（交通信息工程及控制专业论文）基于故障注入的CBTC系统测试的研究与实现.pdf

中文摘要 摘要：基于通信的列车运行控制系统( c b t c ) ，以其高速度高密度的特点，成为轨 道交通信号系统首选的信号制式。然而，c b t c 系统的技术长期为国外垄断，严重 制约了其在国内轨道交通信号领域的发展，因此研发具有自主知识产权的c b t c 系统迫在眉睫。对自主研发的设备进行测试验证，保证产品质黾是十分藿要的。 本文提出一种基于故障注入的仿真测试验证方法，将计算机仿真技术和故障注入 技术相结合，在实验室的仿真环境内，通过对c b t c 系统底层的轨旁设备进行故 障设置，对应用层的功能进行测试验证。 本文首先综合列控系统仿真测试和故障注入技术的国内外研究现状，通过对故 障注入技术的原理、属性、分类以及应用进行详细研究，针对c b t c 系统的特点， 提出了c b t c 系统轨旁设备故障注入测试验证采用的故障注入方法，即基于模拟 仿真的故障注入方法。 接下来针对分布式系统故障注入的特点，本文提出了c b t c 系统轨旁设备故障 注入测试验证平台的理论框架，完成了测试验证平台的总体设计，并重点阐述了 系统制同步的方法以及故障触发和执行的机制。依据c b t c 系统轨旁设备的工作 原理和故障模型，提炼出屏蔽门、应答器、紧急停车按钮和计轴器等轨旁设备的 故障注入属性，并结合被测设备的功能需求属性生成了测试案例。 在w i n d o w s 环境下，以v i s u a lc + + 6 0 为开发平台，搭建了c b t c 系统轨旁设 备故障注入测试验证平台，完成了控制器、故障注入器( 轨旁设备仿真器) 和状 态监视器( 列车运行状态跟踪器) 的软件实现，清晰生动的图形显示效果和友好 的用户操作界面是该平台的特色。 最后，以车载设备测试验汪中屏蔽门故障为例，进行故障注入测试验证，验证 了方法的可行性。 关键词：c b t c ；故障注入；轨旁设备；仿真；测试验证 分类号：t p 3 9 1 9 a bs t r a c t a b s t r a c t ：c o m m u n i c a t i o n - b a s e dt r a i nc o n t r o ls y s t e m ( c b t c ) ，c h a r a c t e r i z e db y h i g h s p e e da n dh i g h d e n s i t y , h a so v e r w h e l m i n gp r i o r i t y f o ru r b a nm a s st r a n s i t h o w e v e r , c b t ct e c h n o l o g yh a sb e e nm o n o p o l i z e db yf o r e i g nc o u n t r i e sf o ral o n gt i m e ， w h i c hh a ss e r i o u s l yh a m p e r e di t sd e v e l o p m e n ti nc h i n aw i t h i nt h et r a f f i cs i g n a l sa r e a i t se x t r e m e l yu r g e n tt o r e s e a r c ha n dd e v e l o pc b t cs y s t e mw i t hi n d e p e n d e n t i n t e l l e c t u a lp r o p e r t y t e s ta n dv e r i f i c a t i o no ft h ei n d e p e n d e n td e s i g n e de q u i p m e n tt o e n s u r ep r o d u c tq u a l i t yi sv e r yi m p o r t a n t t h i sp a p e rp r e s e n t saf a u l ti n j e c t i o nt e s ta n d v c r i f i c a t i o nm e t h o db a s e do ns i m u l a t i o n ，w h i c hc o m b i n e st h ec o m p u t e rs i m u l a t i o na n d f a u l tm j e c t i o nt e c h n o l o g y t h ef a u l ti ss e ti n t ot h ew a y s i d ee q u i p m e n ti nt h eb o a o m o f c b t cs y s t e m t h ef u n c t i o n so fa p p l i c a t i o nl a y e r i st e s t e da n dv e r i f i e di nt h e l a b o r a t o r y ss i m u l a t i o ne n v i r o n m e n t t h i sp a p e rf i r s t l ys t u d i e dt h et r a i nc o n t r o ls y s t e ms i m u l a t i o nt e s t i n ga n df a u l t i n j e c t i o nt e c h n o l o g ya th o m ea n da b r o a d t h r o u g had e t a i l e ds t u d yo ft h ep r i n c i p l e , p r o p e r t i e s ，c l a s s i f i c a t i o na n da p p l i c a t i o no ff a u l ti n j e c t i o nt e c h n i q u e s ，ac b t cs y s t e m w a y s i d ee q u i p m e n tf a u l ti n j e c t i o nt e s ta n dv e r i f i c a t i o nm e t h o di sp r o p o s e di nv i e wo f t h ec h a r a c t e r i s t i c so fc b t cs y s t e m s ，w h i c hi s s i m u l a t i o n - b a s e dm e t h o do ff a u l t i n j e c t i o n a c c o r d i n gt ot h ec h a r a c t e r i s t i c so f f a u l ti n j e c t i o nf o rd i s t r i b u t e ds y s t e m ，t h i sp a p e r p r o p o s e dt h et h e o r e t i c a lf r a m e w o r k o fc b t cw a y s i d ee q u i p m e n tf a u l ti n j e c t i o nt e s ta n d v e r i f i c a t i o n p l a t f o r m ，c o m p l e t e d t h e d e s i g n o ft h e p l a t f o r m ，a n d t h e nt h e s y n c h r o n i z a t i o nm e t h o d s b e t w e e ns y s t e m sa n dt h et r i g g e ra n di m p l e m e n t e dm e c h a n i s m o ff a u l ti sd i s c u s s e d i nl i n ew i t ht h eo p e r a t i n gp r i n c i p l ea n df a u l tm o d e lo fc b t c s y s t e m sw a y s i d ee q u i p m e n t s ，t h i sp a p e re x t r a c t e d t h ef a u l ti n j e c t i o na t t r i b u t e so f w a y s i d ee q u i p m e n t s ，s u c ha sp s d ，b a l i s e ，e m e r g e n c ys t o pb u t t o n s ，a x l ec o u n t e ra n d s o o i l b e s i d e s ，c o m b i n i n gw i t ht h em e a s u r e dp r o p e r t i e so f t h ef u n c t i o n a lr e q u i r e m e n t so f t h ee q u i p m e n t s ，t h et e s tc a s e sf r o mt h e s ea t t r i b u t e si sg e n e r a t e d t h ec b t cs y s t e mw a y s i d ee q u i p m e n tf a u l ti n j e c t i o nt e s ta n dv e r i f i c a t i o n p l a t f o n ni sb u i l dw i t ht h ew i n d o w se n v i r o n m e n ta n dv i s u a lc + + 6 0p l a t f o r mi nt h i s p a p e r t h ec o n t r o l l e r , f a u l ti n j e c t o r ( w a y s i d ee q u i p m e n ts i m u l a t o r ) ，a n ds t a t u sm o n i t o r ( t r a i nr u n n i n gs t a t u st r a c k e r ) s o f t w a r ei si n c o r p o r a t e di n t ot h ep l a t f o r m ，w h i c ha c h i e v e d ac l e a ra n dv i v i dd i s p l a yo fg r a p h i c sa n df r i e n d l yu s e ri n t e r f a c e j 妾塞交通太堂亟堂位论塞 旦s ! r ! f i n a l l y ，t h i sp a p e rt o o kt h ep s d f a u l ti n j e c t i o nv e r i f i c a t i o no fv o b ce q u i p m e n t f o re x a m p l e ，e x e c u t e dt h ef a u l ti n je c t i o nt e s ta n dv e r i f i c a t i o n t h ef e a s i b i l i t yo ft h e m e t h o di sv e l i f i e dt h r o u g ht h i se x a m p l e k e y w o r d s ：c b t c ；f a u l ti n j l e c t i o n ；w a y s i d ee q u i p m e n t ；s i m u l a t i o n ；t e s ta n d v r e r i f i c a t i o n c i a s s n o ：t p 3 9 1 9 v 图目录 图卜l 自主研发的c b t c 系统结构图2 图卜2t o m 仿真系统框图4 幽卜3 曲班牙c e d e xl i f 实验室车载设备测试平台框图6 图2 - 1 故障注入原理9 图2 2 故障模艰的选择一1 0 图2 - 3 故障注入分类13 图3 一1 分布式系统结构图一1 9 图3 - 2 分布式系统故障注入基本结构图2 0 图3 3c b t c 系统敝障注入测试验证原理图一2 1 图3 4c b t c 故障注入测试验证平台结构图2 2 图3 5 车载设备故障注入测试验证平台2 3 图3 - 6z c 设备故障注入测试验证平台2 4 幽3 7c b t c 系统故障注入执行过程2 6 图3 - 8 应答器系统：i ，：作原理图2 9 图3 9 轨旁设备故障模型3 0 图3 - 1 0 安全系统模型31 图4 1c b t c 系统故障注入控制器通信接口3 6 图4 2 故障注入控制器t 作流程3 7 图4 3c b t c 故障注入控制器界面3 8 图4 4 轨旁设备仿真器接口图4 0 图4 - 5 香炉礁站紧急停车按钮故障设置界面一4 l 图4 6 金家街站应答器故障设置界面一4 l 图4 7 泉水站计轴器故障设置4 2 图4 8 模拟南站屏蔽j 故障设置一4 2 图4 9 列下运行状态跺踪器接口一4 4 图4 1 0 列车运行状态跟踪器界面4 5 图4 - 1 1 屏蔽门故障注入控制器界面4 7 图4 - 1 2 模拟南站屏蔽fj 殴置界面4 7 图4 1 3 故障注入前列车运行状态4 8 图4 1 4 故障注入后列7 f 运行状态4 9 图4 - 1 5 故障恢复后列车运行状态5 0 6 1 表目录 表3 1c b t c 轨旁设备故障模型3 l 表3 2 轨旁殴备故障注入的c b t c 系统读出集r 3 2 表3 3 屏蔽门故障场景库3 4 表4 - 1 故障注入前后状态对比5 1 独创性声明 本人声明所旱交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：枸扬 签字同期砷 年g 月肜日 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 栖扬 签字日期：- - k , 0 7 年, e l 佑日 ，易岫 0 宁下 ：1 名 ： 签 期 师 r 导 字签 致谢 本论文的工作是在我的导师宁滨教授的悉心指导下完成的，宁滨教授严谨的 治学念度和科学的工作方法给了我极大的帮助和影响。他不仅在学习和科研方面 对我进行指导和鼓励，并时刻言传身教为人处事的道理，在此衷心感谢两年来宁 滨教授在治学和做人方面对我的关心和指导。 黄友能老师悉心指导我完成了实验室的科研工作，在学习上和生活上都给予 了我很大的关心和帮助，在此向黄友能老师表示衷心的谢意。 感谢轨道交通控制与安全国家重点实验室轨道交通列车运行控制关键技术与 系统集成的唐涛教授、郜春海副教授、王海峰副教授、马连川副教授、刘波老师、 刘中田老师、袁磊老师等，他们对我的科研工作和论文都提出了许多的宝贵意见， 在此表示衷心的感谢。 感谢王伟师兄两年来对我的无私帮助，在实验室的科研工作和论文撰写中， 他的帮助和启发是最直接最深入的。另外，我还要感谢实验室的刘超、姜璐、陈 晓博、徐效宁、朱力、赵显琼等师兄，在实验室工作及撰写论文期问，他们都给 予了我热情的帮助。 感谢我的同学秦玲、夏夕盛、王洪涛、王观宁、李伟、刘丽娟、孙伟、李凯、 任军、贺广宇等，一起为论文奋斗的过程中，衷心感谢你们的鼓励和陪伴，也正 是你们，给了我一个美好的研究生生活。 感谢我的父母及家人，你们的理解和支持一直是我最大的精神力量，因为你 们，我才有了克服困难的勇气和不断前进的动力。 本论文由国家自然科学基金项目“列车运行控制及组织的基础理论与关键技 术研究”( 项目号：6 0 6 3 4 0 1 0 ) 支持。 1 综述 1 1 论文的选题背景和意义 随着通信技术、控制技术和计算机技术的迅速发展，城市轨道交通的信号制 式也得到了巨大的发展，c b t c 技术( c o m m u n i c a t i o n b a s e dt r a i nc o n t r o l ，基于 通信的列车控制) 作为一种能够适应高速度高密度的轨道交通发展要求的先进的 信号制式已经成为了当前城市轨道交通中的首选信号制式【l j 。 从第一条采用c b t c 作为信号制式的城市轨道交通线路在美国拉斯维加斯单 轨电车启用至今，目前全世界范围内已有2 0 多条线路采用c b t c 系统。国内的线 路主要包括广州地铁4 号线、北京地铁4 号线、北京地铁2 号线改造工程、北京 地铁十号线以及香港遮士尼专线等【2 j 。 目前拥有c b t c 系统的列车控制系统设备提供商有德国的西门子( s i e m e n s ) 、 法国的阿尔卡特( a l c a t e l ) 和阿尔斯通( a l s t o m ) 以及加拿大的庞巴迪( b o m b a r d i e r ) 等。 而国内尚无具有自主知识产权的c b t c 系统，这成为c b t c 系统在国内城市轨道 交通信号系统方面大力推广的软肋，因而研发出自己的c b t c 系统追在眉睫。在 此背景下，北京交通大学的“基于通信的城轨c b t c 系统”课题于2 0 0 5 年在北 京市科委的委托下立项，并于2 0 0 7 年底完成了该项目的验收工作。目前，该项目 已经开始进行第二阶段的研发，并将在2 0 1 0 年底前开通的北京地铁亦庄线上对自 主研发的c b t c 系统进行实际工程应用【3 1 。 c b t c 系统作为一个安全苛求系统，对系统软件的质量要求很高，因为质量不 佳的软件会导致重大的经济损失甚至危及到人的生命安全。因此，对研发组研发 出设备的功能完备性、可靠性和安全性进行测试验证显得尤为重要。对于我们要 研发的安全苛求系统而言，任何情况下必须遵守故障安全原则，保证系统在 某些设备故障的情况下仍能按照故障处理原则运转。 本文的工作主要是将故障注入技术和仿真测试方法相结合，模拟被测系统处 于特定失效情景下，验证当属于某已定义故障空间的故障出现时，目标系统是否 正确处理以及系统的响应是否符合软件设计的要求。本文提出一种在功能级别上 的轨旁设备故障注入的仿真方法，对c b t c 系统相关安全功能进行测试验证。下 面首先介绍下c b t c 系统。 1 2c b t c 系统简介 1 9 9 9 年9 月，电气和电子工程师协会轨道交通运输车辆接口委员会( i e e e r a i lt r a n s i tv e h i c l ei n t e r f a c es t a n d a r d sc o m m i t t e e ，i e e er t v i s c ) 带j 定并颁布了基于 通信的列车控制系统( c b t c ) 的第一份标准i e e es t d1 4 7 4 1 1 9 9 9 。该标准将 c b t c 定义为：“利用高精度的列车定位( 不依赖于轨道电路) ，双向连续、大容量 的车地数据通信，车载、地面的安全功能处理器实现的一种连续自动列车控 制系统 1 4 】。 北京交通大学自主研发的c b t c 系统结构如图1 - 1 所示： 图卜1 自主硼f 发的c b t c 系统结构图 f i g u r e1 - 1a r c h i t e c t u r eo fc b t cs y s t e md e s i g n e d b yl i s 主要组成部分及功能如下1 5 】： 1 ) 列车自动监控系统a t s ( a u t o m a t i ct r a i ns u p e r v i s i o n ) ：可以完成列车运行 监控、报警显示、进路排列和运行图的调整等功能，还可以提供近期的列 车运行记录的查询。 2 ) 区域控制器z c ( z o n ec o n t r o l l e r ) ：根据线路信息和联锁状况以及前车位置 为后行列车计算移动授权m a ，即速度限制或者距离限制信息。m a 是列 2 车安全行驶至下一个停车位置所需的一个正式授权，实现列车的安全问隔 控制。 3 ) 计算机联锁c i ( c o m p u t e ri n t e r l o c k i n g ) ：负责采集道翕、信号机、屏蔽门 p s d 、紧急按钮等的状态信息，并控制它们，完成管辖范围内列车进路的 办理和取消。 4 ) 数据库存储单元d s u ( d a t a b a s es t o r a g eu n i t ) ：用来给列车进行定位和控制 提供依据，数据存储单元d s u 完成整个信号系统的数据库管理工作。 5 1 车载控制器v o b c ( v e h i c l eo nb o a r dc o n t r o l l e r ) ：主要负责实时计算列车 当前位置( l o c a t i o n ，l o c ) 、根据轨旁单元发送的移动授权( m o v i n g a u t h o r i t y ，m a ) 实时计算速度距离模式曲线，对列车实行超速防护、退行 防护、车门监督、完整性检查等多种功能。 6 ) 数据通信系统d c s ( d a t ac o m m u n i c a t i o ns y s t e m ，包括骨干网、网络交换 机、无线接入点及车载移动无线设备) ：实现c b t c 信号系统中每个子系 统之间的数据传输。 7 ) 轨旁设备w e ( w a y s i d ee q u i p m e n t ) ：包括应答器、信号机、计轴器、屏蔽 门、站台紧急按钮等设备，在这里不包括d c s 的轨旁设备，如a p 等。 自主研发的c b t c 系统是具有容错机制的安全苛求系统，要求系统能够在多 种给定失效情景下仍能够正常或降级运行。对于具有容错机制的安全苛求系统的 验证，不仅需要通过仿真建模方法模拟目标系统运行所需的交联环境，而且还需 要在故障注入技术支持下实现在多种失效情景下对目标系统进行测试。如何通过 故障注入技术和仿真测试方法的结合，为基于故障注入的安全软件测试提供有效 的解决方案是目前仍需解决的问题【6 | 。因此，有必要对列控系统仿真测试和故障注 入技术的国内外的研究现状进行概述。 1 3 列控系统的仿真测试 1 3 1 仿真系统研究现状 在列车控制系统仿真领域，国外发展较早，也建成了几个业内应用非常广泛 的仿真系统。 英国铁路研究所于1 9 7 0 年设计了第一套列车运行仿真器基于时间的通用 领域的列车仿真器( g a t t s ) 。研究出来的算法在1 9 8 3 年投入使用后成为英国铁路 集成电子控制中一i , ( i e c c ) 的一种标准。1 9 8 7 年，该研究所重新设计了一套新的更 易使用的能充分利用现代计算机技术的仿真器，这就是v i s i o n ( v i s u a l i z a t i o na n d 3 i n t e r a c t i v es i m u l a t i o no fi n f r a s t r u c t u r ea n do p e r a t i o n so nr a i ln e t w o r k s ) 仿真器。 v i s i o n 仿真器利用了g a t t s 中有利于建立友好界面的建模因素，以图表形式输 入，数据格式和类型能任意改变，极大地促进了各种轨道的精确建模。v i s i o n 能 对当时英国铁路上所有的固定闭塞信号进行建模。仿真器采用了定步长离散时问 推进仿真技术，能精确计算运行中每辆列车的牵引力、质量、载重、制动率、列 车阻力和最大允许速度等。仿真器能人工输入列车时刻表，也能提供时刻信息使 之自动生成时刻表。英国铁路研究所为本国铁路和国外铁路专家演示了仿真系统 并完成了很多的线路和时刻表的设计，很多不同运行环境下的铁路系统都在利用 v i s i o n 仿真器进行研究。 美国卡内基大学( r a i ls y s t e m sc e n t e r ：r s c ) 致力于传输中能耗管理的研究，开 发了r a i lt r a n s i tt r a i no p e r a t i o nm o d e l ( t o m ) 。它采用了面向对象的思路，使功能 和软件结构模块化，模型图如图1 - 2 所示。t o m 包括了列车性能、电力网和列车 移动的仿真。它的应用很广，包括系统性能、能耗评估、列车控制系统设计评估 和安全评估。 图卜2t o m 仿真系统框图 f i g u r ei - 2t o ms i m u l a t i o ns y s t e mf r a m e 美国s y s t r a 咨询有限公司一直致力于具有友好人机界面的轻轨和大铁系统 仿真器的丌发研制，并于2 0 0 0 年底全面完成了注册为r a i l s i m 的铁路系仿真软 件组。r a l i s i m 仿真软件组主要由网络仿真器( n e t w o r ks i m u l a t o r ) 、列车运行仿真 系统分析和技术应用计算器( t r a i np e r f o r m a n c ec a l c u l a t o r ) 、信号设计器( s i g n a l d e s i g n e r ) 、图形编辑器( g r a p h i c a le d i t o r ) 、报告生成器( r e p o r tg e n e r a t o r ) j ；f l 直流负 载电流分析器( d cl o a d f l o wa n a l y z e r ) 等六部分组成。在r a l i s m i 仿真软件中， 4 系统结构因素被考虑进来，用户不但可以使用现有的信号系统，而且可以根据需 要自己定制信号设备并将其用于系统中。另外，仿真软件可以利用局域网络组成 仿真系统，大大提高了仿真能力。对于结果数据，软件可以按照线图、数据报表、 文字报告、通用c a d 文件格式等形式进行显示或输出。这样多组数据一起显示功 能，使用户非常方便地进行不同数据之间的对比f 7 】。 西门子公司的v i c o st & s 仿真系统则可用来培训驾驶员和进行仿真。仿真系 统中，可以用在培训中心对列车进行配置，并可以对故障进行模拟，对限速进行 设定。除此之外，还能给出满足运输要求渐长的解决方案和对时刻表进行测试。 日本交通控制实验室研制的u l r a s 系统从研究新干线的交通控制系统出发， 可以进行列车运行计算、列车模型对运营的影响分析、延误恢复及分析、不同通 信信号制式的影响分析、多列车运行能力及效果的评价等，该模拟系统已经在日 本得到较多应用。 对于信号系统的仿真，国内起步较国外晚( 2 0 世纪8 0 年代) ，但近些年发 展非常迅速，非常具有代表性的仿真系统有原上海铁道大学陈永生副教授开发的 “城市轨道交通a t s 仿真系统 、原上海铁道大学吴芳美教授开发的“车站通用 信号仿真系统”和北京理工大学、上海中岳公司、中国铁路通信信号集团针对上 海地铁一、二线联合开发的列车自动运行仿真系统( s a t m ) 等系统以及北京交通大 学运输自动化所研发的c b t c 仿真系统【8 】。以上这些系统都对我国信号领域的技 术发展起到了巨大的推动作用，也为信号领域的测试奠定了坚实的基础【9 】。 1 3 2 测试系统研究现状 在列车控制系统测试领域，国外铁路非常重视，进行了大量的研究。经过验 证，使用仿真设备来配合完成测试经是合理的，并且国外大部分测试系统也都有 仿真设备的参与。 意大利佛罗伦萨大学曾于2 0 0 4 年为s c m t 开发出一个基于仿真技术的 a t p a t c 测试系统【1 0 】：h i l ( h a r d w a r ei nt h el o o p ) 测试系统。该系统为a t p 中测速 设备的测试提出了一个有效的解决办法，使得设备的验证程序大大简化。它的应 用使得人们不必在现场进行测试，这就降低了测试的费用。而且，测试环境都是 可控、可重复的，这使得不同的解决方案之间可以进行有效的对比。一些极端的 测试环境，比如低粘着力等，在实际线路中不可能出现或是很危险，在这里都可 以容易地进行模拟。 西班牙c e d e xl i f 实验室采用仿真测试方法，建立了e u r o c a b 测试平台，并 开发了一些测试工具，实现了测试序列定义，测试序列生成和查看、测试管理和 5 测试结果分析评估等功能。其实验室车载设备测试平台框图如图卜3 所示。平台 中s g ( s c e n a r i og e n e r a t o r ，场景发生器) 用来产生仿真场景和测试序列；s c ( s c e n a r i o c o n t r o l l e r ，场景控制器) 用这些仿真场景和测试序列来加载各仿真测试节点，控制 仿真测试过程，对仿真测试过程进行实时监控；m e m ( m o d u l ee v e n tr e c o r d e r ，模 块事件记录器) 记录仿真测试过程中各节点产生的重要信息；t a v ( t r i pa n a l y s i s & v a l i d a t i o n ，分析确认模块) 判断这些信息的币确性，并做出分析【i 。 图卜3 两班牙c e d e xl i f 实验室车载设备测试平台框图 f i g u r e1 - 3c e d e x l i fo n b o a r de u r o c a bt e s ta r c h i t e c t u r ei ns p a i n g d en i c o l a t 眩】提出了一种基于白盒测试和黑盒测试的混合测试方法对安全关 键系统进行测试。基本思路是从系统的规格说明书出发，把系统切割成相互独立 的若干逻辑单元，之后对每一个逻辑单元进行测试。在进行测试的过程中，不同 的输入组合将被输入到整个系统的输入接口来对所有逻辑单元进行激励，通过对 系统非破坏性的输出检测，收集各个逻辑单元的测试结果，验证其正确性。该法 能有效减少测试用例的数量，还能实现故障定位，已被应用到e t c s 系统的试中。 国内发展较早的是同济大学( 原上海铁道学院) 的铁道部计算机联锁检验站。 其测试平台主控机可以完成的功能有：自动形成测试序列并驱动测试序列的执行 同时接收完成结果判定的工作，进而完成联锁表的自动测试，对于特殊联锁功能 的测试需要手工完成。目前国内的联锁设备必须经过该测试平台的认证方可上线。 另外北京交通大学运输自动化所也对c b t c 的测试方法进行了初步的研究。 6 例如文献【9 】中提到的c b t c 测试平台搭建工作已经展开，文献 1 3 中提出了混合 测试方法对仿真z c 的测试过程。 1 4 故障注入技术国内外研究现状 故障注入技术首次在国际上提出是在二十世纪七十年代，之后一直被工业界 用来对容错系统的设计和验证。到了八十年代中期，故障注入技术彳作为系统中 容错机制的实验评价方法开始被高校和科研部门采用。进入九十年代之后，该技 术越来越引起众多的研究人员和工程设计者的重视，对故障注入的研究与应用也 随之越发的深入和广泛起来1 1 4 1 。 国际容错年会自1 9 9 1 年，第二十一届开始，以后的每一届会议论文中都设有 故障注入理论讨论组。同时，国际上也召开了很多以故障注入为专题的国际学术 研讨会。随着对故障注入理论研究的深入，越来越多的功能强大的故障注入工具 已投入科研中使用。 在国外，美国的c a l i f o m i a 、c m u 、d u k e 、i b m 、i l l i n o i s 、m i c h i g a n 、n a s a 、 r s t 、t a n d e m 、t a m u 、v i r g i n i a 等以及法图的l a a s c n r s 等大学和研究部门的 故障注入研究工作在国际上处于领先的地位。在瑞典的c h a l m e r s 大学，奥地利的 v i e n n a 大学，德国的d o r t m u n d 、n u r e m b e r g 、k a r l s r u h e 大学等地方也有许多从事 故障注入研究的人员，在英国、日本、意大利、澳大利亚等国也有不少高校和研 究部门从事故障注入研究【1 5 】。 国内的故障注入研究开始于八十年代中期，首先是在哈尔滨工业大学建立了 容错计算机实验室，至今，国内对故障注入方法的研究方面，此实验室依然处于 领先的地位。该实验室先后研制了4 代h f i 型号故障注入器，并投入使用。近些 年来，国内其它高校和科研部门也对故障注入加以重视，清华大学、北京航空航 天大学、航天部5 0 2 所、航天部7 7 1 所，以及中科院上海微系统与信息技术研究 所等部门也都丌始这方面的研究。其中北京航空航天大学研制的z y 1 m 3 型号故 障注入器以及上海微系统与信息技术研究所研制的故障注入器都投入了使用。 1 5 论文的组织结构 本文共由五章组成，其组织结构如下： 第一章综述 本章分析了当- h l f n 控系统仿真测试以及故障注入技术的国内外研究现状，阐 述了c b t c 轨旁设备故障注入测试验证平台的选题背景和研究意义，并概述了本 7 文的主要研究工作。 第二章故障注入技术研究 本章详细阐述了故障注入技术的原理、属性、分类以及主要应用等。并结合 c b t c 系统的特点，提出了适合c b t c 轨旁设备故障注入测试验证的模拟仿真的 方法。 第三章c b t c 系统故障注入研究 本章首先分析了分布式系统的及其故障注入的特点，并将故障注入的理论应 用到分布式的c b t c 系统中，搭建了c b t c 轨旁设备故障注入测试验证平台，并 提出了故障触发和故障注入执行的方式。之后根据各种轨旁设备的工作原理建立 其故障模型，并总结了轨旁设备故障注入的属性，结合被测设备特点生成了测试 案例。 第四章c b t c 系统故障注入测试平台设计实现和验证 本章描述了所丌发的c b t c 系统故障注入控制器、轨旁设备仿真器和列车运 行状态跟踪器的功能需求和设计实现。其中故障注入控制器负责整个故障注入过 程的控制和协调、案例选择和结果分析等，轨旁设备仿真器是故障注入器，列车 运行状态跟踪器是状态监视器。最后，以屏蔽门的故障注入为例，执行整个测试 过程，验证了方法的可行性。 第五章结论与展望 总结全文的主要工作，阐述了本文得出的一些研究结论，分析了本文研究工 作中的不足之处，并对接下来的工作提出了展望。 8 2 故障注入技术研究 故障注入技术作为一种测试技术是指，按照特定的故障模型，用人为的、有 意识的方式产生故障，并施加于待测系统中，用以加速该系统的错误和失效的发 生，同时观测并反馈系统对所注入故障的响应信息，通过分析对系统进行验证和 评价的过程【1 6 】。 2 1 故障注入原理 根据故障注入的概念，故障注入原理可用图2 1 所示的行为循环层次结构模 型进行说明。故障注入的试验过程由以下四个步骤组成：选择故障模型；执行故 障注入；监视系统行为；分析试验结果。其中选择故障模型和分析试验结果是与 试验者直接交互的过程，为离线行为；执行故障注入和监视系统行为与目标系统 直接接口，为在线行为【1 7 】。 图2 - 1 故障注入原理 f i g u r e2 - 1t h e o r yo ff a u l ti n j e c t i o n 2 1 1 试验者和目标系统 除提供用于注入的故障模型和结果分析的度量外，试验者还应利用一定的措 施自动控制由若干次独立的注入试验组成的一个完整的试验过程的进行与终止。 在系统- 丌发过程的不同阶段中形成了故障注入试验中不同类型的目标系统。 包括模拟系统模型和真实系统原型，前者可在不同抽象级别上对目标系统进行模 拟，后者可包括软件、硬件和硬件与软件原型三类。目标系统的类型是影响故障 9 注入各步骤的重要因素。 目标系统应运行某种工作负载。工作负载是指运行于目标系统上的任务或应 用程序的集合。广义地讲，工作负载应包括用户的所有行为、所执行的程序及支 持任务执行的操作系统等，可为真实应用程序、标准测试程序( b e a c h m a r k ) 、综合 测试程序、现场环境模拟程序及用于激活所注入故障的测试数据等类型，应根据 研究目标不同进行适当选择。 2 1 2 选择故障模型 选择故障模型的任务是定义对待测容错机制的输入即故障的构成属性，并将 生成的模型传递给执行注入步骤。试验中选择的故障模型越接近并尽可能覆盖系 统真实运行期间所发生的故障，试验结果就越精确。如图2 - 2 ，应尽可能使表示 覆盖率的i en 最l i 疋l 增大和使表示开销的l 鼻l - l 巧n 疋l l e l 减小。 注入的故障实际发生的故障 图2 - 2 故障模型的选择 f i g u r e2 - 2c h o o s ef a u l tm o d e l 目标系统类型、注入方式、度量结果等影响故障模型的确定。穷尽注入因故 障集的庞大和时f 日j 花费过多而无法实现。因而必须采用一定策略选择所有可能发 生的和可以注入的故障的一个子集进行故障注入研究。随机抽样是一种简单易行 的策略，但其结果有可能因不够精确或严重偏差而无法接受。多级抽样、分层抽 样及典型抽样等抽样技术已被广泛应用于选择故障模型的过程中。 2 1 3 执行故障注入 该步骤接收“选择故障模型”步骤中生成的故障模型并将该模型转换为可应 用于故障注入的故障形式，而后选定恰当的注入方式将故障旌加于目标系统。注 入方式的选择取决于目标系统的类型：系统模拟模型或真实系统原型。 目标系统模拟模型决定了模拟注入方法的使用。模拟方法可以比解析模型更 1 0 为细化描述复杂的系统，无需因可处理问题而进行简化和假设。同时，模拟注入 还具有能访问在原型阶段无法访问到的内部结点、注入监控更精确容易、早在设 计阶段便可进行试验等优点。 当目标计算机系统为真实的系统原型时，物理故障注入方法可适合测评系统 原型的可信性特征。物理故障注入方法使注入实际故障成为可能，同时也可以测 试容错机制的实现。物理故障注入方法一般均需要构造一个包含监控试验过程的 组件和故障注入器的故障注入环境，其中故障注入器可通过硬件、软件、辐射源 等方法实现。 2 1 4 监视系统行为和分析试验结果 试验者总是在形成试验意图和目标之后进行试验。分析试验结果阶段是一次 完整试验过程中向试验者提供其预先指定的试验目标的最后步骤。同时，该步骤 也是一个回答“试验是否可以终止 问题的一次完整试验的中间步骤。一次完整 试验包括一系列独立的故障注入试验，每一次独立试验均包含故障注入原理所阐 述的四个步骤。当每一次独立试验进行至分析试验结果阶段时，该步骤判断是否 可以终止试验。判定的依据可以是置信区问是否满足、欲获得的概率分布是否稳 定或参数是否达到某一预定阈值等。若试验可以终止，则该步骤总结并分析以前 所有独立试验结果，从从而得出试验者的目标。分析试验结果经常需要概率统计 方法，以分析和综合由多次独立故障注入试验获得的结果。 试验者提供的目标可以根据研究意图的不同而显著不同，因而试验结果也可 以是从定性评价的“通过失败”至定量评价的某种参数的数值或分布规律等多种 多样。通常可包括：r ( t ) a ( t ) 、m t t f m t b f ：覆盖率( c o v e r a g e ) 和潜伏期( ! a t e n c y ) 分析被注入故障是如何影响目标系统的失效分类研究；分析某种局部故障是如何 影响其它组件的错误传播研究；可信性或故障与计算负载特性之间关系的