WO2015143750A1 - 一种高速铁路列车运行控制车载系统故障逻辑建模方法 - Google Patents

Abstract

本发明公开了一种高速铁路列车运行控制车载系统故障逻辑建模方法，包括如下步骤：确定列控车载系统结构及各部分之间的功能关系；基于已知的列控车载系统故障结合头脑风暴分析各部分的故障；构建FMEA表格归纳各部分的故障；采用建模工具对故障编辑和仿真。本发明使分析的故障模式更加具有系统性，故障逻辑建模时更容易从全局角度出发，有的放矢和有效降低列控系统安全分析的复杂度，缩短列控系统开发周期。

Description

一种高速铁路列车运行控制车载系统故障逻辑建模方法 技术领域

本发明涉及一种高速铁路列车运行控制车载系统故障逻辑建模 方法， 属于列控系统故障诊断技术领域。 背景技术

列车运行控制系统是中国铁路技术体系和装备现代化的重要组 成部分， 是保证高速列车安全、 可靠、 高效运行的核心技术之一。 一 旦系统失效， 其结果往往是灾难性的。 随着国民经济的快速发展、 城 巿化进程的加速、 铁路建设规模的扩大和列车速度的进一步提高， 高 速铁路运行控制系统发挥了越来越大的作用，这也意味着对列控系统 安全、 高效的运行提出了更高的要求。 车载系统是 CTCS-3 ( Chinese Train Control System, 中国列车运 行控制系统， 第三代简称 C3 )级列车运行控制系统的重要组成部分， 负责接收地面数据命令信息， 生成速度模式曲线， 监控列车运行， 保 证列车运行安全。 车载系统的体系结构是否合理， 直接关系到列车的 安全运行， 需要对其进行安全分析。 通过安全分析可发现系统可靠性 的薄弱环节， 并由此可进一步改善系统的设计， 提高系统的性能。 至今， 安全分析方法已经发展出了多项技术， 但其用于列控系统 时仍存在一些不足。 FMEA ( Failure Mode and Effects Analysis， 潜在 失效模式与后果分析）工作量非常巨大，要求使用者对系统足够了解， 无法分析组合故障模式对系统的影响。故障树分析法对使用者要求较 高并且重用性比较差。 HAZOP ( Hazard and Operability Analysis， 危 险与可操作性）分析过程冗长， 对专家和经验依赖性高， 分析结果准 确性有限。 上述方法大多数是高度主观的并且依赖于参加者的技能，这些分 析通常基于非正式的系统模型， 很难做到完整、 连续并且没有错误， 在一定程度上影响了列控系统的可靠性分析，对人民群众的生命财产 安全构成潜在威胁，急需一种能够针对列控系统本身固有特点加以描 述并对其进行安全分析的方法。 发明内容

(一） 要解决的技术问题

本发明要解决的技术问题是： 能全面、 高效的对列控车载系统进 行安全分析建模。

(二）技术方案

为解决上述技术问题，本发明提供了一种高速铁路列车运行控制 车载系统故障逻辑建模方法， 包括如下步骤：

确定列控车载系统结构及各部分之间的功能关系；

基于已知的列控车载系统故障结合头脑风暴分析各部分的故障； 构建 FMEA表格归纳各部分的故障；

采用建模工具对故障编辑和仿真。

其中较优地，所述确定列控车载系统结构及各部分之间的功能关 系的步骤进一步包括：

根据高速铁路列控系统总体技术方案、列控车载系统结构图及系 统 UML模型， 确定列控车载系统结构并理清各模块、 组件间的功能 其中较优地，所述确定列控车载系统结构及各部分之间的功能关 系的步骤中采用全英文、 首字母大写的格式对模块及器件命名。

其中较优地，所述基于已知的列控车载系统故障结合头脑风暴分 析各部分的故障的步骤进一步包括：

在概念阶段， 对信息流中的参数搭配以相应的引导词， 将参数细 化成一条条故障， 然后对每一条故障分析其原因和后果； 在现场阶段， 从危险数据库或者危险历史积累中， 选取头脑风暴 未列举到的故障进行补充扩展， 重复在概念阶段的流程。

其中较优地， 所述构建 FMEA表格归纳各部分的故障的步骤进

按实际需要将列控车载系统进行子模块划分；

利用 FMEA表格列出列控车载系统各模块、 组件的故障模式； 故障部件自下而上逐级排列进行分析总结； 对每一个部件进行输入故障、 自身故障、 输出故障、 双重故障分 析， 依次首尾相传， 直至故障到达顶端 ATPCU。 其中较优地， 所述 FMEA表格中包含有： 故障部件、 输入部件、 输入故障模式、 自身故障模式、 输出故障模式、 双重故障模式和输出 部件。

其中较优地， 所述采用建模工具对故障编辑的步骤进一步包括： 将总结的各模块、 部件故障模式和结构关系抽象为故障逻辑模 型， 结合仿真技术并遵循系统设计生成系统级和组件级故障逻辑模 型。 其中较优地， 所述故障逻辑模型分别为应答器、 小型天线单元 CAU、应答器传输模块 BTM、无线通信电台 GSM-R、通用保密装置 GCD、 车载安全传输单元 STU、 安全数字输入输出 VDX、 雷达、 速度传感器、 测速测距单元 SDU、 速度距离处理单元 SDP、 人机界面 DMI和车载安 全计算机单元 ATPCU。 其中较优地，所述采用建模工具对故障编辑和仿真的步骤中选用 Stateflow建模工具。 其中较优地， 所述采用建模工具对故障仿真的步骤进一步包括： Stateflow组件模型描述输入故障与自身故障在故障部件内部的 传播过程， 输出故障经 stateflow输出至 simulink, 在 simulink的 display器件中得到故障的传播结果； 在 Matlab/simulink 组件中建立故障逻辑模型的整体架构及模 块间的故障传播关系；

在 simulink组件中编辑自身故障及底层模块的输入故障， 并以 开关 switch形式所产生的布尔值表示故障是否发生； stateflow组件中建立事件驱动模型，驱动条件为外部 simulink 组件中的输入故障及自身故障；

底层故障层层转移直至 ATPCU中，在 ATPCU的输出端设置 display 器件得到最终仿真结果。 (三）有益效果

本发明提供的高速铁路列车运行控制车载系统故障逻辑建模方 法， 通过融合 FEMA分析方法和 statefelow建模工具， 使分析的故障更 具有系统性， 解决了复杂的逻辑问题。 做到完整、 连续并且没有错误 的对列控系统进行安全分析。 附图说明

图 1 是本发明高速铁路列车运行控制车载系统故障逻辑建模流 程示意图。

图 2是本发明采用建模工具对故障编辑和仿真流程示意图。 具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细 描述。 以下实施例用于说明本发明， 但不用来限制本发明的范围。

本发明提供一种高速铁路列车运行控制车载系统故障逻辑建模 方法， 如图 1所示， 具体包括如下步骤： 确定列控车载系统结构及各 部分之间的功能关系；基于已知的列控车载系统故障结合头脑风暴分 析各部分的故障； 构建 FMEA表格归纳各部分的故障； 采用建模工 具对故障编辑和仿真。 下面对本发明展开详细的说明。

首先，介绍确定列控车载系统结构及各部分之间的功能关系的步 骤。

高速铁路列车运行控制车载系统非常复杂， 子系统众多， 每个子 系统又由众多模块组成，总计多达百余个。每个子系统间通过多维度、 多层次的接口有机连接， 形成了完整的列控车载系统。 例如， 在列控 车载系统中， CTCS-3 由众多模块组成， 总计多达百余个， 各子系统 并不是简单的堆积就可以实现列控车载系统功能，每个子系统间通过 多维度、 多层次的接口有机连接， 形成了一个完整的 CTCS-3列控车 载系统。 在 CTCS-3列控车载系统中确定核心 ATPCU， 包含 GSM-R 无线通信单元（ RTM )、应答器信息接收模块（ BTM )、人机界面（ DMI ) 等车载子系统。 根据高速铁路列控系统总体技术方案、列控车载系统结构图及系 统 UML模型， 确定列控车载系统结构并理清各模块、 组件间的功能 关系， 为后期故障模式分析做好原始资料的准备工作； 由于整个列控 车载系统的模块及器件数量非常庞大， 故采用全英文、 首字母大写的 统一格式对模块及器件其分别进行命名，避免了后期由于命名不规范 带来的建模软件报错， 提高了工作效率。

其次，介绍基于已知的列控车载系统故障结合头脑风暴分析各部 分的故障的步骤。

根据列控车载系统结构、 功能和特点选取组件集合， 以此为基础 进行头脑风暴， 分析可能发生的故障。 根据列控车载系统结构和功能 关系，其分为 5个功能单元： 通信单元， 应答器单元， 测速测距单元， 制动单元， 轨道电路单元。 其中每个单元又分别由不同的组件构成。 通过查阅文献资料并进行头脑风暴的方式对每个组件进行故障分析。 在概念阶段， 各个组件需要传播信息才能完成列控车载系统的功能。 所以在组件之间会有信息流。对信息流中的参数搭配以相应的引导词 ( No, More, Les s, Wrong, Ear ly, La te, Before, Af ter )就可以 细化成一条条故障， 然后对每一条故障分析其原因和后果。 另外， 在 现场阶段， 从危险数据库或者危险历史积累中， 选取头脑风暴未列举 到的故障进行补充扩展， 重复概念阶段的流程。 由于列控车载系统具有多个子系统和多个模块，该多个子系统和 多个模块的故障模式具有复杂性和模糊不确定性，需要通过查阅大量 的文献资料搜索出各组件的全部可能的故障模式（故障模式是指元器 件或产品能被观察到的故障现象）。 在第一轮头脑风暴之后， 肯定会 有部分故障是由于人工经验不足所没有想到的。 这个时候， 危险数据 库中的真实现场数据可以对头脑风暴起到启发作用。根据真实数据中 的线索， 可以继续另一轮头脑风暴， 对故障模式进行补充扩展。 结合

C3 列控车载系统故障统计总表的真实现场数据， 补全由于人工分析 经验不足造成的故障模式缺失，使得分析结果更加合理、科学、准确。

再次， 介绍构建 FMEA表格归纳各部分的故障的步骤。 根据 FMEA分析方法的特点， 将列控车载系统划分为系统、 设 备和元件， 按实际需要将 C3列控车载系统进行子模块划分， 然后分 析各自可能发生的故障类型及其产生的影响， 以便采取相应的对策。 利用 FMEA表格列出列控车载系统各模块、 组件的故障模式。 表格 中包含的信息有： 故障部件、 输入部件、 输入故障模式、 自身故障模 式、 输出故障模式、 双重故障模式和输出部件； 故障部件自下而上逐 级排列进行分析总结； 对每一个部件进行输入故障、 自身故障、 输出 故障、 双重故障分析， 依次首尾相传， 直至故障到达顶端 ATPCU， 由此通过故障模式来辨识列控车载系统危险，并在此基础上评估故障 模式对列控车载系统的影响。 下面以 C3列控车载系统为例对本步骤 展开详细说明。 如表 1所示， C3列控车载系统利用 FMEA表格列出了个模块各 组件的故障模式及双重故障， 具体如下： 故障部件：故障部件即 C3列控车载系统各功能模块的底层组件， 如小型天线单元 （CAU )、 应答器传输模块（BTM )、 速度距离单元 ( SDU )、 速度距离处理单元 （SDP ) 等。 输入部件： 对于某确定故障部件， 其输入部件即向其提供数据的 部件。 如 BTM的输入部件为 CAU、 SDP的输入部件为 SDU。 输入故障模式： 输入部件的故障模式对某部件产生的后果或影 响。 下层部件的输出故障模式即上层部件的输入故障模式。

自身故障模式： 部件本身发生的软件或者硬件故障。

输出故障模式： 部件的输入故障、 自身故障模式对其输出部件产 生的后果。

双重故障模式： 两种故障模式同时发生， 两种故障模式可为不同 类型、 不同模块的组合。

输出部件： 对于某确定故障部件其输出部件即其输出数据的对 象。 如 CAU的输出部件为 BTM、 SDU的输出部件为 SDP。 表 1 C3列控车载系统 FMEA表格

故 输 输入故障模式 自身故障模式 输出故障模式 输 障 入 出 部 部 部 件 件 件 应 无 应答器瞬态输入干 应答器无报文输出 CA 答 扰 应答器输出全零报文 U m

应答器输出错误报文 应答器内部故障 应答器无报文输出 应答器尾缆接触不 应答器输出全零报文 良

CA 应 应答器无报文输出 CAU无报文输出 BT U 答 M m 应答器输出全零报

文

应答器输出错误报 CAU输出错误报文 文

CAU进水 CAU无法连接 BTM

BT CA CAU无报文输入 BTM无报文输出 C3 M U CU

CAU输出错误报文 BTM输出错误报文 CAU无法连接 BTM BTM无报文输出

BSA永久性错误 BTM无报文输出 BTM端口无效 BTM死机

BTM 受外界瞬间干 BTM无报文输出

扰 BTM输出全零报文

BTM输出错误报文

D电缆或 MVB总线 BTM输出全零报文 受干扰

C3 BT BTM无报文输出 C3CU无效

CU M BTM输出全零报文

BTM输出错误报文

a/b 代 码 不 一

致： MA、 v-mr s p ,等

级切换、 RBC移交、

GPP

A/b 核心代码错误

或无效

C3CU 收到干扰信

号

GPP (通信协议包）

链接丟失

Prof i bus 数据包

异常

C3CU模块故障 在本发明中， 利用 FMEA表格通过系统、 子系统、 模块、 元器 件的故障模式来辨识列控车载系统危险，并在此基础上评估故障模式 对列控车载系统的影响。 对每一个部件进行输入故障、 自身故障、 输 出故障、 双重故障分析， 依次首尾相传， 直至故障到达顶端 ATPCU。 通过 FMEA分析方法发现产品潜在的失效及其后果， 找到能够避免 或者减少失效发生的措施并不断地完善。

最后， 采用建模工具对故障编辑和仿真的步骤。 基于故障模式表格（FMEA)及 C3列控车载系统结构和功能关系 建立与故障模式表格互为映射的故障逻辑模型。在本步骤中将总结的 各模块、部件故障模式和结构关系抽象为故障逻辑模型， 结合仿真技 术并遵循列控车载系统设计生成系统级和组件级故障逻辑模型。

故障逻辑模型分为五大子系统共 13个模块， 分别为应答器、 小 型天线单元 CAU、 应答器传输模块 BTM、 无线通信电台 GSM-R、 通用 保密装置 GCD、 车载安全传输单元 STU、 安全数字输入输出 VDX、 雷 达、 速度传感器、 测速测距单元 SDU、 速度距离处理单元 SDP、 人机 界面 DMI和车载安全计算机单元 ATPCU。

在本发明中优选采用 Stateflow建模工具，实现对上述故障传播 模型的编辑和仿真功能， 故障逻辑模型的建立。 如图 2 所示， 其中 simulink组件与列控车载系统结构——对应， stateflow模型描述了 输入故障与自身故障在故障部件内部的传播过程， 输出故障又经 stateflow模型输出至 simulink组件， 在 simulink组件的 display 器件中可以得到故障的传播结果。在 Matlab/simulink组件中建立故 障逻辑模型的整体架构及模块间的故障传播关系。为了实现复杂控制 和有效监督， 自身故障及底层模块的输入故障也编辑在 simulink组 件中， 并以开关 switch形式所产生的布尔值表示故障是否发生， "1" 表示故障发生， "0" 表示故障未发生。 Stateflow模型中建立事件驱 动模型，驱动条件即为外部 s imulink组件中的输入故障及自身故障， 若状态 A与状态 B之间的驱动条件 C被激活，则由从箭头起点状态转 移至箭头终点处状态， 且转移路线即故障传播路线变蓝清晰可辨识。 底层故障层层转移直至 ATPCU中，在 ATPCU的输出端设置 display器 件便可得到最终仿真结果。 综上所述， 本发明将 FMEA方法融入故障逻辑建模中， 将二者进行 技术整合， 借助 FMEA方法对关键组件的故障模式及影响分析， 确定其 与各相连组件的输入、输出影响，使分析的故障模式更加具有系统性， 故障逻辑建模时更容易从全局角度出发， 有的放矢。 将 stateflow用 于故障逻辑建模， 实现各个故障模式之间的转换， 解决复杂的监控逻 辑问题。其与 simulink同时使用使得 simulink更具有事件驱动控制能 力。 工业实用性

本发明将 FMEA方法融入故障逻辑建模中， 将二者进行技术整合， 借助 FMEA方法对关键组件的故障模式及影响分析，确定其与各相连组 件的输入、 输出影响， 使分析的故障模式更加具有系统性， 故障逻辑 建模时更容易从全局角度出发， 有的放矢。 将 stateflow用于故障逻 辑建模， 实现各个故障模式之间的转换， 解决复杂的监控逻辑问题。 其与 s imulink同时使用使得 s imul ink更具有事件驱动控制能力。

Claims

权 利 要 求 书

1、 一种高速铁路列车运行控制车载系统故障逻辑建模方法， 其 特征在于， 包括如下步骤：

确定列控车载系统结构及各部分之间的功能关系；

基于已知的列控车载系统故障结合头脑风暴分析各部分的故障； 构建 FMEA表格归纳各部分的故障；

采用建模工具对故障编辑和仿真。

2、 如权利要求 1所述的方法， 其特征在于， 所述确定列控车载 系统结构及各部分之间的功能关系的步骤进一步包括：

根据高速铁路列控系统总体技术方案、列控车载系统结构图及系 统 UML模型， 确定列控车载系统结构并理清各模块、 组件间的功能

3、 如权利要求 1所述的方法， 其特征在于， 所述确定列控车载 系统结构及各部分之间的功能关系的步骤中采用全英文、首字母大写 的格式对模块及器件命名。

4、 如权利要求 1所述的方法， 其特征在于， 所述基于已知的列 控车载系统故障结合头脑风暴分析各部分的故障的步骤进一步包括： 在概念阶段， 对信息流中的参数搭配以相应的引导词， 将参数细 化成一条条故障， 然后对每一条故障分析其原因和后果； 在现场阶段， 从危险数据库或者危险历史积累中， 选取头脑风暴 未列举到的故障进行补充扩展， 重复在概念阶段的流程。

5、 如权利要求 1所述的方法， 其特征在于， 所述构建 FMEA表 格归纳各部分的故障的步骤进一步包括： 按实际需要将列控车载系统进行子模块划分；

利用 FMEA表格列出列控车载系统各模块、 组件的故障模式； 故障部件自下而上逐级排列进行分析总结；

对每一个部件进行输入故障、 自身故障、 输出故障、 双重故障分 析， 依次首尾相传， 直至故障到达顶端 ATPCU。

6、 如权利要求 5所述的方法， 其特征在于， 所述 FMEA表格中 包含有： 故障部件、 输入部件、 输入故障模式、 自身故障模式、 输出 故障模式、 双重故障模式和输出部件。

7、 如权利要求 1所述的方法， 其特征在于， 所述采用建模工具 对故障编辑的步骤进一步包括：

将总结的各模块、 部件故障模式和结构关系抽象为故障逻辑模 型，结合仿真技术并遵循列控车载系统设计生成系统级和组件级故障 逻辑模型。

8、 如权利要求 7所述的方法， 其特征在于， 所述故障逻辑模型 分别为应答器、 小型天线单元 CAU、 应答器传输模块 BTM、 无线通信 电台 GSM-R、 通用保密装置 GCD、 车载安全传输单元 STU、 安全数字 输入输出 VDX、 雷达、 速度传感器、 测速测距单元 SDU、 速度距离处 理单元 SDP、 人机界面 DMI和车载安全计算机单元 ATPCU。

9、 如权利要求 1所述的方法， 其特征在于， 所述采用建模工具 对故障编辑和仿真的步骤中选用 Sta tef low建模工具。

10、 如权利要求 1所述的方法， 其特征在于， 所述采用建模工具 对故障仿真的步骤进一步包括：

Sta tef low组件模型描述输入故障与自身故障在故障部件内部的 传播过程， 输出故障经 s ta tef low输出至 s imul ink, 在 s imul ink的 d i splay器件中得到故障的传播结果； 在 simulink组件中编辑自身故障及底层模块的输入故障， 并以 开关 switch形式所产生的布尔值表示故障是否发生；

stateflow组件中建立事件驱动模型，驱动条件为外部 simulink 组件中的输入故障及自身故障；

底层故障层层转移直至 ATPCU中，在 ATPCU的输出端设置 display 器件得到最终仿真结果。