鲁秋子，徐田华，唐 涛

（北京交通大学 轨道交通控制与安全国家重点实验室，北京 100044）

混杂系统主动容错架构在车载设备的应用研究

鲁秋子，徐田华，唐 涛

（北京交通大学 轨道交通控制与安全国家重点实验室，北京 100044）

文章提出了一个针对于混杂系统的主动容错架构。通过对混杂系统的模型抽象，实现混杂系统到离散事件系统的转化。根据离散事件系统的允许事件轨迹计算其安全可控事件集合，进而合成主动容错监控器，实现混杂系统的主动容错控制。最后，以列车运行控制系统车载设备为例，实现列控系统车载监控器的合成。系统仿真结果证明了合成监控器的有效性。

主动容错；混杂系统；离散事件系统；车载设备

对于安全性关键（safety-critical）领域，系统的可靠性是衡量系统性能的重要指标，也是在系统设计中需要考虑的重要因素。由于提高硬件可靠性的成本较高，越来越多的人将研究的重点转向软件可靠性的提高。

在目前的软件容错技术的应用中，大多属于被动容错，即在设计系统时就考虑到可能发生的故障，并针对这些故障设计相应的应对机制。虽然该方法对于已知的故障类型具有较好的容错效果，但在系统运行过程中若出现在设计中未曾考虑的故障，其容错性能将受到较大影响。

为了解决上述问题，许多国内外的学者在此方向都做了相应的理论研究。2008年，Wen[1]等提出了基于离散事件（DES，Discrete Event System）容错监控框架，通过定义系统的规范和实施相应的控制使得系统容错。2003年，Darabi[2]等提出了切换监控系统的思想，即当故障发生时，切换系统到一个新的控制器使得系统实现容错。上述方法为解决离散事件系统的容错提供了思路，然而对于混杂系统，并没有提出解决方案。

针对上述情况问题，本文提出了混杂系统主动容错架构和容错监控器合成算法，主要创新点如下：

（1）提出一种针对混杂系统的主动容错架构，即由一个故障诊断子系统来在线检测和分离出系统发生的故障，并根据不同的故障模式对已有控制律进行重组或重构新的控制律，从而使得系统性能得到较好的保障。

（2）为保证容错系统在逻辑层面上的正确性，从理论上保证所设计的软件的可信性，采用离散事件系统监控理论研究软件设计问题，选择扩展有限状态机软件模型，把软件的设计问题转化为监控器的设计问题。这样设计出来的软件必然满足软件需求，确保最终代码的正确性。

1 基本概念介绍

1.1 混杂自动机

混杂自动机模型是AlurR.等人提出的关于混杂系统的一个形式化模型[4]。混杂自动机模型是离散事件动态理论中自动机模型的扩展，它将描述连续动态行为的微分方程嵌入到传统的离散状态自动机模型中，从而使自动机模型兼具描述连续行为的能力。

系统的不变集构成了各个离散的规范，离散迁移使得系统在各个不变集之间切换。

1.2 DES监控理论

用扩展的有限自动机[5]描述离散事件系统。假设自动机E由一系列交互的组件（E1,…, En）构成，利用自动机的同步积运算将多个独立运行的自动机综合为一个单一的自动机对于E产生的语言，记为ℒ(E)。事件集Σ可划分为Σ=Σo∪Σuo，其中Σo与Σuo分别代表可观测事件集与不可观测事件集。定义映射P0，P0:Σ*→Σo*。此外，一些事件的发生可以被控制，而另一些则不能。因此，事件集还可被划分为可控事件集Σc与不可控事件集Σuc，即Σ=Σc∪Σuc。

定义监控自动机S，将其耦合到原系统上，从而获得可控系统模型，使得ℒ(S||E)K。监控的基本方法是通过禁止Σ中可控事件的发生，来阻止E中相应的状态转移，从而使E的行为轨迹限定在K的范围之内。

2 主动容错的实现

2.1 混杂系统主动容错架构

为了使混杂系统在故障状态下能够保证安全，本文提出混杂系统主动容错架构，如图1所示。混杂系统通过离散抽象，采集系统状态，得到抽象后的有限自动机模型En+f，通过对抽象后的模型进行监控，实现主动容错。我们将系统的监控模型分为几个类别，在正常情况下，由Snom保证系统安全，当出现不同的故障时，检测器En+f检测出故障，触发中断INT，使得系统实时切换到相应的重构的监控器Sideg。通过该架构，混杂系统能够实现故障下的主动容错。

图1 混杂系统主动容错架构

2.2 混杂系统主动容错架构的设计

2.2.1 混杂系统的离散抽象

混杂系统是介于控制论和计算机科学之间的研究对象，因为控制论研究的对象大多是连续变化系统，而计算机科学的研究对象大多是离散系统。混合自动机的状态空间大都是无限的，我们在设计监控器之前，需要对混杂系统进行离散抽象，将其转变为离散模型后，再进行监控器的设计。混杂系统的离散抽象过程如图2所示。

图2 监控器的实现

离散抽象系统将混杂系统在切换面上的行为抽象出来，使得混杂系统的控制转化到DES控制器的合成，而后者具有丰富的监控理论支持。

2.2.2 DES的故障扩展

由2.2.1可知，可将DES监控理论应用到混杂系统的监控过程的实现。用自动机Enom表示混杂系统正常情况下的离散抽象模型。在正常工作情况下，系统可观测事件是正常监控器Snom中的闭环。当系统潜在的故障f发生时，需要考虑故障对模型的影响，此时，用En+f代表系统模型，系统的事件集为Σn+f=Σ∪{f}。

在系统正常运行时，可通过构建Snom，阻止不满足规范的动作发生。将实际系统可控模型描述为Esupn+f=En+f||Snom。包含了系统正常运行的轨迹以及一系列的故障行为。当故障f发生后，被监控的系统会进入一个区别于正常状态下的故障后模型。假设集合F是当故障f发生时一切可被观测的非法事件集，F∈Σ*。为保证系统安全运行，必须阻止系统执行集合F中的事件发生。用Kf表示在故障 f 发生后的系统语言。在Snom监控下，系统行为ℒ( Esupnom)将包含满足规范Knom的正常控制动作和不满足规范Kf的非法动作。

可见，在故障的情况下，通过Snom已经无法保证系统的安全性。因此，需要引进容错机制，使得系统在故障状态下亦能保证安全。为了实现系统的主动容错，需要一个故障诊断自动机Ediag在线检测出系统的故障，并且构建新的监控器Sdeg，在故障发生后将系统从Snom切换到Sdeg。图3描述了一个被监控的DES中，各个等级容错规范之间的关系。

图3 DES容错规范

2.2.3 系统的安全可控性

若系统能够实现主动容错，则必须保证系统是安全可控的。对于一个自动机E，假设它的语言ℒ是安全可诊断的针对于映射P0，故障事件f和非法语言K。当故障f的发生，使得系统的行为偏离了Enom。取En+f中以xi为初始的子串，可建立新的故障后模型Eideg。

对于一个安全可控系统，至少存在一个可控事件z，通过禁止z的执行，使系统不进入危险状态。当系统进入危险状态时，将触发一个中断信号INT使得z失效。此外，这个中断信号可以将监控器从Snom切换到Sideg，使得系统满足故障后的规范Kideg。

3 案例研究—列控系统车载设备容错控制

3.1 列控车载系统描述

列控系统车载设备是一个典型的混杂系统。列车的运营方式有多种，我们以四显示自动闭塞为例，说明主动容错监控器在列控车载设备中应用。四显示自动闭塞是指通过信号机具有4种显示，能预告列车前方3个闭塞分区状态的自动闭塞[6]，如图4 所示。

图4 四显示自动闭塞

在我国最高时速 160 km/h的干线铁路使用的四显示自动闭塞系统绿（L）、绿黄（LU）、黄（U）、红（H）4个信号显示对应的速度意义分别为：

绿（L）表示160/160，即进入闭塞分区时允许速度是160 km/h，离开时的允许速度还是160 km/h；绿黄（LU）表示160/115；黄（U）表示115/0；红（H）表示0 km/h。

在列控系统车载设备中最核心的功能就是对列车速度的就监督控制。司机根据信号机显示以及当前的速度，对列车实施控制命令，实现对列车的控制。

建立各个模块的自动机模型：

速度检测模块Evelocity，速度分为3个等级，v0= 0； v1∈ (0,115]； v2∈ (115,160]，速度在列车运行过程中实时采集。

距离检测模块Eoffset，列车的闭塞分区划分应满足每一速度级差的制动距离。本文中假设闭塞分区长度为1 000 m。

信号机模块Esignal，信号机有4种显示：绿（L），绿黄（LU），黄（U），红（H），信号机的显示为外界输入。

牵引/制动操作模块Econtrol，为方便说明，本节将列车控制档位简单分为3档。牵引时，加速度为a，无操作时加速度为a0=0，制动时加速度为-a。实施紧急制动时输出最大制动力为-amax。对列车牵引/制动的操作可控。列车在制动的过程中，通过施加闸瓦压力使列车减速，闸瓦压力传感器实施检测压力值。

整个车载系统在正常情况下，可用自动机Enom表示，Enom= Evelocity||Eoffset||Esignal||Econtrol。为了保证列车安全运行，在系统正常运行时，提出需求Knom如下：列车在运行时不能冒进信号，即不能超出相应信号机的允许速度。

当系统出现故障f，例如：列车闸瓦与车轮松动，导致制动力不足，使得制动时减速度为-b（b＜a），若此时不采取有效措施，则会使得列车运行超速，从而使系统违反安全。必须保证车载设备在有限的时间内检测出故障，并使系统立即进入重构的监控器下运行，则能够保证系统安全。定义重构的规范Kdeg：列车执行紧急制动，即输出最大减速度，强制列车停车。

为更好的描述主动容错架构在列车上的实现，我们将系统简化，根据列控车载设备的速度监督基本原理，建立基于离散事件系统的控制框架，如图5所示。

图5 基于离散事件系统的控制框架

根据算法1，可得系统主动容错监控器。整个系统中，可控事件为牵引/制动控制命令，通过对控制命令的约束，控制系统完全运行满足规范。当出现故障时，系统切换到重构的监控器下运行。

图6显示了系统状态变迁的过程，图6中状态（v1,LU,U’,a0）分别表示列车当前速度等级为v1，列车所在区间入口信号机灯色为绿黄，出口信号机灯色为黄，此时列车加速度为a0。当系统出现故障f时，闸瓦压力传感器检测出列车制动闸瓦压力不足，此时出发中断INT，禁止可控事件制动，并触发可控事件紧急制动，使系统满足Kdeg，且不违反系统安全。

图6 系统监控过程示意

3.2 列控车载容错监控的实现

依据各个模块的自动机表示，以及利用DES监控理论而得到的列车控制模块设计结果，将上述列车运行控制过程在Matlab中仿真实现。

设置两车追踪场景，列车1与列车2相距3个闭塞分区（3 000 m），此时列车1前方信号机跳变顺序是L-LU-U-H，列车1在红灯前停车。列车2前方信号机的跳变根据列车1与列车2的动态位置实时更新。假设列车1一直运行正常，列车2在运行中遇到闸瓦松动故障，对列车2采用容错控制。采用simulink建立列车动力模型，在stateflow中建立监控器模型，通过仿真实现列车的监控过程。

仿真中采用CRH5型电动车组相关技术参数实现对列车的模拟。因本章中考虑的故障发生在列车制动过程中，所以将牵引过程简化，采用一个牵引档位实现列车牵引过程。考虑列车的制动过程，CRH型电动车组按照减速度要求给定制动力，减速度是制动距离计算的主要参数。根据文献[7]CRH5 型电动车组制动方式分为 EB紧急制动和3级常用制动。相关技术参数如表1所示。

表1 CRH5型电动车组制动减速度特性参数

仿真结果如图7所示，图7（a）为列车的速度-位移曲线，图7（b）为列车位移-时间曲线。当列车2 正常运行时，由正常控制模块控制列车运行。列车追踪运行轨迹如图7中实线所示。当列车出现故障，若不采取容错控制方式，则列车在6 000 m～7 000 m处发生冲撞（虚线部分）。采用容错控制方式，当检测器测得列车出现故障，触发中断INT，切换至重构的监控器下运行，最终得到列车追踪轨迹如图7中点连线部分所示。由仿真结果，可以明显的看到容错监控的实施的重要性和容错监控器的正确性。

图7 主要模块自动机模型

4 结束语

本文关注于混杂系统的容错问题，提出一个的主动容错架构。文中将混杂系统模型抽象为离散模型，并证明两个模型之间互模拟，然后在离散模型的基础上，采用DES监控理论，实现模型的容错监控器的生成。为检验算法的可行性，以列控车载系统为例，实现列控系统中的两车追踪场景，利用Matlab仿真，实现了车载监控器控车过程，仿真结果显示所设计的监控器是正确的。

下一步的研究重点在于将目前的算法进一步的分析和优化，并应用于解决更为复杂系统的监控问题（如多显示自动闭塞情况下的多车追踪），以便更好的解决实际问题。

[1]Wen Q, Ratnesh Kumar, Jing Huang, and Haifeng Liu, A Framework for Fault-Tolerant Control ofDiscrete Event Systems[J]. IEEE Transaction on Automatic Control. 2008,53(8): 1839 -1849.

[2]Darabi H, JafariMA, Buczak AL (2003). A control switching theory for supervisory control of discreteeventsystems[J]. IEEE Transactions on Robotics and Automation 19(1):131 C137.

[3]Rohloff KR (2005) Sensor failure tolerant supervisory control[A]. In Proceedings of the 44th IEEE conference on decision and control and the European control conference 2005[C]. Seville, Spain.

[4]R.Alur,C.Courcouberis,T.A.Henzinger.Hybrid Automata: An Algorithmic Approach to theSpecificatioon and Verification of Hybrid Systems[D]. In workshop on Theory of Hybrid Systems, Lecture Notes in Computer Science,Denmark,1992: 209-229.

[5]M.Sk☒ldstam,K.Akesson,andM.Fabian. Modeling of discrete event systems using ☒nite automata with variables[J]. In Proc. 46th IEEE Conf. Decision Control, 2007, pp. 3387–3392.

[6]王长林，林 颖. 列车运行控制技术[M].北京：西南交通大学出版社，2006.

[7]铁道部运输局铁运 [2007]130号. 列车运行监控记录装置控制[S].北京：铁道部运输局，2004.

责任编辑 徐侃春

Research on application of active fault tolerant framework of Hybrid System in on-board equipment

LU Qiuzi, XU Tianhua, TANG Tao

( State Key Laboratory of Rail Control and Safety, Beijing Jiaotong University, Beijing 100044, China )

An active fault tolerant framework of Hybrid System was presented in this paper. By discreting abstraction of the Hybrid System, the transformation of Hybrid System to Discrete Event System (DES) was obtained. Then a set of safe controllable events was calculated with respect to the discrete event trajectories. By using of the safe controllable event, the active fault tolerant supervisor was synthesized. Finally, the supervisor of on-board equipment in Train Control System was synthesized, and the effectiveness of the proposed active fault tolerant algorithm was validated and demonstrated by the simulation results.

active fault tolerant; Hybrid System; Discrete Event System(DES); on-board equipment

U284∶TP39

A

2013-01-14

国家863项目（2011AA010104），轨道交通控制与安全国家重点实验室项目 （I11K00150, I11K00060），北京交通大学基本科研项目（2011JBM160）。

鲁秋子，在读硕士研究生；徐田华，教授。

1005-8451（2014）01-0001-05