刘 岭 牛道恒 张国振 崔俊锋 高志辉

（北京全路通信信号研究设计院有限公司，北京 100073）

刘岭，硕士毕业于清华大学，高级工程师，运行控制研究设计院院长。主要研究方向包括CTCS列控车载设备研制、列车运行控制系统安全软件技术研究、系统设计及安全分析等。负责CTCS列控车载设备自主研制项目，主持完成CTCS3-300T列控车载设备研制。获2009年度茅以升铁道工程师奖，2010年詹天佑青年奖，2011年中央企业第一届五四青年奖章。

列控车载设备是CTCS-3级（简称C3）列车运行控制系统中的关键子系统之一，担负着保证列车运行安全的重要作用。CTCS3-300T车载设备根据接收的地面信息及无线信息生成列车速度控制曲线，并与列车实际速度进行比较，监督列车运行，实现列车运行安全防护功能。CTCS3-300T列控车载设备基于成熟硬件平台，遵循故障导向安全的设计原则，在系统设计、软件设计、测速测距和列车接口设计中采用了大量安全设计技术，适用于时速300 km/h及以上的高速动车组，目前广泛应用在武广、沪宁、沪杭、京沪、哈大等高铁和客运专线。

1 CTCS3-300T车载设备系统安全设计技术

如果一个系统在内部发生任何故障时，都能将被控对象置于预定的安全侧的输出值，则称该系统为故障安全系统。实际上绝对故障安全系统是不存在的，只要系统的安全性达到某一规定的标准指标，则可认为该系统是故障安全的。在IEC61508和欧标EN50129中对系统安全性和系统安全完善度等级进行了定义和划分，系统安全性是指系统免于不可接受的直接或间接导致的物理伤害或人身健康伤害风险[1]。系统安全完整度等级是指系统满足规定的安全特性需要达到的置信水平[2]。由于列控车载设备是列车运行的安全控制设备，要求具有高安全性并实现故障导向安全，须达到系统安全完整度等级SIL4级的要求，即容忍危险率THR≤10-9h。为实现故障安全系统，在CTCS3-300T列控车载系统设计中采用了多项安全设计技术。

首先，系统设计中采用故障导向安全作为基本设计原则。在系统故障处理中采用故障安全原则，在系统断电、关键硬件故障、系统状态异常等故障情况下，输出制动命令控制列车停车以保证安全。在系统应用功能设计中采用故障安全原则，例如在地面关键信息缺失的情况下采用安全侧的默认值设计，如临时限速缺失按照最低限制速度值作为默认控制值等。

CTCS3-300T车载设备采用带有安全输出单元的分布式总线结构设计，如图1所示。C3主机单元(ATPCU)和C2主机(C2CU)单元分别负责在C3等级和C2等级运行时的列车自动防护功能；测速测距单元由测速测距处理单元(SDP)、测速测距采集单元（SDU）、速传和雷达等组成，负责速度和距离数据的处理；BTM应答器传输模块和CAU应答器接收天线，接收和处理地面应答器数据；无线传输单元，由COMC、GCD和GSM-R组成负责对处理无线数据安全传输的无线通信功能进行加密。系统内部采用安全通信协议，在启动时进行系统自检，系统总线主站轮询同步各个单元，并和各单元采用安全通信协议定期轮询，进行系统完整性和状态检查。系统采用安全看门狗设计，系统中的VDX安全输入输出单元负责执行系统对列车紧急制动等的安全输出，同时VDX安全输入输出单元为系统看门狗，周期性收集总线上主站和各关键从站单元的生命信号，在检测到异常时控制输出列车制动停车指令，以实现故障-安全原则。

300T车载列控车载设备在车地通信传输处理中遵循EN50159安全通信规范[3]，采用相关安全设计技术。由于C3系统中车地通信主要通过GSM-R无线通信、应答器信息、轨道电路信息等，车地通信的安全准确性至关重要。300T车载设备在车地应答器通信、无线通信中采用安全通信协议，并采用通信信息有效性检查等方式确保车载使用正确的地面信息作为控制列车运行的依据。

在300T车载设备DMI人机显示界面设计中，除考虑人机工程学进行分区布置外，也采用了安全设计技术。包括：在关键数据采用冗余显示方式，如列车速度采用指针表形式和数字形式同时显示，用于对司机显示关键信息的冗余比较；对于关键数据输入时进行有效性检查并重复确认，在最大程度上避免司机错误输入；DMI设计包含硬件自检功能，同时在屏幕设计中有明显的刷新变化显示信息，可同时用于司机人工观察该屏幕信息刷新，辅助确认显示器工作正常等。

2 测速测距系统安全设计技术

测速测距系统要求能实时、连续、准确地提供测速测距结果作为车载自动防护系统的控车依据。随着列车运行速度的提高，单一的速度传感器已很难满足列车高速条件下对测速可靠性和安全性的要求。

当前在国际上通常采用的列车测速手段[4，5]有GPS、车轮速度传感器、雷达、陀螺等。GPS容易受到地形影响而产生信号盲区，陀螺存在因为结构复杂而不利于使用和维护的缺点；雷达具有不受车轮空转和打滑影响的优点，车轮速度传感器具有不受外界环境和天气干扰等优点，故CTCS3-300T车载设备中采用车轮速度传感器与雷达相结合的方式实现列车速度的安全测量，这2种速度传感器的互补特性为获得安全可靠的列车速度提供了有效技术支撑。

测速测距系统采用了多路速度传感器融合技术，通过采用满足安全原则的多传感器数据融合算法，实现了列车安全测速和定位的要求。

CTCS3-300T车载设备测速测距系统结构如图2所示。

多路速度传感器数据融合采用联邦卡尔曼滤波器实现，融合过程如图3所示。

根据联合卡尔曼滤波理论，列车速度测量系统状态方程可以表示为:

列车速度测量系统由4个速度传感器子系统构成，各个速度传感器子系统独立进行速度量测，因而可以获得4组速度量测值。对于其中第i个速度传感器子系统，由式（1）可知该速度传感器子系统的状态方程和量测方程分别为

由于联合卡尔曼滤波是一种分散滤波方法，由主滤波器向各子滤波器动态划分初始条件信息、动态噪声信息和公共观测信息。

信息分配因子bi满足信息守恒，b1+b2+b3+b4=1，0≤bi≤ 1。

为提高系统的可用性，满足当部分速度传感器发生故障后系统仍然能继续安全控车的要求，系统选用无复位式原则[6]确定bi，使系统具有较强的容错能力。同时，在多路速度传感器数据融合决策过程中，还充分考虑了列控系统安全控车的需求。

在融合雷达和车轮速度传感器输出得出列车速度的基础上，通过积分运算可计算出列车的走行距离，同时根据地面布置的点式应答器位置及应答器的链信息，实现对列车位置的校正，从而实现列车的安全定位功能。

列控车载设备对高速列车进行速度和位置防护时，还需要考虑测速测距误差的影响。CTCS3-300T车载设备测速测距系统综合考虑各测速传感器的固有精度、列车轮径值测量精度、有效传感器的数量、传感器信号的统计特性等信息，实现了测速测距误差范围即置信区间的动态计算。系统通过融合计算出的标称速度值记为Vnom，考虑误差后的最小速度记为Vmin，考虑误差后的最大速度记为Vmax，则[Vmin,Vmax]即为速度值的置信区间。

由于列车的安全制动通常为紧急制动，在针对紧急制动干预曲线（EBI）进行监控时，CTCS3-300T车载设备采用最大速度作为监控速度，以防止因测速误差导致的超速或越过危险点风险；对于常用制动干预曲线（SBI）则采用标称速度进行监控，如图4所示。这样即保证了系统的高安全性，也兼顾了系统的可用性。

3 车载设备软件安全设计技术

随着计算机应用的不断发展，现代轨道交通的列车运行控制系统已经从轨道电路、机车信号等设备的简单组合逐渐向融合了应答器、轨道电路、机车信号、无线闭塞中心、测速测距等多种信息的一体化综合自动控制系统。在运输效率大幅提升的同时，列控车载设备软件的功能增多，软件规模急剧扩大，软件结构也越来越复杂，使得车载软件出现错误的概率越来越高，因此如何提高车载设备软件的安全性，保证软件设计的正确性，实现车载软件的高可信性是车载系统研究的关键内容之一。

为了提高车载设备软件安全性，目前采用管理和技术两种手段。在管理手段上，国际上已有规范如IEC61508、EN50128，软件开发过程中通过采用软件设计、验证、测试（白盒测试、黑盒测试、集成测试等）、维护等一系列手段，来保证系统安全；技术手段上采用各种软件危险性分析方法，SFMEA(软件故障模式影响分析)、SFTA(软件故障树分析)和危险源及可运行性研究(HAZOP)等；对于软件需求和说明采用Z语言、有限状态机、Petri网等；另外目前广泛采用多版本软件开发比较与验证、异常防护、CPU与内存检测等方法，并使用经过验证与评估的安全操作系统、编译链接器等。

3.1 CTCS3-300T车载设备安全软件开发流程技术

CTCS3-300T车载设备安全软件紧密结合系统设计，遵循“故障导向安全”理念，安全软件完整性级别达到SIL4级要求。按照EN50128等业界广泛采用的铁路软件开发流程，采用V&V软件开发全生命周期开发模型，如图5所示。安全软件系统开发、需求规格、结构设计、模块设计等各个开发阶段同步进行的验证和确认活动，该模型中强调测试伴随着整个软件开发周期，测试的对象包括程序、需求、设计等，即测试与开发同步进行。

在300T车载设备安全软件设计过程中，采用SFMEA方法，分析软件失效的逐级传播途径和影响范围，并对危害性进行分级，识别软件的关键部分和薄弱环节，并分析得到的容错和异常处理措施，并对措施的有效性进行分析评价。

CTCS3-300T车载软件同时在系统级和模块级进行了SFMEA分析，系统级的SFMEA主要是对需求和概要设计进行评价，而模块级的SFMEA则深入到模块内部，评价的对象是已经编程的代码或者伪代码。在SFMEA分析中，首先需要识别失效模式，重点考虑软件不能完成预定功能的失效表现形式，接着分析失效的影响及如何在系统内传播，并确定失效的严重程度，然后分析控制措施，分析失效的可能性及可检测性，根据下列公式进行危害性分析。

风险影响数PEN=S×O×D，其中S为严重程度，O标识发生可能性，D表示检测度。

经过小组讨论确定PEN的临界值，如果PEN大于临界值，则认为存在安全风险，重点进行控制和解决。最后对控制措施的落实进行跟踪管理，并评估解决后的实施效果，如此递归推进，直到软件的安全达到可接受的水平。

3.2 CTCS3-300T车载设备安全软件设计方法

300T车载设备在通过SIL认证的成熟软件底层平台上进行安全软件设计，综合使用了A/B双代码开发技术、内存与CPU检测、任务监控安全通信、Token机制等多种安全软件设计技术，确保车载设计软件的安全性达到SIL4要求。

A/B双代码开发技术（A/B Code），即对所有的安全变量，在内存中采用bit取反的格式进行存储和运算；对安全相关的算法与核心控制逻辑，分别由不同的开发人员设计实现，进行背对背开发，并在软件模块级别上设置若干关键变量比较点，一旦发现不一致则导向安全侧。A/B双代码软件的程序控制流如图6所示。

内存与CPU检测（MCT）技术，在CPU资源空闲时，根据300T车载平台处理器的分析，对CPU的寄存器、加法器和指令集进行循环测试，采用改进型的March算法对内存的地址线、数据线和存储部件进行检测。

任务监控（Task Supervision）技术，对于执行安全相关逻辑处理的关键任务，对任务的调度时间进行持续监控，如果任务执行的时间超过预先设定的时间长度，则立即导向安全侧。

安全通信（Safe Communiction）技术，对于车载设备各个单元之间的数据通讯，使用安全通信协议，综合A/B双代码与CRC校验等手段，保证总线数据传输的正确性。车载设备作为移动体，运行环境较恶劣，易于受到电磁干扰，因此对总线异常数据应该设定一定的容忍值，在容忍范围内丢弃异常数据，使用上次的有效数据，如果异常数据超过容忍值，则故障导向安全。

Token技术，为防止异常的程序流，安全的函数实现中，某个特定的token值作为输入，对不同的程序执行路径对token进行bit取反和累加/累减操作，保证函数的返回值与输入值是bit取反的。当调用该函数时，对输入和输出的token进行比较，一旦程序流出现错误，两者不能满足bit取反的判断，从而发现异常而提高了安全性。

通过采用上述多种提高软件安全性的技术，CTCS3-300T车载软件对系统运行中的信息错误、指令错误、地址错误、异常的程序流、应用逻辑异常等进行防范，且对每种异常都存在两种或两种以上的检测和处理方法，具体见表1。

另外CTCS3-300T车载安全软件设计中，在软件编译链接器、操作系统功能函数、编码规范等方面都进行了验证确认，同时使用了C和C++两种编程语言，提高软件的异构性，进一步提高了车载软件的安全性。

表1 CTCS3-300T车载设备安全软件对不同故障类型的对策表

4 列车接口安全设计技术

CTCS3-300T列控车载设备与列车接口设计中采用的主要安全技术和机制包括：使用安全继电器及失电输出制动逻辑、安全信号输出回采检测机制、正反逻辑输出控制安全输出机制、采用高电压有效输入输出单元DX与低电压有效输入单元DI的可靠采集机制、完善的制动检测机制和FMECA分析等。

4.1 安全继电器

安全继电器有以下特性：

1）不可能发生一组接点连接前接点，其他组接点连接后接点的故障；

2）安全继电器前、后接点不可能发生短接故障。

根据安全继电器特性，在系统安全输出上采用了4组接点的安全性继电器与列车接口电路实现了电气隔离，有效的提高了系统的安全性。

4.2 安全信号输出回采检测机制

通过一个安全输入输出单元VDX1输出控制一个安全继电器，同时通过另一个独立的安全输入输出单元VDX2回采该继电器的状态（连接示意如图7所示），如系统对比VDX1的输出指令与VDX2回采状态不一致则系统输出制动并进入故障模式，确保安全。

4.3 正、反逻辑输出控制安全输出机制

通过VDX输出高电平控制安全继电器EB1吸起或输出低电平控制安全继电器EB2落下来断开列车接口回路，连接示意如图8所示，通过正、反逻辑输出控制安全输出可有效地避免系统因故障发生输出异常时不能导向安全侧的风险。

4.4 DX/DI可靠采集机制

DX单元为高电压有效输入输出单元，当检测到输入高电平时对应信号为1；

DI单元为低电压有效输入单元，当检测到输入低电平时对应信号为1；

通过DX单元采集一个信号的正逻辑电平，同时DI单元采集该信号的反逻辑电平，系统只有检测到DX和DI采集到的信号互为相反时才判断为有效的输入信号，这种机制可避免由于布线或混电导致信号发生异常的问题。

4.5 完善的制动检测机制

制动测试总共包含13个步骤，通过组合测试的方式测试了紧急制动和RTW故障反应输出至安全继电器以及输出至车辆。

4.6 FMECA分析

在列车接口设计过程中采用了FMECA（故障模式影响及危害度分析）方法对列车接口电路进行分析，有效的提高了系统质量和可靠性水平，使其满足系统安全性需求。

5 结语

CTCS3-300T型车载设备在基于成熟安全平台进行设计的前提下，在系统构架设计、关键单元设计、软件设计及接口设计中综合运用了各种安全设计技术，使设备达到了SIL4安全完整度等级的要求，并通过了国际第三方独立评估机构的安全评估认证。后续对系统THR指标分解、故障树分析及FMECA分析等方面进行更全面、系统的阐述是论文未来的研究方向。

[1] IEC61508, Functional safety of electrical/electronic/programmable electronic safety-related systems[S]. 1997.

[2] EN50128, Railway applications-Communications, signalling and processing systems-Software for railway control and protection systems[S]. 2001.

[3] Railway applications-Communication, signalling and processing systems-Safety related electronic systems for signalling[S]. 2003.

[4] LUO R E, YIH C, SU K L. Multisensor Fusion and Integration: Approaches, Applications, and Future Research Directions[J]. IEEE Sensors Journal,2002, 2(2):107-119.

[5]杨万海. 多速度传感器数据融合及其应用[M].西安: 西安电子科技大学出版社，2004.

[6]谭德荣，张莉，王艳阳．基于自适应卡尔曼滤波的轮速信号处理技术．汽车工程，2009， 31(6):533-578.