CBTC系统ATP/ATO软件的开发与测试

2015-12-08 08:00董俊

山东工业技术 2015年23期

摘要：本文主要介绍城市轨道交通列车自动防护子系统/列车自动驾驶子系统（ATP/ATO）软件的结构和功能设计，并详述ATP/ATO软件的分析和测试方法。

关键词：ATP/ATO；轨道交通；软件开发；分析和测试

DOI：10.16640/j.cnki.37-1222/t.2015.23.086

1 引言

ATP/ATO，即列车自动防护子系统/列车自动驾驶子系统，是城市轨道交通基于通信的列车控制系统（CBTC）的核心组成部分。CBTC系统软件由操作系统、支持软件、应用软件等组成。作为CBTC系统核心应用软件，ATP/ATO软件的设计和开发遵循ISO9001、GB/T7828、欧洲铁路安全标准EN50128等的要求，并遵循故障-安全原则。

ATP/ATO系统软件的开发主要采用EN50128建议的“V模型”进行开发，并采用功能化、模块化设计，以降低软件复杂度。同时，软件设计采取必要的容错和避错设计策略，如选用“3取2”或“2乘2取2”安全计算机平台，以保证软件执行的正确性和安全性。

2 软件结构设计X

作为CBTC系统软件的重要组成部分，ATP/ATO系统软件开发全部秉持“高内聚、低耦合”的理念，采用模块化结构，遵循故障导向安全的设计原则，按照EN50128标准的相关要求和软件生命周期流程相关内容，最大程度地保证系统软件的安全性和可靠性。

具体来说，就是将整个系统分成若干个组成模块，各个模块除能实现某一功能外，还具备可移植性，即只需进行关键参数的配置，便可作为组成模块被应用到其它的系统中。

3 子系统软件设计

3.1 车载ATP软件

车载ATP子系统是CBTC系统列车车载部分的核心控制设备，主要用以防止由于列车敌对运行所引起的冲撞、由于非正常的车门打开、列车退行等事故而使旅客发生危险、由于列车超过土建限制速度（或命令速度）而导致对线路的损害或者使列车发生危险等情况。

3.2 地面ATP软件

地面ATP设备主要由区域控制器ZC、数据存储单元DSU、轨旁电子单元LEU等构成。其中，ZC和DSU均采用“2乘2取2”冗余结构的安全计算机平台。在地面ATP系统软件中，ZC软件相对复杂且更具代表性，因此，本文以其为例来对地面ATP软件进行介绍。

ZC是基于通信的CBTC系统的地面核心控制设备，是车-地信息处理的枢纽，主要负责根据CBTC列车所汇报的位置信息以及联锁所排列的进路和轨道占用/空闲信息，为其控制范围内的CBTC列车计算并生成移动授权（MA），确保在其控制区域内CBTC列车的安全运行。其中，列车移动授权的计算和生成、在各种控制等级和驾驶模式下进行列车管理等功能均由ZC软件予以实现。

3.3 车载ATO软件

车载ATO系统主要实现功能是根据当前车辆的速度、位置，考虑线路限速、ATS控制命令等信息，在ATP的防护下，控制列车安全、舒适、高效的运行。ATO对列车输出牵引制动指令，控制列车按ATP速度曲线运行。ATO系统能自动控制列车的起动、巡航、精确停车以及车门和安全门的自动打开/关闭。ATO应用软件结构如下图1示。

4 软件分析和测试

ATP/ATO软件分析和测试的活动包括静态分析和动态分析两个部分。静态分析包括软件质量标准分析、代码规则一致性验证等；动态分析则包括功能测试、基于边界值分析的测试和覆盖分析等。

4.1 软件静态分析

按照CENELEC标准的需要，静态分析的目的主要是评估质量标准和验证软件开发规范和编码，即利用诸如Logiscope和Polyspace 的静态分析工具来对软件的标准符合性进行评估。

（1）软件质量标准分析。软件质量标准分析是使用质量评估手段进行的初步的软件体系架构评估，包含在不执行软件的情况下所进行的静态验证及测量；（2）代码规则一致性验证。代码规则一致性验证用以检验代码是否按照“软件实现指南”完成，同时遍历代码以检查其是否违反所定义的规则。

4.2 软件动态分析

按照EN50128要求，ATP系统需应用从边界值分析开始执行的测试、等价类和输入分隔测试两种技术进行系统软件动态分析。

（1）边界值和等价类的分析。根据EN50128标准的规定，边界分析测试必须覆盖程序输入域的边界值和极端值测试，且需检验输入域的边界值与软件规格书中的定义是否一致；（2）测试用例的生成。测试用例由独立的V&V（核实及验证）团队根据系统和软件设计文档进行设计。每个测试用例和用例所依照的需求之间将建立起可追溯性，并符合“边界值分析”和“等价类输入分离测试”的要求；（3）测试覆盖率。测试用例旨在达到100%的语句覆盖，如果发现任何不完整覆盖，将在设计文件中增加更为详细的需求规格书，并增加新的测试用例来增加软件覆盖，或要求通过删除多余部分的代码来修改软件。

5 结语

ATP/ATO是整个CBTC系统的核心部分，其中涉及列车运行安全防护和运行精度控制等的数据计算和命令输出均由其软件部分完成，因此，在系统软件设计和开发过程中任何涉及ATP/ATO软件的关键代码修改均须经过自身质量安全管理部门的审查，且须通过专门的独立第三方安全认证机构的安全评估和系统认证，在取得相应许可后方可在实际系统中应用。

参考文献：

[1]赵明，郜春海.现代铁路信号系统分析研究[J].北方交通大学学报，1999（02）.

[2]梁东升.ATP/ATO在广州地铁1号线信号系统中的应用[J].地铁与轻轨，2002（03）.

作者简介：董俊（1984-），男，四川遂宁人，本科，工程师，研究方向：交通信息工程及控制。endprint