Tenth Workshop and Tutorial on Practical Use of Coloured Petri Nets and the CPN Tools Aarhus, Denmark, October 19-21, 2009

This booklet contains the proceedings of the Tenth Workshop on Practical Use of Coloured Petri Nets and the CPN Tools, October 19-21, 2009. The workshop is organised by the CPN group at the Department of Computer Science, University of Aarhus, Denmark. The papers are also available in electronic form via the web pages: http://www.cs.au.dk/CPnets/events/workshop0

Ingénierie de modèle pour la sécurité des systèmes critiques ferroviaires

Development and application of formal languages are a long-standing challenge within the computer science domain. One particular challenge is the acceptance of industry. This thesis presents some model-based methodologies for modelling and verification of the French railway interlocking systems (RIS). The first issue is the modellization of interlocking system by coloured Petri nets (CPNs). A generic and compact modelling framework is introduced, in which the interlocking rules are modelled in a hierarchical structure while the railway layout is modelled in a geographical perspective. Then, a modelling pattern is presented, which is a parameterized model respecting the French national rules. It is a reusable solution that can be applied in different stations. Then, an event-based concept is brought into the modelling process of low-level part of RIS to better describe internal interactions of relay-based logic. The second issue is the transformation of coloured Petri nets into B machines, which can help designers on the way from analysis to implementation. Firstly, a detailed mapping methodology from non-hierarchical CPNs to abstract B machine notations is presented. Then the hierarchy and the transition priority of CPNs are successively integrated into the mapping process, in order to enrich the adaptability of the transformation. This transformation is compatible with various types of colour sets and the transformed B machines can be automatically proved by Atelier B. All these works at different levels contribute towards a global safe analysis frameworkLe développement et l’application des langages formels sont un défi à long terme pour la science informatique. Un enjeu particulier est l’acceptation par l’industrie. Cette thèse présente une approche pour la modélisation et la vérification des postes d’aiguillage français. La première question est la modélisation du système d’enclenchement par les réseaux de Petri colorés (RdPC). Un cadre de modélisation générique et compact est introduit, dans lequel les règles d’enclenchement sont modélisées dans une structure hiérarchique, tandis que les installations sont modélisées dans une perspective géographique. Ensuite, un patron de modèle est présenté. C’est un modèle paramétré qui intègre les règles nationales françaises qui peut être appliquée pour différentes gares. Puis, un concept basé sur l’événement est présenté dans le processus de modélisation des parties basses des postes d’aiguillage. La deuxième question est la transformation des RdPCs en machines B, qui va aider les concepteurs sur la route de l’analyse à application. Tout d’abord, une méthodologie détaillée, s’appuyant sur une table de correspondance, du RdPCs non-hiérarchiques vers les notations B est présentée. Ensuite, la hiérarchie et la priorité des transitions du RdPC sont successivement intégrées dans le processus de mapping, afin d’enrichir les possibilités de types de modèles en entrées de la transformation. Les machines B produites par la transformation permettent la preuve automatique intégrale par l’Atelier B. L’ensemble de ces travaux, chacun à leur niveau, contribuent à renforcer l’efficacité d’un cadre global d’analyse sécuritair

Entwicklung und Analyse eines Zug-zentrischen Entfernungsmesssystems mittels Colored Petri Nets

Based on the technology trends, the train control system should weaken the proportion of ground facilities, and give trains more individual initiative than in the past. As a result, the safety and flexibility of the train control system can be further improved. In this thesis, an enhanced movement authority system is proposed, which combines advantages of the train-centric communication with current movement authority mechanisms. To obtain the necessary train distance interval data, the onboard equipment and a new train-to-train distance measurement system (TTDMS) are applied as normal and backup strategies, respectively. While different location technologies have been used to collect data for trains, the development and validation of new systems remain challenges. In this thesis, formal approaches are presented for developing and verifying TTDMS. To assist the system development, the Colored Petri nets (CPNs) are used to formalize and evaluate the system structure and its behavior. Based on the CPN model, the system structure is validated. Additionally, a procedure is proposed to generate a Code Architecture from the formal model. The system performance is assessed in detection range and accuracy. Therefore both mathematical simulation and practical measurements validation are implemented. The results indicate that the system is feasible to carry out distance measurements both in metropolitan and railway lines, and the formal approaches are reusable to develop and verify other systems. As the target object, TTDMS is based on a spread-spectrum technology to accomplish distance measurement. The measurement is carried out by applying Time of Arrival (TOA) to calculate the distance between two trains, and requires no synchronized time source of transmission. It can calculate the time difference by using the autocorrelation of Pseudo Random Noise (PRN) code. Different from existing systems in air and maritime transport, this system does not require any other localization unit, except for communication architecture. To guarantee a system can operate as designed, it needs to be validated before its application. Only when system behaviors have been validated other relative performances' evaluations make sense. Based on the unambiguous definition of formal methods, TTDMS can be described much clearer by using formal methods instead of executable codes.Basierend auf technologischen Trends sollte das Zugbeeinflussungssystem den Anteil der Bodenanlagen reduzieren und den Zügen mehr Eigeninitiative geben als in der Vergangenheit, da so die funktionale Sicherheit und die Flexibilität des Zugbeeinflussungssystems erhöht werden können. In dieser Arbeit wird ein verbessertes System vorgeschlagen, das die Vorteile der zugbezogenen Kommunikation mit den aktuellen Fahrbefehlsmechanismen kombiniert. Um die notwendigen Daten des Zugabstandsintervalls zu erhalten, werden die Bordausrüstung und ein neues Zug-zu-Zug-Entfernungsmesssystem (TTDMS) als normale bzw. Backup-Strategien angewendet. Während verschiedene Ortungstechnolgien zur Zugdatenerfassung genutzt wurden, bleibt die Entwicklung und Validierung neuer Systeme eine Herausforderung. In dieser Arbeit werden formale Ansätze zur Entwicklung und Verifikation von TTDMS vorgestellt. Zur Unterstützung der Systementwicklung werden CPNs zur Formalisierung und Bewertung der Systemstruktur und ihres Verhaltens eingesetzt. Basierend auf dem CPN-Modell wird die Systemstruktur validiert. Zusätzlich wird eine Methode vorgeschlagen, mit der eine Code-Architektur aus dem formalen Modell generiert werden kann. Die Systemleistung wird im Erfassungsbereich und in der Genauigkeit beurteilt. Daher werden sowohl eine mathematische Simulation als auch eine praktische Validierung der Messungen implementiert. Die Ergebnisse zeigen, dass das System in der Lage ist, Entfernungsmessungen in Metro- und Eisenbahnlinien durchzuführen. Zudem sind die formalen Ansätze bei der Entwicklung und Verifikation anderer Systeme wiederverwendbar. Die Abstandsmessung mit TTDMS basiert auf einem Frequenzspreizungsverfahren. Die Messung wird durchgeführt, indem die Ankunftszeit angewendet wird, um den Abstand zwischen zwei Zügen zu berechnen. Dieses Verfahren erfordert keine Synchronisierung der Zeitquellen der Übertragung. Der Zeitunterschied kann damit berechnet werden, indem die Autokorrelation des Pseudo-Random-Noise-Codes verwendet wird. Im Unterschied zu Systemen im Luft- und Seeverkehr benötigt dieses System keine andere Lokalisierungseinheit als die Kommunikationsarchitektur. Um zu gewährleisten, dass ein System wie vorgesehen funktioniert, muss es validiert werden. Nur wenn das Systemverhalten validiert wurde, sind Bewertungen anderer relativer Leistungen sinnvoll. Aufgrund ihrer eindeutigen Definition kann das TTDMS mit formalen Methoden klarer beschrieben werden als mit ausführbaren Codes

A Control And Automation Engineering Approach To Railway Interlocking System Design

Tez (Doktora) -- İstanbul Teknik Üniversitesi, Fen Bilimleri Enstitüsü, 2014Thesis (PhD) -- İstanbul Technical University, Institute of Science and Technology, 2014Demiryollarının ilk inşaat maliyetleri oldukça yüksek olmasına rağmen diğer ulaşım sistemleri ile karşılaştırıldığında, demiryolu sistemleri daha ekonomik, güvenli ve çevrecidir. Tüm bu özelliklerine rağmen, diğer Avrupa ülkeleri ile karşılaştırıldığında yakın zamana kadar Türkiye’de demiryollarına yapılan yatırım oldukça kısıtlı kalmıştır. Son yıllarda demiryolu sektörüne yapılan yatırımların gözle görülür bir şekilde artmasıyla gelişimi hız kazanan demiryolu ulaşım sistemlerinde dışarıya bağımlılığın azaltılması gündeme gelmiştir. Bu bağlamda gerek uyum ve güncelleme sıkıntıları gerekse yüksek maliyetler nedeni ile yerli sinyalizasyon sistemlerinin geliştirilmesi Türkiye Cumhuriyeti Devlet Demiryolları (TCDD) tarafından bir ihtiyaç olarak belirtilmiştir. Bunun bir sonucu olarak Türkiye’nin ilk yerli demiryolu sinyalizasyon projesi TCDD, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) ve İstanbul Teknik Üniversitesi (İTÜ) ortaklığında tamamlanarak TCDD’ye teslim edilmiştir. Demiryolu sistemlerinde ulaşım ve taşımanın güvenli olarak gerçekleştirilmesini sağlayan en önemli bileşen anklaşman (interlock) sistemidir. Anklaşman sisteminin geliştirilmesinde izlenilecek olan temel adımlar Avrupa Elektroteknik Standardizasyon Komitesi (European Committee for Electrotechnical Standardization - CENELEC) gibi uluslararası komiteler tarafınca hazırlanan güvenlik standartlarında tanımlanmıştır. Geliştirilen sinyalizasyon sisteminin istenilen Güvenlik Bütünlüğü Seviyesi (Safety Integrity Level - SIL) seviyesini sağlayabilmesi için bu güvenlik standartlarınca tavsiye edilen yöntem, teknik ve mimarilerin kullanılması yüksek önem arz etmektedir. Uluslararası güvenlik standartlarının gereksinimlerine ek olarak, sinyalizasyon sisteminin kurulacağı ülkeye ait ihtiyaçlar ve güvenlik kriterleri de göz önünde bulundurulmalıdır. Yazılım geliştirme süreci başlangıcında yazılımdan beklenen çıktılar veya başka bir deyişle yazılım isterleri oluşturulmalıdır. Sonrasında güvenlik standartlarında tavsiye edilen yöntem ve mimarilerin istenilen SIL seviyesinin sağlanabilmesi için uygun bir şekilde seçilmesi gerekmektedir. Seçilen yöntem ve mimariler yazılım isterlerini eksiksiz sağlayacak şekilde tasarımı gerçekleştirecek olan grup tarafından yazılım geliştirme sürecinde kullanılmalıdır. Yazılım geliştirme sürecinde tasarımı gerçekleştirilen yazılım blok ve alt blokları (veya modülleri) yazılım test grubu tarafından oluşturulan test prosedürüne göre test edilerek doğrulanmalıdır. Test prosedüründe uygulanan adımlar yazılım isterlerini doğrulayacak şekilde oluşturmalıdır. Yazılım geliştirme ve test süreçleri eksiksiz şekilde tamamlandıktan sonra doğrulanmış yazılım Fabrika Kabul Testi ve Saha Kabul Testleri ile de doğrulanmalıdır. Yazılım testlerinde herhangi bir hata ile karşılaşılması durumunda hatalar raporlanmakta ve gerekli düzeltmelerin yapılması amacıyla yazılım geliştirme gruplarına sunulmaktadır. Gerekli düzeltmeler gerçekleştirildikten sonra tüm testler en baştan tekrar gerçekleştirilmelidir. Bu tezde, sabit-blok (fixed-block) demiryolu sinyalizasyon sistemlerine ilişkin fonksiyonel güvenlik gereksinimleri tanımlanmış ve en az SIL 3 seviyesine sahip bir demiryolu anklaşman sistemi tasarımında kullanılan biçimsel modelleme yöntemleri, yazılım mimarileri detaylı olarak anlatılmıştır. Özellikle, güvenlik-kritik yazılım geliştirme sürecinde kullanılan çoklu programlama (Diverse Programming, N-version Programming) tekniğinin kullanımında ortaya çıkan eşzamanlama (synchronization) problemleri tanımlanmış ve bunlara yönelik çözüm yöntemleri önerilmiştir. Karşılaşılan eşzamanlama problemleri tip-1 ve tip-2 olarak iki farklı gruba ayrılmıştır. Bu iki farklı problem için iki farklı çözüm önerilmiş ve programlanabilir mantıksal kontrolörler üzerinde uygulanarak doğrulanmıştır. 1800’lü yılların ortalarından bugüne kadar kullanılmakta olan sabit-blok sinyalizasyon sistemleri, yolcu ve taşıma yoğunluğun artması, trenler arası yolculuk sürelerinin (headway time) gerekenden yüksek olması nedeniyle özellikle metro sistemlerinde yerini hareketli-blok (moving-block) sistemlere bırakmaktadır. Hareketli-blok sistemlerin en bilinen örneği olan Haberleşme Tabanlı Tren Kontrolü (Communication Based Train Control - CBTC) uygulamaları ile mevcut metro ve şehir içi demiryolu hatları daha etkin ve verimli bir şekilde kullanılabilmektedir. Buna ek olarak, farklı Avrupa ülkelerinde uygulanan tren kontrol, sinyalizasyon yöntemleri ile güvenlik kriterlerinin tek bir çatı altında toplanması, bu kriter ve uygulamaların şehir içi şehirlerarası demiryolu hatlarında da kullanılabilmesi amacıyla Avrupa Raylı Ulaşım Yönetim Sistemi (European Rail Traffic Management System - ERTMS) tanımlanmıştır. ERTMS, Avrupa Demiryolu Trafik Kontrolü (European Rail Traffic Control - ETCS) ve Demiryolu Mobil İletişim için Küresel Sistem (Global System for Mobile communications - Railway - GSM-R) uygulamalarının bir araya getirilmesi sonucunda oluşturulmuştur. ETCS uygulama seviyesi 1 ve 2, ek güvenlik kriterleri getirilmiş olan sabit-blok sistemlerdir. ETCS uygulama seviyesi 3 ise seviye 1 ve 2’den farklı olarak hareketli-blok sistemler olarak tanımlanmaktadır. ETCS uygulama seviye 3’ün en önemli bir diğer avantajı ise, sabit-blok sistemlerde kullanılan yol boyu sinyallerin ve ray devrelerinin kaldırılmış olmasıdır. Güvenli tren hareketi için gereken tüm bilgiler tren üzeri bilgisayar ve trafik kumanda merkezi arasında GSM-R vasıtası iletilmektedir. Sabit-blok demiryolu sinyalizasyon sistemlerinde gerçekleştirilen çözüm ve uygulamalara ek olarak, hareketli-blok sinyalizasyon sistemlerinin temel bileşenleri ve kavramları da tez kapsamında açıklanmıştır. Hareketli-blok sistemlerde trenlerin birbirini güvenli bir şekilde takip edebilmeleri için göz önünde bulundurulması gereken kriterler tanımlanmıştır. Avrupa Demiryolu Ajansı (European Railway Agency - ERA) ve Uluslararası Demiryolu Sendikası (International Union of Railways - UIC) gibi kurumların konu hakkında tavsiye ve önerilerine uygun olarak tren frenleme eğrilerinin hesaplanması ve güvenli tren takip mesafesi gibi kavramlar da açıklanmıştır. ERA ve UIC tarafından tanımlanmış güvenli tren takip mesafeleri ve tren frenleme mesafeleri göz önünde bulundurularak, ETCS uygulama seviye 3 kriterlerine göre aynı demiryolu hattı üzerinde aynı yönde ilerleyen trenlerin birbirlerini güvenli olarak takip etmesini sağlayan bir çevrimiçi uyarlamalı kontrolör tasarım yönteminin uygulaması önerilmiştir. Önerilen bu kontrolörün doğrulanması amacıyla benzetim çalışmaları yapılmış ve kontrolörün doğruluğu gösterilmiştir.Despite the high initial costs of railway constructions, railway systems are more economic, safer and more environment friendly than other ways of transport. Notwithstanding all these positive features, the investments in Turkey had been rather limited in comparison with other European countries until recent years. A need for reducing the dependency to other countries has arisen in line with the development in railway transportation after a visible increase in the investments on railway sector in recent years. Owing to high costs and problems in adaptation, development of local signaling systems has been required by TCDD. As a result, the first signaling system has been developed by the partnership of TCDD, TUBITAK and ITU. The most important component of railway systems that enables a safe transportation is interlocking. The safety basis of developing an interlocking system is described by standards developed by international committees like CENELEC. In order to provide the required SIL, using these techniques, methods and architectures has a great importance. Besides the international safety standards, the needs and safety rules of the country where the signaling system to be applied have to be considered. In this thesis, functional safety requirements related to fixed-block railway signaling systems are described, and formal modeling methods and software architectures used for a minimum SIL 3 railway interlocking system has discussed in detail. In particular, some of the problems that arise in using the diverse programming technique, which is used in developing failsafe software, have been determined and solution methods to these problems have been proposed. . Besides fixed-block signaling systems, moving-block signaling systems are also explained within the thesis. The implementation levels of European Rail Traffic Management System (ERTMS) are explained, and application of an online adaptive controller design method that guarantees the trains to follow each other within safe distances is proposed.DoktoraPh