电气泰雷兹CBTC信号系统魔鬼车问题的设计和解决方案
2020-08-10赵正栋
赵正栋
摘 要:介绍了上海电气泰雷兹CBTC信号系统的特点和知识,引入魔鬼车问题,给出TST的设计和解决方案,阐述了软件的逻辑和算法及软件适用的边界及优化,给出了安全分析,结合这个案例和TST相关流程给出开发设计管理的一些思考。
关键词:CBTC ; ZC; MAU; 幽灵车; FO; NCO; 区段
Abstract: This paper introduces the characteristics of TST CBTC signal system and some knowledge of CBTC signal system, introduces the Ghost Train problem and gives the design and solution of TST, expounds the logic and algorithm of software and the boundary, some thoughts on software development and design management are given.
Key words: CBTC (communication based train control); Interconnection; Zone Controller; Movement Authority Unit; Ghost Train; Failed Occupied; Non Communicating Obstruction; Block
1上海电气泰雷兹CBTC信号系统介绍
上海电气泰雷兹的CBTC信号系统有如下特点:安全可靠:从基础传感器、接口设备、处理器、子系统到通信网络等多层次的冗余设计,确保了系统的高可用高可靠;以集成的方式管理联锁,通过通信列车的位置报告来优化联锁和道岔控制逻辑;DCS独有的数据加密为系统提供更高的安全保障。灵活高效:通过移动闭塞技术缩短间隔,提供了列车全自动运行控制,提供了“不动手”的操作方式,可实现最高级别的自动化水平;中央冗余+本地ATS三重冗余的结构实现了对线路运营的高效指挥。ATS支持正常情况下不需值班员介入的全自动控制;允许任意地点换端的完全的双向CBTC运行,无需依赖于额外的反向信号机;支持双端车载冗余架构,任意一端车载可以单独双向控车。绿色经济:减少了列车运行能耗,给既有及未来的客户带来更多收益;为了满足运营高峰及非高峰时段的节能要求,提供可选的最小化牵引功率方案。上海电气泰雷兹提供全生命周期的本地实施运维支持,以及国内先进的委外代维保服务,为客户实现更优的全生命周期高可靠服务。
1.1电气泰雷兹信号系统知识准备
上海电气泰雷兹的CBTC信号系统使用最少的地面和车载硬件实现列车自动防护 (ATP) 、列车自动运行 (ATO) 和列车自动监控 (ATS) 的功能,并实现预期的列车运营间隔。该移动闭塞系统通过车载、地面及联锁的安全性 (冗余校验) 计算机系统来实现列车的安全间隔、联锁控制和列车速度限制。无线CBTC移动闭塞系统的软硬件设计和开发过程将严格遵循安全性原则。CBTC贯彻了与传统联锁系统相同的原理,并提供了相同级别的安全性。
区域控制器(MAU、PMI)提供联锁功能,是在CBTC模式和后备模式下运行的轨旁系统。正线计算机联锁子系统设备称为PMI,核心为二乘二取二(2oo2)的冗余系统。系统的安全基于二取二的MCCS安全架构,包括:独立的处理通道:获取双重的输入,双重的计算单元,和双重的输出管理。一个动态表决系统以验证双机的一致性。双重的二取二架构以增强系统的可用性。ATP系统的功能由两类设备完成:车载ATP设备(VOBC)和轨旁ATP设备(ZC),VOBC周期性地确定列车的位置,并且向ZC发送位置信息以及列车行驶方向。ZC基于周边线路的当前状态、列车当前位置、行驶方向、以及进路等为其辖区内的每列列车计算LMA。VOBC根据ZC提供的LMA持续的计算制动曲线,以保证列车始终能够在轨旁设备(ZC)提供的移动授权权限(LMA)范围内停车。ATP系统监督列车每侧车门及对应屏蔽门的关闭和锁闭状态。当列车在车站对位停车后,ATP系统将会根据车载线路数据库和列车行驶方向向正确侧门(车门和屏蔽门)发送使能信号。此外,ATP系统还提供倒溜保护、无意识移动防护、牵引受阻防护、超速监控防护、列车完整性监控防护。在点式ATP模式下,VOBC将会提供连续的速度监督,并对列车测量速度和最大允许速度进行连续比较,如果超过最大允许速度列车将被紧急制动。最大允许速度是根据土建限速、其它限制条件计算得出的。点式ATP系统也提供倒溜防护和监控列车没有冒进红灯。当一列车失去通讯,ZC将继续保护该列车,与该列车有关的联锁功能将依据传统的固定闭塞原则而不是移动闭塞原则。
1.2幽灵车问题的引入
上海电气泰雷兹专为中国大陆城市轨道提供的CBTC信號系统,已经为上海,北京,广州,武汉,南京等15座城市,30多条线路,超过1400公里的城轨线路保驾护航。有轨道业主反映,在一些极端或者管理不善的情况下,有些客户会用极端方式把不是本轨道线路的装备的车辆引入本线路进行非营运期间调试试车等,信号系统无法追踪这辆车,此时这辆车就是幽灵车(Ghost Train),有机会带来很多重大安全隐患。
1.3幽灵车问题分析设计
VOBC以一个固定的频率报告给MAU位置,PMI也以一个固定的频率报告给MAU每个Block的占用状态,正常状态下轨道上有装备车和Block重叠即装备车在Block上,Block才是占用状态(Occupied),相反既是空闲状态(Vacant)。当PMI报给MAU某个Block是占用状态而不是NCO同时MAU根据VOBC报给MAU的所有装备车的位置根据相应算法算出没有车在这个Block,即这个Block是错误的占用(Failed Occupied)FO;正常场景下非通讯车和非装备车会以NCO的方式被信号系统追踪,但是极端场景下非装备车会没有生成NCO,即是幽灵车。当这辆车存在系统里时候就是一个重大安全隐患。要求客户严格按照操作手册进行规范操作,从源头上把这个问题消灭掉。
上海电气泰雷兹提供通过轨旁软件来追踪移动的幽灵车方案如下图;同时对于追踪不了的NCO通过关闭相应的轨道来解决。
1.4幽灵车问题软件实现方案
幽灵车问题软件实现方案是在MAU代码里每个周期都遍历所有的Block和及其相邻的Block状态,按照下图的状态机最终相邻的Block生成NCO。
1.5软件实现方案的算法
此方案的最终目的是通过移动的FO产生NCO把车追踪回来,但是轨道拓扑图复杂多样的,特别是每一个Block包括零到两个Switch,这个时候就需要提供一个算法来找到要相邻的Block Segment来最终找到相邻的Block来在满足逻辑的时候生成NCO,相应算法如下图:
1.6软件实现方案及算法的边界和优化
各个城市的每条地铁的正线和车辆段的轨道布置多种多样,我们在软件实施中发现算法都有其执行的前提条件和场景,当前提条件和场景不满足时候算法就会出错,所以我们理清楚轨道拓扑图和需求后,就会理解方案及算法的边界,所以对于每条地铁线在实施这个方案的时候,都要研究清楚轨道的拓扑图,然后对方案及算法进行相应的优化。
2幽灵车问题设计的安全分析
上海电气泰雷兹的CBTC信号系统的联锁、ATP子系统及其双方之间的接口安全完整性水平达到SIL4级(或相当于SIL4级),整个信号系统设计的安全完整性水平(SIL)达到4级(或相当于SIL4级)。对于移动授权的决定和执行模块,首先,轨旁移动授权单元(MAU)会以列车实际位置为起点,计算连续的移动授权直至前方最近的障碍物,前方障碍物可以是通信车、非通信车或非通信障碍物等,但不包含信号机;而后,车载控制单元(VOBC)会根据列车实际位置及轨旁实时发送过来的连续移动授权范围,计算本时刻列车可以运行的最高限速,并据此控车,该限速防护可以确保在最不利情况下,列车也可以停在移动授权范围内,而不会撞上前方障碍物。因此,对于受控车而言,列车并不需要依靠信号机行驶,而是通过轨旁MAU实时发送的连续移动授权控车运行,而连续移动授权的终点可以实时跟着前车车尾位置(及考虑相应的位置不确定性、倒溜及安全余量)进行延伸或回撤。ATP固定限速人工模式列车进入限制人工向前模式。司机必须按运营规则驾驶列车。对于本方案追踪回来的车及关闭的轨道都是移动授权的障碍物,有效的降低了风险,使系统在一个很高的安全等级运行。
3本设计方案实施的思考
在本方案设计和软件实施過程中,由于场景复杂、牵涉的知识面太广而复杂,给设计和软件开发及管理带来很大挑战,这就要求技术精湛、管理流程完备而且全覆盖,上海电气泰雷兹很好的接受了这一挑战,给客户带来了更安全高效的CBTC信号系统,很好的践行了乐享出行,只因有我的企业使命。
参考文献:
[1]上海电气泰雷兹. CBTC signal system Technical Specification Volume II
[2]上海电气泰雷兹. EG-WI-1010-Software Development Lifecycle