适用于城市轨道交通的全电子计算机联锁系统设计及研究

2021-09-12冯浩楠

铁道科学与工程学报 2021年8期

冯浩楠

(1. 中国铁道科学研究院集团有限公司通信信号研究所，北京100081；2. 国家铁路智能运输系统工程技术研究中心，北京100081)

CBTC(communication based train control，CBTC)系统突破固定闭塞系统的局限性，提升了轨道交通的运行效率，在众多城市地铁中广泛应用，成为城市轨道交通控制系统的首选。计算机联锁系统(computer interlocking，CI)是CBTC 系统中的一个重要安全系统，根据列车自动监控系统(auto‐matic train supervision，ATS)下发的命令，为不同模式的列车办理进路，提供保护进路、自动折返和自动通过等功能，检查相邻站联锁状态，对控区内屏蔽门、紧急停车按钮、防淹门等设备的监督和控制。CBTC 系统各个系统的信息交互如图1所示[1]。全电子计算机联锁系统具有系统结构简洁、智能化程度更高、功能更加丰富、配置灵活和控制范围广等优点[2]，它取消了继电系统的接口柜和组合柜，可节省室内空间，降低连线排查、安装调试等工程环节的工作量，成为计算机联锁系统发展趋势之一。目前，兰州交通大学[3-5]、众合科技、北京全路通信信号设计研究院、西南交通大学[6]等对全电子联锁系统进行研究，并在我国的部分国铁线路和车辆段中使用。国外，西门子[7-8]、日立公司的SAINT 系统、庞巴迪公司的OCS950 系统都通过目标控制器实现全电子联锁系统[9]，英国铁路RGS联锁技术标准对全电子联锁系统的技术要求也做出了规定[10]。中国铁道科学研究院自主研发的TYJL-Ⅲ型CI 系统已经在城市轨道交通的CBTC 系统中得到成熟应用[11]，本文通过对其设计和增加与全电子系统接口的方式，升级改造为TYJL-ⅢE 型CI 系统，替换现有的继电接口，增强系统的适配性和灵活性，更好地满足城市轨道交通运营场景的需求。

图1 CBTC系统各系统信息交互图Fig.1 Information interaction diagram of each system in CBTC system

1 TYJL-ⅢE型CI系统

为了城市轨道交通和CBTC 系统的需求，TYJL-Ⅲ型CI系统采用安全控制平台[12]。平台采用二乘二取二的冗余架构，由相同且独立的两系A系和B系组成，两系地架构采用互为主、备的冗余方式，可减少两系之间的共因失效故障，便于现场维护。平台分为人机交互层、主控层和执行部3个层次。

在人机交互层，操作人员命令的下发和站场显示功能由MMI(man machine interface, MMI)实现。

在主控层，实现功能包括：1) 联锁逻辑和应用层信息处理；2) 冗余处理功能；3) 其他CBTC系统的信息交互。功能1 由CPU 板完成，功能2 由两系的CPU 通过ARCNET 连接，交互信息实现主备状态切换；功能3通过各种通信板实现。

在通信板设计时，采用不同对象分离设置通信板卡方式实现信息交互，具有降低故障影响范围和增设新的通信对象便利等优势。当联锁系统与某个通信对象的通信板卡出现故障时，故障仅限于此通信对象，系统仍可能继续运行。例如当联锁系统的ETH-ZC 板卡通信故障而与其他系统通信正常时，CBTC 系统仍可以采用点式模式继续运行。在TYJL-ⅢE 型CI 系统设计时，仅需在原有TYJL-Ⅲ型CI系统上增设1 个安全通信板与全电子系统通信即可，扩展方便。TYJL-ⅢE 型CI系统在CBTC系统中的通信对象总结如表1所示。

表1 TYJL-ⅢE型CI系统中通信对象Table 1 Communication objects in the TYJL-IIIE CI system

在执行层，全电子执行系统为主控层提供轨旁状态信号和将主控层驱动命令发送至轨旁设备。全电子系统分为OCU(object control unit,OCU)和电子执行单元2 部分。OCU 设置灵活，可安置在远距离进行区域控制，CI 逻辑部与OCU 选择以太网连接，通信网络为Ⅰ和Ⅱ双网物理通道冗余；OCU 由A 和B 2 系构成，每系OCU 均为二取二结构，板卡内包含2 个CPU，其中CPU1 接入Ⅰ网，CPU2接入Ⅱ网。OCU与电子执行单元之间的信息数据量不大，但交互的实时性和安全性需求较高，因此采用双CAN 总线实现。双套电子执行单元为热备结构，OCU 完成对热备执行单元数据的接收处理后，向CI 逻辑部发送安全IO 信息，并将冗余过程的相关状态及错误信息发送至CI逻辑部。

综上所述，与在CBTC 系统中应用的TYJL-Ⅲ型CI系统相比，TYJL-ⅢE型CI系统用全电子系统代替继电接口引起的变化总结如表2 所示，TYJL-ⅢE型CI系统架构如图2所示。

图2 全电子CI系统的架构图Fig.2 Structure of all-electric CI system

表2 TYJL-ⅢE型CI系统变化Table 2 Changes in TYJL-IIIE CI system

2 TYJL-ⅢE型CI系统的关键设计

为了实现城市轨道交通环境中全电子接口功能，在原有安全平台基础上，TYJL-ⅢE 型CI系统在系统的切换原则、安全通信板、目标控制器和全电子执行单元4 个关键环节进行安全设计和实现。

2.1 安全设计原则

全电子计算机联锁系统设计时，应当满足以下安全原则：

1) 在安全标准方面，设计应遵循EN50159 标准的安全设计原则；

2) 在机械设计方面，机柜、机箱能够电磁兼容、散热隔热、防潮和防尘，应采用防错插机制保障板卡的正确安装；

3) 在通信设计方面，系统内部和外部的通信协议应才有安全防护措施，防止通信过程中丢帧、乱序、损坏、延迟等错误情况；

4) 在系统架构设计方面，系统应采用安全冗余架构设计，主从单元独立计算后比较，满足故障-安全原则；

5) 在软件设计方面，系统应对软件版本进行管理，对联锁驱动命令、采集轨旁设备状态信息进行安全校核，发生严重错误时立即切断输出；

6)在硬件设计方面，系统应能周期自检判断，能安全驱动轨旁设备，发生严重错误时立即切断输出；7) 在和轨旁设备接口设计方面，系统应具有防雷、过流和过压保护功能。

2.2 系统切换原则

TYJL-ⅢE 型全电子CI 系统涉及多个通信对象，与任何系统的通信中断，将导致系统运行故障，因此需要设计一套切换原则，能够兼顾系统的安全性和可用性。

由表1 中CI 系统与各个通信对象功能可知，如果联锁主系在与2 台MMI 都中断，将影响整个操作命令下达，危及行车安全，因此切换级别设计为最高。如果联锁主系与OCU 发生中断，将无法接收轨旁状态信息，同时无法下达操作命令，也将危机行车安全，切换优先级排为第二。如果联锁主系与临站CI 联锁通信中断，将危及列车的跨区办理，影响行车运行效率，切换优先级排为第三。如果联锁主系与ZC(zone controller，ZC)系统发生通信中断，控区内的列车将由连续模式变为点式模式运行，影响行车效率，切换优先级排为第四。联锁系统与VOBC(vehicle on-board con‐troller，VOBC)系统不连续通信，只有当列车靠近或在站台时才与联锁系统进行通信，发送查询、开关屏蔽门命令，因此切换优先级设计为不切换。在联锁与LEU 通信中，联锁系统两系发给相同报文信息，LEU 自主判断选取使用一系报文；LEU给联锁返回LEU 状态信息，如果二者通信中断，联锁系统向维修机和MMI 提示与LEU 通信中断的报警，通知人员维修处理。在评估和CBTC系统各个通信对象特性、通信机制和通信中断造成的危害分析的基础上，确定全电子CI 系统切换的优先级，如表3所示。

表3 全电子CI系统切换优先级Table 3 Switching priority of all-electric CI system

2.3 安全通信板的设计及实现

TYJL-ⅢE 型全电子CI 系统安全通信板采用的Linux 操作系统，支持多平台操作，具有多线程多任务功能，灵活实现任务调度、以太网口数据收发、共享内存和中断等功能。安全通信板的安全功能主要包括双网通信数据去冗余处理和安全通信协议的处理。安全通信板的通信功能包括与各个通信对象的数据传输以及通信状态健康状态的监控、通信报警功能。

安全通信板的程序在通信和定时器初始化后，打开看门狗程序，接收通信对象发送的带安全协议的数据，程序根据不同对象采用不同的安全协议处理，对安全协议进行处理后，将应用层数据和报警写入双口RAM，交给CPU 板进一步处理，处理流程如图3所示。

图3 安全通信板工作流程图Fig.3 Workflow diagram of safety communication board

由表1 可知，与ETH-ZC 和ETH-CI 相同，ETH-OCU安全通信板也采用RSSP-1型安全通信协议，三者采用相同的安全通信板，区别在于程序在系统初始化时加载的IP 地址和安全通信参数的配置数据不同。

由于TYJL-ⅢE 型全电子CI 系统属于SIL4 级的安全苛求系统，在与表1通信对象进行以太网通信时，需要结合通信对象的特点和通信应用环境因素，采用相应的安全通信措施。MMI 安全等级为SIL0 级，采用CRC 和序列号安全措施防护信息；OCU、ZC、相邻CI和VOBC系统均为SIL4级系统，在复杂通信环境中通信中可能存在的干扰和威胁包括[13]：报文的重复、删除、非法注入、改变顺序、损坏报文、报文延迟、伪装等，需采用成熟的安全通信协议保证通信安全。TYJL-ⅢE 型全电子CI 系统的安全通信板采用相应的安全防御措施，如表4所示。

表4 TYJL-ⅢE全电子CI系统通信对象Table 4 Communication objects of TYJL-IIIE all-electric CI system

2.4 OCU设计及实现

OCU 将CI 逻辑部的执行命令转换为全电子执行单元命令格式，并接收全电子执行单元信息发送给CI 逻辑部。为了达到SIL4 级的安全性需求，OCU 硬件设计为二取二CPU 架构，主CPU 和从CPU 分别进行独立的运算，并通过高速同步串口交换信息，依靠双核时钟同步，实现主从间的高速大容量安全数据交换和同步。OCU 通过百兆以太网接口与以太网板ETH-OCU 通信，通过CAN总线与执行单元通信。硬件结构图如图4所示。

图4 OCU结构图Fig.4 Structure of OCU

OCU 软件分为初始化模块、逻辑处理模块和接口模块3类。3类模块功能分配如表5所示。

表5 OCU软件模块功能分配Table 5 Function allocation in OCU software module

在CI 逻辑部与OCU 间应用层协议中，为了保证信息的安全，除了采用RSSP-1 型协议外，协议中还包含OCU 的ID、协议版本号、数据版本号和电子执行单元数量等配置信息用以两者间相互校核。

2.5 全电子执行单元的设计及实现

全电子执行单元实现对轨旁设备的输出控制和输入采集，在城市轨道交通中，涉及轨旁设备包括信号、道岔、开关量。为了达到SIL4 级的安全性需求，全电子执行单元设计为二乘二取二结构，单个全电子执行单元包括主从CPU(CPU1 和CPU2)，二者构成“取2”安全性冗余关系，2 个全电子执行单元再构成“乘2”可靠性冗余关系。单个电子执行单元的结构图如图5所示。当电子执行单元对外控制(信号开放或者操控道岔)时，必须满足电子开关和机械开关同时开通的条件才能实现对外输出控制操作，2个开关分别被主CPU和从CPU 控制。电子开关和机械开关的异构结构有效避免了共因故障。此外，输出器件要实时自检，在电子开关和机械开关设有状态监测电路，及时发现输出器件状态异常。最后，全电子执行单元设计事故继电器，事故继电器由双输入动态电路驱动，双输入动态电路的输入分别由主从CPU 控制，只有主从CPU 同时提供频率相同、相位相反的两路动态脉冲，双输入动态电路才会有输出，事故继电器才会吸起；事故继电器一方面可以在出现极端故障时切断控制电源，同时还具有检测主从CPU 是否失控的功能。全电子执行单元还设计有状态监测功能，由CPU3 实时测量并记录单元模拟量信息，并且不对CPU1 和CPU2 的安全功能产生影响。全电子执行单元中的CPU1 和CPU2 分别通过冗余CAN 总线(CAN-A、CAN-B)与OCU 通信，CPU3 通过监测CAN 总线(CAN-C)与监测维护分机通信。

图5 单个全电子执行单元结构Fig.5 Structure of a single all-electronic execution unit

以信号电子执行单元为例，说明全电子执行单元软件设计和实现。根据《铁路信号微机监测系统技术条件》的要求和城市轨道交通CBTC系统的需求，对信号机的工作交流电流进行检查。信号电子执行单元具有驱动的灯丝电流采集功能，采集电流指标需满足相关技术条件中关于信号灯点灯灯丝继电器吸起或落下的电流值要求，当出现异常情况时未设置防护，如果点灯后没有检查到灯丝电流，设置灯丝断丝状态，在未点灯情况下，对灯丝断丝不能检查。信号电子执行单元具备热备切换功能，当备用单元检查到工作单元故障离线后，主动升为工作模式。二乘二取二结构的信号电子执行单元包括初始化、离线、备用和工作4 个工作状态，各工作状态含义如表6 所示，4个状态在命令或故障情况下的转换如图6所示。

表6 信号电子执行单元工作状态Table 6 Working state of the signal electric execution unit

图6 全电子执行单元状态转换图Table 6 State transition of an all-electronic execution unit

3 全电子CI的监控设计

TYJL-ⅢE 型全电子CI 系统的监控记录信息设计为2 个级别。第一级为系统级监控信息，包括OCU 与CI 逻辑部通信状态，安全通信报警等错误信息，这些信息由OCU 通过以太网传送给CI 逻辑部，再经CI 逻辑部发送给维修机。第二级为全电子执行单元级监控信息，包括由信号电子执行单元提供的灯丝电流模拟量；由道岔全电子执行单元提供的道岔动作时间、定位反位状态、动作电流数据等信息。这些信息由各个全电子执行单元通过CAN-C 通信发送给维修分机，再由维修分机发送给维修机记录。与传统继电接口的CI 系统监测信息仅能够提供开关量信息相比，全电子CI 系统的监控信息包含开关量信息外，电子模块监控信息还包括轨旁设备的模拟量状态功能，节省部分采集传感器，节省工程造价。

为了对全电子执行系统故障的快速诊断和维修，还设计了远程智能运维系统，通过2套冗余结构的NB-IoT 将关于全电子的维修信息先存储到云服务器，然后根据用户权限将监控信息和报警及时推送给相关维修人员，便于维修人员对全电子执行系统的在线维修和健康状态分析[14]。

4 全电子CI的远程控制

为了节省系统成本，在城市轨道交通全电子联锁系统的站控设计中，联锁站被划分为主控站和被控站。主控站设置MMI、维修机、联锁逻辑部、OCU 和全电子执行单元；被控站仅设置OCU、全电子执行单元和维修机，没有MMI、联锁逻辑部。主控站和被控站间设置OC-A 网、OCB网和维修网。主控站联锁逻辑部完成整个控区内的联锁逻辑关系运算，并通过OC-A 网、OC-B 网光纤网络实现被控站OCU-A 和OCU-B 的控制和采集，由被控站的OCU 和电子执行单元完成被控站室外设备的控制。主控站的维修机显示主控站、被控站的全部站场信息以及主控站和被控站的模块报警信息；被控站的维修机显示记录本被控站内的模块报警信息，同时通过维修网与主控站维修机通信获取主控站和被控站的全部站场信息。TYJL-ⅢE 型全电子联锁的远程控制架构在保证联锁控制范围和维修信息全覆盖的同时，减少了被控站设备数量，节省系统能耗和成本，显示了TYJL-ⅢE 型全电子联锁系统配置灵活的优势。TYJL-ⅢE 型全电子CI 系统远程控制架构图如图7所示。