CBTC系統(tǒng)ATP/ATO軟件的開發(fā)與測試

摘 要：本文主要介紹城市軌道交通列車自動防護(hù)子系統(tǒng)/列車自動駕駛子系統(tǒng)（ATP/ATO）軟件的結(jié)構(gòu)和功能設(shè)計，并詳述ATP/ATO軟件的分析和測試方法。

關(guān)鍵詞：ATP/ATO；軌道交通；軟件開發(fā)；分析和測試

DOI：10.16640/j.cnki.37-1222/t.2015.23.086

1 引言

ATP/ATO，即列車自動防護(hù)子系統(tǒng)/列車自動駕駛子系統(tǒng)，是城市軌道交通基于通信的列車控制系統(tǒng)（CBTC）的核心組成部分。CBTC系統(tǒng)軟件由操作系統(tǒng)、支持軟件、應(yīng)用軟件等組成。作為CBTC系統(tǒng)核心應(yīng)用軟件，ATP/ATO軟件的設(shè)計和開發(fā)遵循ISO9001、GB/T7828、歐洲鐵路安全標(biāo)準(zhǔn)EN50128等的要求，并遵循故障-安全原則。

ATP/ATO系統(tǒng)軟件的開發(fā)主要采用EN50128建議的“V模型”進(jìn)行開發(fā)，并采用功能化、模塊化設(shè)計，以降低軟件復(fù)雜度。同時，軟件設(shè)計采取必要的容錯和避錯設(shè)計策略，如選用“3取2”或“2乘2取2”安全計算機(jī)平臺，以保證軟件執(zhí)行的正確性和安全性。

2 軟件結(jié)構(gòu)設(shè)計X

作為CBTC系統(tǒng)軟件的重要組成部分，ATP/ATO系統(tǒng)軟件開發(fā)全部秉持“高內(nèi)聚、低耦合”的理念，采用模塊化結(jié)構(gòu)，遵循故障導(dǎo)向安全的設(shè)計原則，按照EN50128標(biāo)準(zhǔn)的相關(guān)要求和軟件生命周期流程相關(guān)內(nèi)容，最大程度地保證系統(tǒng)軟件的安全性和可靠性。

具體來說，就是將整個系統(tǒng)分成若干個組成模塊，各個模塊除能實(shí)現(xiàn)某一功能外，還具備可移植性，即只需進(jìn)行關(guān)鍵參數(shù)的配置，便可作為組成模塊被應(yīng)用到其它的系統(tǒng)中。

3 子系統(tǒng)軟件設(shè)計

3.1 車載ATP軟件

車載ATP子系統(tǒng)是CBTC系統(tǒng)列車車載部分的核心控制設(shè)備，主要用以防止由于列車敵對運(yùn)行所引起的沖撞、由于非正常的車門打開、列車退行等事故而使旅客發(fā)生危險、由于列車超過土建限制速度（或命令速度）而導(dǎo)致對線路的損害或者使列車發(fā)生危險等情況。

3.2 地面ATP軟件

地面ATP設(shè)備主要由區(qū)域控制器ZC、數(shù)據(jù)存儲單元DSU、軌旁電子單元LEU等構(gòu)成。其中，ZC和DSU均采用“2乘2取2”冗余結(jié)構(gòu)的安全計算機(jī)平臺。在地面ATP系統(tǒng)軟件中，ZC軟件相對復(fù)雜且更具代表性，因此，本文以其為例來對地面ATP軟件進(jìn)行介紹。

ZC是基于通信的CBTC系統(tǒng)的地面核心控制設(shè)備，是車-地信息處理的樞紐，主要負(fù)責(zé)根據(jù)CBTC列車所匯報的位置信息以及聯(lián)鎖所排列的進(jìn)路和軌道占用/空閑信息，為其控制范圍內(nèi)的CBTC列車計算并生成移動授權(quán)（MA），確保在其控制區(qū)域內(nèi)CBTC列車的安全運(yùn)行。其中，列車移動授權(quán)的計算和生成、在各種控制等級和駕駛模式下進(jìn)行列車管理等功能均由ZC軟件予以實(shí)現(xiàn)。

3.3 車載ATO軟件

車載ATO系統(tǒng)主要實(shí)現(xiàn)功能是根據(jù)當(dāng)前車輛的速度、位置，考慮線路限速、ATS控制命令等信息，在ATP的防護(hù)下，控制列車安全、舒適、高效的運(yùn)行。ATO對列車輸出牽引制動指令，控制列車按ATP速度曲線運(yùn)行。ATO系統(tǒng)能自動控制列車的起動、巡航、精確停車以及車門和安全門的自動打開/關(guān)閉。ATO應(yīng)用軟件結(jié)構(gòu)如下圖1示。

4 軟件分析和測試

ATP/ATO軟件分析和測試的活動包括靜態(tài)分析和動態(tài)分析兩個部分。靜態(tài)分析包括軟件質(zhì)量標(biāo)準(zhǔn)分析、代碼規(guī)則一致性驗證等；動態(tài)分析則包括功能測試、基于邊界值分析的測試和覆蓋分析等。

4.1 軟件靜態(tài)分析

按照CENELEC標(biāo)準(zhǔn)的需要，靜態(tài)分析的目的主要是評估質(zhì)量標(biāo)準(zhǔn)和驗證軟件開發(fā)規(guī)范和編碼，即利用諸如Logiscope和Polyspace 的靜態(tài)分析工具來對軟件的標(biāo)準(zhǔn)符合性進(jìn)行評估。

（1）軟件質(zhì)量標(biāo)準(zhǔn)分析。軟件質(zhì)量標(biāo)準(zhǔn)分析是使用質(zhì)量評估手段進(jìn)行的初步的軟件體系架構(gòu)評估，包含在不執(zhí)行軟件的情況下所進(jìn)行的靜態(tài)驗證及測量；（2）代碼規(guī)則一致性驗證。代碼規(guī)則一致性驗證用以檢驗代碼是否按照“軟件實(shí)現(xiàn)指南”完成，同時遍歷代碼以檢查其是否違反所定義的規(guī)則。

4.2 軟件動態(tài)分析

按照EN50128要求，ATP系統(tǒng)需應(yīng)用從邊界值分析開始執(zhí)行的測試、等價類和輸入分隔測試兩種技術(shù)進(jìn)行系統(tǒng)軟件動態(tài)分析。

（1）邊界值和等價類的分析。根據(jù)EN50128標(biāo)準(zhǔn)的規(guī)定，邊界分析測試必須覆蓋程序輸入域的邊界值和極端值測試，且需檢驗輸入域的邊界值與軟件規(guī)格書中的定義是否一致；（2）測試用例的生成。測試用例由獨(dú)立的V&V（核實(shí)及驗證）團(tuán)隊根據(jù)系統(tǒng)和軟件設(shè)計文檔進(jìn)行設(shè)計。每個測試用例和用例所依照的需求之間將建立起可追溯性，并符合“邊界值分析”和“等價類輸入分離測試”的要求；（3）測試覆蓋率。測試用例旨在達(dá)到100%的語句覆蓋，如果發(fā)現(xiàn)任何不完整覆蓋，將在設(shè)計文件中增加更為詳細(xì)的需求規(guī)格書，并增加新的測試用例來增加軟件覆蓋，或要求通過刪除多余部分的代碼來修改軟件。

5 結(jié)語

ATP/ATO是整個CBTC系統(tǒng)的核心部分，其中涉及列車運(yùn)行安全防護(hù)和運(yùn)行精度控制等的數(shù)據(jù)計算和命令輸出均由其軟件部分完成，因此，在系統(tǒng)軟件設(shè)計和開發(fā)過程中任何涉及ATP/ATO軟件的關(guān)鍵代碼修改均須經(jīng)過自身質(zhì)量安全管理部門的審查，且須通過專門的獨(dú)立第三方安全認(rèn)證機(jī)構(gòu)的安全評估和系統(tǒng)認(rèn)證，在取得相應(yīng)許可后方可在實(shí)際系統(tǒng)中應(yīng)用。

參考文獻(xiàn)：

[1]趙明，郜春海.現(xiàn)代鐵路信號系統(tǒng)分析研究[J].北方交通大學(xué)學(xué)報，1999（02）.

[2]梁東升.ATP/ATO在廣州地鐵1號線信號系統(tǒng)中的應(yīng)用[J].地鐵與輕軌，2002（03）.

作者簡介：董俊（1984-），男，四川遂寧人，本科，工程師，研究方向：交通信息工程及控制。endprint