樊 亮，方 凯，殷 源

（株洲中车时代电气股份有限公司，湖南 株洲 412001）

0 引言

关于轨道交通系统在运行过程中出现故障的可能性，大多数研究只涉及了3种情况：（1）任务执行过程中出现故障；（2）在状态检测过程中出现故障；（3）在状态返回过程中出现故障[1]。针对信号系统实时处理能力不足而导致故障的问题，多数研究只进行了简单的时间分配处理，而没有进行合理性分析。

在高速轨道交通系统中，信号系统是整个磁悬浮列车的重要子系统[2]。信号系统实时处理能力是高速列车超速防护响应时间的重要指标。对于SIL4（safe integrity level，安全完整性等级）级信号系统的列车自动防护系统，信号系统实时处理能力直接影响自动防护系统对速度曲线控制的效果及列车运行的安全。一旦信号系统出现事件不能及时处理情况，将产生错误的防护动动作，导致信号系统降级处理。若在设计之初就建模分析事件的响应处理时间，则可避免产生错误的防护操作。本文对信号系统响应处理事件的实时性分析主要采用2种方法：（1）采用速率单调分析法对系统多任务处理事件进行负载能力可行性分析，以保证系统处理每个事件不失效。（2）在事件周期性实时处理时间划分后，进行周期性事件可行性分析，以保证每个事件都能在规定的时间内处理完成，从而确保事件处理时间的合理性。

1 采用任务调度周期性事件的理论分析

信号系统是一个复杂系统，当前信号系统场景的执行是否安全，主要与2个指标有关，一是事件触发场景执行结果，二是场景事件处理完成时间。这2个指标必须都完成。如果一个场景执行正确但超过了处理完成时间，可能导致这个结果无效。

一个程序是处理器中可执行的指令代码，而这个指令代码是采用循环顺序执行的，这个循环周期就是主周期。在高速磁浮系统中，为了提高事件处理响应时间，主周期变得很短，但多数场景事件处理时间并未缩短，如果按照顺序执行方式处理事件，多数场景事件可能需要等待几个周期后才能开始执行，事件开始执行时间变成不可预知。要使场景事件的执行可预知，需要把主周期分割成多个小周期，主周期的时间是所有场景事件周期的最小公倍数。这样，每个小周期的场景事件可被循环调用执行，其执行由事件触发。

目前大多数信号系统执行事件处理方式为周期顺序执行。而高速磁浮信号系统，对响应时间提出了更高要求，事件的响应处理必须在规定的时间内完成，这就要求部分事件响应须可调度执行。本设计采用时钟驱动调度算法周期性地调度触发事件执行，而且每个事件的调度执行时刻是预知的。

在信号系统实时处理分析中，如果在设计之初对场景事件的执行时刻及执行完成时间不预先进行合理性分析，则在后续的设计过程中即使采取有效合理的方法也很难进行安全预防，从而可能导致无法预知的后果。本文采用合理的调度算法对场景事件的周期进行合理设计，在设计初期就消除因多处时间并发或周期处理不合理导致的事件处理堵塞安全隐患。

2 采用速率单调法分析信号系统实时性

合理划分场景事件周期性触发时间后，将进行响应时间的可调度性分析，其采用的方法是速率单调法。速率单调分析算法的公式为[3]

式中：Ci——任务i的最长执行时间；Ti——任务i的周期；n——任务总个数；U(n)——CPU利用系数的上限。

利用系数上限U(n)=Ci/Ti，可判断任务的可调度性。速率单调分析算法的限制前提条件是：（1）各个任务之间相互独立，不存在同步关系；（2）各任务的截止时间等于任务的周期；（3）周期运行时，各任务的每次执行时间都是固定的，任务的周期越短，优先级越高。

目前，采用信号系统有限状态在生命周期中进行有限的状态跳转实现系统的安全分析，但不能满足高速系统事件实时性要求。根据信号系统实时并发处理的条件进行建模分析，一方面采用时钟驱动调度算法进行计算事件的周期性触发时间，保证每个事件都能在规定的时间内处理完成，避免超时故障带来的安全隐患分析；另一方面采用速率单调法分析场景任务可调度性，从而判断系统负载能力支持任务的可调度，不会因多处事件触发，而无法调度任务处理而出现安全隐患。

通过以上分析及计算分析出场景事件的触发条件及相关参数，同时可以采用模拟器对场景进行模拟信号控制，减少系统分析师个人经验错误，提高了信号系统安全隐患分析的效率，为下一步的设计提供了坚实的理论基础。

3 磁浮列车车载运行控制系统实时处理功能的设计

在高速磁浮系统中，车载运行控制系统对响应时间提出了更高要求，首先需对车载运行控制系统的功能模块进行划分，然后对预设时间参数进行合理性分析，最后再进行场景任务可调度性分析。

3.1 车载运行控制系统组成

在磁浮列车两端各设1台车载子系统机柜用于安装车载子系统设备。车载运行控制系统（vehicle control system，VCS）主要包括车载安全计算机（vehicle safety computer，VSC）、控制面板、安全测速单元、辅助驾驶装置（assistant operation module,AOM）、车载无线电控制单元（mobile radio control unit，MRCU）及车辆控制设备等，如图1所示。其中，MRCU属于车地无线通信系统，其与地面分区无线电控制单元（decentralized radio control unit，DRCU）进行无线连接；DRCU与分区安全计算机（decentralised safety computer, DSC）及列车自动监控（automatic train supervision, ATS）进行连接，实现车载与地面的数据交互。

图1 车载系统与车辆接口示意Fig. 1 Schematic diagram of interface between onboard system and vehicle

VSC主要包括分区运控模块、中央运控模块、辅助驾驶模块AOM、无线电控单元模块、测速测距单元模块、车载诊断网模块及车辆控制网模块，如图2所示。图中，车载运控模块通过与中央运控模块及分区运控模块交互，得到时刻表授权信息及列车运行进路信息，从而进行列车自动防护监控操作；同时根据事件的响应发送命令给车辆控制网模块进行车辆运行控制；通过车载诊断网模块采集车辆设备信息并通过测速测距模块采集速度和列车位置等信息，依此进行列车位置和速度的监控防护；而无线电控单元模块则可以实时获取远端数据并传输给车载运控模块[4]。以上这些软件模块共同构成了车载运控的场景需求。其中AOM只进行辅助功能，所以本设计不考虑。

图2 车载任务模块的通信及依赖关系Fig. 2 Communication and dependency of vehicle task module

高速磁浮对实时控制性能要求很高，尤其是在软件实时处理方面。因此，针对车载安全计算机系统，根据实时时间需求对其车载控制模块进行划分，具体如下：

（1）车载运控模块

列车两端各设1套VSC，VSC采用双机冗余的系统结构。系统运行采用双机热备工作方式[2]。VSC主要实现列车启动、列车关闭、列车登录、列车定位、强制停车管理、列车运行模式转换、列车悬浮、停止（静止）监控、涡流制动、车载控制设备监控、释放受流器、车门监控及速度曲线监控等功能。车载运控模块每100 ms触发进行一次VSC的数据收发及逻辑处理。

（2）车辆控制网模块

车辆上的车载控制装置采用冗余设计，在首尾车厢中各有两套车辆控制单元装置，它们之间互相连接。VSC将事件产生的与安全有关的控制命令传输给车辆控制单元装置；车辆控制单元装置将车辆设备产生的与安全有关的监测信号传送给车载安全计算机。车载安全计算机的车辆控制单元模块由外部事件触发并记录事件，且每100 ms进行一次逻辑处理。

（3）测速测距单元模块

列车两端各设1套测速测距装置。该装置采集列车位置、速度和方向等数据并进行逻辑处理和列车速度及位置的测量，为VSC提供与安全有关的列车速度及位置信息。测速测距单元模块由周期性消息触发并每50 ms进行一次逻辑处理。

（4）分区运控模块

分区运控模块负责分区内分区安全计算机与车载安全计算机之间的数据交互及列车运行的安全防护，是一个与安全相关的部件。DSC是每个运行控制分区的核心部件，实现轨道防护、进路防护、列车管理、牵引切断、分区交接、速度曲线监控和安全定位等与安全相关的功能。DSC的具体功能实现由运行控制中心的命令决定，运行的状态将由DSC及时反馈给运行控制中心。分区运控模块执行每100 ms触发一次车载VSC与分区运控设备的数据交互及逻辑处理功能。

（5）中央运控模块

中央运控模块主要负责中央ATS与VSC之间的数据交互及线路信息管理。中央ATS具有线路数据管理、运营授权管理、下发运行图/时刻表，以实现自动运行管理等功能[4]。中央运控模块通过无线电控制设备将相关数据发送给地面中央ATS设备。中央ATS实现实时更新列车位置、列车关键状态及授权区域显示和列车编号，并保证相关数据在中央控制室显示，使调度员可以查看或进行列车调度。中央运控模块执行每1 s触发一次车载VSC与中央运控模块的数据交互及逻辑处理功能。

3.2 基于时钟驱动的调度算法分析

车载运行控制系统需通过任务调度算法分析每个模块设计的时间参数是否符合约束条件，从而确定时间参数分配的合理性。任务调度算法有2种经典的调度算法，即基于时钟驱动的调度算法（clock driven scheduling）和事件驱动调度算法（event-driven scheduling）。其中，事件驱动调度算法主要是根据外部设备的输入信号进行事件触发中断，此中断为事件调度提供信号条件；而基于时钟驱动的调度算法用于周期性任务，其根据任务特定的周期来决定调度哪个任务。

时钟驱动的调度是由系统时钟硬件产生一个中断来触发任务调度；而周期调度触发的时间是预先设置的时间参数，当预先设置的时间到，就会触发任务调度执行。调度算法即决定什么任务在什么时间执行结束。而任务的执行时间是允许在规定的时间内的任意时刻。当下一个任务调度时间到，就会调度执行其他任务模块。比如测速测距模块每50 ms执行一次，分区运控模块、车载运控模块均以100 ms执行一次。时钟驱动的调度算法就是要保证在规定的时间内对规定的模块任务事件进行处理，并控制所有实时模块协调一致地运行。

主周期可被分割为很多小周期，f表示小周期的时间长度。在时钟驱动的调度算法中，任务周期时间的分配是否合理主要看小周期设计是否符合约束条件。最小周期必须满足如下3个条件[5]：

（1）理想情况下，每个作业的执行时间能够在单个周期（f）时间内开始并完成执行，即f≥max(ei),1＜i≤n)，ei是第i个任务的执行时间。

（2）每个场景f尽量短，且f应该能被主周期整除。

（3）由于调度算法的调用执行时刻是发生在每个场景的小周期开始时刻，而每个场景的小周期是独占时间，其他场景事件不能抢占，必须等待小周期时间结束。所以场景的执行时间ei不能超过小周期时间，且场景任务小周期至少包含一个场景执行时间ei，即：

式中：p——任务的周期时间；Di——任务i的截止时间；gcd ——最大公约数。

根据每个模块实时性需求，对其车载控制模块进行时间划分，确定表1中所示任务的小周期，最后通过3个约束条件判断预设时间参数的合理性。

表1 信号任务处理时间参数表Tab.1 Parameters of signal task processing time

表1中，由于车载机柜设备平台的主周期为100 ms，所以主周期=100 ms。根据第1个限制要求，确定小周期f≥30 ms；第2个限制条件是f可以被整除的周期的最大公倍数是100，所以必须是2 ms, 10 ms,50 ms, 100 ms中的一个；第3个限制条件，任务小周期至少包含一个场景执行时间并小于截止时间，所以f≤50 ms。因此，最小周期取值是50 ms。

3.3 任务可调度性分析

在系统场景划分后，对场景预设时间参数进行了合理性分析，最后需要进行场景任务可调度性分析，来判断CPU负载能力是否可支持任务的调度，以便确定场景事件是否可以在主循环里正常运行。对于小周期场景是否可以在主循环里调度不被堵塞，采用的分析方法是速率单调分析[3]，如式(1)所示。

根据表2，任务总数为5时，CPU利用率上限为U(5)=74.3%；而表3所列的5个任务总共占用71.5%的CPU时间，CPU利用率小于74.3%，满足测试实时性要求，因此实时系统可以正常调度。此外，车载运控的主周期时间是100 ms，所以最坏情况下，所有任务的最长执行时间不得超过车载运控主周期时间；否则安全平台会进行超时故障处理，落入软件陷阱，车载安全计算机关断所有对外输出。本系统计算最坏情况所需执行时间为80 ms（即所有任务的执行时间总和），满足系统调节要求。

表2 任务总数与利用系数关系Tab. 2 Relationship between total number of tasks and utilization coefficient

本系统总共有5个任务，其可调度性分析如下：

表3 任务周期与最长执行时间Tab. 3 Task cycle and maximum execution time

4 信号实时处理分析的模型

对高速磁浮系统进行场景模块化建模，来验证调度任务是否正常运行。首先设计每个模块的执行时间参数，通过时钟驱动调度算法分析每个模块设计的时间参数是否符合约束条件，从而确定时间参数分配的合理性；再采用速率单调分析方法，进行场景任务可调度性分析，判断CPU负载能力是否可支持任务的调度，保证模块可以在主循环里调度不被堵塞。

通过上述建模分析，在进入实物调试前，通过模拟器模拟外设设备的信号输入，设计场景事件的预定执行周期及执行时刻，实现信号系统实时性分析。模拟器分为综合运控系统模拟器及车载控制系统模拟器。其中，综合运控系统模拟器主要实现中央控制系统管理、分区控制系统管理、车辆控制网管理、测速测距系统管理等功能；车载控制系统模拟器主要实现车载运行监督和车辆设备控制功能。

两个模拟器之间的数据交互，采用以太网用户数据报协议（user datagram protocol, UDP）协议通信，如图3所示。模拟器的运行环境为Windows平台。软件的编译环境为Windows平台的软件工具（如VS2010）。

图3 信号系统安全分析模拟器的结构Fig. 3 Structure of signal system safety analysis simulator

系统分析师通过模拟器将建模所确定的场景完整演示并进行相关分析，从而发现问题。如果发现在一个周期内因信号中断或延时等导致有任务没有及时被执行，则需修改模型参数，再进行模拟器验证分析，通过不断迭代将问题解决。

5 结语

信号系统实时性分析是信号系统研发中的重要任务。一方面采用时钟驱动调度算法计算事件的周期性触发时间，保证每个事件都能在规定的时间内处理完成；另一方面采用速率单调法分析任务的可调度性，保证系统负载能力支持任务的可调度，以避免出现安全隐患。基于以上算法建模，对场景事件的执行周期、触发时间及执行时间进行预先设计，保证场景事件调度运行的明确性。通过设计模拟器，将设计中的场景重要参数在模拟器中运行实现，从而在程序进入施工调试阶段之前明确系统关键参数，避免重大隐患进入程序代码中，实现设计开发的高效性。本设计未考虑外部设备随机中断触发的事件，未来将基于此进行下一步的研究工作。