基于虛擬應答器的GNSS列車安全定位及風險分析

王 劍，陸德彪，唐一哲，靳成銘

(1.北京交通大學 電子信息工程學院，北京 100044；2.北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044；3.北京市軌道交通電磁兼容與衛星導航工程技術研究中心，北京 100044；4.通號國際控股有限公司，北京 100166)

基于GNSS衛星定位和導航系統的應用與研究，近年來已覆蓋了廣泛的場景并擁有了相當龐大的市場規模。2012年中國北斗正式提供了與美國GPS以及俄羅斯GLONASS類似的區域性開放民用服務；2013年歐洲Galileo開始試運行。GNSS衛星定位與導航系統的主要功能為授時服務、定位服務以及基于定位服務而產生的導航應用。2013年的GNSS 市場報告顯示，位置服務占應用場景的47%，車內導航占應用場景的46.2%，而鐵路應用只占應用場景的0.1%[1]。這是因為鐵路應用，尤其是安全相關應用(如列車定位功能)對衛星定位除了定位精確度的需求外，還有可靠性、安全性等需求。

GNSS的授時服務已經在鐵路行業有著廣泛的應用。鐵路通信設備的時鐘信息大多同步于車站或者控制中心的母鐘，而母鐘一般是通過GNSS授時校準過的。

GNSS的衛星定位應用于列車安全定位有其特定的功能需求。客運列車的自動列車防護ATP(Automatic Train Protection)設備是安全相關系統設備，其采集位置信息并確定列車位置的功能即為安全應用。目前絕大部分列車自動防護設備都要采集列車的即時位置，通過前后列車的絕對地理位置及相對距離提供安全評估策略。GNSS衛星定位系統在面向通用的系統應用層面，提出了針對不同類別應用場景下定性和定量的性能需求指標。這些指標分為精確度(Accuracy)、連續性(Continuity)、可用性(Availability)以及完好性(Integrity)4個方面[2]。與此同時，鐵路行業對系統性能的評估提出了 RAMS 的需求，分別為可靠性(Reliability)、可用性(Availability)、可維護性(Maintainability)以及安全性(Safety)[3]。由此可見，衛星定位場景下的性能評價體系和鐵路系統性能評價體系并不完全吻合，將衛星定位系統應用于鐵路列車安全定位，既需要考慮衛星定位系統的性能評估體系，也要將該體系納入鐵路系統性能評估當中，提出基于GNSS衛星定位安全相關應用的評價指標。

1 GNSS安全定位需求

從概念方面分析GNSS衛星安全定位的需求：在通用需求層面是定位結果完好性(Integrity)的需求，在鐵路行業性能需求層面是定位結果在應用場景下安全性(Safety)的需求。

從應用方式方面分析GNSS衛星定位，在提供列車定位結果的同時需提供定位結果可信程度的信息，這既是完好性的需求也是安全性的需求。為了提供可信的列車定位信息，有如下兩種應用方式：

(1)GNSS接收機使用校準后較為精確的定位數據，實現可信程度信息自我校驗，輸出安全定位信息。

(2)GNSS接收機在定位的同時，其他定位系統或單元同時進行列車定位，通過冗余的方式進行系統校驗，進而輸出安全定位信息。

其中，第二種應用方式的實現方法可基于現有的列車定位方法，比如地面應答器信息與同一時刻GNSS定位信息的比較，輸出安全定位信息，保障GNSS定位結果符合安全定位的需求。

提供基于GNSS接收機之外的定位信息，通過多種位置信息冗余的方式進行定位結果離線或實時誤差校驗，這樣的系統結構中，保障定位結果安全的部分為基于GNSS接收機的安全應用層。

為了設計GNSS接收機的安全應用層，并分析安全應用層下GNSS定位方式的安全性能，需要分析列車不同運行場景下的需求。從運營速度、運營密度、投資指數、可能的應用場景等角度進行初步分析，根據運營速度和運營密度的不同簡單分為4類，見表1。其中，投資指數是指在城市之間的鐵路體系中，或者在城市軌道交通中，分別比較平均每公里線上系統的投資規模，只考慮運營初期需求，不考慮整個系統生命周期內需求的動態變化以及升級改造等情況。

表1 列車運營需求場景分類分析

可以看出，GNSS列車定位在低密度的鐵路運營中較有優勢，在低速的貨運運營中也具有一定應用價值。以下將針對兩種GNSS安全應用層設計基礎及方案進行分析。

2 GNSS安全應用層設計

2.1 第一種安全應用層實現方式

第一種安全應用層的實現方式即需要GNSS接收機自身輸出可信性信息的方式。目前GNSS接收機標準定位服務SPS(Standard Positioning Service)的定位性能不能滿足鐵路安全定位的需求。從GNSS通用需求層面的性能指標角度分析，有如下幾個問題：

(1)單點定位精度不足：SPS的定位精度不足以區分短間距的平行軌道。

(2)可用性的不可預測性：GNSS系統自身的非預測性失效、人為因素失效、傳播路徑等造成的定位失效、車載接收機故障造成的失效無法預測。其中很多導致失效的外部因素是鐵路系統自身難以控制和轉移的。

(3)完好性性能難以驗證：GNSS接收機的完好性性能如何操作及驗證，如何避免受到干擾，從SPS自身角度無法驗證。

SPS系統的性能可通過如下幾個方式增強：

(1)空間和地面增強技術：基于衛星的增強技術，如美國的WAAS，歐洲的EGNOS；基于地面的增強技術，如航空領域的GBAS系統，在鐵路領域已有一些使用案例，GE的ITCS系統就是基于地面的增強技術，其在美國的密歇根線和中國的青藏線都有應用[4]。

(2)多傳感器融合技術：基于既有列車軌道占用和列車區間定位的方法；結合里程計、列車測速傳感器以及其他車載傳感器測量和計算的列車所在位置，提供冗余信息進行位置信息的校驗，實現其可信性的檢驗。

第一種安全應用層的實現方式如圖1中的Petri網所示。GNSS接收機和其他車載部分設備組成的系統通過安全層輸出安全定位信息。

圖1 第一種安全應用層實現

為提升GNSS定位精度，除了采用GNSS增強技術外，還應該結合鐵路列車占用的傳統技術。例如，采用單軌或者應答器進行列車初始定位，確定列車初始軌道；通過地面設備由GSM-R向列車運行控制系統發送進路信息、過岔信息以及移動授權信息，持續確定列車軌道。通過現有的列車占用技術，解決列車運行過程中由GNSS精度不足導致無法確定列車運行軌道的問題。

針對GNSS可用性問題，除了GNSS增強技術外，可以結合列車測速傳感器，如里程計與多普勒雷達，以便在GNSS不可用期間，根據累計里程和地圖估計列車位置。列車測速傳感器幾乎是列車系統的標配設備，因為即使列車運行控制系統不使用列車測試傳感器確定列車位置，列車自身也需要利用其進行空轉、打滑檢測，以便優化制動或者增強車輪與軌道之間的摩擦力。因此列車測速傳感器用于GNSS不可用時的距離累進定位是可行的，即使列車運行控制系統不單獨安裝測速傳感器，也可以利用車輛系統自帶傳感器采集的速度信息。

針對GNSS完好性問題，主要還是依靠GNSS增強技術，這也是解決GNSS技術在列車運行控制系統中應用的最關鍵問題。

2.2 第二種安全應用層實現方式

現運營的高速鐵路對運營速度、運營密度要求較高，其列車運行控制系統本身已有配套的安全冗余設備。軌道電路的地面設備、車載設備、應答器設備以及車載的查詢設備等，均能夠提供列車位置信息。在裝配了GNSS接收機的列車運行控制系統中，上述設備輸出的位置信息作為GNSS輸出位置信息的安全補充，實現冗余信息列車位置安全的校驗。

在目前運營的中國CTCS-2、CTCS-3級，歐洲ETCS Level 1、ETCS Level 2列控系統中，GNSS定位信息可以與軌道電路的占用狀態、應答器的查詢狀態等形成安全冗余，由此保障GNSS列車定位結果的完好性。這樣，第二種安全應用層為向CTCS-4(或者ETCS Level 3)過渡的安全應用層。

第二種安全層的實現方式除了有第一種的車載部分設備之外，還包括了現有的列車控制系統設備，其組成了如圖2所示的安全結構。此種結構需分析的子系統較多，互為冗余的同時也使得系統更為復雜。

隨著GNSS接收機定位性能的提升，完全過渡到CTCS-4(或者ETCS Level 3)后，不再依靠軌道電路發碼、軌道占用檢測信息，也不再依靠應答器信息，此時GNSS定位單元自身需要提供安全定位信息以及列車完好性信息，列車定位完好性驗證將通過第一種安全應用層的方式實現。

圖2 第二種安全應用層實現

2.3 虛擬應答器實現安全應用層

歐盟委員會、歐洲鐵路公司和歐洲鐵路行業協會于2008年7月簽署的對ERTMS(European Regional Train Management System)管理進行加強合作的諒解備忘錄MOU(也稱作協議)中，已經預見到下一代ERTMS將升級部分系統增強功能，其中就包括GNSS技術提供的定位服務[5]。這同樣在ETCS Level 4的技術規范中有所體現[6]。如何在應用GNSS定位技術的同時減少對現有ETCS技術標準體系以及列車運行控制系統平臺的影響是本節要討論的問題。較可行的方案是利用虛擬應答器VB(Virtual Balise)的方式，平滑取代軌旁的無源應答器。

UNISIG(發展ERTMS/ETCS列控系統的歐洲信號企業協會)組建了一個GNSS工作組，確立了如下基本概念：GNSS虛擬應答器如何在ETCS標準平臺內實施，如何通過性能要求、技術規范、測試規范、認證程序來確保以互操作性為最終目標的嚴格安全性要求。

列車測速傳感器對車輛本身參數的檢測，其所測量的參數很難用GNSS技術來取代，比較可行的方式是在CTCS-2/3(ETCS Level 1/2)模式下，GNSS通過“虛擬應答器技術”的方式取代地面無源應答器；在CTCS-4(ETCS Level 3)模式下，GNSS提供近似連續的定位信息，并通過列車兩端GNSS接收機提供的列車位置信息實現自主完好性監測功能。

虛擬應答器是一種軟件模塊，能夠模擬一個真實放置在軌旁的應答器，虛擬應答器系統如圖3所示。當基于GNSS的定位模塊檢測到列車運行至虛擬應答器點位時，虛擬應答器模擬軌旁應答器，向車載應答器傳輸模塊BTM發送位置信息，該信息與軌道上應答器發送的信息完全一致，其共同發送信息給車載安全計算機。虛擬應答器同實際應答器是完全兼容的。

圖3 虛擬應答器系統組成

目前國內外基于虛擬應答器的研究主要集中在功能實現方面。文獻[7]對虛擬應答器的組成和工作原理進行了研究。文獻[8]對虛擬應答器的捕獲算法以及報文的生成進行了研究，并對虛擬應答器的捕獲精度和捕獲率進行了仿真驗證。文獻[9]提出了用車載虛擬應答器替代軌旁應答器的低成本實現方式。

3 虛擬應答器實現安全應用層分析

基于第2章所述的安全應用層結構，在現有的CTCS-3/ETCS Level 2列車運行控制體系下，分析GNSS TLU虛擬應答器實現安全應用層的方式，在此基礎上建立安全需求模型，從而分析系統的風險參數。

3.1 安全需求風險參數

系統基本風險分析參數由系統可容忍風險率表示。可容忍風險率THR(Tolerable Hazard Rate)是設備導致危險事件的概率，一般是設備需要滿足的一個目標數值。通常通過一些確定的原則估計該風險率，這些原則在制定時要確保設備出現的風險盡可能小[10]。

UNISIG發布的ETCS Level 1 & 2安全需求以及可操作性技術文檔中，對ETCS系統構架、系統風險分配原則以及系統中各個設備類型的安全需求進行了結構化的分析，對系統的安全分析方法提出了較為明確的量化原則[11，12]。

該技術文檔將ETCS的主要技術要求定義為：向司機提供信號，以確保司機安全駕駛列車并強制遵守信號。因為ETCS在運營當中有不同的模式，在ETCS能夠提供可靠的安全速度以及安全距離限制信息時，ETCS系統的核心風險定義為：超過ETCS建議的安全速度/安全距離。

該風險可分配為車載設備風險、軌旁設備風險以及數據傳輸風險，每類風險的可容忍風險率為

THRon-board=THRtrackside=THRtransmission=

0.67×10-9h-1

由此，ETCS系統的核心風險估計為

THRETCS=THRon-board+THRtrackside+

THRtransmission=2.0×10-9h-1

ETCS系統的風險分配如圖4所示。

圖4 應答器可容忍風險值[11]

傳統的ETCS Level 2與CTCS-3系統中，列車的位置信息是通過讀取應答器數據實現的。數據傳輸中的失效風險，作為安全速度以及安全距離限制信息的條件之一，可將GNSS TLU的安全風險等同于讀取應答器數據時的風險，即

THRTLU=0.67×10-9h-1

分析讀取應答器數據時的風險，可基于接收數據的狀態分為表2中的3種情況。

表2 Balise的失效風險分析

3種情況下的風險還可以進一步細化，分為車載部分BTM(Balise Transmission Module)以及地面EUB(Euro Balise)對應3個分類的失效情況，在此不詳細描述。

3.2 虛擬應答器風險分配

關于風險初步分配，上述安全需求風險將會在虛擬應答器角度進行詳細的分析，其中主要分析第二類和第三類的風險分配。因為應答器的信息量比傳統軌道電路或者環線都大，結合足夠的編碼容錯或糾錯策略，可以極大地解決誤碼問題。初步危害風險分配如圖5所示。

圖5 應答器風險分解

借助基于應答器的危害分析模型，可以對基于GNSS TLU的危害風險進一步分析。

針對第一類風險THRGNSS-TLU-1，因為位置信息可直接從車載設備獲得，而不通過與地面通信獲得，所以第一類風險對于GNSS TLU不適用。

針對第二類危害風險THRGNSS-TLU-2，考慮的是應答器或者讀取器的原因，信息點沒有被檢測到或檢測到卻無法提取正確信息。在對信息點漏檢的縫隙分析中，通常也考慮信息點是有鏈接或是未鏈接的。對于一個有鏈接的信息點沒有被檢測到的場景，通常是沒有安全措施需求的。但如果兩個連續的有鏈接信息點沒有在預期窗口中檢測到，將會實施鏈接應對措施，例如常用制動。而GNSS TLU初始化時應該除外。

針對第三類危害風險THRGNSS-TLU-3，因為考慮的是應答器或者讀取器的原因，應答器錯誤被檢測到，所以第三類風險對GNSS TLU不適用。

另外針對不同的運營場景，可以進一步對危害風險進行差異化分析。除了普通運行場景之外，典型的特殊場景還有：從非ETCS區域進入ETCS區域、列車授權以司機人工模式啟動、臨時限速場景等。

針對列車從非ETCS區域進入ETCS區域場景下的危害風險，可以表示為

RNL=rNL×PDR×((λIP×TMDT)+(λONB×TNL))

式中：rNL表示遇到信息點的概率；PDR表示事件頻率因子；λIP表示信息點每小時故障概率；TMDT表示應答器平均故障時間；λONB表示車載讀取器每小時故障檢測概率；TNL表示車載平均故障時間。

假設從非ETCS區域進入ETCS區域并完全建立匹配需要1 h，即TNL=1 h，那么rNL=1 h-1，假設司機根據地面信號從非ETCS區域進入ETCS區域并建立匹配期間，操作失誤的概率為PDR=1×10-3，TMDT信息點的平均故障時間為24 h，可以得到

3.3×10-7h-1=24×(λIP+λONE)

λONE為虛擬應答器模式而不需要讀取實際地面應答器，做忽略考慮。那么可以得出信息點的每小時危害風險概率，即

THRGNSS-INIT=λIP=1.4×10-8h-1

針對列車正常運行在ETCS區域內的場景，可以類似分析

RL=V/DU×((λIP×TMDT)+(λONB×TL))

式中：V/DU表示每小時遇到的未鏈接信息點數量。

假設每小時遇到的信息點為400，其中鏈接信息點與未鏈接信息點的比率為1 000∶1，那么V/DU為0.4，TMDT信息點的平均故障維修時間為24 h，TL參考時間為1 h，可以得到

RL=0.4×(24×λIP+λONE)

λONE為虛擬應答器模式而不需要讀取實際地面應答器，做忽略考慮。那么可以得出正常運營條件下TLU的危害風險估算，即

THRGNSS-NOR=RL=1.3×10-7h-1

3.3 GNSS TLU風險分配

在此基礎上，將THRGNSS-NOR進一步做故障樹分析，可以將危害風險分配到：

(1)GNSS空間信號(GNSS SIS)造成的危害風險，即

THRGNSS-SIS=0.4×10-7h-1

(2)車載GNSS TLU硬件和軟件危害風險，即

THRGNSS-ONE=0.4×10-7h-1

(3)里程計誤差危害風險，即

THRGNSS-ODO=0.4×10-7h-1

從空間信號角度、GNSS TLU硬件與軟件角度、里程計誤差風險角度去滿足GNSS TLU整體危害風險控制要求的風險分配如圖6所示。

圖6 GNSS TLU風險分配

值得注意的是，連續未鏈接信息點的數量對風險概率的影響很大。因為對于有鏈接的信息點，一般都設計為信息點組，如果出現第一個信息點的漏檢，系統不會采取應對措施，但是連續第二個信息點出現漏檢，系統就會采取應對措施，例如常用制動等。但是對于未鏈接信息點，一旦出現漏檢，車載系統不會被通知，可能漏過重要的安全信息。按照上述假設，每小時遇到0.4個未鏈接信息點，意味著在高速鐵路場景，每650 km遇到一個未鏈接信息點；在普速鐵路場景，每200 km遇到一個未鏈接信息點。

4 結論

本文通過研究GNSS在鐵路領域的應用以及安全需求分析，提出通過安全應用層來實現并驗證GNSS TLU安全需求的結構。通過對GNSS安全需求層的探討，提出了兩種安全需求層的實現方式，并分析危害風險，對核心風險事件及可容忍率進行分解，得到GNSS TLU的安全風險分配指標，進而為GNSS TLU的硬件構架設計與工程數據結構配置提供重要的參考指標。

參考文獻：

[1]European GNSS Agency.GNSS Market Report[R].2013:7.

[2]KAPLAN E D,HEGARTY C J.Understanding GPS:Principles and Applications[M].2nd ed.Boston:Artech House,2006.

[3]European Committee for Electrotechnical Standardisation.CENELEC EN 50126 Railway Applications-the Specification and Demonstration of Reliability,Availability,Maintainability and Safety(RAMS)[S].2007.

[4]PATRICK J.GE Wins Order from Chinese Ministry of Railways for 78 Locomotives Second Contract Awarded for Incremental Train Control System[EB/OL].http://www.genewsroom.com/Press-Releases/GE-WINS-ORDER-FROM-CHINESE-MINISTRY-OF-RAILWAYS-FOR-78-LOCOMOTIVES-265036.

[5]European Commission.Memorandum of Understanding(MoU) between the European Commission and the European Railway Associations Concerning the Strengthening of Cooperation for Speeding up the Deployment of ERTMS[Z].2008.

[6]STANLEY P.ETCS for Engineers[M].Hown burg:Eurail Press,2011.

[7]張雅靜.基于GNSS的虛擬應答器研究[D].北京:北京交通大學,2006.

[8]惠希云.基于GNSS的虛擬應答器關鍵技術研究[D].北京:北京交通大學,2009.

[9]RISPOLI F.The Role of Satellite Technologies and GALILEO for Improving the Safety of the Local and Regional Train Management Infrastructures[R].2013.

[10]European Committee for Electrotechnical Standardisation.CENELEC EN 50129 Railway Applications-Communication,Signalling and Processing Systems-Safety Related Electronic Systems for Signaling[S].2003.

[11]UNISIG.Safety Requirements for the Technical Interoperability of ETCS in Levels 1 & 2,SUBSET-091[R].2014.

[12]UNISIG.ETCS Application Levels 1 & 2-Safety Analysis,Part 3-THR Apportionment,SUBSET-088 Part 3[R].2002.