汪小勇，董德存，歐冬秀，紀玉清，

（1.同濟大學道路與交通工程教育部重點實驗室，上海201804；2.同濟大學上海市軌道交通結構耐久與系統(tǒng)安全重點實驗室，上海201804；3.卡斯柯信號有限公司，上海200072）

安全高效是軌道交通作為大運量公共交通系統(tǒng)的基本要求，這對于軌道交通的核心——列車運行控制系統(tǒng)（以下簡稱“列控系統(tǒng)”）更是如此。為保證安全，列控系統(tǒng)采用了“故障-安全”的原則，在發(fā)生故障時盡可能快地停車；為提高效率，列控系統(tǒng)不斷細化資源控制精度來增加單位線路內列車的數(shù)量以縮短運行間隔。列控系統(tǒng)一旦發(fā)生故障，就會導致大量列車停止運行，運營秩序受到影響。因此，要保證軌道交通持續(xù)地安全高效運行，列控系統(tǒng)的高可靠性是非常關鍵的因素。

為提高列控系統(tǒng)的可靠性，系統(tǒng)的元器件級進行了升降額設計，設備級采用冗余設計如“二乘二取二”或“三取二”安全計算機平臺［1］，網(wǎng)絡級也采用了雙網(wǎng)冗余的配置［2］，除此之外，系統(tǒng)級也會進行同構或異構冗余的設計，如“點式-基于通信的列車控制（block modecommunication based train control，BM-CBTC）系統(tǒng)”就是目前國內應用非常廣泛的一種多模列控系統(tǒng)。多模列控系統(tǒng)可以在故障導致某一控制模式不可用時切換至另一模式來維持列車的安全運行，提高了系統(tǒng)的可靠性。另外，多模列控系統(tǒng)還可以實現(xiàn)列車在不同制式的路網(wǎng)內互通運行，對于既有線路的平滑升級改造也具有重要的意義［3-5］。對于多模列控系統(tǒng)而言，其模式切換所需的時間表現(xiàn)為系統(tǒng)不可用的時間，從可靠性計算和運營需求的角度該時間最好為零，但實際由于故障模式、運營場景和控制原理的不同，并不是所有的模式切換都能做到。因此，多模列控系統(tǒng)切換的實時性研究對該系統(tǒng)的可靠性和對運營干擾程度的評估非常重要。

多模列控系統(tǒng)具有狀態(tài)并發(fā)性、資源獨占性和切換隨機性等特點，這些特點特別適合于采用Petri網(wǎng)［6］來描述和仿真。Petri網(wǎng)是一種描述并發(fā)、異步和資源競爭性系統(tǒng)的仿真分析工具，面向對象的Petri網(wǎng)更是具有很好的封裝性和繼承性［7］，特別是有色Petri網(wǎng)（colored petrinets，CPN）能進一步采用折疊的方式來簡化復雜系統(tǒng)的建模仿真和計算。陳邦興等［8］介紹了有色Petri網(wǎng)對鐵路信號控制邏輯進行描述的方法，文中對如何利用有色Petri網(wǎng)進行信號系統(tǒng)相關元素和關系的描述進行舉例說明，為信號系統(tǒng)應用有色Petri網(wǎng)提供了思路。徐田華等［9］利用有色Petri網(wǎng)對歐洲列車控制系統(tǒng)（European train control System，ETCS）無線通信子系統(tǒng)進行了可靠性分析，對ETCS系統(tǒng)中列車與無線閉塞中心（Radio blocking center，RBC）間經(jīng)由無線信道的數(shù)據(jù)幀傳輸延時進行了統(tǒng)計，得出了可靠性概率的有界分析。張友兵等［10］基于有色Petri網(wǎng)對中國列車控制系統(tǒng)（Chinese train control system，CTCS）的三級列控系統(tǒng)RBC切換進行了建模和形式化分析，對基于不同數(shù)量車載電臺RBC的切換時間和成功率進行了分析，找出了彼此關聯(lián)關系。這兩份研究著眼于列控系統(tǒng)中無線通信的可靠性、切換時間和切換成功率。董健等［11］對基于CPN的列控系統(tǒng)等級轉換進行了建模與分析，分析了列車速度對CTCS系統(tǒng)的三級和二級列控系統(tǒng)之間等級轉換實時性要求和對成功概率的影響及突發(fā)降級的可能性，得出的結論是列車速度越高對等級轉換的實時性要求越高。趙惠祥等［12］采用Petri網(wǎng)對城市軌道交通系統(tǒng)運營可靠性進行了建模，但未進行具體的分析與計算。Song等［13］利用有色Petri網(wǎng)來表示和擴展故障樹，以進行系統(tǒng)可靠性評估和危害分析，以列車相撞模型為研究案例，基于模型仿真和狀態(tài)空間分析，驗證了該新方法的性能和優(yōu)勢。

目前文獻主要側重于對信號或運營系統(tǒng)的建?；驅TCS系統(tǒng)及其中的無線子系統(tǒng)進行分析，還沒有對城市軌道交通應用廣泛的“BM-CBTC”系統(tǒng)采用CPN建模分析研究。本文采用CPN建模對“BM-CBTC”進行系統(tǒng)切換的時間特征分析，以評估其在不同設計原則下對運營的影響程度，亦可為后續(xù)多模列控的分析提供參考。

軌道交通列車控制系統(tǒng)的間隔防護方式分為固定閉塞、準移動閉塞和移動閉塞，列車和軌旁之間的通信方式可分為基于點式信標的點式（block mode，BM）系統(tǒng)、基于軌道電路的列車控制（track circuit based train control，TBTC）系統(tǒng)和基于通信的列車控制（communication based train control，CBTC）系統(tǒng)。

CBTC系統(tǒng)的軌旁列控和車載列控間采用無線局域網(wǎng)（wireless local areanetwork，WLAN）、長期演進技術（long term evolution，LTE）或其他自由無線系統(tǒng)進行通信，實現(xiàn)雙向、高速、實時連續(xù)傳輸。CBTC車載列控主動計算列車位置并通過自由無線發(fā)送到軌旁，軌旁列控基于移動閉塞算法實時計算區(qū)域內所有列車的安全包絡并為各列車返回移動授權信息。如圖1所示，列車B可實時追蹤至列車A的尾部，實現(xiàn)小間隔運營。

圖1 基于移動閉塞的CBTC系統(tǒng)Fig.1 CBTC system based on moving block

BM系統(tǒng)的軌旁列控通過有源信標將信息傳輸至車載列控，僅能實現(xiàn)軌旁列控到車載列控單向、非實時且不連續(xù)的傳輸。BM車載列控僅在列車經(jīng)過有源信標時才能獲得軌旁列控發(fā)送的移動授權信息。BM系統(tǒng)中列車的位置由軌旁設置的計軸或軌道電路來檢測，在此基礎上軌旁列控基于固定閉塞算法計算軌旁信號機狀態(tài)，并將該狀態(tài)通過有源信標發(fā)送給車載作為列車的移動授權。如圖2所示，列車B可運行至列車A所在進路的始端防護信號機處。

圖2 基于固定閉塞的BM系統(tǒng)Fig.2 BM system based on fixed block

CBTC系統(tǒng)以其高效的性能成為了城市軌道交通領域的主流列控系統(tǒng)，但該系統(tǒng)嚴重依賴于車地無線通信，當無線受到外部干擾時系統(tǒng)就完全不可用，對運營造成較大影響。BM系統(tǒng)結構簡單，建設和運維成本相對較低，系統(tǒng)受外部影響小，但運行效率較低，僅適用于追蹤間隔要求不高的項目。為了平衡系統(tǒng)的效率、經(jīng)濟性和可靠性指標，國內廣泛應用的CBTC系統(tǒng)絕大多數(shù)項目均采用了BM作為后備模式，構成“BM-CBTC系統(tǒng)”。

BM-CBTC系統(tǒng)如圖3所示，軌旁由負責基礎信號設備管理、進路管理和BM下列車間隔防護的計算機聯(lián)鎖（computer interlocking，CI）、負責CBTC下列車間隔防護的區(qū)域控制器（zone controller，ZC）、負責BM變量編碼的線路編碼單元（line encoding unit，LEU）和負責定位及變量傳遞的信標（Beacon）組成，車載由負責列車主動定位及安全防護的車載控制器（carbone controller，CC）及相應測速定位等外圍設備組成。其中CBTC由CI、ZC、CC、Beacon和數(shù)據(jù)通信系統(tǒng)（data communication system，DCS）組成，BM由CI、LEU、Beacon和CC組成，兩種模式復用CI和部分軌旁設備如信標、列車檢測設備等。

圖3 BM-CBTC系統(tǒng)結構圖Fig.3 Structure of BM-CBTC system

正常情況下，系統(tǒng)運行于CBTC模式，如圖4所示。CC通過測速定位單元主動計算并向ZC報告列車當前位置，ZC根據(jù)CI報告的進路狀態(tài)和CC報告的列車位置計算列車可運行的距離，即CBTC下的移動授權，通常是前行列車的尾部。

當DCS系統(tǒng)故障或ZC故障時，需要司機選擇BM模式，但此時由于列車尚未獲取到設置于軌旁固定位置的有源信標（如圖5中的Beacon）的信息而無法以BM模式運行，需要以限速RM（restricted mode）模式運行通過有源信標獲得有效BM變量信息后，列控系統(tǒng)才能切換至BM模式運行，如圖5所示。BM-CBTC系統(tǒng)模式切換流程如圖6所示。

為驗證列控系統(tǒng)模式切換實時時間參數(shù)特征，需要對其功能進行完整分析并對運行過程進行仿真。有色Petri網(wǎng)CPN作為一種形式化建模的工具，可對復雜系統(tǒng)的功能完備性和邏輯的正確性進行驗證，同時由于其模型具有可執(zhí)行的特點，便于對并發(fā)

系統(tǒng)進行動態(tài)時間特性分析，以評估其時間特征和置信區(qū)間。分層賦時CPN的這些特征符合多模列控系統(tǒng)模式切換功能實時性分析的需求，以下采用該工具進行建模并加載參數(shù)仿真運算，模擬列車實際運行過程模式切換場景。

圖4 CBTC模式運行示意圖Fig.4 Operation diagram of CBTC mode

圖5 BM模式運行示意圖Fig.5 Operation diagram of BM mode

圖6 BM-CBTC系統(tǒng)模式切換流程圖Fig.6 Flowchart of BM-CBTC system mode switching

2.1 BM切換至CBTC

由于CBTC模式采用的是連續(xù)的無線傳輸，當列車在BM模式下運行時，車載列控仍然可以隨時接收軌旁列控發(fā)送的信息，一旦收到有效的CBTC移動授權，列車可自動切換至CBTC模式運行，該切換為實時切換，時間延時為零，無須進行建模分析。

2.2 CBTC切換至BM

當列車需要從CBTC切換至BM時，BM模式并不能立即可用，這是由于BM是基于非連續(xù)式傳輸?shù)目刂葡到y(tǒng)，需要在指定點收到允許信號后才能生效。基于CBTC切換至BM模式的功能分析，建立分層賦時CPN模型如圖7所示，由庫所集P和變遷集T組成。

庫所集為

P={CBTC，CBTCUnavailable，Train stop，

}

Failure Alarm，staff confirm，RM，BM

其中，庫所CBTC、CBTCUnavailable、RM和BM分別表示列車所處的控制模式為CBTC模式、CBTC不可用模式、RM模式和BM模式，Train stop和Failure Alarm分別表示列車處于停車狀態(tài)和故障告警狀態(tài)，staff confirm表示中心調度人員授權司機切換控制模式。

變遷集為

T={LMA lost，Train Breaking，confirming，

}

Mode Change，BM Initial

圖7 CBTC轉BM模式CPN模型Fig.7 CPN model of CBTC switching to BM

其中，變遷LMA lost（Limitation of Movement Authority）描述車載移動授權丟失過程，列車控制模式的切換由該變遷結束后開始，故該變遷不影響模式切換的實時性；變遷confirming為司機與調度間請求確認模式切換的過程，根據(jù)地鐵處置流程，該時間通常為1～2 min之間，此處采用occ（）離散分布函數(shù)從中隨機產(chǎn)生一個延時時間值；變遷Mode Change描述司機觸發(fā)切換模式開關的過程，目前未有文獻對軌道交通司機切換控制模式所需時間進行專題研究，但在道路交通領域對司機反應時間有較多研究，在復雜環(huán)境下通常為0.4～1.2 s［14］，此處利用act（）離散分布函數(shù)從該范圍中產(chǎn)生；變遷BM Initial和變遷Train Breaking均為置換變遷（即substitution transition，子系統(tǒng)的替代變遷［15］），分別表示列車制動過程子系統(tǒng)和BM初始化過程子系統(tǒng)。

圖中“M x S”是本模型托肯（Token）聲明，由控制模式（Mode，M）和速度（Speed，S）組合而成，即此模型的Token設置為：

式中：Mode為車載當前的控制模式，可取值范圍包括CBTC模式、BM模式、RM模式和NA（無模式）；speed為列車當前的速度，0.1 m·s-1；Time為時間戳，ms。

比特幣地址=Base58{Hash160||前4字節(jié)（SHA256(SHA256(Hash160||地址版本號）））}

圖中“（m，s）”為庫所與變遷之間傳遞的變量，其中m為當前傳遞的模式，s為當前傳遞的速度，其中模式m的初始值為CBTC，速度s的初始值是由v（）隨機函數(shù)產(chǎn)生的。

置換變遷Train Breaking由庫所tractiontobreaking和 變 遷noaction，traction和breaking組成，用來描述列車由CBTC模式不可用狀態(tài)（CBTCUnavailable）開始緊急停車至列車完全停穩(wěn)（Train stop）的過程，如圖8所示。

模型中庫所CBTCUnavailable代表列車的CBTC模式不可用狀態(tài)、Train stop代表列車完全停穩(wěn)的狀態(tài)、traction tobreaking代表列車由牽引轉換為制動的狀態(tài)。

模型中的變遷根據(jù)列車速度的不同有兩條可能的路徑，通過并發(fā)過程來描述，并由變遷的警衛(wèi)函數(shù)（guard function）根據(jù)列車速度s加以守護：

當列車的速度為0（s=0）時，即意味著列車已經(jīng)為停穩(wěn)狀態(tài)，此處無需制動過程（noaction）及相應的時延，可直接轉至列車停穩(wěn)狀態(tài)（Train stop）。

當列車速度大于0（s＞0）時，列車需要經(jīng)歷一個由牽引切除（traction）到制動施加（breaking）直到列車完全停穩(wěn)的過程，該過程遵守IEEE1474-1標準中的列車安全制動模型［16］，相關參數(shù)取自該標準和實際的上海地鐵10號線項目參數(shù)文檔。

變遷noaction是在列車速度為0時產(chǎn)生的緊急制動行為，此變遷不產(chǎn)生任何變化。

變遷traction描述列車由緊急制動觸發(fā)至牽引切除的過程，在此過程中列車仍然可能以一定的加速度運行，該變遷的時延teb包括列車緊急制動觸發(fā)的反應時間0.75 s［16］和車載運算時間0.35 s，該變遷的行為對列車在觸發(fā)緊急制動的牽引切除階段的速度進行了重新計算，acc（）函數(shù)根據(jù)列車的加速度和列車的時延teb重新計算列車的速度并通過s1傳遞。

圖8 置換變遷Train BreakingFig.8 Substitution transition Train Breaking

圖9 置換變遷BM InitialFig.9 Substitution transition BM Initial

圖9中功能分析如第1節(jié)所述，車載BM的初始化成功需要列車讀取到（列車到達BM信標位置）具有允許變量的信標（BM信號機已開放），變量變?yōu)樵试S狀態(tài)由兩個條件組成，即進路已建立和進路內空閑，因此該功能模型可簡化為三個并發(fā)的過程：區(qū)段出清（變遷Spacing enough）、進路建立（變遷Route Set）和列車已到達BM信標的讀取位置（變遷RM to beacon）。置換變遷BM Initial中的詳細模型變量及說明如表1所示。

表1 置換變遷BM Initial的模型變量定義Tab.1 Definition of model variables of substitution transition BM Initial

對于變遷Route Set，由于CBTC模式下建立進路的起始時刻與BM模式下建立進路的起始時刻是同一時刻，而建立進路僅需在同1個運算周期內完成，對于外部系統(tǒng)相當于瞬時變遷，因此該處變遷的時延設為0。變遷Spacing enough和變遷RM tobeacon的時延與列車當前位置、前車的位置、列車與信號機間的位置密切相關。

如圖10所示，A車為BM初始化列車，B車為CBTC列車，A車在模式切換前以CBTC模式追蹤B車運行。圖10中tCBTC為CBTC模式的設計運行間隔，tBM為BM模式的設計運行間隔，t1為A車因CBTC模式不可用時從所停的位置以RM的速度運行至最近的BM信標所需的時間，即變遷RM tobeacon所需的時間，其最大值為以RM速度（vRM）運行BM設計運行間隔的距離（vBM?tBM）所需的時間，即考慮到模式切換可在任意位置發(fā)生，該時間值采用隨機函數(shù)t（1）產(chǎn)生。

圖10 置換變遷BM Initial的時間分析示意圖Fig.10 Schematic diagram of time analysis of substitution transition BM Initial

變遷Spacing enough所需時間為圖10中的t2：

式中：Δ為BM設計運行間隔與CBTC設計運行間隔的差值。

根據(jù)第2節(jié)建立的BM-CBTC系統(tǒng)CPN模型和項目實踐，相關參數(shù)配置如下：CBTC模式和BM模式最高速度為80 km·h-1；RM模式最高速度為25 km·h-1；CBTC模式列車運行設計間隔為2 min；BM模式列車運行設計間隔為2、3和5 min。根據(jù)仿真運行的數(shù)據(jù)，不同BM設計間隔情況下的CBTC切換至BM模式的實時性見表2。為保證數(shù)據(jù)樣本足夠充分，CPN模型針對BM模式2、3和5 min設計間隔均進行10萬次仿真運行，得到模式切換時間分布情況如圖11所示。

表2不同BM設計運行間隔下的CBTC切換至BM的實時性Tab.2 Real-time performance of CBTC switching to BM at different BM design intervals

由仿真運算的結果可以得知，由基于通信的列車控制（CBTC）模式切換至點式控制（BM）模式時：

無論tBM值的大小，模式切換最大值均大于5 min，即CBTC故障時存在5 min以上晚點的可能，既使在2 min的間隔下仍有45.6%的概率；模式切換的均值及90%置信區(qū)間僅在tBM值為2 min時才小于5 min，即對于5 min晚點要求苛刻項目，其BM的設計間隔不能大于2 min。

圖11 BM設計間隔2，3，5 min時切換時間分布Fig.11 Time distribution of mode switching with BM design interval of 2，3，and 5 min

4 結論

本文對BM-CBTC系統(tǒng)的模式切換功能及流程進行了分析，當BM切換至CBTC模式時可以做到零延時切換，但CBTC切換至BM模式有一定的時延。為評估CBTC切換至BM的實時性，采用分層賦時CPN進行了功能建模和運行仿真計算，結果表明：當CBTC故障降級至BM模式時，僅當BM設計運行間隔為2 min時，運行晚點時間控制在5 min以內才有較大可能性。對于不同運營質量要求的線路可參考表2進行BM模式下設計間隔的選擇，在保證服務質量的前提下盡可能減少設備數(shù)量，以達到最優(yōu)性價比。

作者貢獻申明：

汪小勇：提出研究思路、設計研究方案、數(shù)據(jù)收集、建模、實驗、論文撰寫；

董德存：提出研究思路、實驗結果分析、論文修改；

歐冬秀：提出研究思路、實驗、實驗結果分析、論文修改；

紀玉清：數(shù)據(jù)收集、實驗、實驗數(shù)據(jù)分析、論文修改。