19、铁路系统安全分析与验证方法解析

铁路系统安全分析与验证方法解析

1. CBTC 系统安全分析

在对用于现有联锁系统部署的 CBTC（基于通信的列车控制）系统进行安全分析时，采用了一种严谨的方法。该方法通过自然语言和数学符号来表达系统安全的关键属性，并构建形式化证明以验证这些属性是否成立。在构建证明的过程中，会识别出所有必要的假设，这些假设可能是系统规范中明确表述的内容、物理定律，或者是规范中看似缺失的要求。

尽管这项工作尚未完成，但现在已经明确，对于像 Octys CBTC 这样的系统，在与复杂但超出范围的联锁系统保持适当独立性的情况下，进行系统级证明是可行的。目前，相关的研究结果正在持续讨论中，并且已经显现出一定的益处。此外，预计输出结果将作为输入属性，用于 RATP 进行的子系统形式化分析。

未来 Octys 的实例化有望凸显这种证明的益处，通过建立完善、强大的安全相关推理，避免系统级的隐患或疑虑。相信这项工作将推动这种系统级证明在工业项目中的应用。

在这个过程中，输出文档详细说明了这些要求和精确信息，这可能是这项工作最重要的好处，因为它有助于识别可能的隐患并改进源文档。例如，当一些标记为安全关键的要求在推理过程中未被使用时，就需要与领域专家仔细研究这些要求的意图。由于 Octys 是基于长期开发的现有 CBTC 设计的，这一过程可能会比较困难。

与领域专家保持互动至关重要。证明团队在设计完成后介入，作为一种独立评估，直接处理设计的专业知识和原理。只有当相关领域专家有足够时间仔细检查这些发现并信服时，才能正确考虑所发现的任何隐患或所需的精确信息，这样他们才会将这种贡献视为益处而非负担。

理想的解决方案是，证明团队从所谓的“预期设计就绪”阶段就与设计