侯大山 郑理华

列车运行监控装置（LKJ）是安装在机车、动车组上用于防止冒进信号和超速事故，辅助机车、动车组司机操纵列车的重要运行控制设备［1］。目前国内约2.1万辆机车和1 000多列运行时速为250 km的动车组列车装备了LKJ，运行范围十分广泛［2-3］。随着我国铁路网的不断完善，铁路运营和管理技术不断提升，对铁路运营的高效性和安全性要求也不断提高，原有LKJ的硬件和软件架构已经很难通过扩充和修改来满足日益复杂的铁路运输条件。为此，在充分考虑不同运行场景、不同线路条件和不同类型列车对列控系统的需求下，新一代LKJ系统在安全性和功能性方面采取了多种措施，进行了全面升级。

1 现状分析

1.1 存在的问题

目前LKJ系统在应用过程中存在以下问题。

1）虽然考虑并满足了列车运行安全的功能需求，但并未明确安全完整性等级要求。目前国内CTCS-2、CTCS-3级列车运行控制相关系统均已采用安全计算机技术，应用三取二或二乘二取二安全冗余架构［4-6］，其安全完整性等级达到了SIL4级。因此，新一代LKJ系统也应采用安全冗余架构。

2）控车主要依靠LKJ数据完成，主要包括基础数据和临时限速数据。目前LKJ数据更新主要通过人工换装，在时效性、安全性上难以保证，存在错装和漏装的风险［7-10］。而且换装过程涉及多个部门间的沟通协调，应急换装时效性不高。

3）LKJ控车过程对司机的控制水平依赖较高。随着铁路网的不断扩张和运力不断增强，货运机车、动车组列车、重载列车和中欧班列等不同类型的列车，在不同线路大范围运行和周转，存在着人工办理进站时间长、列车平均速度低和对标停车不准等问题，影响铁路运输效率。

1.2 设计思路

针对以上问题，新一代LKJ系统主机单元采用二乘二取二安全平台架构，以满足系统安全完整性等级SIL4级的要求；在确保安全、可靠的前提下，新一代LKJ系统通过无线通信网络与地面服务器连接，并进行数据交互，实现数据远程无线升级，解决现有数据换装存在的问题；基于LKJ辅助驾驶系统，可辅助司机操纵列车的牵引与制动，司机负责监视并确保列车的安全运行状态。在保障列车运行安全、平稳的条件下，实现列车正点、节能运行，减轻司机劳动强度。

2 系统架构设计

新一代LKJ系统由主机单元、扩展单元、DMI单元、应答器信息接收单元、无线换装地面系统、测速雷达、司法记录器、速度传感器、压力传感器和辅助驾驶单元等构成，其系统架构见图1。

主机单元采用二乘二取二（D2V2）安全计算机，由2个二取二（2V2）单元组成，每个2V2独立采集速度、管压和工况等信息，分别计算结果并比较，最后输出执行命令。

扩展单元由热备冗余和非冗余部分构成，通过安全通信插件与地面系统通信，实现远程数据换装（揭示数据、基础数据、运行记录）；通过接口模块与辅助驾驶单元进行数据交互，在LKJ安全防护下，实现列车启动、区间运行、停车及运行调整等辅助驾驶功能。扩展单元同时采集鸣笛、电喇叭等IO量信号、平面调车编码信号，并传输给主机单元。

3 功能实现

3.1 二乘二取二安全平台

新一代LKJ系统主机采用二乘二取二架构，见图2。

3.1.1 二乘设计

新一代LKJ系统的二乘逻辑遵循双系热备的设计原则；双系的A系和B系是结构和功能完全相同的2套运算和执行单元，通过相互隔离的通信通道输出计算结果，互不影响；考虑单套系统所能达到的所有功能需求，以及软件维护的成本和工作量，安全逻辑单元同时满足单系和双系系统；安全驱动单元根据接收到的制动信息，输出对应的驱动信号，控制安全执行单元；安全执行单元包括2路独立的得电和失电制动输出电路，系统的两系都能各自输出得电或失电紧急制动，但只有当两系同时输出得电或失电紧急制动时才有效；如果其中任意一系出现故障，则该系进入安全状态并切换到另一系工作。

3.1.2 二取二设计

每一系又由2套完全相同的CPU构成，只有当2个CPU的运算结果比较一致后，才对外输出，否则不输出并且将系统导向安全状态。新一代LKJ系统的安全逻辑单元CPU之间能够进行通信和时钟同步，将采集到的信号进行处理、交互同步和逻辑运算，计算的结果比较一致后，安全逻辑单元将制动控制命令通过隔离的CAN通信方式，传输给安全驱动单元，安全驱动单元根据CAN总线接收到的信号数据进行同步处理，输出逻辑电平信号给安全执行单元。安全执行单元通过硬件电路实现“二取二”功能，将逻辑电平信号转换为继电器动作，实现相应的控制功能。这种设计符合组合式故障-安全架构。另外，安全检测电路通过触点回采信号，对安全执行单元的执行动作进行回读和反馈，一旦其中任意1个CPU检测到反馈的执行动作与系统输出指令不一致，则判断不可信，输出禁止状态。此外，速度、管压和工况采集以及CAN通信报文均为二取二设计，满足信息采集和数据通信的二取二需求。

图1 新一代LKJ系统架构

图2 新一代LKJ系统安全计算机平台架构

3.2 LKJ无线换装系统

LKJ无线换装系统由车载系统（包括LKJ主机、扩展单元安全通信插件）、无线通信网络和地面系统构成，其架构见图3。系统的关键节点都采用冗余设计，以提高换装业务的可靠性。其中车载换装设备为双套冗余，实现故障态下主备机无缝切换；地面核心网络节点采用双套热备冗余（防火墙、交换机），消除单点故障带来的影响；内、外网通信服务器及应用服务器等采用双机热备，实现操作系统或监管软件出现故障时，自动迁移至备机运行。

由于车地通信采用无线方式（公用移动网络和WLAN相结合），为避免在数据无线换装过程中可能出现数据被篡改、地面网络和主机服务器被攻击等安全问题，需要重点考虑数据安全设计和网络安全防护设计。

3.2.1 数据安全设计

LKJ无线换装系统车地通信在WLAN覆盖区域，采用WLAN通道与地面服务器通信；在无WLAN覆盖区域，通过授权的公用移动网络（3G/4G）与地面服务器进行通信。车地之间利用IPSec VPN技术建立通信隧道，采用国密SM4算法对数据进行加密，实现系统管理数据、鉴别信息和重要业务数据传输保密性，并采用CRC48校验机制和断点续传等技术，对LKJ车载数据进行校验、解压、缓存，防止LKJ数据完整性受到破坏。

3.2.2 网络安全防护设计

LKJ无线换装系统网络安全防护由LKJ车载换装设备、车地防火墙、内网防火墙、堡垒机、入侵检测系统、CA证书服务器，以及虚拟化平台（包含内网通信服务器、数据服务器、应用服务器、防病毒服务器、时钟服务器、证书服务器）等组成。

铁路内网各计算机终端与地面系统服务器间信息交互，采用内网防火墙进行防护，实现对内网终端计算机网络边界的安全防护和访问控制；地面系统内网与外网通信服务器间的信息交互，基于铁路安全传输平台进行隔离，采用CA证书授权，实时对车载进行身份鉴别，通过Http/Https加密方式进行信息内外网交互，实现对铁路内外网网络的访问控制，以及LKJ车载数据文件和重要信息内外透传；在地面系统与无线通信网络边界处，部署车地防火墙，通过网络控制、包过滤、协议深度解析等策略，实现对地面系统网络边界的实时防护。

虚拟化平台采用超融合架构，它作为LKJ无线数据换装系统的核心，为应用服务器、数据服务器、通信服务器及信息安全防护产品，提供相应的运行环境。超融合架构的计算、存储和网络安全均为虚拟化设计，由软件控制，摆脱了传统服务器、网络和存储孤立的架构，CPU、内存和硬盘统一管理和分配，提升LKJ数据接收、解析、处理、管理的效率，提供高可靠、高可用的应用服务。

图3 LKJ无线换装系统架构

超融合架构基本配置为4个节点，每个节点的LKJ数据采用3个副本实时存储，当某一个节点故障时，仍然可以通过其他节点的数据继续进行换装业务，保障了业务连续性和安全性。网络设备采用冗余的万兆交换机管理超融合架构服务器，可满足网络转发灵活调度。虚拟化平台可实现计算、存储、网络、安全一体化，资源动态调度，集群业务负载自动均衡，降低集群内高负载的主机资源利用率，在满足业务系统及信息安全管理系统运行的前提下，有效提升系统的可靠性和可用性。

3.3 LKJ辅助驾驶单元

LKJ辅助驾驶单元通过辅助司机操纵列车的牵引与制动，实现列车的运行控制功能，不改变列车原有安全控制逻辑和安全监控设备防护功能。

3.3.1 辅助驾驶设计方案

辅助驾驶单元通过新一代LKJ系统扩展单元接口模块与LKJ主机单元进行通信，接收LKJ主机发送的移动授权、测速测距、目标速度、目标距离、控制相关数据以及线路数据等信息，综合列车运行时间和限速要求，进行乘务区段的行程在线规划，采取相应的速度控制策略来控制列车运行速度及牵引制动状态，在保障列车运行安全、平稳的条件下，实现列车正点、节能运行。

3.3.2 设计原则

辅助驾驶单元在自动驾驶控车模式下，实时对列车运行数据进行回采，控制过程保证列车安全、平稳，同时针对各种故障进行导向安全的防护控制。总体设计原则如下。

1）不越过LKJ限速曲线［11］。

2）不改变LKJ的安全控车逻辑。

3）列车辅助驾驶单元无法继续进行自动驾驶控制时，导向安全侧控制。

4）需人工接管而人工未接管时，导向安全侧控制。

5）列车出现故障后，辅助驾驶单元需根据故障状况，决定是否提示司机退出自动驾驶。

6）辅助驾驶单元在提示退出自动驾驶模式的同时，需要将列车导向安全运行。

3.3.3 功能实现

1）LKJ主机单元发送临时限速运行揭示，辅助驾驶单元按照临时限速要求进行行程规划。

2）列车在分相无电区前，根据分相里程确定分相位置，控制列车在断电前切除牵引力，按照不低于过分相最低速度的要求合理规划行程。

3）根据LKJ主机单元的支线、侧线信息，自动选择相应数据进行行程规划。

4）根据机车信号以及LKJ的控制模式进行行程规划，控制列车以不超过侧线限速要求的速度通过。

5）列车在半自闭区间运行时，可按照进站信号机关闭指导列车运行，在接收到进站信号机的机车信号后，按照信号和LKJ主机单元控制模式要求进行行程规划。

6）列车在长大坡道运行时，可根据列车“安全、正点、平稳、减负、节能”运行要求进行行程规划。

4 结束语

针对目前LKJ系统存在的问题，新一代LKJ系统采用二乘二取二的安全计算机平台进行开发，能够满足SIL4级安全完整性等级要求；采用LKJ无线换装系统，解决了人工换装数据在时效性、安全性上的问题；新一代LKJ辅助驾驶单元与LKJ主机相互配合，共同完成控车任务，可提高列车运行效率，降低列车能耗和司机劳动强度，实现列车正点、平稳、节能、高效运行。