[发明专利]用于验证控制/指令系统的方法以及能够通过该方法验证的控制/指令系统

说明书

技术领域

本发明起因于涉及用于自动控制/指令(commande)铁路网络的转轨站(postes d’aiguillage)的计算机系统的问题，更具体地，涉及用于验证这样的系统的方法的问题。

背景技术

铁路网络的转轨站允许根据在其上行驶的不同的火车车队的需要而放置网络转轨器(aiguille d’un réseau)，以便永久地确保交通的连续性。

过去由人工操作的转轨器现在由位于转轨站中的控制/指令系统远程自动指令。转轨站自身可以相互连接并且连接到中央驱动站，铁路交通上必需的所有数据都位于该中央驱动站中：网络的状况、理论时刻表、车队和火车的位置等。

网络的任何机械中断，例如不利的位置或半开启的转轨，将会是灾难性的并且代表不可接受的可怕事件。这也适用于轨道的占用兼容性中断(ruputure de compatibilitéd’occupation)，其很可能导致火车相撞、追尾或侧撞。

因此，在转轨站中的计算机系统运行安全和安全性的问题是关键的议题。

现今，为了检查正在建设和测试的转轨站或者是已经在运行但是在其上正在实施功能性完善的站的运行安全，其所配备的计算机系统首先逐个功能并且从网络断开地进行单元测试阶段，然后针对一连串的各种功能进行更为全局性的测试，同时例如如图1所示，通过模拟器30模拟相关网络部分的各种传感器和习惯性动作(automatisme)4-6，并且通过其输入35、10激励计算机系统3，并且通过计算机链路38重新获得其输出和对检查有用的数据。

这样的测试的目的是为了确保所实现的习惯性动作如所预想地运行，即根据诸如由设计工具所限定的模型，诸如GRAFCET。因此，对在测试时所实现的习惯性动作的输出状态是否符合由设计工具给出的状态进行了测试。

然后，执行在真实系统中的试验阶段，此时系统逐个功能地与网络的传感器和习惯性动作、转轨器、交通标志等相连接，然后对整个相关的网络部分全局地，然后可选地与中央驱动站相连接。

系统验证小组定义了测试和试验阶段。这样的小组实现了由他们执行的用于模拟器和试验程序的模拟程序，认为可能有很多连续或者有时同时事件的情形。

现在，在此所述的控制/指令计算机系统被设计用于即时地处理任何状态改变，从而导致需要考虑不胜枚举的大量事件情形。

此外，由于实时测试和试验是在不同的实施条件下进行的，尤其是时间条件，没有人可以确定这样的条件改变将不会影响验证完整性。因此，不可能确信所担忧的事件不会发生。

因而，由测试和试验所组成的对所考虑的系统的这样的验证由于两个基本理由而不是令人满意的：1)情形的组合如此大，以致应当实施选择，以及2)验证阶段是基于相互不同的实现。

在这样的条件下，并且不管所实施的努力如何，仍无法建立控制/指令计算机系统的运行和/或完整性安全的完全并正式的证据。

并且这是因为也尽可能地努力实现这样的不可达到的证据，以致如今对此种类型的系统的验证不可避免地是长期并且昂贵的。

然而，在铁路领域中，该验证问题并不限于仅有的转轨站系统。该问题可以是相对于其它设备，诸如，例如指令车厢门。但是更一般地，该问题是相对于工业过程的实时控制/指令系统(对英语单词“control”的翻译)，不管涉及何种时间尺度。

因而，其它实时控制/指令系统包括任何运动装置、飞机、轮船等的转向系统，用于核电站和其它工厂的运行系统，交易系统等。

对于转轨站的验证来说，不能容忍有任何关键性的风险，并且更不能容忍用于验证上文实时系统的灾难性的风险。基于同样的原因，在该验证期间无法提供不担忧的事件将不会发生的证据。

发明内容

因而，申请人发明了一种用于在对实时系统---用于铁路网络的转轨站的转向系统或其它---的验证期间获得这样的证据的方法，并且这就是他们如何实现了本发明。

因而，本发明首先涉及一种用于验证工业工程的控制/指令实时系统的方法，所述实时系统包括：输入，所述输入的状态改变代表外部事件；输出，用于指令外部执行机构；以及自动模块，被布置用于响应于所述事件而执行任务，并且通过所述输出作用于所述执行机构；输入和输出状态的集合在给定的时刻是系统的瞬时全局状态，当完成任务时所获得的输入和输出状态的集合是系统已稳定的(stabilisé)全局状态，所述验证方法包括以下步骤：

---建立所担忧的事件的列表；

---通过互补性推断所述自动模块的实质功能；

---建立所述执行机构的运行特征的列表；