引用本文
高莺, 张琦, 陈黎洁, 刘宏杰. 列控-安全信息传输系统可靠性及安全性的形式化分析[J]. 北京交通大学学报, 2018,42(2): 61-68.
GAO Ying, ZHANG Qi, CHEN Lijie, LIU Hongjie. Formal analysis for reliability and safety of China-Radio in train control system[J]. JOURNAL OF BEIJING JIAOTONG UNIVERSITY, 2018,42(2): 61-68.
Doi:10.11860/j.issn.1673-0291.2018.02.009  
Permissions
Copyright©2018, 北京交通大学学报编辑部
北京交通大学学报编辑部 所有
列控-安全信息传输系统可靠性及安全性的形式化分析
高莺, 张琦, 陈黎洁, 刘宏杰
1.中国铁道科学研究院 a.研究生部,b.通信信号研究所,c.国家铁路智能运输系统工程技术研究中心,d.标准计量研究所,北京 100081
通讯作者:刘宏杰(1983—),男,河北石家庄人,博士生. email: hjliu2@bjtu.edu.cn.

第一作者:高莺(1985—),女,山东烟台人,工程师,博士生. 研究方向为列控系统安全分析.email: 15120071797@139.com.

收稿日期: 2017-04-19
基金: 国家自然科学基金(U1434209); 中国铁路总公司科技研究开发计划课题(2015D002-B); 中央高校基本科研业务费专项资金(2016JBM007); 中国铁道科学研究院科研项目(1551ZJ0804); 交控科技设计创新学科发展基金(9907006510)
摘要

基于通信的列控(CBTC)系统使用基于IEEE 802.11系列的无线局域网实现车-地双向信息传输,但是无线局域网无法满足安全苛求列控系统在信息传输可靠性和安全性方面的需求.为了解决该问题,可以采用双网冗余的结构提高无线局域网信息传输的可靠性,再在无线局域网之上增加安全通信协议来保证信息传输的安全性.本文提出在双网冗余无线局域网基础之上增加安全通信协议形成列控-安全信息传输系统(China-Radio),使用随机Petri网建立了双网冗余结构的无线局域网的可靠性模型,并与单网结构进行了定量对比和形式化分析,验证了双网冗余结构可靠性的提升;使用有色Petri网对China-Radio系统建模,并采用模型检验的方法证明China-Radio系统的功能安全性,能够满足列控系统的需求.

关键词: 列控-安全信息传输系统; Petri网; 可靠性; 安全性; 模型检验
中图分类号:TN915.04;TP393;U285.2;U284.48 文献标志码:A 文章编号:1673-0291(2018)02-0061-08
Formal analysis for reliability and safety of China-Radio in train control system
GAO Ying, ZHANG Qi, CHEN Lijie, LIU Hongjie
1a. Graduate Department, 1b. Institute of Communication & Signal,1c. National Research Center of Railway Intelligence Transportation System Engineering Technology,1d. Institute of Standard & Measurement, China Academy of Railway Sciences, Beijing 100081, China;
Fund:National Natural Science of China (U1434209); Science and Technology Research and Development Program of China Railwy Corporation (2015D002-B); Fundamental Research Funds for the Central Universities (2016JBM007); Science and Research Program of China Academy of Railway Sciences (1551ZJ0804); TCT Funding Program(9907006510)
Abstract

IEEE 802.11 based WLAN (Wireless Local Area Network) technology is the basis for bi-directional communication between on-board and wayside equipment in CBTC system, but it could not satisfy the reliability and safety requirements in safety-critical train control system. In order to solve this problem, dual redundant network is a common way to increase communication system reliability, and safety communication protocol is often used to improve the safety performance. A specific communication system is proposed for the reliable and safe data exchange in train control system, which is called China-Radio, where a safety protocol is applied based on a dual redundant WLAN. To evaluate the performance improvement, firstly we built the reliability model of the dual redundant WLAN using the stochastic Petri net, calculate formally and mathematically, and compare with the single network model, which proves a great improvement of the reliability performance. Then the China-Radio by colored Petri net is modelled, and the functional safety of the system by model checking method is formally validated, which shows that China-Radio satisfies the safety requirement of the CBTC system.

Keyword: China-radio; Petri net; reliability; safety; model checking

传统的安全苛求系统使用专用子系统来满足其苛刻的功能与性能要求, 这种方式存在开发成本和支持费用高、可用性差、扩展能力差及技术更新慢等问题.商用现成品(Commercial-Off-The-Shelf, COTS)基于通用、标准化和开放式的理念设计, 它的出现解决了这一系列问题.列车运行控制系统是典型的安全苛求系统, 目前基于通信的列控(Communications-Based Train Control, CBTC)系统使用IEEE 802.11系列的无线局域网作为信息传输媒介, 而该媒介即是典型的COTS产品.

COTS产品主要面向大众化的市场需求, 没有刻意考虑安全苛求领域的特殊需求, 因此需要对COTS产品采取一定的设计措施使之可以满足安全苛求系统在可靠性和安全性方面的需求.列控系统具有高可靠和高安全等要求, 需要保证车-地信息传输的长时间不间断和数据的完整性, 对其中的无线局域网可以使用双网冗余的方式提高其可靠性.国内外学者已使用不同方法对列控系统中无线网络的性能进行了研究.文献[1]用确定随机Petri网建立欧洲列车控制系统(European Train Control System , ETCS)中的信道传输模型, 以此分析ETCS无线网络的可靠性, 其分析结果显示ETCS技术规范中提出的无线网络可靠性指标较为苛刻.文献[2]用推广的UML状态图建立ETCS无线网络的信道传输模型, 用有界概率的方法分析在确定时间参数下信道传输的可靠性.以上研究分析的对象主要为单层网络结构, 简化了如越区切换过程等复杂场景, 可靠性分析结果的充分性有待验证.文献[3]用遗传算法优化了列车运行控制系统中的无线传播模型.文献[4]用基于模型的分析方法分析了铁路网络中无线通信系统的可靠性.文献[5]给铁路系统提出了一套标准化的通信体系以保证铁路系统的运行效率.文献[6, 7]用马尔可夫链分析计算了列控系统中无线网络单网和双网结构的可靠性等指标, 并在马尔可夫链的基础上用随机Petri网建立了无线局域网的模型并计算其帧丢失的概率.

随机Petri网同构于马尔可夫链, 是一种典型的形式化分析工具, 在分析系统可靠性方面具有很大的优势, 本文应用随机Petri网对冗余结构的无线局域网进行建模并对其可靠性与单网结构进行对比.考虑无线局域网是开放透明的网络, 传输的消息存在安全隐患, 可能影响列控系统的安全, 因此, 在无线局域网之上增加一层安全通信协议形成列控-安全信息传输系统(China-Radio)[8].国内外已有学者对安全通信协议的性能进行验证.文献[9]利用UML状态图对ETCS的安全通信协议规范进行定性分析, 证明该协议是安全的.文献[10]针对韩国铁路信号系统的安全通信协议, 用模型检验证明其安全性与活性.文献[11, 12]在文献[10]研究的基础上用模型检验的方法进行该协议的规范一致性证明.

有色Petri网(Colored Petri Net, CPN)也是典型的形式化分析工具, 库所、变迁和弧之间连接关系用来表示系统的静态结构, 变迁的触发和令牌的移动表示系统的动态行为[13, 14].本文相关作者已利用CPN对ETCS中的安全信息传输系统(Euro-Radio)进行了模型检验, 分析结果见文献[15, 16, 17].目前我国已基本实现CBTC系统全自主化研发, 安全的车-地通信协议是CBTC系统的关键技术之一, 本文作者提出在无线局域网双网冗余的基础上增加安全通信协议构成China-Radio, 参考之前的研究成果, 用CPN建立了China-Radio系统中安全通信协议的模型, 并用模型检验证明其功能的安全性.

本文的主要工作:1)使用随机Petri网对无线局域网双网冗余结构进行建模, 并对其可靠性与单网结构进行对比.用随机Petri网表示马尔可夫链的状态转移概率和时间分布等属性, 并对可靠性进行仿真计算; 2)分析CBTC中通信系统COTS产品的安全隐患并提出China-Radio系统.该部分从底层通信系统的角度分析无线局域网的安全隐患, 并提出在无线局域网之上增加安全通信协议构成China-Radio系统; 3)用CPN建立China-Radio系统的模型, 主要包括安全通信协议状态转移模型; 4)用逻辑语言对China-Radio进行模型检验, 证明其功能是安全的.

本文相关作者之前已经用CPN建立了China-Radio系统中安全通信协议的模型并进行了性能分析[18], 但是并未从功能上对其安全性进行验证, 本文用模型检验的方法验证其功能也是能够满足CBTC系统的安全需求的.

1 无线局域网双网结构可靠性分析
1.1 基于随机Petri网的无线局域网建模

CBTC系统中无线局域网主要故障包括信道失效(Transmission errors)、链路中断(Connection losses)和越区切换(Handover), 含义见文献[19].

图1给出无线局域网双网冗余结构信道失效、链路中断、重连失败和越区切换的模型, 一个无线小区中正常工作的基站数量用库所 Pok中的标记表示, 初始值为 2, 表示两套网络的基站工作均能正常工作.本文的双网冗余机制中只要有一套基站工作正常即可, 即库所 Pok标记的数值为 12, 网络均可正常工作. 1)库所 Pdegrade代表信道失效所处的状态, 变迁 TdegTdegr分别代表信道发生失效和恢复正常的动作; 2)库所 Poffline代表链路发生中断的时候所处的状态, 变迁 TdwTdwr分别代表链路中断和恢复动作; 3)库所 Phf表示列车越区切换所处的状态, 变迁 ThfThfr分别代表列车越区切换准备执行和执行的动作.图1中菱形为随机 Petri网中的普通变迁, 表示该动作的执行时间服从指数分布; 矩形为固定变迁, 表示该动作的执行时间服从Er-lang分布; 椭圆形为立即变迁, 表示该动作瞬间执行[20].

图1 无线局域网双网结构模型Fig.1 Model of redundancy structure in wireless network

1)当发生信道失效时, 库所 Pok的标记转移至信道失效状态, 当信道失效恢复后, 库所 Pdegrade的标记转回至库所 Pok, 至此完成信道的状态从正常到失效再恢复到正常的过程; 2)当无线局域网发生链路中断故障时, 触发链路中断动作, 使 Pok的标记转移至库所 Pdown, 再经由中断检测变迁转移至链路中断状态, 若重新建立链接能够成功, 则库所 Poffline的标记应转移至库所 Pok; 3)当重新建立链接失败, 触发变迁 Tfail, 标记转回至 Poffline中, 至此完成链路从中断到重新建立链接的过程.4)当越区切换时, 触发变迁 Thf准备执行切换任务, 库所 Pok的标记转移至执行切换状态, 完成执行切换后, 标记返回至库所 Pok.

1.2 无线局域网双网结构模型求解

M (Pok)> 0表示无线局域网正常, 其中M即Mark, 表示某种状态标识, 网络失效的情况包括:M (Pdegrade)=2, M (Poffline)=2, M (Phf)=2, M (Pdegrade)=1∧ M (Poffline)=1, M (Pdegrade)=1∧ M (Phf)=1, M (Poffline)=1∧ M (Phf)=1.

aA={0, 1, 2}为一个无线小区内正常工作的基站数量 (a=0M (Pok)=0, a=1⇔ M (Pok)=1; a=2⇔ M (Pok)=2).类似方法定义 bB={0, 1, 2}, b=0M (Pdegrade)=0, b=1⇔ M (Pdegrade)=1, b=2⇔ M (Pdegrade)=2; cC={0, 1, 2}, c=0⇔ M (Poffline)=0, c=1⇔ M (Poffline)=1, c=2⇔ M (Poffline)=2; dD={0, 1, 2}, d=0M(Phf)=0, d=1⇔ M (Phf)=1, d=2M (Phf)=2.通过四元组 {(a, b, c, d), aA, bB, cC, dD}定义了无线局域网所处的状态, 即信道失效、链路中断和越区切换[19] .图2给出无线局域网双网冗余结构的可靠性模型.@根据上述分析可知状态(2, 0, 0, 0), (1, 1, 0, 0), (1, 0, 1, 0), (1, 0, 0, 1)为系统的正常状态, 其他状态为失效状态.本文中定义状态(2, 0, 0, 0)为 Z0, (1, 0, 1, 0)为 Z1, (1, 0, 1, 0)为 Z2, (1, 0, 0, 1)为 Z3.聚合状态(0, 2, 0, 0), (0, 1, 1, 0), (0, 1, 0, 1)为 Z4, (0, 1, 0, 1), (0, 0, 1, 1), (0, 0, 0, 2)为 Z5, (0, 1, 1, 0), (0, 0, 2, 0), (0, 0, 1, 1)为 Z6.状态 Z0表示系统正常工作, 状态 Z1, Z2, Z3表示一个小区内一个基站失效, 定义吸收状态 TC={Z4, Z5, Z6}, 瞬时状态 T={Z0, Z1, Z2, Z3}, 当可靠性模型进入吸收状态, 表示无线局域网第1次发生失效[21, 22] .用 λdegλdwλhf分别表示信道失效、链路中断和越区切换的速率; λdegrλdwrλhfr分别表示信道恢复正常、链路恢复链接、越区切换结束的速率, 根据图2所示.

图2 无线局域网双网结构的可靠性模型Fig.2 Reliability model of redundancy structure in wireless network

将无限小生成元矩阵Q和状态转移矩阵Z(t)用吸收状态TC和瞬时状态T表示成分块矩阵的形式[22]

Q=OORVTC TTCT(1)Z(t)=IOS(t)T(t)TC TTCT(2)

式中:Q是无限小生成元矩阵, 所以矩阵外用TCT表示了按照TCT分块的部分; I为单位矩阵; O为全0矩阵; Z(t)=eQt.

R1=λdeg+λdw+λhf, 则有

R=0000R10000R10000R1O(3)

V1=-2λ deg-2λ dw-2dhf, 则有

V=V12λdeg2λhf2λdwμdeg(-R1-μdw)00μhf0(-R1-μdw)0μdw00(-R1-μdw)(4)

吸收状态 S(t)可以写成

St=V-1T(t)-IR(5)

由于系统初始状态为 Z0, 则吸收状态 S(t)第1行元素的和为系统到达吸收状态的概率, 那么无线局域网双网冗余结构的可靠性 R(t)

Rt=1-S(t)(1)e(6)

式中:S(t)(1)为矩阵S(t)第1行向量; e=[1 1 1]T.

1.3 无线局域网可靠性对比分析

参考ETCS规范和相关文献[1, 23], 表1为本文建立的无线局域网故障模型中变迁速率的取值.

表1 图2对应变迁速率取值 Tab.1 Value of transition rate in Fig.2

对于无线局域网单网结构本文给出类似的模型与算法, 由于篇幅有限这里不再叙述, 根据以上参数, 图3给出无线局域网双网和单网结构的可靠性对比.从图3中可以看出, 单网结构的可靠性随时间增加迅速下降, 而双网结构的可靠性在单网结构的可靠性下降至0时依然接近于0.5, 这是因为单网结构可靠的条件比双网结构苛刻.对于双网结构, 一套网络业务中断时, 备份的另一套网络提供业务, 整个网络就不会中断, 提升了可靠性.

图3 无线局域网双网结构与单网结构可靠性对比Fig.3 Comparison of reliability of redundancy structure and single structure in wireless network

1.4 CBTC系统中无线局域网安全隐患

无线局域网是一个开放透明的网络, 信息在其中传输时可能存在错误或隐患, 具体描述见文献[24].针对这些错误或隐患, 可以通过改变设备和系统配置等方式消除或减轻, 也可以使用如增加序列号、时间戳、超时、安全编码和加密技术等方式来避免, 同时还可以在应用时采取操作及运营措施来防御, 如人员培训和管理监督等.

本文参考EN 50159-2[24]的建议, 不修改底层设备, 在无线局域网双网冗余结构之上的应用层增加一层安全通信协议, 构成列控-安全信息传输系统(China-Radio), 下面将建立China-Radio系统的模型并对其功能进行验证.

2 China-Radio的有色Petri网模型

通信数据的发送、接收和分析都需要安全通信协议提供当前链路的状态, 安全通信协议的运行过程可以看成状态转换的过程.参考规范[8], 图4为安全通信协议的状态转换逻辑图, 包括状态转换过程及相应的收发数据等动作.

图4 CBTC安全通信协议Fig. 4 Safety communication protocol of CBTC

图4中发送方收到应用层的建立链接请求后向接收方发送链接建立命令RFC并启动计时器, 接收方收到RFC后回复确认命令ACK.如果在规定时间内没有收到接收方的ACK则认为通信出现了故障, 则重新发送RFC.图4(a)中用Timeout_ACK表示没有收到ACK的时间, 以周期为单位, 例如如果8个周期没有收到ACK则重新发送RFC, 通常1个周期为200 ms.

通信链接建立上以后, 发送方每个周期发送1帧数据, 如果接收方收到两帧数据之间的间隔超过规定值, 说明通信故障, 图4(b)用Timeout_DATA表示没有收到数据的时间, 同样以周期为单位, 周期的说明与上面相同.发送方如果收到应用层的删除链接命令会将其与接收方的链接删除, 恢复安全通信协议的初始状态并不再向接收方发送数据.接收方如果在规定时间内未收到数据也会删除链接.

本文将车载看成通信的发送方, 地面作为接收方, 以车载为例给出其安全通信协议的模型如图5所示, 模型的描述如下.

图5 车载安全通信协议模型Fig.5 Model of safety communication protocol onboard

1)库所ConStatus存储“ IDLE” 、“ WAIT” 、“ DATA” 和“ HALT” 4个令牌, 分别对应图4(a)中IDLE、WAIT、DATA和HALT4种状态, 即空闲、等待发送数据、发送数据和异常4种状态.

2)库所ConStatus中的令牌为“ IDLE” , 表示安全通信协议的初始状态为IDLE.变迁IDLE收到库所AppToTrain的令牌“ SaCONReq” 和库所ConStatus的令牌时激发, 将令牌“ WAIT” 和“ RFC” 分别转移至库所ConStatus和TrainSend中, 代表收到应用层发送的命令SaCONN.req后, 安全通信协议状态转换为WAIT, 同时向接收方发送RFC.

3)库所ConStatus中的令牌“ WAIT” 和库所TrainRecv中的令牌“ ACK” 激发变迁WAIT, 将令牌“ DATA” 和“ SaCONConf” 分别转移至库所ConStatus和TrainToApp, 代表收到接收方发送的ACK后, 安全通信协议的状态由WAIT转换为DATA, 同时向应用层发送命令Sa-CONN.Conf.

4)库所ConStatus中的令牌“ DATA” 和库所AppToTrain中的令牌“ SaDTReq” 将激发变迁SDATA, 将令牌“ DATA” 和“ Data” 分别转移至库所ConStatus和TrainSend中, 代表收到应用层发送命令Sa-DATA.req, 安全通信协议开始运行, 状态保持在DATA, 并且向接收方发送数据DATA.

地面安全通信协议的模型与车载类似, 由于篇幅限制, 文中不再给出.

无线局域网的信道为China-Radio的数据提供了传输环境, 为了体现China-Radio的数据在信道中的传输, 本文将无线局域网简化成信道传输模型.由于无线局域网使用双网冗余结构, 图6中用Uplink1和Uplink2两个变迁表示双网的两条信道, 它们的输入都是库所TrainSend中的标记, TrainSend中的标记随机触发Uplink1或Uplink2.在信道没有异常的情况下输出与输入一致, 而在实际系统中可能存在信道异常.本文用布尔型变量TRUE和FALSE表示信道异常与否.当令牌为TRUE时, 表示信道正常, 输出消息与输入消息一致.当令牌为FALSE时, 弧(Uplink X, GroReceive)上为空令牌, 表示信道异常, 消息丢失.

图6 信道模型Fig.6 Channel model

3 China-Radio安全性验证
3.1 模型检验相关原理

ASK-CTL是一种常见的时序逻辑表达式, 以时间先后顺序来描述事件, 在模型检验中得到了广泛应用[14].本文将针对China-Radio系统建立的有色Petri网模型生成状态空间可达图, 将需要验证的安全性功能用ASK-CTL语言公式表达, 进而通过状态空间搜索可达图上是否存在满足待验证的安全性功能的状态, 结果为真则证明系统性质满足, 否则给出反例, 验证人员根据反例路径查找系统不能满足性质的原因, 进一步修改系统模型直到检验结果为真.本文依据的模型检验流程如图7所示.

图7 对China-Radio的模型检验流程Fig.7 Procedure of model checking for China-Radio

3.2 China-Radio的功能安全性证明

用模型检验方法验证系统的安全性时, 定义安全性为不期望的状态永远不会发生[14].China-Radio运行在安全苛求系统中, 期望状态可以看成是安全状态, 那么安全性的验证算法如图8所示.

图8 安全性验证算法Fig.8 Safety verification algorithm

由于安全性指期望状态经过任何路径“ 肯定” 会出现, 即所有路径都会到达期望状态.而由于COTS的“ 黑盒” 特性, 无线局域网的信息传输信道并不一定是理想的, 可能存在异常情况如图6所示.从安全苛求的角度考虑, 以下验证信道存在异常时China-Radio的安全性, 如图9所示.

图9 China-Radio的安全性验证Fig.9 Safety verification of China-Radio

从验证结果可以看出, 不是所有路径都可以到达安全状态, 即期望状态“ 安全链接建立上” , 这是因为信道异常发生时, 不管China-Radio的状态转换到什么阶段都会停止运行.为了用模型检验证明这一结论, 可以搜索到China-Radio停止运行时所处状态的路径, 算法如图10所示.

图10 非安全状态原因查找算法Fig.10 Algorithm of searching for non-safe state

根据图10的查找算法, 图11首先查找出China-Radio停止运行时所处状态即非安全状态在模型可达图中的编号.

图11 非安全状态编号查找Fig.11 Searching for number of non-safe state

图12表示查找到达某一非安全状态的路径.

图12 到达非安全状态的路径Fig.12 Path to non-safe state

从图12最后一行可知, 图7表示的信道异常情况是导致出现非安全状态的原因, 这是因为信道异常时, 数据在传输过程中会丢失, 导致China-Radio不能完成安全链接.根据这一结果可重新修改下行信道的参数, 使异常状态不发生, 并再次进行模型检验, China-Radio的安全性验证结果如图13所示.验证结果看出修改信道参数后, China-Radio模型所有路径都能达到安全状态, 说明China-Radio是安全的.

图13 修改信道参数后China-Radio的安全性验证Fig.13 Safety verification for China-Radio after parameters modification

为了验证China-Radio的安全性, 本文简化了无线局域网的信道模型, 将信道看成一个透明传输通道, 对信道失效的处理机制是将传输的数据直接丢失, 验证结果表明增加安全通信协议的双网冗余无线局域网可以满足列控系统的需求.

4 结语

1)为了提高无线局域网在列控系统中传输信息的可靠性, 本文作者提出使用双网冗余的结构, 使用随机Petri网对无线局域网双网冗余结构的可靠性进行分析和对比, 分析结果证明双网冗余结构有效提高了无线局域网传输信息的可靠性.

2)为了满足CBTC系统的安全需求, 本文提出在无线局域网之上增加一层安全通信协议形成列控-安全信息传输系统China-Radio, 用有色Petri网建立了China-Radio的模型, 用模型检验的方法验证了China-Radio的安全性, 验证结果表明:本文提出的China-Radio能够满足CBTC系统的安全需求, 同时也为安全苛求软件系统的设计开发与测试提供了理论依据.

The authors have declared that no competing interests exist.

参考文献
[1] ARMIN Z, GÜNTER H. A train control system case study in model-based real time system design[C]// International Parallel and Distributed Processing Symposium , 2003: 118-126. [本文引用:1]
[2] HERMANNS H, JANSEN D N, USENKO Y S. From StoCharts to MoDeST: a comparative reliability analysis of train radio communications [C]// Proceedings of the 5th International Workshop on Software and Performance. New York: ACM Press, 2005: 13-23. [本文引用:1]
[3] BEIRE A R, HELDER P, NUNO C. Optimizing propagation models on railway communications using genetic algorithms[J]. Procedia Technology, 2014, 17(1): 50-57. [本文引用:1]
[4] MONTECCHI L, LOLLINI P, MALINOWSKY B, et al. Model-based analysis of a protocol for reliable communication in railway worksites[C] // Proceedings of the 15th ACM International Conference on Modeling, Analysis and Simulation of Wireless and Mobile Systems. New York: ACM, 2012: 23-32. [本文引用:1]
[5] QUAGLIETTA E, PELLEGRINI P, ROB M P G, et al. The on-time real-time railway traffic management framework: a proof-of-concept using a scalable stand ardised data communication architecture[J]. Transportation Research Part C: Emerging Technologies, 2016, 63(2): 23-50. [本文引用:1]
[6] 徐田华, 李树, 唐涛. 列控系统中数据通信子系统可靠性研究[J]. 北京交通大学学报, 2007, 31(5): 23-26.
XU Tianhua, LI Shu, TANG Tao. Dependability analysis of data communication subsystem in train control system[J]. Journal of Beijing Jiaotong University, 2007, 31(5): 23-26. (in Chinese) [本文引用:1]
[7] 徐田华, 唐涛. 列车控制系统中数据通信子系统的帧丢失概率[J]. 中国铁道科学, 2008, 29(3): 110-114.
XU Tianhua, TANG Tao. Frame loss probability of data communication subsystem in train control system[J]. China Railway Science, 2008, 29(3): 110-114. (in Chinese) [本文引用:1]
[8] Euroradio FIS: Class 1 requirements [EB/OL]. (2003-07-01)[2017-03-01]. http://www.atif.org/db/doe/com/SUBSET-037V225. [本文引用:2]
[9] ESPOSITO R, LAZZARO A, MARMO P, et al. Formal verification of Ertms Euro radio safety protocol[R]. Italy: Ansaldo Segnalamento Ferroviario S P A, 2005. [本文引用:1]
[10] LEE J H, HWANG J G, PARK G T. Performance evaluation and verification of communication protocol for railway signaling systems[J]. Computer Stand ards & Interfaces, 2005, 27: 207-219. [本文引用:2]
[11] LEE J D, JUNG J I, LEE J H, et al. Veriftcation and conformance test generation of communication protocol for railway signaling systems[J]. Computer Stand ards & Interfaces, 2007, 29: 143-151. [本文引用:1]
[12] LEE J H, HWANG J G, SHIN D, et al. Development of verification and conformance testing tools for a railway signaling communication protocol[J]. Computer Stand ards & Interfaces, 2009, 31: 362-371. [本文引用:1]
[13] RADECKA K, ZILIC Z. Design verification by test vectors and arithmetic transform universal test set[J]. IEEE Transactions on Computers, 2004, 53: 628-640. [本文引用:1]
[14] 徐田华, 赵红礼, 唐涛. 基于有色Petri网的ETCS无线通信可靠性分析[J]. 铁道学报, 2008, 30(1): 38-42.
XU Tianhua, ZHAO Hongli, TANG Tao. Coloured- petri-nets based reliability analysis of ETCS train radio communication[J]. Journal of the China Railway Society, 2008, 30(1): 38-42. (in Chinese) [本文引用:3]
[15] CHEN L J, TANG T, ZHAO X Q, et al. Verification of safety communication protocol in train control system using colored Petri net[J]. Reliability Engineering & System Safety, 2012, 100: 8-18. [本文引用:1]
[16] CHEN L J, SHAN Z Y, TANG T, et al. Performance analysis and verification of safety communication protocol in train control system[J]. Computer Stand ards & Interfaces, 2011, 33(5): 505-518. [本文引用:1]
[17] 陈黎洁, 单振宇, 唐涛. 列车运行控制系统中安全通信协议的形式化分析[J]. 铁道学报, 2012, 34(7): 70-76.
CHEN Lijie, SHAN Zhenyu, TANG Tao. Formal analysis on safety communication protocol in train control system[J]. Journal of the China Railway Society, 2012, 34(7): 70-76. (in Chinese) [本文引用:1]
[18] 陈黎洁, 黄银霞, 刘宏杰, . 基于通信的列车运行控制系统安全通信协议的性能分析[J]. 铁道学报, 2017, 39(5): 71-77.
CHEN Lijie, HUANG Yinxia, LIU Hongjie, et al. Performance analysis of safety communication protocol in communication based on train control system[J]. Journal of the China Railway Society, 2017, 39(5): 71-77. (in Chinese) [本文引用:1]
[19] 陈黎洁, 唐涛. 基于随机Petri网的GSM-R双层网络建模与性能分析[J]. 铁道学报, 2012, 34(3): 75-82.
CHEN Lijie, TANG Tao. Modeling of GSM-R double-level network and its reliability analysis based on stochastic petri net[J]. Journal of the China Railway Society, 2012, 34(3): 75-82. (in Chinese) [本文引用:2]
[20] 林闯. 随机Petri网和系统性能评价[M]. 北京: 清华大学出版社, 2005: 23-28.
LIN Chuang. Stochastic petri nets and system performance evaluation [M]. Beijing: Tsinghua University Press, 2005: 23-28. (in Chinese) [本文引用:1]
[21] XU T H, TANG T, GAO C, et al. Dependability analysis of the data communication system in train control system[J]. Science in China Series E: Technological Sciences, 2009, 52(9): 2605-2618. [本文引用:1]
[22] EPC K. An introduction to stochastic process[M]. Belmont: Duxbury Press, 1997. [本文引用:2]
[23] 曹源, 牛儒, 唐涛, . 基于SPN的越区切换模型分析[J]. 铁道学报, 2009, 31(4): 104-107.
CAO Yuan, NIU Ru, TANG Tao, et al. Analysis of hand over model based on stochastic petri net[J]. Journal of the China Railway Society, 2009, 31(4): 104-107. (in Chinese) [本文引用:1]
[24] Railway applications-safety related communication in open transmission systems: EN50159-2[S]. Brussels: CENELEC, 2001. [本文引用:2]