郑 娜

（上海富欣智能交通控制有限公司 设计与开发中心，上海201203）

列车自主运行系统（TACS，Train Autonomous Circumambulation System）是传统基于通信的列车控制（CBTC，Communication Based Train Control）系统在城市轨道交通规模应用[1]后的下一代轨道交通列车运行控制（简称：列控）系统。TACS以车车通信为核心，优化了传统的车–地–车控制架构和通信链路[2]，具备列车自主进路、自主防护、自动驾驶、自主调整功能，实现列车的自主运行[3-4]。

TACS主要包括列车自动监控（ATS，Automatic Train Supervision）系统、对象控制器（OC，Object Controller）、车载控制器（OBC，On-Board Controller）[5]。OBC集成了原CBTC系统中轨旁的区域控制功能，实现进路、道岔、信号机的联锁关系，并通过列车之间数据通信方式实现列车自身移动授权的计算[6]。这种结构取消了传统信号系统的计算机联锁（CBI，Computer Based Interlocking）和区域控制器（ZC，Zone Controller）[7]设备，简化了轨旁设备布置，减少了系统维护成本[8]。也正是因为这种结构，列车只能通过无线通信来获得轨旁设备状态和其他列车位置，而无线通信的时延和丢包问题增加了系统的安全风险。

行车资源的运用有效地降低了这个安全风险，本文提出了TACS的行车资源管理办法，包括行车资源的交互方法、交叠检查方法和回收方法。其中，交互方法确保列车自己独立持有进路的资源，保障了列车的安全性；交叠检查方法进一步确保了行车资源的唯一性，保证系统的安全。

由于行车资源在传输时可能会丢失，影响列车正常运营，采用资源回收方法可以解决资源丢失所产生的运营问题。

1 行车资源功能分析

1.1 安全风险

TACS中，列车自主防护原理是根据自主进路结果并结合实时的前车位置和速度，自主计算列车移动授权，生成列车安全防护曲线。保障列车运行安全的资源包括行车资源和轨旁设备[9]。

在传统列控系统中，地面控制设备每周期采集继电器获得轨旁设备状态。TACS中，列车通过与OC通信获得轨旁设备状态，如果无线通信接口在一个通信周期内未收到OC的数据包，这时并不会认为通信中断，只有连续几个周期未收到数据包，才会认为通信中断。假设通信中断时间是t，列车如果在t时间内没有收到新的数据包，那么这段时间内列车记录的轨旁设备状态的准确度会随时间的延长而减低。例如，列车当前获取计轴区段是空闲，后N个周期没有收到OC的数据包（N小于通信中断的周期数），那么在这N个周期内，虽然有可能计轴区段已经占用，但列车还是认为它是空闲状态。当N大于或等于通信中断的周期数时，列车判断通信中断，会将设备状态设置为安全状态，机轴区段也会设置为占用。但在判断通信中断的这一小段时间内存在着一定风险。

TACS是分布式结构，列车之间直接通信。但在与前车建立通信前，列车获取到的前车位置不能保证其实时性。

1.2 行车资源的特点与作用

由于无线通信中存在时延和丢包情况，TACS接收的数据会有一定的时延等问题。为保障列车运行安全和正常运营，增加行车资源。

行车资源是列车可以行驶的轨道，在TACS里表示为轨道ID、起点里程值和终点里程值的集合列表。列车在办理进路预留和授权时，应当先获得进路上的行车资源，且需要将非本车持有的行车资源作为行车路径上的障碍物。

行车资源需要具备完整性和唯一性。完整性指行车资源应该覆盖整个运营线路上的轨道，不应有空缺的轨道空间。唯一性指同一区域行车资源不应被多列列车同时持有。

能够正常通信的列车持有的资源包含列车车头和车尾的位置，包括报告位置和可能位置。列车在办理进路时，依次申请进路位置上的资源，并且要保证在列车行进过程中停车点不能超出所持有的资源的范围。

行车资源除了用于保障列车行驶时的安全，还用于保障列车正常运营，防止列车在折返时死锁。当前面一列车在折返站台调头时，如果第2列列车跟随的太近，进入到折返站台前道岔的侧防区域，那么第1列列车会被第2列列车堵死，无法驶出折返站台，而第2列列车也因为第1列列车在它前方路径上停站，无法前进，造成两列列车死锁，同时也会影响后续所有列车的运营。为避免该情况，折返站台可划分一块折返区域，在折返区域内没有其他列车，不会影响列车的折返，列车在折返时必须持有完整的折返区域的资源才能驶入折返区域，并在驶出折返区域后才能释放折返区域的资源。这样第2列列车无法在第1列列车折返时进入折返区域，从而避免了折返时的死锁现象。

在TACS中，行车资源可以按照物理区域划分，每块区域需要备有一个行车资源管理员设备，管理员设备功能可以由地面OC实现，也可以由任意一列列车的OBC来实现[10]。TACS并未对此强制要求。

2 行车资源交互方法

2.1 获得行车资源所有者信息

管理员设备具有登记列车行车资源和查询本区域行车资源的功能。所有持有该区域资源的列车和请求该区域资源的列车与该资源管理员设备建立通信。资源持有者向管理员设备汇报所持该区资源的情况；请求该区域资源的列车向该区资源管理员设备发送查询请求。管理员设备根据查询的区域和汇总的资源持有情况，告知查询对象资源持有者的信息。

2.2 行车资源交互的过程

列车通过管理员设备查询到行车路径上所需资源的持有对象，向对方发起通信链接请求，通信建立后向资源持有者请求需要的资源，资源持有者需要检查是否可以释放该区域资源，如果不需要该区域资源，就向请求对象移交，如果还需要持有，则不移交，例如列车不可能把列车所处位置的资源移交出去。资源持有者可以是一列列车也可以是管理员设备。行车资源交互图如图1所示。

图1 行车资源交互

受控列车应该持有本车所处位置资源，不能释放给其他成员，包括车头和车尾的可能范围。列车在办理进路时依次请求进路上的资源，进路上的有效资源不能释放给其他对象。有效资源指的是从列车位置开始沿着进路方向的连续的资源。例如：列车1办理进路，延进路方向的资源依次是A、B、C。当前资源A被列车2持有，资源B被列车3持有，资源C是列车1持有的资源，那么列车1需要先向列车2请求资源A。如果列车2不释放资源A给列车1，则列车1不应向列车3请求资源B。这时如果有其他列车向列车1请求资源C，列车1可以将资源C释放给请求者，因为C与列车当前的位置并不连续。当列车2将资源A移交给列车1后，列车1不能将资源A移交给其他车，因为当前A是列车1的有效资源，并且列车1开始向列车2申请资源B。

移交行车资源时，资源持有对象一旦发出移交数据包后，就认为其不再持有该段资源。资源申请对象收到被移交出的资源数据包时，则认为这段资源属于资源申请对象的。

2.3 通信故障处理

任何列车如果和该区域管理员设备非法断开通信，列车变为故障车，只能转入人工模式，并需要放弃列车所持有的所有该区域的资源。此时调度员可以通过管理员设备为该故障车办理人工进路，协助其退出运营。

3 管理员设备行车资源回收方法

3.1 资源回收的原因

如果在资源移交过程中出现意外，如两车之间通信中断或者丢包（不限于这种原因），资源的原持有者已经移交出该区域资源，但没有任何对象收到该区域资源，导致该区域资源不被任何列车或者管理员设备持有，那么所有列车都将无法申请到该区域资源，该区域资源将成为经过这一位置任意列车的障碍物。所以管理员设备需要通过资源回收功能来解决这个问题。

3.2 资源回收的原则

管理员设备记录的每列列车的资源，在收到该列车数据包时，更新记录的资源信息。没有收到数据包，则保持当前该列车的资源记录。如果多个周期没有收到数据包，则与该列车的通信中断，清除相应列车所有的资源记录。

管理员设备在某个周期内检查到有资源空缺，不能够马上回收，可能只是列车发送的时序差造成的，所以必须持续几个周期检查到同一区域资源都空缺，才能够回收它。

在资源移交的过程中，如果因为漏包原因，列车1已经交出资源，列车2却没有收到资源。管理员设备应该在时间T1内回收该资源，T1必须大于列车与管理员设备的通信中断时间，避免因通信问题造成资源不更新。

如果有列车与管理员设备非正常中断通信，那么列车原先持有的资源将成为无主资源，管理员设备在时间T2内，回收监测的无主资源。T2时间应比T1长，需要保证列车能在T2时间内完成停车操作。如果中断通信前，列车在正常行驶，则列车所持有的资源包含它的停车点，包括常用制动停车点和紧急制动停车点。当列车发生故障与管理员设备中断通信时，会触发列车的紧急制动。在T2时间内，故障车持有的原资源虽然被列车放弃，但因为没有被回收，所以不会被其他列车持有，以确保故障车刹车时，其他列车不能进入它的区域。T2时间内能确保车辆停止，之后资源被管理员设备回收，可以由调度员通过管理员设备办理故障车的人工进路。

管理员设备每个周期都检查是否有新的需要回收的资源，并检查更新前面已检查到的回收资源。管理员设备维护与其通信的列车列表，检查持有本区域资源列车的通信状态。

3.3 资源回收过程

管理员设备每个周期检查新的需要回收的资源并设置定时器，资源回收过程如图2所示。

图2 检测回收资源过程

如图2所示，将该区域完整的行车资源，定义为A；方形网格表示前面几个周期检查到的需要回收资源，定义为B1,···,Bn，双箭头代表列车和管理员所持有的该区域的行车资源，定义为C1,···,Cm。

本周期检测到需要回收的资源块就是其他所有资源在该OC全部资源中的相对补集，计算式为

或者描述为

检查结束后，记录该补集的资源，并同时设置一个定时器，定时器时长默认是T1。资源回收的结构体包含内容为：

管理员设备更新已有的回收资源，减去本周期检查到的列车持有的资源部分，如图3所示。如果该回收资源已清空，则取消其对应的定时器。如果本周期检查到有和其他列车发生通信中断，则将当前所有定时器的时长改为T2，且起始时间不变。更新已检测的回收资源如图3所示。

再如，俄罗斯著名史诗《伊戈尔出征记》所描写的是伊戈尔和波洛夫人[注]波洛夫人，又称钦察人，11—12世纪在多瑙河与伏尔加河之间的草原上和亚速海边游牧，渔猎，最早于1055年与罗斯(即今俄罗斯)人接触。之间的战事，其中几乎每次战役都能从俄罗斯的《编年史》、《三圣编年史》、《伊帕吉夫编年史》、塔吉晓夫《俄国史》中找到历史的记载。例如，史诗描写的涅米加之战中，伊戈尔被俘，计划出逃时：

以某个周期收集的需回收的资源Bx为例，如图3的方形网格，双箭头是列车和管理员所持有的该区域的行车资源，定义为C1,···,Cm。

图3 更新已检测到的回收资源

更新后的资源是所有列车的资源在准备回收资源Bx中的相对补集，其中，x∈(1,···,n)，计算式为

或者描述为

更新当前每个回收资源，如果待回收资源为空，则删除空的回收资源块。

检查当前存在的资源块的定时器是否到时间，到时间后，回收对应的资源到本管理员设备。

管理员设备需要维护与其通信的列车列表，判断是否有列车中断通信。管理员设备每周期检查列车列表，如果与其通信的列车有所管理区域的资源，则添加该列车到列车列表。

在收到列表中列车的数据包时，如果该列车不持有该区域的资源，则将其从列表里删除。

管理员设备在启动时，按照T2时长回收区域内的行车资源。

4 管理员设备资源交叠检查方法

4.1 资源交叠检查的必要性与原则

列车的“地盘”不重合，是保证列车安全的有效手段。正常情况下不会出现资源交叠的情况，但如果有通信问题或回收不当，则有可能产生交叠。交叠后果会很严重，两辆车可行驶的轨道区域如果有交叠会导致两车有相撞的潜在风险，管理员设备需要通过行车资源交叠检查功能有效发现该问题。

管理员设备判断资源重叠时，同样需要在一段时间内检测到同样区域的资源被两列列车持续持有，才能判断为重叠。时间必须大于列车与管理员设备的通信中断时间，避免由于通信问题造成资源未更新。

4.2 资源交叠检查的具体过程

管理员设备每个周期都检查所有通信列车的资源，包括自身的资源是否有两两交叠的情况。本周期检测到的交叠资源连同交叠的列车ID，需要与前面周期检查到的交叠资源进行比较。

已经记录的交叠资源J1，每个周期都需要检查更新。J1需要与本周期检查到的同样两列列车的交叠资源J比较，与J取交集。而新检查到的交叠资源应该与J1取补集，计算公式为

如果J不为空，则需要设置一个定时器并记录，定时器的时长是参数配置，应大于通信中断时间，结构体包含内容为：

如果J1为空，应该取消J1的定时器，并清空J1对象。

如果有交叠的定时器到时，那么TACS需要做最高等级的故障报警，确保该区域内所有列车尽可能立刻停车。

5 结束语

本文提出的列车自主运行系统行车资源管理办法在青岛1号线某试验段上试用的结果表明，该方法有效地规避了无线通信中延时和丢包问题带来的风险，保障了列车的安全。其中，行车资源交互方法，确保列车自己独立持有进路的资源，保障了列车自主进路和自主防护的正确执行。交叠检查方法进一步确保了行车资源的唯一性，保障系统的安全。而资源回收方法，解决了资源交互时可能产生的资源丢失问题，保障了列车的正常运营。在试验线上，多车追踪在行车资源的防护下安全可靠的执行。未来，行车资源管理方法还可以进一步完善，提高人工防护列车故障时的安全性。