檢査網(wǎng)絡(luò)的對(duì)應(yīng)狀態(tài)ESj以及由PC 2和/或傳感器6提供的火車交 通與進(jìn)行中的左轉(zhuǎn)軌兼容。
這樣的驗(yàn)證系統(tǒng)的第一實(shí)施例需要增加測(cè)試設(shè)施�����,所述測(cè)試設(shè)施 要求從最終的運(yùn)行狀態(tài)脫離��。如果習(xí)慣性動(dòng)作在其最終的邏輯環(huán)境中 被測(cè)試���,則所述習(xí)慣性動(dòng)作不在其最終的時(shí)間環(huán)境中被測(cè)試���。
這就是為何圖6所示的驗(yàn)證系統(tǒng)的第二實(shí)施例真正地允許建立正 式的驗(yàn)證然而實(shí)質(zhì)上簡(jiǎn)單得多。該第二驗(yàn)證系統(tǒng)的確允許基于以下事實(shí)完全地實(shí)現(xiàn)方法由設(shè)計(jì) 工具定義的模型是自動(dòng)裝置15,并且因而能夠由計(jì)算機(jī)3直接解譯�����。
該驗(yàn)證包括檢查他們?cè)谕耆?、?shí)質(zhì)的并且尤其是時(shí)間最終運(yùn)行 環(huán)境中是否符合所有的安全屬性。因而���,在模型自身上實(shí)現(xiàn)了正式的 安全證據(jù),而設(shè)計(jì)模型實(shí)際上可以是設(shè)計(jì)規(guī)范自身的可解譯的計(jì)算機(jī)
畐'j本(transcription)。
為此
…計(jì)算機(jī)30包含計(jì)算機(jī)3和上述軟件LS��,所述軟件LS被布置成 在計(jì)算機(jī)30中與后者通信�。因而,如上文中圖2��、 3�、 4所描述和示出 的,包含在計(jì)算機(jī)3中的數(shù)據(jù)的集合也可用于計(jì)算機(jī)30及其軟件LS��, 并且在計(jì)算機(jī)3和30之間的計(jì)算機(jī)鏈路38以及存儲(chǔ)器36和37不是 必須的�。
…模擬軟件LS以計(jì)算機(jī)化的方式模擬來自圖的在所有可能的已 穩(wěn)定的全局狀態(tài)上的所有可能的外部事件。因而����,在本驗(yàn)證系統(tǒng)的實(shí) 施例中,不要求計(jì)算機(jī)30的輸入/輸出33���、 34連接到計(jì)算機(jī)3的輸入/ 輸出11�、 17��。切換設(shè)備60和輸入輸出線33和34并不存在����。軟件LS 實(shí)際上自動(dòng)地��,更具體地根據(jù)將要描述的方法���,控制和指令計(jì)算機(jī)3。
…計(jì)算機(jī)30可獲得存在于計(jì)算機(jī)3中并且執(zhí)行從其傳遞的驗(yàn)證所 需的所有數(shù)據(jù)和信息���。另一方面�,對(duì)時(shí)鐘23的同步的封鎖/解封鎖是不 需要的����,計(jì)算機(jī)3的實(shí)時(shí)時(shí)鐘23也能夠提供計(jì)算機(jī)30的實(shí)時(shí)時(shí)鐘的 功能的集合。
…也存在計(jì)算機(jī)30的其它上述元件�����。
因而�����,通過該第二系統(tǒng)30�����,在系統(tǒng)30的驗(yàn)證期間以及運(yùn)行期間��, 在完全相同的物質(zhì)和時(shí)間條件下實(shí)現(xiàn)了系統(tǒng)3的運(yùn)行。
該第二實(shí)施例的另外的優(yōu)點(diǎn)是�����,可以在計(jì)算機(jī)30上激活逐步執(zhí)行
22模塊����,所述逐步執(zhí)行模塊不可能在明確地編程的實(shí)時(shí)系統(tǒng)3上實(shí)現(xiàn)���。
現(xiàn)在����,參考圖7�����,不管采用了何種系統(tǒng)���,對(duì)于驗(yàn)證系統(tǒng)3來說���,由
軟件LS在計(jì)算機(jī)30中執(zhí)行的對(duì)計(jì)算機(jī)3的模擬或控制和指令包括執(zhí) 行以下步驟
…步驟101:從系統(tǒng)3,從So提取已穩(wěn)定的全局狀態(tài)ESj (例如 以j=l開始)�,并且以該第一已穩(wěn)定的全局狀態(tài)初始化存儲(chǔ)器Ro和16;
…步驟102:從Eo提取其注入堆棧22的外部事件en (例如首先 n=l)����,并且其解封鎖時(shí)鐘23而啟動(dòng)計(jì)算機(jī)3;
…步驟103:其監(jiān)控由模塊24傳遞的時(shí)刻Ti的連續(xù)瞬時(shí)全局狀態(tài) Fi�,并且將這樣的全局狀態(tài)與全局狀態(tài)FXj比較而檢查這樣的全局狀態(tài) 是否不體現(xiàn)所擔(dān)憂的事件的特征。在這樣的情況下���,其停止模擬以作 修正���;
…否則,步驟104:其將連續(xù)瞬時(shí)全局狀態(tài)Fi與堆棧So的所有已 穩(wěn)定的全局狀態(tài)ESj比較����,并且一旦其獲得了匹配就推進(jìn)到以下的步驟 105, g卩�,作為結(jié)果的已穩(wěn)定的全局狀態(tài)ESj,除非堆棧21不是空的�����;
…在后者的情況下��,其繼續(xù)進(jìn)行模擬以便實(shí)現(xiàn)一個(gè)或多個(gè)其它的 作為結(jié)果的已穩(wěn)定的全局狀態(tài)ESj��,除非所實(shí)現(xiàn)的已穩(wěn)定的全局狀態(tài)是 存在于堆棧St中的已穩(wěn)定的全局狀態(tài)����,而在該情況下��,其推進(jìn)到步驟 105�。換句話說�����,在后者的情況下�, 一個(gè)已穩(wěn)定的全局狀態(tài)接一個(gè)已穩(wěn) 定的全局狀態(tài)地進(jìn)行任務(wù)n的模擬���,直到實(shí)現(xiàn)了已模擬并存儲(chǔ)在St中 的已穩(wěn)定的全局狀態(tài)����;
…在步驟105�,如果其在任務(wù)的結(jié)尾沒有獲得己穩(wěn)定的全局狀態(tài), 則其在表El中記錄警示并推進(jìn)到步驟106;
…步驟106:其封鎖時(shí)鐘23�����。如果已經(jīng)模擬了 Eo的所有事件en�, 則其推進(jìn)到步驟107,否則其再次執(zhí)行從步驟101起的上述步驟�����,在步 驟102中模擬下一個(gè)外部事件en+l;
…步驟107:對(duì)于所有的N個(gè)現(xiàn)有的外部事件en來說,完全測(cè)試 全局狀態(tài)ESj的模擬�,其將Ro的內(nèi)容(包含模擬的ESj)添加到堆棧 St并將其從堆棧So移除;則完成了模擬�,其推進(jìn)到在IHM
32上的事件Eo的列表和其它經(jīng)測(cè)試已穩(wěn)定的全局狀態(tài)St以及從表El 得出的警示的列表的最后輸出步驟109,否則其再次執(zhí)行步驟101以及 后續(xù)步驟����, 一個(gè)已穩(wěn)定的全局狀態(tài)接一個(gè)已穩(wěn)定的全局狀態(tài)地并且一 個(gè)外部事件接一個(gè)外部事件地提取So中的下一個(gè)已穩(wěn)定的全局狀態(tài) ESj+l以便繼續(xù)進(jìn)行模擬,只要尚未覆蓋所有的圖口n(不理解什么含義) 的所有分支���,即只要尚未模擬事件的所有可能組合和已穩(wěn)定的全局狀 態(tài)���。
因而,可以實(shí)現(xiàn)系統(tǒng)3的徹底的驗(yàn)證�,并且因而實(shí)現(xiàn)在短時(shí)間內(nèi) 其運(yùn)行安全的正式證據(jù)。
如果已經(jīng)選擇了第一驗(yàn)證系統(tǒng)���,則在模擬之后�,為了實(shí)施�����,將切 換設(shè)備60置位在位置R是足夠的,然后��,系統(tǒng)3在與驗(yàn)證階段期間相 同的物質(zhì)和時(shí)間條件下運(yùn)行�����。因此����,不存在能夠關(guān)于所運(yùn)行的系統(tǒng)導(dǎo) 致喪失驗(yàn)證的完整性的不同的實(shí)質(zhì)性實(shí)施方式��。這類似地適用于第二 驗(yàn)證系統(tǒng)�����。
為了進(jìn)一步減少系統(tǒng)的復(fù)雜度或其全局狀態(tài)的數(shù)目��,可以將模擬 限制到從已穩(wěn)定的全局狀態(tài)ESj自動(dòng)推斷的部分已穩(wěn)定的全局狀態(tài)Gi 的子集����。
如上所述,自動(dòng)模塊15的功能可以被限制由適用于轉(zhuǎn)軌站的規(guī)則 所授權(quán)給運(yùn)行人員的那些功能��。
權(quán)利要求
1. 一種用于驗(yàn)證工業(yè)過程的控制/指令實(shí)時(shí)系統(tǒng)(3)的方法�,所述實(shí)時(shí)系統(tǒng)(3)包括輸入(11)����,所述輸入的狀態(tài)改變代表外部事件(en)��;輸出(17)��,用于指令外部執(zhí)行機(jī)構(gòu)(4��,5)��;以及自動(dòng)模塊(15)�����,被布置成響應(yīng)于所述事件(en)而執(zhí)行任務(wù)(n)并且通過所述輸出(11)作用于所述執(zhí)行機(jī)構(gòu)(4�,5);輸入和輸出狀態(tài)的集合在給定的時(shí)刻是所述系統(tǒng)(3)的瞬時(shí)全局狀態(tài)(Fi)��,在執(zhí)行任務(wù)(n)的結(jié)束時(shí)所獲得的輸入和輸出狀態(tài)的所述集合是所述系統(tǒng)(3)的已穩(wěn)定的全局狀態(tài)(ESj)����,所述驗(yàn)證方法包括以下步驟---建立所擔(dān)憂的事件(FXj)的列表;---通過互補(bǔ)性推斷所述自動(dòng)模塊的實(shí)質(zhì)功能��;---建立所述執(zhí)行機(jī)構(gòu)(4,5)的運(yùn)行特征的列表���;---定義所述系統(tǒng)的初始已穩(wěn)定的全局狀態(tài)(ESj)�����;---從所述初始已穩(wěn)定的全局狀態(tài)(ESj)模擬單個(gè)外部事件(en)�,以便獲得作為結(jié)果的已穩(wěn)定的全局狀態(tài)(ESj+1)�,以及---事件(en+1)接事件(en)地進(jìn)行所述模擬,用于已穩(wěn)定的全局狀態(tài)(ESj+1)接已穩(wěn)定的全局狀態(tài)(ESj)地獲得已經(jīng)被模擬的已穩(wěn)定的全局狀態(tài)��。
2. 根據(jù)權(quán)利要求l所述的方法���,其中只要尚未模擬事件(en)和已 穩(wěn)定的全局狀態(tài)(ESj)的所有可能組合����,則進(jìn)行上述模擬�。
3. 根據(jù)權(quán)利要求1和2中的一個(gè)所述的方法���,其中一獲得體現(xiàn)所擔(dān) 憂的事件(FXj)的特征的瞬時(shí)全局狀態(tài)(Fi),就停止所述模擬��。
4. 根據(jù)權(quán)利要求1至3中的一個(gè)所述的方法�����,其中���,如果在對(duì)特定 的事件(en)和特定的已穩(wěn)定的全局狀態(tài)(ESj)的模擬之后無法獲得 已穩(wěn)定的全局狀態(tài)(ESj+l)�����,則發(fā)出警示(El)�����。
5. 根據(jù)權(quán)利要求1至4中的一個(gè)所述的方法�����,其中在所有所述已穩(wěn)定的全局狀態(tài)(ESj)上系統(tǒng)地模擬所有所述可能的外部事件(en)���。
6. 根據(jù)權(quán)利要求1至5中的一個(gè)所述的方法,其中僅當(dāng)尚未執(zhí)行任 意任務(wù)(n-l)時(shí)才授權(quán)執(zhí)行對(duì)應(yīng)于任意事件(en)的任務(wù)(n)�����。
7. 根據(jù)權(quán)利要求1至6中的一個(gè)所述的方法�����,其中對(duì)于所有所述可 能的初始已穩(wěn)定的全局狀態(tài)(So),測(cè)試對(duì)應(yīng)于所有所述可能的外部 事件(Eo)的所述任務(wù)(n)��。
8. 根據(jù)權(quán)利要求7所述的方法����,其中所述任務(wù)(n)只能從那些相 同的初始已穩(wěn)定的全局狀態(tài)(So)被觸發(fā)。
9. 根據(jù)權(quán)利要求1至8中的一個(gè)所述的方法��,其中將所述模擬限定 在從已穩(wěn)定的全局狀態(tài)(ESj)推斷的已穩(wěn)定的全局狀態(tài)的子集(Gi)����, 并且將所述自動(dòng)模塊(15)的所述功能限定在由所述工業(yè)過程中現(xiàn)行 的規(guī)則所授權(quán)的那些功能。
10. —種工業(yè)過程的控制/指令實(shí)時(shí)系統(tǒng)(3)��,包括管理模塊(13)�����, 代表外部事件(en)的接通-斷開輸入(11)�,和指令外部執(zhí)行機(jī)構(gòu)(4�, 5)的接通-斷開輸出(17);自動(dòng)模塊(15),用于響應(yīng)于所述事件(en) 執(zhí)行作用于所述輸出(17)的預(yù)定任務(wù)(n)���,在給定時(shí)刻(Ti)的所 述輸入(11)和輸出(17)的狀態(tài)的集合是所述系統(tǒng)(3)的瞬時(shí)全局 狀態(tài)(Fi)�����,在執(zhí)行任務(wù)(n)的結(jié)束達(dá)到的所述輸入(11)和輸出(17) 的狀態(tài)的所述集合是所述系統(tǒng)(3)的已穩(wěn)定的全局狀態(tài)(ESj)�����,所述 系統(tǒng)的特征在于所述管理模塊(13)被布置用于僅當(dāng)沒有正在執(zhí)行 對(duì)應(yīng)于另一個(gè)事件(en-l)的任務(wù)(n-l)時(shí)才授權(quán)(20)執(zhí)行對(duì)應(yīng)于 任意外部事件(en)的任務(wù)(n)����,并且所述自動(dòng)模塊(15)被布置為 使得所述對(duì)應(yīng)的動(dòng)作僅導(dǎo)致有限數(shù)目的全局狀態(tài)(Fi)。
11. 根據(jù)權(quán)利要求10所述的系統(tǒng)���,包括用于收集數(shù)據(jù)的物理層(11)����、中斷系統(tǒng)塊(12)����、用于管理資源的層(13)、解譯層(14) 以及狀態(tài)圖和自動(dòng)裝置的層(15)�。
12. 根據(jù)權(quán)利要求ll所述的系統(tǒng),其中自動(dòng)裝置(15)是有限狀 態(tài)的自動(dòng)裝置����,并且包括從其指令的執(zhí)行機(jī)構(gòu)(4��, 5)的特征推斷的 警示功能�,并且配備有通過補(bǔ)充性從在工業(yè)過程中所擔(dān)憂的事件的列 表推斷的保障屬性�����。
13. 根據(jù)權(quán)利要求10到12中的一個(gè)所述的系統(tǒng)���,其中提供堆棧��, 用于標(biāo)示自動(dòng)裝置(15)包含其初始狀態(tài)����;以及初始化功能(FI)�,布 置成考慮在初始時(shí)刻的輸入-輸出變量(11, 17)的狀態(tài)的組合以及自 動(dòng)裝置(15)的狀態(tài)的組合���。
14. 根據(jù)權(quán)利要求11到13中的一個(gè)所述的系統(tǒng)���,其中自動(dòng)裝置(15) 被布置成使內(nèi)部變量(Ii)的狀態(tài)進(jìn)展���、向所述執(zhí)行機(jī)構(gòu)(4�����, 5)發(fā)出 指令���、啟動(dòng)時(shí)間延遲�、執(zhí)行發(fā)信號(hào)或警示功能���、檢查是否符合保障屬 性��。
15. 根據(jù)權(quán)利要求10到14中的一個(gè)所述的系統(tǒng)�,其特征在于所 述系統(tǒng)被分割為由兩個(gè)等待堆棧(21, 22)體現(xiàn)的兩個(gè)不同的實(shí)時(shí)子 系統(tǒng)用于監(jiān)控所述輸入(11)和同步所述自動(dòng)裝置(15)�����,當(dāng)實(shí)現(xiàn)了 已穩(wěn)定的全局狀態(tài)(ESj)時(shí)���,監(jiān)控(tr)和同步(Ti)的時(shí)間才相互 匹配���。
16. 根據(jù)權(quán)利要求15所述的系統(tǒng),其中所述監(jiān)控時(shí)間(tr)由所述 中斷塊(12)管理��,并且所述同步時(shí)間(Ti)由所述資源管理層(13) 管理。
17. 根據(jù)權(quán)利要求10到16中的一個(gè)所述的實(shí)時(shí)系統(tǒng)(3)的驗(yàn)證系統(tǒng)�,其特征在于所述驗(yàn)證系統(tǒng)包括計(jì)算機(jī)(30),所述計(jì)算機(jī)(30)包含所述實(shí)時(shí)系統(tǒng)(3)和模擬功能as)�,所述模擬功能as)配備 有通過互補(bǔ)性從所擔(dān)憂的事件的列表推斷的保障屬性并且被布置用于指令所述系統(tǒng)(3),并且通過對(duì)由系統(tǒng)(3)實(shí)現(xiàn)的連續(xù)瞬時(shí)全局狀 態(tài)(Fi)進(jìn)行比較以及檢査這些全局狀態(tài)(Fi)并不體現(xiàn)這樣的所擔(dān)憂 的事件的特征來控制所述系統(tǒng)(3)�。
18. 根據(jù)權(quán)利要求1到9中的一個(gè)所述的方法,其中所述控制/指令 實(shí)時(shí)系統(tǒng)(3)控制并指令下述組中包括的鐵路網(wǎng)絡(luò)的元件轉(zhuǎn)軌(4)���、 交通標(biāo)志(5)����、車廂門��。
19. 根據(jù)權(quán)利要求10到17中的一個(gè)所述的控制/指令實(shí)時(shí)系統(tǒng) (3)�,所述控制/指令實(shí)時(shí)系統(tǒng)(3)控制并指令下述組中包括的鐵路網(wǎng)絡(luò)的元件轉(zhuǎn)軌(4)、交通標(biāo)志(5)���、車廂門���。
全文摘要
系統(tǒng)包括管理模塊(13),代表外部事件(en)的接通-斷開輸入(11)����,和指令外部執(zhí)行機(jī)構(gòu)(4��,5)的接通-斷開輸出(17)�;自動(dòng)模塊(15)��,用于響應(yīng)于所述事件(en)執(zhí)行作用于輸出(17)的預(yù)定任務(wù)(n)��,在給定時(shí)刻(Ti)的輸入(11)和輸出(17)狀態(tài)的集合是系統(tǒng)(3)的瞬時(shí)全局狀態(tài)(Fi)�,在執(zhí)行任務(wù)(n)的結(jié)尾達(dá)到的輸入(11)和輸出(17)的狀態(tài)的集合是系統(tǒng)(3)的已穩(wěn)定的全局狀態(tài)(ESj)�。管理模塊(13)僅當(dāng)沒有正在執(zhí)行對(duì)應(yīng)于另一個(gè)事件(en-1)的任務(wù)(n-1)時(shí)才授權(quán)(20)執(zhí)行對(duì)應(yīng)于任何外部事件(en)的任務(wù)(n),并且自動(dòng)模塊(15)的動(dòng)作僅導(dǎo)致有限數(shù)目的全局狀態(tài)(Fi)�����。
文檔編號(hào)G05B17/02GK101506746SQ200780030422
公開日2009年8月12日 申請(qǐng)日期2007年6月14日 優(yōu)先權(quán)日2006年6月15日
發(fā)明者帕特里克·馬納特, 納迪婭·阿默德, 馬克·安東尼 申請(qǐng)人:法國國家鐵路公司