基于RM48的雙機(jī)熱備ATO設(shè)計(jì)

馬 龍，李坤妃，于振宇，步 兵

（北京交通大學(xué) 電子信息工程學(xué)院，北京 100044）

在城市軌道交通中，列車駕駛的自動(dòng)化水平已經(jīng)從最初的完全由司機(jī)手動(dòng)駕駛發(fā)展到了車載設(shè)備自動(dòng)駕駛?；谕ㄐ诺牧熊囘\(yùn)行控制（CBTC）系統(tǒng)（CBTC）作為一項(xiàng)成熟的先進(jìn)技術(shù)廣泛應(yīng)用在城市軌道交通行業(yè)中。近幾年來，具備GoA4等級(jí)的全自動(dòng)無人駕駛技術(shù)已在巴黎14號(hào)線、北京機(jī)場(chǎng)線、上海10號(hào)線等應(yīng)用。 全自動(dòng)無人駕駛（FAO）系統(tǒng)的顯著特點(diǎn)是車載設(shè)備自動(dòng)完成列車的駕駛和管理。相比于CBTC系統(tǒng)，F(xiàn)AO系統(tǒng)的冗余度、可靠性以及健壯性更高，控制管理更加集中，能有效地控制安全風(fēng)險(xiǎn)，提高運(yùn)營(yíng)效率，降低運(yùn)營(yíng)成本，確保地鐵的安全運(yùn)行。

1 GoA4等級(jí)和ATO功能需求

1.1 GoA4等級(jí)

ATO的自動(dòng)化等級(jí)[1]（Grade of Automation，GoA），從司機(jī)手動(dòng)操作模式的GoA0到全自動(dòng)駕駛模式的GoA4。具體分為5級(jí)，其中GoA4所具備的功能如下：在GoA4中，列車上不再需要運(yùn)營(yíng)人員（包括司機(jī)），這并不意味著FAO系統(tǒng)完全取代了司機(jī)或巡視人員，而是將他們的部分職責(zé)轉(zhuǎn)移到了OCC運(yùn)營(yíng)人員和維護(hù)人員。列車的正線運(yùn)營(yíng)以及在車輛段內(nèi)的作業(yè)都可以自動(dòng)完成。系統(tǒng)具備檢測(cè)、管理危險(xiǎn)情況和緊急狀況的功能，但是一些危險(xiǎn)情況或緊急狀況需要工作人員的參與，例如煙火報(bào)警。

1.2 ATO的功能需求

FAO系統(tǒng)達(dá)到了GoA4等級(jí)。對(duì)于FAO系統(tǒng)，ATO必須具備GoA4等級(jí)的功能。ATO執(zhí)行列車駕駛及列車管理（由喚醒/休眠模塊完成動(dòng)力系統(tǒng)和車載設(shè)備的開啟與關(guān)閉；休眠時(shí)，只保留用于喚醒功能的車載設(shè)備工作），駕駛員的其它任務(wù)可由FAO其他子系統(tǒng)完成。例如，乘客服務(wù)可由PIS與CCTV系統(tǒng)完成，運(yùn)營(yíng)日志由ATS生成。故障信息（包括列車故障信息及車載ATO設(shè)備故障信息）應(yīng)由ATO向運(yùn)營(yíng)中心（OCC）匯報(bào)，并處理。緊急情況事件需要做出處理機(jī)制。

2 ATO樣機(jī)設(shè)計(jì)

2.1 RM48安全芯片

RM48L950 是高性能微控制器產(chǎn)品，用于安全系統(tǒng)，達(dá)到了IEC61508 SIL-3安全標(biāo)準(zhǔn)的要求。安全架構(gòu)包括：（1）以鎖步模式運(yùn)行的雙核CPU；（2）CPU和存儲(chǔ)器內(nèi)置自檢 （BIST） 邏輯；（3）在閃存和數(shù)據(jù) SRAM 上均采用 ECC；（4）在外設(shè)RAM、雙通道模數(shù)轉(zhuǎn)換器（ADC）、定時(shí)器、電壓、時(shí)鐘上采用奇偶校驗(yàn)，提高了芯片的故障覆蓋率；（5）外設(shè)IO上的環(huán)回功能；（6）錯(cuò)誤信令模塊 （ESM） 監(jiān)控設(shè)備錯(cuò)誤，并且在檢測(cè)到故障時(shí)，根據(jù)故障的嚴(yán)重性確定是否觸發(fā)外部錯(cuò)誤引腳或CPU中斷。

采用兩個(gè)ARM Cortex-R4F CPU內(nèi)核[2]，提供1.6 DMIPS/MHz，配置運(yùn)行在 200 MHz、320 DMIPS的條件下。在CPU比較模塊中（CCM）比較輸出信號(hào)。為了避免互相影響，兩個(gè)CPU的輸出信號(hào)采用不同的延遲方式，如圖1所示。

圖1 CPU框架圖

RM48安全芯片支持基于圖形用戶界面的編碼生成工具（HALCoGen）[5]。它具備高抽象化水平的用戶輸入，圖形化的編碼生成，便于設(shè)置、快速啟動(dòng)新項(xiàng)目，支持CCS、IAR、KEIL軟件。這些工具在很大程度上提高了嵌入式軟件的可靠性編程。

2.2 ATO樣機(jī)結(jié)構(gòu)

基于RM48微控制器高安全性，采用冗余技術(shù)可以提高系統(tǒng)的可靠性與安全性。在文獻(xiàn)[3]中，IEC 61508標(biāo)準(zhǔn)推薦5種系統(tǒng)結(jié)構(gòu)，其中1oo2D和2oo3結(jié)構(gòu)性能非常接近，是性能最高的兩個(gè)，而且1oo2D結(jié)構(gòu)只需要兩個(gè)通道，結(jié)合RM48芯片的高安全性， FAO的 ATO設(shè)計(jì)為雙機(jī)熱備結(jié)構(gòu)。系統(tǒng)的框架圖如圖2所示。

圖2 ATO樣機(jī)框架圖

ATO雙機(jī)熱備結(jié)構(gòu)由兩個(gè)通道并行組成，它們執(zhí)行相同的程序，通過CAN總線輸出到控制器，控制器選擇一個(gè)通道的數(shù)據(jù)輸出。系統(tǒng)中ATO_A模塊和ATO_B模塊具有獨(dú)立的時(shí)鐘同步周期，并且在程序的執(zhí)行中，相互獨(dú)立、具有相同的執(zhí)行進(jìn)度。系統(tǒng)設(shè)計(jì)時(shí)默認(rèn)ATO_A是工作模塊，ATO_B是熱備模塊。當(dāng)RM48 的ESM檢測(cè)到故障時(shí)，根據(jù)故障的嚴(yán)重性確定是否觸發(fā)外部錯(cuò)誤引腳或CPU中斷，同時(shí)向控制器發(fā)送切換信號(hào)，切換到另一個(gè)通道輸出。

例如：ATO_A檢測(cè)到自身的故障后，系統(tǒng)將切換到ATO_B的輸出，直至ATO_B也故障而系統(tǒng)停止工作；當(dāng)ATO_B檢測(cè)到自身的故障后，系統(tǒng)將ATO_B及其輸出數(shù)據(jù)隔離，由ATO_A繼續(xù)工作，直至ATO_A也故障，系統(tǒng)不再切換，直至系統(tǒng)停止工作。

2.3 系統(tǒng)可靠性分析

RM48芯片可借助于代碼生成器工具（HALCoGen），實(shí)現(xiàn)對(duì)嵌入式軟件的可靠性編程。同時(shí)，RM48芯片滿足IEC 61508 SIL3安全完善等級(jí)（可知其每小時(shí)安全失效概率為10-8～10-7）。設(shè)每個(gè)模塊的失效率為常數(shù)λ，為嚴(yán)格驗(yàn)證取其上限λ=10-7/h，故障覆蓋率為c，某一時(shí)刻只有1個(gè)模塊發(fā)生失效。系統(tǒng)開始工作時(shí)，處于完好狀態(tài)，即模塊均正常工作。熱備冗余系統(tǒng)的馬爾科夫狀態(tài)轉(zhuǎn)移圖如圖3所示。

馬爾科夫模型狀態(tài)可描述為[4]：（1）狀態(tài)0表示系統(tǒng)無故障，系統(tǒng)正常工作；（2）狀態(tài)1表示其中一個(gè)模塊出現(xiàn)可測(cè)性故障，并且故障被檢測(cè)出來，系統(tǒng)處于安全狀態(tài)；（3）狀態(tài)2表示兩個(gè)模塊都出現(xiàn)可測(cè)性故障，系統(tǒng)停止工作；（4）狀態(tài)3表示ATO_A正常， ATO_B出現(xiàn)不可測(cè)故障；（5）狀態(tài)4表示ATO_A出現(xiàn)不可測(cè)故障，無法進(jìn)行切換，系統(tǒng)處于非故障安全狀態(tài)。

圖3 馬爾科夫狀態(tài)轉(zhuǎn)移圖

某模塊在時(shí)刻t正常工作而在t+Δt失效的概率是p=1-e-λΔt。對(duì)于很小的Δt，該式可以簡(jiǎn)化為：

若該模塊出現(xiàn)可測(cè)故障則為λΔt，若模塊出現(xiàn)不可測(cè)故障為（1-c）λΔt。根據(jù)狀態(tài)圖，可列出離散時(shí)間的馬爾科夫方程組如下：

對(duì)于微分方程組，其初始條件為t=0時(shí)，模塊均完好，故有：P0(0)=1、P1(0)=0、P2(0)=0、P3(0)=0、P4(0)=0求解微分方程組，得到系統(tǒng)的可靠度為：

為了更直觀的分析雙機(jī)熱備ATO和單機(jī)ATO，在一段時(shí)間（0～10 000 h）內(nèi)對(duì)雙機(jī)熱備ATO和單機(jī)ATO的可靠性進(jìn)行仿真分析，結(jié)果如圖4所示。隨著故障覆蓋率c的增大，雙機(jī)熱備ATO系統(tǒng)的可靠性也顯著增加，由于RM48芯片獨(dú)特的安全結(jié)構(gòu)，使得故障覆蓋率也較高。在c=0.95時(shí)，系統(tǒng)工作10 000 h后，可靠性仍能達(dá)到0.999 9以上。尤其在長(zhǎng)時(shí)間運(yùn)行下，雙機(jī)熱備ATO的可靠度比單機(jī)ATO有明顯優(yōu)勢(shì)。

圖4 雙機(jī)熱備ATO、單機(jī)ATO可靠度的比較

如果故障覆蓋率是理想的，即當(dāng)c=1時(shí)，R(t)＝2● exp(-λt) - exp(-2λt)，這時(shí)雙機(jī)熱備ATO系統(tǒng)的可靠度等于兩模塊并聯(lián)系統(tǒng)的可靠度。當(dāng)c＝0時(shí)，R(t)＝exp(-λt)，此時(shí)由于ATO_A出現(xiàn)故障就會(huì)導(dǎo)致系統(tǒng)失效，所以雙機(jī)熱備系統(tǒng)的可靠度等于單機(jī)ATO的可靠度。當(dāng)0

3 結(jié)束語

全自動(dòng)無人駕駛達(dá)到了GoA4，可以降低人為失誤帶來的安全風(fēng)險(xiǎn)，提高全線列車的運(yùn)營(yíng)精度，降低成本。采用雙機(jī)熱備結(jié)構(gòu)的ATO樣機(jī)，具備高診斷覆蓋范圍，可滿足系統(tǒng)硬件高可靠性要求。HALCoGen工具的使用，可實(shí)現(xiàn)對(duì)嵌入式軟件的可靠性編程，同時(shí)提高系統(tǒng)的可靠性。

[1]IEC 62290-1, Railway applications-Urban guided transport management and command /control systems - Part 1: System principles and fundamental concepts[S]．Acceed June 2011.

[2]TEXAS INSTRUMENTS—RM48 16/32-bit RISC Flash Microcontroller Technical Reference Manual[EB/OL]．2011.

[3]馬連川，高倍力．一種高安全、容錯(cuò)控制計(jì)算機(jī)的設(shè)計(jì)與實(shí)現(xiàn) [J]．中國(guó)安全科學(xué)學(xué)報(bào)，2004，14（8）：101-105.

[4]高繼祥，鄭俊杰．雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)可靠性與安全性指標(biāo)分析 [J].北京交通大學(xué)學(xué)報(bào)，1998，22（5）：73-77.

[5]TEXAS INSTRUMENTS—HerculesTM安全微控制器[C/OL]. 2011.