劳 洋

（西门子信号有限公司，西安 710016）

1 概述

中国的城市轨道交通系统在城市绿色环保的交通需求和技术进步的推动下，近些年得到飞速的发展，由于技术的进步促进并产生了更加可靠和低维护的设计原理，使设备在使用的可靠性方面有了大幅度提高，同时也有效地降低了维护人员的数量和工作量。西门子信号TrainGuard MT系统在针对设备可靠性方面提供了一整套的设计方案，其中设备冗余即基于此方面考虑满足了稳定和低维护的要求。

目前，在中国国内采用此原理开通运营的项目有北京十号线（含奥运支线）、广州四号线、广州五号线、广佛城际地铁、南京二号线、苏州一号线和重庆一号线。

本文主要介绍西门子信号T rainGuard M T系统车载设备头尾冗余原理。

2 头尾冗余原理

西门子T ra in Gu a r d M T系统的车载控制单元（OBCU）在列车两个车头各有一整套独立的设备，两套设备之间由通信和数字信号连接。列车在正常运行时，列车受到冗余环境中的前端驾驶室列车自动驾驶（A TO）设备的控制和列车自动防护（A TP）设备的监督。后端的车载控制单元处于备用模式。在发生故障时，控制功能被切换到另一个（后端）车载控制单元，之前工作的（前端）车载控制单元进入备用模式。

因此，两端的车载控制单元接收来自两个驾驶室的按钮、开关和接点的所有输入。如果A TP检测到内部故障，则会立即切断其安全输出。在切换到另一套车载控制单元后，列车将以同样的运行模式继续运行。为了提供一个热备的A TP冗余模式，两端A TP的输出需要相互连接起来，图1所示为头尾冗余的车载信号系统配置。

这里假设列车控制器通过列车内部总线给两套车载控制单元提供所有的输入，如“车门关闭表示”等。同样，车辆控制器也接收所有车载控制单元给车辆接口的输出。

3 车载系统冗余的设备

车载控制信号系统的冗余配置应由两套单一的车载控制单元组合而成。在基本列车配置中，车载控制单元应被分别置于列车的两端。

每套车载控制单元内部和外部的配置需求如下。

1）每套车载控制单元应具有自己的传感器组（雷达和测速传感器）。

2）每套车载控制单元都应具有到列车控制的数据接口，车辆应将这些输出合理合并。后备的车载控制单元的输出应全部切断。在冗余的情况下，应使用后端的车载控制单元来监督和控制列车。

3）应将每个驾驶室的数字输入和输出（比如按钮和灯）连接到每个车载控制单元。这意味着前方的驾驶室也要被连接到后面的车载控制单元。两个车载控制单元的输入和输出不可相互干扰，以确保冗余的状况下也能正常工作。

4）每个车载控制单元都应具有与PIS/TMS和RCS的自身接口。

5）应将每个车载控制单元连接到两个HMI显示屏。

在一个冗余车载控制单元配置中，两个OBCU提供输出信号到列车控制单元。这些信号应按照逻辑“或”的方式连接。也就是说，如果一个车载控制单元触发紧急制动，而另一个车载控制单元没有触发紧急制动，结果应该是触发列车紧急制动。

4 车载系统冗余的实现

正常运行下，前端的OBCU通过ATO控制和A TP监督列车运行。后端的车载OBCU处于备用模式。通过驾驶室的转换，后端的OBCU取得控制权，而前端OBCU将切换为备用模式。下面将以具体的数字信号为例,来介绍车载信号单元与车辆相关接口的逻辑连接方法，帮助读者更深入了解设备冗余的实现方案。

4.1 来自驾驶室的数字输入

数字输入信号均在两套车载控制单元中读取。图2所示如何连接来自另一个驾驶室开关的数字安全输入信号。两个车载控制单元都需要所有的信息。因此，必须知道司机在哪一个驾驶室。出于安全原因，只有司机所在的驾驶室才能设为主驾驶室。无司机驾驶室内的任何操作都应保持无效。因此，每个车载控制单元内部均有一个选择开关。该选择开关可以通过司控器钥匙开关的输入进行驱动，以实现输入信号的选择。图2中的数字安全输入信号在OBCU机柜内部将会合并。

由于电压不同，来自驾驶室的安全信号输入必须是独立的，并避免受到其他电路的干扰。

图3所示为非安全输入信号的主要接线方案。两套车载控制单元都读入非安全输入信号，另一端驾驶室的任何操作都应保持无效。与数字安全输入不同的地方是,数字非安全输入每路信号只需要单触点，而且数字非安全输入信号的合并在OBCU机柜外部。

4.2 到驾驶室的数字输出

两套车载控制单元的数字输出信号，如“A TO启动灯和自动折返表示灯”等，都应连接到驾驶室。每套车载控制单元都有两路独立的输出。为了避免两个不同信号源间的相互连接，OBCU_A TP会切断处于非工作状态车载控制单元的OBCU_ATO输出信号。图4所示为输出信号的相互连接。

4.3 来自车辆控制器的数字输入

来自车辆的OBCU数字输入信号将会与A TP和A TO直接连接，这些信号的配线方式可使两端的OBCU机柜都能读入。同时车辆应确保到达两个车载控制单元上的信号相同。

4.4 到列车总线的数字输出

数字输出信号，如“开启左侧车门”等，应被直接连接到列车控制器接口。车辆供应商应通过内部的列车控制器将输出信号连接到两端的驾驶室并应确保信号之间不会相互影响。

两个OBCU_ATP的安全性输出应按照保证每个OBCU_ATP随时可以影响安全环路的方式连接，信号的安全特性必须予以考虑。

4.5 OBCU机柜内部冗余状态连接

在OBCU机柜内，车载信号系统提供了一个冗余状态读取信号，每个OBCU机柜内部提供一个触点给另一侧机柜。如果发现本端触点断开，则表示本端机柜发生故障，OBCU则进行冗余自动切换。图5所示为两个车载控制单元冗余状态连接原理图。

*冗余状态“入”

该信号是来自另一个OBCU的信号，它表示另一个OBCU的冗余状态（或是否开启）。当另一个ATP设备控制列车时，该信号会启用，表明本端机柜处于热备状态。

*冗余状态“出”

该非安全输出触点连接到另一个OBCU，当本端OBCU_ATP监督列车时，该触点被吸和，表明本端机柜处于工作状态。

5 结语

通过上面的电路分析可以看到，车载信号系统在应用了头尾冗余功能后，两端的OBCU都得到来自两个驾驶室的按钮、开关和接点的输入。无故障的情况下，后端A TP跟随前端ATP的输出。每个“二取二”的车载A TP通过安全的方式进行单独的输出。如果A TP检测到一个内部故障，就会切断它的安全输出，而其他的A TP仍维持在一个安全的状态。为了提供一个冗余的A TP功能，两路ATP的输出必须连接在一起。

如上所述，A TP车载计算机单元是备用冗余的，这种结构提供下列方式的冗余。

1）在前端车载计算机单元故障的情况下，后端的车载计算机单元自动取得控制权。司机的HM I、与前端驾驶室的ATO和ATP相关的信息保持不变（如按钮和开关），将会和以前一样的方式使用。在这种情况下，所有的信息链接到后端的车载计算机。

2）在前端测速电机、测速雷达、通信系统故障情况下，ATP自动切换至后端车载计算机。在这种情况下，后端的车载计算机取得控制权，并使用链接到后端车载计算机单元的来自系统的信息。司机的HM I、与前端驾驶室的按钮和开关的操作将保持不变。在这种情况下，所有的信息链接到后端的车载计算机。

[1] 林瑜筠．城市轨道交通信号[M]．北京:中国铁道出版社．2008．

[2] 西门子信号有限公司．西门子地铁信号和车辆接口描述．2008．