魯秋子，徐田華，唐 濤

（北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044）

混雜系統(tǒng)主動容錯架構在車載設備的應用研究

魯秋子，徐田華，唐 濤

（北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044）

文章提出了一個針對于混雜系統(tǒng)的主動容錯架構。通過對混雜系統(tǒng)的模型抽象，實現(xiàn)混雜系統(tǒng)到離散事件系統(tǒng)的轉化。根據(jù)離散事件系統(tǒng)的允許事件軌跡計算其安全可控事件集合，進而合成主動容錯監(jiān)控器，實現(xiàn)混雜系統(tǒng)的主動容錯控制。最后，以列車運行控制系統(tǒng)車載設備為例，實現(xiàn)列控系統(tǒng)車載監(jiān)控器的合成。系統(tǒng)仿真結果證明了合成監(jiān)控器的有效性。

主動容錯；混雜系統(tǒng)；離散事件系統(tǒng)；車載設備

對于安全性關鍵（safety-critical）領域，系統(tǒng)的可靠性是衡量系統(tǒng)性能的重要指標，也是在系統(tǒng)設計中需要考慮的重要因素。由于提高硬件可靠性的成本較高，越來越多的人將研究的重點轉向軟件可靠性的提高。

在目前的軟件容錯技術的應用中，大多屬于被動容錯，即在設計系統(tǒng)時就考慮到可能發(fā)生的故障，并針對這些故障設計相應的應對機制。雖然該方法對于已知的故障類型具有較好的容錯效果，但在系統(tǒng)運行過程中若出現(xiàn)在設計中未曾考慮的故障，其容錯性能將受到較大影響。

為了解決上述問題，許多國內(nèi)外的學者在此方向都做了相應的理論研究。2008年，Wen[1]等提出了基于離散事件（DES，Discrete Event System）容錯監(jiān)控框架，通過定義系統(tǒng)的規(guī)范和實施相應的控制使得系統(tǒng)容錯。2003年，Darabi[2]等提出了切換監(jiān)控系統(tǒng)的思想，即當故障發(fā)生時，切換系統(tǒng)到一個新的控制器使得系統(tǒng)實現(xiàn)容錯。上述方法為解決離散事件系統(tǒng)的容錯提供了思路，然而對于混雜系統(tǒng)，并沒有提出解決方案。

針對上述情況問題，本文提出了混雜系統(tǒng)主動容錯架構和容錯監(jiān)控器合成算法，主要創(chuàng)新點如下：

（1）提出一種針對混雜系統(tǒng)的主動容錯架構，即由一個故障診斷子系統(tǒng)來在線檢測和分離出系統(tǒng)發(fā)生的故障，并根據(jù)不同的故障模式對已有控制律進行重組或重構新的控制律，從而使得系統(tǒng)性能得到較好的保障。

（2）為保證容錯系統(tǒng)在邏輯層面上的正確性，從理論上保證所設計的軟件的可信性，采用離散事件系統(tǒng)監(jiān)控理論研究軟件設計問題，選擇擴展有限狀態(tài)機軟件模型，把軟件的設計問題轉化為監(jiān)控器的設計問題。這樣設計出來的軟件必然滿足軟件需求，確保最終代碼的正確性。

1 基本概念介紹

1.1 混雜自動機

混雜自動機模型是AlurR.等人提出的關于混雜系統(tǒng)的一個形式化模型[4]。混雜自動機模型是離散事件動態(tài)理論中自動機模型的擴展，它將描述連續(xù)動態(tài)行為的微分方程嵌入到傳統(tǒng)的離散狀態(tài)自動機模型中，從而使自動機模型兼具描述連續(xù)行為的能力。

系統(tǒng)的不變集構成了各個離散的規(guī)范，離散遷移使得系統(tǒng)在各個不變集之間切換。

1.2 DES監(jiān)控理論

用擴展的有限自動機[5]描述離散事件系統(tǒng)。假設自動機E由一系列交互的組件（E1,…, En）構成，利用自動機的同步積運算將多個獨立運行的自動機綜合為一個單一的自動機對于E產(chǎn)生的語言，記為?(E)。事件集Σ可劃分為Σ=Σo∪Σuo，其中Σo與Σuo分別代表可觀測事件集與不可觀測事件集。定義映射P0，P0:Σ*→Σo*。此外，一些事件的發(fā)生可以被控制，而另一些則不能。因此，事件集還可被劃分為可控事件集Σc與不可控事件集Σuc，即Σ=Σc∪Σuc。

定義監(jiān)控自動機S，將其耦合到原系統(tǒng)上，從而獲得可控系統(tǒng)模型，使得?(S||E)K。監(jiān)控的基本方法是通過禁止Σ中可控事件的發(fā)生，來阻止E中相應的狀態(tài)轉移，從而使E的行為軌跡限定在K的范圍之內(nèi)。

2 主動容錯的實現(xiàn)

2.1 混雜系統(tǒng)主動容錯架構

為了使混雜系統(tǒng)在故障狀態(tài)下能夠保證安全，本文提出混雜系統(tǒng)主動容錯架構，如圖1所示?；祀s系統(tǒng)通過離散抽象，采集系統(tǒng)狀態(tài)，得到抽象后的有限自動機模型En+f，通過對抽象后的模型進行監(jiān)控，實現(xiàn)主動容錯。我們將系統(tǒng)的監(jiān)控模型分為幾個類別，在正常情況下，由Snom保證系統(tǒng)安全，當出現(xiàn)不同的故障時，檢測器En+f檢測出故障，觸發(fā)中斷INT，使得系統(tǒng)實時切換到相應的重構的監(jiān)控器Sideg。通過該架構，混雜系統(tǒng)能夠?qū)崿F(xiàn)故障下的主動容錯。

圖1 混雜系統(tǒng)主動容錯架構

2.2 混雜系統(tǒng)主動容錯架構的設計

2.2.1 混雜系統(tǒng)的離散抽象

混雜系統(tǒng)是介于控制論和計算機科學之間的研究對象，因為控制論研究的對象大多是連續(xù)變化系統(tǒng)，而計算機科學的研究對象大多是離散系統(tǒng)?；旌献詣訖C的狀態(tài)空間大都是無限的，我們在設計監(jiān)控器之前，需要對混雜系統(tǒng)進行離散抽象，將其轉變?yōu)殡x散模型后，再進行監(jiān)控器的設計?；祀s系統(tǒng)的離散抽象過程如圖2所示。

圖2 監(jiān)控器的實現(xiàn)

離散抽象系統(tǒng)將混雜系統(tǒng)在切換面上的行為抽象出來，使得混雜系統(tǒng)的控制轉化到DES控制器的合成，而后者具有豐富的監(jiān)控理論支持。

2.2.2 DES的故障擴展

由2.2.1可知，可將DES監(jiān)控理論應用到混雜系統(tǒng)的監(jiān)控過程的實現(xiàn)。用自動機Enom表示混雜系統(tǒng)正常情況下的離散抽象模型。在正常工作情況下，系統(tǒng)可觀測事件是正常監(jiān)控器Snom中的閉環(huán)。當系統(tǒng)潛在的故障f發(fā)生時，需要考慮故障對模型的影響，此時，用En+f代表系統(tǒng)模型，系統(tǒng)的事件集為Σn+f=Σ∪{f}。

在系統(tǒng)正常運行時，可通過構建Snom，阻止不滿足規(guī)范的動作發(fā)生。將實際系統(tǒng)可控模型描述為Esupn+f=En+f||Snom。包含了系統(tǒng)正常運行的軌跡以及一系列的故障行為。當故障f發(fā)生后，被監(jiān)控的系統(tǒng)會進入一個區(qū)別于正常狀態(tài)下的故障后模型。假設集合F是當故障f發(fā)生時一切可被觀測的非法事件集，F(xiàn)∈Σ*。為保證系統(tǒng)安全運行，必須阻止系統(tǒng)執(zhí)行集合F中的事件發(fā)生。用Kf表示在故障 f 發(fā)生后的系統(tǒng)語言。在Snom監(jiān)控下，系統(tǒng)行為?( Esupnom)將包含滿足規(guī)范Knom的正?？刂苿幼骱筒粷M足規(guī)范Kf的非法動作。

可見，在故障的情況下，通過Snom已經(jīng)無法保證系統(tǒng)的安全性。因此，需要引進容錯機制，使得系統(tǒng)在故障狀態(tài)下亦能保證安全。為了實現(xiàn)系統(tǒng)的主動容錯，需要一個故障診斷自動機Ediag在線檢測出系統(tǒng)的故障，并且構建新的監(jiān)控器Sdeg，在故障發(fā)生后將系統(tǒng)從Snom切換到Sdeg。圖3描述了一個被監(jiān)控的DES中，各個等級容錯規(guī)范之間的關系。

圖3 DES容錯規(guī)范

2.2.3 系統(tǒng)的安全可控性

若系統(tǒng)能夠?qū)崿F(xiàn)主動容錯，則必須保證系統(tǒng)是安全可控的。對于一個自動機E，假設它的語言?是安全可診斷的針對于映射P0，故障事件f和非法語言K。當故障f的發(fā)生，使得系統(tǒng)的行為偏離了Enom。取En+f中以xi為初始的子串，可建立新的故障后模型Eideg。

對于一個安全可控系統(tǒng)，至少存在一個可控事件z，通過禁止z的執(zhí)行，使系統(tǒng)不進入危險狀態(tài)。當系統(tǒng)進入危險狀態(tài)時，將觸發(fā)一個中斷信號INT使得z失效。此外，這個中斷信號可以將監(jiān)控器從Snom切換到Sideg，使得系統(tǒng)滿足故障后的規(guī)范Kideg。

3 案例研究—列控系統(tǒng)車載設備容錯控制

3.1 列控車載系統(tǒng)描述

列控系統(tǒng)車載設備是一個典型的混雜系統(tǒng)。列車的運營方式有多種，我們以四顯示自動閉塞為例，說明主動容錯監(jiān)控器在列控車載設備中應用。四顯示自動閉塞是指通過信號機具有4種顯示，能預告列車前方3個閉塞分區(qū)狀態(tài)的自動閉塞[6]，如圖4 所示。

圖4 四顯示自動閉塞

在我國最高時速 160 km/h的干線鐵路使用的四顯示自動閉塞系統(tǒng)綠（L）、綠黃（LU）、黃（U）、紅（H）4個信號顯示對應的速度意義分別為：

綠（L）表示160/160，即進入閉塞分區(qū)時允許速度是160 km/h，離開時的允許速度還是160 km/h；綠黃（LU）表示160/115；黃（U）表示115/0；紅（H）表示0 km/h。

在列控系統(tǒng)車載設備中最核心的功能就是對列車速度的就監(jiān)督控制。司機根據(jù)信號機顯示以及當前的速度，對列車實施控制命令，實現(xiàn)對列車的控制。

建立各個模塊的自動機模型：

速度檢測模塊Evelocity，速度分為3個等級，v0= 0； v1∈ (0,115]； v2∈ (115,160]，速度在列車運行過程中實時采集。

距離檢測模塊Eoffset，列車的閉塞分區(qū)劃分應滿足每一速度級差的制動距離。本文中假設閉塞分區(qū)長度為1 000 m。

信號機模塊Esignal，信號機有4種顯示：綠（L），綠黃（LU），黃（U），紅（H），信號機的顯示為外界輸入。

牽引/制動操作模塊Econtrol，為方便說明，本節(jié)將列車控制檔位簡單分為3檔。牽引時，加速度為a，無操作時加速度為a0=0，制動時加速度為-a。實施緊急制動時輸出最大制動力為-amax。對列車牽引/制動的操作可控。列車在制動的過程中，通過施加閘瓦壓力使列車減速，閘瓦壓力傳感器實施檢測壓力值。

整個車載系統(tǒng)在正常情況下，可用自動機Enom表示，Enom= Evelocity||Eoffset||Esignal||Econtrol。為了保證列車安全運行，在系統(tǒng)正常運行時，提出需求Knom如下：列車在運行時不能冒進信號，即不能超出相應信號機的允許速度。

當系統(tǒng)出現(xiàn)故障f，例如：列車閘瓦與車輪松動，導致制動力不足，使得制動時減速度為-b（b＜a），若此時不采取有效措施，則會使得列車運行超速，從而使系統(tǒng)違反安全。必須保證車載設備在有限的時間內(nèi)檢測出故障，并使系統(tǒng)立即進入重構的監(jiān)控器下運行，則能夠保證系統(tǒng)安全。定義重構的規(guī)范Kdeg：列車執(zhí)行緊急制動，即輸出最大減速度，強制列車停車。

為更好的描述主動容錯架構在列車上的實現(xiàn)，我們將系統(tǒng)簡化，根據(jù)列控車載設備的速度監(jiān)督基本原理，建立基于離散事件系統(tǒng)的控制框架，如圖5所示。

圖5 基于離散事件系統(tǒng)的控制框架

根據(jù)算法1，可得系統(tǒng)主動容錯監(jiān)控器。整個系統(tǒng)中，可控事件為牽引/制動控制命令，通過對控制命令的約束，控制系統(tǒng)完全運行滿足規(guī)范。當出現(xiàn)故障時，系統(tǒng)切換到重構的監(jiān)控器下運行。

圖6顯示了系統(tǒng)狀態(tài)變遷的過程，圖6中狀態(tài)（v1,LU,U’,a0）分別表示列車當前速度等級為v1，列車所在區(qū)間入口信號機燈色為綠黃，出口信號機燈色為黃，此時列車加速度為a0。當系統(tǒng)出現(xiàn)故障f時，閘瓦壓力傳感器檢測出列車制動閘瓦壓力不足，此時出發(fā)中斷INT，禁止可控事件制動，并觸發(fā)可控事件緊急制動，使系統(tǒng)滿足Kdeg，且不違反系統(tǒng)安全。

圖6 系統(tǒng)監(jiān)控過程示意

3.2 列控車載容錯監(jiān)控的實現(xiàn)

依據(jù)各個模塊的自動機表示，以及利用DES監(jiān)控理論而得到的列車控制模塊設計結果，將上述列車運行控制過程在Matlab中仿真實現(xiàn)。

設置兩車追蹤場景，列車1與列車2相距3個閉塞分區(qū)（3 000 m），此時列車1前方信號機跳變順序是L-LU-U-H，列車1在紅燈前停車。列車2前方信號機的跳變根據(jù)列車1與列車2的動態(tài)位置實時更新。假設列車1一直運行正常，列車2在運行中遇到閘瓦松動故障，對列車2采用容錯控制。采用simulink建立列車動力模型，在stateflow中建立監(jiān)控器模型，通過仿真實現(xiàn)列車的監(jiān)控過程。

仿真中采用CRH5型電動車組相關技術參數(shù)實現(xiàn)對列車的模擬。因本章中考慮的故障發(fā)生在列車制動過程中，所以將牽引過程簡化，采用一個牽引檔位實現(xiàn)列車牽引過程?？紤]列車的制動過程，CRH型電動車組按照減速度要求給定制動力，減速度是制動距離計算的主要參數(shù)。根據(jù)文獻[7]CRH5 型電動車組制動方式分為 EB緊急制動和3級常用制動。相關技術參數(shù)如表1所示。

表1 CRH5型電動車組制動減速度特性參數(shù)

仿真結果如圖7所示，圖7（a）為列車的速度-位移曲線，圖7（b）為列車位移-時間曲線。當列車2 正常運行時，由正常控制模塊控制列車運行。列車追蹤運行軌跡如圖7中實線所示。當列車出現(xiàn)故障，若不采取容錯控制方式，則列車在6 000 m～7 000 m處發(fā)生沖撞（虛線部分）。采用容錯控制方式，當檢測器測得列車出現(xiàn)故障，觸發(fā)中斷INT，切換至重構的監(jiān)控器下運行，最終得到列車追蹤軌跡如圖7中點連線部分所示。由仿真結果，可以明顯的看到容錯監(jiān)控的實施的重要性和容錯監(jiān)控器的正確性。

圖7 主要模塊自動機模型

4 結束語

本文關注于混雜系統(tǒng)的容錯問題，提出一個的主動容錯架構。文中將混雜系統(tǒng)模型抽象為離散模型，并證明兩個模型之間互模擬，然后在離散模型的基礎上，采用DES監(jiān)控理論，實現(xiàn)模型的容錯監(jiān)控器的生成。為檢驗算法的可行性，以列控車載系統(tǒng)為例，實現(xiàn)列控系統(tǒng)中的兩車追蹤場景，利用Matlab仿真，實現(xiàn)了車載監(jiān)控器控車過程，仿真結果顯示所設計的監(jiān)控器是正確的。

下一步的研究重點在于將目前的算法進一步的分析和優(yōu)化，并應用于解決更為復雜系統(tǒng)的監(jiān)控問題（如多顯示自動閉塞情況下的多車追蹤），以便更好的解決實際問題。

[1]Wen Q, Ratnesh Kumar, Jing Huang, and Haifeng Liu, A Framework for Fault-Tolerant Control ofDiscrete Event Systems[J]. IEEE Transaction on Automatic Control. 2008,53(8): 1839 -1849.

[2]Darabi H, JafariMA, Buczak AL (2003). A control switching theory for supervisory control of discreteeventsystems[J]. IEEE Transactions on Robotics and Automation 19(1):131 C137.

[3]Rohloff KR (2005) Sensor failure tolerant supervisory control[A]. In Proceedings of the 44th IEEE conference on decision and control and the European control conference 2005[C]. Seville, Spain.

[4]R.Alur,C.Courcouberis,T.A.Henzinger.Hybrid Automata: An Algorithmic Approach to theSpecificatioon and Verification of Hybrid Systems[D]. In workshop on Theory of Hybrid Systems, Lecture Notes in Computer Science,Denmark,1992: 209-229.

[5]M.Sk?ldstam,K.Akesson,andM.Fabian. Modeling of discrete event systems using ?nite automata with variables[J]. In Proc. 46th IEEE Conf. Decision Control, 2007, pp. 3387–3392.

[6]王長林，林 穎. 列車運行控制技術[M].北京：西南交通大學出版社，2006.

[7]鐵道部運輸局鐵運 [2007]130號. 列車運行監(jiān)控記錄裝置控制[S].北京：鐵道部運輸局，2004.

責任編輯 徐侃春

Research on application of active fault tolerant framework of Hybrid System in on-board equipment

LU Qiuzi, XU Tianhua, TANG Tao

( State Key Laboratory of Rail Control and Safety, Beijing Jiaotong University, Beijing 100044, China )

An active fault tolerant framework of Hybrid System was presented in this paper. By discreting abstraction of the Hybrid System, the transformation of Hybrid System to Discrete Event System (DES) was obtained. Then a set of safe controllable events was calculated with respect to the discrete event trajectories. By using of the safe controllable event, the active fault tolerant supervisor was synthesized. Finally, the supervisor of on-board equipment in Train Control System was synthesized, and the effectiveness of the proposed active fault tolerant algorithm was validated and demonstrated by the simulation results.

active fault tolerant; Hybrid System; Discrete Event System(DES); on-board equipment

U284∶TP39

A

2013-01-14

國家863項目（2011AA010104），軌道交通控制與安全國家重點實驗室項目 （I11K00150, I11K00060），北京交通大學基本科研項目（2011JBM160）。

魯秋子，在讀碩士研究生；徐田華，教授。

1005-8451（2014）01-0001-05