王振輝

(1．北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；2．北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

1 概述

列控系統(tǒng)作為高速鐵路安全運(yùn)行的核心系統(tǒng)，失效后輕則造成運(yùn)行中斷，影響行車效率；重則造成追尾、脫軌等行車事故，造成人員傷亡和重大財(cái)產(chǎn)損失，列控系統(tǒng)不但需要保證功能的安全性和正確性，還要保證系統(tǒng)各項(xiàng)性能的穩(wěn)定性和可靠性。目前，軟件測(cè)試是檢驗(yàn)列控系統(tǒng)是否滿足系統(tǒng)功能、性能、穩(wěn)定性和可靠性需求最直接的手段，軟件測(cè)試包括軟件白盒測(cè)試（含靜態(tài)測(cè)試、單元測(cè)試、集成測(cè)試）、產(chǎn)品功能測(cè)試和系統(tǒng)功能測(cè)試（System Function Test，SFT）等階段，其中系統(tǒng)功能測(cè)試是測(cè)試流程中的最后一個(gè)環(huán)節(jié)。本文通過分析系統(tǒng)功能測(cè)試的測(cè)試內(nèi)容和測(cè)試平臺(tái)結(jié)構(gòu)，研究系統(tǒng)功能測(cè)試對(duì)保證我國(guó)自主化列控系統(tǒng)的功能安全性、正確性、穩(wěn)定性和可靠性的重要作用。

2 CTCS-3級(jí)系統(tǒng)測(cè)試過程

根據(jù)軟件開發(fā)周期內(nèi)的活動(dòng)，CTCS-3 級(jí)系統(tǒng)通常采用V 模型進(jìn)行測(cè)試，包括需求評(píng)審、設(shè)計(jì)評(píng)審、軟件白盒測(cè)試，產(chǎn)品功能測(cè)試，系統(tǒng)功能測(cè)試等過程，如圖1 所示。

圖1 軟件測(cè)試過程V模型Fig.1 Software testing process V model

需求評(píng)審和設(shè)計(jì)評(píng)審對(duì)開發(fā)設(shè)計(jì)文件進(jìn)行審核，從測(cè)試角度提出設(shè)計(jì)風(fēng)險(xiǎn)預(yù)估；軟件白盒測(cè)試對(duì)軟件編碼進(jìn)行代碼走查測(cè)試；產(chǎn)品功能測(cè)試對(duì)軟件功能進(jìn)行測(cè)試；系統(tǒng)功能測(cè)試是基于系統(tǒng)整體需求進(jìn)行的黑盒測(cè)試，其針對(duì)整個(gè)系統(tǒng)進(jìn)行測(cè)試，覆蓋系統(tǒng)所有聯(lián)合的部件，驗(yàn)證系統(tǒng)是否滿足需求規(guī)格的定義，找出與需求規(guī)格不相符合或與之矛盾的地方。系統(tǒng)功能測(cè)試的對(duì)象不僅包括需要測(cè)試的產(chǎn)品系統(tǒng)的軟件，還包含軟件所依賴的硬件、外設(shè)甚至包括某些數(shù)據(jù)、某些支持軟件及其接口等。因此，系統(tǒng)功能必須將系統(tǒng)中的軟件與各種依賴的資源結(jié)合起來，在系統(tǒng)實(shí)際運(yùn)行環(huán)境下進(jìn)行測(cè)試。

3 CTCS-3級(jí)系統(tǒng)功能測(cè)試概述

3.1 測(cè)試背景

北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司（簡(jiǎn)稱通號(hào)公司）在完成CTCS-3 級(jí)列車運(yùn)行控制系統(tǒng)的國(guó)產(chǎn)化后，為了實(shí)現(xiàn)中國(guó)高鐵“走出去”戰(zhàn)略，研制完成具有完全自主知識(shí)產(chǎn)權(quán)、掌握核心關(guān)鍵技術(shù)的自主化CTCS-3 級(jí)列控系統(tǒng)。為了保證國(guó)產(chǎn)化和自主化列控系統(tǒng)功能的安全性、正確性、可靠性和各項(xiàng)性能，通號(hào)公司根據(jù)EN50128 的要求，確定測(cè)試流程，按照白盒測(cè)試、產(chǎn)品功能測(cè)試、產(chǎn)品數(shù)據(jù)測(cè)試、系統(tǒng)功能測(cè)試、系統(tǒng)數(shù)據(jù)測(cè)試的測(cè)試階段展開測(cè)試。

在實(shí)際研發(fā)和工程應(yīng)用中，僅通過白盒測(cè)試、產(chǎn)品功能測(cè)試、產(chǎn)品數(shù)據(jù)測(cè)試，無法保證測(cè)試的全面性、可靠性，遺留了一些問題，因此需要進(jìn)行系統(tǒng)功能和系統(tǒng)數(shù)據(jù)測(cè)試，保證各產(chǎn)品間的兼容性以及整個(gè)系統(tǒng)的完整性，系統(tǒng)功能測(cè)試是一個(gè)必要的階段。

3.2 測(cè)試平臺(tái)

C3 半實(shí)物仿真測(cè)試平臺(tái)由CTCS-3 級(jí)列控系統(tǒng)綜合設(shè)計(jì)集成平臺(tái)、實(shí)物硬件設(shè)備以及網(wǎng)絡(luò)環(huán)境組成。CTCS-3 級(jí)列控系統(tǒng)綜合設(shè)計(jì)集成平臺(tái)按照其實(shí)現(xiàn)功能劃分為仿真支撐系統(tǒng)、實(shí)物接入系統(tǒng)、仿真模型、綜合監(jiān)控系統(tǒng)、數(shù)據(jù)配置系統(tǒng)。

實(shí)驗(yàn)室C3 半實(shí)物仿真測(cè)試平臺(tái)原理，如圖2所示。

圖2 半實(shí)物仿真測(cè)試平臺(tái)原理圖Fig.2 Schematic diagram of semi-physical simulation test platform

3.3 測(cè)試內(nèi)容

系統(tǒng)功能測(cè)試采用真實(shí)的車載設(shè)備，搭建C3半實(shí)物仿真測(cè)試平臺(tái)，通過執(zhí)行中國(guó)鐵路總公司發(fā)布的《C3 測(cè)試案例(V3.0)》和通號(hào)公司的測(cè)試案例，驗(yàn)證車載設(shè)備、無線閉塞中心設(shè)備的功能和各項(xiàng)性能符合中國(guó)鐵路總公司下發(fā)的各種技術(shù)條件；驗(yàn)證整個(gè)CTCS-3 列控系統(tǒng)滿足《CTCS-3 級(jí)列控系統(tǒng)總體技術(shù)方案（V1.0）》中要求的功能安全性、正確性和可靠性。

系統(tǒng)功能測(cè)試主要分為完整功能測(cè)試和變更項(xiàng)驗(yàn)證測(cè)試兩種。完整功能測(cè)試即對(duì)系統(tǒng)進(jìn)行全面測(cè)試，執(zhí)行案例庫(kù)中所有的案例，全面覆蓋列控系統(tǒng)的每個(gè)功能點(diǎn)，通常當(dāng)軟件修改內(nèi)容較多，或修改較為復(fù)雜，無法準(zhǔn)確評(píng)估測(cè)試范圍，或需要進(jìn)行基線類發(fā)布時(shí)，采用該測(cè)試方法；變更項(xiàng)驗(yàn)證測(cè)試即在研發(fā)人員明確變更項(xiàng)的影響范圍后，對(duì)變更項(xiàng)涉及的內(nèi)容進(jìn)行覆蓋測(cè)試。

4 CTCS-3級(jí)系統(tǒng)功能測(cè)試必要性分析

在工程實(shí)踐中，經(jīng)過白盒測(cè)試、產(chǎn)品功能測(cè)試的列車超速防護(hù)系統(tǒng)（ATP）和無線閉塞中心（RBC）等CTCS-3 級(jí)系統(tǒng)軟件，仍然存在一些系統(tǒng)層、多場(chǎng)景疊加功能的問題。實(shí)踐表明，系統(tǒng)功能測(cè)試能在一定程度上發(fā)現(xiàn)上述問題，以保證列控系統(tǒng)的功能安全性、正確性、穩(wěn)定性和可靠性。

4.1 發(fā)現(xiàn)系統(tǒng)層功能缺陷

1）RBC 和ATP 設(shè) 備 均增加前方軌道空閑（TAF）功能，即在車站或區(qū)間以目視或引導(dǎo)模式發(fā)車時(shí)，因?yàn)镽BC 無法判斷列車當(dāng)前所在進(jìn)路狀態(tài)是否可用，因此，當(dāng)RBC 判斷列車車頭距離前方信號(hào)機(jī)（信號(hào)牌）小于等于200 m 時(shí)，需要列車（或司機(jī)）確認(rèn)列車車頭到前方信號(hào)機(jī)（信號(hào)牌）區(qū)段狀態(tài)，RBC 根據(jù)列車的確認(rèn)狀態(tài)，決定是否向列車發(fā)送行車許可（MA）。系統(tǒng)功能測(cè)試可以驗(yàn)證側(cè)線發(fā)車時(shí)存在的問題。

如圖3 所示，目前CTCS-3 級(jí)客專線路，車站側(cè)線應(yīng)答器布置BX3-1 距信號(hào)機(jī)25 m，BX3-2 距信號(hào)機(jī)20 m。如果為始發(fā)站，ATP 以CTCS-3 等級(jí)目視模式發(fā)車（此時(shí)ATP 位置未知或無效），以40 km/h 運(yùn)行，由于車地之間的固有通信周期，當(dāng)ATP 經(jīng)過BX3 組應(yīng)答器時(shí)給RBC 發(fā)送位置報(bào)告消息（M136），估計(jì)前端未越過X3 信號(hào)機(jī)，RBC 發(fā)送前方軌道空閑消息（M34），ATP 從應(yīng)答器組運(yùn)行至出站信號(hào)機(jī)僅需要2 s，當(dāng)ATP 收到M34 時(shí)，其判斷估計(jì)前端已越過X3 信號(hào)機(jī)，不會(huì)對(duì)M34 進(jìn)行確認(rèn)。在實(shí)際運(yùn)營(yíng)中會(huì)影響運(yùn)輸效率，只能通過降低車速或者使用C2 等級(jí)發(fā)車避免該問題發(fā)生。

2）根據(jù)《京沈綜合試驗(yàn)段自主化CTCS-3級(jí)車載ATP 設(shè)備和RBC 測(cè)試案例》（科信基函[2018]65 號(hào)）中CTCS3-FT-248 案例6：（測(cè)地面設(shè)備）RBC 從聯(lián)鎖收到的站內(nèi)列車進(jìn)路為正常，若該進(jìn)路包含的任意站內(nèi)軌道區(qū)段狀態(tài)與RBC 判斷的軌道區(qū)段狀態(tài)不一致時(shí)，RBC 應(yīng)拒絕延伸MA。

如圖4 所示，系統(tǒng)功能測(cè)試能夠證明在聯(lián)鎖存在進(jìn)路首區(qū)段占用后延時(shí)3 s 關(guān)閉信號(hào)的固有邏輯前提下，RBC 發(fā)送有條件緊急停車消息（M15），讓ATP 自身判斷是否接受M15，比延時(shí)發(fā)送縮短的行車許可（SMA）更及時(shí)有效。

圖3 TAF不成功示意圖Fig.3 Schematic diagram of TAF unsuccess

圖4 聯(lián)鎖信號(hào)顯示與占用不一致示意圖Fig.4 Inconsistency of interlocking signal display with occupancy condition

以上兩個(gè)案例說明，如果只進(jìn)行產(chǎn)品級(jí)功能測(cè)試，僅能驗(yàn)證變更的功能符合單個(gè)產(chǎn)品需求；通過系統(tǒng)功能測(cè)試，可以驗(yàn)證單個(gè)產(chǎn)品的功能實(shí)現(xiàn)與整個(gè)列控系統(tǒng)的功能不沖突。

4.2 發(fā)現(xiàn)多場(chǎng)景疊加功能缺陷

1）根據(jù)《CTCS-3 級(jí)ATP 行車許可結(jié)合軌道電路信息暫行技術(shù)條件》（鐵總工電[2018]18 號(hào)）的要求，車載設(shè)備增加了雙曲線比較功能。

如圖5 所示，通過系統(tǒng)功能測(cè)試，設(shè)計(jì)區(qū)間連續(xù)黃（U）碼的條件下，車載后臺(tái)為C2 完全監(jiān)控模式，前臺(tái)為C3 完全監(jiān)控模式，RBC 發(fā)送的MA 長(zhǎng)度大于軌道信息許可的長(zhǎng)度且差值大于100 m，此時(shí)ATP 將行車許可終點(diǎn)位置（EOA）立即縮短至軌道電路信息許可終點(diǎn)，在車載持續(xù)運(yùn)行過程中能夠保證MA 截取功能正常，人機(jī)界面單元（DMI）顯示的曲線、允許速度都不會(huì)有大幅度的跳變，不會(huì)對(duì)司機(jī)操作產(chǎn)生干擾。

此類多場(chǎng)景疊加更貼近現(xiàn)場(chǎng)的實(shí)際應(yīng)用，更能反映整個(gè)列控系統(tǒng)的應(yīng)對(duì)能力，系統(tǒng)功能測(cè)試能夠依托C3 半實(shí)物仿真測(cè)試平臺(tái)，模擬更多的多場(chǎng)景疊加案例，以保證列控系統(tǒng)功能的全面性、安全性。

4.3 限制約束及解決措施

圖5 連續(xù)U碼車載截取MA示意圖Fig.5 Schematic diagram of continuous U code intercept MA

由于系統(tǒng)功能測(cè)試采用C3 實(shí)物或半實(shí)物仿真，因此在案例的執(zhí)行上受到一定的制約，某些錯(cuò)誤和不合法的消息，例如消息的內(nèi)容錯(cuò)誤，發(fā)送順序錯(cuò)誤等，無法在系統(tǒng)測(cè)試環(huán)節(jié)進(jìn)行模擬，此部分需求在產(chǎn)品級(jí)測(cè)試時(shí)驗(yàn)證，在白盒測(cè)試、產(chǎn)品功能測(cè)試中進(jìn)行重點(diǎn)關(guān)注，保證產(chǎn)品功能測(cè)試的全面性、正確性。

5 結(jié)論

為順應(yīng)高鐵“走出去”的戰(zhàn)略，在完成產(chǎn)品級(jí)白盒測(cè)試、功能測(cè)試的基礎(chǔ)上，開發(fā)系統(tǒng)功能測(cè)試平臺(tái)，深入研究運(yùn)營(yíng)需求，運(yùn)用不同的測(cè)試方法設(shè)計(jì)測(cè)試案例，編制出更多系統(tǒng)層交互的測(cè)試案例，對(duì)保證列控系統(tǒng)符合國(guó)內(nèi)外的技術(shù)規(guī)范，保證我國(guó)列控系統(tǒng)的功能安全性、正確性、穩(wěn)定性和可靠性具有重要意義。