車車通信系統中車地控制機理分析及驗證

馮浩楠

(中國鐵道科學研究院集團有限公司通信信號研究所，北京 100081；2.國家鐵路智能運輸系統工程技術研究中心，北京 100081)

基于通信的列車控制系統(communication based train control，CBTC)系統采用以地面控制系統為中心的控制模式：列控系統和地面控制系統之間的雙向無線通信，具有較高的列車間距控制效率[1]，但由于地面控制系統仍然是控制中心，因此單個地面控制系統允許通信的列車數量受到限制；同時地面控制系統和列控系統之間復雜的控制流程制約了列車運行速度提升。為了克服這些限制，車車通信(vehicle based train control, VBTC)系統提出以列車為控制中心的架構方式[2]，取消了CBTC系統中地面控制系統中的計算機聯鎖(computer interlocking, CI)和區域控制器(zone controller, ZC)控制系統，增加對象控制器(object controller, OC)用于控制軌旁道岔(point machine, PM)。列車不需要依靠地面控制系統的控制命令，可通過無線通信直接與周圍列車或者軌旁設備直接通信，實現列車的自主運行，該架構在提升列車運行效率、擴大列車運能的同時，減少地面設施投資成本，與CBTC系統相比顯現優勢[3-5]，在實際應用中，國外RCAS(railway collision avoidance system)系統[6], AATC(advanced automatic train control)系統[7]和Urbalis Fluence系統[8]遵循VBTC系統架構進行了初步的試驗和應用探索。

VBTC系統按照控制對象包括車車通信控制和車地通信控制兩方面。在車地通信控制方面，VBTC系統取消保證進路安全的地面聯鎖系統后，列車直接與OC通信進而控制PM，OC作為車地控制流程中的重要環節，其安全可靠的設計關系到行車安全。文獻[9-10]給出了OC設計方案，文獻[11]提出共享鎖和獨立鎖的方案對道岔進行控制，但都是局限于列車與OC之間通信研究，交互場景不全面，缺少對VBTC系統整體車地控制流程的形式化分析，實用性有限。在實際運行中，OC作為地面直接控制道岔的安全設備，正常情況下，需要與車載系統保持通信完成列車對道岔控制；在特殊情況下，OC還需要實現與自動列車監控(automatic train supervision, ATS)系統進行通信，完成指揮中心的人工道岔控制操作。如何保證OC能夠正確地處理兩個命令來源、安全可靠地完成道岔控制是VBTC系統車地控制流程急需解決的安全問題。

為了保證信號系統的安全性，EN50128 標準推薦形式化方法應用于信號系統的設計與驗證環節[12]。標簽轉移系統(label transition system, LTS)的形式化方法通過圖形方式描述系統內部狀態轉換行為，進而評估系統運行控制流程，適用于實時并發系統的行為特征分析，在計算機安全平臺、RSSP-1協議和ERTMS/ETCS系統需求規范的安全屬性驗證中得到了良好的應用，加速系統的開發和應用進程[13-15]。現提出唯一秘鑰的方式實現列車對地面道岔共享資源的控制，基于LTS形式化方法對OC信息交互處理機制和VBTC系統的車地控制機理進行分析，驗證其邏輯的合理性和有效性。

1 VBTC系統

1.1 VBTC系統架構

VBTC系統分為車載控制系統和地面控制系統。車載控制系統包括：列車自動保護(automatic train protection, ATP)系統、列車自動駕駛(automatic train operation, ATO)系統、車載聯鎖(on-board interlocking, OI)系統、應答器讀取器(tag reader)；地面控制系統包括：OC、PM、ATS系統和應答器(tag)。數據通信系統(digital communication system, DCS)實現車地系統之間的通信功能，各個子系統的功能如表1所示。列車根據ATS系統命令前進，實時與地面OC通信，ATP系統負責列車行進安全。OI將列車控制命令傳輸給OC。OC操作軌旁PM，并將PM的狀態信息傳送給OI，VBTC系統架構如圖1所示。

表1 VBTC系統控制子系統的位置及功能

圖1 VBTC系統架構

圖2 VBTC系統中車載設備與地面設備交互過程

1.2 車地控制機理

車地控制場景指列車行進中，車載設備指示地面OC轉動道岔，為列車行進辦理進路。場景包括車載設備直接與軌旁OC進行通信控制和ATS系統直接控制軌旁OC兩種情況。

1.2.1 車載控制PM場景

車載系統的OI定期與OC通信，OC向車載系統定期報告前進進路中所有PM的狀態。PM是共享資源，一次只能供一個列車占用。為了防止死鎖和控制權的沖突，車載系統的OI采用以下安全控制算法防護和控制進路共享資源PM，流程如圖2所示。

(1)列車的OI確認從OC接收的PM狀態處于空閑狀態，發送密鑰的請求到OC。

(2)OC檢查PM的狀態，如果PM資源可使用，然后生成唯一密鑰并將其發送到OI。

(3)OI使用密鑰將PM的轉換命令加密后發送到OC。

(4)OI確認PM鎖閉，通過OC控制區域時，定期狀態仍保持與OC通信，直到列車完全通過OC控制區。

(5)列車完全離開OC控制區域，OI發送解鎖密鑰值傳輸到OC。

(6)OC收到OI的解鎖密鑰后，解鎖PM。

每次車載OI發出新的請求時，OC會生成新的唯一密鑰。密鑰是一個足夠長的值，防止密鑰沖突。如果特定PM收到來自多列列車的OI請求，OC僅為其中一個列車提供密鑰，不允多個列車同時占用。

圖3展示了列車通過由三個OC控制區域的場景。列車的ATP產生移動授權(move authority, MA)到X點，列車前進的進路中包含的3個OC，標識分別為1A、2和3。列車的OI訪問OC以確保標識1A、2和3的PM處于安全鎖閉狀態，同時獲得唯一的密鑰。如果有其他列車上的OI或者ATS系統已經占用了某個PM，列車需要等待直到PM狀態被解除占用。列車在獲得唯一密鑰后將控制相應的PM，并結合電子地圖信息，車載ATP計算出安全路線。基于安全路線，列車的ATP將MA擴展到Y點。當列車順序行駛過1A、2和3的OC控制區域后，會給相應的OC發送解鎖命令，相應的PM會按順序解鎖。

圖3 列車OI通過OC控制區域場景

1.2.2 ATS控制PM場景

如果操作員通過ATS系統直接向OC發送強制動作PM的命令請求，則該請求發送到路線上所有車輛的OI。如果待轉動的PM處在列車進路中，需要結合列車位置判斷PM的轉動時機。當列車的制動距離超過OC控制區域的1/4時，ATS系統的強性轉動PM操作可能發生脫軌，此時列車的OI拒絕ATS的PM操作請求，PM保持被列車OI控制的狀態，直到列車通過OC控制區，如圖4(a)所示。當列車的制動距離不超過OC控制區域的1/4區域時，車載OI可以取消進路并解鎖PM，將PM的控制權交給ATS系統，如圖4(b)所示。列車ATP取消進路后，列車的MA被縮短至PM前方，如圖4(c)所示。

圖4 ATS操作OC場景

2 車地控制形式化建模

LTS將VBTC系統的車地控制行為描述為一系列過程P組成，過程P可以用四元素描述；S為非空狀態集合，A為有限的標簽集，T為轉移關系，q0是S的初始狀態。

由VBTC系統的控制PM的場景可以發現，OC為整個控制流程的中樞，因此以OC為研究對象，建立標簽集A如下：

A={ occhkreq,oikeyreq,atskeyreq,occhkpm,pmstlk,sndkey,oisndcmd,atssndcmd,ocsndcmd,pmrot,pmrest,chkatpst,atpok,atpno}

各個標簽的含義如表2所示。LTS建模VBTC系統的車地控制狀態轉移流程S如下：Ti(i=1,2,…,10)為轉移分支。

S=T1,

T1=(occhkreq→oikeyreq→T2|

occhkreq→atskeyreq→T2),

T2=(occhkpm→T3|

occhkpm→T4),

T3=(pmstlk→sndlock→T1),

T4=(pmstunlk→sndkey→T5|

pmstunlk→sndkey→T6),

T5=(oisndcmd→T7),

T6=(atssndcmd→T8),

T7=(ocsndcmd→pmrot→pmrest→T8),

T8=(chkatpst→T9|

chkatpst→T10),

T9=(atpok→T7),

T10=(atpno→T3).

表2 VBTC系統車地控制流程的LTS模型

3 實驗分析

圖5為VBTC系統車地控制流程的LTS模型的標簽轉移過程，VBTC系統的車地控制中存在17個轉移狀態。圖6為LTSA軟件對LTS模型的檢查結果，結果表明軟件對模型的分析時間為1 ms，模型中不存在死鎖現象，車地控制流程安全可靠。

為了驗證LTS方法建模的有效性，將其與人工檢查對車車通信系統的車地控制流程進行分析，以流程死鎖檢查正確率，死鎖檢查時間為評價指標進行對比，對比如表3所示。

表3表明，LTS方法的死鎖檢查率為100%，且建模耗時較短，效率遠高于人工檢查。因為LTS可以對并行邏輯可以精準描述，而人工分析方法對并行行為會存在遺漏情況；LTS方法將控制流程采用符號集的方式直接轉換為形式化模型并進行計算機運算，實現速度很快，而人工測試方法在編寫案例測試方面花費太多時間。

表3 LTS模型與人工檢查正確率對比

圖5 LTSA軟件對VBTC系統車地控制模型的驗證結果

Composition:DEFAULT=SStateSpace: 17=2??5Analysing...Depth9—States:17Transitions:21Memoryused:14980KNodeadlocks/errorsAnalysedin:1ms

圖6 LTSA軟件檢測結果

Fig.6 Detection result by LTSA software

4 結論

作為一種新的控制系統，VBTC系統為了實現以列車為控制中心的運行方式，使用OC代替CBTC系統中的地面聯鎖系統，全新的控制流程的改變引入了系統的安全風險。使用唯一密鑰控制方式設計OC交互機制，實現列車對線路中道岔共享資源的控制。為了驗證設計的可靠性，基于LTS形式化方法對VBTC系統中的車地控制流程進行了建模，并使用LTSA軟件對模型進行了快速分析。結果驗證了設計的VBTC系統車地控制流程的正確性；與人工分析對比，LTS建模方法在準確性和效率上存在明顯的優勢，可以推廣至其他復雜控制系統的設計和驗證中。

僅對VBTC系統的OC和車地控制流程進行了理論設計和驗證，后續將基于此設計，搭建VBTC系統實物系統，基于VBTC系統車地通信實驗數據，優化配置VBTC系統中車載設備、OC等關鍵設備的通信參數，實現VBTC系統的可靠運行。