CBTC系統ATP/ATO軟件的開發與測試

摘 要：本文主要介紹城市軌道交通列車自動防護子系統/列車自動駕駛子系統（ATP/ATO）軟件的結構和功能設計，并詳述ATP/ATO軟件的分析和測試方法。

關鍵詞：ATP/ATO；軌道交通；軟件開發；分析和測試

DOI：10.16640/j.cnki.37-1222/t.2015.23.086

1 引言

ATP/ATO，即列車自動防護子系統/列車自動駕駛子系統，是城市軌道交通基于通信的列車控制系統（CBTC）的核心組成部分。CBTC系統軟件由操作系統、支持軟件、應用軟件等組成。作為CBTC系統核心應用軟件，ATP/ATO軟件的設計和開發遵循ISO9001、GB/T7828、歐洲鐵路安全標準EN50128等的要求，并遵循故障-安全原則。

ATP/ATO系統軟件的開發主要采用EN50128建議的“V模型”進行開發，并采用功能化、模塊化設計，以降低軟件復雜度。同時，軟件設計采取必要的容錯和避錯設計策略，如選用“3取2”或“2乘2取2”安全計算機平臺，以保證軟件執行的正確性和安全性。

2 軟件結構設計X

作為CBTC系統軟件的重要組成部分，ATP/ATO系統軟件開發全部秉持“高內聚、低耦合”的理念，采用模塊化結構，遵循故障導向安全的設計原則，按照EN50128標準的相關要求和軟件生命周期流程相關內容，最大程度地保證系統軟件的安全性和可靠性。

具體來說，就是將整個系統分成若干個組成模塊，各個模塊除能實現某一功能外，還具備可移植性，即只需進行關鍵參數的配置，便可作為組成模塊被應用到其它的系統中。

3 子系統軟件設計

3.1 車載ATP軟件

車載ATP子系統是CBTC系統列車車載部分的核心控制設備，主要用以防止由于列車敵對運行所引起的沖撞、由于非正常的車門打開、列車退行等事故而使旅客發生危險、由于列車超過土建限制速度（或命令速度）而導致對線路的損害或者使列車發生危險等情況。

3.2 地面ATP軟件

地面ATP設備主要由區域控制器ZC、數據存儲單元DSU、軌旁電子單元LEU等構成。其中，ZC和DSU均采用“2乘2取2”冗余結構的安全計算機平臺。在地面ATP系統軟件中，ZC軟件相對復雜且更具代表性，因此，本文以其為例來對地面ATP軟件進行介紹。

ZC是基于通信的CBTC系統的地面核心控制設備，是車-地信息處理的樞紐，主要負責根據CBTC列車所匯報的位置信息以及聯鎖所排列的進路和軌道占用/空閑信息，為其控制范圍內的CBTC列車計算并生成移動授權（MA），確保在其控制區域內CBTC列車的安全運行。其中，列車移動授權的計算和生成、在各種控制等級和駕駛模式下進行列車管理等功能均由ZC軟件予以實現。

3.3 車載ATO軟件

車載ATO系統主要實現功能是根據當前車輛的速度、位置，考慮線路限速、ATS控制命令等信息，在ATP的防護下，控制列車安全、舒適、高效的運行。ATO對列車輸出牽引制動指令，控制列車按ATP速度曲線運行。ATO系統能自動控制列車的起動、巡航、精確停車以及車門和安全門的自動打開/關閉。ATO應用軟件結構如下圖1示。

4 軟件分析和測試

ATP/ATO軟件分析和測試的活動包括靜態分析和動態分析兩個部分。靜態分析包括軟件質量標準分析、代碼規則一致性驗證等；動態分析則包括功能測試、基于邊界值分析的測試和覆蓋分析等。

4.1 軟件靜態分析

按照CENELEC標準的需要，靜態分析的目的主要是評估質量標準和驗證軟件開發規范和編碼，即利用諸如Logiscope和Polyspace 的靜態分析工具來對軟件的標準符合性進行評估。

（1）軟件質量標準分析。軟件質量標準分析是使用質量評估手段進行的初步的軟件體系架構評估，包含在不執行軟件的情況下所進行的靜態驗證及測量；（2）代碼規則一致性驗證。代碼規則一致性驗證用以檢驗代碼是否按照“軟件實現指南”完成，同時遍歷代碼以檢查其是否違反所定義的規則。

4.2 軟件動態分析

按照EN50128要求，ATP系統需應用從邊界值分析開始執行的測試、等價類和輸入分隔測試兩種技術進行系統軟件動態分析。

（1）邊界值和等價類的分析。根據EN50128標準的規定，邊界分析測試必須覆蓋程序輸入域的邊界值和極端值測試，且需檢驗輸入域的邊界值與軟件規格書中的定義是否一致；（2）測試用例的生成。測試用例由獨立的V&V（核實及驗證）團隊根據系統和軟件設計文檔進行設計。每個測試用例和用例所依照的需求之間將建立起可追溯性，并符合“邊界值分析”和“等價類輸入分離測試”的要求；（3）測試覆蓋率。測試用例旨在達到100%的語句覆蓋，如果發現任何不完整覆蓋，將在設計文件中增加更為詳細的需求規格書，并增加新的測試用例來增加軟件覆蓋，或要求通過刪除多余部分的代碼來修改軟件。

5 結語

ATP/ATO是整個CBTC系統的核心部分，其中涉及列車運行安全防護和運行精度控制等的數據計算和命令輸出均由其軟件部分完成，因此，在系統軟件設計和開發過程中任何涉及ATP/ATO軟件的關鍵代碼修改均須經過自身質量安全管理部門的審查，且須通過專門的獨立第三方安全認證機構的安全評估和系統認證，在取得相應許可后方可在實際系統中應用。

參考文獻：

[1]趙明，郜春海.現代鐵路信號系統分析研究[J].北方交通大學學報，1999（02）.

[2]梁東升.ATP/ATO在廣州地鐵1號線信號系統中的應用[J].地鐵與輕軌，2002（03）.

作者簡介：董俊（1984-），男，四川遂寧人，本科，工程師，研究方向：交通信息工程及控制。endprint