基于故障注入的CTCS-3級列控系統仿真測試的研究

劉 磊 ，穆建成，禹志陽

（1.北京交通大學 軌 道交通控制與安全國家重點實驗室，北京 1 00044；2.中國鐵道科學研究院 通 信信號研究所，北京 1 00081）

本文介紹基于故障注入的CTCS 3級列控系統的測試方案，通過基于HLA架構和組件化的設計，從物理結構上簡化測試平臺本身的結構、標準化接口，提高測試平臺開發的可重用性；同時，測試平臺忠實真實系統的邏輯結構，實物系統和仿真系統虛實互控，保證測試的逼真性、靈活性和可信性。

基于概率機制提取故障測試案例，構建平臺的設備級、單系統級、多系統級的故障激勵以及故障耦合機制，并可在模擬仿真運行中，實現對虛擬和實物系統的故障注入以及故障狀態反饋的監測和分析、定位功能。

1 故障注入原理

故障注入技術作為一種測試技術是指按照事先選定的故障模型，采取某種策略人為的、有意識的將故障注入目標系統，用以加速該系統錯誤和失效的發生，同時觀測反饋系統對所注入故障的響應信息，通過分析，對系統進行驗證和評價的過程。

根據故障注入的概念，故障注入原理可用如圖1的循環層次結構模型進行說明。

圖1 故障注入原理框圖

故障注入位置也是故障注入的重點之一，通常與故障注入的類型有關，對于處于物理層的軟件故障注入和硬件故障注入并不是研究的重點，為了測試設備失效對安全性的影響，故障注入的位置以設備為基本單位，從而構成設備級、單系統級、多系統級的故障注入方案。

2 基于HLA的CTCS-3級仿真測試平臺

2.1 CTCS-3級仿真測試平臺

針對CTCS-3級列控系統的復雜性，提出CTCS-3級仿真測試平臺，結構如圖2。

圖2 CTCS-3級仿真測試平臺

本方案將仿真模型分為4類：實物模型、被控模型、環境模型、故障注入模型。

（1）實物模型

ATP模型、TCC模型、聯鎖模型、CTC自律機模型、LEU及有源應答器模型、軌道電路發碼器模型、RBC模型、GSM-R無線信道、GSM-R網絡模型。

（2）被控模型

軌道電路模型、信號機模型、道岔模型、應答器模型、列車制動/動力控制模型等。

（3）環境模型

線路地理模型、列車動力學模型、模擬駕駛/操作模型等。

（4）故障注入模型

用以實現對上述模型進行故障激勵和故障耦合的控制，可以根據故障測試案例的要求進行故障注入，實現自動故障注入和手動故障注入功能等。

通過平臺整體架構和接口技術的運用，支持不同類型的虛擬設備與實物設備之間的無縫銜接以及同類設備的虛、實互換功能，其仿真接口原理如圖3。

圖3 仿真接口框圖

2.2 CTCS-3級仿真測試的HLA架構

HLA（High Level Architecture）就是為分布式交互系統提供一個框架，它能盡量涵蓋建模和仿真領域中涉及的各種不同類型的仿真系統，利用它們之間的互操作性和重用性，滿足復雜大系統的仿真系統，整體結構如圖4。

圖4 HLA結構框圖

將CTCS-3級仿真測試平臺中的模型提取出來，建立在HLA的架構上，其運行原理如圖5。

圖5 基于HLA的CTCS-3級仿真測試運行原理

仿真測試中，將實物模型、被控模型、環境模型、故障注入模型分為4個聯邦成員，聯邦的執行由RTI來管理，根據各個聯邦成員的請求，完成對聯邦成員的加入、退出及注冊、刪除等操作。故障注入聯邦需要公布故障消息，并且訂購環境聯邦中駕駛員控制消息和實物模型中監測消息從而進行結果分析，其結構如圖6。

圖6 聯邦仿真測試結構

3 故障注入方案

3.1 故障測試案例的提取

用于CTCS-3級列控系統的測試案例除了驗證滿足系統需求規范和標準的測試案例外，還必須定義可能導致意外安全問題的故障測試案例。測試案例大致分為3類：

（1） 常規測試案例（由系統需求規范提取，驗證是否滿足規范標準）。

（2） 單故障測試案例（含有單種故障，驗證系統降級工作能力）。

（3） 多故障耦合測試案例（含有多種故障，驗證極端條件下保證安全性的能力）。

多故障耦合測試案例是將單故障測試案例在不同條件下組合的測試案例，并對故障發生程度進行了概率分級，為了模擬真實故障發生概率等級我們定義為4級：經常發生、偶爾發生、很少發生、極少發生，定義相應的概率發生等級為1級、2級、3級、4級。在故障激勵和故障耦合中，我們將優先選擇發生概率等級高的故障注入到仿真測試平臺，其中CTCS-3級列控系統中部分典型故障測試案例如表1。

表1 CTCS-3級列控系統故障測試案例

3.2 故障注入流程

故障注入流程在windows環境下搭建，系統的通信采用UDP協議通信，其故障注入流程如圖7。

3.3 現場試驗分析

本文闡述的故障注入方法已應用于滬寧城際鐵路的聯調聯試中，故障測試案例根據現實故障條件進行激勵和耦合，效果良好，發現一些安全性或非安全性缺陷及設計錯誤，示例如下：

故障測試序列： 車站前最后一個閉塞分區軌道區段占用（7接近占用），車站辦理引導接發車進路，列車以目視模式通過7接近故障區段跨過進站信號機后，RBC允許發送引導模式移動授權，列車引導模式進站。

圖7 故障注入流程

試驗結果分析：列車目視模式通過軌道故障區段后并沒有轉入引導模式，而是目視模式進站，存在隱患，因為目視模式下車載設備不能確保道岔位置的鎖定，而需要司機擔負全部安全責任，從操作技規和營運規則上是不允許司機目視進站的。

4 結束語

本文研究在HLA架構下，CTCS-3級列控系統故障注入測試的框架，通過故障注入來挖掘系統的安全隱患，故障案例激勵和耦合還有許多值得探討的地方，將在今后工作中不斷的深入和完善。

[1]徐慮詩，劉 斌，阮 鐮. 基于故障注入的仿真測試方法過程框架[J]. 測控技術，2007，26（10）：50-56.

[2]屠海瀅，吳芳美. 面向軟件黑箱測試的仿真環境嵌入故障研究[J]. 軟件學報，1998，10（5）：516-520.

[3]孫峻朝, 李運策, 楊孝宗. 故障注入研究的一種理論框架[J].小型微型計算機系統，1999，20（11）：816-819.

[4]孫玉鵬，張 勇. 基于HLA的CTCS3級仿真測試平臺的研究[J]. 鐵路計算機應用，2007，16（2）；14-17.