王錫奎 田建兆 王若昆 張 菊

(南京鐵道職業(yè)技術學院， 南京 210031)

列控系統(tǒng)是保證行車安全、提高區(qū)間和車站通過能力的手動控制、自動控制及遠程控制技術設備的總稱，其主要實現(xiàn)進路控制、間隔控制、安全防護、速度控制等功能。列控系統(tǒng)車載ATP是一個復雜的安全苛求系統(tǒng)，系統(tǒng)硬件和軟件均需要滿足安全完整性4級(SIL4)的標準。列控系統(tǒng)軟件具有邏輯復雜、執(zhí)行路徑分支多等特點，設計難度很大。目前，在列控系統(tǒng)的設計開發(fā)中面臨諸多挑戰(zhàn)[1]，如控制軟件的復雜度、避免多重描述、避免規(guī)范歧義性、盡早發(fā)現(xiàn)設計錯誤、盡可能避免人工編碼引入的錯誤等。文獻[2-3]應用統(tǒng)一建模語言(UML)對列控系統(tǒng)進行建模。UML存在語意不明確，且其常用建模工具只能從模型生成程序框架等不足[4]。因此，UML無法廣泛應用于列控系統(tǒng)的建模與開發(fā)。本文在研究現(xiàn)有列控系統(tǒng)車載ATP子系統(tǒng)的功能、結構以及工作原理的基礎上，利用基于形式化語言LUSTRE的SCADE構建車載ATP軟件模型，并對所建模型進行了仿真驗證。

1 車載ATP軟件功能分析

列控系統(tǒng)是用于控制列車運行，實現(xiàn)列車安全、高效運行的控制系統(tǒng)，是鐵路信號系統(tǒng)的重要組成部分之一。列控系統(tǒng)由軌旁子系統(tǒng)和車載ATP子系統(tǒng)兩部分構成，二者之間可實現(xiàn)雙向信息交互。其中，軌旁子系統(tǒng)主要負責管理其管轄范圍內(nèi)的列車，并為每輛列車提供MA；車載ATP子系統(tǒng)負責接收MA，通過解析MA得出線路中的障礙物狀態(tài)信息，并結合其他相關數(shù)據(jù)計算列車速度防護曲線，監(jiān)控列車運行速度，保證列車運行安全。高速鐵路現(xiàn)有典型列控系統(tǒng)的車載ATP子系統(tǒng)結構如圖1所示。

圖1 高速鐵路典型列控系統(tǒng)的車載ATP子系統(tǒng)結構

由圖1可知，車載ATP子系統(tǒng)中由車載安全計算機、測速測距單元、無線通信模塊、應答器信息接收模塊、軌道電路信息接收模塊、司法/數(shù)據(jù)記錄單元、人機交互接口、列車接口單元等構成。車載ATP子系統(tǒng)各模塊的功能如下。

(1)車載安全計算機

車載ATP子系統(tǒng)的核心處理單元，根據(jù)軌旁子系統(tǒng)傳輸?shù)腗A及線路數(shù)據(jù)，生成目標-距離速度防護曲線，并以該曲線監(jiān)控列車的運行，一旦列車速度超過速度防護曲線，通過繼電接口對列車的制動系統(tǒng)發(fā)出制動控制命令，保證列車運行安全。

(2)測速測距單元

通過采集各速度傳感器的信號并進行安全處理，計算列車的速度、走行距離，以及識別列車運行方向，計算結束后傳送給車載安全計算機。

(3)應答器信息接收模塊

接收軌旁應答器信號，并在解調(diào)后傳送給車載安全計算機。

(4)無線通信模塊

實現(xiàn)車載ATP子系統(tǒng)和軌旁子系統(tǒng)的雙向信息傳輸，車載ATP子系統(tǒng)通過無線通信模塊接收軌旁子系統(tǒng)發(fā)送的MA、線路參數(shù)等信息，并向軌旁子系統(tǒng)發(fā)送列車運行狀態(tài)信息。

(5)軌道電路信息接收模塊

接收軌道電路信息，并在解調(diào)后傳輸給車載安全計算機。

(6)人機交互接口

顯示列車運行狀態(tài)信息，并接收司機的操作和輸入。

(7)列車接口單元

完成車載ATP子系統(tǒng)和列車之間開關量的傳輸。

(8)司法/數(shù)據(jù)記錄單元

用于記錄列控車載ATP子系統(tǒng)的數(shù)據(jù)和控制信息，記錄的數(shù)據(jù)將在系統(tǒng)故障時起維護作用。

列控系統(tǒng)通過固定閉塞和移動閉塞實現(xiàn)列車運行間隔的控制。目前，在國內(nèi)高速鐵路中，典型列控系統(tǒng)采用的控制方式為固定閉塞，且通過目標-距離控制實現(xiàn)列車的速度防護，如圖2所示。

圖2 基于固定閉塞的目標-距離控制示意圖

2 SACDE建模環(huán)境

車載ATP子系統(tǒng)的功能模型利用安全苛求應用開發(fā)環(huán)境SCADE(Safety Critical Application Development Environment)來設計。SCADE是一個由法國愛斯特爾公司開發(fā)的高安全性的軟件開發(fā)平臺。SCADE以“基于模型”的開發(fā)方式取代傳統(tǒng)的“基于代碼”的開發(fā)方式，覆蓋了諸多安全關鍵軟件標準所要求的開發(fā)流程[5-6]。

SCADE的Y型開發(fā)流程如圖3所示?？蔀樯舷聝刹糠郑习氩糠质情_發(fā)中的主要工作，其核心工作是詳細設計，概要設計和詳細設計是SCADE模型設計的主要過程；下半部分是編碼和單元測試。由圖3可知，Y開發(fā)模式中的下半部分為SCADE自動完成，軟件開發(fā)人員只需關注上半部分，且以詳細設計為中心工作，利用圖形化的方式實現(xiàn)軟件設計。集成測試和系統(tǒng)測試通過基于軟件結構的覆蓋率分析和形式化驗證完成。

圖3 SCADE開發(fā)流程

SCADE的理論基礎是LUSTRE語言。LUSTRE 語言是一種同步程序設計語言，適用于反應系統(tǒng)的編程。用來描述模型的圖形符號需要轉(zhuǎn)換成LUSTRE 語言，然后在此基礎上進行靜態(tài)檢查、模擬仿真、形式驗證、覆蓋率分析、代碼自動生成等工作，或者也可以直接采用LUSTRE 語法的文本方式來搭建軟件模[7]。LUSTRE可較好刻畫系統(tǒng)的動態(tài)行為，在許多安全關鍵系統(tǒng)中已得到成功的應用。它能有效地控制和使用各種系統(tǒng)資源、確定任務的運行時限、描述系統(tǒng)的并行行為[8-9]。

圖4 超速防護模塊結構

3 車載ATP軟件SCADE模型

列車超速防護功能模塊內(nèi)部結構如圖4所示。在追蹤過程中要根據(jù)列車狀態(tài)信息、目標距離及司機輸入等數(shù)據(jù)實時計算速度防護曲線，并通過比較列車速度與限速值給出列車制動命令。

在超速防護模塊中，包含速度監(jiān)控曲線的計算功能和制動輸出功能兩部分。其中，速度防護曲線計算中有緊急制動EB(Emergency Braking)速度計算、緊急制動觸發(fā)EBI(Emergency Braking Intervention speed)速度計算、常用制動觸發(fā)SBI(Service Braking Intervention speed)速度計算、報警W(Warning speed)速度計算、允許P(Permitted speed)速度計算。

利用SCADE構建的速度監(jiān)控曲線計算模型如圖5所示，模型輸入輸出如表1所示。

圖5 速度監(jiān)控曲線計算模型

輸入含義輸出含義mode車載ATP模式EBI緊急制動觸發(fā)曲線trainDef列車性能參數(shù)SBI常用制動觸發(fā)曲線spdLim限制速度W報警速度曲線disToEOA列車前端至EOA的距離P允許速度曲線spdPosInfo列車速度位置信息

4 仿真分析

假設列車運行的實際線路如圖6所示，該線路為某兩站間區(qū)間的一部分，圖中所示線路中的閉塞分區(qū)長度均為2 km，均為長直線路，無坡道、彎道等。線路限速為350 km/h。列車當前的MA終點為X2信號機。

圖6 列車運行線路

在仿真開始之前還需要設置相關參數(shù)。

(1)根據(jù)CRH3型動車組技術參數(shù)設置列車模型中的制動減速度和最高運營速度。根據(jù)文章[10]可知，當列車運行速度在區(qū)間[0,200](km/h)時，取緊急制動減速度為1.22 m/s2，取最大常用制動減速度為0.74 m/s2；當列車運行速度在區(qū)間[200,350](km/h)時，取緊急制動減速度為1.07 m/s2，取最大常用制動減速度為0.68 m/s2。列車最高運營速度為 380 km/h。

(2)計算速度防護曲線所需的參數(shù)為緊急制動建立時間為3.5 s，常用制動建立時間為2.3 s，系統(tǒng)響應及牽引切除時間為1.2 s。

(3)列車初始運行速度為0 km/h。

這里通過SCADE Gateway將列車模型轉(zhuǎn)換為對應的SCADE模型，然后將該模型與列車模型結合起來進行仿真，模型如圖7所示。模型的輸入、輸出參數(shù)如表2所示。

圖7 仿真模型

根據(jù)圖7和初始條件設置在SCADE Simulator中創(chuàng)建仿真場景，場景中輸入?yún)?shù)的取值如表3所示。在觀察窗口中顯示的參數(shù)分別為EBISpd、SBISpd、P、spdPosInfo，圖形窗口顯示這些參數(shù)變化形成的曲線。

表2 仿真模型輸入和輸出

表3 仿真場景輸入?yún)?shù)取值

點擊SCADE Simulator中的“Go”按鈕，運行該仿真場景，仿真時間為258 s，運行結果如圖8所示。SCADE Simulator還會對仿真場景的輸入?yún)?shù)及仿真過程中產(chǎn)生的輸出以*.out(由SCADE Suite打開)或者*.csv(由工作表應用程序打開)的格式進行存儲。這里選擇保存在simuData.csv文件中，用Excel將該文件轉(zhuǎn)換為simuData_Format.xlsx并載入Matlab中，最后用繪圖工具進行繪制。車載ATP子系統(tǒng)模型根據(jù)線路數(shù)據(jù)和MA計算出的速度防護曲線及列車實際運行速度曲線如圖9所示，列車運行軌跡如圖10所示。

圖8 仿真結果

圖9 速度防護曲線及列車運行速度曲線

圖10 列車運行軌跡

由圖8可知，在該仿真場景中，車載ATP子系統(tǒng)觸發(fā)了緊急制動，列車停車時緊急制動觸發(fā)速度、常用制動觸發(fā)速度和允許速度分別為39.581 km/h、29.692 km/h和24.692 km/h，列車走行距離為 9 791.4 m。由圖9可知列車實際運行速度在仿真過程中的變化情況，列車速度在TSM區(qū)超過了緊急制動觸發(fā)速度，在車載ATP子系統(tǒng)超速防護功能的作用下，列車緊急制動減速，最終停車。由圖10可知列車的運行軌跡，列車的走行距離未超過10 km，這表明所設計的車載ATP子系統(tǒng)模型能夠保證列車在MA終點之前停車。

通過上述分析可知，面向特征的車載ATP子系統(tǒng)建模方法能保證列車運行安全，滿足系統(tǒng)在功能方面的要求。

5 結論

本文研究了現(xiàn)有列控系統(tǒng)車載ATP子系統(tǒng)的功能、結構以及工作原理，并提出了一種車載ATP子系統(tǒng)的建模方法。利用SCADE對新型車載ATP子系統(tǒng)模型進行詳細設計，包括主動防護模塊、超速防護模塊和測速定位模塊，實現(xiàn)了列車運行安全主動防護的功能需求。利用SCADE Simulator對已建立的車載ATP子系統(tǒng)模型進行仿真分析。分析結果表明，基于SCADE的建模方法能有效實現(xiàn)車載ATP子系統(tǒng)的超速防護功能，并很好地保證了模型的完整性和安全性。