高安全高可靠测速测距系统的设计与实现

陈文赛

（南京恩瑞特实业有限公司，211106，南京∥高级工程师）

车载列车自动防护系统是CBTC（基于通信的列车控制）系统的核心安全子系统之一，控制列车安全可靠地运行。通过检测传感器的数据，获得列车当前的运行速度、运行距离以及在线路上某些点的绝对位置等数据信息，从而定位列车和实时计算列车当前位置的安全限速，以实施超速防护，保证列车安全运行。测速测距系统实时地为车载列车自动防护系统提供列车的运行速度、距离、运行方向、空转打滑等信息，是车载列车自动防护系统的重要组成部分，其高可靠性、高安全性是实现车载列车自动防护系统功能和性能的基础。随着无人自动驾驶系统的应用，对测速测距系统的安全性和可靠性提出了更高的要求。

测速测距系统通常使用轮轴转速计（OPG）、多普勒测速雷达、加速度计等传感器，通过结合各传感器的优缺点，采用多路传感器异构融合的测量方式［1-3］，实时采集列车的运行速度和运行距离等数据信息。

本文介绍的测速测距系统主要采用2路OPG，实现高精度的测速测距。同时融合雷达传感器信息，消除由于车轮发生空转打滑产生的测量误差。对于测距和定位需求，则在2路OPG和1路测速雷达多传感器融合的基础上，增加与车载应答器接收单元（BTM）的融合；利用OPG和测速雷达的数据融合计算距离，同时根据线路数据信息，通过应答器进行位置修正，以减少距离计算的累积误差［4］。

1 测速测距系统的安全性设计

测速测距系统的开发遵循了城市轨道交通行业普遍使用的V&V（验证和确认）全生命周期开发模型。在系统定义、需求分析、架构和模块设计等阶段进行同步的验证和确认工作；采用SCADE（基于模型驱动的安全开发验证平台）工具进行系统的设计和验证；使用白盒、黑盒和集成测试等方法进行全过程测试；系统风险采用故障树（FTA）、故障模式影响分析（FMECA）、危险及可操作性分析（HAZOP）等方法进行分析。

测速测距系统采用异常防护、CPU与内存检测等方法，对运行中的信息错误、地址错误、应用逻辑异常等情况进行防范。由于车载设备运行环境恶劣，容易受到电磁干扰，采用时间戳与CRC（循环检验码）校验等手段，保证传感器、MVU（测速测距单元）、MPU（主处理板）各个接口之间数据传输的正确性；同时对通信异常设定了容忍时间，在容忍范围内丢弃异常数据。如果异常数据超过容忍值，则视为通信故障。

测速测距系统由2块互为热备的MVU组成，每块MVU上有3路相同的控制模块（处理器采用DSP（数字信号处理器）），分别与车载列车自动防护系统的三取二安全计算机平台的3块MPU通信［5］。MVU与MPU之间采用基于同步脉冲的紧同步策略，MVU上的3个DSP采用独立时钟，并进行任务级同步，进一步保证了系统的安全性和可用性。

测速测距系统对传感器数据进行融合时遵循“故障导向安全”原则，系统三路控制单元分别实时采集和计算各传感器的数据，判断当前数据是否在置信区间内，从而确定传感器是否有异常值；若有持续异常值，则判断此传感器数据故障，并置位此传感器状态位故障，不再使用此故障传感器的数据。若某一控制单元判断2路及以上传感器数据故障，则置此控制单元故障。若存在2路及以上控制单元故障，则置此MVU故障。

2 可靠性设计

2.1 架构可靠性

通常，安全系统采用的结构主要有表决结构、并联结构或表决与并联结构。目前，轨道交通信号系统多使用二取二、三取二、二乘二取二等几种冗余架构。［6］

分别计算出二取二、三取二、二乘二取二、二乘三取二热备的可靠性。假设各单元模块故障服从指数分布，通过MATLAB仿真软件得到几个架构的可靠度曲线［7-8］，如图1所示。

图1 架构可靠性比较

通过上述仿真分析可以发现，在系统运行的各个时刻，本系统采用的二乘三取二架构具有最高的可靠度，即其可靠性最高。

2.2 避错容错处理

运行环境变化、硬件故障、电磁干扰和软件中的隐藏错误均会产生系统故障，从而降低可靠性。其中，运行环境变化可通过硬件设计、元器件质量控制等技术避错，硬件故障、电磁干扰和软件错误则可通过故障检测、故障屏蔽及故障恢复等软件技术进行容错处理。本测速测距系统采用2个MVU备份冗余、单个MVU采用三取二、单路DSP采集3路传感器并进行融合和容错处理。

3 测速测距功能实现

3.1 系统功能设计

MVU采用TMS320F2812处理器，实现对各传感器数据的采集、处理及融合，并将处理后的数据报告给主控单元。内置时间处理模块，实时检测输入的2路正交编码脉冲。若时间处理模块采集到2路脉冲的上升沿和下降沿后，产生中断，即可得到单个脉冲的走行时间，从而得到此时列车速度；同时QEP（正交编码电路）通过解码逻辑判断超前的相位以确定列车的运行方向。列车轮对转1圈速度传感器输出N个脉冲，轮对的直径为D，在时间t内采集的脉冲数为n，则当前OPG采集的速度为vopg=。

测速雷达采用多普勒测速，数据通过RS485总线发送给MVU，多普勒频率差为fd，测速雷达发射波的波长为λ，测速雷达视线与地面的夹角为θ，则测速雷达的采集速度为vradar=。

在轨道上每隔一定距离安放一个应答器，BTM（车载应答器接收单元）读取地面应答器数据，并将有效数据发送给MVU，其与MVU采用RS422总线进行通信。

MVU通过对OPG和测速雷达采集的数据进行积分，得到列车的走行距离，同时根据地面上布置的应答器和存储的地图信息，比较列车走行距离和线路数据，判断定位的有效性，并更新列车的位置，从而实现列车的安全定位。

3.2 传感器融合处理

传感器在采集过程中由于各种干扰会采集一些错误数据，需要对其采集的数据进行滤波处理，并结合各传感器特点，采用合理的融合方式得到测速测距结果。图2为MVU数据流示意图。

图2MVU数据流示意图

MVU应用周期为100 ms，对采集的各传感器数据进行计算、处理、融合。其中OPG数据和测速雷达数据每10 ms采集一次，则OPG和测速雷达每周期内有10组数据，根据上周期速度和加速度预测本周起速度范围，对10组数据进行可信判断，去除置信区间外的数据，提高数据的可靠性，并得到本周期此传感器的原始速度、距离、方向等信息。

OPG和测速雷达的原始数据进过滤波后，对置信区间内的数据进行处理。考虑列车的惯性，OPG和测速雷达的速度计算公式如下：

式中：

vOPG1——OPG1实时计算的速度；

vc1——本周期OPG1采集的速度；

A1——OPG1加速度；

T——MVU处理周期；

β11、β12、β13——系数，β11+β12+β13=1；

vOPG2——OPG2实时计算的速度；

vc2——本周期OPG2采集的速度；

A2——OPG2加速度；

β21、β22、β23——系数，β21+β22+β23=1；

vradar——测速雷达实时计算的速度；

vc——为本周期测速雷达采集的速度；

A3——测速雷达加速度；

β31、β32、β33——系数，β31+β32+β33=1；

v——计算列车速度；

γ0、γ1、γ2、γ3——系数，γ0+γ1+γ2+γ3=1；

k——第k个计算周期。

各参数选取与传感器性能、测速误差、数据可信度等相关。

3.3 系统故障处理

（1）系统故障。分为单点故障和共模故障。单点故障为单个单元故障，如系统中某个模块的元器件故障，不影响其他模块工作。本系统采取二乘三取二架构，单点故障不影响其他几个单元，系统仍可正常工作。共模故障指单个原因引起的系统多个单元发生故障模式相同的失效，且各失效之间没有因果关系，一般由设计、环境、人为因素等造成，如电磁干扰会造成OPG采集产生尖峰脉冲、水面造成雷达测速无效等。系统采用多传感器融合方式，实时检测各传感器状态，若单个传感器采集故障，可利用其它传感器进行测速测距。对于环境和人为因素，系统采用电磁屏蔽、各DSP独立设置运行时钟异步运行采用任务级同步等手段来防护共模故障。

（2）测速雷达故障。根据测速雷达报文判断是否存在通信异常、无有效数据、无有效方向等故障，并根据列车运行趋势判断数据是否合理。在低速情况下，鉴于其采用的多普勒原理，此时雷达测量的数据误差较大，在此情况下视为故障，不采用此数据。

（3）OPG故障。对于OPG，根据列车运行趋势和有效测速雷达数据判断其是否存在尖脉冲干扰、空转打滑、锁定、速度距离计算不一致等异常情况，并在合理范围内进行异常处理、滤波。

（4）BTM故障。对于BTM，根据BTM报文判断是否存在通信异常、BTM状态错误、版本号错误等故障，并根据地图信息判断BTM返回数据的可信性。

（5）数据融合。对于经过异常判断的传感器采集数据，每周期进行速度融合时，判断两两之间速度差是否在合理范围内，对不合理数据进行标记，若连续错误则视为此传感器故障。方向融合时，判断是否有传感器方向不合理，并进行标记，连续错误则视为传感器故障。距离融合时，若2路OPG正常运行，对于2路OPG采集的距离进行比较，若这2路相差过大，分别与雷达速度积分的距离进行比较，若合理则采用本OPG数据，否则认为数据采集故障。

（6）DSP故障。3路DSP分别计算完数据后，向其他2路发送计算后的数据。3路DSP数据进行容差处理，判断数据是否合理，并对不合理的DSP进行标记。若连续故障，则判断此路DSP故障。

3.4 SCADE开发

本系统针对测速测距模块采用SCADE进行设计实现。SCADE是基于模型驱动的安全开发验证平台，过程覆盖从需求到代码实现的整个生命周

期［9-10］。

（1）SCADE建模。本系统采用数据流图和安全状态机2种方式进行建模，对建立的模型采用SACDE用semantic checker进行静态分析。代码生成采用KCG生成器，已通过SIL4安全认证，满足测速测距系统的安全需求，可直接嵌入至系统中。本系统对传感器数据处理、融合、空转打滑处理、定位处理等安全功能采用SCADE进行建模。图3为OPG处理SCADE状态图。

图3OPG处理SCADE状态图

（2）形式化验证。Design Verifier是根据一定的机制遍历SCADE模型的所有输入，判断系统是否满足预先设定的安全条件。测试案例不能保证模型在安全上的正确性，而Design Verifier具有安全验证完整性。通过设置系统指定的安全属性，验证模型是否满足此属性。若模型安全，验证器输出安全证明，否则输出一个反例警告。其验证公式为：{输入}{模型}{输出}{安全需求功能断言}{安全例证}。例如：对于三取二模块，3路DSP采集的数据可能存在一定的误差，但是误差应在一个比较小的阈值范围内。若某路速度计算与其他2路速度相差过大，则认为此DSP数据计算错误，置为故障。其需要满足的安全需求为：若某路DSP数据与其他2路计算数据相差在阈值范围之外，则此路DSP置为故障。将此功能需求加入验证模型中进行验证，其结果为有效。

（3）覆盖率测试。为提高系统的功能安全，采用MC/DC（Modified Condition/Decision Coverage）方法进行结构覆盖率分析，可满足欧洲标准EN 50128对单元测试覆盖率（同时使用分支和组合条件覆盖）的要求。MC/DC是满足全局的准则，针对每一个布尔表达式。定位功能覆盖率分析如图4所示。

3.5 系统实现

经过对测速测距系统板卡的器件进行可靠性分析，单块MVU板的失效率为9.003 16×10-6，可靠性为12.679 46（年）；2块MVU板热备后，本测速测距系统的可靠性为58 699.608 8（年）。

系统在硬件和软件均按照安全相关标准进行安全性设计，已通过SIL4级安全认证。哈尔滨轨道交通3号线空转打滑处理结果如图4所示。

图4 哈尔滨轨道交通3号线空转打滑处理结果

4 结语

安全性设计和可靠性设计是决定测速测距系统性能的关键环节。相对目前主流的三取二、二乘二取二冗余结构，本测速测距系统采用二乘三取二结构，在可靠性和安全性指标上具有更明显的优势。同时采用多传感器异构融合的测速测距算法，使系统能适应各种运行场景。

该测速测距系统在架构设计、模块设计、接口设计中综合运用了多种安全设计技术、故障处理，使本系统达到了SIL4的要求，通过了第三方独立评估机构的安全认证，并在哈尔滨轨道交通3号线一期工程中得到成功应用。

［1］ 周达天.基于多传感器信息融合的列车定位方法研究［D］.北京：北京交通大学，2007.

［2］ 刘江，蔡伯根，王剑，等.基于灰色理论的列车组合定位轮径校准方法研究［J］.铁道学报，2011，33（5）：54.

［3］ 蔡煊，王长林，林颖.基于轮轴速度传感器和加速度传感器的混合测速测距算法研究［J］.城市轨道交通研究，2015，18（3）：32.

［4］ 牛道恒，刘岭，崔俊锋，等.高速列车测速测距系统滤波模型与融合策略研究［J］铁路通信信号工程技术，2011，8（4）：8.

［5］陈文赛.一种高可靠、高安全性系统——三取二计算机系统［J］.现代雷达，2004，26（6）：19.

［6］ 王悉，马连川，袁彬彬.2取2乘2安全计算机平台的设计与实现［J］.都市快轨交通，2011，24（4）：17.

［7］ 高继祥，郑俊杰.双机热备计算机联锁系统可靠性与安全性指标分析［J］北方交通大学学报.1998，22（5）：73.

［8］ 马连川，穆建成.四模冗余结构在铁路信号控制系统中的应用［J］.兰州交通大学学报（自然科学版）.2005，24（3）：106.

［9］李俊杰.基于SCADE的定位系统设计及验证［D］.四川：西南交通大学，2014.

［10］张路.基于SCADE的CBTC区域控制器软件开发［D］.北京：北京交通大学，2010.