基于GNSS的列車定位單元設計與性能評估方法

上官偉，袁 敏，肖 杰，蔡伯根，王 劍

(1.北京交通大學 電子信息工程學院，北京 100044； 2.北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044)

列車定位單元作為列控系統的重要組成部分，能夠為列控系統提供當前的列車速度、位置參數。目前列車定位方式主要包括查詢應答器、計軸器、衛星導航GNSS等[1]。其中GNSS定位技術，減少了軌旁設備，可以降低列控系統的成本，同時提高列車定位性能，實現不同列控系統的互操作，是未來列車定位的發展趨勢[2]。隨著列控系統對安全性和可靠性要求的不斷提高，列車定位技術也在不斷發展，定位方式由單一定位方式發展成為組合定位方式，組合定位利用多種傳感器優點，相互補充，彌補了單一傳感器定位的不足，提供了高可靠性和高精度的列車定位信息，因此成為一種合理選擇。但組合列車定位系統的安全性和可靠性仍有待改進，國內外學者提出利用冗余結構來提高系統安全性和可靠性。一般常用的冗余結構包括三取二結構、二取二結構等。在國外，阿爾斯通、西門子等公司利用這些冗余結構，設計生產了高安全性和可靠性的信號設備，來滿足列控系統的需求。

國內也開展了大量基于GNSS的列車定位方案研究工作。文獻[3]設計研究了GPS結合地理信息系統GIS的定位方式，并利用GPS數據同電子地圖的匹配算法實現列車軌跡數據的估計。文獻[4]在INS/GPS 組合導航的基礎上，研究了我國INS/北斗組合導航的關鍵技術。但是目前在國內基于GNSS的列車組合定位技術尚處于研究開發和實驗驗證階段，研究內容一般都側重于實現系統的某些功能，而對于極為重要的可靠性和安全性問題，尚沒有成熟、系統的研究成果。針對這一現狀，本文設計了一個采用冗余結構的基于GNSS的列車組合定位單元，并對其性能進行評估。針對性能中重要的兩個參數可靠性和安全性評估方法進行了探索性研究，對促進新型列控系統發展，提高列車運行安全水平及效率，降低運營成本具有重大意義。

1 基于GNSS的列車定位單元設計

本文設計的基于GNSS的列車定位單元適用于低密度線路，以提高列車安全運行水平、減少軌旁設備、降低運營維護成本為目標，擬實現的主要功能為：從傳感器采集速度位置信息后進行數據融合和處理，為車載主機輸出可靠的列車定位信息。定位信息包括正常速度、最大速度、最小速度、加速度等信息。系統性能需要滿足以下可靠性和安全性需求。

(1)RAM需求見表1。

表1 RAM需求

(2)基于GNSS的定位單元應當遵循的可靠性、可用性、可維護性設計原則要求見表2。

表2 RAM設計原則

(3)定位單元的安全性指標要求為：危險側故障率THR(Tolerable Hazard Rate)≤10-6/h(THR源于EN標準，用來衡量SIL等級，等同于IEC 61508高要求或連續操作模式下的PFH，THR≤10-6/h為SIL2所要求的安全性指標)。安全性設計原則見表3。

表3 安全性設計原則

整個定位單元由邏輯處理單元和多種類型的定位傳感器單元組成，并采用二取二冗余結構進行系統設計。如圖1所示，兩套獨立的系統采集到數據后分別輸入到兩個邏輯處理單元進行處理。每個邏輯處理單元比較兩個輸入是否一致，若輸入一致則進行處理，否則判定定位單元故障。對兩個邏輯處理單元的輸出進行比較，輸出結果一致則輸出到車載主機，否則切斷輸出。定位傳感器單元包括速度傳感器ODO(Odometer)、慣性測量單元IMU(Inertial Measurement Unit)和基于全球導航的衛星系統GNSS。邏輯處理單元負責傳感器信息的融合處理、地圖匹配、定位結果輸出等功能。基于GNSS的定位單元對外接口采用兼容性設計，可直接替換既有列控系統中使用的定位單元SDU(Speed & Distance Unit)，與車載主機通過總線相連接。

為實現定位單元架構設計，將基于GNSS的定位單元采用模塊化設計劃分為安全電源板(2塊)、通信板(1塊)、輸入板(2塊)、邏輯板(2塊)和輸出板(1塊)。為最大限度地縮小體積、提高系統電磁兼容性、便于插拔，各單板采用刀片式的結構設計，并依次排列固定在一個機籠里，板間通過背板相互連接。單板前面板有開孔，供定位單元與外部傳感器、維護調試設備、車載主機連接使用。每個單板上同時還設有指示燈，便于及時查看各板的運行狀態，快速判斷定位單元是否正常工作。圖2為基于GNSS的列車定位單元前視圖。

圖1 基于GNSS的定位單元邏輯框圖

圖2 基于GNSS的列車定位單元前視圖

設計好列車定位單元后，對其進行可靠性、安全性和功能驗證。一方面研究系統發揮功能的能力及無故障運行時間，另一方面研究系統發生危險故障的概率，綜合評價定位單元的硬件性能，對定位單元進行功能驗證，評估系統實際的功能表現。

列車定位單元各系統板的內部結構如圖3所示。

圖3 基于GNNS的列車定位單元結構圖

2 基于GNSS的列車定位單元可靠性分析與評估

本文對定位單元的可靠性分析采用故障樹分析FTA(Fault Tree Analysis)方法[5-8]。在故障樹分析中，系統故障樹的建立是關鍵。只有完善度高的故障樹，才能夠準確進行定性、定量分析，分析結果才具有實用性。在本文中以無法完成列車定位為頂事件，分析可能導致頂事件發生的因素，逐層向下分析，建立GNSS列車定位單元的故障樹如圖4所示。

2.1 可靠性定性計算及分析

根據建立好的故障樹進行定性分析，即求其最小割集。導致頂事件發生的各底事件組合成為割集，這種最低限度的底事件組合稱為最小割集，它是頂事件發生的充要條件，有多少個割集，頂事件就有多少種發生的可能。根據建立的基于GNSS定位單元的故障樹，利用下行法求故障樹割集，并找到故障樹的最小割集。

下行法的基本思路是由頂事件逐級向下[9]，用每個邏輯門輸入的基本事件置換各門的輸出，直到輸入都是基本事件為止。這種算法的原理是：將或門的輸入事件排成不同的行(增加割集的數量)，將與門的輸入事件排在同一行(增加一個割集的容量)，根據矩陣的最后一列，得到系統的所有割集。然后逐一判斷每個割集是否為最小割集。最終得到的定位單元有32個最小割集，分別為{E1}、{E2，E3}、{E4}、{E5}、{E6}、{E7，E9}、{E7，E10}、{E8，E9}、{E8，E10}、{E11}、{E12}、{E13}、{E14，E16}、{E15，E16}、{E14，E17}、{E15，E17}、{E18}、{E19}、{E20}、{E21}、{E22}、{E23}、{E24}、{E25}、{E26}、{E27}、{E28}、{E29}、{E30}、{E31}、{E32}、{E33}。

圖4 基于GNSS的列車定位單元故障樹

2.2 可靠性定量計算及分析

故障樹的定量分析內容主要包括[10]：系統失效概率；底事件的重要度。根據重要度的大小依次排序得到最佳的故障診斷和器件修理順序。

2.2.1 系統失效率

(1)最小割集不相交的計算方法

不相交是指在很短的一個時間內，同時發生兩個、兩個以上最小割集的概率是零，且在各個最小割集里不會出現重復的底事件。此時有

( 1 )

式中：Fs(t)為系統的失效概率；Φ(X)為底事件X的結構函數；Kj為第j個最小割集；Fi(t)為第i個底事件的失效概率。

假設系統最小割集不相交，則頂事件發生的概率，即系統失效率為

P(t)=Ptop(t)=(1-e-λx1t)+

(1-e-λx2t)(1-e-λx3t)+…(1-e-λx31t)+

(1-e-λx32t)+(1-e-λx33t)

( 2 )

式中：Ptop(t)為頂事件發生的概率；λxi為底事件xi的失效率。

基于對系統失效的分析，也可以計算出其他參數，即系統的可靠度為

R(t)=1-Ptop(t)=1-F(t)

( 3 )

(2)最小割集相交的計算方法

在系統失效發生的最小割集中，由于同一個底事件在幾個最小割集中多次重復出現，即最小割集之間是相容的。頂事件可以表示為

T=C1+C2+C3+…+Cn

( 4 )

式中：Ci為最小割集。則頂事件發生的概率為

(-1)n-1P(C1C2…Cn)

( 5 )

式中：Ci、Cj、Ck分別為第i、j、k個最小割集。基于GNSS的定位單元最小割集有32個，其中有4組割集存在相交情況，因此結合式( 2 )和式( 5 )計算頂事件發生的概率，這樣避免了近似計算，防止在求解失效密度時帶來不確定因素。

根據以上分析，將基于GNSS的定位單元故障樹中的底事件發生概率參數(即失效率)代入相應公式中，得到定位單元故障率如圖5所示。

圖5 基于系統故障樹-頂事件發生概率

如圖5所示，t=24 h，頂事件發生的概率為0.02%；t=720 h，頂事件發生的概率為0.07%；t=8 760 h，頂事件發生的概率為17.84%；t=80 000 h，頂事件發生的概率為99.72%。如果要保持基于GNSS的定位單元正常輸出，定位結果的概率為99.27%，則每隔3個月對系統進行一次維修、檢查最合理。

由系統的失效公式，同樣可推導出系統的可靠度以及失效概率密度函數。系統的失效概率密度函數為

fsystem(t)=P′(t)

( 6 )

圖6為定位單元失效概率密度函數-時間曲線圖，可以看出失效密度曲線在6 800 h內處于增長狀態，導致在該時間段內定位單元故障率呈現快速增長狀態。隨著系統失效密度函數逐步下降，系統的故障率上升速度減慢并最終趨于穩定狀態。

圖6 系統失效密度函數仿真圖

2.2.2 重要度計算

除了計算故障樹頂事件(定位單元無法完成定位功能)發生概率和系統可靠度等參數以外，更重要的是利用故障樹計算各底事件的重要度。重要度代表了單個部件或者最小割集對頂事件發生的影響程度，在類似于基于GNSS的定位單元這樣的大型、復雜系統中，計算底事件重要度能夠確定系統關鍵部件，改善系統設計。

(1)概率重要度計算

底事件概率的變化率對系統概率變化影響的程度稱為底事件的概率重要度，其計算公式為[11]

( 7 )

式中：Ipr(j)為第j個底事件的概率重要度；Q為系統失效概率；qj為第j個底事件的失效概率。

由于底事件的概率重要度差異較大，根據計算結果，將底事件概率重要度處于同一數量級的劃分為一組，并進行對比，定位單元各底事件概率重要度如圖7所示。

(a)底事件概率重要度函數(1)

(b)底事件概率重要度函數(2)圖7 底事件概率重要度函數

(2)結構重要度Ist(j)計算

底事件的結構重要度表示各底事件在故障樹結構中的重要度。此量值與該底事件的發生概率大小無關。Ist(j)=0的底事件與頂事件無關，應予以刪除。Ist(j)越接近1的底事件在結構上越重要，因此設計時應盡量提高它的可靠性，計算公式為

( 8 )

式中：Ist(j)為第j個底事件的結構重要度；n為系統全部底事件的個數；nj為將j底事件加入2n-1個組合中后，使該組合由非割集變成割集。2n-1個組合由真值表求得。

根據式( 8 )，得到定位單元各底事件結構重要度如圖8所示。

圖8 系統結構重要度

圖9 綜合改進后系統可靠性變化

從圖9可以看出，提高多個概率重要度和結構重要度較高部件(E19、E20、E24、E26、E27、E28等)的可靠性時，整個定位單元可靠性明顯提高。滿足了定位單元可靠性指標需求。

3 基于GNSS的列車定位單元安全性指標計算與評估

安全完整性等級作為安全相關系統的安全性評價指標，是分析和評價系統安全性的重要依據，也為改進系統安全性提供指導，分為硬件安全完整性和系統安全完整性兩大類。系統安全完整性是不可定量的部分，它是生命周期各階段人為因素導致的，包括設計錯誤、操作錯誤、生產錯誤等。硬件安全完整性受限于結構約束和隨機硬件失效。隨機硬件失效是指隨機發生的、由于硬件元器件老化或損壞造成的故障。評價隨機硬件失效的指標為高要求或連續操作模式下的每小時危險失效概率PFH。PDS方法由挪威工業科技研究院SINTEF開發，用于定量計算PFH。該方法同新版IEC 61508中計算PFH的方法理念一致，且更加注重共因故障的考慮，因此PDS方法廣泛應用于石油等工業行業的系統安全性評估。本文采用PDS方法計算定位單元的PFH。

3.1 PDS的共因故障模型

為了提高基于GNSS定位單元的安全性能，本文引入了冗余結構，傳統定量計算冗余系統安全性時，通常假設每個單元失效都是互相獨立的，但是冗余系統中一般都存在共因故障，由于相同的原因，而導致了一個及一個以上的模塊或者設備失效。例如，在高溫環境下，若冷卻風扇失效，就會導致兩個冗余邏輯控制器同時失效，使得冗余系統的可靠性和可用性降低。

共因失效率與系統結構相關，系統通道數不同，則相應的共因失效率也不同。例如3通道系統，其中2個通道共因失效，第3個通道則不一定發生失效，它發生共因失效的概率可能只有30%，也就是說3個通道的共因失效率小于2個通道的共因失效率，不同的表決系統，共因失效率不同。PDS方法里由N個相同模塊組成的MooN冗余結構的共因故障率為

PFHMooN=CMooNβλ

( 9 )

式中：CMooN為配置因子；λ為每個模塊的失效率；β為任何兩個冗余模塊的共因故障發生概率；MooN為表決結構，表示至少有M個單元故障，則表決單元故障。CMooN參考值見表4[12]，然而CMooN的值并非恒定的，而是與實際系統的特性有關，想要更加精確地表示系統的共因故障，就需要根據實際系統合理選擇CMooN值。

表4 不同表決邏輯的CMooN因子

冗余結構的PFH包括獨立故障部分PFH(ind)(Independent Failures，ind)和共因故障部分PFH(CCF)(Common Cause Failures，CCF)，表5中給出的是冗余模塊間的失效率等參數完全一致時的PFH計算公式，但實際情況下，冗余結構中各模塊未被檢測到的危險失效率λDU以及功能測試間隔時間τ可能不同，這時若要繼續利用表5中的計算公式，就需要做如下處理。

表5 PFH計算公式

以N模塊為例，假設每個模塊λDU均不同，用λDU，i來表示，i=1，2，…，n，則整個系統的λDU為

(10)

整個系統的功能測試間隔時間τ取各模塊功能測試間隔時間的算數平均值，以N模塊為例，則

(11)

式中：τi為第i個模塊的功能測試間隔時間。

系統獨立故障部分PFH(ind)以1ooN表決結構為例，其計算公式為

PFH1ooN=(λDUτ)N/τ+(λDDτ1)N/τ1

(12)

式中：τ為功能測試間隔時間；τ1為診斷測試間隔時間；λDU為未被檢測到的危險失效率；λDD為被檢測到的危險失效率。在鐵路系統應用中，診斷測試間隔時間通常很短，其對于系統PFH值的貢獻可以忽略。

3.2 基于GNSS的定位單元安全完整性評估

基于GNSS列車定位單元的組成器件較多，各器件的安全完整性分析方法相似，所以本文以輸入板為例，介紹安全完整性定量計算方法。冗余結構的存在導致輸入板的可靠性框圖非常復雜(如圖10所示)，這時可將其看成一個復雜的系統，繼續劃分為若干個相對獨立的模塊分別求解。焊接點和印制板的共因故障將導致整個輸入板故障，所以代表焊接點和印制板共因故障的灰色模塊直接串聯在輸入板可靠性框圖RBD(Reliability Block Diagram)中，而GNSS模塊及其他兩個傳感器之間的共因故障則只能導致該類型傳感器故障，其他傳感器仍將正常工作，因此不能直接串聯在輸入板可靠性框圖中。

輸入板的PFH計算公式為

PFHsrb=PFHGNSS·[(PFHIMU·τ+

PFHODO·τ)2/τ+PFHwclq]+PFHdlb

(13)

在計算過程中，診斷覆蓋率DC(Diagnostic Coverage)的取值和所采用的IEC 61508中推薦的診斷技術有關，通常認為電阻、電容等簡單電子器件的診斷覆蓋率可取99%，焊接點、印制板診斷率作為接插件，只要保證工藝水平同樣可取99%，微處理器、復雜電路組成的模塊單元等因為結構復雜，故障模式難以被全部偵測，為保證計算的可信度，通常取其診斷覆蓋率為90%，以上取值組合稱為合理推斷值。

根據鐵路信號系統的特征，功能測試間隔時間τ取典型值24 h。β因子可以根據IEC 61508中的表格填表得到，通常取值范圍為0～0.25。

本文假設元器件所有故障的50%為危險側故障。診斷覆蓋率DC分別取0.99、合理推斷值、0.9，定位單元的隨機硬件失效安全完整性等級隨β的變化曲線如圖11所示。從圖11可以看出診斷覆蓋率取“合理推斷值”得到整個定位單元的隨機硬件失效安全完整性等級均為SIL2，這表明定位單元的設計符合安全需求指標“危險側故障率THR≤10-6/h”的要求。同時也表明診斷覆蓋率的選取對系統安全性有著重要影響，在系統設備可靠性難以提高的情況下，提高其診斷覆蓋率也是提高系統安全性的有效手段。

圖10 輸入板的可靠性框圖

圖11 定位單元PFH值

在系統的安全性滿足安全指標需求的情況下，為了提高系統的安全性，本文做了進一步的研究。通過計算各板的PFH值，得到定位單元硬件安全完整性較低的單板為：電源板、通信板。為了直觀的表示隨機硬件失效安全完整性較低的單板對整個定位單元隨機硬件失效安全完整性的影響，將PFH值較低的電源板、通信板、背板的PFH值相加，與其余單板的PFH值加和進行對比，如圖12所示。可以看出電源板、通信板、背板三塊板的PFH加和已經將系統SIL拉低至SIL2，而輸入板、輸出板、邏輯板SIL加和對系統SIL影響不大(如圖13所示)。顯然，改進電源板、通信板、背板的安全性有利于系統安全完整性等級的提升，這為將來提高系統整體安全性提供了理論依據。

圖12 電源板、通信板、背板SIL加和

圖13 輸入板、輸出板、邏輯板SIL加和

4 基于GNSS的列車定位單元功能驗證與評估

對設計好的定位單元進行系統功能驗證，將定位單元裝載到汽車上，在北京市海淀區的一段公路上進行現場測試。測試時，駕駛人員駕駛車輛沿公路行駛。圖14是設計完成的列車定位單元。

圖14 列車定位單元的實物圖

借助地圖數據采集軟件，采集輸出板的原始數據，并在MATLAB軟件中進行仿真，顯示的地圖模型如圖15所示。

利用地圖匹配軟件比較定位數據和基準點，如圖16所示，在地圖上顯示了列車定位單元輸出的線路數據和地圖匹配軟件輸出的基準線路數據。可以看到列車定位單元定位的線路數據與實際的線路數據擬合得較好，但還存在一定的誤差。

圖15 仿真的地圖模型

圖16 實際的地圖模型

通過數據分析，計算得到平均誤差為1.885 m，方差為1.804 4 m。定位精度滿足了鐵路上的定位要求。因為本次實驗是在公路上進行的，公路相較于鐵路，道路情況復雜、道路較寬且不規則、路上綠化遮擋多等多個因素影響了定位的精確性，所以實際在鐵路上的定位效果要好于在公路上的定位。

本次實驗結果顯示列車定位單元能可靠地工作，并且定位精度滿足鐵路的定位要求。

5 結束語

列車定位單元作為列控系統的重要組成部分，提供列車速度、位置信息，確保列控系統正常工作和安全運行，實現列車超速防護等安全相關功能。隨著鐵路快速發展，列控技術逐步從固定閉塞向移動閉塞發展，這對定位單元的定位精度以及系統性能提出了更高的要求。

本文采用模塊化設計方式將定位單元劃分為安全電源板(2塊)、通信板(1塊)、輸入板(2塊)、邏輯板(2塊)和輸出板(1塊)。采用故障樹理論對設計的基于GNSS的定位單元可靠性進行研究。以定位單元無法完成定位功能為頂事件建立系統故障樹，對其進行定性和定量分析。定性分析求得基于GNSS的列車定位單元總共有32個最小割集，說明導致頂事件發生就有32種可能。定量分析包括兩個方面，一方面是計算頂事件發生概率等可靠性基本參數，計算結果表明所設計的定位單元可靠性滿足需求指標的要求，即系統一個月內發生故障的概率<1‰；另一方面是對故障樹各底事件的重要度進行分析，通過計算底事件概率重要度和結構重要度，確定了影響系統可靠性的關鍵部件，為進一步優化系統可靠性提供了依據。對于定位單元的安全完整性評價，采用了PDS方法對其硬件SIL中的PFH指標進行定量計算。計算結果表明定位單元的系統板硬件滿足SIL2的要求。通過進一步的子系統安全完整性分析，確定了對定位單元安全完整性影響較大的模塊。通過對列車定位單元的可靠性和安全性分析，全面評價了設計的列車定位單元系統性能。最后對設計的列車定位單元進行功能驗證，結果顯示定位單元能可靠定位，定位誤差在2 m內，可以滿足定位要求。

參考文獻：

[1]陳韶霞，孫永明，劉立月.基于GNSS的高速列車多傳感器組合定位方法研究[J].河北省科學院學報，2011，28(1)：31-34.

CHEN Shaoxia,SUN Yongming,LIU Liyue.Research about High-speed Train Multi-sensors Information Fusion Location Method Based on GNSS[J].Journal of the Hebei Academy of Sciences,2011,28(1):31-34.

[2]王劍.基于GNSS的列車定位方法研究[D].北京：北京交通大學,2007.

[3]李睿.基于GPS和GIS的列車定位系統研究[J].鐵道通信信號,2006,12(4):60-61.

LI Rui.Research of Train Location System Based on GPS and GIS[J].Railway Signalling & Communication,2006,12(4):60-61.

[4]蔣慶仙.北斗/INS組合導航關鍵技術分析[J].全球定位系統,2006,20(6):56-62.

JIANG Qingxian.The Crucial Technologies in INS/BD Integrated Navigation System[J].GNSS World of China,2006,20(6):56-62.

[5]MARRADI L,GALIMBERTI A,FOGLIA L,et al.GNSS for Enhanced Odometry:the GRAIL-2 Results[C]//Workshop on Satellite Navigation Technologies & European Workshop on Gnss Signals & Signal Processing.New York:IEEE Press,2012:1-7.

[6]朱繼洲.故障樹原理和應用[M].西安：西安交通大學出版社,1989.

[7]XIANG J,FUTATSUGI K,HE Y.Fault Tree and Formal Methods in System Safety Analysis[C]//The Fourth International Conference on Computer and information Technology.New York:IEEE Press,2004:1 108-1 115.

[8]ZAMPINO E J.Application of Fault-tree Analysis to Troubleshooting the NASA GRC Icing Research Tunnel[C]//Symposium on Reliability and Maintainability,2001:16-22.

[9]季慧媛.動態故障樹分析方法研究[D].北京：國防科學技術大學,2002.

[10]邵延峰，薛紅軍.故障樹分析法在系統故障診斷中的應用[J].中國制造業信息化,2007,36(1):72-74.

SHAO Yanfeng,XUE Hongjun.Application of Fault Tree Analysis in Fault Diagnosis[J].Manufacturing Information Engineering of China,2007,36(1):72-74.

[11]韓明.FTA法和重要度分析在某系統可靠性中的應用[J].運籌與管理,2000,9(1):58-61.

HAN Ming.FTA Method and Importance Analysis in System Preliability[J].Opertations Research and Management,2000,9(1):58-61.

[12]HOKATAD P,HABREKKE S,LUNDTEIGEN M A,et al.Use of the PDS Method for Railway Applications[R].SINTEF Technology and Society,2009.