馮浩楠

(中國鐵道科學(xué)研究院集團(tuán)有限公司通信信號(hào)研究所，北京 100081；2.國家鐵路智能運(yùn)輸系統(tǒng)工程技術(shù)研究中心，北京 100081)

基于通信的列車控制系統(tǒng)(communication based train control，CBTC)系統(tǒng)采用以地面控制系統(tǒng)為中心的控制模式：列控系統(tǒng)和地面控制系統(tǒng)之間的雙向無線通信，具有較高的列車間距控制效率[1]，但由于地面控制系統(tǒng)仍然是控制中心，因此單個(gè)地面控制系統(tǒng)允許通信的列車數(shù)量受到限制；同時(shí)地面控制系統(tǒng)和列控系統(tǒng)之間復(fù)雜的控制流程制約了列車運(yùn)行速度提升。為了克服這些限制，車車通信(vehicle based train control, VBTC)系統(tǒng)提出以列車為控制中心的架構(gòu)方式[2]，取消了CBTC系統(tǒng)中地面控制系統(tǒng)中的計(jì)算機(jī)聯(lián)鎖(computer interlocking, CI)和區(qū)域控制器(zone controller, ZC)控制系統(tǒng)，增加對(duì)象控制器(object controller, OC)用于控制軌旁道岔(point machine, PM)。列車不需要依靠地面控制系統(tǒng)的控制命令，可通過無線通信直接與周圍列車或者軌旁設(shè)備直接通信，實(shí)現(xiàn)列車的自主運(yùn)行，該架構(gòu)在提升列車運(yùn)行效率、擴(kuò)大列車運(yùn)能的同時(shí)，減少地面設(shè)施投資成本，與CBTC系統(tǒng)相比顯現(xiàn)優(yōu)勢(shì)[3-5]，在實(shí)際應(yīng)用中，國外RCAS(railway collision avoidance system)系統(tǒng)[6], AATC(advanced automatic train control)系統(tǒng)[7]和Urbalis Fluence系統(tǒng)[8]遵循VBTC系統(tǒng)架構(gòu)進(jìn)行了初步的試驗(yàn)和應(yīng)用探索。

VBTC系統(tǒng)按照控制對(duì)象包括車車通信控制和車地通信控制兩方面。在車地通信控制方面，VBTC系統(tǒng)取消保證進(jìn)路安全的地面聯(lián)鎖系統(tǒng)后，列車直接與OC通信進(jìn)而控制PM，OC作為車地控制流程中的重要環(huán)節(jié)，其安全可靠的設(shè)計(jì)關(guān)系到行車安全。文獻(xiàn)[9-10]給出了OC設(shè)計(jì)方案，文獻(xiàn)[11]提出共享鎖和獨(dú)立鎖的方案對(duì)道岔進(jìn)行控制，但都是局限于列車與OC之間通信研究，交互場(chǎng)景不全面，缺少對(duì)VBTC系統(tǒng)整體車地控制流程的形式化分析，實(shí)用性有限。在實(shí)際運(yùn)行中，OC作為地面直接控制道岔的安全設(shè)備，正常情況下，需要與車載系統(tǒng)保持通信完成列車對(duì)道岔控制；在特殊情況下，OC還需要實(shí)現(xiàn)與自動(dòng)列車監(jiān)控(automatic train supervision, ATS)系統(tǒng)進(jìn)行通信，完成指揮中心的人工道岔控制操作。如何保證OC能夠正確地處理兩個(gè)命令來源、安全可靠地完成道岔控制是VBTC系統(tǒng)車地控制流程急需解決的安全問題。

為了保證信號(hào)系統(tǒng)的安全性，EN50128 標(biāo)準(zhǔn)推薦形式化方法應(yīng)用于信號(hào)系統(tǒng)的設(shè)計(jì)與驗(yàn)證環(huán)節(jié)[12]。標(biāo)簽轉(zhuǎn)移系統(tǒng)(label transition system, LTS)的形式化方法通過圖形方式描述系統(tǒng)內(nèi)部狀態(tài)轉(zhuǎn)換行為，進(jìn)而評(píng)估系統(tǒng)運(yùn)行控制流程，適用于實(shí)時(shí)并發(fā)系統(tǒng)的行為特征分析，在計(jì)算機(jī)安全平臺(tái)、RSSP-1協(xié)議和ERTMS/ETCS系統(tǒng)需求規(guī)范的安全屬性驗(yàn)證中得到了良好的應(yīng)用，加速系統(tǒng)的開發(fā)和應(yīng)用進(jìn)程[13-15]?，F(xiàn)提出唯一秘鑰的方式實(shí)現(xiàn)列車對(duì)地面道岔共享資源的控制，基于LTS形式化方法對(duì)OC信息交互處理機(jī)制和VBTC系統(tǒng)的車地控制機(jī)理進(jìn)行分析，驗(yàn)證其邏輯的合理性和有效性。

1 VBTC系統(tǒng)

1.1 VBTC系統(tǒng)架構(gòu)

VBTC系統(tǒng)分為車載控制系統(tǒng)和地面控制系統(tǒng)。車載控制系統(tǒng)包括：列車自動(dòng)保護(hù)(automatic train protection, ATP)系統(tǒng)、列車自動(dòng)駕駛(automatic train operation, ATO)系統(tǒng)、車載聯(lián)鎖(on-board interlocking, OI)系統(tǒng)、應(yīng)答器讀取器(tag reader)；地面控制系統(tǒng)包括：OC、PM、ATS系統(tǒng)和應(yīng)答器(tag)。數(shù)據(jù)通信系統(tǒng)(digital communication system, DCS)實(shí)現(xiàn)車地系統(tǒng)之間的通信功能，各個(gè)子系統(tǒng)的功能如表1所示。列車根據(jù)ATS系統(tǒng)命令前進(jìn)，實(shí)時(shí)與地面OC通信，ATP系統(tǒng)負(fù)責(zé)列車行進(jìn)安全。OI將列車控制命令傳輸給OC。OC操作軌旁PM，并將PM的狀態(tài)信息傳送給OI，VBTC系統(tǒng)架構(gòu)如圖1所示。

表1 VBTC系統(tǒng)控制子系統(tǒng)的位置及功能

圖1 VBTC系統(tǒng)架構(gòu)

圖2 VBTC系統(tǒng)中車載設(shè)備與地面設(shè)備交互過程

1.2 車地控制機(jī)理

車地控制場(chǎng)景指列車行進(jìn)中，車載設(shè)備指示地面OC轉(zhuǎn)動(dòng)道岔，為列車行進(jìn)辦理進(jìn)路。場(chǎng)景包括車載設(shè)備直接與軌旁O(shè)C進(jìn)行通信控制和ATS系統(tǒng)直接控制軌旁O(shè)C兩種情況。

1.2.1 車載控制PM場(chǎng)景

車載系統(tǒng)的OI定期與OC通信，OC向車載系統(tǒng)定期報(bào)告前進(jìn)進(jìn)路中所有PM的狀態(tài)。PM是共享資源，一次只能供一個(gè)列車占用。為了防止死鎖和控制權(quán)的沖突，車載系統(tǒng)的OI采用以下安全控制算法防護(hù)和控制進(jìn)路共享資源PM，流程如圖2所示。

(1)列車的OI確認(rèn)從OC接收的PM狀態(tài)處于空閑狀態(tài)，發(fā)送密鑰的請(qǐng)求到OC。

(2)OC檢查PM的狀態(tài)，如果PM資源可使用，然后生成唯一密鑰并將其發(fā)送到OI。

(3)OI使用密鑰將PM的轉(zhuǎn)換命令加密后發(fā)送到OC。

(4)OI確認(rèn)PM鎖閉，通過OC控制區(qū)域時(shí)，定期狀態(tài)仍保持與OC通信，直到列車完全通過OC控制區(qū)。

(5)列車完全離開OC控制區(qū)域，OI發(fā)送解鎖密鑰值傳輸?shù)絆C。

(6)OC收到OI的解鎖密鑰后，解鎖PM。

每次車載OI發(fā)出新的請(qǐng)求時(shí)，OC會(huì)生成新的唯一密鑰。密鑰是一個(gè)足夠長(zhǎng)的值，防止密鑰沖突。如果特定PM收到來自多列列車的OI請(qǐng)求，OC僅為其中一個(gè)列車提供密鑰，不允多個(gè)列車同時(shí)占用。

圖3展示了列車通過由三個(gè)OC控制區(qū)域的場(chǎng)景。列車的ATP產(chǎn)生移動(dòng)授權(quán)(move authority, MA)到X點(diǎn)，列車前進(jìn)的進(jìn)路中包含的3個(gè)OC，標(biāo)識(shí)分別為1A、2和3。列車的OI訪問OC以確保標(biāo)識(shí)1A、2和3的PM處于安全鎖閉狀態(tài)，同時(shí)獲得唯一的密鑰。如果有其他列車上的OI或者ATS系統(tǒng)已經(jīng)占用了某個(gè)PM，列車需要等待直到PM狀態(tài)被解除占用。列車在獲得唯一密鑰后將控制相應(yīng)的PM，并結(jié)合電子地圖信息，車載ATP計(jì)算出安全路線。基于安全路線，列車的ATP將MA擴(kuò)展到Y(jié)點(diǎn)。當(dāng)列車順序行駛過1A、2和3的OC控制區(qū)域后，會(huì)給相應(yīng)的OC發(fā)送解鎖命令，相應(yīng)的PM會(huì)按順序解鎖。

圖3 列車OI通過OC控制區(qū)域場(chǎng)景

1.2.2 ATS控制PM場(chǎng)景

如果操作員通過ATS系統(tǒng)直接向OC發(fā)送強(qiáng)制動(dòng)作PM的命令請(qǐng)求，則該請(qǐng)求發(fā)送到路線上所有車輛的OI。如果待轉(zhuǎn)動(dòng)的PM處在列車進(jìn)路中，需要結(jié)合列車位置判斷PM的轉(zhuǎn)動(dòng)時(shí)機(jī)。當(dāng)列車的制動(dòng)距離超過OC控制區(qū)域的1/4時(shí)，ATS系統(tǒng)的強(qiáng)性轉(zhuǎn)動(dòng)PM操作可能發(fā)生脫軌，此時(shí)列車的OI拒絕ATS的PM操作請(qǐng)求，PM保持被列車OI控制的狀態(tài)，直到列車通過OC控制區(qū)，如圖4(a)所示。當(dāng)列車的制動(dòng)距離不超過OC控制區(qū)域的1/4區(qū)域時(shí)，車載OI可以取消進(jìn)路并解鎖PM，將PM的控制權(quán)交給ATS系統(tǒng)，如圖4(b)所示。列車ATP取消進(jìn)路后，列車的MA被縮短至PM前方，如圖4(c)所示。

圖4 ATS操作OC場(chǎng)景

2 車地控制形式化建模

LTS將VBTC系統(tǒng)的車地控制行為描述為一系列過程P組成，過程P可以用四元素描述；S為非空狀態(tài)集合，A為有限的標(biāo)簽集，T為轉(zhuǎn)移關(guān)系，q0是S的初始狀態(tài)。

由VBTC系統(tǒng)的控制PM的場(chǎng)景可以發(fā)現(xiàn)，OC為整個(gè)控制流程的中樞，因此以O(shè)C為研究對(duì)象，建立標(biāo)簽集A如下：

A={ occhkreq,oikeyreq,atskeyreq,occhkpm,pmstlk,sndkey,oisndcmd,atssndcmd,ocsndcmd,pmrot,pmrest,chkatpst,atpok,atpno}

各個(gè)標(biāo)簽的含義如表2所示。LTS建模VBTC系統(tǒng)的車地控制狀態(tài)轉(zhuǎn)移流程S如下：Ti(i=1,2,…,10)為轉(zhuǎn)移分支。

S=T1,

T1=(occhkreq→oikeyreq→T2|

occhkreq→atskeyreq→T2),

T2=(occhkpm→T3|

occhkpm→T4),

T3=(pmstlk→sndlock→T1),

T4=(pmstunlk→sndkey→T5|

pmstunlk→sndkey→T6),

T5=(oisndcmd→T7),

T6=(atssndcmd→T8),

T7=(ocsndcmd→pmrot→pmrest→T8),

T8=(chkatpst→T9|

chkatpst→T10),

T9=(atpok→T7),

T10=(atpno→T3).

表2 VBTC系統(tǒng)車地控制流程的LTS模型

3 實(shí)驗(yàn)分析

圖5為VBTC系統(tǒng)車地控制流程的LTS模型的標(biāo)簽轉(zhuǎn)移過程，VBTC系統(tǒng)的車地控制中存在17個(gè)轉(zhuǎn)移狀態(tài)。圖6為L(zhǎng)TSA軟件對(duì)LTS模型的檢查結(jié)果，結(jié)果表明軟件對(duì)模型的分析時(shí)間為1 ms，模型中不存在死鎖現(xiàn)象，車地控制流程安全可靠。

為了驗(yàn)證LTS方法建模的有效性，將其與人工檢查對(duì)車車通信系統(tǒng)的車地控制流程進(jìn)行分析，以流程死鎖檢查正確率，死鎖檢查時(shí)間為評(píng)價(jià)指標(biāo)進(jìn)行對(duì)比，對(duì)比如表3所示。

表3表明，LTS方法的死鎖檢查率為100%，且建模耗時(shí)較短，效率遠(yuǎn)高于人工檢查。因?yàn)長(zhǎng)TS可以對(duì)并行邏輯可以精準(zhǔn)描述，而人工分析方法對(duì)并行行為會(huì)存在遺漏情況；LTS方法將控制流程采用符號(hào)集的方式直接轉(zhuǎn)換為形式化模型并進(jìn)行計(jì)算機(jī)運(yùn)算，實(shí)現(xiàn)速度很快，而人工測(cè)試方法在編寫案例測(cè)試方面花費(fèi)太多時(shí)間。

表3 LTS模型與人工檢查正確率對(duì)比

圖5 LTSA軟件對(duì)VBTC系統(tǒng)車地控制模型的驗(yàn)證結(jié)果

Composition:DEFAULT=SStateSpace: 17=2??5Analysing...Depth9—States:17Transitions:21Memoryused:14980KNodeadlocks/errorsAnalysedin:1ms

圖6 LTSA軟件檢測(cè)結(jié)果

Fig.6 Detection result by LTSA software

4 結(jié)論

作為一種新的控制系統(tǒng)，VBTC系統(tǒng)為了實(shí)現(xiàn)以列車為控制中心的運(yùn)行方式，使用OC代替CBTC系統(tǒng)中的地面聯(lián)鎖系統(tǒng)，全新的控制流程的改變引入了系統(tǒng)的安全風(fēng)險(xiǎn)。使用唯一密鑰控制方式設(shè)計(jì)OC交互機(jī)制，實(shí)現(xiàn)列車對(duì)線路中道岔共享資源的控制。為了驗(yàn)證設(shè)計(jì)的可靠性，基于LTS形式化方法對(duì)VBTC系統(tǒng)中的車地控制流程進(jìn)行了建模，并使用LTSA軟件對(duì)模型進(jìn)行了快速分析。結(jié)果驗(yàn)證了設(shè)計(jì)的VBTC系統(tǒng)車地控制流程的正確性；與人工分析對(duì)比，LTS建模方法在準(zhǔn)確性和效率上存在明顯的優(yōu)勢(shì)，可以推廣至其他復(fù)雜控制系統(tǒng)的設(shè)計(jì)和驗(yàn)證中。

僅對(duì)VBTC系統(tǒng)的OC和車地控制流程進(jìn)行了理論設(shè)計(jì)和驗(yàn)證，后續(xù)將基于此設(shè)計(jì)，搭建VBTC系統(tǒng)實(shí)物系統(tǒng)，基于VBTC系統(tǒng)車地通信實(shí)驗(yàn)數(shù)據(jù)，優(yōu)化配置VBTC系統(tǒng)中車載設(shè)備、OC等關(guān)鍵設(shè)備的通信參數(shù)，實(shí)現(xiàn)VBTC系統(tǒng)的可靠運(yùn)行。