王 森 黃友能， 王 偉

(1.北京交通大學電子信息工程學院 北京 100044;2.北京交通大學城市軌道交通自動化與控制北京市重點實驗室 北京 100044;3.北京交通大學軌道交通運行控制系統(tǒng)國家工程研究中心 北京 100044)

1 研究背景

近年來，隨著城市規(guī)模的擴大，人們對軌道交通在安全性、可靠性、運輸效率和整體服務(wù)質(zhì)量方面都提出了更為嚴格的要求。世界各地的軌道交通運營商都希望以最少的投資獲得更好的性能，以應(yīng)對現(xiàn)代運輸業(yè)的各種挑戰(zhàn)。基于通信的列車運行控制系統(tǒng)(communication based train control system，CBTC)，克服了傳統(tǒng)軌道交通信號系統(tǒng)基于軌道電路進行車地通信的信息傳輸量少、固定分區(qū)追蹤效率低等缺點，采用了基于無線通信的車地通信方式，大大提高了車地通信的容量，真正實現(xiàn)了移動閉塞，縮短了列車追蹤間隔，提高了運行效率，它是今后一段時間城市軌道交通列車運行控制系統(tǒng)的首選。

對于CBTC系統(tǒng)來說，系統(tǒng)的安全性與數(shù)據(jù)的正確性有著非常密切的聯(lián)系，系統(tǒng)設(shè)計經(jīng)歷了系統(tǒng)開發(fā)、設(shè)計、成熟到再次優(yōu)化的過程。在城市軌道交通的信號系統(tǒng)設(shè)計方面，如果對每條線路都重新進行信號系統(tǒng)開發(fā)顯然是不現(xiàn)實的，需要耗費大量的人力和財力。因此，代碼與數(shù)據(jù)分離是一種合理的解決方案。當軌道線路不同時，只改變應(yīng)用數(shù)據(jù)，在不改變原系統(tǒng)設(shè)計的原則基礎(chǔ)上，可減少系統(tǒng)開發(fā)的生命周期。這樣不僅減少了由于不同線路的不同特性而引起的系統(tǒng)集成，而且方便對數(shù)據(jù)進行管理，增加了數(shù)據(jù)的可靠性，進而確保整個CBTC系統(tǒng)的功能實現(xiàn)，可真正實現(xiàn)系統(tǒng)之間的互聯(lián)互通，確保系統(tǒng)的高效率與安全性。

2 CBTC系統(tǒng)組成

CBTC系統(tǒng)是連續(xù)的自動列車控制系統(tǒng)，采用高精度的列車定位，不再依賴軌道電路;使用連續(xù)、大容量的車地雙向數(shù)據(jù)通信，車載設(shè)備和軌旁設(shè)備實現(xiàn)安全功能。一個典型的CBTC系統(tǒng)應(yīng)當包括列車自動監(jiān)控系統(tǒng)(automatic train supervision，ATS)、數(shù)據(jù)庫存儲單元(database storage unit，DSU)、區(qū)域控制器(zone controler，ZC)、計算機聯(lián)鎖(computer interlocking，CI)、車載控制器(vehicle on-board controller，VOBC)和數(shù)據(jù)通信系統(tǒng)(data communication system，DCS，包括骨干網(wǎng)、網(wǎng)絡(luò)交換機、無線接入點以及車載移動無線設(shè)備)，其基本結(jié)構(gòu)如圖1所示。

列車自動監(jiān)控系統(tǒng)(ATS)完成列車運行監(jiān)控、報警顯示、進路排列和運行圖的調(diào)整等功能。區(qū)域控制器(ZC)系統(tǒng)接收列車的位置報告信息，并為列車提供移動授權(quán)權(quán)限(MA)。數(shù)據(jù)庫存儲單元(DSU)系統(tǒng)存儲所有的線路數(shù)據(jù)信息和配置文件信息，依照車載控制器(VOBC)系統(tǒng)與區(qū)域控制器(ZC)系統(tǒng)的要求完成線路數(shù)據(jù)的實時查詢和數(shù)據(jù)更新工作，接收ATS系統(tǒng)的命令，完成動態(tài)信息的修改工作。計算機聯(lián)鎖(CI)子系統(tǒng)完成管轄范圍內(nèi)列車進路的辦理和取消，以及道岔等設(shè)備的采集和相關(guān)操作。VOBC系統(tǒng)可以對列車進行定位，向其他系統(tǒng)匯報自己的位置和延伸申請等信息，同時接收ZC發(fā)送的MA，并對列車進行安全控制。數(shù)據(jù)通信系統(tǒng)(DCS)實現(xiàn)CBTC系統(tǒng)的每個子系統(tǒng)之間的數(shù)據(jù)傳輸。

圖1 CBTC系統(tǒng)結(jié)構(gòu)

3 CBTC數(shù)據(jù)分析

3.1 系統(tǒng)的數(shù)據(jù)特點

基于計算機的系統(tǒng)十分常見，這些系統(tǒng)通常需要一個靈活的數(shù)據(jù)驅(qū)動，即利用數(shù)據(jù)對子系統(tǒng)進行配置，以完成系統(tǒng)功能。對于數(shù)據(jù)驅(qū)動系統(tǒng)來說，保證數(shù)據(jù)的有效性與保證編碼的有效性同樣重要。數(shù)據(jù)作為信息的載體，通常與系統(tǒng)應(yīng)用同時開發(fā)，如果數(shù)據(jù)沒有與系統(tǒng)嚴格一致且失去完整性，就很可能造成系統(tǒng)的崩潰。

CBTC系統(tǒng)是一個保證列車安全運行的系統(tǒng)，因此保證各個子系統(tǒng)的安全性與正確性是十分必要的。CBTC系統(tǒng)按照代碼和數(shù)據(jù)分離的原則，將自身及其子系統(tǒng)的所有使用數(shù)據(jù)分離出來，與CBTC各子系統(tǒng)運用結(jié)合來實現(xiàn)各子系統(tǒng)的功能。數(shù)據(jù)作為信息的載體，是CBTC系統(tǒng)的基礎(chǔ)，為CBTC的所有子系統(tǒng)所共享，其正確性關(guān)系到這些子系統(tǒng)能否正常運行。

3.2 系統(tǒng)與數(shù)據(jù)的關(guān)系

數(shù)據(jù)與CBTC各個子系統(tǒng)存在關(guān)系:一方面，體現(xiàn)在系統(tǒng)的數(shù)據(jù)支持，數(shù)據(jù)與應(yīng)用程序一起共同完成系統(tǒng)功能;另一方面，體現(xiàn)在系統(tǒng)間進行的數(shù)據(jù)交換，如區(qū)域控制器與相鄰區(qū)域控制器的數(shù)據(jù)交換、車載控制器與相關(guān)聯(lián)的車載控制器的數(shù)據(jù)交換、中心ATS與車站ATS的數(shù)據(jù)交換。最后，對于一些動態(tài)數(shù)據(jù)和線路數(shù)據(jù)，各子系統(tǒng)之間還會實現(xiàn)數(shù)據(jù)的同步與共享。例如，軌旁電子單元 (lineside electronic unit，LEU)接收列控中心傳送的數(shù)據(jù)報文，并發(fā)送給有源應(yīng)答器。數(shù)據(jù)與CBTC系統(tǒng)各個子系統(tǒng)的關(guān)系如圖2所示。

圖2 數(shù)據(jù)與CBTC各個子系統(tǒng)的關(guān)系

3.3 系統(tǒng)的數(shù)據(jù)組成

根據(jù)CBTC系統(tǒng)原理，為了確保列車的安全運行，使CBTC系統(tǒng)根據(jù)需要做出應(yīng)答，保證系統(tǒng)功能正確，必須給系統(tǒng)提供需要的靜態(tài)地理信息數(shù)據(jù)和動態(tài)信息數(shù)據(jù)。為了使列車運行時CBTC系統(tǒng)可以根據(jù)實際需求做出正確的反應(yīng)和應(yīng)答，必須有來自軌旁的信息。列車需要獲取這些數(shù)據(jù)，才可保證在合理的環(huán)境中和合理的條件下安全運行。

CBTC系統(tǒng)應(yīng)具備如下靜態(tài)數(shù)據(jù):線路區(qū)段位置、連接關(guān)系信息、障礙物位置信息、坡度信息、停車點及停車區(qū)域信息、靜態(tài)限速信息、折返區(qū)段信息、列車參數(shù)信息。CBTC系統(tǒng)各個子系統(tǒng)根據(jù)各自的原理，調(diào)用這些數(shù)據(jù)至各自的應(yīng)用程序。數(shù)據(jù)在系統(tǒng)之間完成交換和轉(zhuǎn)移，系統(tǒng)的安全取決于這些實際交換數(shù)據(jù)的正確性和完整性。

4 數(shù)據(jù)管理過程設(shè)計

4.1 數(shù)據(jù)供應(yīng)鏈的提出

一旦了解了系統(tǒng)的初始需求，就應(yīng)該定義數(shù)據(jù)的管理過程，從各種數(shù)據(jù)源中獲取數(shù)據(jù)，為應(yīng)用程序合適地準備并處理數(shù)據(jù)，最后將數(shù)據(jù)傳遞給操作系統(tǒng)。為此，定義了數(shù)據(jù)供應(yīng)鏈，運用數(shù)據(jù)供應(yīng)鏈對CBTC系統(tǒng)數(shù)據(jù)進行管理。針對不同的CBTC系統(tǒng)，數(shù)據(jù)供應(yīng)鏈的具體表現(xiàn)方式可能有所不同，典型的數(shù)據(jù)供應(yīng)鏈如圖3所示。

實線表示的是數(shù)據(jù)供應(yīng)鏈的具體流程，虛線表示的是線條起始端對線條終點端的要求。非常細致的數(shù)據(jù)供應(yīng)鏈并沒有描繪出來，因為任何數(shù)據(jù)管理過程的開發(fā)都要考慮不同組織和個人的性質(zhì)。舉例來說，有些組織會喜歡使用適當?shù)墓ぞ邅慝@得較好的數(shù)據(jù)完整性，而其他組織可能更喜歡依賴小規(guī)模、有經(jīng)驗的工程師。

4.2 數(shù)據(jù)供應(yīng)鏈的分析

一般認為，將大部分不確定性引進數(shù)據(jù)供應(yīng)鏈(DSC)的階段是最初的數(shù)據(jù)捕獲階段，這有兩個主要的原因:

圖3 數(shù)據(jù)供應(yīng)鏈

1)數(shù)據(jù)記錄通常基于文檔，所以這項工作是勞力密集型的工作。獨立的人工互查能夠及時發(fā)現(xiàn)數(shù)據(jù)中的錯誤，如在檢查線路梯度數(shù)據(jù)的連續(xù)性時，具體方法有:通過來源記錄，檢查進入DSC的數(shù)據(jù);通過數(shù)據(jù)要求以及應(yīng)用程序規(guī)則，檢查進入DSC的數(shù)據(jù);等等。

2)現(xiàn)有的數(shù)據(jù)記錄永遠無法精確地描述基礎(chǔ)設(shè)施的目前狀態(tài)，而比較數(shù)據(jù)的來源能增加識別錯誤的可能性。從不同的來源獲得相同的數(shù)值可以提高數(shù)據(jù)的置信度，但假如隨著基礎(chǔ)設(shè)施改變而數(shù)據(jù)來源都未更新，則系統(tǒng)容易受到一般問題的影響。附加措施要求對實際基礎(chǔ)設(shè)施的可用數(shù)據(jù)進行確認，根據(jù)數(shù)據(jù)要求，數(shù)據(jù)確認能以很多方式完成。

在DSC內(nèi)部，需要考慮檢驗和確認的擴展，常規(guī)規(guī)則和相應(yīng)的引導說明有:

1)在生命周期中，較早修復錯誤最劃算;

2)在生命周期中的早期階段，發(fā)現(xiàn)所有的錯誤是不可能的，因此在DSC中的后半部分要有附加的測試;

3)要防止數(shù)據(jù)通過DSC退化，最佳途徑是使用合適的配置管理和質(zhì)量管理;

4)阻止錯誤進入DSC比稍后清除它們成本要低，因此要使用高可靠性的工具完善數(shù)據(jù)入口，使數(shù)據(jù)入口更安全便利;

5)正式的數(shù)據(jù)結(jié)構(gòu)規(guī)范可以減少錯誤發(fā)生的幾率，而且按照正式規(guī)范開發(fā)和使用工具還會減少故障的發(fā)生;

6)驗證的目的是檢查數(shù)據(jù)是否保持原意，要確定數(shù)據(jù)沒有發(fā)生歧義;

7)通知管理數(shù)據(jù)的人明白數(shù)據(jù)的重要性，使他們集中注意力，并充滿責任感;

8)仔細考慮工具的多樣性和數(shù)據(jù)的高度完整性;

9)利用像MD5(message-digest algorithm 5，信息-摘要算法5)、CRC(cyclical redundancy check，循環(huán)冗余碼校驗)和其他哈希算法這樣的技術(shù)來檢測損壞的數(shù)據(jù);

10)提高由DSC所提供數(shù)據(jù)的置信度，這能減少安全隱患和操作風險。

CBTC開發(fā)單位可以為不同完整性需求的數(shù)據(jù)項目開發(fā)單一的DSC，而能否這樣做則依賴于開發(fā)過程中的自動化程度，以及高完整性數(shù)據(jù)與低完整性數(shù)據(jù)間的比率。

4.3 數(shù)據(jù)供應(yīng)鏈的設(shè)計

4.3.1 確定數(shù)據(jù)源頭

這是數(shù)據(jù)供應(yīng)鏈的開始階段，作為一般性規(guī)則，可以把第一個階段定義成接受階段。后面的階段會存儲并使用已知完整性的數(shù)據(jù)，若在數(shù)據(jù)完整性中要求較高的置信度，則可以通過測試、分析和必要的仿真獲得。

4.3.2 確定邊界

一個CBTC項目可能由幾個不同的單位共同完成，那么各個單位責任的改變就要求數(shù)據(jù)供應(yīng)鏈確定邊界(組織的、法律的、政治的)，并創(chuàng)建合適的連接部分。作為一般性規(guī)則，挑選、設(shè)計數(shù)據(jù)版式階段和分配數(shù)據(jù)階段用來創(chuàng)建這個連接部分。這個部分的另一邊是接受階段，交換數(shù)據(jù)時不需要是實體的連接，重要的是要確定相關(guān)責任和可能出現(xiàn)的所有權(quán)變更。

4.3.3 確定處理和改編

這一步要確定重要的接口，完成數(shù)據(jù)的處理和數(shù)據(jù)集的改編，由集合、翻譯、挑選以及轉(zhuǎn)化階段組成。

4.3.4 分配完整性需求

對數(shù)據(jù)的完整性需求進行詳細說明，將這些需求在數(shù)據(jù)源和數(shù)據(jù)供應(yīng)鏈各階段之間進行分配。

4.3.5 確定證據(jù)需求

確定每個階段的核查標準，在數(shù)據(jù)源與數(shù)據(jù)供應(yīng)鏈各階段之間分配了完整性需求后，就可以為數(shù)據(jù)源和數(shù)據(jù)供應(yīng)鏈各階段建立證據(jù)需求，這樣可以保證模型的有效性和完整性。

4.3.6 指定校正過程

如果數(shù)據(jù)沒有滿足各個階段的驗證標準，系統(tǒng)將會報錯，這就要采取糾正措施。這個過程完成各個DSC階段的校正，并對整體上的數(shù)據(jù)供應(yīng)鏈進行糾正。

4.3.7 評估數(shù)據(jù)供應(yīng)鏈設(shè)計

要滿足安全苛求系統(tǒng)的5個基本安全目標，即需求有效性、需求滿意度、可追溯性、配置一致性和互不干擾安全的功能。

在數(shù)據(jù)供應(yīng)鏈的設(shè)計過程中，必要時可以重復上述步驟來完成設(shè)計的目標，即完整的組織責任、負債和所有權(quán)。數(shù)據(jù)起源可能是最困難的議題，這涉及設(shè)計、開發(fā)、數(shù)據(jù)提供和數(shù)據(jù)驅(qū)動系統(tǒng)的維護。足夠完整(足夠滿足所有使用數(shù)據(jù)的系統(tǒng)要求)的數(shù)據(jù)產(chǎn)生有許多形式，傳統(tǒng)的是根據(jù)錄入到表單中的數(shù)據(jù)項是紙張記錄還是電腦屏幕上的自動顯示來判斷。隨著CBTC系統(tǒng)的規(guī)模擴大，數(shù)據(jù)的容量和性質(zhì)也需要改變。數(shù)據(jù)產(chǎn)生需要縱向的數(shù)據(jù)集，它描述基礎(chǔ)設(shè)施和控制基礎(chǔ)設(shè)施使用的抽象層。在系統(tǒng)相互配合的地方，這些數(shù)據(jù)集被看作是整個系統(tǒng)結(jié)構(gòu)中的橫向部分，橫向數(shù)據(jù)集可以通過擴展現(xiàn)有數(shù)據(jù)集來延長控制范圍，以便描述更大的地理區(qū)域。

4.4 數(shù)據(jù)管理中應(yīng)注意的問題

1)對數(shù)據(jù)的安全完整性水平(SIL)的分配應(yīng)該建立在詳細的風險評估基礎(chǔ)上，整個系統(tǒng)的SIL不能完全確定數(shù)據(jù)的SIL。對于操作數(shù)據(jù)，考慮到涉及的時間約束和如果不能快速改變數(shù)據(jù)而引起的風險，風險評估就必須考慮合理、可行的方案。

2)數(shù)據(jù)供應(yīng)過程的開發(fā)應(yīng)該注意，要在過程中盡早地識別和修復錯誤。盡量在測試時更正錯誤，因為到了系統(tǒng)安裝期間就很難發(fā)現(xiàn)錯誤。

3)數(shù)據(jù)和系統(tǒng)會隨著時間而改變，因此在整個數(shù)據(jù)生命周期中，數(shù)據(jù)管理過程的設(shè)計都應(yīng)該使用嚴格的結(jié)構(gòu)管理，從而提高數(shù)據(jù)的置信度。當軌道交通信號系統(tǒng)組件更新時，要減少重復昂貴的數(shù)據(jù)采集和驗證。

4)初期的識別數(shù)據(jù)需求和安全目標，決定了數(shù)據(jù)供應(yīng)鏈的設(shè)計。

5)充分考慮整個數(shù)據(jù)生命周期，要有適當?shù)倪^程和措施開發(fā)，以便維護需要的整體性，確保在正常和被降級情況下的安全操作。

6)數(shù)據(jù)準備的過程和軟件開發(fā)的過程相似，在完整定義的過程中，使用工具檢查和人工復查相結(jié)合的方法來獲得完整性。

5 結(jié)語

為安全苛求系統(tǒng)開發(fā)數(shù)據(jù)管理過程是一項有意義的工作，而且經(jīng)常是在系統(tǒng)開發(fā)早期階段被忽視的過程。在本研究中，強調(diào)了許多使用CBTC所經(jīng)歷的問題，并提出一個數(shù)據(jù)供應(yīng)鏈的設(shè)計和構(gòu)造方法;使用這個方法，可以有效地進行CBTC數(shù)據(jù)管理。然而，數(shù)據(jù)的組織仍是一個艱難的議題，要想獲得高完整性的數(shù)據(jù)需要許多不同的資源，需要相互比較來提升檢錯的幾率，這就要求更多的組織機構(gòu)和科研人員共同合作。

［1］IEC 61508 Functional safety of electrical/electronic/programmable electronic safety －related systems［S］.London:IEC，1998.

［2］EN50128:2001 Railway applications:communications，signalling and processing systems:Software for railway control and protection systems［S］.London:CENELEC，2001.

［3］RTCA/DO178-B Software considerations in airborne systems and equipment certification［S］.London，1992.

［4］Defence Standard 00－55 Requirements for safety related software in defence equipment［S］.London:UK Ministry of Defence，1997.

［5］Storey N，F(xiàn)aulkner A.The role of data in safety-related systems［C］//Proc.19th International System Safety Conference.Huntsville，2001.

［6］Storey N，F(xiàn)aulkner A.Data management in safety-related systems［C］//Proc.20th International System Safety Conference.Denver，2002.

［7］Storey N，F(xiàn)aulkner A.The Characteristics of data in dataintensive safety-related systems［C］//22nd Int.Conf.on Computer Safety and Reliability，Safe comp 2003.Edinburgh，2003:396-409.