CTCS3-300T-300T列控車載設備的安全設計技術應用

劉 嶺 牛道恒 張國振 崔俊鋒 高志輝

（北京全路通信信號研究設計院有限公司，北京 100073）

劉嶺，碩士畢業于清華大學，高級工程師，運行控制研究設計院院長。主要研究方向包括CTCS列控車載設備研制、列車運行控制系統安全軟件技術研究、系統設計及安全分析等。負責CTCS列控車載設備自主研制項目，主持完成CTCS3-300T列控車載設備研制。獲2009年度茅以升鐵道工程師獎，2010年詹天佑青年獎，2011年中央企業第一屆五四青年獎章。

列控車載設備是CTCS-3級（簡稱C3）列車運行控制系統中的關鍵子系統之一，擔負著保證列車運行安全的重要作用。CTCS3-300T車載設備根據接收的地面信息及無線信息生成列車速度控制曲線，并與列車實際速度進行比較，監督列車運行，實現列車運行安全防護功能。CTCS3-300T列控車載設備基于成熟硬件平臺，遵循故障導向安全的設計原則，在系統設計、軟件設計、測速測距和列車接口設計中采用了大量安全設計技術，適用于時速300 km/h及以上的高速動車組，目前廣泛應用在武廣、滬寧、滬杭、京滬、哈大等高鐵和客運專線。

1 CTCS3-300T車載設備系統安全設計技術

如果一個系統在內部發生任何故障時，都能將被控對象置于預定的安全側的輸出值，則稱該系統為故障安全系統。實際上絕對故障安全系統是不存在的，只要系統的安全性達到某一規定的標準指標，則可認為該系統是故障安全的。在IEC61508和歐標EN50129中對系統安全性和系統安全完善度等級進行了定義和劃分，系統安全性是指系統免于不可接受的直接或間接導致的物理傷害或人身健康傷害風險[1]。系統安全完整度等級是指系統滿足規定的安全特性需要達到的置信水平[2]。由于列控車載設備是列車運行的安全控制設備，要求具有高安全性并實現故障導向安全，須達到系統安全完整度等級SIL4級的要求，即容忍危險率THR≤10-9h。為實現故障安全系統，在CTCS3-300T列控車載系統設計中采用了多項安全設計技術。

首先，系統設計中采用故障導向安全作為基本設計原則。在系統故障處理中采用故障安全原則，在系統斷電、關鍵硬件故障、系統狀態異常等故障情況下，輸出制動命令控制列車停車以保證安全。在系統應用功能設計中采用故障安全原則，例如在地面關鍵信息缺失的情況下采用安全側的默認值設計，如臨時限速缺失按照最低限制速度值作為默認控制值等。

CTCS3-300T車載設備采用帶有安全輸出單元的分布式總線結構設計，如圖1所示。C3主機單元(ATPCU)和C2主機(C2CU)單元分別負責在C3等級和C2等級運行時的列車自動防護功能；測速測距單元由測速測距處理單元(SDP)、測速測距采集單元（SDU）、速傳和雷達等組成，負責速度和距離數據的處理；BTM應答器傳輸模塊和CAU應答器接收天線，接收和處理地面應答器數據；無線傳輸單元，由COMC、GCD和GSM-R組成負責對處理無線數據安全傳輸的無線通信功能進行加密。系統內部采用安全通信協議，在啟動時進行系統自檢，系統總線主站輪詢同步各個單元，并和各單元采用安全通信協議定期輪詢，進行系統完整性和狀態檢查。系統采用安全看門狗設計，系統中的VDX安全輸入輸出單元負責執行系統對列車緊急制動等的安全輸出，同時VDX安全輸入輸出單元為系統看門狗，周期性收集總線上主站和各關鍵從站單元的生命信號，在檢測到異常時控制輸出列車制動停車指令，以實現故障-安全原則。

300T車載列控車載設備在車地通信傳輸處理中遵循EN50159安全通信規范[3]，采用相關安全設計技術。由于C3系統中車地通信主要通過GSM-R無線通信、應答器信息、軌道電路信息等，車地通信的安全準確性至關重要。300T車載設備在車地應答器通信、無線通信中采用安全通信協議，并采用通信信息有效性檢查等方式確保車載使用正確的地面信息作為控制列車運行的依據。

在300T車載設備DMI人機顯示界面設計中，除考慮人機工程學進行分區布置外，也采用了安全設計技術。包括：在關鍵數據采用冗余顯示方式，如列車速度采用指針表形式和數字形式同時顯示，用于對司機顯示關鍵信息的冗余比較；對于關鍵數據輸入時進行有效性檢查并重復確認，在最大程度上避免司機錯誤輸入；DMI設計包含硬件自檢功能，同時在屏幕設計中有明顯的刷新變化顯示信息，可同時用于司機人工觀察該屏幕信息刷新，輔助確認顯示器工作正常等。

2 測速測距系統安全設計技術

測速測距系統要求能實時、連續、準確地提供測速測距結果作為車載自動防護系統的控車依據。隨著列車運行速度的提高，單一的速度傳感器已很難滿足列車高速條件下對測速可靠性和安全性的要求。

當前在國際上通常采用的列車測速手段[4，5]有GPS、車輪速度傳感器、雷達、陀螺等。GPS容易受到地形影響而產生信號盲區，陀螺存在因為結構復雜而不利于使用和維護的缺點；雷達具有不受車輪空轉和打滑影響的優點，車輪速度傳感器具有不受外界環境和天氣干擾等優點，故CTCS3-300T車載設備中采用車輪速度傳感器與雷達相結合的方式實現列車速度的安全測量，這2種速度傳感器的互補特性為獲得安全可靠的列車速度提供了有效技術支撐。

測速測距系統采用了多路速度傳感器融合技術，通過采用滿足安全原則的多傳感器數據融合算法，實現了列車安全測速和定位的要求。

CTCS3-300T車載設備測速測距系統結構如圖2所示。

多路速度傳感器數據融合采用聯邦卡爾曼濾波器實現，融合過程如圖3所示。

根據聯合卡爾曼濾波理論，列車速度測量系統狀態方程可以表示為:

列車速度測量系統由4個速度傳感器子系統構成，各個速度傳感器子系統獨立進行速度量測，因而可以獲得4組速度量測值。對于其中第i個速度傳感器子系統，由式（1）可知該速度傳感器子系統的狀態方程和量測方程分別為

由于聯合卡爾曼濾波是一種分散濾波方法，由主濾波器向各子濾波器動態劃分初始條件信息、動態噪聲信息和公共觀測信息。

信息分配因子bi滿足信息守恒，b1+b2+b3+b4=1，0≤bi≤ 1。

為提高系統的可用性，滿足當部分速度傳感器發生故障后系統仍然能繼續安全控車的要求，系統選用無復位式原則[6]確定bi，使系統具有較強的容錯能力。同時，在多路速度傳感器數據融合決策過程中，還充分考慮了列控系統安全控車的需求。

在融合雷達和車輪速度傳感器輸出得出列車速度的基礎上，通過積分運算可計算出列車的走行距離，同時根據地面布置的點式應答器位置及應答器的鏈信息，實現對列車位置的校正，從而實現列車的安全定位功能。

列控車載設備對高速列車進行速度和位置防護時，還需要考慮測速測距誤差的影響。CTCS3-300T車載設備測速測距系統綜合考慮各測速傳感器的固有精度、列車輪徑值測量精度、有效傳感器的數量、傳感器信號的統計特性等信息，實現了測速測距誤差范圍即置信區間的動態計算。系統通過融合計算出的標稱速度值記為Vnom，考慮誤差后的最小速度記為Vmin，考慮誤差后的最大速度記為Vmax，則[Vmin,Vmax]即為速度值的置信區間。

由于列車的安全制動通常為緊急制動，在針對緊急制動干預曲線（EBI）進行監控時，CTCS3-300T車載設備采用最大速度作為監控速度，以防止因測速誤差導致的超速或越過危險點風險；對于常用制動干預曲線（SBI）則采用標稱速度進行監控，如圖4所示。這樣即保證了系統的高安全性，也兼顧了系統的可用性。

3 車載設備軟件安全設計技術

隨著計算機應用的不斷發展，現代軌道交通的列車運行控制系統已經從軌道電路、機車信號等設備的簡單組合逐漸向融合了應答器、軌道電路、機車信號、無線閉塞中心、測速測距等多種信息的一體化綜合自動控制系統。在運輸效率大幅提升的同時，列控車載設備軟件的功能增多，軟件規模急劇擴大，軟件結構也越來越復雜，使得車載軟件出現錯誤的概率越來越高，因此如何提高車載設備軟件的安全性，保證軟件設計的正確性，實現車載軟件的高可信性是車載系統研究的關鍵內容之一。

為了提高車載設備軟件安全性，目前采用管理和技術兩種手段。在管理手段上，國際上已有規范如IEC61508、EN50128，軟件開發過程中通過采用軟件設計、驗證、測試（白盒測試、黑盒測試、集成測試等）、維護等一系列手段，來保證系統安全；技術手段上采用各種軟件危險性分析方法，SFMEA(軟件故障模式影響分析)、SFTA(軟件故障樹分析)和危險源及可運行性研究(HAZOP)等；對于軟件需求和說明采用Z語言、有限狀態機、Petri網等；另外目前廣泛采用多版本軟件開發比較與驗證、異常防護、CPU與內存檢測等方法，并使用經過驗證與評估的安全操作系統、編譯鏈接器等。

3.1 CTCS3-300T車載設備安全軟件開發流程技術

CTCS3-300T車載設備安全軟件緊密結合系統設計，遵循“故障導向安全”理念，安全軟件完整性級別達到SIL4級要求。按照EN50128等業界廣泛采用的鐵路軟件開發流程，采用V&V軟件開發全生命周期開發模型，如圖5所示。安全軟件系統開發、需求規格、結構設計、模塊設計等各個開發階段同步進行的驗證和確認活動，該模型中強調測試伴隨著整個軟件開發周期，測試的對象包括程序、需求、設計等，即測試與開發同步進行。

在300T車載設備安全軟件設計過程中，采用SFMEA方法，分析軟件失效的逐級傳播途徑和影響范圍，并對危害性進行分級，識別軟件的關鍵部分和薄弱環節，并分析得到的容錯和異常處理措施，并對措施的有效性進行分析評價。

CTCS3-300T車載軟件同時在系統級和模塊級進行了SFMEA分析，系統級的SFMEA主要是對需求和概要設計進行評價，而模塊級的SFMEA則深入到模塊內部，評價的對象是已經編程的代碼或者偽代碼。在SFMEA分析中，首先需要識別失效模式，重點考慮軟件不能完成預定功能的失效表現形式，接著分析失效的影響及如何在系統內傳播，并確定失效的嚴重程度，然后分析控制措施，分析失效的可能性及可檢測性，根據下列公式進行危害性分析。

風險影響數PEN=S×O×D，其中S為嚴重程度，O標識發生可能性，D表示檢測度。

經過小組討論確定PEN的臨界值，如果PEN大于臨界值，則認為存在安全風險，重點進行控制和解決。最后對控制措施的落實進行跟蹤管理，并評估解決后的實施效果，如此遞歸推進，直到軟件的安全達到可接受的水平。

3.2 CTCS3-300T車載設備安全軟件設計方法

300T車載設備在通過SIL認證的成熟軟件底層平臺上進行安全軟件設計，綜合使用了A/B雙代碼開發技術、內存與CPU檢測、任務監控安全通信、Token機制等多種安全軟件設計技術，確保車載設計軟件的安全性達到SIL4要求。

A/B雙代碼開發技術（A/B Code），即對所有的安全變量，在內存中采用bit取反的格式進行存儲和運算；對安全相關的算法與核心控制邏輯，分別由不同的開發人員設計實現，進行背對背開發，并在軟件模塊級別上設置若干關鍵變量比較點，一旦發現不一致則導向安全側。A/B雙代碼軟件的程序控制流如圖6所示。

內存與CPU檢測（MCT）技術，在CPU資源空閑時，根據300T車載平臺處理器的分析，對CPU的寄存器、加法器和指令集進行循環測試，采用改進型的March算法對內存的地址線、數據線和存儲部件進行檢測。

任務監控（Task Supervision）技術，對于執行安全相關邏輯處理的關鍵任務，對任務的調度時間進行持續監控，如果任務執行的時間超過預先設定的時間長度，則立即導向安全側。

安全通信（Safe Communiction）技術，對于車載設備各個單元之間的數據通訊，使用安全通信協議，綜合A/B雙代碼與CRC校驗等手段，保證總線數據傳輸的正確性。車載設備作為移動體，運行環境較惡劣，易于受到電磁干擾，因此對總線異常數據應該設定一定的容忍值，在容忍范圍內丟棄異常數據，使用上次的有效數據，如果異常數據超過容忍值，則故障導向安全。

Token技術，為防止異常的程序流，安全的函數實現中，某個特定的token值作為輸入，對不同的程序執行路徑對token進行bit取反和累加/累減操作，保證函數的返回值與輸入值是bit取反的。當調用該函數時，對輸入和輸出的token進行比較，一旦程序流出現錯誤，兩者不能滿足bit取反的判斷，從而發現異常而提高了安全性。

通過采用上述多種提高軟件安全性的技術，CTCS3-300T車載軟件對系統運行中的信息錯誤、指令錯誤、地址錯誤、異常的程序流、應用邏輯異常等進行防范，且對每種異常都存在兩種或兩種以上的檢測和處理方法，具體見表1。

另外CTCS3-300T車載安全軟件設計中，在軟件編譯鏈接器、操作系統功能函數、編碼規范等方面都進行了驗證確認，同時使用了C和C++兩種編程語言，提高軟件的異構性，進一步提高了車載軟件的安全性。

表1 CTCS3-300T車載設備安全軟件對不同故障類型的對策表

4 列車接口安全設計技術

CTCS3-300T列控車載設備與列車接口設計中采用的主要安全技術和機制包括：使用安全繼電器及失電輸出制動邏輯、安全信號輸出回采檢測機制、正反邏輯輸出控制安全輸出機制、采用高電壓有效輸入輸出單元DX與低電壓有效輸入單元DI的可靠采集機制、完善的制動檢測機制和FMECA分析等。

4.1 安全繼電器

安全繼電器有以下特性：

1）不可能發生一組接點連接前接點，其他組接點連接后接點的故障；

2）安全繼電器前、后接點不可能發生短接故障。

根據安全繼電器特性，在系統安全輸出上采用了4組接點的安全性繼電器與列車接口電路實現了電氣隔離，有效的提高了系統的安全性。

4.2 安全信號輸出回采檢測機制

通過一個安全輸入輸出單元VDX1輸出控制一個安全繼電器，同時通過另一個獨立的安全輸入輸出單元VDX2回采該繼電器的狀態（連接示意如圖7所示），如系統對比VDX1的輸出指令與VDX2回采狀態不一致則系統輸出制動并進入故障模式，確保安全。

4.3 正、反邏輯輸出控制安全輸出機制

通過VDX輸出高電平控制安全繼電器EB1吸起或輸出低電平控制安全繼電器EB2落下來斷開列車接口回路，連接示意如圖8所示，通過正、反邏輯輸出控制安全輸出可有效地避免系統因故障發生輸出異常時不能導向安全側的風險。

4.4 DX/DI可靠采集機制

DX單元為高電壓有效輸入輸出單元，當檢測到輸入高電平時對應信號為1；

DI單元為低電壓有效輸入單元，當檢測到輸入低電平時對應信號為1；

通過DX單元采集一個信號的正邏輯電平，同時DI單元采集該信號的反邏輯電平，系統只有檢測到DX和DI采集到的信號互為相反時才判斷為有效的輸入信號，這種機制可避免由于布線或混電導致信號發生異常的問題。

4.5 完善的制動檢測機制

制動測試總共包含13個步驟，通過組合測試的方式測試了緊急制動和RTW故障反應輸出至安全繼電器以及輸出至車輛。

4.6 FMECA分析

在列車接口設計過程中采用了FMECA（故障模式影響及危害度分析）方法對列車接口電路進行分析，有效的提高了系統質量和可靠性水平，使其滿足系統安全性需求。

5 結語

CTCS3-300T型車載設備在基于成熟安全平臺進行設計的前提下，在系統構架設計、關鍵單元設計、軟件設計及接口設計中綜合運用了各種安全設計技術，使設備達到了SIL4安全完整度等級的要求，并通過了國際第三方獨立評估機構的安全評估認證。后續對系統THR指標分解、故障樹分析及FMECA分析等方面進行更全面、系統的闡述是論文未來的研究方向。

[1] IEC61508, Functional safety of electrical/electronic/programmable electronic safety-related systems[S]. 1997.

[2] EN50128, Railway applications-Communications, signalling and processing systems-Software for railway control and protection systems[S]. 2001.

[3] Railway applications-Communication, signalling and processing systems-Safety related electronic systems for signalling[S]. 2003.

[4] LUO R E, YIH C, SU K L. Multisensor Fusion and Integration: Approaches, Applications, and Future Research Directions[J]. IEEE Sensors Journal,2002, 2(2):107-119.

[5]楊萬海. 多速度傳感器數據融合及其應用[M].西安: 西安電子科技大學出版社，2004.

[6]譚德榮，張莉，王艷陽．基于自適應卡爾曼濾波的輪速信號處理技術．汽車工程，2009， 31(6):533-578.