王 剑，陆德彪，唐一哲，靳成铭

(1.北京交通大学 电子信息工程学院，北京 100044；2.北京交通大学 轨道交通控制与安全国家重点实验室，北京 100044；3.北京市轨道交通电磁兼容与卫星导航工程技术研究中心，北京 100044；4.通号国际控股有限公司，北京 100166)

基于GNSS卫星定位和导航系统的应用与研究，近年来已覆盖了广泛的场景并拥有了相当庞大的市场规模。2012年中国北斗正式提供了与美国GPS以及俄罗斯GLONASS类似的区域性开放民用服务；2013年欧洲Galileo开始试运行。GNSS卫星定位与导航系统的主要功能为授时服务、定位服务以及基于定位服务而产生的导航应用。2013年的GNSS 市场报告显示，位置服务占应用场景的47%，车内导航占应用场景的46.2%，而铁路应用只占应用场景的0.1%[1]。这是因为铁路应用，尤其是安全相关应用(如列车定位功能)对卫星定位除了定位精确度的需求外，还有可靠性、安全性等需求。

GNSS的授时服务已经在铁路行业有着广泛的应用。铁路通信设备的时钟信息大多同步于车站或者控制中心的母钟，而母钟一般是通过GNSS授时校准过的。

GNSS的卫星定位应用于列车安全定位有其特定的功能需求。客运列车的自动列车防护ATP(Automatic Train Protection)设备是安全相关系统设备，其采集位置信息并确定列车位置的功能即为安全应用。目前绝大部分列车自动防护设备都要采集列车的即时位置，通过前后列车的绝对地理位置及相对距离提供安全评估策略。GNSS卫星定位系统在面向通用的系统应用层面，提出了针对不同类别应用场景下定性和定量的性能需求指标。这些指标分为精确度(Accuracy)、连续性(Continuity)、可用性(Availability)以及完好性(Integrity)4个方面[2]。与此同时，铁路行业对系统性能的评估提出了 RAMS 的需求，分别为可靠性(Reliability)、可用性(Availability)、可维护性(Maintainability)以及安全性(Safety)[3]。由此可见，卫星定位场景下的性能评价体系和铁路系统性能评价体系并不完全吻合，将卫星定位系统应用于铁路列车安全定位，既需要考虑卫星定位系统的性能评估体系，也要将该体系纳入铁路系统性能评估当中，提出基于GNSS卫星定位安全相关应用的评价指标。

1 GNSS安全定位需求

从概念方面分析GNSS卫星安全定位的需求：在通用需求层面是定位结果完好性(Integrity)的需求，在铁路行业性能需求层面是定位结果在应用场景下安全性(Safety)的需求。

从应用方式方面分析GNSS卫星定位，在提供列车定位结果的同时需提供定位结果可信程度的信息，这既是完好性的需求也是安全性的需求。为了提供可信的列车定位信息，有如下两种应用方式：

(1)GNSS接收机使用校准后较为精确的定位数据，实现可信程度信息自我校验，输出安全定位信息。

(2)GNSS接收机在定位的同时，其他定位系统或单元同时进行列车定位，通过冗余的方式进行系统校验，进而输出安全定位信息。

其中，第二种应用方式的实现方法可基于现有的列车定位方法，比如地面应答器信息与同一时刻GNSS定位信息的比较，输出安全定位信息，保障GNSS定位结果符合安全定位的需求。

提供基于GNSS接收机之外的定位信息，通过多种位置信息冗余的方式进行定位结果离线或实时误差校验，这样的系统结构中，保障定位结果安全的部分为基于GNSS接收机的安全应用层。

为了设计GNSS接收机的安全应用层，并分析安全应用层下GNSS定位方式的安全性能，需要分析列车不同运行场景下的需求。从运营速度、运营密度、投资指数、可能的应用场景等角度进行初步分析，根据运营速度和运营密度的不同简单分为4类，见表1。其中，投资指数是指在城市之间的铁路体系中，或者在城市轨道交通中，分别比较平均每公里线上系统的投资规模，只考虑运营初期需求，不考虑整个系统生命周期内需求的动态变化以及升级改造等情况。

表1 列车运营需求场景分类分析

可以看出，GNSS列车定位在低密度的铁路运营中较有优势，在低速的货运运营中也具有一定应用价值。以下将针对两种GNSS安全应用层设计基础及方案进行分析。

2 GNSS安全应用层设计

2.1 第一种安全应用层实现方式

第一种安全应用层的实现方式即需要GNSS接收机自身输出可信性信息的方式。目前GNSS接收机标准定位服务SPS(Standard Positioning Service)的定位性能不能满足铁路安全定位的需求。从GNSS通用需求层面的性能指标角度分析，有如下几个问题：

(1)单点定位精度不足：SPS的定位精度不足以区分短间距的平行轨道。

(2)可用性的不可预测性：GNSS系统自身的非预测性失效、人为因素失效、传播路径等造成的定位失效、车载接收机故障造成的失效无法预测。其中很多导致失效的外部因素是铁路系统自身难以控制和转移的。

(3)完好性性能难以验证：GNSS接收机的完好性性能如何操作及验证，如何避免受到干扰，从SPS自身角度无法验证。

SPS系统的性能可通过如下几个方式增强：

(1)空间和地面增强技术：基于卫星的增强技术，如美国的WAAS，欧洲的EGNOS；基于地面的增强技术，如航空领域的GBAS系统，在铁路领域已有一些使用案例，GE的ITCS系统就是基于地面的增强技术，其在美国的密歇根线和中国的青藏线都有应用[4]。

(2)多传感器融合技术：基于既有列车轨道占用和列车区间定位的方法；结合里程计、列车测速传感器以及其他车载传感器测量和计算的列车所在位置，提供冗余信息进行位置信息的校验，实现其可信性的检验。

第一种安全应用层的实现方式如图1中的Petri网所示。GNSS接收机和其他车载部分设备组成的系统通过安全层输出安全定位信息。

图1 第一种安全应用层实现

为提升GNSS定位精度，除了采用GNSS增强技术外，还应该结合铁路列车占用的传统技术。例如，采用单轨或者应答器进行列车初始定位，确定列车初始轨道；通过地面设备由GSM-R向列车运行控制系统发送进路信息、过岔信息以及移动授权信息，持续确定列车轨道。通过现有的列车占用技术，解决列车运行过程中由GNSS精度不足导致无法确定列车运行轨道的问题。

针对GNSS可用性问题，除了GNSS增强技术外，可以结合列车测速传感器，如里程计与多普勒雷达，以便在GNSS不可用期间，根据累计里程和地图估计列车位置。列车测速传感器几乎是列车系统的标配设备，因为即使列车运行控制系统不使用列车测试传感器确定列车位置，列车自身也需要利用其进行空转、打滑检测，以便优化制动或者增强车轮与轨道之间的摩擦力。因此列车测速传感器用于GNSS不可用时的距离累进定位是可行的，即使列车运行控制系统不单独安装测速传感器，也可以利用车辆系统自带传感器采集的速度信息。

针对GNSS完好性问题，主要还是依靠GNSS增强技术，这也是解决GNSS技术在列车运行控制系统中应用的最关键问题。

2.2 第二种安全应用层实现方式

现运营的高速铁路对运营速度、运营密度要求较高，其列车运行控制系统本身已有配套的安全冗余设备。轨道电路的地面设备、车载设备、应答器设备以及车载的查询设备等，均能够提供列车位置信息。在装配了GNSS接收机的列车运行控制系统中，上述设备输出的位置信息作为GNSS输出位置信息的安全补充，实现冗余信息列车位置安全的校验。

在目前运营的中国CTCS-2、CTCS-3级，欧洲ETCS Level 1、ETCS Level 2列控系统中，GNSS定位信息可以与轨道电路的占用状态、应答器的查询状态等形成安全冗余，由此保障GNSS列车定位结果的完好性。这样，第二种安全应用层为向CTCS-4(或者ETCS Level 3)过渡的安全应用层。

第二种安全层的实现方式除了有第一种的车载部分设备之外，还包括了现有的列车控制系统设备，其组成了如图2所示的安全结构。此种结构需分析的子系统较多，互为冗余的同时也使得系统更为复杂。

随着GNSS接收机定位性能的提升，完全过渡到CTCS-4(或者ETCS Level 3)后，不再依靠轨道电路发码、轨道占用检测信息，也不再依靠应答器信息，此时GNSS定位单元自身需要提供安全定位信息以及列车完好性信息，列车定位完好性验证将通过第一种安全应用层的方式实现。

图2 第二种安全应用层实现

2.3 虚拟应答器实现安全应用层

欧盟委员会、欧洲铁路公司和欧洲铁路行业协会于2008年7月签署的对ERTMS(European Regional Train Management System)管理进行加强合作的谅解备忘录MOU(也称作协议)中，已经预见到下一代ERTMS将升级部分系统增强功能，其中就包括GNSS技术提供的定位服务[5]。这同样在ETCS Level 4的技术规范中有所体现[6]。如何在应用GNSS定位技术的同时减少对现有ETCS技术标准体系以及列车运行控制系统平台的影响是本节要讨论的问题。较可行的方案是利用虚拟应答器VB(Virtual Balise)的方式，平滑取代轨旁的无源应答器。

UNISIG(发展ERTMS/ETCS列控系统的欧洲信号企业协会)组建了一个GNSS工作组，确立了如下基本概念：GNSS虚拟应答器如何在ETCS标准平台内实施，如何通过性能要求、技术规范、测试规范、认证程序来确保以互操作性为最终目标的严格安全性要求。

列车测速传感器对车辆本身参数的检测，其所测量的参数很难用GNSS技术来取代，比较可行的方式是在CTCS-2/3(ETCS Level 1/2)模式下，GNSS通过“虚拟应答器技术”的方式取代地面无源应答器；在CTCS-4(ETCS Level 3)模式下，GNSS提供近似连续的定位信息，并通过列车两端GNSS接收机提供的列车位置信息实现自主完好性监测功能。

虚拟应答器是一种软件模块，能够模拟一个真实放置在轨旁的应答器，虚拟应答器系统如图3所示。当基于GNSS的定位模块检测到列车运行至虚拟应答器点位时，虚拟应答器模拟轨旁应答器，向车载应答器传输模块BTM发送位置信息，该信息与轨道上应答器发送的信息完全一致，其共同发送信息给车载安全计算机。虚拟应答器同实际应答器是完全兼容的。

图3 虚拟应答器系统组成

目前国内外基于虚拟应答器的研究主要集中在功能实现方面。文献[7]对虚拟应答器的组成和工作原理进行了研究。文献[8]对虚拟应答器的捕获算法以及报文的生成进行了研究，并对虚拟应答器的捕获精度和捕获率进行了仿真验证。文献[9]提出了用车载虚拟应答器替代轨旁应答器的低成本实现方式。

3 虚拟应答器实现安全应用层分析

基于第2章所述的安全应用层结构，在现有的CTCS-3/ETCS Level 2列车运行控制体系下，分析GNSS TLU虚拟应答器实现安全应用层的方式，在此基础上建立安全需求模型，从而分析系统的风险参数。

3.1 安全需求风险参数

系统基本风险分析参数由系统可容忍风险率表示。可容忍风险率THR(Tolerable Hazard Rate)是设备导致危险事件的概率，一般是设备需要满足的一个目标数值。通常通过一些确定的原则估计该风险率，这些原则在制定时要确保设备出现的风险尽可能小[10]。

UNISIG发布的ETCS Level 1 & 2安全需求以及可操作性技术文档中，对ETCS系统构架、系统风险分配原则以及系统中各个设备类型的安全需求进行了结构化的分析，对系统的安全分析方法提出了较为明确的量化原则[11，12]。

该技术文档将ETCS的主要技术要求定义为：向司机提供信号，以确保司机安全驾驶列车并强制遵守信号。因为ETCS在运营当中有不同的模式，在ETCS能够提供可靠的安全速度以及安全距离限制信息时，ETCS系统的核心风险定义为：超过ETCS建议的安全速度/安全距离。

该风险可分配为车载设备风险、轨旁设备风险以及数据传输风险，每类风险的可容忍风险率为

THRon-board=THRtrackside=THRtransmission=

0.67×10-9h-1

由此，ETCS系统的核心风险估计为

THRETCS=THRon-board+THRtrackside+

THRtransmission=2.0×10-9h-1

ETCS系统的风险分配如图4所示。

图4 应答器可容忍风险值[11]

传统的ETCS Level 2与CTCS-3系统中，列车的位置信息是通过读取应答器数据实现的。数据传输中的失效风险，作为安全速度以及安全距离限制信息的条件之一，可将GNSS TLU的安全风险等同于读取应答器数据时的风险，即

THRTLU=0.67×10-9h-1

分析读取应答器数据时的风险，可基于接收数据的状态分为表2中的3种情况。

表2 Balise的失效风险分析

3种情况下的风险还可以进一步细化，分为车载部分BTM(Balise Transmission Module)以及地面EUB(Euro Balise)对应3个分类的失效情况，在此不详细描述。

3.2 虚拟应答器风险分配

关于风险初步分配，上述安全需求风险将会在虚拟应答器角度进行详细的分析，其中主要分析第二类和第三类的风险分配。因为应答器的信息量比传统轨道电路或者环线都大，结合足够的编码容错或纠错策略，可以极大地解决误码问题。初步危害风险分配如图5所示。

图5 应答器风险分解

借助基于应答器的危害分析模型，可以对基于GNSS TLU的危害风险进一步分析。

针对第一类风险THRGNSS-TLU-1，因为位置信息可直接从车载设备获得，而不通过与地面通信获得，所以第一类风险对于GNSS TLU不适用。

针对第二类危害风险THRGNSS-TLU-2，考虑的是应答器或者读取器的原因，信息点没有被检测到或检测到却无法提取正确信息。在对信息点漏检的缝隙分析中，通常也考虑信息点是有链接或是未链接的。对于一个有链接的信息点没有被检测到的场景，通常是没有安全措施需求的。但如果两个连续的有链接信息点没有在预期窗口中检测到，将会实施链接应对措施，例如常用制动。而GNSS TLU初始化时应该除外。

针对第三类危害风险THRGNSS-TLU-3，因为考虑的是应答器或者读取器的原因，应答器错误被检测到，所以第三类风险对GNSS TLU不适用。

另外针对不同的运营场景，可以进一步对危害风险进行差异化分析。除了普通运行场景之外，典型的特殊场景还有：从非ETCS区域进入ETCS区域、列车授权以司机人工模式启动、临时限速场景等。

针对列车从非ETCS区域进入ETCS区域场景下的危害风险，可以表示为

RNL=rNL×PDR×((λIP×TMDT)+(λONB×TNL))

式中：rNL表示遇到信息点的概率；PDR表示事件频率因子；λIP表示信息点每小时故障概率；TMDT表示应答器平均故障时间；λONB表示车载读取器每小时故障检测概率；TNL表示车载平均故障时间。

假设从非ETCS区域进入ETCS区域并完全建立匹配需要1 h，即TNL=1 h，那么rNL=1 h-1，假设司机根据地面信号从非ETCS区域进入ETCS区域并建立匹配期间，操作失误的概率为PDR=1×10-3，TMDT信息点的平均故障时间为24 h，可以得到

3.3×10-7h-1=24×(λIP+λONE)

λONE为虚拟应答器模式而不需要读取实际地面应答器，做忽略考虑。那么可以得出信息点的每小时危害风险概率，即

THRGNSS-INIT=λIP=1.4×10-8h-1

针对列车正常运行在ETCS区域内的场景，可以类似分析

RL=V/DU×((λIP×TMDT)+(λONB×TL))

式中：V/DU表示每小时遇到的未链接信息点数量。

假设每小时遇到的信息点为400，其中链接信息点与未链接信息点的比率为1 000∶1，那么V/DU为0.4，TMDT信息点的平均故障维修时间为24 h，TL参考时间为1 h，可以得到

RL=0.4×(24×λIP+λONE)

λONE为虚拟应答器模式而不需要读取实际地面应答器，做忽略考虑。那么可以得出正常运营条件下TLU的危害风险估算，即

THRGNSS-NOR=RL=1.3×10-7h-1

3.3 GNSS TLU风险分配

在此基础上，将THRGNSS-NOR进一步做故障树分析，可以将危害风险分配到：

(1)GNSS空间信号(GNSS SIS)造成的危害风险，即

THRGNSS-SIS=0.4×10-7h-1

(2)车载GNSS TLU硬件和软件危害风险，即

THRGNSS-ONE=0.4×10-7h-1

(3)里程计误差危害风险，即

THRGNSS-ODO=0.4×10-7h-1

从空间信号角度、GNSS TLU硬件与软件角度、里程计误差风险角度去满足GNSS TLU整体危害风险控制要求的风险分配如图6所示。

图6 GNSS TLU风险分配

值得注意的是，连续未链接信息点的数量对风险概率的影响很大。因为对于有链接的信息点，一般都设计为信息点组，如果出现第一个信息点的漏检，系统不会采取应对措施，但是连续第二个信息点出现漏检，系统就会采取应对措施，例如常用制动等。但是对于未链接信息点，一旦出现漏检，车载系统不会被通知，可能漏过重要的安全信息。按照上述假设，每小时遇到0.4个未链接信息点，意味着在高速铁路场景，每650 km遇到一个未链接信息点；在普速铁路场景，每200 km遇到一个未链接信息点。

4 结论

本文通过研究GNSS在铁路领域的应用以及安全需求分析，提出通过安全应用层来实现并验证GNSS TLU安全需求的结构。通过对GNSS安全需求层的探讨，提出了两种安全需求层的实现方式，并分析危害风险，对核心风险事件及可容忍率进行分解，得到GNSS TLU的安全风险分配指标，进而为GNSS TLU的硬件构架设计与工程数据结构配置提供重要的参考指标。

参考文献：

[1]European GNSS Agency.GNSS Market Report[R].2013:7.

[2]KAPLAN E D,HEGARTY C J.Understanding GPS:Principles and Applications[M].2nd ed.Boston:Artech House,2006.

[3]European Committee for Electrotechnical Standardisation.CENELEC EN 50126 Railway Applications-the Specification and Demonstration of Reliability,Availability,Maintainability and Safety(RAMS)[S].2007.

[4]PATRICK J.GE Wins Order from Chinese Ministry of Railways for 78 Locomotives Second Contract Awarded for Incremental Train Control System[EB/OL].http://www.genewsroom.com/Press-Releases/GE-WINS-ORDER-FROM-CHINESE-MINISTRY-OF-RAILWAYS-FOR-78-LOCOMOTIVES-265036.

[5]European Commission.Memorandum of Understanding(MoU) between the European Commission and the European Railway Associations Concerning the Strengthening of Cooperation for Speeding up the Deployment of ERTMS[Z].2008.

[6]STANLEY P.ETCS for Engineers[M].Hown burg:Eurail Press,2011.

[7]张雅静.基于GNSS的虚拟应答器研究[D].北京:北京交通大学,2006.

[8]惠希云.基于GNSS的虚拟应答器关键技术研究[D].北京:北京交通大学,2009.

[9]RISPOLI F.The Role of Satellite Technologies and GALILEO for Improving the Safety of the Local and Regional Train Management Infrastructures[R].2013.

[10]European Committee for Electrotechnical Standardisation.CENELEC EN 50129 Railway Applications-Communication,Signalling and Processing Systems-Safety Related Electronic Systems for Signaling[S].2003.

[11]UNISIG.Safety Requirements for the Technical Interoperability of ETCS in Levels 1 & 2,SUBSET-091[R].2014.

[12]UNISIG.ETCS Application Levels 1 & 2-Safety Analysis,Part 3-THR Apportionment,SUBSET-088 Part 3[R].2002.