基于最大偏差准则的列车卫星定位完好性监测方法

陆德彪, 唐德璋, 蔡伯根,3, 王 剑, 上官伟

(1. 北京市轨道交通电磁兼容与卫星导航工程技术研究中心，北京 100044；2. 北京交通大学电子信息工程学院，北京 100044；3. 北京交通大学轨道交通控制与安全国家重点实验室，北京 100044)

铁路作为一种方便快捷的交通工具，是国民经济发展的“大动脉”，有着运量大、全天候、成本低等优点，是我国最重要的交通运输方式之一。我国铁路除了进一步在全国建设高速铁路，还在加快西部铁路建设，拓展西部路网，积极优化路网布局，缩小东西部差距，保证我国经济建设全面、平衡和健康发展。然而我国西部铁路大多分布在高原、高山等恶劣环境下，运量低，且大部分线路都是单线铁路，已有的部分线路信号设施不完善。目前铁路上采用的是固定闭塞制式追踪列车，即通过应答器、轨道电路和其他轨旁设备结合，实现列车定位、追踪间隔，需要消耗巨大的建设与维护资源[1]。同时由于铁路现场实际环境，部分线路难以铺设大量地面信号设备。

基于卫星定位的列车定位技术可以大量减少轨旁设备，降低基础设施成本与维护成本，减少铁路员工的工作量。我国于2006年在青藏铁路上应用了美国通用电气公司的增强型列车控制系统ITCS(Incremental Train Control System)，采用差分GPS定位结合车轮传感器、电子地图实现列车的测速、定位[2]。应用于列车运行控制系统的卫星定位技术及其相关设备，需要满足铁路列车运行控制系统的安全性规范和标准。因此，基于卫星定位系统和铁路电子电气设备性能评估指标的评估方法，对量化及有效、合理降低基于卫星定位的列车定位功能的安全风险有着重要指导意义。

众多学者对列车卫星定位的安全评估方法进行了研究。国外方面，文献[3]对卫星定位在铁路生命安全领域的应用进行了研究，根据用户位置误差与告警阈值的关系建立完好性风险和连续性风险的失效模型，确立了GNSS(Global Navigation Satellite System)质量评价指标与铁路RAMS指标之间的映射关系。文献[4]针对EGNOS的完好性风险使用故障树分析方法进行分解，对不同环境场景下完好性风险进行分配。文献[5]采用运行场景经验反馈OEF(Operational Experience Feedback)方法，对基于卫星定位的列车定位方案，在森林、隧道、铁路路堑和城市四种典型铁路运行场景下进行RAMS分析。选择原始数据(伪距、估计位置以及参考位置)，并对导致卫星定位功能状态变化的信息进行预处理，如比较估计位置和真实位置、计算误差值并与精度阈值进行比较，记录每次采样时的系统状态，最后分析RAMS指标的数值，为研究卫星定位铁路应用性能评估方法提供了一套分析流程。

国内方面，文献[6]提出了基于虚拟应答器的GNSS列车安全定位风险分析方法，在安全应用层的实现方法上，分析了GNSS虚拟应答器实现安全层的风险分配，提出了GNSS虚拟应答器的风险指标方法。文献[7]针对常规接收机自主完好性监测RAIM(Receiver Autonomous Integrity Monitoring)算法，提出了一种北斗列车定位RAIM可用性预测方法。该方法利用北斗导航系统历书信息和列车运行计划，对实际行车过程中的完好性状态进行预测，为列车在途定位完好性监测计算提供先验信息，确保定位结果能够满足应用需求。

完好性监测方法能够确保卫星定位技术应用于铁路系统时，在存在故障、异常的情况下及时发出告警，进行隔离。RAIM技术的基础是1986年LEE[8]提出的距离比较法，算法通过计算观测值的预测值并与实际值进行比较，进行故障卫星检测。1988年，PARKINSON等[9]提出最小二乘残差法，通过对观测模型状态量进行最小二乘估计，构造估计值与实际值间误差的残差，根据卡方分布的特性计算检测统计量和检测阈值，再进行对比判断是否存在故障卫星。同年STUTRA[10]提出了奇偶矢量法，将观测矩阵进行QR分解得到奇偶矢量矩阵和奇偶空间矩阵，再将误差投影在奇偶空间中，构造观测统计量与阈值进行比较，识别故障卫星。这三种方法被证明是等价的，且在只有一颗故障卫星的情况下监测效果较好[11]。其中，奇偶矢量法的计算更简便，但由于涉及矩阵的QR分解，算法设计难度较其他两种方法更高，需要考虑矩阵分解时算法的精度问题。

水平保护级别HPL(Horizontal Protection Level)是指定位过程中允许的最大误差，反映了系统运行时的位置安全水平。RTCA DO-229标准将水平保护级别定义为统计误差，确保位置误差超过给定阈值的概率是在所要求的完好性风险之内。如果计算出的水平保护级别大于给定的告警阈值，那么系统应当在告警时间内生成警告并通知用户。若水平保护级别未超过告警阈值，则定位信息可用；否则定位信息不可用。最早由LEE[12]提出HPL方法。HPL估计是RAIM的关键部分，在识别故障卫星后，计算得到权值，再结合最小可检测偏差得到最终的水平保护级别估计值。最小可检测偏差与伪距观测量标准偏差、卫星可见数、允许的误警率以及漏警率有关。

在传统的HPL估计方法之上，部分学者考虑了其他影响因素，提出了新的估计方法。文献[13]基于最小二乘残差法的传统HPL估计方法，考虑了噪声对水平保护级别计算结果的影响，在计算中加入代表噪声影响的圆概率误差，获得了基于最大水平偏差和噪声相互作用的HPL估计方法。

对于基于卫星定位的列车定位方案的安全评估，需要按照完整的评估方案，量化相关性能指标，从而保证卫星定位技术在铁路行业的发展与应用。本文主要针对水平保护级别的量化方法进行研究，提出一种基于最大偏差准则的完好性风险量化方法。在最小二乘残差法的HPL 估计方法(传统方法)的基础之上，考虑了观测噪声对水平保护级别的影响，提高水平保护级别计算结果的可信度。

1 卫星定位完好性及铁路电子设备安全完整性概念

1.1 完好性

GNSS性能评价有四项指标，除完好性之外，还包括精度、连续性和可用性，这四项简称为ACAI指标。连续性、可用性和完好性都是建立在精度指标评估方法基础上的，是其他3个性能指标的基础。可用性是在长时间下的性能指标，而连续性是特定时间间隔内的平均性能指标，因此连续性和可用性相关，且可用性建立在连续性的基础之上。完好性则独立于连续性和可用性，是对卫星定位结果是否可信的评价。四项性能指标之间的关系如图1所示[14]。

图1 GNSS的ACAI性能指标间的关系

完好性是评价GNSS性能的重要指标之一，包括了系统向用户提供及时有效的告警信息的能力[15]。卫星定位系统不会一直处于正常运行的状态，因此要求能够在系统出现问题时及时检测出故障并在可接受的时间范围内报警。

完好性具体可分为4个特征：告警阈值AL(Alert Limit)、告警时间TTA(Time to Alert)、完好性风险IR(Integrity Risk)和保护级别PL(Protection Level)。本文中主要考虑告警阈值和保护级别，两者的具体定义为[16]：

告警阈值：安全运行所允许的最大位置误差，超过阈值系统应及时向用户发出报警。该参数可进一步分为水平告警阈值HAL(Horizontal Alert Limit)和垂直告警阈值VAL(Vertical Alert Limit)。

保护级别：为保证绝对位置误差超过所述数值的概率不超过目标完整性风险而计算的统计误差限界。与告警阈值相似，保护水平可以进一步分为水平保护级别HPL(Horizontal Protection Level)和垂直保护级别VPL(Vertical Protection Level)。

由于列车沿固定线路运行，在铁路领域通常只考虑水平方向的特征，即水平告警阈值和水平保护级别。

1.2 安全完整性

在铁路信号领域度量系统服务质量时，通常使用可靠性、可用性、可维护性和安全性四项指标，即铁路RAMS指标。RAMS指标关系如图2所示。安全性与可用性之间是相互关联的，安全性要求和可用性要求的不足可能会妨碍系统的可靠实现。而只有满足了所有可靠性和可维护性要求，才能实现安全性和可用性目标。

图2 铁路RAMS指标关系

根据EN 50126标准[17]，安全性定义为免受不可接受的损害风险的能力。为了定量评估铁路信号系统中的安全性，EN 50129标准[18]对安全性的需求进行了详细的介绍，定义了安全完整性，并通过安全完整性等级SIL(Safety Integrity Level)描述铁路安全相关系统的安全目标。安全完整性的定义为：在规定的操作环境和时间内，安全相关系统在所有规定条件下实现其所需安全功能的能力。安全完整性越高，系统无法实现所需安全功能的可能性就越低。而安全完整性等级就是表示系统在系统故障方面满足其规定安全功能所需置信度的数字。安全完整性分为4个等级，从低到高依次分SIL1、SIL2、SIL3和SIL4[18]。

在EN 50129标准[18]中，系统功能的安全目标被分为定性安全目标和定量安全目标，定性安全目标采用安全完整性等级描述，定量安全目标采用可容忍危险率THR描述，两者之间通过SIL表进行转换，见表1。

表1 SIL表

由此可见，对卫星定位铁路应用进行安全分析时，需要同时考虑GNSS的ACAI指标和铁路的RAMS指标，并最终按照铁路安全完整性指标中风险率HR进行评估。风险率的估计，通过卫星定位完好性指标中HPL和HAL之间的关系描述，即HR=p(HPL

2 水平保护级别估计方法

水平保护级别指标可以实现系统对定位结果的监测，确保定位结果安全可信。文献[19]提出了一种计算水平保护级别的新方法，将完好性风险与水平保护级别通过位置误差的概率联系起来。这一方法体现了水平保护级别不仅可用于评价定位结果的完好性，还可用于评价定位结果在铁路应用场景中的安全性。但该计算水平保护级别的方法比较复杂，因此目前计算水平保护级别的方法是基于近似解，并考虑最不利情况下的偏差来进行计算。基于最小二乘残差法的水平保护级别估计方法是常用的水平保护级别估计方法之一，本文称之为传统水平保护级别估计方法。

2.1 传统水平保护级别估计方法

卫星观测模型中，伪距观测模型为

y=Ax+ε

(1)

式中：A为卫星观测矩阵；ε为每颗卫星观测伪距噪声组成的向量，服从正态分布。在此基础上，推出伪距残差矢量v为

(2)

式中：P-1为观测噪声协因数矩阵,A和P-1可以根据传统卫星观测模型计算得到，具体计算过程不在此赘述；H=(ATPA)-1ATP；Q=P-1-A(ATPA)-1AT。v中包含有卫星测距误差的信息，可以用来判断有无故障卫星。利用伪距偏差向量b是否为0向量判断卫星是否具有故障，二元假设检验为

(3)

(4)

此时系统处于正常检测状态，若系统告警则认为是误警。根据给定的误警率α和χ2(n-4) 的概率密度函数，检测阈值T可通过式(5)确定。

(5)

(6)

λ也可以通过给定的漏警率β和非中心卡方分布的概率密度函数确定。

(7)

图3 统计量概率密度函数

可见卫星数目卡方分布自由度λ6249.987354.468457.769560.5310663.0411767.2412868.8913970.56141072.25

2.2 基于最大偏差准则的水平保护级别算法

(8)

观测模型中的伪距误差δx可以表示为

(9)

因此用户在水平方向的误差可以表示为[δEδN]T=[I20](ATPA)-1ATPb，为伪距偏差向量b的函数。水平方向的定位偏差可以表示为

(10)

(11)

可将非中心化参数λ代入，结合式(6)和式(11)可得

(12)

本文研究的情况为观测独立，且只有一颗卫星存在故障的场景，此时b为一维向量，式(12)可简化为

(13)

D=A(ATPA)-1AT

上述过程推导了伪距偏差向量与最大水平方向定位偏差间的关系，但实际情况中，噪声也会对水平保护级别产生影响，下面考虑噪声对水平保护级别的影响。这种噪声可以通过 (δE,δN) 误差来描述，这是一种在二维平面内的点位误差，通过圆概率误差来描述。本文以天线的真实位置为圆心，水平方向上以r作为包含95%定位结果的圆的半径，并用r的值衡量噪声对 (δE,δN) 的影响，记为CEP95，其定义可表示为

(14)

通过式(14)可以计算得到精确的CEP95，但计算过程较复杂，因此通常用式(15)计算。

CEP95=1.227 2(σE+σN)

(15)

(16)

图4 基于最大偏差准则的水平保护级别算法流程

通过式(16)，得到基于最大偏差准则的水平保护级别计算方法，算法流程如图4所示。首先读取接收机输出的标准NMEA语句中的GPGSV信息来获取可见卫星数、各可见卫星相对于接收机的仰角和方位角信息。在可见卫星数不低于5个时，利用卫星仰角和方位角信息计算观测矩阵、观测误差协因数矩阵，进而计算HPL值和观测噪声的CEP95值，最终得到基于最大偏差准则的HPL值。

2.3 危险失效概率计算方法

可容忍危险率是在对设备或系统进行危险识别和风险分析之后，根据判决结果确定风险率，并与可接受风险进行对比得出的危险失效概率的目标值。可容忍危险率代表对某种危害发生频率的容忍程度。而危险失效概率的定义是：特定设备或系统上运行的特定安全功能，在特定环境下工作时危害发生频率。因此有

HR≤THR

(17)

把卫星导航应用到铁路列车运行控制系统当中，作为列车间隔控制和安全包络估计的基础条件，需要考虑卫星定位的完好性和铁路安全相关系统中安全完整性的关系。

将卫星导航系统在用户端信号接收过程中出现的完好性状态问题进行分析，分析完好性监测算法在监测过程中出现的误警、漏警和监测正常共计3个场景下的完好性监测结果的性能。定位误差未超出告警阈值而由于诊断系统失效发出告警，这种情况称之为误警，误警率与系统的连续性风险有关。而在定位误差已经超出告警阈值时，系统未发生告警的情况称为漏警，是系统中最危险的失效，漏警率对应于完好性风险。通过完好性监测结果中的漏警概率进行危险失效率估计，估计的结果作为卫星定位铁路安全应用的可容忍危险率估计的输入。

对于应用卫星定位的列车运行控制系统，根据水平定位误差HPE、水平保护级别HPL和水平告警阈值HAL三者之间的大小关系不同，系统可分为5个不同的状态，定义如下：

(1)系统正常：HPE

(2)正常失效：HPE

(3)安全漏报：HPL

(4)非正常失效：HAL

(5)非安全漏报：HPL

图5为5种状态下HPL、HPE和HAL之间的关系。

图5 HPL、HPE、HAL关系对应5种状态

在卫星定位领域中，一般采用斯坦福图。以水平定位误差HPE为横轴，水平保护级别HPL为纵轴，将每一时刻的定位数据根据这两个参数打点显示在图上，并根据HPL、HPE和HAL三者之间的大小关系将二维平面分割成多个区域，对应不同的系统状态。通过斯坦福图，可以清晰地了解到整个试验过程中系统所处的状态，确定系统的完整性、可用性等性能。

图6为斯坦福图示例，将系统的状态划分为5种，对应上面定义的5种系统状态。根据图6中落在“非安全漏报”区域的点数，可以对漏警率计算，得到失效率λDU，即危险失效概率HR。在有大量数据验证的情况下，按照失效率计算方法得到的HR具有普适性，可认为此HR代表了在给定环境场景下卫星定位结果的风险水平。

图6 斯坦福图分析方法示例

文献[20]证明了IEC 61508中提出的每小时危险失效概率PFH与铁路电子电气设备的可容忍风险率的表述内涵与外延在铁路行业应用中等效。文献[21]认为，在1 h的时间间隔内，PFH约等于HR，HR为发生危险未检测失效的概率λDU。而危险未检测失效概率应对应于完好性风险[3]。因此，本文认为卫星导航ACAI性能指标体系中IR的概念等同于铁路安全相关应用RAMS中HR的概念。HR作为一种失效类型，表示为

(18)

式中：R(t)为系统的可靠性；f(t)为系统发生卫星定位功能发生完好性风险失效的概率密度函数。HR(t)·Δt代表在给定时间间隔(0,t)内系统没有发生故障的情况下，系统在时间间隔(t,t+Δt)内发生故障的概率。在系统可靠性非常高的情况下，可以认为R(t) = 1。

每小时的HR为

(19)

式中：Pf为危险未检测完好性监测失效概率；Δt为失效检测时间间隔。例如，根据Galileo生命安全服务中空间信号性能要求给出的参考数据，在任何时间间隔Δt=150 s内都应有Pf=2×10-7，通过时间扩展方法，可以计算每小时的HR为[22]

(20)

3 算法验证与评估

3.1 验证环境及方案

为验证本文提出的基于最大偏差准则的水平保护级别算法，分别使用静态环境和动态环境下的数据进行验证。静态环境数据来源于格尔木架设的基站使用K501采集的数据，动态环境数据为青藏线拉萨至日喀则沿线通过车载的和芯星通UB370接收机和 SPAN IMU-FSAS 系统采集的定位数据。UB370用于获取定位结果作为估计位置，SPAN IMU-FSAS系统提供原始GPS数据和IMU数据，并能够通过内置的融合算法生成精度更高的定位结果，因此将该系统输出的定位结果作为UB370时间测量结果的参考。

试验过程中，将接收机输出的定位结果作为估计位置，与参考位置进行比较，计算两者之间的误差值。该误差值用于初步判断系统在试验过程中的状态，作为后续进行传统水平保护级别估计算法和基于最大偏差准则的水平保护级别估计算法比较使用的参数，用于评估在整个试验过程中的状态分布。

图7为采集动态环境下数据时所使用的SPAN IMU-FSAS参考系统和UB370接收机被测系统，图8为试验线路的轨迹。

图7 SPAN IMU-FSAS系统和UB370接收机测量设备

图8 拉萨—日喀则线路轨迹

算法验证所采用的静态数据为2015年1月27日在格尔木架设的基站K501接收机的结果，输出频率为1 Hz，总数据量为18 029。动态数据为2019年1月1日从拉萨—日喀则全线，UB370和 SPAN IMU-FSAS 的结果，输出频率为10 Hz，总数据量为74 188。数据基本信息见表3。

表3 算法验证数据基本信息

整个试验过程中，各个数据点处水平误差如图9所示，静态环境下水平定位误差平均值为1.42 m，但波动较大，试验期间系统定位性能一般；动态环境下水平定位误差平均值为1.21 m，试验期间系统的定位性能良好。只有极少数数据点误差达到了数百米，通过粗大误差剔除方法进行剔除，本文使用莱以特准则，即以贝塞尔公式计算的标准差下，动态环境测量过程中出现大于3σ的残余误差测量值。图10和图11分别为试验过程中静态环境下的可见卫星数和HDOP值变化趋势。静态环境下，可见卫星数较多，但从HDOP变化趋势来看，卫星的几何布局不佳，定位结果误差较大；动态环境下，HDOP略优于静态环境，因此定位效果略优于静态环境。

图9 静态和动态运行环境下定位误差结果比较

图10 静态环境下的可见卫星数与HDOP值

图11 动态运行环境下的可见卫星数与HDOP值

3.2 水平保护级别估计

对接收机输出的定位数据帧进行提取，使用在基站处测得的数据计算得到传统水平保护级别值和基于最大偏差准则的水平保护级别值，如图12所示。传统算法的HPL最大值为25.35 m，最小值为14.01 m，最终计算得到的基于最大偏差准则的HPL最大值为40.01 m、最小值为27.23 m。静态环境测得可见卫星数与HDOP值变化趋势表明：造成HPL值偏大的原因主要在于部分时间基站所处环境较差，卫星的几何布局不佳。

图12 静态环境下HPL计算结果

对沿线列车基于传统算法的HPL、噪声造成的误差以及基于最大偏差准则的HPL进行计算，计算结果如图13所示。传统算法的HPL最大值为38.22 m、最小值为7.79 m，最终计算得到的基于最大偏差的HPL最大值为32.37 m、最小值为19.94 m，符合铁路GNSS应用需求中低密度线路场景下HPL不超过告警阈值的最大值50 m的要求。由于考虑了测量噪声对HPL的影响，本文提出的方法计算出的HPL值大于传统HPL值，误差趋势一致。

图13 动态环境下HPL计算结果

3.3 定位功能状态评估

斯坦福图的告警阈值一般设置为固定值，本文按照低密度线路的告警阈值取50 m。图14和图15为静态环境下使用传统水平保护级别方法、基于最大偏差准则的水平保护级别方法得到的HPL值进行斯坦福图分析的结果。可以发现，使用基于最大偏差准则的HPL值会导致定位功能更多地处于“系统正常”状态，但HPL值也更接近告警阈值。该方法提升了定位功能的完好性，但也可能对其可用性造成一定影响。

图14 静态环境下传统HPL斯坦福图

图15 静态环境下基于最大偏差准则的HPL斯坦福图

动态环境中获得的定位数据存在粗大误差，未经粗大误差剔除，有95个数据点落在“非安全漏报”区域内，即定位误差超过告警阈值而不能被诊断系统检测到，对应于完好性风险。根据落在这一区域中的数据点个数，可以确定整个试验过程中系统的危险失效概率HR，对应卫星导航ACAI性能指标体系中的完好性风险概率。根据式(19)计算HR为

(21)

动态测试过程中拉日线的HR为6.2×10-4h-1。这是因为卫星定位的结果易受环境影响出现误差，极端环境下出现易被发现和剔除的粗大误差，因此通过相应的场景分类方法进行定位场景分类，并按照场景分别分析各个场景下的HR水平。在实际应用中，为降低危险失效概率，通常使用组合定位技术，利用多种传感器，如多普勒雷达、IMU、ODO、电子地图，来提高定位结果的精度，保证定位功能在铁路不同运行环境中的可用性，增强其安全完整性。

去除粗大误差后，动态环境下使用传统HPL值和基于最大偏差准则的HPL得到的斯坦福图分别如图16和图17所示。在整个试验过程中，没有数据点落在“正常失效”或“非正常失效”的区域内，可以确定定位功能在动态测量的过程中未出现完好性风险，测量结果满足可容忍风险率10-9≤HR<10-8的要求，达到SIL4水平。

图16 动态环境下使用传统HPL值得到的斯坦福图

图17 动态环境下基于最大偏差准则的HPL斯坦福图

图17中落在“安全漏报”区域的数据点少于图16中的数据点，这是因为基于最大偏差的HPL值考虑了噪声带来的影响，因此计算得到的HPL值更大，可靠性更高。从图16和图17的对比中也可以看出，基于最大偏差准则的HPL值计算方法能够提高系统的完好性，同时对定位功能的可用性有一定影响。

4 结论

以基于卫星定位铁路安全应用的安全风险评估为背景，分析了卫星导航领域和铁路领域既有性能指标中安全相关指标的内涵与外延，确立卫星定位完好性与铁路电子设备安全完整性概念中相关指标的关系，将水平保护距离的估计方法作为进行卫星定位铁路应用安全分析的直接量化参数，提出了一种基于最大偏差准则的卫星定位完好性风险量化方法。

本文所述的基于最大偏差准则的水平保护级别估计方法与传统基于最小二乘法的水平保护级别方法相比，所具有的优势主要体现在两个方面：在水平保护级别估计结果的准确性方面，所述的方法能够有效确立列车位置解算过程中的最大水平方向定位偏差，为列控系统中进行列车安全定位所需的安全包络估计提供数据来源；在基于HPL和HAL比较的风险率计算方法方面，所述的方法能够有效地结合卫星定位结果误差、保护距离和告警阈值三者比较的结果和铁路可容忍风险率之间的关系，进行风险量化评估，并通过斯坦福图建立定位状态和风险之间的关系。计算结果表明基于最大偏差准则的完好性监测算法能够有效保障定位结果的完好性和安全完整性，降低出现非安全漏报的风险。

在后续研究中，将进一步关注在不同列车卫星定位的环境场景下的风险水平，完善列车运行场景和环境场景等需求下的风险量化方法，实现列车所处的环境、车载定位设备出现定位结果完好性监测问题的故障处理方法，提升算法的适应性。