车车通信系统中车地控制机理分析及验证

冯浩楠

(中国铁道科学研究院集团有限公司通信信号研究所，北京 100081；2.国家铁路智能运输系统工程技术研究中心，北京 100081)

基于通信的列车控制系统(communication based train control，CBTC)系统采用以地面控制系统为中心的控制模式：列控系统和地面控制系统之间的双向无线通信，具有较高的列车间距控制效率[1]，但由于地面控制系统仍然是控制中心，因此单个地面控制系统允许通信的列车数量受到限制；同时地面控制系统和列控系统之间复杂的控制流程制约了列车运行速度提升。为了克服这些限制，车车通信(vehicle based train control, VBTC)系统提出以列车为控制中心的架构方式[2]，取消了CBTC系统中地面控制系统中的计算机联锁(computer interlocking, CI)和区域控制器(zone controller, ZC)控制系统，增加对象控制器(object controller, OC)用于控制轨旁道岔(point machine, PM)。列车不需要依靠地面控制系统的控制命令，可通过无线通信直接与周围列车或者轨旁设备直接通信，实现列车的自主运行，该架构在提升列车运行效率、扩大列车运能的同时，减少地面设施投资成本，与CBTC系统相比显现优势[3-5]，在实际应用中，国外RCAS(railway collision avoidance system)系统[6], AATC(advanced automatic train control)系统[7]和Urbalis Fluence系统[8]遵循VBTC系统架构进行了初步的试验和应用探索。

VBTC系统按照控制对象包括车车通信控制和车地通信控制两方面。在车地通信控制方面，VBTC系统取消保证进路安全的地面联锁系统后，列车直接与OC通信进而控制PM，OC作为车地控制流程中的重要环节，其安全可靠的设计关系到行车安全。文献[9-10]给出了OC设计方案，文献[11]提出共享锁和独立锁的方案对道岔进行控制，但都是局限于列车与OC之间通信研究，交互场景不全面，缺少对VBTC系统整体车地控制流程的形式化分析，实用性有限。在实际运行中，OC作为地面直接控制道岔的安全设备，正常情况下，需要与车载系统保持通信完成列车对道岔控制；在特殊情况下，OC还需要实现与自动列车监控(automatic train supervision, ATS)系统进行通信，完成指挥中心的人工道岔控制操作。如何保证OC能够正确地处理两个命令来源、安全可靠地完成道岔控制是VBTC系统车地控制流程急需解决的安全问题。

为了保证信号系统的安全性，EN50128 标准推荐形式化方法应用于信号系统的设计与验证环节[12]。标签转移系统(label transition system, LTS)的形式化方法通过图形方式描述系统内部状态转换行为，进而评估系统运行控制流程，适用于实时并发系统的行为特征分析，在计算机安全平台、RSSP-1协议和ERTMS/ETCS系统需求规范的安全属性验证中得到了良好的应用，加速系统的开发和应用进程[13-15]。现提出唯一秘钥的方式实现列车对地面道岔共享资源的控制，基于LTS形式化方法对OC信息交互处理机制和VBTC系统的车地控制机理进行分析，验证其逻辑的合理性和有效性。

1 VBTC系统

1.1 VBTC系统架构

VBTC系统分为车载控制系统和地面控制系统。车载控制系统包括：列车自动保护(automatic train protection, ATP)系统、列车自动驾驶(automatic train operation, ATO)系统、车载联锁(on-board interlocking, OI)系统、应答器读取器(tag reader)；地面控制系统包括：OC、PM、ATS系统和应答器(tag)。数据通信系统(digital communication system, DCS)实现车地系统之间的通信功能，各个子系统的功能如表1所示。列车根据ATS系统命令前进，实时与地面OC通信，ATP系统负责列车行进安全。OI将列车控制命令传输给OC。OC操作轨旁PM，并将PM的状态信息传送给OI，VBTC系统架构如图1所示。

表1 VBTC系统控制子系统的位置及功能

图1 VBTC系统架构

图2 VBTC系统中车载设备与地面设备交互过程

1.2 车地控制机理

车地控制场景指列车行进中，车载设备指示地面OC转动道岔，为列车行进办理进路。场景包括车载设备直接与轨旁OC进行通信控制和ATS系统直接控制轨旁OC两种情况。

1.2.1 车载控制PM场景

车载系统的OI定期与OC通信，OC向车载系统定期报告前进进路中所有PM的状态。PM是共享资源，一次只能供一个列车占用。为了防止死锁和控制权的冲突，车载系统的OI采用以下安全控制算法防护和控制进路共享资源PM，流程如图2所示。

(1)列车的OI确认从OC接收的PM状态处于空闲状态，发送密钥的请求到OC。

(2)OC检查PM的状态，如果PM资源可使用，然后生成唯一密钥并将其发送到OI。

(3)OI使用密钥将PM的转换命令加密后发送到OC。

(4)OI确认PM锁闭，通过OC控制区域时，定期状态仍保持与OC通信，直到列车完全通过OC控制区。

(5)列车完全离开OC控制区域，OI发送解锁密钥值传输到OC。

(6)OC收到OI的解锁密钥后，解锁PM。

每次车载OI发出新的请求时，OC会生成新的唯一密钥。密钥是一个足够长的值，防止密钥冲突。如果特定PM收到来自多列列车的OI请求，OC仅为其中一个列车提供密钥，不允多个列车同时占用。

图3展示了列车通过由三个OC控制区域的场景。列车的ATP产生移动授权(move authority, MA)到X点，列车前进的进路中包含的3个OC，标识分别为1A、2和3。列车的OI访问OC以确保标识1A、2和3的PM处于安全锁闭状态，同时获得唯一的密钥。如果有其他列车上的OI或者ATS系统已经占用了某个PM，列车需要等待直到PM状态被解除占用。列车在获得唯一密钥后将控制相应的PM，并结合电子地图信息，车载ATP计算出安全路线。基于安全路线，列车的ATP将MA扩展到Y点。当列车顺序行驶过1A、2和3的OC控制区域后，会给相应的OC发送解锁命令，相应的PM会按顺序解锁。

图3 列车OI通过OC控制区域场景

1.2.2 ATS控制PM场景

如果操作员通过ATS系统直接向OC发送强制动作PM的命令请求，则该请求发送到路线上所有车辆的OI。如果待转动的PM处在列车进路中，需要结合列车位置判断PM的转动时机。当列车的制动距离超过OC控制区域的1/4时，ATS系统的强性转动PM操作可能发生脱轨，此时列车的OI拒绝ATS的PM操作请求，PM保持被列车OI控制的状态，直到列车通过OC控制区，如图4(a)所示。当列车的制动距离不超过OC控制区域的1/4区域时，车载OI可以取消进路并解锁PM，将PM的控制权交给ATS系统，如图4(b)所示。列车ATP取消进路后，列车的MA被缩短至PM前方，如图4(c)所示。

图4 ATS操作OC场景

2 车地控制形式化建模

LTS将VBTC系统的车地控制行为描述为一系列过程P组成，过程P可以用四元素描述；S为非空状态集合，A为有限的标签集，T为转移关系，q0是S的初始状态。

由VBTC系统的控制PM的场景可以发现，OC为整个控制流程的中枢，因此以OC为研究对象，建立标签集A如下：

A={ occhkreq,oikeyreq,atskeyreq,occhkpm,pmstlk,sndkey,oisndcmd,atssndcmd,ocsndcmd,pmrot,pmrest,chkatpst,atpok,atpno}

各个标签的含义如表2所示。LTS建模VBTC系统的车地控制状态转移流程S如下：Ti(i=1,2,…,10)为转移分支。

S=T1,

T1=(occhkreq→oikeyreq→T2|

occhkreq→atskeyreq→T2),

T2=(occhkpm→T3|

occhkpm→T4),

T3=(pmstlk→sndlock→T1),

T4=(pmstunlk→sndkey→T5|

pmstunlk→sndkey→T6),

T5=(oisndcmd→T7),

T6=(atssndcmd→T8),

T7=(ocsndcmd→pmrot→pmrest→T8),

T8=(chkatpst→T9|

chkatpst→T10),

T9=(atpok→T7),

T10=(atpno→T3).

表2 VBTC系统车地控制流程的LTS模型

3 实验分析

图5为VBTC系统车地控制流程的LTS模型的标签转移过程，VBTC系统的车地控制中存在17个转移状态。图6为LTSA软件对LTS模型的检查结果，结果表明软件对模型的分析时间为1 ms，模型中不存在死锁现象，车地控制流程安全可靠。

为了验证LTS方法建模的有效性，将其与人工检查对车车通信系统的车地控制流程进行分析，以流程死锁检查正确率，死锁检查时间为评价指标进行对比，对比如表3所示。

表3表明，LTS方法的死锁检查率为100%，且建模耗时较短，效率远高于人工检查。因为LTS可以对并行逻辑可以精准描述，而人工分析方法对并行行为会存在遗漏情况；LTS方法将控制流程采用符号集的方式直接转换为形式化模型并进行计算机运算，实现速度很快，而人工测试方法在编写案例测试方面花费太多时间。

表3 LTS模型与人工检查正确率对比

图5 LTSA软件对VBTC系统车地控制模型的验证结果

Composition:DEFAULT=SStateSpace: 17=2∗∗5Analysing...Depth9—States:17Transitions:21Memoryused:14980KNodeadlocks/errorsAnalysedin:1ms

图6 LTSA软件检测结果

Fig.6 Detection result by LTSA software

4 结论

作为一种新的控制系统，VBTC系统为了实现以列车为控制中心的运行方式，使用OC代替CBTC系统中的地面联锁系统，全新的控制流程的改变引入了系统的安全风险。使用唯一密钥控制方式设计OC交互机制，实现列车对线路中道岔共享资源的控制。为了验证设计的可靠性，基于LTS形式化方法对VBTC系统中的车地控制流程进行了建模，并使用LTSA软件对模型进行了快速分析。结果验证了设计的VBTC系统车地控制流程的正确性；与人工分析对比，LTS建模方法在准确性和效率上存在明显的优势，可以推广至其他复杂控制系统的设计和验证中。

仅对VBTC系统的OC和车地控制流程进行了理论设计和验证，后续将基于此设计，搭建VBTC系统实物系统，基于VBTC系统车地通信实验数据，优化配置VBTC系统中车载设备、OC等关键设备的通信参数，实现VBTC系统的可靠运行。