混雜系統主動容錯架構在車載設備的應用研究

魯秋子，徐田華，唐 濤

（北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044）

混雜系統主動容錯架構在車載設備的應用研究

魯秋子，徐田華，唐 濤

（北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044）

文章提出了一個針對于混雜系統的主動容錯架構。通過對混雜系統的模型抽象，實現混雜系統到離散事件系統的轉化。根據離散事件系統的允許事件軌跡計算其安全可控事件集合，進而合成主動容錯監控器，實現混雜系統的主動容錯控制。最后，以列車運行控制系統車載設備為例，實現列控系統車載監控器的合成。系統仿真結果證明了合成監控器的有效性。

主動容錯；混雜系統；離散事件系統；車載設備

對于安全性關鍵（safety-critical）領域，系統的可靠性是衡量系統性能的重要指標，也是在系統設計中需要考慮的重要因素。由于提高硬件可靠性的成本較高，越來越多的人將研究的重點轉向軟件可靠性的提高。

在目前的軟件容錯技術的應用中，大多屬于被動容錯，即在設計系統時就考慮到可能發生的故障，并針對這些故障設計相應的應對機制。雖然該方法對于已知的故障類型具有較好的容錯效果，但在系統運行過程中若出現在設計中未曾考慮的故障，其容錯性能將受到較大影響。

為了解決上述問題，許多國內外的學者在此方向都做了相應的理論研究。2008年，Wen[1]等提出了基于離散事件（DES，Discrete Event System）容錯監控框架，通過定義系統的規范和實施相應的控制使得系統容錯。2003年，Darabi[2]等提出了切換監控系統的思想，即當故障發生時，切換系統到一個新的控制器使得系統實現容錯。上述方法為解決離散事件系統的容錯提供了思路，然而對于混雜系統，并沒有提出解決方案。

針對上述情況問題，本文提出了混雜系統主動容錯架構和容錯監控器合成算法，主要創新點如下：

（1）提出一種針對混雜系統的主動容錯架構，即由一個故障診斷子系統來在線檢測和分離出系統發生的故障，并根據不同的故障模式對已有控制律進行重組或重構新的控制律，從而使得系統性能得到較好的保障。

（2）為保證容錯系統在邏輯層面上的正確性，從理論上保證所設計的軟件的可信性，采用離散事件系統監控理論研究軟件設計問題，選擇擴展有限狀態機軟件模型，把軟件的設計問題轉化為監控器的設計問題。這樣設計出來的軟件必然滿足軟件需求，確保最終代碼的正確性。

1 基本概念介紹

1.1 混雜自動機

混雜自動機模型是AlurR.等人提出的關于混雜系統的一個形式化模型[4]。混雜自動機模型是離散事件動態理論中自動機模型的擴展，它將描述連續動態行為的微分方程嵌入到傳統的離散狀態自動機模型中，從而使自動機模型兼具描述連續行為的能力。

系統的不變集構成了各個離散的規范，離散遷移使得系統在各個不變集之間切換。

1.2 DES監控理論

用擴展的有限自動機[5]描述離散事件系統。假設自動機E由一系列交互的組件（E1,…, En）構成，利用自動機的同步積運算將多個獨立運行的自動機綜合為一個單一的自動機對于E產生的語言，記為?(E)。事件集Σ可劃分為Σ=Σo∪Σuo，其中Σo與Σuo分別代表可觀測事件集與不可觀測事件集。定義映射P0，P0:Σ*→Σo*。此外，一些事件的發生可以被控制，而另一些則不能。因此，事件集還可被劃分為可控事件集Σc與不可控事件集Σuc，即Σ=Σc∪Σuc。

定義監控自動機S，將其耦合到原系統上，從而獲得可控系統模型，使得?(S||E)K。監控的基本方法是通過禁止Σ中可控事件的發生，來阻止E中相應的狀態轉移，從而使E的行為軌跡限定在K的范圍之內。

2 主動容錯的實現

2.1 混雜系統主動容錯架構

為了使混雜系統在故障狀態下能夠保證安全，本文提出混雜系統主動容錯架構，如圖1所示。混雜系統通過離散抽象，采集系統狀態，得到抽象后的有限自動機模型En+f，通過對抽象后的模型進行監控，實現主動容錯。我們將系統的監控模型分為幾個類別，在正常情況下，由Snom保證系統安全，當出現不同的故障時，檢測器En+f檢測出故障，觸發中斷INT，使得系統實時切換到相應的重構的監控器Sideg。通過該架構，混雜系統能夠實現故障下的主動容錯。

圖1 混雜系統主動容錯架構

2.2 混雜系統主動容錯架構的設計

2.2.1 混雜系統的離散抽象

混雜系統是介于控制論和計算機科學之間的研究對象，因為控制論研究的對象大多是連續變化系統，而計算機科學的研究對象大多是離散系統。混合自動機的狀態空間大都是無限的，我們在設計監控器之前，需要對混雜系統進行離散抽象，將其轉變為離散模型后，再進行監控器的設計。混雜系統的離散抽象過程如圖2所示。

圖2 監控器的實現

離散抽象系統將混雜系統在切換面上的行為抽象出來，使得混雜系統的控制轉化到DES控制器的合成，而后者具有豐富的監控理論支持。

2.2.2 DES的故障擴展

由2.2.1可知，可將DES監控理論應用到混雜系統的監控過程的實現。用自動機Enom表示混雜系統正常情況下的離散抽象模型。在正常工作情況下，系統可觀測事件是正常監控器Snom中的閉環。當系統潛在的故障f發生時，需要考慮故障對模型的影響，此時，用En+f代表系統模型，系統的事件集為Σn+f=Σ∪{f}。

在系統正常運行時，可通過構建Snom，阻止不滿足規范的動作發生。將實際系統可控模型描述為Esupn+f=En+f||Snom。包含了系統正常運行的軌跡以及一系列的故障行為。當故障f發生后，被監控的系統會進入一個區別于正常狀態下的故障后模型。假設集合F是當故障f發生時一切可被觀測的非法事件集，F∈Σ*。為保證系統安全運行，必須阻止系統執行集合F中的事件發生。用Kf表示在故障 f 發生后的系統語言。在Snom監控下，系統行為?( Esupnom)將包含滿足規范Knom的正常控制動作和不滿足規范Kf的非法動作。

可見，在故障的情況下，通過Snom已經無法保證系統的安全性。因此，需要引進容錯機制，使得系統在故障狀態下亦能保證安全。為了實現系統的主動容錯，需要一個故障診斷自動機Ediag在線檢測出系統的故障，并且構建新的監控器Sdeg，在故障發生后將系統從Snom切換到Sdeg。圖3描述了一個被監控的DES中，各個等級容錯規范之間的關系。

圖3 DES容錯規范

2.2.3 系統的安全可控性

若系統能夠實現主動容錯，則必須保證系統是安全可控的。對于一個自動機E，假設它的語言?是安全可診斷的針對于映射P0，故障事件f和非法語言K。當故障f的發生，使得系統的行為偏離了Enom。取En+f中以xi為初始的子串，可建立新的故障后模型Eideg。

對于一個安全可控系統，至少存在一個可控事件z，通過禁止z的執行，使系統不進入危險狀態。當系統進入危險狀態時，將觸發一個中斷信號INT使得z失效。此外，這個中斷信號可以將監控器從Snom切換到Sideg，使得系統滿足故障后的規范Kideg。

3 案例研究—列控系統車載設備容錯控制

3.1 列控車載系統描述

列控系統車載設備是一個典型的混雜系統。列車的運營方式有多種，我們以四顯示自動閉塞為例，說明主動容錯監控器在列控車載設備中應用。四顯示自動閉塞是指通過信號機具有4種顯示，能預告列車前方3個閉塞分區狀態的自動閉塞[6]，如圖4 所示。

圖4 四顯示自動閉塞

在我國最高時速 160 km/h的干線鐵路使用的四顯示自動閉塞系統綠（L）、綠黃（LU）、黃（U）、紅（H）4個信號顯示對應的速度意義分別為：

綠（L）表示160/160，即進入閉塞分區時允許速度是160 km/h，離開時的允許速度還是160 km/h；綠黃（LU）表示160/115；黃（U）表示115/0；紅（H）表示0 km/h。

在列控系統車載設備中最核心的功能就是對列車速度的就監督控制。司機根據信號機顯示以及當前的速度，對列車實施控制命令，實現對列車的控制。

建立各個模塊的自動機模型：

速度檢測模塊Evelocity，速度分為3個等級，v0= 0； v1∈ (0,115]； v2∈ (115,160]，速度在列車運行過程中實時采集。

距離檢測模塊Eoffset，列車的閉塞分區劃分應滿足每一速度級差的制動距離。本文中假設閉塞分區長度為1 000 m。

信號機模塊Esignal，信號機有4種顯示：綠（L），綠黃（LU），黃（U），紅（H），信號機的顯示為外界輸入。

牽引/制動操作模塊Econtrol，為方便說明，本節將列車控制檔位簡單分為3檔。牽引時，加速度為a，無操作時加速度為a0=0，制動時加速度為-a。實施緊急制動時輸出最大制動力為-amax。對列車牽引/制動的操作可控。列車在制動的過程中，通過施加閘瓦壓力使列車減速，閘瓦壓力傳感器實施檢測壓力值。

整個車載系統在正常情況下，可用自動機Enom表示，Enom= Evelocity||Eoffset||Esignal||Econtrol。為了保證列車安全運行，在系統正常運行時，提出需求Knom如下：列車在運行時不能冒進信號，即不能超出相應信號機的允許速度。

當系統出現故障f，例如：列車閘瓦與車輪松動，導致制動力不足，使得制動時減速度為-b（b＜a），若此時不采取有效措施，則會使得列車運行超速，從而使系統違反安全。必須保證車載設備在有限的時間內檢測出故障，并使系統立即進入重構的監控器下運行，則能夠保證系統安全。定義重構的規范Kdeg：列車執行緊急制動，即輸出最大減速度，強制列車停車。

為更好的描述主動容錯架構在列車上的實現，我們將系統簡化，根據列控車載設備的速度監督基本原理，建立基于離散事件系統的控制框架，如圖5所示。

圖5 基于離散事件系統的控制框架

根據算法1，可得系統主動容錯監控器。整個系統中，可控事件為牽引/制動控制命令，通過對控制命令的約束，控制系統完全運行滿足規范。當出現故障時，系統切換到重構的監控器下運行。

圖6顯示了系統狀態變遷的過程，圖6中狀態（v1,LU,U’,a0）分別表示列車當前速度等級為v1，列車所在區間入口信號機燈色為綠黃，出口信號機燈色為黃，此時列車加速度為a0。當系統出現故障f時，閘瓦壓力傳感器檢測出列車制動閘瓦壓力不足，此時出發中斷INT，禁止可控事件制動，并觸發可控事件緊急制動，使系統滿足Kdeg，且不違反系統安全。

圖6 系統監控過程示意

3.2 列控車載容錯監控的實現

依據各個模塊的自動機表示，以及利用DES監控理論而得到的列車控制模塊設計結果，將上述列車運行控制過程在Matlab中仿真實現。

設置兩車追蹤場景，列車1與列車2相距3個閉塞分區（3 000 m），此時列車1前方信號機跳變順序是L-LU-U-H，列車1在紅燈前停車。列車2前方信號機的跳變根據列車1與列車2的動態位置實時更新。假設列車1一直運行正常，列車2在運行中遇到閘瓦松動故障，對列車2采用容錯控制。采用simulink建立列車動力模型，在stateflow中建立監控器模型，通過仿真實現列車的監控過程。

仿真中采用CRH5型電動車組相關技術參數實現對列車的模擬。因本章中考慮的故障發生在列車制動過程中，所以將牽引過程簡化，采用一個牽引檔位實現列車牽引過程。考慮列車的制動過程，CRH型電動車組按照減速度要求給定制動力，減速度是制動距離計算的主要參數。根據文獻[7]CRH5 型電動車組制動方式分為 EB緊急制動和3級常用制動。相關技術參數如表1所示。

表1 CRH5型電動車組制動減速度特性參數

仿真結果如圖7所示，圖7（a）為列車的速度-位移曲線，圖7（b）為列車位移-時間曲線。當列車2 正常運行時，由正常控制模塊控制列車運行。列車追蹤運行軌跡如圖7中實線所示。當列車出現故障，若不采取容錯控制方式，則列車在6 000 m～7 000 m處發生沖撞（虛線部分）。采用容錯控制方式，當檢測器測得列車出現故障，觸發中斷INT，切換至重構的監控器下運行，最終得到列車追蹤軌跡如圖7中點連線部分所示。由仿真結果，可以明顯的看到容錯監控的實施的重要性和容錯監控器的正確性。

圖7 主要模塊自動機模型

4 結束語

本文關注于混雜系統的容錯問題，提出一個的主動容錯架構。文中將混雜系統模型抽象為離散模型，并證明兩個模型之間互模擬，然后在離散模型的基礎上，采用DES監控理論，實現模型的容錯監控器的生成。為檢驗算法的可行性，以列控車載系統為例，實現列控系統中的兩車追蹤場景，利用Matlab仿真，實現了車載監控器控車過程，仿真結果顯示所設計的監控器是正確的。

下一步的研究重點在于將目前的算法進一步的分析和優化，并應用于解決更為復雜系統的監控問題（如多顯示自動閉塞情況下的多車追蹤），以便更好的解決實際問題。

[1]Wen Q, Ratnesh Kumar, Jing Huang, and Haifeng Liu, A Framework for Fault-Tolerant Control ofDiscrete Event Systems[J]. IEEE Transaction on Automatic Control. 2008,53(8): 1839 -1849.

[2]Darabi H, JafariMA, Buczak AL (2003). A control switching theory for supervisory control of discreteeventsystems[J]. IEEE Transactions on Robotics and Automation 19(1):131 C137.

[3]Rohloff KR (2005) Sensor failure tolerant supervisory control[A]. In Proceedings of the 44th IEEE conference on decision and control and the European control conference 2005[C]. Seville, Spain.

[4]R.Alur,C.Courcouberis,T.A.Henzinger.Hybrid Automata: An Algorithmic Approach to theSpecificatioon and Verification of Hybrid Systems[D]. In workshop on Theory of Hybrid Systems, Lecture Notes in Computer Science,Denmark,1992: 209-229.

[5]M.Sk?ldstam,K.Akesson,andM.Fabian. Modeling of discrete event systems using ?nite automata with variables[J]. In Proc. 46th IEEE Conf. Decision Control, 2007, pp. 3387–3392.

[6]王長林，林 穎. 列車運行控制技術[M].北京：西南交通大學出版社，2006.

[7]鐵道部運輸局鐵運 [2007]130號. 列車運行監控記錄裝置控制[S].北京：鐵道部運輸局，2004.

責任編輯 徐侃春

Research on application of active fault tolerant framework of Hybrid System in on-board equipment

LU Qiuzi, XU Tianhua, TANG Tao

( State Key Laboratory of Rail Control and Safety, Beijing Jiaotong University, Beijing 100044, China )

An active fault tolerant framework of Hybrid System was presented in this paper. By discreting abstraction of the Hybrid System, the transformation of Hybrid System to Discrete Event System (DES) was obtained. Then a set of safe controllable events was calculated with respect to the discrete event trajectories. By using of the safe controllable event, the active fault tolerant supervisor was synthesized. Finally, the supervisor of on-board equipment in Train Control System was synthesized, and the effectiveness of the proposed active fault tolerant algorithm was validated and demonstrated by the simulation results.

active fault tolerant; Hybrid System; Discrete Event System(DES); on-board equipment

U284∶TP39

A

2013-01-14

國家863項目（2011AA010104），軌道交通控制與安全國家重點實驗室項目 （I11K00150, I11K00060），北京交通大學基本科研項目（2011JBM160）。

魯秋子，在讀碩士研究生；徐田華，教授。

1005-8451（2014）01-0001-05