本發(fā)明涉及自動列車保護系統(tǒng)，尤其涉及一種基于stpa的高速鐵路atp系統(tǒng)故障注入測試方法。

背景技術：

1、隨著現(xiàn)代軌道交通系統(tǒng)的不斷發(fā)展，自動列車保護系統(tǒng)(atp)作為確保列車運行安全的重要組成部分，其可靠性和安全性備受關注。然而，由于其復雜性和關鍵性，atp系統(tǒng)的測試變得尤為重要。在測試過程中，需要識別系統(tǒng)潛在的故障，并驗證系統(tǒng)在面對這些故障時的行為是否符合設計要求。

2、系統(tǒng)安全性技術過程分析(stpa)是一種系統(tǒng)安全工程方法，其目的在于識別系統(tǒng)的潛在危險，并確定如何設計和操作系統(tǒng)以減輕這些危險。stpa方法通過分析系統(tǒng)的功能、結構和控制策略，識別可能導致系統(tǒng)失效的各種場景和因素。在atp系統(tǒng)的測試中，stpa方法可以幫助識別系統(tǒng)的潛在故障點和影響因素，為后續(xù)的故障注入和測試提供依據(jù)。

3、在識別出潛在故障后，需要一種有效的故障注入測試方法。cofi是一種常用的形式化方法，用于描述系統(tǒng)的控制流程和狀態(tài)轉(zhuǎn)換。通過將故障注入到控制流圖中，并觀察系統(tǒng)在故障情況下的行為，可以評估系統(tǒng)的安全性。在atp系統(tǒng)測試中，cofi方法可以將識別出的故障場景注入到系統(tǒng)的控制流圖中，從而生成系統(tǒng)的有限狀態(tài)機(fsm)，并觀察系統(tǒng)在這些故障情況下的響應。

4、atp系統(tǒng)可能包含不確定性轉(zhuǎn)換，這增加了測試的復雜性。傳統(tǒng)上，技術大多是將不確定性系統(tǒng)先轉(zhuǎn)換成確定性系統(tǒng)再進行測試。然而，wp方法是一種可以直接運用于不確定性系統(tǒng)的測試用例生成方法，通過從系統(tǒng)的狀態(tài)機模型中導出測試用例，覆蓋系統(tǒng)的不同行為路徑，從而達到全面測試系統(tǒng)功能的目的。這一創(chuàng)新性方法可以直接處理不確定性系統(tǒng)，避免了轉(zhuǎn)換過程中的信息丟失和復雜性增加的問題。

技術實現(xiàn)思路

1、本發(fā)明的目的在于解決現(xiàn)有技術中的問題。

2、本發(fā)明解決其技術問題所采用的技術方案是：提供一種基于stpa的高速鐵路atp系統(tǒng)故障注入測試方法，包括以下步驟：

3、應用stpa方法對高速鐵路atp系統(tǒng)進行分析，識別故障場景與安全要求；

4、基于故障場景與安全要求，運用cofi方法生成高速鐵路atp系統(tǒng)的有限狀態(tài)機模型fsm；

5、在有限狀態(tài)機模型fsm上運用wp方法生成測試用例；

6、使用測試用例對高速鐵路atp系統(tǒng)進行測試。

7、優(yōu)選的，所述應用stpa方法對高速鐵路atp系統(tǒng)進行分析，包括以下步驟：

8、定義高速鐵路atp系統(tǒng)的目的，明確高速鐵路atp系統(tǒng)的目標和范圍，包括系統(tǒng)的功能、環(huán)境和操作條件；

9、構建高速鐵路atp系統(tǒng)的控制結構圖，標識系統(tǒng)中的控制器、被控對象、傳感器、執(zhí)行器及其相互關系；

10、識別控制結構圖中的不安全控制行為并總結安全要求。

11、優(yōu)選的，所述不安全控制行為包括：

12、高速鐵路atp系統(tǒng)在超速情況下未發(fā)出減速指令；

13、高速鐵路atp系統(tǒng)未能檢測到列車超速；

14、高速鐵路atp系統(tǒng)誤判超速，導致不必要的減速或緊急制動；

15、高速鐵路atp系統(tǒng)在不必要時觸發(fā)緊急制動；

16、高速鐵路atp系統(tǒng)在必要時未能觸發(fā)緊急制動；

17、高速鐵路atp系統(tǒng)未能有效解除制動，導致制動持續(xù)；

18、高速鐵路atp系統(tǒng)報告錯誤的列車位置，導致錯誤的控制決策；

19、高速鐵路atp系統(tǒng)未能實時更新列車位置數(shù)據(jù)；

20、高速鐵路atp系統(tǒng)與軌旁設備間通信中斷，無法接收或發(fā)送控制指令；

21、高速鐵路atp系統(tǒng)與軌旁設備間通信數(shù)據(jù)錯誤，導致錯誤的控制決策；

22、所述安全要求包括：

23、高速鐵路atp系統(tǒng)在超速情況下必須發(fā)出減速指令；

24、高速鐵路atp系統(tǒng)必須能檢測到列車超速；

25、高速鐵路atp系統(tǒng)不能隨意施加減速或緊急制動；

26、高速鐵路atp系統(tǒng)不能隨意觸發(fā)緊急制動；

27、高速鐵路atp系統(tǒng)必須能在必要時觸發(fā)緊急制動；

28、高速鐵路atp系統(tǒng)必須能有效解除制動；

29、高速鐵路atp系統(tǒng)必須報告正確的列車位置；

30、高速鐵路atp系統(tǒng)必須能實時更新列車位置數(shù)據(jù)；

31、高速鐵路atp系統(tǒng)與軌旁設備間通信不可中斷；

32、高速鐵路atp系統(tǒng)與軌旁設備間通信數(shù)據(jù)不能錯誤。

33、優(yōu)選的，所述基于故障場景與安全要求，運用cofi方法生成高速鐵路atp系統(tǒng)的有限狀態(tài)機模型fsm，包括以下步驟：

34、識別高速鐵路atp系統(tǒng)的控制結構圖中的觀察控制點pcos、輸入事件和輸出事件；

35、構建有限狀態(tài)機圖的規(guī)則，首先確定高速鐵路atp系統(tǒng)的初始狀態(tài)，然后根據(jù)發(fā)生在觀察控制點pcos的事件迭代地識別轉(zhuǎn)換和狀態(tài)，最后基于識別到的轉(zhuǎn)換和狀態(tài)建立有限狀態(tài)機圖的規(guī)則；

36、基于有限狀態(tài)機圖的規(guī)則構建正常行為fsm圖；

37、基于故障場景與安全要求構建異常行為fsm圖；

38、在fsm建模過程中添加容錯機制；

39、驗證已構建的fsm圖是否滿足stpa要求，不滿足則補充fsm圖。

40、優(yōu)選的，所述基于故障場景與安全要求構建異常行為fsm圖，具體包括：

41、在正常行為fsm圖中添加由于指定異常場景中的輸入事件引起的轉(zhuǎn)換以構建指定異常行為fsm圖；

42、使用正常行為的fsm和指定異常行為的fsm的轉(zhuǎn)換構建狀態(tài)轉(zhuǎn)換表stt，填充轉(zhuǎn)換表stt中的空單元格，識別在意外時間發(fā)生的事件，確定潛在路徑轉(zhuǎn)換，繪制包括所有新識別的轉(zhuǎn)換的潛在行為fsm圖。

43、優(yōu)選的，所述正常行為指高速鐵路atp系統(tǒng)正確提供服務時的行為，所述異常行為指高速鐵路atp系統(tǒng)不正確提供服務時的行為；不同服務采用不同情景的fsm圖表示；所述服務包括列車速度監(jiān)控。

44、優(yōu)選的，列車速度監(jiān)控情景的正常行為fsm圖構建過程包括以下步驟：

45、確定初始狀態(tài)為列車按正常速度形式的狀態(tài)；

46、根據(jù)發(fā)生在觀察控制點pcos的事件迭代地識別轉(zhuǎn)換和狀態(tài)，具體為：列車通信器工作，導致輸入事件“列車接受到移動授權”引發(fā)動作“收到移動授權”；下一個狀態(tài)是“atp計算限速”，在這個狀態(tài)中列車速度監(jiān)控器計算限速并更新，導致輸入事件“得出限速”引發(fā)動作“速度監(jiān)控器監(jiān)控速度”；下一個狀態(tài)是“監(jiān)控速度”，在這個狀態(tài)中列車速度監(jiān)控器未檢測到超速，引發(fā)輸入事件“未超速”引發(fā)動作“繼續(xù)行駛”；下一個狀態(tài)是“正常形式”，在這個狀態(tài)中列車行駛出授權區(qū)段后，引發(fā)輸入事件“駛出區(qū)段”引發(fā)動作“發(fā)出新的移動請求”；最終回到初始狀態(tài)；

47、基于識別到的轉(zhuǎn)換和狀態(tài)建立列車速度監(jiān)控情景的正常行為fsm圖。

48、優(yōu)選的，通過在列車速度監(jiān)控情景的正常行為fsm圖中添加由于指定異常場景中的輸入事件引起的轉(zhuǎn)換獲得列車速度監(jiān)控的異常行為fsm圖；所述指定異常場景為列車超速行駛，導致輸入事件“超速”引發(fā)動作“發(fā)出警報”；下一個狀態(tài)是“警報狀態(tài)”，在這個狀態(tài)中會發(fā)生兩種情況，第一種情況是人收到警報則進入“人為制動”狀態(tài)，在“人為制動”狀態(tài)下，列車速度恢復到正常后，引發(fā)輸入事件“恢復到正常速度”引發(fā)動作“停止制動”，回到正常行駛狀態(tài)；第二種情況是超速警報長時間未處理，則進入“機控狀態(tài)”采取機控制動，列車速度恢復到正常后，引發(fā)輸入事件“恢復到正常速度”引發(fā)動作“停止制動”，回到正常行駛狀態(tài)。

49、優(yōu)選的，所述測試用例包括第一測試集t1和第二測試集t2；所述使用測試用例對高速鐵路atp系統(tǒng)進行測試，包括以下步驟：

50、使用第一測試集t1中的元素對iut進行測試，檢查每個狀態(tài)是否與m中相應的狀態(tài)等價，是則進入下一步驟，否則認為iut存在錯誤并結束測試；

51、使用第二測試集t2中的元素對iut進行測試，檢查每個狀態(tài)是否與m中相應的狀態(tài)等價，是則認為iut不存在錯誤，否則認為iut存在錯誤，結束測試。

52、本發(fā)明具有如下有益效果：

53、(1)本發(fā)明采用的系統(tǒng)化安全分析技術為stpa，它通過對系統(tǒng)分層級的嚴格分析，能夠有效地得出各個級別的不安全控制動作以及相應的安全需求。

54、(2)cofi是一種常用的形式化方法，用于描述系統(tǒng)的控制流程和狀態(tài)轉(zhuǎn)換。通過將故障注入到控制流圖中，并觀察系統(tǒng)在故障情況下的行為，可以評估系統(tǒng)的安全性。本方法通過cofi生成高速鐵路atp系統(tǒng)的控制結構圖，并在此基礎上結合stpa的安全需求生成有限狀態(tài)機(fsm)。這一過程確保故障注入和系統(tǒng)響應的準確性，為后續(xù)的測試提供了可靠的模型。

55、(3)本發(fā)明使用一種可以用于非確定性系統(tǒng)的測試方法——wp方法，通過從系統(tǒng)的狀態(tài)機模型中導出測試用例，覆蓋系統(tǒng)的不同行為路徑，從而達到全面測試系統(tǒng)功能的目的；相對于傳統(tǒng)技術先將不確定性系統(tǒng)轉(zhuǎn)換為確定性系統(tǒng)進行測試，本發(fā)明采用的wp方法可以直接應用于不確定性系統(tǒng)。本方法最后利用wp方法從系統(tǒng)的狀態(tài)機模型中生成測試用例，特別是針對系統(tǒng)的不確定性轉(zhuǎn)換部分，驗證系統(tǒng)在面對不同故障情況時的行為是否符合設計要求，從而確保高速鐵路atp系統(tǒng)的安全性和可靠性。

56、以下結合附圖及實施例對本發(fā)明作進一步詳細說明，但本發(fā)明不局限于實施例。