梁志国

(中国铁道科学研究院通信信号研究所 北京 100081)



车辆段计算机联锁系统全电子化研究

梁志国

(中国铁道科学研究院通信信号研究所 北京 100081)

基于控制技术、电子技术及自动检测技术的发展，提出用电子执行单元取代车辆段计算机联锁执行层的采集/驱动板和继电接口电路方案，实现计算机联锁的全电子化。对全电子化后的功能结构进行详细说明，并介绍全电子化后的联锁双机与电子执行单元的信息交互方式，列举为提高电子执行单元的安全性、可靠性在软件、硬件方面所采取的防护措施，证明全电子化联锁在维护性、扩展性、安全性方面与计算机联锁相比更有优势，是联锁系统发展的方向。

车辆段；计算机联锁；电子执行单元；故障-安全；城市轨道交通

车辆段计算机联锁系统是利用计算机对信号员的操作命令及车辆段内设备状态显示的信息进行逻辑运算，实现对道岔、信号机等设备及进路的集中控制，使其相互制约[1]，保障地铁运行安全，提高地铁运行效率。从20世纪80年代开始研制，经过多年发展，计算机联锁系统尤其是联锁平台及其核心软件已经成熟、稳定，在地铁信号系统中广泛使用。由于当时电子技术的限制，计算机联锁与道岔、信号机等轨旁设备的接口电路仍为继电方式[2]，随着控制技术、电子技术及自动检测技术的发展[3]，电子执行单元可取代继电接口电路，直接控制轨旁设备。

1 电子执行单元介绍及对比

根据控制对象的不同，道岔、信号、轨道、电码化、场间联系、闭塞、零散、通用输入、通用输出等电子执行单元模块[4]可完全取代继电接口电路功能，且电子执行单元智能化、模块化程度高，相比继电接口电路具有以下优点：

1) 当继电接口电路发生故障时，需要对电路有丰富经验的专业人员人工判断，对继电器还要定期维护，且维护工作量大；当电子执行单元发生故障时，系统能够精确定位到板级，不需要人工判断和处理，直接更换对应故障板卡即可，且支持带电插拔，维护简单；

2) 继电器体积大、配线多，现场施工质量直接影响计算机联锁的稳定性；而统一放置在机柜中的一个执行单元可取代组合架一层接口电路，体积却只有其1/20，占地面积极小，更有利于安装和维护，且执行单元为工厂标准化生产，无需现场配线，系统扩展非常容易，同时能杜绝现场的“封连线”，质量可控，可显著提高系统的稳定性和安全性；

3) 继电器只有“0”和“1”两个状态，逻辑功能由多个继电器组成的电路完成，复杂的逻辑判断无法完成；执行单元由智能CPU控制且有完善的检测手段，逻辑能力强，不仅能判断出非法状态，还能检测出外部混线，可大幅度提升故障检测水平和安全冗余能力;

4) 随着维护管理的需要，依托继电接口电路增设了很多信息化设备，但接口电路未对新引入的设备进行适应性修改，存在安全隐患。例如：设计中没有对道岔电路采用任何的防雷器件和电路，曾发生过因新增道岔表示电压检测电路而使道岔误动的危险情况。而在设计执行单元时已经对电子器件的安全特性、抗干扰能力以及雷击强电侵入等隐患进行过全面的分析，在设计之初就已经将风险源关闭，安全性、可靠性更高。

2 适配修改

车辆段配置的计算机联锁按照功能层次可划分为人机交互层、联锁主控层、联锁执行层和轨旁设备接口层4个功能层次[5]。其中联锁执行层是由采集及驱动继电器的采集板、驱动板组成，一般通过现场总线与联锁主控层连接。将计算机联锁主控层与执行层连接的总线接口变更为2个CAN总线接口，用电 子 执 行单元全面取代执行层和轨旁设备的继电接口电路，以联锁主控层为主、多个电子执行单元为从，实现计算机联锁系统的全电子化。同时电务维修机增加2个CAN总线接口，用来记录联锁主控层与执行层电子执行单元的命令及状态信息，以备故障时查询。

图1 计算机联锁全电子化前后的系统结构对比

计算机联锁全电子化后按照功能层次同样可划分为人机交互层、联锁主控层、联锁执行层和轨旁设备接口层4个功能层次，只是联锁执行层和轨旁设备接口层与原来大不相同。对比图1介绍全电子联锁的功能层次。

1) 人机交互层。人机交互层通过热备的两台监控机和单元台，与联锁主控层以通信方式交互信息，向值班员提供车辆段站场的状态，接受值班员的操作命令，给出相关的提示和报警。同时还有一台电务维修机将站场状态信息和操作命令,联锁系统的状态和故障信息,以及电子执行单元的命令和状态变化信息进行不间断的记录储存，为故障原因的分析、查找及处理提供完整的记录数据。计算机联锁的全电子化对此层影响较小，仅增加与电子执行单元相关的错误提示和记录数据。

2) 联锁主控层。联锁主控层通常也称作逻辑层，是整个联锁系统的核心，主要完成对安全平台各部分接口的控制调度处理，包括与人机交互层、联锁对外接口等通信协调调用，同时还运行联锁软件，进行联锁逻辑运算。此软件是整个联锁系统的核心，对行车安全至关重要。计算机联锁全电子化后只增加与执行层的电子执行单元通信接口调用，并完成全电子化适配前由继电电路实现的部分逻辑功能。全电子联锁不改变计算机联锁的核心联锁软件，完全继承了联锁软件的优点。

3) 联锁执行层。联锁执行层受控于联锁主控层，计算机联锁全电子化将原执行层以弱电采集及驱动继电器为对象的输入、输出单元，替换为能够直接以强电驱动道岔转辙机和信号机，并直接进行状态采集的电子执行单元，同时将原轨旁设备接口层继电电路完成的部分逻辑功能转移至执行层，由电子执行单元完成。

4) 轨旁设备接口层。全电子化适配后已基本取消轨旁设备接口层，其电路的功能转移到联锁主控层和联锁执行层，仅余下联锁执行层到室外设备的接口电缆，此处为对照方便仍然保留对轨旁设备接口层的划分。

3 适配分析

计算机联锁全电子后没有改变计算机联锁的主控层结构，仍为主流应用的双机热备或者二乘二取二结构，两台联锁机同时工作，其中一台联锁机为主机，另一台联锁机为备机并保持在热备状态，有效提高系统的可靠性，其中每台联锁机仍然为主机、备机、脱机、联机4种工作状态[6]。系统工作时只有联锁机主机向电子执行单元发送命令信息，联锁机主机和备机同时接收电子执行单元的状态信息并进行联锁逻辑运算。当联锁机主机发生故障时，原联锁机备机由备机状态转为主机状态，自动升为联锁机新主机，并接替原主机向电子执行单元发送命令信息，不影响联锁系统的使用，原故障联锁机由主机状态转为脱机状态，只接收电子执行单元的状态信息。当处于脱机状态的联锁机修复后会由脱机状态转为联机状态，同时接收电子执行单元的状态信息进行联锁逻辑运算，并与联锁机主机通信，当其与联锁机主机逻辑运算状态一致时，工作状态由联机状态升为备机状态，并保持在热备状态。各工作状态与电子执行单元通信的关系如图2所示。

4 软件实现与防护

计算机联锁全电子化后，在联锁核心程序中需要增加对电子执行单元的通信接口，即将全电子化前对输入/输出接口的程序调用替换为对电子执行单元通信接口的调用，如图3所示，此接口可完成与电子执行单元通信的发送、接收，主要功能归纳如下：

1) 将联锁主控层的驱动命令和电子执行单元的状态信息按照协议转换成电子执行单元和联锁主控层可相互识别的信息；

2) 发送、接收电子执行单元的命令及状态信息；

3) 全电子化前由继电接口电路完成的部分逻辑功能。

图3 与全电子执行通信接口调用

联锁主控层与电子执行单元的安全通信是确保全电子联锁安全使用的关键。通信的安全防御措施主要有以下几方面：

1) 采用双通道方式，当双路总线命令或状态数据一致才认为命令或状态有效，当发现双路数据不一致时，置为故障状态[7]；

2) 通信数据包应有CRC(循环冗余)校验和序列号[8]，且两路信息采用不同的CRC校验算法，当校验不通过或发现序列号不对时，立即将相关信息置为安全侧；

3) 通信数据中包含模块类型和故障错误码信息，当主控层与执行单元发现模块类型出现错误或者故障错误码信息时，立即将相关信息置为安全侧，这样可有效防止维修中更换模块错误，出现未知错误的可能性；

4) 发送的命令信息和接收的状态信息为编码信息[8]，且分别以正码、反码存储，同时存储在相隔的数据缓冲区，当编码信息和正码、反码校验不通过时，立即将相关信息置为安全侧；

5) 联锁主控层与电子执行单元之间在连续3 s的通信周期内接收不到相互间的通信信息，立即将相关信息置为安全侧，且判断通信中断3 s的关键计数缓冲区为双份，防止关键计数器因内存错误一直不能累加，造成信息保留。

通信软件处理流程如图4所示，通过以上措施，可有效防护主控层和执行单元间通信存在的重复、插入、错序、延时、损坏等安全风险[9]，保证联锁与电子执行单元传输信息的安全，提高系统的可靠性及安全性。

图4 通信软件处理流程示意

5 硬件防护

计算机联锁全电子化后由电子执行单元直接控制道岔、信号机等轨旁设备，电子执行单元已是系统的关键设备，直接影响系统的安全性、可靠性。EN50129标准对传统的故障安全原则进行了扩展，并引入到可编程电子系统领域，在功能安全、故障的影响和失效-安全以及通过技术措施防护系统故障等多个层面，都给出了相关电子系统的安全设计与实现原则。电子执行单元的设计完全遵循此标准，采用了组合式故障-安全、反应式故障-安全和固有式故障-安全等多个安全技术，使系统安全完整性等级达到了SIL4级[10]。具体的防御措施主要有：

1) 采用双CPU结构，每个CPU通过独立的现场总线与主控层连接，分别接收并比较主控层发来的控制命令，当命令一致时才会执行，否则自动停止输出[11]；

2) 采用控制电路双断和双硬件校核等技术，每个控制点采用双电子开关冗余配置，由两个CPU独立控制，只有双电子开关同时打开时，控制电路才会输出，任意一路控制电路或采集电路发生故障后，通过相互比较和校核，均能被立即发现；

3) 采用闭环控制方式，通过回读电路将输出的结果读回并与输出命令比较，当没有命令而发现有输出时，立即切断模块的驱动电源；

4) 具有过压、过流自动保护和在线自诊断功能，当执行单元过压、过流时，模块自动停止输出，同时诊断出故障点是模块自身还是在室外设备，保证系统输出部分的故障安全；

5) 具有二级防雷保护功能，第一级为防雷分线柜，第二级为执行单元内的防雷模块。当防雷系统失效时，执行单元自动停止输出并报警；

6) 对于系统电源等关键部位采用硬件冗余结构，任何单点故障都不影响系统的工作。

6 结语

电子执行单元经过多年发展，已经相对完善、稳定，相比继电接口电路具有安全性高、可靠性高、体积小、便于系统功能扩展、维护工作量小等优点，目前已应用在哈罗线、宝中线、阳安线、甘泉线等国有铁路线的200余座车站中，应用效果良好。车辆段信号联锁系统的技术要求与国有铁路十分相似[12]，其计算机联锁系统的全电子化也是车辆段联锁的发展趋势。全电子化后可有效解决传统计算机联锁系统中还需要较多继电器带来的不便，同时对计算机联锁系统的影响仅局限在联锁主控层与电子执行单元的接口方面，对其他层次影响较小，能将既有成熟联锁系统和电子执行单元两者的优势结合起来，是工程实施中比较可行的方案。

[1] 王乐.车辆段计算机联锁系统简介[J].城市建设理论研究，2014(8).

[2] 牛宝明.全电子计算机联锁系统的研发[J].铁道通信信号，2012，48(10)：6-10.

[3] 陈光武.轨道交通安全计算机系统及安全控制机制关键技术研究[D].兰州：兰州交通大学，2014.

[4] 郭阳.全电子执行模块在信号计算机联锁工程设计中的应用[J].铁道标准设计，2010(4)：116-118.

[5] 中国铁路总公司.计算机联锁系统[M].北京：中国铁道出版社，2015：29-33.

[6] 梁志国，刘鹏，徐德龙.基于通信方式实现的超大规模站场联锁系统解决方案[J].铁道通信信号，2014， 50(12):25-26.

[7] 国家铁路局.铁路车站计算机联锁技术条件：TB3027-2015[S].北京：中国铁道出版社，2015.

[8] 孙鑫.轨道交通全电子化联锁系统安全技术的应用探讨[J].无线互联科技，2015(23)：54-55.

[9] CENELEC.Railway Applications：Safety Related Electronic Systems for Signaling.BS EN 50129：2003[S].British：European Committee for Electro technical Standardization，2003.

[10] 许丽，苏思琦，旷文珍.全电子计算机联锁系统的通信协议设计及安全性分析[J].中国铁道科学，2012，33(6)：84-87.

[11] 杨婉霞，邓志杰，孙理和，等.基于全电子执行机的场间联系模块的研究[J].微计算机信息，2007，23(10-2):298-300.

[12] 窦伟.计算机联锁系统在地铁(轻轨)车辆段的应用[J].铁路计算机应用，2002，67(10)：21-23.

(编辑：王艳菊)

Metro Depot’s Computer Interlocking System Adapting to Electronic Executive Unit

Liang Zhiguo

(Communication and Signaling Research Institute, China Academy of Railway Sciences, Beijing 100081)

This paper presents a scheme of realizing full-electronic computer interlocking system by using electronic executive unit to replace the I/O board and relay of metro depot's computer interlocking system. The paper offers a detailed illustration about functional structure of full-electronic computer interlocking system. Meanwhile, the paper analyzes the way of information interaction between two interlocking computers based on full-electronic computer interlocking system and electronic executive unit.The protecting measures in software and hardware's maintenance are listed, which are adopted to improve the safety and reliability of electronic executive unit. Compared with computer interlocking system, full-electronic computer interlocking system has more advantages in maintainability, extensibility and safety. It is the direction of the development of computer interlocking system.

metro depot; computer interlocking; electronic executive unit; fail-safe; urban rail transit

10.3969/j.issn.1672-6073.2016.04.013

2016-02-29

2016-03-15

梁志国，男，本科，助理研究员，从事交通信息工程及控制研究，liangzhiguo@139.com

铁道部科技研究开发计划(2011X009-A)

U231.7

A

1672-6073(2016)04-0059-05