馬 龍，李坤妃，于振宇，步 兵

（北京交通大學(xué) 電子信息工程學(xué)院，北京 100044）

在城市軌道交通中，列車駕駛的自動化水平已經(jīng)從最初的完全由司機手動駕駛發(fā)展到了車載設(shè)備自動駕駛?；谕ㄐ诺牧熊囘\行控制（CBTC）系統(tǒng)（CBTC）作為一項成熟的先進技術(shù)廣泛應(yīng)用在城市軌道交通行業(yè)中。近幾年來，具備GoA4等級的全自動無人駕駛技術(shù)已在巴黎14號線、北京機場線、上海10號線等應(yīng)用。 全自動無人駕駛（FAO）系統(tǒng)的顯著特點是車載設(shè)備自動完成列車的駕駛和管理。相比于CBTC系統(tǒng)，F(xiàn)AO系統(tǒng)的冗余度、可靠性以及健壯性更高，控制管理更加集中，能有效地控制安全風(fēng)險，提高運營效率，降低運營成本，確保地鐵的安全運行。

1 GoA4等級和ATO功能需求

1.1 GoA4等級

ATO的自動化等級[1]（Grade of Automation，GoA），從司機手動操作模式的GoA0到全自動駕駛模式的GoA4。具體分為5級，其中GoA4所具備的功能如下：在GoA4中，列車上不再需要運營人員（包括司機），這并不意味著FAO系統(tǒng)完全取代了司機或巡視人員，而是將他們的部分職責(zé)轉(zhuǎn)移到了OCC運營人員和維護人員。列車的正線運營以及在車輛段內(nèi)的作業(yè)都可以自動完成。系統(tǒng)具備檢測、管理危險情況和緊急狀況的功能，但是一些危險情況或緊急狀況需要工作人員的參與，例如煙火報警。

1.2 ATO的功能需求

FAO系統(tǒng)達到了GoA4等級。對于FAO系統(tǒng)，ATO必須具備GoA4等級的功能。ATO執(zhí)行列車駕駛及列車管理（由喚醒/休眠模塊完成動力系統(tǒng)和車載設(shè)備的開啟與關(guān)閉；休眠時，只保留用于喚醒功能的車載設(shè)備工作），駕駛員的其它任務(wù)可由FAO其他子系統(tǒng)完成。例如，乘客服務(wù)可由PIS與CCTV系統(tǒng)完成，運營日志由ATS生成。故障信息（包括列車故障信息及車載ATO設(shè)備故障信息）應(yīng)由ATO向運營中心（OCC）匯報，并處理。緊急情況事件需要做出處理機制。

2 ATO樣機設(shè)計

2.1 RM48安全芯片

RM48L950 是高性能微控制器產(chǎn)品，用于安全系統(tǒng)，達到了IEC61508 SIL-3安全標(biāo)準的要求。安全架構(gòu)包括：（1）以鎖步模式運行的雙核CPU；（2）CPU和存儲器內(nèi)置自檢 （BIST） 邏輯；（3）在閃存和數(shù)據(jù) SRAM 上均采用 ECC；（4）在外設(shè)RAM、雙通道模數(shù)轉(zhuǎn)換器（ADC）、定時器、電壓、時鐘上采用奇偶校驗，提高了芯片的故障覆蓋率；（5）外設(shè)IO上的環(huán)回功能；（6）錯誤信令模塊 （ESM） 監(jiān)控設(shè)備錯誤，并且在檢測到故障時，根據(jù)故障的嚴重性確定是否觸發(fā)外部錯誤引腳或CPU中斷。

采用兩個ARM Cortex-R4F CPU內(nèi)核[2]，提供1.6 DMIPS/MHz，配置運行在 200 MHz、320 DMIPS的條件下。在CPU比較模塊中（CCM）比較輸出信號。為了避免互相影響，兩個CPU的輸出信號采用不同的延遲方式，如圖1所示。

圖1 CPU框架圖

RM48安全芯片支持基于圖形用戶界面的編碼生成工具（HALCoGen）[5]。它具備高抽象化水平的用戶輸入，圖形化的編碼生成，便于設(shè)置、快速啟動新項目，支持CCS、IAR、KEIL軟件。這些工具在很大程度上提高了嵌入式軟件的可靠性編程。

2.2 ATO樣機結(jié)構(gòu)

基于RM48微控制器高安全性，采用冗余技術(shù)可以提高系統(tǒng)的可靠性與安全性。在文獻[3]中，IEC 61508標(biāo)準推薦5種系統(tǒng)結(jié)構(gòu)，其中1oo2D和2oo3結(jié)構(gòu)性能非常接近，是性能最高的兩個，而且1oo2D結(jié)構(gòu)只需要兩個通道，結(jié)合RM48芯片的高安全性， FAO的 ATO設(shè)計為雙機熱備結(jié)構(gòu)。系統(tǒng)的框架圖如圖2所示。

圖2 ATO樣機框架圖

ATO雙機熱備結(jié)構(gòu)由兩個通道并行組成，它們執(zhí)行相同的程序，通過CAN總線輸出到控制器，控制器選擇一個通道的數(shù)據(jù)輸出。系統(tǒng)中ATO_A模塊和ATO_B模塊具有獨立的時鐘同步周期，并且在程序的執(zhí)行中，相互獨立、具有相同的執(zhí)行進度。系統(tǒng)設(shè)計時默認ATO_A是工作模塊，ATO_B是熱備模塊。當(dāng)RM48 的ESM檢測到故障時，根據(jù)故障的嚴重性確定是否觸發(fā)外部錯誤引腳或CPU中斷，同時向控制器發(fā)送切換信號，切換到另一個通道輸出。

例如：ATO_A檢測到自身的故障后，系統(tǒng)將切換到ATO_B的輸出，直至ATO_B也故障而系統(tǒng)停止工作；當(dāng)ATO_B檢測到自身的故障后，系統(tǒng)將ATO_B及其輸出數(shù)據(jù)隔離，由ATO_A繼續(xù)工作，直至ATO_A也故障，系統(tǒng)不再切換，直至系統(tǒng)停止工作。

2.3 系統(tǒng)可靠性分析

RM48芯片可借助于代碼生成器工具（HALCoGen），實現(xiàn)對嵌入式軟件的可靠性編程。同時，RM48芯片滿足IEC 61508 SIL3安全完善等級（可知其每小時安全失效概率為10-8～10-7）。設(shè)每個模塊的失效率為常數(shù)λ，為嚴格驗證取其上限λ=10-7/h，故障覆蓋率為c，某一時刻只有1個模塊發(fā)生失效。系統(tǒng)開始工作時，處于完好狀態(tài)，即模塊均正常工作。熱備冗余系統(tǒng)的馬爾科夫狀態(tài)轉(zhuǎn)移圖如圖3所示。

馬爾科夫模型狀態(tài)可描述為[4]：（1）狀態(tài)0表示系統(tǒng)無故障，系統(tǒng)正常工作；（2）狀態(tài)1表示其中一個模塊出現(xiàn)可測性故障，并且故障被檢測出來，系統(tǒng)處于安全狀態(tài)；（3）狀態(tài)2表示兩個模塊都出現(xiàn)可測性故障，系統(tǒng)停止工作；（4）狀態(tài)3表示ATO_A正常， ATO_B出現(xiàn)不可測故障；（5）狀態(tài)4表示ATO_A出現(xiàn)不可測故障，無法進行切換，系統(tǒng)處于非故障安全狀態(tài)。

圖3 馬爾科夫狀態(tài)轉(zhuǎn)移圖

某模塊在時刻t正常工作而在t+Δt失效的概率是p=1-e-λΔt。對于很小的Δt，該式可以簡化為：

若該模塊出現(xiàn)可測故障則為λΔt，若模塊出現(xiàn)不可測故障為（1-c）λΔt。根據(jù)狀態(tài)圖，可列出離散時間的馬爾科夫方程組如下：

對于微分方程組，其初始條件為t=0時，模塊均完好，故有：P0(0)=1、P1(0)=0、P2(0)=0、P3(0)=0、P4(0)=0求解微分方程組，得到系統(tǒng)的可靠度為：

為了更直觀的分析雙機熱備ATO和單機ATO，在一段時間（0～10 000 h）內(nèi)對雙機熱備ATO和單機ATO的可靠性進行仿真分析，結(jié)果如圖4所示。隨著故障覆蓋率c的增大，雙機熱備ATO系統(tǒng)的可靠性也顯著增加，由于RM48芯片獨特的安全結(jié)構(gòu)，使得故障覆蓋率也較高。在c=0.95時，系統(tǒng)工作10 000 h后，可靠性仍能達到0.999 9以上。尤其在長時間運行下，雙機熱備ATO的可靠度比單機ATO有明顯優(yōu)勢。

圖4 雙機熱備ATO、單機ATO可靠度的比較

如果故障覆蓋率是理想的，即當(dāng)c=1時，R(t)＝2● exp(-λt) - exp(-2λt)，這時雙機熱備ATO系統(tǒng)的可靠度等于兩模塊并聯(lián)系統(tǒng)的可靠度。當(dāng)c＝0時，R(t)＝exp(-λt)，此時由于ATO_A出現(xiàn)故障就會導(dǎo)致系統(tǒng)失效，所以雙機熱備系統(tǒng)的可靠度等于單機ATO的可靠度。當(dāng)0

3 結(jié)束語

全自動無人駕駛達到了GoA4，可以降低人為失誤帶來的安全風(fēng)險，提高全線列車的運營精度，降低成本。采用雙機熱備結(jié)構(gòu)的ATO樣機，具備高診斷覆蓋范圍，可滿足系統(tǒng)硬件高可靠性要求。HALCoGen工具的使用，可實現(xiàn)對嵌入式軟件的可靠性編程，同時提高系統(tǒng)的可靠性。

[1]IEC 62290-1, Railway applications-Urban guided transport management and command /control systems - Part 1: System principles and fundamental concepts[S]．Acceed June 2011.

[2]TEXAS INSTRUMENTS—RM48 16/32-bit RISC Flash Microcontroller Technical Reference Manual[EB/OL]．2011.

[3]馬連川，高倍力．一種高安全、容錯控制計算機的設(shè)計與實現(xiàn) [J]．中國安全科學(xué)學(xué)報，2004，14（8）：101-105.

[4]高繼祥，鄭俊杰．雙機熱備計算機聯(lián)鎖系統(tǒng)可靠性與安全性指標(biāo)分析 [J].北京交通大學(xué)學(xué)報，1998，22（5）：73-77.

[5]TEXAS INSTRUMENTS—HerculesTM安全微控制器[C/OL]. 2011.