陳文賽

（南京恩瑞特實(shí)業(yè)有限公司，211106，南京∥高級(jí)工程師）

車載列車自動(dòng)防護(hù)系統(tǒng)是CBTC（基于通信的列車控制）系統(tǒng)的核心安全子系統(tǒng)之一，控制列車安全可靠地運(yùn)行。通過檢測(cè)傳感器的數(shù)據(jù)，獲得列車當(dāng)前的運(yùn)行速度、運(yùn)行距離以及在線路上某些點(diǎn)的絕對(duì)位置等數(shù)據(jù)信息，從而定位列車和實(shí)時(shí)計(jì)算列車當(dāng)前位置的安全限速，以實(shí)施超速防護(hù)，保證列車安全運(yùn)行。測(cè)速測(cè)距系統(tǒng)實(shí)時(shí)地為車載列車自動(dòng)防護(hù)系統(tǒng)提供列車的運(yùn)行速度、距離、運(yùn)行方向、空轉(zhuǎn)打滑等信息，是車載列車自動(dòng)防護(hù)系統(tǒng)的重要組成部分，其高可靠性、高安全性是實(shí)現(xiàn)車載列車自動(dòng)防護(hù)系統(tǒng)功能和性能的基礎(chǔ)。隨著無人自動(dòng)駕駛系統(tǒng)的應(yīng)用，對(duì)測(cè)速測(cè)距系統(tǒng)的安全性和可靠性提出了更高的要求。

測(cè)速測(cè)距系統(tǒng)通常使用輪軸轉(zhuǎn)速計(jì)（OPG）、多普勒測(cè)速雷達(dá)、加速度計(jì)等傳感器，通過結(jié)合各傳感器的優(yōu)缺點(diǎn)，采用多路傳感器異構(gòu)融合的測(cè)量方式［1-3］，實(shí)時(shí)采集列車的運(yùn)行速度和運(yùn)行距離等數(shù)據(jù)信息。

本文介紹的測(cè)速測(cè)距系統(tǒng)主要采用2路OPG，實(shí)現(xiàn)高精度的測(cè)速測(cè)距。同時(shí)融合雷達(dá)傳感器信息，消除由于車輪發(fā)生空轉(zhuǎn)打滑產(chǎn)生的測(cè)量誤差。對(duì)于測(cè)距和定位需求，則在2路OPG和1路測(cè)速雷達(dá)多傳感器融合的基礎(chǔ)上，增加與車載應(yīng)答器接收單元（BTM）的融合；利用OPG和測(cè)速雷達(dá)的數(shù)據(jù)融合計(jì)算距離，同時(shí)根據(jù)線路數(shù)據(jù)信息，通過應(yīng)答器進(jìn)行位置修正，以減少距離計(jì)算的累積誤差［4］。

1 測(cè)速測(cè)距系統(tǒng)的安全性設(shè)計(jì)

測(cè)速測(cè)距系統(tǒng)的開發(fā)遵循了城市軌道交通行業(yè)普遍使用的V&V（驗(yàn)證和確認(rèn)）全生命周期開發(fā)模型。在系統(tǒng)定義、需求分析、架構(gòu)和模塊設(shè)計(jì)等階段進(jìn)行同步的驗(yàn)證和確認(rèn)工作；采用SCADE（基于模型驅(qū)動(dòng)的安全開發(fā)驗(yàn)證平臺(tái)）工具進(jìn)行系統(tǒng)的設(shè)計(jì)和驗(yàn)證；使用白盒、黑盒和集成測(cè)試等方法進(jìn)行全過程測(cè)試；系統(tǒng)風(fēng)險(xiǎn)采用故障樹（FTA）、故障模式影響分析（FMECA）、危險(xiǎn)及可操作性分析（HAZOP）等方法進(jìn)行分析。

測(cè)速測(cè)距系統(tǒng)采用異常防護(hù)、CPU與內(nèi)存檢測(cè)等方法，對(duì)運(yùn)行中的信息錯(cuò)誤、地址錯(cuò)誤、應(yīng)用邏輯異常等情況進(jìn)行防范。由于車載設(shè)備運(yùn)行環(huán)境惡劣，容易受到電磁干擾，采用時(shí)間戳與CRC（循環(huán)檢驗(yàn)碼）校驗(yàn)等手段，保證傳感器、MVU（測(cè)速測(cè)距單元）、MPU（主處理板）各個(gè)接口之間數(shù)據(jù)傳輸?shù)恼_性；同時(shí)對(duì)通信異常設(shè)定了容忍時(shí)間，在容忍范圍內(nèi)丟棄異常數(shù)據(jù)。如果異常數(shù)據(jù)超過容忍值，則視為通信故障。

測(cè)速測(cè)距系統(tǒng)由2塊互為熱備的MVU組成，每塊MVU上有3路相同的控制模塊（處理器采用DSP（數(shù)字信號(hào)處理器）），分別與車載列車自動(dòng)防護(hù)系統(tǒng)的三取二安全計(jì)算機(jī)平臺(tái)的3塊MPU通信［5］。MVU與MPU之間采用基于同步脈沖的緊同步策略，MVU上的3個(gè)DSP采用獨(dú)立時(shí)鐘，并進(jìn)行任務(wù)級(jí)同步，進(jìn)一步保證了系統(tǒng)的安全性和可用性。

測(cè)速測(cè)距系統(tǒng)對(duì)傳感器數(shù)據(jù)進(jìn)行融合時(shí)遵循“故障導(dǎo)向安全”原則，系統(tǒng)三路控制單元分別實(shí)時(shí)采集和計(jì)算各傳感器的數(shù)據(jù)，判斷當(dāng)前數(shù)據(jù)是否在置信區(qū)間內(nèi)，從而確定傳感器是否有異常值；若有持續(xù)異常值，則判斷此傳感器數(shù)據(jù)故障，并置位此傳感器狀態(tài)位故障，不再使用此故障傳感器的數(shù)據(jù)。若某一控制單元判斷2路及以上傳感器數(shù)據(jù)故障，則置此控制單元故障。若存在2路及以上控制單元故障，則置此MVU故障。

2 可靠性設(shè)計(jì)

2.1 架構(gòu)可靠性

通常，安全系統(tǒng)采用的結(jié)構(gòu)主要有表決結(jié)構(gòu)、并聯(lián)結(jié)構(gòu)或表決與并聯(lián)結(jié)構(gòu)。目前，軌道交通信號(hào)系統(tǒng)多使用二取二、三取二、二乘二取二等幾種冗余架構(gòu)。［6］

分別計(jì)算出二取二、三取二、二乘二取二、二乘三取二熱備的可靠性。假設(shè)各單元模塊故障服從指數(shù)分布，通過MATLAB仿真軟件得到幾個(gè)架構(gòu)的可靠度曲線［7-8］，如圖1所示。

圖1 架構(gòu)可靠性比較

通過上述仿真分析可以發(fā)現(xiàn)，在系統(tǒng)運(yùn)行的各個(gè)時(shí)刻，本系統(tǒng)采用的二乘三取二架構(gòu)具有最高的可靠度，即其可靠性最高。

2.2 避錯(cuò)容錯(cuò)處理

運(yùn)行環(huán)境變化、硬件故障、電磁干擾和軟件中的隱藏錯(cuò)誤均會(huì)產(chǎn)生系統(tǒng)故障，從而降低可靠性。其中，運(yùn)行環(huán)境變化可通過硬件設(shè)計(jì)、元器件質(zhì)量控制等技術(shù)避錯(cuò)，硬件故障、電磁干擾和軟件錯(cuò)誤則可通過故障檢測(cè)、故障屏蔽及故障恢復(fù)等軟件技術(shù)進(jìn)行容錯(cuò)處理。本測(cè)速測(cè)距系統(tǒng)采用2個(gè)MVU備份冗余、單個(gè)MVU采用三取二、單路DSP采集3路傳感器并進(jìn)行融合和容錯(cuò)處理。

3 測(cè)速測(cè)距功能實(shí)現(xiàn)

3.1 系統(tǒng)功能設(shè)計(jì)

MVU采用TMS320F2812處理器，實(shí)現(xiàn)對(duì)各傳感器數(shù)據(jù)的采集、處理及融合，并將處理后的數(shù)據(jù)報(bào)告給主控單元。內(nèi)置時(shí)間處理模塊，實(shí)時(shí)檢測(cè)輸入的2路正交編碼脈沖。若時(shí)間處理模塊采集到2路脈沖的上升沿和下降沿后，產(chǎn)生中斷，即可得到單個(gè)脈沖的走行時(shí)間，從而得到此時(shí)列車速度；同時(shí)QEP（正交編碼電路）通過解碼邏輯判斷超前的相位以確定列車的運(yùn)行方向。列車輪對(duì)轉(zhuǎn)1圈速度傳感器輸出N個(gè)脈沖，輪對(duì)的直徑為D，在時(shí)間t內(nèi)采集的脈沖數(shù)為n，則當(dāng)前OPG采集的速度為vopg=。

測(cè)速雷達(dá)采用多普勒測(cè)速，數(shù)據(jù)通過RS485總線發(fā)送給MVU，多普勒頻率差為fd，測(cè)速雷達(dá)發(fā)射波的波長(zhǎng)為λ，測(cè)速雷達(dá)視線與地面的夾角為θ，則測(cè)速雷達(dá)的采集速度為vradar=。

在軌道上每隔一定距離安放一個(gè)應(yīng)答器，BTM（車載應(yīng)答器接收單元）讀取地面應(yīng)答器數(shù)據(jù)，并將有效數(shù)據(jù)發(fā)送給MVU，其與MVU采用RS422總線進(jìn)行通信。

MVU通過對(duì)OPG和測(cè)速雷達(dá)采集的數(shù)據(jù)進(jìn)行積分，得到列車的走行距離，同時(shí)根據(jù)地面上布置的應(yīng)答器和存儲(chǔ)的地圖信息，比較列車走行距離和線路數(shù)據(jù)，判斷定位的有效性，并更新列車的位置，從而實(shí)現(xiàn)列車的安全定位。

3.2 傳感器融合處理

傳感器在采集過程中由于各種干擾會(huì)采集一些錯(cuò)誤數(shù)據(jù)，需要對(duì)其采集的數(shù)據(jù)進(jìn)行濾波處理，并結(jié)合各傳感器特點(diǎn)，采用合理的融合方式得到測(cè)速測(cè)距結(jié)果。圖2為MVU數(shù)據(jù)流示意圖。

圖2MVU數(shù)據(jù)流示意圖

MVU應(yīng)用周期為100 ms，對(duì)采集的各傳感器數(shù)據(jù)進(jìn)行計(jì)算、處理、融合。其中OPG數(shù)據(jù)和測(cè)速雷達(dá)數(shù)據(jù)每10 ms采集一次，則OPG和測(cè)速雷達(dá)每周期內(nèi)有10組數(shù)據(jù)，根據(jù)上周期速度和加速度預(yù)測(cè)本周起速度范圍，對(duì)10組數(shù)據(jù)進(jìn)行可信判斷，去除置信區(qū)間外的數(shù)據(jù)，提高數(shù)據(jù)的可靠性，并得到本周期此傳感器的原始速度、距離、方向等信息。

OPG和測(cè)速雷達(dá)的原始數(shù)據(jù)進(jìn)過濾波后，對(duì)置信區(qū)間內(nèi)的數(shù)據(jù)進(jìn)行處理?？紤]列車的慣性，OPG和測(cè)速雷達(dá)的速度計(jì)算公式如下：

式中：

vOPG1——OPG1實(shí)時(shí)計(jì)算的速度；

vc1——本周期OPG1采集的速度；

A1——OPG1加速度；

T——MVU處理周期；

β11、β12、β13——系數(shù)，β11+β12+β13=1；

vOPG2——OPG2實(shí)時(shí)計(jì)算的速度；

vc2——本周期OPG2采集的速度；

A2——OPG2加速度；

β21、β22、β23——系數(shù)，β21+β22+β23=1；

vradar——測(cè)速雷達(dá)實(shí)時(shí)計(jì)算的速度；

vc——為本周期測(cè)速雷達(dá)采集的速度；

A3——測(cè)速雷達(dá)加速度；

β31、β32、β33——系數(shù)，β31+β32+β33=1；

v——計(jì)算列車速度；

γ0、γ1、γ2、γ3——系數(shù)，γ0+γ1+γ2+γ3=1；

k——第k個(gè)計(jì)算周期。

各參數(shù)選取與傳感器性能、測(cè)速誤差、數(shù)據(jù)可信度等相關(guān)。

3.3 系統(tǒng)故障處理

（1）系統(tǒng)故障。分為單點(diǎn)故障和共模故障。單點(diǎn)故障為單個(gè)單元故障，如系統(tǒng)中某個(gè)模塊的元器件故障，不影響其他模塊工作。本系統(tǒng)采取二乘三取二架構(gòu)，單點(diǎn)故障不影響其他幾個(gè)單元，系統(tǒng)仍可正常工作。共模故障指單個(gè)原因引起的系統(tǒng)多個(gè)單元發(fā)生故障模式相同的失效，且各失效之間沒有因果關(guān)系，一般由設(shè)計(jì)、環(huán)境、人為因素等造成，如電磁干擾會(huì)造成OPG采集產(chǎn)生尖峰脈沖、水面造成雷達(dá)測(cè)速無效等。系統(tǒng)采用多傳感器融合方式，實(shí)時(shí)檢測(cè)各傳感器狀態(tài)，若單個(gè)傳感器采集故障，可利用其它傳感器進(jìn)行測(cè)速測(cè)距。對(duì)于環(huán)境和人為因素，系統(tǒng)采用電磁屏蔽、各DSP獨(dú)立設(shè)置運(yùn)行時(shí)鐘異步運(yùn)行采用任務(wù)級(jí)同步等手段來防護(hù)共模故障。

（2）測(cè)速雷達(dá)故障。根據(jù)測(cè)速雷達(dá)報(bào)文判斷是否存在通信異常、無有效數(shù)據(jù)、無有效方向等故障，并根據(jù)列車運(yùn)行趨勢(shì)判斷數(shù)據(jù)是否合理。在低速情況下，鑒于其采用的多普勒原理，此時(shí)雷達(dá)測(cè)量的數(shù)據(jù)誤差較大，在此情況下視為故障，不采用此數(shù)據(jù)。

（3）OPG故障。對(duì)于OPG，根據(jù)列車運(yùn)行趨勢(shì)和有效測(cè)速雷達(dá)數(shù)據(jù)判斷其是否存在尖脈沖干擾、空轉(zhuǎn)打滑、鎖定、速度距離計(jì)算不一致等異常情況，并在合理范圍內(nèi)進(jìn)行異常處理、濾波。

（4）BTM故障。對(duì)于BTM，根據(jù)BTM報(bào)文判斷是否存在通信異常、BTM狀態(tài)錯(cuò)誤、版本號(hào)錯(cuò)誤等故障，并根據(jù)地圖信息判斷BTM返回?cái)?shù)據(jù)的可信性。

（5）數(shù)據(jù)融合。對(duì)于經(jīng)過異常判斷的傳感器采集數(shù)據(jù)，每周期進(jìn)行速度融合時(shí)，判斷兩兩之間速度差是否在合理范圍內(nèi)，對(duì)不合理數(shù)據(jù)進(jìn)行標(biāo)記，若連續(xù)錯(cuò)誤則視為此傳感器故障。方向融合時(shí)，判斷是否有傳感器方向不合理，并進(jìn)行標(biāo)記，連續(xù)錯(cuò)誤則視為傳感器故障。距離融合時(shí)，若2路OPG正常運(yùn)行，對(duì)于2路OPG采集的距離進(jìn)行比較，若這2路相差過大，分別與雷達(dá)速度積分的距離進(jìn)行比較，若合理則采用本OPG數(shù)據(jù)，否則認(rèn)為數(shù)據(jù)采集故障。

（6）DSP故障。3路DSP分別計(jì)算完數(shù)據(jù)后，向其他2路發(fā)送計(jì)算后的數(shù)據(jù)。3路DSP數(shù)據(jù)進(jìn)行容差處理，判斷數(shù)據(jù)是否合理，并對(duì)不合理的DSP進(jìn)行標(biāo)記。若連續(xù)故障，則判斷此路DSP故障。

3.4 SCADE開發(fā)

本系統(tǒng)針對(duì)測(cè)速測(cè)距模塊采用SCADE進(jìn)行設(shè)計(jì)實(shí)現(xiàn)。SCADE是基于模型驅(qū)動(dòng)的安全開發(fā)驗(yàn)證平臺(tái)，過程覆蓋從需求到代碼實(shí)現(xiàn)的整個(gè)生命周

期［9-10］。

（1）SCADE建模。本系統(tǒng)采用數(shù)據(jù)流圖和安全狀態(tài)機(jī)2種方式進(jìn)行建模，對(duì)建立的模型采用SACDE用semantic checker進(jìn)行靜態(tài)分析。代碼生成采用KCG生成器，已通過SIL4安全認(rèn)證，滿足測(cè)速測(cè)距系統(tǒng)的安全需求，可直接嵌入至系統(tǒng)中。本系統(tǒng)對(duì)傳感器數(shù)據(jù)處理、融合、空轉(zhuǎn)打滑處理、定位處理等安全功能采用SCADE進(jìn)行建模。圖3為OPG處理SCADE狀態(tài)圖。

圖3OPG處理SCADE狀態(tài)圖

（2）形式化驗(yàn)證。Design Verifier是根據(jù)一定的機(jī)制遍歷SCADE模型的所有輸入，判斷系統(tǒng)是否滿足預(yù)先設(shè)定的安全條件。測(cè)試案例不能保證模型在安全上的正確性，而Design Verifier具有安全驗(yàn)證完整性。通過設(shè)置系統(tǒng)指定的安全屬性，驗(yàn)證模型是否滿足此屬性。若模型安全，驗(yàn)證器輸出安全證明，否則輸出一個(gè)反例警告。其驗(yàn)證公式為：{輸入}{模型}{輸出}{安全需求功能斷言}{安全例證}。例如：對(duì)于三取二模塊，3路DSP采集的數(shù)據(jù)可能存在一定的誤差，但是誤差應(yīng)在一個(gè)比較小的閾值范圍內(nèi)。若某路速度計(jì)算與其他2路速度相差過大，則認(rèn)為此DSP數(shù)據(jù)計(jì)算錯(cuò)誤，置為故障。其需要滿足的安全需求為：若某路DSP數(shù)據(jù)與其他2路計(jì)算數(shù)據(jù)相差在閾值范圍之外，則此路DSP置為故障。將此功能需求加入驗(yàn)證模型中進(jìn)行驗(yàn)證，其結(jié)果為有效。

（3）覆蓋率測(cè)試。為提高系統(tǒng)的功能安全，采用MC/DC（Modified Condition/Decision Coverage）方法進(jìn)行結(jié)構(gòu)覆蓋率分析，可滿足歐洲標(biāo)準(zhǔn)EN 50128對(duì)單元測(cè)試覆蓋率（同時(shí)使用分支和組合條件覆蓋）的要求。MC/DC是滿足全局的準(zhǔn)則，針對(duì)每一個(gè)布爾表達(dá)式。定位功能覆蓋率分析如圖4所示。

3.5 系統(tǒng)實(shí)現(xiàn)

經(jīng)過對(duì)測(cè)速測(cè)距系統(tǒng)板卡的器件進(jìn)行可靠性分析，單塊MVU板的失效率為9.003 16×10-6，可靠性為12.679 46（年）；2塊MVU板熱備后，本測(cè)速測(cè)距系統(tǒng)的可靠性為58 699.608 8（年）。

系統(tǒng)在硬件和軟件均按照安全相關(guān)標(biāo)準(zhǔn)進(jìn)行安全性設(shè)計(jì)，已通過SIL4級(jí)安全認(rèn)證。哈爾濱軌道交通3號(hào)線空轉(zhuǎn)打滑處理結(jié)果如圖4所示。

圖4 哈爾濱軌道交通3號(hào)線空轉(zhuǎn)打滑處理結(jié)果

4 結(jié)語

安全性設(shè)計(jì)和可靠性設(shè)計(jì)是決定測(cè)速測(cè)距系統(tǒng)性能的關(guān)鍵環(huán)節(jié)。相對(duì)目前主流的三取二、二乘二取二冗余結(jié)構(gòu)，本測(cè)速測(cè)距系統(tǒng)采用二乘三取二結(jié)構(gòu)，在可靠性和安全性指標(biāo)上具有更明顯的優(yōu)勢(shì)。同時(shí)采用多傳感器異構(gòu)融合的測(cè)速測(cè)距算法，使系統(tǒng)能適應(yīng)各種運(yùn)行場(chǎng)景。

該測(cè)速測(cè)距系統(tǒng)在架構(gòu)設(shè)計(jì)、模塊設(shè)計(jì)、接口設(shè)計(jì)中綜合運(yùn)用了多種安全設(shè)計(jì)技術(shù)、故障處理，使本系統(tǒng)達(dá)到了SIL4的要求，通過了第三方獨(dú)立評(píng)估機(jī)構(gòu)的安全認(rèn)證，并在哈爾濱軌道交通3號(hào)線一期工程中得到成功應(yīng)用。

［1］ 周達(dá)天.基于多傳感器信息融合的列車定位方法研究［D］.北京：北京交通大學(xué)，2007.

［2］ 劉江，蔡伯根，王劍，等.基于灰色理論的列車組合定位輪徑校準(zhǔn)方法研究［J］.鐵道學(xué)報(bào)，2011，33（5）：54.

［3］ 蔡煊，王長(zhǎng)林，林穎.基于輪軸速度傳感器和加速度傳感器的混合測(cè)速測(cè)距算法研究［J］.城市軌道交通研究，2015，18（3）：32.

［4］ 牛道恒，劉嶺，崔俊鋒，等.高速列車測(cè)速測(cè)距系統(tǒng)濾波模型與融合策略研究［J］鐵路通信信號(hào)工程技術(shù)，2011，8（4）：8.

［5］陳文賽.一種高可靠、高安全性系統(tǒng)——三取二計(jì)算機(jī)系統(tǒng)［J］.現(xiàn)代雷達(dá)，2004，26（6）：19.

［6］ 王悉，馬連川，袁彬彬.2取2乘2安全計(jì)算機(jī)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)［J］.都市快軌交通，2011，24（4）：17.

［7］ 高繼祥，鄭俊杰.雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)可靠性與安全性指標(biāo)分析［J］北方交通大學(xué)學(xué)報(bào).1998，22（5）：73.

［8］ 馬連川，穆建成.四模冗余結(jié)構(gòu)在鐵路信號(hào)控制系統(tǒng)中的應(yīng)用［J］.蘭州交通大學(xué)學(xué)報(bào)（自然科學(xué)版）.2005，24（3）：106.

［9］李俊杰.基于SCADE的定位系統(tǒng)設(shè)計(jì)及驗(yàn)證［D］.四川：西南交通大學(xué)，2014.

［10］張路.基于SCADE的CBTC區(qū)域控制器軟件開發(fā)［D］.北京：北京交通大學(xué)，2010.