高安全高可靠測速測距系統的設計與實現

陳文賽

（南京恩瑞特實業有限公司，211106，南京∥高級工程師）

車載列車自動防護系統是CBTC（基于通信的列車控制）系統的核心安全子系統之一，控制列車安全可靠地運行。通過檢測傳感器的數據，獲得列車當前的運行速度、運行距離以及在線路上某些點的絕對位置等數據信息，從而定位列車和實時計算列車當前位置的安全限速，以實施超速防護，保證列車安全運行。測速測距系統實時地為車載列車自動防護系統提供列車的運行速度、距離、運行方向、空轉打滑等信息，是車載列車自動防護系統的重要組成部分，其高可靠性、高安全性是實現車載列車自動防護系統功能和性能的基礎。隨著無人自動駕駛系統的應用，對測速測距系統的安全性和可靠性提出了更高的要求。

測速測距系統通常使用輪軸轉速計（OPG）、多普勒測速雷達、加速度計等傳感器，通過結合各傳感器的優缺點，采用多路傳感器異構融合的測量方式［1-3］，實時采集列車的運行速度和運行距離等數據信息。

本文介紹的測速測距系統主要采用2路OPG，實現高精度的測速測距。同時融合雷達傳感器信息，消除由于車輪發生空轉打滑產生的測量誤差。對于測距和定位需求，則在2路OPG和1路測速雷達多傳感器融合的基礎上，增加與車載應答器接收單元（BTM）的融合；利用OPG和測速雷達的數據融合計算距離，同時根據線路數據信息，通過應答器進行位置修正，以減少距離計算的累積誤差［4］。

1 測速測距系統的安全性設計

測速測距系統的開發遵循了城市軌道交通行業普遍使用的V&V（驗證和確認）全生命周期開發模型。在系統定義、需求分析、架構和模塊設計等階段進行同步的驗證和確認工作；采用SCADE（基于模型驅動的安全開發驗證平臺）工具進行系統的設計和驗證；使用白盒、黑盒和集成測試等方法進行全過程測試；系統風險采用故障樹（FTA）、故障模式影響分析（FMECA）、危險及可操作性分析（HAZOP）等方法進行分析。

測速測距系統采用異常防護、CPU與內存檢測等方法，對運行中的信息錯誤、地址錯誤、應用邏輯異常等情況進行防范。由于車載設備運行環境惡劣，容易受到電磁干擾，采用時間戳與CRC（循環檢驗碼）校驗等手段，保證傳感器、MVU（測速測距單元）、MPU（主處理板）各個接口之間數據傳輸的正確性；同時對通信異常設定了容忍時間，在容忍范圍內丟棄異常數據。如果異常數據超過容忍值，則視為通信故障。

測速測距系統由2塊互為熱備的MVU組成，每塊MVU上有3路相同的控制模塊（處理器采用DSP（數字信號處理器）），分別與車載列車自動防護系統的三取二安全計算機平臺的3塊MPU通信［5］。MVU與MPU之間采用基于同步脈沖的緊同步策略，MVU上的3個DSP采用獨立時鐘，并進行任務級同步，進一步保證了系統的安全性和可用性。

測速測距系統對傳感器數據進行融合時遵循“故障導向安全”原則，系統三路控制單元分別實時采集和計算各傳感器的數據，判斷當前數據是否在置信區間內，從而確定傳感器是否有異常值；若有持續異常值，則判斷此傳感器數據故障，并置位此傳感器狀態位故障，不再使用此故障傳感器的數據。若某一控制單元判斷2路及以上傳感器數據故障，則置此控制單元故障。若存在2路及以上控制單元故障，則置此MVU故障。

2 可靠性設計

2.1 架構可靠性

通常，安全系統采用的結構主要有表決結構、并聯結構或表決與并聯結構。目前，軌道交通信號系統多使用二取二、三取二、二乘二取二等幾種冗余架構。［6］

分別計算出二取二、三取二、二乘二取二、二乘三取二熱備的可靠性。假設各單元模塊故障服從指數分布，通過MATLAB仿真軟件得到幾個架構的可靠度曲線［7-8］，如圖1所示。

圖1 架構可靠性比較

通過上述仿真分析可以發現，在系統運行的各個時刻，本系統采用的二乘三取二架構具有最高的可靠度，即其可靠性最高。

2.2 避錯容錯處理

運行環境變化、硬件故障、電磁干擾和軟件中的隱藏錯誤均會產生系統故障，從而降低可靠性。其中，運行環境變化可通過硬件設計、元器件質量控制等技術避錯，硬件故障、電磁干擾和軟件錯誤則可通過故障檢測、故障屏蔽及故障恢復等軟件技術進行容錯處理。本測速測距系統采用2個MVU備份冗余、單個MVU采用三取二、單路DSP采集3路傳感器并進行融合和容錯處理。

3 測速測距功能實現

3.1 系統功能設計

MVU采用TMS320F2812處理器，實現對各傳感器數據的采集、處理及融合，并將處理后的數據報告給主控單元。內置時間處理模塊，實時檢測輸入的2路正交編碼脈沖。若時間處理模塊采集到2路脈沖的上升沿和下降沿后，產生中斷，即可得到單個脈沖的走行時間，從而得到此時列車速度；同時QEP（正交編碼電路）通過解碼邏輯判斷超前的相位以確定列車的運行方向。列車輪對轉1圈速度傳感器輸出N個脈沖，輪對的直徑為D，在時間t內采集的脈沖數為n，則當前OPG采集的速度為vopg=。

測速雷達采用多普勒測速，數據通過RS485總線發送給MVU，多普勒頻率差為fd，測速雷達發射波的波長為λ，測速雷達視線與地面的夾角為θ，則測速雷達的采集速度為vradar=。

在軌道上每隔一定距離安放一個應答器，BTM（車載應答器接收單元）讀取地面應答器數據，并將有效數據發送給MVU，其與MVU采用RS422總線進行通信。

MVU通過對OPG和測速雷達采集的數據進行積分，得到列車的走行距離，同時根據地面上布置的應答器和存儲的地圖信息，比較列車走行距離和線路數據，判斷定位的有效性，并更新列車的位置，從而實現列車的安全定位。

3.2 傳感器融合處理

傳感器在采集過程中由于各種干擾會采集一些錯誤數據，需要對其采集的數據進行濾波處理，并結合各傳感器特點，采用合理的融合方式得到測速測距結果。圖2為MVU數據流示意圖。

圖2MVU數據流示意圖

MVU應用周期為100 ms，對采集的各傳感器數據進行計算、處理、融合。其中OPG數據和測速雷達數據每10 ms采集一次，則OPG和測速雷達每周期內有10組數據，根據上周期速度和加速度預測本周起速度范圍，對10組數據進行可信判斷，去除置信區間外的數據，提高數據的可靠性，并得到本周期此傳感器的原始速度、距離、方向等信息。

OPG和測速雷達的原始數據進過濾波后，對置信區間內的數據進行處理。考慮列車的慣性，OPG和測速雷達的速度計算公式如下：

式中：

vOPG1——OPG1實時計算的速度；

vc1——本周期OPG1采集的速度；

A1——OPG1加速度；

T——MVU處理周期；

β11、β12、β13——系數，β11+β12+β13=1；

vOPG2——OPG2實時計算的速度；

vc2——本周期OPG2采集的速度；

A2——OPG2加速度；

β21、β22、β23——系數，β21+β22+β23=1；

vradar——測速雷達實時計算的速度；

vc——為本周期測速雷達采集的速度；

A3——測速雷達加速度；

β31、β32、β33——系數，β31+β32+β33=1；

v——計算列車速度；

γ0、γ1、γ2、γ3——系數，γ0+γ1+γ2+γ3=1；

k——第k個計算周期。

各參數選取與傳感器性能、測速誤差、數據可信度等相關。

3.3 系統故障處理

（1）系統故障。分為單點故障和共模故障。單點故障為單個單元故障，如系統中某個模塊的元器件故障，不影響其他模塊工作。本系統采取二乘三取二架構，單點故障不影響其他幾個單元，系統仍可正常工作。共模故障指單個原因引起的系統多個單元發生故障模式相同的失效，且各失效之間沒有因果關系，一般由設計、環境、人為因素等造成，如電磁干擾會造成OPG采集產生尖峰脈沖、水面造成雷達測速無效等。系統采用多傳感器融合方式，實時檢測各傳感器狀態，若單個傳感器采集故障，可利用其它傳感器進行測速測距。對于環境和人為因素，系統采用電磁屏蔽、各DSP獨立設置運行時鐘異步運行采用任務級同步等手段來防護共模故障。

（2）測速雷達故障。根據測速雷達報文判斷是否存在通信異常、無有效數據、無有效方向等故障，并根據列車運行趨勢判斷數據是否合理。在低速情況下，鑒于其采用的多普勒原理，此時雷達測量的數據誤差較大，在此情況下視為故障，不采用此數據。

（3）OPG故障。對于OPG，根據列車運行趨勢和有效測速雷達數據判斷其是否存在尖脈沖干擾、空轉打滑、鎖定、速度距離計算不一致等異常情況，并在合理范圍內進行異常處理、濾波。

（4）BTM故障。對于BTM，根據BTM報文判斷是否存在通信異常、BTM狀態錯誤、版本號錯誤等故障，并根據地圖信息判斷BTM返回數據的可信性。

（5）數據融合。對于經過異常判斷的傳感器采集數據，每周期進行速度融合時，判斷兩兩之間速度差是否在合理范圍內，對不合理數據進行標記，若連續錯誤則視為此傳感器故障。方向融合時，判斷是否有傳感器方向不合理，并進行標記，連續錯誤則視為傳感器故障。距離融合時，若2路OPG正常運行，對于2路OPG采集的距離進行比較，若這2路相差過大，分別與雷達速度積分的距離進行比較，若合理則采用本OPG數據，否則認為數據采集故障。

（6）DSP故障。3路DSP分別計算完數據后，向其他2路發送計算后的數據。3路DSP數據進行容差處理，判斷數據是否合理，并對不合理的DSP進行標記。若連續故障，則判斷此路DSP故障。

3.4 SCADE開發

本系統針對測速測距模塊采用SCADE進行設計實現。SCADE是基于模型驅動的安全開發驗證平臺，過程覆蓋從需求到代碼實現的整個生命周

期［9-10］。

（1）SCADE建模。本系統采用數據流圖和安全狀態機2種方式進行建模，對建立的模型采用SACDE用semantic checker進行靜態分析。代碼生成采用KCG生成器，已通過SIL4安全認證，滿足測速測距系統的安全需求，可直接嵌入至系統中。本系統對傳感器數據處理、融合、空轉打滑處理、定位處理等安全功能采用SCADE進行建模。圖3為OPG處理SCADE狀態圖。

圖3OPG處理SCADE狀態圖

（2）形式化驗證。Design Verifier是根據一定的機制遍歷SCADE模型的所有輸入，判斷系統是否滿足預先設定的安全條件。測試案例不能保證模型在安全上的正確性，而Design Verifier具有安全驗證完整性。通過設置系統指定的安全屬性，驗證模型是否滿足此屬性。若模型安全，驗證器輸出安全證明，否則輸出一個反例警告。其驗證公式為：{輸入}{模型}{輸出}{安全需求功能斷言}{安全例證}。例如：對于三取二模塊，3路DSP采集的數據可能存在一定的誤差，但是誤差應在一個比較小的閾值范圍內。若某路速度計算與其他2路速度相差過大，則認為此DSP數據計算錯誤，置為故障。其需要滿足的安全需求為：若某路DSP數據與其他2路計算數據相差在閾值范圍之外，則此路DSP置為故障。將此功能需求加入驗證模型中進行驗證，其結果為有效。

（3）覆蓋率測試。為提高系統的功能安全，采用MC/DC（Modified Condition/Decision Coverage）方法進行結構覆蓋率分析，可滿足歐洲標準EN 50128對單元測試覆蓋率（同時使用分支和組合條件覆蓋）的要求。MC/DC是滿足全局的準則，針對每一個布爾表達式。定位功能覆蓋率分析如圖4所示。

3.5 系統實現

經過對測速測距系統板卡的器件進行可靠性分析，單塊MVU板的失效率為9.003 16×10-6，可靠性為12.679 46（年）；2塊MVU板熱備后，本測速測距系統的可靠性為58 699.608 8（年）。

系統在硬件和軟件均按照安全相關標準進行安全性設計，已通過SIL4級安全認證。哈爾濱軌道交通3號線空轉打滑處理結果如圖4所示。

圖4 哈爾濱軌道交通3號線空轉打滑處理結果

4 結語

安全性設計和可靠性設計是決定測速測距系統性能的關鍵環節。相對目前主流的三取二、二乘二取二冗余結構，本測速測距系統采用二乘三取二結構，在可靠性和安全性指標上具有更明顯的優勢。同時采用多傳感器異構融合的測速測距算法，使系統能適應各種運行場景。

該測速測距系統在架構設計、模塊設計、接口設計中綜合運用了多種安全設計技術、故障處理，使本系統達到了SIL4的要求，通過了第三方獨立評估機構的安全認證，并在哈爾濱軌道交通3號線一期工程中得到成功應用。

［1］ 周達天.基于多傳感器信息融合的列車定位方法研究［D］.北京：北京交通大學，2007.

［2］ 劉江，蔡伯根，王劍，等.基于灰色理論的列車組合定位輪徑校準方法研究［J］.鐵道學報，2011，33（5）：54.

［3］ 蔡煊，王長林，林穎.基于輪軸速度傳感器和加速度傳感器的混合測速測距算法研究［J］.城市軌道交通研究，2015，18（3）：32.

［4］ 牛道恒，劉嶺，崔俊鋒，等.高速列車測速測距系統濾波模型與融合策略研究［J］鐵路通信信號工程技術，2011，8（4）：8.

［5］陳文賽.一種高可靠、高安全性系統——三取二計算機系統［J］.現代雷達，2004，26（6）：19.

［6］ 王悉，馬連川，袁彬彬.2取2乘2安全計算機平臺的設計與實現［J］.都市快軌交通，2011，24（4）：17.

［7］ 高繼祥，鄭俊杰.雙機熱備計算機聯鎖系統可靠性與安全性指標分析［J］北方交通大學學報.1998，22（5）：73.

［8］ 馬連川，穆建成.四模冗余結構在鐵路信號控制系統中的應用［J］.蘭州交通大學學報（自然科學版）.2005，24（3）：106.

［9］李俊杰.基于SCADE的定位系統設計及驗證［D］.四川：西南交通大學，2014.

［10］張路.基于SCADE的CBTC區域控制器軟件開發［D］.北京：北京交通大學，2010.