本發(fā)明涉及軌道交通領(lǐng)域，尤其涉及安全計算機(jī)平臺熱備控制邏輯安全分析方法。

背景技術(shù)：

為平衡和兼顧安全性與可用性，列控系統(tǒng)車載安全計算機(jī)平臺(以下簡稱“安全平臺”)多設(shè)計為熱備冗余安全結(jié)構(gòu)如二乘二取二結(jié)構(gòu)，其中“二取二”主要通過同步比較關(guān)鍵數(shù)據(jù)確保輸出一致，而在此基礎(chǔ)上引入“二乘”主要目的是為了通過主備狀態(tài)控制實現(xiàn)熱備功能，以提高可用性。然而，將動態(tài)結(jié)構(gòu)“二乘”引入到靜態(tài)結(jié)構(gòu)“二取二”之上，可能會帶來新的隱患，降低既有的安全性。例如，當(dāng)熱備中的兩系由于熱備狀態(tài)控制的設(shè)計缺陷，導(dǎo)致兩系對列車接口的輸出均被認(rèn)為有效而出現(xiàn)“雙主”狀態(tài)時，以最不利情況考慮，如果此時兩系輸出緊急制動命令矛盾，不僅會失去熱備的意義，也可能使得緊急制動命令無法輸出，導(dǎo)致安全隱患。

通過對系統(tǒng)動態(tài)行為建模的方式是分析熱備控制邏輯安全性的有效方法。由于安全平臺結(jié)構(gòu)的動態(tài)特點和并發(fā)性，系統(tǒng)宏觀狀態(tài)隨著包含子系統(tǒng)和組件的數(shù)量的增加而大規(guī)模增長，狀態(tài)變遷判定條件復(fù)雜交叉，加之故障的可能組合呈組合式爆炸，使得對安全平臺進(jìn)行安全分析的難度進(jìn)一步加大。傳統(tǒng)動態(tài)安全分析方法如markov鏈(mc)可對動態(tài)行為進(jìn)行建模，然而mc分析中由于系統(tǒng)宏觀狀態(tài)過多，使得手工建模過程中要準(zhǔn)確識別所有狀態(tài)和狀態(tài)轉(zhuǎn)移變得幾乎不可能，分析準(zhǔn)確程度下降。再如隨機(jī)petri網(wǎng)(spn)方法雖可建模異步動態(tài)系統(tǒng)，但petri網(wǎng)中的庫所或信標(biāo)對宏觀狀態(tài)即扁平化狀態(tài)的抽象，并沒有模塊化的組合式建模機(jī)制，因此也存在與mc方法同樣的建模困難。另外，動態(tài)故障樹方法也存在類似的不足。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于提供安全計算機(jī)平臺熱備控制邏輯安全分析方法，克服了人工分析低效率和易出錯的實際問題。

實現(xiàn)上述目的的技術(shù)方案是：

一種安全計算機(jī)平臺熱備控制邏輯安全分析方法，包括：

建立基于cpn(coloredpetrinets，著色petri網(wǎng))的正常行為模型；

建立基于cpn的故障行為模型；

建立基于cpn的綜合行為模型；

進(jìn)行基于cpn的cbm(comprehensivebehaviormodel，安全平臺的綜合行為模型)模型危險故障組合檢驗。

在上述的安全計算機(jī)平臺熱備控制邏輯安全分析方法中，所述的基于cpn的正常行為模型，包括：

存放表示組件當(dāng)前狀態(tài)顏色的庫所；

存放輸入流顏色的輸入庫所；

存放輸出流顏色的輸出庫所；

表示組件會不斷檢查各自輸入流是否滿足當(dāng)前狀態(tài)的轉(zhuǎn)移條件，并判斷是否發(fā)射的兩個變遷；

其中，輸入流顏色代表了與該組件交互的其它組件的狀態(tài)變化情況；輸出流則將該組件的狀態(tài)變化以顏色的形式傳遞給其它交互的組件，該組件的輸出流是其它組件的輸入流。

在上述的安全計算機(jī)平臺熱備控制邏輯安全分析方法中，所述的基于cpn的故障行為模型，包括：

分別表示故障模式未發(fā)生和發(fā)生的兩個變遷；

存放當(dāng)前故障模式的狀態(tài)顏色的庫所；

作為輸出端口向系統(tǒng)中注入故障信息的輸出庫所。

在上述的安全計算機(jī)平臺熱備控制邏輯安全分析方法中，所述的基于cpn的綜合行為模型，指：對正常行為模型和故障行為模型分別綜合和修正之后，得到基于cpn的cbm模型。

在上述的安全計算機(jī)平臺熱備控制邏輯安全分析方法中，所述的進(jìn)行基于cpn的cbm模型危險故障組合檢驗，包括：

對cbm進(jìn)行正常行為模型檢驗，當(dāng)?shù)玫綗o故障下系統(tǒng)不可達(dá)危險狀態(tài)，進(jìn)行下一步，否則表示系統(tǒng)功能性設(shè)計不正確；

對cbm進(jìn)行綜合行為模型檢驗，考慮各種故障及其組合，當(dāng)?shù)玫焦收辖M合使得系統(tǒng)行為進(jìn)入危險狀態(tài)，即是割集；否則，根據(jù)最小割集定義完成割集最小化處理，得到所有最小割集。

本發(fā)明的有益效果是：本發(fā)明著色petri網(wǎng)，通過對典型的二乘二取二的安全平臺進(jìn)行動態(tài)行為建模，描述了平臺的兩系熱備控制的動態(tài)交互過程，并對所有考慮的通信故障進(jìn)行了危險故障組合檢驗，找到了兩系熱備狀態(tài)矛盾的最小割集，提高效率和準(zhǔn)確性，解決了系統(tǒng)設(shè)計復(fù)雜且大狀態(tài)空間條件下安全分析的難題，為設(shè)計開發(fā)人員改進(jìn)設(shè)計提供了有力支持。

附圖說明

圖1是本發(fā)明的安全計算機(jī)平臺熱備控制邏輯安全分析方法的示意圖。

圖2是本發(fā)明中正常行為的cpn建模示意圖；

圖3是本發(fā)明中故障行為的cpn建模示意圖；

圖4是本發(fā)明中正常行為模型的綜合的示意圖；

圖5是本發(fā)明中故障行為模型的綜合的示意圖；

圖6是車載安全計算機(jī)平臺采用二乘二取二的結(jié)構(gòu)圖；

圖7是本發(fā)明中單套安全計算機(jī)的正常行為模型的示意圖；

圖8是本發(fā)明中同步通道的故障行為模型的示意圖；

圖9是本發(fā)明中控制通道的故障行為模型的示意圖；

圖10是本發(fā)明中狀態(tài)1到1533路徑舉例的示意圖。

具體實施方式

下面將結(jié)合附圖對本發(fā)明作進(jìn)一步說明。

請參閱圖1，本發(fā)明的安全計算機(jī)平臺熱備控制邏輯安全分析方法，包括下列步驟：

步驟一，建立基于cpn的正常行為模型。

建立一個組件的正常行為的cpn模型an，如圖2所示，其中變遷1(normalbehavior1)和變遷2(normalbehavior2)分別表示該組件會不斷檢查輸入流i1和i2是否滿足當(dāng)前狀態(tài)的轉(zhuǎn)移條件，并判斷是否發(fā)射(fire)這兩個變遷。此時，輸入流信息要同時被所有的變遷參考并參與判斷，且在一個時間步內(nèi)只有一個變遷會被發(fā)射，這是petri網(wǎng)的異步特性。庫所sn用來存放表示組件當(dāng)前狀態(tài)的顏色，輸入庫所(inputport)和輸出庫所(outputport)分別是用來存放輸入流顏色和輸出流顏色的庫所，輸入流顏色代表了與該組件交互的其它組件的狀態(tài)變化情況，輸出流則將該組件的狀態(tài)變化以顏色的形式傳遞給其它交互的組件，該組件的輸出流是其它組件的輸入流。圖中，f1、f2、i1、i2分別表示兩個正常行為在輸入時的弧變量，生成和消耗庫所sn中的狀態(tài)顏色。

步驟二，建立基于cpn的故障行為模型。

故障行為模型可被視為一個與正常行為獨立并發(fā)的行為系統(tǒng)，每個故障對應(yīng)一個獨立的cpn行為模型af。布爾變量fi表示第i個故障的狀態(tài)，取值為{false,true}，當(dāng)fi＝true時表示故障發(fā)生，初始值為false。故障行為模型af如圖3所示，其中兩個變遷分別表示故障模式未發(fā)生和發(fā)生，對外輸出弧上的注式取值分別為n(正常)和f(故障)，庫所fn用來存放當(dāng)前故障模式的狀態(tài)顏色，輸出庫所(faultoutputport)作為輸出端口向系統(tǒng)中注入該故障信息，參與系統(tǒng)的行為變化。

步驟三，建立基于cpn的綜合行為模型；

模型綜合的關(guān)鍵是接口關(guān)系的表達(dá)。組件間的接口形式如圖4所示，其中兩個變遷t、t’(變遷)分別表示發(fā)出組件中對外輸出狀態(tài)顏色的變遷和接收組件中消耗外來顏色的變遷。當(dāng)發(fā)出組件由當(dāng)前狀態(tài)c(當(dāng)前)變遷到狀態(tài)ne(下一)時，發(fā)出組件對接收組件釋放該顏色，此時輸出庫所(outputport)用來臨時存放該顏色并以一條禁止弧保持發(fā)出組件的狀態(tài)暫時不再發(fā)生變化，同時接收組件處于狀態(tài)c’(當(dāng)前)，輸出庫所(outputport)中的顏色激活了接收組件的狀態(tài)變遷條件，使得接收組件由狀態(tài)c’進(jìn)入狀態(tài)ne’(下一)，并消耗顏色c’，這樣就實現(xiàn)了狀態(tài)信息的傳遞。

故障行為模型的綜合方法與正常行為模型的綜合方法類似，如圖5所示，變遷(normal和fault)將故障模式的狀態(tài)顏色通過故障輸出庫所(faultoutputport)傳遞給正常行為組件中參與狀態(tài)的變遷。

整體綜合的目的是通過并發(fā)系統(tǒng)建模理論得到cbm，并自動生成完整的狀態(tài)空間，即整體綜合的本質(zhì)是在經(jīng)過以上兩類綜合和修正之后正常行為模型an與故障行為模型af的并發(fā)ay＝(an1||an2||…||ani)||(af1||af2||…||afi)。自此就得到了基于cpn的cbm模型，作為下一步安全分析的輸入。

步驟四，進(jìn)行基于cpn的cbm模型危險故障組合檢驗。

危險故障組合檢驗又可稱為最小割集求解，它的目的是為了在眾多的故障的組合中找到導(dǎo)致隱患發(fā)生的那些組合，并且這些組合中刪除任意一個故障后，都使得該組合不再會導(dǎo)致隱患的發(fā)生，這些組合稱為最小割集，屬于定性安全分析。由于最小割集對設(shè)計人員有關(guān)鍵指導(dǎo)作用，所以需要保證分析結(jié)果的正確性與完整性，正確性是指分析準(zhǔn)確描述了系統(tǒng)失效的過程，準(zhǔn)確找到了導(dǎo)致隱患發(fā)生的一系列故障組合，而完整性是指所有導(dǎo)致隱患發(fā)生的情形都被無遺漏地考慮在分析過程中。對基于cpn的cbm進(jìn)行完全狀態(tài)空間分析，可同時滿足正確性和完整性。

最小割集通過對cbm的檢驗來判斷篩選，任務(wù)分為兩步：無故障情況下的模型檢驗和有故障情況下的模型檢驗。首先，需證明無故障狀態(tài)下的cbm的功能性驗證通過，即證明功能設(shè)計可實現(xiàn)且危險狀態(tài)不可達(dá)。但即便如此，也不能證明在系統(tǒng)中某個故障或多個故障發(fā)生時系統(tǒng)仍然是安全的。只要存在故障，隱患永遠(yuǎn)不可避免會發(fā)生，所以，第二步還要考慮所有故障組合情形，判斷哪些是導(dǎo)致隱患發(fā)生的割集和最小割集，有故障狀態(tài)下的cbm模型檢驗?zāi)康木褪峭ㄟ^自動地指派故障布爾狀態(tài)變量的值的方式來生成割集和最小割集。因此，這兩類任務(wù)中前者是后者的基礎(chǔ)，兩者都屬于可達(dá)性的驗證。具體包括：

1)對cbm進(jìn)行正常行為的模型檢驗，此時故障集合即此時不考慮任何故障的發(fā)生，故障狀態(tài)變量的布爾指派均為false。當(dāng)檢驗返回值為false時，表示無故障下系統(tǒng)不可達(dá)危險狀態(tài)，即證明系統(tǒng)功能性設(shè)計正確，可進(jìn)行后一步安全性分析；相反如果檢驗返回值為true，表示系統(tǒng)功能性設(shè)計不正確，設(shè)計本身就是有危險的，需首先改進(jìn)功能性設(shè)計缺陷。

2)對cbm進(jìn)行綜合行為的模型檢驗，此時即此時需考慮可能的故障及其組合。當(dāng)驗證返回值為true，表示該故障組合使得系統(tǒng)行為進(jìn)入危險狀態(tài)，即是割集；相反如果驗證返回值為false，說明不是割集。根據(jù)最小割集定義完成割集最小化處理，得到所有最小割集，完成危險故障組合的檢驗。

以下通過具體例子對本發(fā)明進(jìn)行說明：

車載安全計算機(jī)平臺采用二乘二取二的結(jié)構(gòu)設(shè)計，其結(jié)構(gòu)如圖6所示。假設(shè)切換繼電器sw本身是可靠的，當(dāng)系統(tǒng)正常時，a系為主(master)，b系為備(slave)，其中每系均有二取二結(jié)構(gòu)構(gòu)成，雙通道內(nèi)部用以太網(wǎng)實現(xiàn)同步通信。為實現(xiàn)兩系之間熱備過程中的數(shù)據(jù)共享，a、b兩系之間通過以太網(wǎng)建立同步通信，當(dāng)兩系中任何一系發(fā)生故障時，可實現(xiàn)容錯控制，通過控制狀態(tài)的轉(zhuǎn)移實現(xiàn)主備切換的熱備功能。狀態(tài)控制ca和cb通過以太網(wǎng)對兩系的工作狀態(tài)進(jìn)行采集并相互檢查，并通過控制切換繼電器sw控制對外輸出選擇。由于以太網(wǎng)可能由于硬件隨機(jī)故障或軟件設(shè)計缺陷導(dǎo)致通信故障，這樣會導(dǎo)致主備狀態(tài)信息無法正常傳輸，而此時兩系需要根據(jù)狀態(tài)交互決策自身的主備狀態(tài)轉(zhuǎn)移并控制緊急制動的輸出。因此，需要對主備控制邏輯進(jìn)行安全分析，確保在通信故障時不會導(dǎo)致危險失效的發(fā)生。圖6中，tcr、btm、dmi、hs、rtu、odo分別表示中國列車控制系統(tǒng)中車載系統(tǒng)的軌道電路讀取器、應(yīng)答器傳輸單元、司機(jī)駕駛顯示、駕駛手柄、無線傳輸單元和測速單元。

步驟一、建立單套安全計算機(jī)的正常行為模型。設(shè)定單系安全計算機(jī)具備四個主備控制狀態(tài)，初始狀態(tài)idle、主狀態(tài)mast和備狀態(tài)slav，等待中間態(tài)wait，每個狀態(tài)之間存在狀態(tài)轉(zhuǎn)移條件，同時兩系對狀態(tài)控制器ca、cb報告工作狀態(tài)正常work和異常nowork。以a系為例，如圖7所示，根據(jù)基于cpn的cbm建模規(guī)則，定義主備狀態(tài)顏色集colsetstate＝withidle|mast|slav|wait，運行狀態(tài)顏色集colsetchec＝withwork|nowork，生成工作狀態(tài)顏色集colsets_c＝productstate*chec，表示該系當(dāng)前工作狀態(tài)信息即圖中a的顏色集類型，庫所a用來存放當(dāng)前a系的工作狀態(tài)顏色。變遷transa表示a系的主備控制邏輯動作，藍(lán)色弧表示對主備邏輯狀態(tài)的控制輸出弧。

步驟二、建立同步通道和控制通道的故障行為模型。a、b兩系的主備控制邏輯是整個體系行為建模的關(guān)鍵，需在cpn中用ml語言表達(dá)出來并以弧標(biāo)注的形式標(biāo)注在藍(lán)色弧中，用來控制本單系的邏輯狀態(tài)，并對另一系輸出本系的狀態(tài)信息。以a系為例，其狀態(tài)控制邏輯ml語言(片段)表達(dá)式為：

以上ml語言中，a和b表示兩系的報告工作狀態(tài)變量，sa和sb表示兩系的主備邏輯狀態(tài)變量，t1、t2表示同步通信狀態(tài)變量，ea1、ea2、eb1、eb2表示狀態(tài)控制單元ca、cb與兩系的通信狀態(tài)變量。同步通信只與a系和b系通過一個通道相連，如圖8所示，庫所s(syncro)用來存放同步通道故障狀態(tài)的顏色，定義顏色集colsetsync＝withsyn|nsyn，分別表示通信正常和故障，庫所s_o1和s_o2為輸出庫所，變遷syn與nsyn用來生成通信狀態(tài)顏色。其中，nsync表示通信通道狀態(tài)處于丟失狀態(tài)，以及t表示通道通信狀態(tài)變量。

故障行為模型包含四個以太網(wǎng)通信通道的故障行為。通信狀態(tài)包含正常狀態(tài)on和故障狀態(tài)off，故障行為模型如圖9所示，定義故障狀態(tài)顏色集colsetc＝withon|off。由于通信連接交叉相連，可生成兩通道通信狀態(tài)積顏色集colsetcomm＝productc*c，表示同一狀態(tài)控制器兩通道的故障情況，共四種組合。庫所ca用來存放a系兩通道通信狀態(tài)，庫所ao1和ao2是狀態(tài)顏色輸出庫所，變遷a1_a2、a1_na2、na1_a2和na1_na2用來生成故障組合。b系兩通道的通信故障行為模型與a系類似。

步驟三、建立安全控制平臺的綜合行為模型(cbm)。基于圖8和圖9，建立安全控制平臺的綜合行為模型。

步驟四、進(jìn)行危險故障組合檢驗。首先安全平臺熱備控制功能的隱患是兩系處于雙主狀態(tài)。對正常行為時模型進(jìn)行檢驗，驗證無故障時設(shè)計的安全性，檢驗結(jié)果如下表所示，

funhazardn＝

(mark，dualset′a1n＝1`(mast，work)

orelsemark.dualset′a1n＝1`(mast，nowork))

andalso

(mark，dualset′b1n＝1`(mast，work)

orelsemark.dualset′b1n＝1`(mast，nowork))

andalso

(mark，dualset′ao11n＝empty

andalsomark，dualset′ao21n＝empty

andalsomark，dualset′bo11n＝empty

andalsomark，dualset′bo21n＝empty

andalsomark，dualset′s_o11n＝empty

andalsomark，dualset′s_o21n＝empty)；

funfault0n＝

(mark.dualset′ca1n＝1`(on，on)andalso

mark.dualset′cb1n＝1`(on，on)andalso

mark.dualset′syncro1n＝1`(syn))

valcs0＝exist_until(nf(″nofault″，fault0)

，nf(″dualmaster″，hazard))；

eval_nodecs0initnode；

表中結(jié)果表明當(dāng)割集集合為空時，即正常工作時，功能設(shè)計的行為不會進(jìn)入雙主的危險狀態(tài)，檢驗返回結(jié)果為false，證明設(shè)計無錯誤。

對故障組合進(jìn)行檢驗是安全分析的最終結(jié)論。案例中共有5個以太網(wǎng)通信故障，因此故障組合個數(shù)共32個，按照由低階組合向高階組合的順序依次檢驗。由于故障發(fā)生的不確定性，故障組合數(shù)多等原因，導(dǎo)致狀態(tài)空間巨大，運行場景眾多，手工分析幾乎不可能。使用cpntools中的狀態(tài)空間工具實現(xiàn)自動化的故障組合檢驗，可快速得到所有組合的分析結(jié)果。以三階組合中的兩個組合為例，檢驗結(jié)果如下表所示：

表中檢驗結(jié)果表明對于fault1組合，它是由cb與a系檢查通道故障、cb與b系的檢查通道故障和雙系同步通道故障組成的故障組合，它的返回值是false，即該組合不是割集；對于fault2組合，它是由雙系同步通道故障、ca到b系的檢查通道故障、cb與b系的檢查通道故障組成的故障組合，它的返回值是true，即該組合是割集。在對所有32個組合檢驗后，最終結(jié)果共得到4個三階最小割集：

①雙系同步通道故障、ca到a系的檢查通道故障、cb與a系的檢查通道故障。

②雙系同步通道故障、ca到a系的檢查通道故障、cb與b系的檢查通道故障。

③雙系同步通道故障、ca到b系的檢查通道故障、cb與a系的檢查通道故障。

④雙系同步通道故障、ca到b系的檢查通道故障、cb與b系的檢查通道故障。

對這些最小割集進(jìn)行進(jìn)一步分析可得導(dǎo)致進(jìn)入雙主的危險失效路徑。首先應(yīng)用以下ml語言生成滿足雙主條件的所有危險狀態(tài)(cpn狀態(tài)空間節(jié)點非真實系統(tǒng)危險狀態(tài)，注意區(qū)別)列表，得到危險狀態(tài)共108個：

以首次進(jìn)入雙主狀態(tài)1533為例，可得從初始狀態(tài)1到該狀態(tài)的危險失效路徑，應(yīng)用以下ml函數(shù)可得經(jīng)過的狀態(tài)路徑序列：

應(yīng)用以下ml語句可得從初始狀態(tài)1到1533經(jīng)過的變遷路徑序列：

狀態(tài)空間中的1到1533狀態(tài)路徑舉例如圖10所示，該路徑可作為本案例中最小割集②的一個證例(witness)，該證例表明控制單元ca、cb在第一個周期與兩系均有一個通道發(fā)生通信故障，而在第二個周期中兩系丟失了同步通信，使得不能形成向?qū)Ψ桨l(fā)送檢查狀態(tài)的回路，導(dǎo)致雙主。這些最小割集的本質(zhì)是兩系之間無法形成信息回路，無法相互得知對方的工作狀態(tài)。依此方法可得到所有最小割集的一個證例，足矣說明危險雙主狀態(tài)發(fā)生的情景，并幫助改進(jìn)設(shè)計。本案例完全狀態(tài)空間生成時間22秒，生成狀態(tài)16468個，弧61064個。

以上實施例僅供說明本發(fā)明之用，而非對本發(fā)明的限制，有關(guān)技術(shù)領(lǐng)域的技術(shù)人員，在不脫離本發(fā)明的精神和范圍的情況下，還可以作出各種變換或變型，因此所有等同的技術(shù)方案也應(yīng)該屬于本發(fā)明的范疇，應(yīng)由各權(quán)利要求所限定。