王振輝

(1．北京全路通信信號研究設計院集團有限公司，北京 100070；2．北京市高速鐵路運行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

1 概述

列控系統(tǒng)作為高速鐵路安全運行的核心系統(tǒng)，失效后輕則造成運行中斷，影響行車效率；重則造成追尾、脫軌等行車事故，造成人員傷亡和重大財產(chǎn)損失，列控系統(tǒng)不但需要保證功能的安全性和正確性，還要保證系統(tǒng)各項性能的穩(wěn)定性和可靠性。目前，軟件測試是檢驗列控系統(tǒng)是否滿足系統(tǒng)功能、性能、穩(wěn)定性和可靠性需求最直接的手段，軟件測試包括軟件白盒測試（含靜態(tài)測試、單元測試、集成測試）、產(chǎn)品功能測試和系統(tǒng)功能測試（System Function Test，SFT）等階段，其中系統(tǒng)功能測試是測試流程中的最后一個環(huán)節(jié)。本文通過分析系統(tǒng)功能測試的測試內(nèi)容和測試平臺結(jié)構(gòu)，研究系統(tǒng)功能測試對保證我國自主化列控系統(tǒng)的功能安全性、正確性、穩(wěn)定性和可靠性的重要作用。

2 CTCS-3級系統(tǒng)測試過程

根據(jù)軟件開發(fā)周期內(nèi)的活動，CTCS-3 級系統(tǒng)通常采用V 模型進行測試，包括需求評審、設計評審、軟件白盒測試，產(chǎn)品功能測試，系統(tǒng)功能測試等過程，如圖1 所示。

圖1 軟件測試過程V模型Fig.1 Software testing process V model

需求評審和設計評審對開發(fā)設計文件進行審核，從測試角度提出設計風險預估；軟件白盒測試對軟件編碼進行代碼走查測試；產(chǎn)品功能測試對軟件功能進行測試；系統(tǒng)功能測試是基于系統(tǒng)整體需求進行的黑盒測試，其針對整個系統(tǒng)進行測試，覆蓋系統(tǒng)所有聯(lián)合的部件，驗證系統(tǒng)是否滿足需求規(guī)格的定義，找出與需求規(guī)格不相符合或與之矛盾的地方。系統(tǒng)功能測試的對象不僅包括需要測試的產(chǎn)品系統(tǒng)的軟件，還包含軟件所依賴的硬件、外設甚至包括某些數(shù)據(jù)、某些支持軟件及其接口等。因此，系統(tǒng)功能必須將系統(tǒng)中的軟件與各種依賴的資源結(jié)合起來，在系統(tǒng)實際運行環(huán)境下進行測試。

3 CTCS-3級系統(tǒng)功能測試概述

3.1 測試背景

北京全路通信信號研究設計院集團有限公司（簡稱通號公司）在完成CTCS-3 級列車運行控制系統(tǒng)的國產(chǎn)化后，為了實現(xiàn)中國高鐵“走出去”戰(zhàn)略，研制完成具有完全自主知識產(chǎn)權(quán)、掌握核心關鍵技術(shù)的自主化CTCS-3 級列控系統(tǒng)。為了保證國產(chǎn)化和自主化列控系統(tǒng)功能的安全性、正確性、可靠性和各項性能，通號公司根據(jù)EN50128 的要求，確定測試流程，按照白盒測試、產(chǎn)品功能測試、產(chǎn)品數(shù)據(jù)測試、系統(tǒng)功能測試、系統(tǒng)數(shù)據(jù)測試的測試階段展開測試。

在實際研發(fā)和工程應用中，僅通過白盒測試、產(chǎn)品功能測試、產(chǎn)品數(shù)據(jù)測試，無法保證測試的全面性、可靠性，遺留了一些問題，因此需要進行系統(tǒng)功能和系統(tǒng)數(shù)據(jù)測試，保證各產(chǎn)品間的兼容性以及整個系統(tǒng)的完整性，系統(tǒng)功能測試是一個必要的階段。

3.2 測試平臺

C3 半實物仿真測試平臺由CTCS-3 級列控系統(tǒng)綜合設計集成平臺、實物硬件設備以及網(wǎng)絡環(huán)境組成。CTCS-3 級列控系統(tǒng)綜合設計集成平臺按照其實現(xiàn)功能劃分為仿真支撐系統(tǒng)、實物接入系統(tǒng)、仿真模型、綜合監(jiān)控系統(tǒng)、數(shù)據(jù)配置系統(tǒng)。

實驗室C3 半實物仿真測試平臺原理，如圖2所示。

圖2 半實物仿真測試平臺原理圖Fig.2 Schematic diagram of semi-physical simulation test platform

3.3 測試內(nèi)容

系統(tǒng)功能測試采用真實的車載設備，搭建C3半實物仿真測試平臺，通過執(zhí)行中國鐵路總公司發(fā)布的《C3 測試案例(V3.0)》和通號公司的測試案例，驗證車載設備、無線閉塞中心設備的功能和各項性能符合中國鐵路總公司下發(fā)的各種技術(shù)條件；驗證整個CTCS-3 列控系統(tǒng)滿足《CTCS-3 級列控系統(tǒng)總體技術(shù)方案（V1.0）》中要求的功能安全性、正確性和可靠性。

系統(tǒng)功能測試主要分為完整功能測試和變更項驗證測試兩種。完整功能測試即對系統(tǒng)進行全面測試，執(zhí)行案例庫中所有的案例，全面覆蓋列控系統(tǒng)的每個功能點，通常當軟件修改內(nèi)容較多，或修改較為復雜，無法準確評估測試范圍，或需要進行基線類發(fā)布時，采用該測試方法；變更項驗證測試即在研發(fā)人員明確變更項的影響范圍后，對變更項涉及的內(nèi)容進行覆蓋測試。

4 CTCS-3級系統(tǒng)功能測試必要性分析

在工程實踐中，經(jīng)過白盒測試、產(chǎn)品功能測試的列車超速防護系統(tǒng)（ATP）和無線閉塞中心（RBC）等CTCS-3 級系統(tǒng)軟件，仍然存在一些系統(tǒng)層、多場景疊加功能的問題。實踐表明，系統(tǒng)功能測試能在一定程度上發(fā)現(xiàn)上述問題，以保證列控系統(tǒng)的功能安全性、正確性、穩(wěn)定性和可靠性。

4.1 發(fā)現(xiàn)系統(tǒng)層功能缺陷

1）RBC 和ATP 設 備 均增加前方軌道空閑（TAF）功能，即在車站或區(qū)間以目視或引導模式發(fā)車時，因為RBC 無法判斷列車當前所在進路狀態(tài)是否可用，因此，當RBC 判斷列車車頭距離前方信號機（信號牌）小于等于200 m 時，需要列車（或司機）確認列車車頭到前方信號機（信號牌）區(qū)段狀態(tài)，RBC 根據(jù)列車的確認狀態(tài)，決定是否向列車發(fā)送行車許可（MA）。系統(tǒng)功能測試可以驗證側(cè)線發(fā)車時存在的問題。

如圖3 所示，目前CTCS-3 級客專線路，車站側(cè)線應答器布置BX3-1 距信號機25 m，BX3-2 距信號機20 m。如果為始發(fā)站，ATP 以CTCS-3 等級目視模式發(fā)車（此時ATP 位置未知或無效），以40 km/h 運行，由于車地之間的固有通信周期，當ATP 經(jīng)過BX3 組應答器時給RBC 發(fā)送位置報告消息（M136），估計前端未越過X3 信號機，RBC 發(fā)送前方軌道空閑消息（M34），ATP 從應答器組運行至出站信號機僅需要2 s，當ATP 收到M34 時，其判斷估計前端已越過X3 信號機，不會對M34 進行確認。在實際運營中會影響運輸效率，只能通過降低車速或者使用C2 等級發(fā)車避免該問題發(fā)生。

2）根據(jù)《京沈綜合試驗段自主化CTCS-3級車載ATP 設備和RBC 測試案例》（科信基函[2018]65 號）中CTCS3-FT-248 案例6：（測地面設備）RBC 從聯(lián)鎖收到的站內(nèi)列車進路為正常，若該進路包含的任意站內(nèi)軌道區(qū)段狀態(tài)與RBC 判斷的軌道區(qū)段狀態(tài)不一致時，RBC 應拒絕延伸MA。

如圖4 所示，系統(tǒng)功能測試能夠證明在聯(lián)鎖存在進路首區(qū)段占用后延時3 s 關閉信號的固有邏輯前提下，RBC 發(fā)送有條件緊急停車消息（M15），讓ATP 自身判斷是否接受M15，比延時發(fā)送縮短的行車許可（SMA）更及時有效。

圖3 TAF不成功示意圖Fig.3 Schematic diagram of TAF unsuccess

圖4 聯(lián)鎖信號顯示與占用不一致示意圖Fig.4 Inconsistency of interlocking signal display with occupancy condition

以上兩個案例說明，如果只進行產(chǎn)品級功能測試，僅能驗證變更的功能符合單個產(chǎn)品需求；通過系統(tǒng)功能測試，可以驗證單個產(chǎn)品的功能實現(xiàn)與整個列控系統(tǒng)的功能不沖突。

4.2 發(fā)現(xiàn)多場景疊加功能缺陷

1）根據(jù)《CTCS-3 級ATP 行車許可結(jié)合軌道電路信息暫行技術(shù)條件》（鐵總工電[2018]18 號）的要求，車載設備增加了雙曲線比較功能。

如圖5 所示，通過系統(tǒng)功能測試，設計區(qū)間連續(xù)黃（U）碼的條件下，車載后臺為C2 完全監(jiān)控模式，前臺為C3 完全監(jiān)控模式，RBC 發(fā)送的MA 長度大于軌道信息許可的長度且差值大于100 m，此時ATP 將行車許可終點位置（EOA）立即縮短至軌道電路信息許可終點，在車載持續(xù)運行過程中能夠保證MA 截取功能正常，人機界面單元（DMI）顯示的曲線、允許速度都不會有大幅度的跳變，不會對司機操作產(chǎn)生干擾。

此類多場景疊加更貼近現(xiàn)場的實際應用，更能反映整個列控系統(tǒng)的應對能力，系統(tǒng)功能測試能夠依托C3 半實物仿真測試平臺，模擬更多的多場景疊加案例，以保證列控系統(tǒng)功能的全面性、安全性。

4.3 限制約束及解決措施

圖5 連續(xù)U碼車載截取MA示意圖Fig.5 Schematic diagram of continuous U code intercept MA

由于系統(tǒng)功能測試采用C3 實物或半實物仿真，因此在案例的執(zhí)行上受到一定的制約，某些錯誤和不合法的消息，例如消息的內(nèi)容錯誤，發(fā)送順序錯誤等，無法在系統(tǒng)測試環(huán)節(jié)進行模擬，此部分需求在產(chǎn)品級測試時驗證，在白盒測試、產(chǎn)品功能測試中進行重點關注，保證產(chǎn)品功能測試的全面性、正確性。

5 結(jié)論

為順應高鐵“走出去”的戰(zhàn)略，在完成產(chǎn)品級白盒測試、功能測試的基礎上，開發(fā)系統(tǒng)功能測試平臺，深入研究運營需求，運用不同的測試方法設計測試案例，編制出更多系統(tǒng)層交互的測試案例，對保證列控系統(tǒng)符合國內(nèi)外的技術(shù)規(guī)范，保證我國列控系統(tǒng)的功能安全性、正確性、穩(wěn)定性和可靠性具有重要意義。