面向車(chē)車(chē)通信的安全計(jì)算機(jī)時(shí)間約束性分析驗(yàn)證

高鶯，曹源，孫永奎，馬連川，洪春華，張玉琢

（1. 中國(guó)鐵道科學(xué)研究院研究生部，北京 100081；2. 北京交通大學(xué)軌道交通運(yùn)行控制系統(tǒng)國(guó)家工程研究中心，北京 100044；3. 北京交通大學(xué)電子信息工程學(xué)院，北京 100044）

1 引言

現(xiàn)代軌道交通列車(chē)運(yùn)行控制系統(tǒng)采用分布式、疊加結(jié)構(gòu)，通過(guò)地面子系統(tǒng)設(shè)備和車(chē)載子系統(tǒng)設(shè)備之間的通信實(shí)現(xiàn)列車(chē)運(yùn)行控制[1]。但是隨著現(xiàn)代無(wú)線(xiàn)技術(shù)發(fā)展，系統(tǒng)將從車(chē)地協(xié)同控制模式向更加智能化的車(chē)車(chē)通信模式發(fā)展，以滿(mǎn)足日益增長(zhǎng)的行車(chē)組織要求。車(chē)車(chē)通信技術(shù)旨在盡可能減少地面子系統(tǒng)設(shè)備，并將地面子系統(tǒng)功能整合到車(chē)載子系統(tǒng)中，使列車(chē)運(yùn)行控制模式由列車(chē)和地面子系統(tǒng)協(xié)同控制轉(zhuǎn)變?yōu)榱熊?chē)之間直接協(xié)同控制[2]。由于車(chē)車(chē)通信技術(shù)對(duì)車(chē)載安全計(jì)算機(jī)功能的要求愈加苛刻，其軟件應(yīng)用也將愈加龐大，使面向車(chē)車(chē)通信的安全計(jì)算機(jī)成為多周期性應(yīng)用并發(fā)的實(shí)時(shí)控制系統(tǒng)。支持多任務(wù)并發(fā)的系統(tǒng)雖然具有資源整合共享、降低系統(tǒng)設(shè)備復(fù)雜度、優(yōu)化系統(tǒng)結(jié)構(gòu)等諸多優(yōu)勢(shì)，但也存在影響系統(tǒng)運(yùn)行實(shí)時(shí)性及應(yīng)用執(zhí)行時(shí)間不確定延時(shí)的問(wèn)題。

時(shí)間約束性是安全關(guān)鍵系統(tǒng)重要的特性。安全計(jì)算機(jī)在規(guī)定的時(shí)間內(nèi)完成安全控制邏輯，才能保證行車(chē)安全。IEC61508標(biāo)準(zhǔn)和EN50128標(biāo)準(zhǔn)均對(duì)安全關(guān)鍵系統(tǒng)的軟件功能提出時(shí)間約束性要求[3]。由于時(shí)間約束性在安全關(guān)鍵系統(tǒng)中的重要性，針對(duì)實(shí)時(shí)系統(tǒng)的時(shí)間約束性問(wèn)題，國(guó)內(nèi)外學(xué)者已經(jīng)提出相關(guān)的驗(yàn)證和建模方法。文獻(xiàn)[4]中提出了一種實(shí)時(shí)系統(tǒng)的時(shí)間約束建模和一致性驗(yàn)證方法，可針對(duì)性地檢驗(yàn)系統(tǒng)的時(shí)間缺陷。文獻(xiàn)[5]中提出了基于時(shí)間Petri網(wǎng)的實(shí)時(shí)系統(tǒng)可調(diào)度性分析方法，說(shuō)明了時(shí)間Petri網(wǎng)能有效地分析實(shí)時(shí)系統(tǒng)的時(shí)間特性。也有學(xué)者利用Petri網(wǎng)對(duì)實(shí)時(shí)系統(tǒng)進(jìn)行組合可調(diào)度性[6]和獨(dú)立性[7]分析，說(shuō)明該方法適用于分析安全關(guān)鍵系統(tǒng)的特性。文獻(xiàn)[8]通過(guò)分析具有標(biāo)記的時(shí)間 Petri網(wǎng)系統(tǒng)的可診斷性，說(shuō)明時(shí)間Petri網(wǎng)適用于安全關(guān)鍵系統(tǒng)的故障診斷。文獻(xiàn)[9]分析了時(shí)間約束 Petri網(wǎng)模型及其可調(diào)度性，從而驗(yàn)證了時(shí)間Petri網(wǎng)能有效描述和分析時(shí)間約束性問(wèn)題。文獻(xiàn)[10]研究了基于時(shí)間Petri網(wǎng)的實(shí)時(shí)并行設(shè)計(jì)過(guò)程，定量分析了實(shí)時(shí)并行過(guò)程的時(shí)域性，說(shuō)明時(shí)間Petri網(wǎng)可為并行設(shè)計(jì)提供可靠的理論依據(jù)。

在軌道交通領(lǐng)域，時(shí)間Petri網(wǎng)主要用于分析列車(chē)運(yùn)輸調(diào)度問(wèn)題。文獻(xiàn)[11]提出基于時(shí)間Petri網(wǎng)的推理算法，驗(yàn)證了時(shí)間約束的列車(chē)運(yùn)行調(diào)整方案的可行性。文獻(xiàn)[12]提出了基于模糊時(shí)間Petri網(wǎng)的列車(chē)運(yùn)行時(shí)間不確定問(wèn)題的處理方法。然而，目前國(guó)內(nèi)外針對(duì)安全計(jì)算機(jī)安全性方面的研究，主要集中在硬件安全設(shè)計(jì)方法，如2乘2取2架構(gòu)、3取2架構(gòu)等。同時(shí)為了確保軌道控制設(shè)備的安全性和可靠性，車(chē)載安全計(jì)算機(jī)只采用經(jīng)過(guò)反復(fù)驗(yàn)證的計(jì)算機(jī)硬件，其性能遠(yuǎn)低于主流的計(jì)算機(jī)。由于車(chē)載安全計(jì)算機(jī)硬件安全結(jié)構(gòu)和性能等方面的限制，同時(shí)也缺乏針對(duì)多周期性應(yīng)用時(shí)間約束性的驗(yàn)證和評(píng)估方法，導(dǎo)致其系統(tǒng)軟件設(shè)計(jì)更加保守化，嚴(yán)重制約軌道交通控制技術(shù)的發(fā)展。因此本文以目前安全計(jì)算機(jī)硬件結(jié)構(gòu)和性能現(xiàn)狀入手，針對(duì)面向車(chē)車(chē)通信的車(chē)載安全計(jì)算機(jī)多周期性應(yīng)用的時(shí)間約束性問(wèn)題，首次采用時(shí)間 Petri網(wǎng)建模驗(yàn)證，以說(shuō)明多周期性應(yīng)用能夠滿(mǎn)足車(chē)載安全計(jì)算機(jī)時(shí)間約束性的安全需求。

2 車(chē)車(chē)通信系統(tǒng)

CBTC系統(tǒng)是目前國(guó)內(nèi)外大部分城市軌道交通使用的信號(hào)系統(tǒng)技術(shù)。CBTC系統(tǒng)主要采用車(chē)載子系統(tǒng)與地面子系統(tǒng)相互協(xié)作實(shí)現(xiàn)列車(chē)行車(chē)控制和移動(dòng)閉塞功能，因此線(xiàn)路中存在許多區(qū)域控制器（ZC, zone controller）、計(jì)算機(jī)聯(lián)鎖（CBI, computer-based interlocking）等地面設(shè)備。然而，復(fù)雜的地面設(shè)備導(dǎo)致子系統(tǒng)之間接口復(fù)雜化，系統(tǒng)維護(hù)成本高，運(yùn)營(yíng)靈活性差等諸多問(wèn)題。為解決以上問(wèn)題，國(guó)內(nèi)外開(kāi)始研究軌道交通信號(hào)系統(tǒng)車(chē)車(chē)通信技術(shù)，以簡(jiǎn)化系統(tǒng)復(fù)雜度，精簡(jiǎn)軌旁設(shè)備，提高并優(yōu)化系統(tǒng)性能，如法國(guó)里爾地鐵1號(hào)線(xiàn)已經(jīng)采用了以目標(biāo)控制器和列車(chē)為核心的控制系統(tǒng)[2]。

在基于車(chē)車(chē)通信的列車(chē)運(yùn)行控制系統(tǒng)中，區(qū)域控制器、聯(lián)鎖設(shè)備的功能被智能化的目標(biāo)控制器和車(chē)載設(shè)備所取代，從而改變現(xiàn)有CBTC系統(tǒng)以地面控制設(shè)備為核心的架構(gòu)，使車(chē)載系統(tǒng)成為行車(chē)控制核心。通過(guò)現(xiàn)代無(wú)線(xiàn)通信（如wlan、LTE-M）和移動(dòng)控制算法[13-14]等技術(shù)實(shí)現(xiàn)列車(chē)與列車(chē)之間，列車(chē)與目標(biāo)控制設(shè)備之間直接協(xié)同控制，降低系統(tǒng)對(duì)軌旁設(shè)備的依賴(lài)，減少系統(tǒng)控制流中間環(huán)節(jié)，如圖 1所示?；谲?chē)車(chē)通信的列車(chē)運(yùn)行控制系統(tǒng)能夠降低系統(tǒng)復(fù)雜度，降低維護(hù)成本，提高運(yùn)營(yíng)的靈活度，并將全面提高對(duì)車(chē)載安全計(jì)算機(jī)的性能需求。多個(gè)獨(dú)立控制功能模塊整合到車(chē)載安全計(jì)算機(jī)中，使其設(shè)計(jì)面臨多應(yīng)用并發(fā)和系統(tǒng)實(shí)時(shí)性之間的矛盾。列車(chē)運(yùn)行控制系統(tǒng)作為安全關(guān)鍵實(shí)時(shí)控制系統(tǒng)，其應(yīng)用邏輯設(shè)計(jì)基本采用周期性時(shí)限執(zhí)行的控制算法，對(duì)執(zhí)行的時(shí)間約束性要求高。而目前CBTC系統(tǒng)的車(chē)載安全計(jì)算機(jī)只考慮簡(jiǎn)單應(yīng)用需求場(chǎng)景，缺少對(duì)多個(gè)獨(dú)立功能模塊整合的并發(fā)系統(tǒng)的研究，針對(duì)該問(wèn)題，本文對(duì)安全計(jì)算機(jī)多應(yīng)用并發(fā)性進(jìn)行時(shí)間約束性分析，對(duì)CBTC系統(tǒng)由車(chē)地通信模式向車(chē)車(chē)通信模式轉(zhuǎn)換有一定的指導(dǎo)意義。

圖1 車(chē)車(chē)通信系統(tǒng)架構(gòu)

3 時(shí)間約束性分析

3.1 時(shí)間Petri網(wǎng)

Petri網(wǎng)概念最早于1962年由德國(guó)Carl Adam Petri提出，直觀(guān)的圖形表示特點(diǎn)和完善的數(shù)學(xué)理論基礎(chǔ)使其特別適合描述異步并發(fā)系統(tǒng)。隨著時(shí)間因素在實(shí)際應(yīng)用分析中愈加重要，出現(xiàn) TPN分支理論[9]。TPN也是 IEC61508和 EN50128軟件完整性等級(jí)SIL4所推薦的建模方法。下面以圖2為例分析TPN模型的參數(shù)含義。

如圖2所示的TPN模型描述的是在T0時(shí)刻庫(kù)所sn開(kāi)始等待接收托肯，由于傳輸延時(shí)，托肯到達(dá)庫(kù)所存在延時(shí)。

圖2 基本TPN模型片段

定義1可調(diào)度性。若考慮變遷tn和庫(kù)所托肯到達(dá)的時(shí)間，且變遷tn滿(mǎn)足式(1)，則稱(chēng)其具有強(qiáng)可調(diào)度性。若不考慮庫(kù)所托肯到達(dá)的時(shí)間，則稱(chēng)為弱可調(diào)度性[9]。

變遷滿(mǎn)足可調(diào)度性是指在一定的可調(diào)度范圍內(nèi)，通過(guò)調(diào)度調(diào)整能夠?qū)崿F(xiàn)滿(mǎn)足時(shí)間約束性變遷，而不是在任何時(shí)間點(diǎn)都能實(shí)現(xiàn)變遷[9]。

3.2 安全計(jì)算機(jī)TPN模型

目前，國(guó)內(nèi)外車(chē)載安全計(jì)算機(jī)基本采用分布式2乘2取2容錯(cuò)結(jié)構(gòu)，每系獨(dú)立劃分為通用計(jì)算域、安全管理域[3]。實(shí)時(shí)系統(tǒng)的應(yīng)用運(yùn)行在通用計(jì)算域，并由安全管理域監(jiān)督。安全計(jì)算機(jī)應(yīng)用運(yùn)行采用基于時(shí)間觸發(fā)式的調(diào)度機(jī)制，在限定周期內(nèi)完成一次應(yīng)用執(zhí)行邏輯，即周期性控制算法。為提高控制精確度，將一個(gè)應(yīng)用執(zhí)行周期T劃分 3個(gè)子周期：數(shù)據(jù)輸入子周期、應(yīng)用運(yùn)算子周期、數(shù)據(jù)輸出子周期。每個(gè)子周期在規(guī)定時(shí)間內(nèi)完成相應(yīng)邏輯處理后，向安全管理域報(bào)告運(yùn)行狀態(tài)，由安全管理域根據(jù)時(shí)間約束性判斷應(yīng)用執(zhí)行邏輯是否滿(mǎn)足安全要求，如圖4所示。

圖3 TPN片段時(shí)間流描述

圖4 安全計(jì)算機(jī)時(shí)間調(diào)度算法

若應(yīng)用出現(xiàn)故障不滿(mǎn)足時(shí)間約束關(guān)系，則容錯(cuò)安全管理域能夠及時(shí)有效地發(fā)現(xiàn)應(yīng)用故障，從而采取有效安全措施防止事故發(fā)生。由安全計(jì)算機(jī)控制過(guò)程可知，車(chē)載安全計(jì)算機(jī)中系統(tǒng)應(yīng)用在安全控制邏輯中被周期性調(diào)用執(zhí)行，只要周期性應(yīng)用不滿(mǎn)足時(shí)間約束要求，就會(huì)觸發(fā)安全計(jì)算機(jī)安全處理邏輯，使系統(tǒng)導(dǎo)向安全。根據(jù)圖4安全控制邏輯流程，對(duì)時(shí)間觸發(fā)式控制算法建立TPN模型，如圖5和表1所示。

圖5 安全計(jì)算機(jī)時(shí)間調(diào)度算法TPN模型

表1 TPN模型變遷含義

由圖5可知TPN模型能直觀(guān)描述安全計(jì)算機(jī)平臺(tái)邏輯的時(shí)間約束特性。由于多任務(wù)多應(yīng)用的復(fù)雜并發(fā)系統(tǒng)存在有限的資源（輸入輸出資源、CPU資源等）復(fù)用問(wèn)題，需要增加調(diào)度機(jī)制實(shí)現(xiàn)多個(gè)應(yīng)用并發(fā)管理。假定單應(yīng)用的TPN模型變遷都是可調(diào)度的，即在單任務(wù)的簡(jiǎn)單控制系統(tǒng)中，滿(mǎn)足時(shí)間約束性要求的條件下，只要增加的調(diào)度變遷是可調(diào)度的，則多應(yīng)用并行就能在滿(mǎn)足時(shí)間約束關(guān)系條件下成功變遷。

3.3 調(diào)度變遷可調(diào)度條件

3.3.1 應(yīng)用調(diào)度變遷

在多個(gè)周期性應(yīng)用并行模式下，應(yīng)用通過(guò)多線(xiàn)程（或多任務(wù)）調(diào)度機(jī)制實(shí)現(xiàn)并發(fā)執(zhí)行。由于系統(tǒng)基于嵌入式實(shí)時(shí)操作系統(tǒng)，線(xiàn)程上下文切換開(kāi)銷(xiāo)時(shí)間與應(yīng)用邏輯處理時(shí)間相比可忽略不計(jì)。設(shè)應(yīng)用執(zhí)行調(diào)度變遷為k，系統(tǒng)各應(yīng)用的變遷運(yùn)算處理耗時(shí)為ti，則n個(gè)應(yīng)用并行情況下，最長(zhǎng)可能變遷延時(shí)為

在應(yīng)用執(zhí)行階段只負(fù)責(zé)數(shù)據(jù)邏輯處理，數(shù)據(jù)獲取和傳輸都在其他時(shí)間段執(zhí)行，因此Ta(sk)=0，Tl(sk)=0，并且托肯的使能時(shí)間約束區(qū)間與觸發(fā)約束區(qū)間相同。同時(shí)該變遷的某個(gè)時(shí)間約束段可能屬于多個(gè)應(yīng)用的時(shí)間約束區(qū)間，這種情況下該時(shí)間約束區(qū)取各個(gè)應(yīng)用中最短的時(shí)間約束區(qū)間，即

且由定義1可知，若要滿(mǎn)足強(qiáng)可調(diào)度，則變遷k需滿(mǎn)足式(4)。

3.3.2 輸入調(diào)度變遷

在多應(yīng)用并發(fā)執(zhí)行模式下，每個(gè)應(yīng)用輸入變遷增加了數(shù)據(jù)排隊(duì)到達(dá)的調(diào)度延時(shí)，則到達(dá)延時(shí)為

其中，αi為各應(yīng)用輸入數(shù)據(jù)傳輸?shù)呐抨?duì)延時(shí)，Tc為外部通信延時(shí)（如無(wú)線(xiàn)通信延時(shí)）。

輸入變遷k負(fù)責(zé)將接收的外部數(shù)據(jù)交給應(yīng)用執(zhí)行變遷處理，因此其離開(kāi)庫(kù)所延時(shí)Tl(sk)=0。由定義1可知若要滿(mǎn)足可調(diào)度性，則各變遷k需滿(mǎn)足

3.3.3 輸出調(diào)度變遷

輸出變遷的 TPN模型可看成輸入變遷的逆過(guò)程，主要不同的是離開(kāi)延時(shí)Tl(sk)。設(shè)每個(gè)應(yīng)用排隊(duì)離開(kāi)的延時(shí)為βi，同樣設(shè)外部通信延時(shí)為T(mén)c，則排隊(duì)離開(kāi)的調(diào)度延時(shí)為

由定義1可知輸出變遷若要滿(mǎn)足可調(diào)度性，需滿(mǎn)足

根據(jù)輸入、輸出、應(yīng)用調(diào)度變遷的可調(diào)度性條件，對(duì)并發(fā)系統(tǒng)的應(yīng)用并發(fā)數(shù)量與其時(shí)間約束特征進(jìn)行分析。假設(shè)系統(tǒng)的周期性應(yīng)用數(shù)為n，計(jì)算機(jī)性能度量修正參數(shù)為tarr，以安全計(jì)算機(jī)實(shí)驗(yàn)平臺(tái)單核1GHz主頻的處理器性能為基準(zhǔn)，應(yīng)用邏輯運(yùn)行時(shí)間基本在 1～10 ms范圍，因此可取其最大值tarr= 10 ms作為性能指標(biāo)。

假定輸入輸出調(diào)度器均基于先到先服務(wù)策略，由文獻(xiàn)[15]可知輸入輸出排隊(duì)延時(shí)與并發(fā)應(yīng)用數(shù)n之間存在關(guān)系，則輸入輸出排隊(duì)延時(shí)Ts為

根據(jù)實(shí)時(shí)操作系統(tǒng)調(diào)度策略，由于各應(yīng)用具有相同優(yōu)先級(jí)，采用 Round-Roin調(diào)度（也稱(chēng)輪詢(xún)調(diào)度），則td∝ (n)，由式(2)可得

其中，g(n)為n個(gè)應(yīng)用并行情況下，最長(zhǎng)可能變遷延時(shí)。

設(shè)關(guān)于變量n的可觸發(fā)區(qū)間函數(shù)為T(mén)(n)，表示最早可能觸發(fā)開(kāi)始到最晚可能觸發(fā)結(jié)束的時(shí)間長(zhǎng)度，則有

由TPN可調(diào)度性和定義1可知，f(n)-g(n)≥ 0表示該變遷具有可調(diào)度性，否則不具有可調(diào)度性。并可用R(n) =f(n) -g(n)表示n個(gè)應(yīng)用并發(fā)執(zhí)行情況下該變遷的可調(diào)度時(shí)間范圍。R(n)值越大，說(shuō)明調(diào)度范圍越大，系統(tǒng)的時(shí)間冗余度越高，安全性也越高，但是資源利用率越低。

首先分析計(jì)算機(jī)性能參數(shù)tarr與并發(fā)系統(tǒng)的應(yīng)用數(shù)n之間關(guān)系。由于 CBTC系統(tǒng)采用無(wú)線(xiàn)（如WLAN）和有線(xiàn)（如光纖通信）通信組網(wǎng)方式實(shí)現(xiàn)各個(gè)子系統(tǒng)的協(xié)同控制，由文獻(xiàn)[16-17]可知，其通信延時(shí)在 40～50 ms，因此可設(shè)外部通信延時(shí)Tc= 50ms。雖然外部通信延時(shí)與列車(chē)速度等現(xiàn)實(shí)因素有一定的關(guān)系，但要保證列車(chē)安全運(yùn)營(yíng)，無(wú)線(xiàn)基站的布置滿(mǎn)足列車(chē)運(yùn)營(yíng)需求即可，所以本文沒(méi)有重

4 時(shí)間約束性驗(yàn)證

4.1 可調(diào)度驗(yàn)證方法

點(diǎn)闡述列車(chē)速度等因素對(duì)通信傳輸速率的影響。CBTC系統(tǒng)中安全計(jì)算機(jī)控制周期時(shí)間為200 ms，其時(shí)間約束區(qū)間為0～200 ms。則一個(gè)周期內(nèi)可調(diào)度時(shí)間范圍為

令tarr= {10, 1, 0.1}，表示不同計(jì)算性能的安全計(jì)算機(jī)，繪制不同計(jì)算性能下，R(n)與應(yīng)用數(shù)n的關(guān)系圖，如圖6所示。當(dāng)tarr=10ms時(shí)，在滿(mǎn)足現(xiàn)有的系統(tǒng)應(yīng)用時(shí)間約束的條件下，可最大支持的并發(fā)應(yīng)用數(shù)n=4，而目前 CBTC系統(tǒng)中安全計(jì)算機(jī)實(shí)際只運(yùn)行一個(gè)應(yīng)用功能，其資源利用率η只有25%。而當(dāng)計(jì)算機(jī)性能提高到tarr=0.1ms時(shí)，并發(fā)應(yīng)用數(shù)最大可達(dá)n=49，表明計(jì)算機(jī)性能的提升會(huì)為安全計(jì)算機(jī)提供更大的設(shè)計(jì)冗余空間，并可進(jìn)一步優(yōu)化系統(tǒng)性能。同時(shí)，由圖 6可知，隨著n的增大，時(shí)間冗余度也相應(yīng)降低，為保證系統(tǒng)安全可靠運(yùn)行，在系統(tǒng)設(shè)計(jì)時(shí)需要考慮一定的時(shí)間可調(diào)度冗余性。

圖6 不同計(jì)算計(jì)算性能下R( n)與n的關(guān)系

上述分析基于每個(gè)應(yīng)用均與外部子系統(tǒng)應(yīng)用進(jìn)行通信的假設(shè)，而實(shí)際在車(chē)車(chē)通信系統(tǒng)中，各個(gè)控制功能模塊之間的交互變成了計(jì)算機(jī)內(nèi)部線(xiàn)程的交互，數(shù)據(jù)通信延時(shí)將會(huì)極大地降低，從而系統(tǒng)性能能得到進(jìn)一步優(yōu)化，安全性也能得到進(jìn)一步提升。假設(shè)計(jì)算機(jī)性能參數(shù)tarr=10 ms ，則可調(diào)度時(shí)間范圍為

則根據(jù)式（13）可繪制不同通信延時(shí)下，R(n)與應(yīng)用數(shù)n的關(guān)系圖，如圖7所示。通信延時(shí)減小，系統(tǒng)的時(shí)間冗余度能夠得到提高，有利于提高系統(tǒng)的安全性。

圖7 不同通信延時(shí)下R( n)與n的關(guān)系

根據(jù)上述分析可知并行應(yīng)用數(shù)與其可調(diào)度區(qū)間關(guān)系?？烧{(diào)度區(qū)間代表時(shí)間約束的冗余度，時(shí)間冗余度越高，說(shuō)明系統(tǒng)容錯(cuò)能力越強(qiáng)，系統(tǒng)安全性越高，但系統(tǒng)性能利用率越低。通過(guò)TPN建模可以對(duì)時(shí)間約束冗余度R(n)與應(yīng)用數(shù)n建立聯(lián)系，從而定量地確定系統(tǒng)并發(fā)設(shè)計(jì)要求。通過(guò)對(duì)安全計(jì)算機(jī)性能以及通信延時(shí)這2個(gè)方面進(jìn)行分析，表明安全計(jì)算機(jī)性能的提升及通信延時(shí)的降低能夠增加可調(diào)度區(qū)間，即滿(mǎn)足軟件綜合化的時(shí)間約束關(guān)系，且能進(jìn)一步優(yōu)化時(shí)間約束參數(shù)，同時(shí)也表明在當(dāng)前硬件條件下，車(chē)載安全計(jì)算機(jī)可滿(mǎn)足多個(gè)周期應(yīng)用調(diào)度需求。另外，TPN模型能準(zhǔn)確描述系統(tǒng)時(shí)間約束關(guān)系和影響時(shí)間特性的主要因素，為進(jìn)一步優(yōu)化時(shí)間參數(shù)提供理論依據(jù)。

4.2 時(shí)間約束特性實(shí)例設(shè)計(jì)

為了驗(yàn)證基于 TPN的時(shí)間約束性分析評(píng)估方法在評(píng)估安全計(jì)算機(jī)性能及周期性應(yīng)用并發(fā)數(shù)關(guān)系上的有效性，本文在車(chē)載2乘2取2安全計(jì)算機(jī)硬件設(shè)備條件下，測(cè)試3個(gè)周期性應(yīng)用的時(shí)間運(yùn)行關(guān)系，驗(yàn)證該安全計(jì)算機(jī)是否滿(mǎn)足3個(gè)周期性應(yīng)用的時(shí)間約束性。限于安全性和可靠性方面考慮，該安全計(jì)算機(jī)平臺(tái)的硬件采用已驗(yàn)證的單核主頻1 GHz的PowerPC系列的處理器。同時(shí)分別設(shè)計(jì)3個(gè)周期性應(yīng)用A/B/C，其周期分別為35 ms、40 ms、50 ms。通過(guò)記錄每個(gè)應(yīng)用的周期開(kāi)始和結(jié)束時(shí)間，以及應(yīng)用執(zhí)行的開(kāi)始和結(jié)束時(shí)間來(lái)確定多應(yīng)用并發(fā)情況下是否滿(mǎn)足周期性時(shí)間約束。

首先說(shuō)明面向車(chē)車(chē)通信的安全計(jì)算機(jī)與目前CBTC系統(tǒng)中安全計(jì)算機(jī)的主要差別。CBTC系統(tǒng)主要由分散的子系統(tǒng)ZC和CBI完成控制功能，而車(chē)車(chē)通信系統(tǒng)將這些功能集中到車(chē)載系統(tǒng)。CBTC系統(tǒng)中的車(chē)載安全計(jì)算機(jī)只執(zhí)行車(chē)載列車(chē)超速防護(hù)（ATP, automatic train protection）功能，而車(chē)車(chē)通信系統(tǒng)中，車(chē)載安全計(jì)算機(jī)除了實(shí)現(xiàn)車(chē)載ATP安全關(guān)鍵功能外，還將整合CBTC系統(tǒng)中ZC和CBI的ATP安全苛求功能，如軌旁設(shè)備控制命令下達(dá)、車(chē)門(mén)管理等，如圖8所示。功能的整合必然使得車(chē)載安全計(jì)算機(jī)成為復(fù)雜的并發(fā)系統(tǒng)，而車(chē)載計(jì)算機(jī)是典型的安全關(guān)鍵實(shí)時(shí)控制系統(tǒng)，不僅需要保證處理邏輯功能的正確性，還必須具有嚴(yán)格的周期性特征，即必須在嚴(yán)格限定的時(shí)間內(nèi)執(zhí)行相關(guān)命令，否則可能造成嚴(yán)重的安全事故。

圖8 車(chē)車(chē)通信車(chē)載安全計(jì)算機(jī)結(jié)構(gòu)

4.3 調(diào)度時(shí)刻特性分析

根據(jù)上述實(shí)例設(shè)計(jì)，獲得周期性應(yīng)用的運(yùn)行時(shí)間特性數(shù)據(jù)，依據(jù)時(shí)間變量關(guān)系將其整理成離散點(diǎn)圖，如圖9所示。其中，3個(gè)周期性應(yīng)用分別為應(yīng)用A、應(yīng)用B和應(yīng)用C，橫軸表示應(yīng)用在系統(tǒng)調(diào)度中的運(yùn)行時(shí)刻表，每個(gè)片段表示應(yīng)用在計(jì)算機(jī)中被選中調(diào)度的實(shí)際運(yùn)行時(shí)長(zhǎng)。案例設(shè)計(jì)中，記錄應(yīng)用在其每個(gè)控制周期內(nèi)的運(yùn)算開(kāi)始和結(jié)束時(shí)間點(diǎn)，表示周期內(nèi)的有效執(zhí)行時(shí)間。

圖9 各應(yīng)用周期調(diào)度實(shí)際運(yùn)行時(shí)刻

由圖9可知，安全計(jì)算機(jī)安全苛求應(yīng)用實(shí)際運(yùn)行時(shí)間是離散化的，而非連續(xù)的。這與宏觀(guān)上觀(guān)察的安全計(jì)算機(jī)應(yīng)用存在本質(zhì)區(qū)別。在周期調(diào)度策略中，就安全計(jì)算機(jī)安全關(guān)鍵應(yīng)用對(duì)資源的競(jìng)爭(zhēng)力而言，其邏輯不可能完全保證自身的有效運(yùn)行時(shí)間，必須依靠安全計(jì)算機(jī)平臺(tái)的調(diào)度策略來(lái)保證。

取局部樣本分析，如圖 10所示。周期性調(diào)度策略會(huì)根據(jù)每個(gè)應(yīng)用聲明的調(diào)度周期，在時(shí)間約束內(nèi)靈活調(diào)度多個(gè)應(yīng)用安全并行。從圖 10的實(shí)際測(cè)試結(jié)果可知，在目前軟硬件條件下，安全計(jì)算機(jī)平臺(tái)能滿(mǎn)足3個(gè)應(yīng)用周期性調(diào)度。

圖10 各應(yīng)用局部時(shí)間特性

圖 10中每個(gè)應(yīng)用都能在其周期約束內(nèi)完成運(yùn)行邏輯。每個(gè)周期內(nèi)應(yīng)用實(shí)際執(zhí)行時(shí)間占整個(gè)周期時(shí)間的比率為 10%～30%，符合前面分析結(jié)果。同時(shí)各個(gè)階段的有效運(yùn)算時(shí)長(zhǎng)比率存在波動(dòng)，圖 10中應(yīng)用的執(zhí)行時(shí)間在每個(gè)周期內(nèi)不盡相同，但執(zhí)行時(shí)長(zhǎng)都約束在 10%～30%比率內(nèi)。造成該現(xiàn)象的原因是多應(yīng)用并行存在資源競(jìng)爭(zhēng)，導(dǎo)致任務(wù)阻塞，從而增加處理延時(shí)。這種情況符合實(shí)時(shí)操作系統(tǒng)多任務(wù)調(diào)度特性，也是多應(yīng)用并行影響原有系統(tǒng)的時(shí)間約束性的主要表現(xiàn)。

5 結(jié)束語(yǔ)

針對(duì)CBTC系統(tǒng)的發(fā)展趨勢(shì)，研究了面向車(chē)車(chē)通信的車(chē)載安全計(jì)算機(jī)中多個(gè)周期性應(yīng)用并發(fā)能否滿(mǎn)足時(shí)間約束性要求的問(wèn)題。列車(chē)運(yùn)行控制系統(tǒng)的功能整合，導(dǎo)致多個(gè)安全關(guān)鍵的周期性應(yīng)用在車(chē)載安全計(jì)算機(jī)上并發(fā)運(yùn)行。然而限于目前車(chē)載安全計(jì)算機(jī)的硬件性能，需要對(duì)安全計(jì)算機(jī)能否滿(mǎn)足多周期性應(yīng)用的時(shí)間約束性進(jìn)行驗(yàn)證和評(píng)估。本文以目前的安全計(jì)算機(jī)硬件結(jié)構(gòu)和性能入手，首次采用TPN分析多個(gè)周期性應(yīng)用的并行時(shí)間特性。通過(guò)建立TPN模型，分析了可調(diào)度性區(qū)間，結(jié)果表明目前使用的2乘2取2車(chē)載安全計(jì)算機(jī)性能滿(mǎn)足3個(gè)周期性應(yīng)用的時(shí)間約束性要求。同時(shí)，論證了在滿(mǎn)足各周期性應(yīng)用時(shí)間約束條件下，計(jì)算機(jī)性能、通信延時(shí)與可支持的周期性應(yīng)用數(shù)之間的關(guān)系。

基于車(chē)車(chē)通信的列車(chē)運(yùn)行控制是未來(lái)城市軌道交通列車(chē)運(yùn)行控制的發(fā)展方向，而車(chē)載安全計(jì)算機(jī)必然也會(huì)變得更加復(fù)雜化和多功能化。因此，研究車(chē)載安全計(jì)算機(jī)支持多個(gè)周期性應(yīng)用的關(guān)鍵技術(shù)具有實(shí)際意義。在將來(lái)的研究中，我們將考慮更多現(xiàn)實(shí)環(huán)境因素，并對(duì)TPN加以改進(jìn)，應(yīng)用于合適的應(yīng)用場(chǎng)景。