梁志國

(中國鐵道科學(xué)研究院通信信號研究所 北京 100081)

?

車輛段計算機聯(lián)鎖系統(tǒng)全電子化研究

梁志國

(中國鐵道科學(xué)研究院通信信號研究所 北京 100081)

基于控制技術(shù)、電子技術(shù)及自動檢測技術(shù)的發(fā)展，提出用電子執(zhí)行單元取代車輛段計算機聯(lián)鎖執(zhí)行層的采集/驅(qū)動板和繼電接口電路方案，實現(xiàn)計算機聯(lián)鎖的全電子化。對全電子化后的功能結(jié)構(gòu)進行詳細說明，并介紹全電子化后的聯(lián)鎖雙機與電子執(zhí)行單元的信息交互方式，列舉為提高電子執(zhí)行單元的安全性、可靠性在軟件、硬件方面所采取的防護措施，證明全電子化聯(lián)鎖在維護性、擴展性、安全性方面與計算機聯(lián)鎖相比更有優(yōu)勢，是聯(lián)鎖系統(tǒng)發(fā)展的方向。

車輛段；計算機聯(lián)鎖；電子執(zhí)行單元；故障-安全；城市軌道交通

車輛段計算機聯(lián)鎖系統(tǒng)是利用計算機對信號員的操作命令及車輛段內(nèi)設(shè)備狀態(tài)顯示的信息進行邏輯運算，實現(xiàn)對道岔、信號機等設(shè)備及進路的集中控制，使其相互制約[1]，保障地鐵運行安全，提高地鐵運行效率。從20世紀80年代開始研制，經(jīng)過多年發(fā)展，計算機聯(lián)鎖系統(tǒng)尤其是聯(lián)鎖平臺及其核心軟件已經(jīng)成熟、穩(wěn)定，在地鐵信號系統(tǒng)中廣泛使用。由于當(dāng)時電子技術(shù)的限制，計算機聯(lián)鎖與道岔、信號機等軌旁設(shè)備的接口電路仍為繼電方式[2]，隨著控制技術(shù)、電子技術(shù)及自動檢測技術(shù)的發(fā)展[3]，電子執(zhí)行單元可取代繼電接口電路，直接控制軌旁設(shè)備。

1 電子執(zhí)行單元介紹及對比

根據(jù)控制對象的不同，道岔、信號、軌道、電碼化、場間聯(lián)系、閉塞、零散、通用輸入、通用輸出等電子執(zhí)行單元模塊[4]可完全取代繼電接口電路功能，且電子執(zhí)行單元智能化、模塊化程度高，相比繼電接口電路具有以下優(yōu)點：

1) 當(dāng)繼電接口電路發(fā)生故障時，需要對電路有豐富經(jīng)驗的專業(yè)人員人工判斷，對繼電器還要定期維護，且維護工作量大；當(dāng)電子執(zhí)行單元發(fā)生故障時，系統(tǒng)能夠精確定位到板級，不需要人工判斷和處理，直接更換對應(yīng)故障板卡即可，且支持帶電插拔，維護簡單；

2) 繼電器體積大、配線多，現(xiàn)場施工質(zhì)量直接影響計算機聯(lián)鎖的穩(wěn)定性；而統(tǒng)一放置在機柜中的一個執(zhí)行單元可取代組合架一層接口電路，體積卻只有其1/20，占地面積極小，更有利于安裝和維護，且執(zhí)行單元為工廠標(biāo)準(zhǔn)化生產(chǎn)，無需現(xiàn)場配線，系統(tǒng)擴展非常容易，同時能杜絕現(xiàn)場的“封連線”，質(zhì)量可控，可顯著提高系統(tǒng)的穩(wěn)定性和安全性；

3) 繼電器只有“0”和“1”兩個狀態(tài)，邏輯功能由多個繼電器組成的電路完成，復(fù)雜的邏輯判斷無法完成；執(zhí)行單元由智能CPU控制且有完善的檢測手段，邏輯能力強，不僅能判斷出非法狀態(tài)，還能檢測出外部混線，可大幅度提升故障檢測水平和安全冗余能力;

4) 隨著維護管理的需要，依托繼電接口電路增設(shè)了很多信息化設(shè)備，但接口電路未對新引入的設(shè)備進行適應(yīng)性修改，存在安全隱患。例如：設(shè)計中沒有對道岔電路采用任何的防雷器件和電路，曾發(fā)生過因新增道岔表示電壓檢測電路而使道岔誤動的危險情況。而在設(shè)計執(zhí)行單元時已經(jīng)對電子器件的安全特性、抗干擾能力以及雷擊強電侵入等隱患進行過全面的分析，在設(shè)計之初就已經(jīng)將風(fēng)險源關(guān)閉，安全性、可靠性更高。

2 適配修改

車輛段配置的計算機聯(lián)鎖按照功能層次可劃分為人機交互層、聯(lián)鎖主控層、聯(lián)鎖執(zhí)行層和軌旁設(shè)備接口層4個功能層次[5]。其中聯(lián)鎖執(zhí)行層是由采集及驅(qū)動繼電器的采集板、驅(qū)動板組成，一般通過現(xiàn)場總線與聯(lián)鎖主控層連接。將計算機聯(lián)鎖主控層與執(zhí)行層連接的總線接口變更為2個CAN總線接口，用電 子 執(zhí) 行單元全面取代執(zhí)行層和軌旁設(shè)備的繼電接口電路，以聯(lián)鎖主控層為主、多個電子執(zhí)行單元為從，實現(xiàn)計算機聯(lián)鎖系統(tǒng)的全電子化。同時電務(wù)維修機增加2個CAN總線接口，用來記錄聯(lián)鎖主控層與執(zhí)行層電子執(zhí)行單元的命令及狀態(tài)信息，以備故障時查詢。

圖1 計算機聯(lián)鎖全電子化前后的系統(tǒng)結(jié)構(gòu)對比

計算機聯(lián)鎖全電子化后按照功能層次同樣可劃分為人機交互層、聯(lián)鎖主控層、聯(lián)鎖執(zhí)行層和軌旁設(shè)備接口層4個功能層次，只是聯(lián)鎖執(zhí)行層和軌旁設(shè)備接口層與原來大不相同。對比圖1介紹全電子聯(lián)鎖的功能層次。

1) 人機交互層。人機交互層通過熱備的兩臺監(jiān)控機和單元臺，與聯(lián)鎖主控層以通信方式交互信息，向值班員提供車輛段站場的狀態(tài)，接受值班員的操作命令，給出相關(guān)的提示和報警。同時還有一臺電務(wù)維修機將站場狀態(tài)信息和操作命令,聯(lián)鎖系統(tǒng)的狀態(tài)和故障信息,以及電子執(zhí)行單元的命令和狀態(tài)變化信息進行不間斷的記錄儲存，為故障原因的分析、查找及處理提供完整的記錄數(shù)據(jù)。計算機聯(lián)鎖的全電子化對此層影響較小，僅增加與電子執(zhí)行單元相關(guān)的錯誤提示和記錄數(shù)據(jù)。

2) 聯(lián)鎖主控層。聯(lián)鎖主控層通常也稱作邏輯層，是整個聯(lián)鎖系統(tǒng)的核心，主要完成對安全平臺各部分接口的控制調(diào)度處理，包括與人機交互層、聯(lián)鎖對外接口等通信協(xié)調(diào)調(diào)用，同時還運行聯(lián)鎖軟件，進行聯(lián)鎖邏輯運算。此軟件是整個聯(lián)鎖系統(tǒng)的核心，對行車安全至關(guān)重要。計算機聯(lián)鎖全電子化后只增加與執(zhí)行層的電子執(zhí)行單元通信接口調(diào)用，并完成全電子化適配前由繼電電路實現(xiàn)的部分邏輯功能。全電子聯(lián)鎖不改變計算機聯(lián)鎖的核心聯(lián)鎖軟件，完全繼承了聯(lián)鎖軟件的優(yōu)點。

3) 聯(lián)鎖執(zhí)行層。聯(lián)鎖執(zhí)行層受控于聯(lián)鎖主控層，計算機聯(lián)鎖全電子化將原執(zhí)行層以弱電采集及驅(qū)動繼電器為對象的輸入、輸出單元，替換為能夠直接以強電驅(qū)動道岔轉(zhuǎn)轍機和信號機，并直接進行狀態(tài)采集的電子執(zhí)行單元，同時將原軌旁設(shè)備接口層繼電電路完成的部分邏輯功能轉(zhuǎn)移至執(zhí)行層，由電子執(zhí)行單元完成。

4) 軌旁設(shè)備接口層。全電子化適配后已基本取消軌旁設(shè)備接口層，其電路的功能轉(zhuǎn)移到聯(lián)鎖主控層和聯(lián)鎖執(zhí)行層，僅余下聯(lián)鎖執(zhí)行層到室外設(shè)備的接口電纜，此處為對照方便仍然保留對軌旁設(shè)備接口層的劃分。

3 適配分析

計算機聯(lián)鎖全電子后沒有改變計算機聯(lián)鎖的主控層結(jié)構(gòu)，仍為主流應(yīng)用的雙機熱備或者二乘二取二結(jié)構(gòu)，兩臺聯(lián)鎖機同時工作，其中一臺聯(lián)鎖機為主機，另一臺聯(lián)鎖機為備機并保持在熱備狀態(tài)，有效提高系統(tǒng)的可靠性，其中每臺聯(lián)鎖機仍然為主機、備機、脫機、聯(lián)機4種工作狀態(tài)[6]。系統(tǒng)工作時只有聯(lián)鎖機主機向電子執(zhí)行單元發(fā)送命令信息，聯(lián)鎖機主機和備機同時接收電子執(zhí)行單元的狀態(tài)信息并進行聯(lián)鎖邏輯運算。當(dāng)聯(lián)鎖機主機發(fā)生故障時，原聯(lián)鎖機備機由備機狀態(tài)轉(zhuǎn)為主機狀態(tài)，自動升為聯(lián)鎖機新主機，并接替原主機向電子執(zhí)行單元發(fā)送命令信息，不影響聯(lián)鎖系統(tǒng)的使用，原故障聯(lián)鎖機由主機狀態(tài)轉(zhuǎn)為脫機狀態(tài)，只接收電子執(zhí)行單元的狀態(tài)信息。當(dāng)處于脫機狀態(tài)的聯(lián)鎖機修復(fù)后會由脫機狀態(tài)轉(zhuǎn)為聯(lián)機狀態(tài)，同時接收電子執(zhí)行單元的狀態(tài)信息進行聯(lián)鎖邏輯運算，并與聯(lián)鎖機主機通信，當(dāng)其與聯(lián)鎖機主機邏輯運算狀態(tài)一致時，工作狀態(tài)由聯(lián)機狀態(tài)升為備機狀態(tài)，并保持在熱備狀態(tài)。各工作狀態(tài)與電子執(zhí)行單元通信的關(guān)系如圖2所示。

4 軟件實現(xiàn)與防護

計算機聯(lián)鎖全電子化后，在聯(lián)鎖核心程序中需要增加對電子執(zhí)行單元的通信接口，即將全電子化前對輸入/輸出接口的程序調(diào)用替換為對電子執(zhí)行單元通信接口的調(diào)用，如圖3所示，此接口可完成與電子執(zhí)行單元通信的發(fā)送、接收，主要功能歸納如下：

1) 將聯(lián)鎖主控層的驅(qū)動命令和電子執(zhí)行單元的狀態(tài)信息按照協(xié)議轉(zhuǎn)換成電子執(zhí)行單元和聯(lián)鎖主控層可相互識別的信息；

2) 發(fā)送、接收電子執(zhí)行單元的命令及狀態(tài)信息；

3) 全電子化前由繼電接口電路完成的部分邏輯功能。

圖3 與全電子執(zhí)行通信接口調(diào)用

聯(lián)鎖主控層與電子執(zhí)行單元的安全通信是確保全電子聯(lián)鎖安全使用的關(guān)鍵。通信的安全防御措施主要有以下幾方面：

1) 采用雙通道方式，當(dāng)雙路總線命令或狀態(tài)數(shù)據(jù)一致才認為命令或狀態(tài)有效，當(dāng)發(fā)現(xiàn)雙路數(shù)據(jù)不一致時，置為故障狀態(tài)[7]；

2) 通信數(shù)據(jù)包應(yīng)有CRC(循環(huán)冗余)校驗和序列號[8]，且兩路信息采用不同的CRC校驗算法，當(dāng)校驗不通過或發(fā)現(xiàn)序列號不對時，立即將相關(guān)信息置為安全側(cè)；

3) 通信數(shù)據(jù)中包含模塊類型和故障錯誤碼信息，當(dāng)主控層與執(zhí)行單元發(fā)現(xiàn)模塊類型出現(xiàn)錯誤或者故障錯誤碼信息時，立即將相關(guān)信息置為安全側(cè)，這樣可有效防止維修中更換模塊錯誤，出現(xiàn)未知錯誤的可能性；

4) 發(fā)送的命令信息和接收的狀態(tài)信息為編碼信息[8]，且分別以正碼、反碼存儲，同時存儲在相隔的數(shù)據(jù)緩沖區(qū)，當(dāng)編碼信息和正碼、反碼校驗不通過時，立即將相關(guān)信息置為安全側(cè)；

5) 聯(lián)鎖主控層與電子執(zhí)行單元之間在連續(xù)3 s的通信周期內(nèi)接收不到相互間的通信信息，立即將相關(guān)信息置為安全側(cè)，且判斷通信中斷3 s的關(guān)鍵計數(shù)緩沖區(qū)為雙份，防止關(guān)鍵計數(shù)器因內(nèi)存錯誤一直不能累加，造成信息保留。

通信軟件處理流程如圖4所示，通過以上措施，可有效防護主控層和執(zhí)行單元間通信存在的重復(fù)、插入、錯序、延時、損壞等安全風(fēng)險[9]，保證聯(lián)鎖與電子執(zhí)行單元傳輸信息的安全，提高系統(tǒng)的可靠性及安全性。

圖4 通信軟件處理流程示意

5 硬件防護

計算機聯(lián)鎖全電子化后由電子執(zhí)行單元直接控制道岔、信號機等軌旁設(shè)備，電子執(zhí)行單元已是系統(tǒng)的關(guān)鍵設(shè)備，直接影響系統(tǒng)的安全性、可靠性。EN50129標(biāo)準(zhǔn)對傳統(tǒng)的故障安全原則進行了擴展，并引入到可編程電子系統(tǒng)領(lǐng)域，在功能安全、故障的影響和失效-安全以及通過技術(shù)措施防護系統(tǒng)故障等多個層面，都給出了相關(guān)電子系統(tǒng)的安全設(shè)計與實現(xiàn)原則。電子執(zhí)行單元的設(shè)計完全遵循此標(biāo)準(zhǔn)，采用了組合式故障-安全、反應(yīng)式故障-安全和固有式故障-安全等多個安全技術(shù)，使系統(tǒng)安全完整性等級達到了SIL4級[10]。具體的防御措施主要有：

1) 采用雙CPU結(jié)構(gòu)，每個CPU通過獨立的現(xiàn)場總線與主控層連接，分別接收并比較主控層發(fā)來的控制命令，當(dāng)命令一致時才會執(zhí)行，否則自動停止輸出[11]；

2) 采用控制電路雙斷和雙硬件校核等技術(shù)，每個控制點采用雙電子開關(guān)冗余配置，由兩個CPU獨立控制，只有雙電子開關(guān)同時打開時，控制電路才會輸出，任意一路控制電路或采集電路發(fā)生故障后，通過相互比較和校核，均能被立即發(fā)現(xiàn)；

3) 采用閉環(huán)控制方式，通過回讀電路將輸出的結(jié)果讀回并與輸出命令比較，當(dāng)沒有命令而發(fā)現(xiàn)有輸出時，立即切斷模塊的驅(qū)動電源；

4) 具有過壓、過流自動保護和在線自診斷功能，當(dāng)執(zhí)行單元過壓、過流時，模塊自動停止輸出，同時診斷出故障點是模塊自身還是在室外設(shè)備，保證系統(tǒng)輸出部分的故障安全；

5) 具有二級防雷保護功能，第一級為防雷分線柜，第二級為執(zhí)行單元內(nèi)的防雷模塊。當(dāng)防雷系統(tǒng)失效時，執(zhí)行單元自動停止輸出并報警；

6) 對于系統(tǒng)電源等關(guān)鍵部位采用硬件冗余結(jié)構(gòu)，任何單點故障都不影響系統(tǒng)的工作。

6 結(jié)語

電子執(zhí)行單元經(jīng)過多年發(fā)展，已經(jīng)相對完善、穩(wěn)定，相比繼電接口電路具有安全性高、可靠性高、體積小、便于系統(tǒng)功能擴展、維護工作量小等優(yōu)點，目前已應(yīng)用在哈羅線、寶中線、陽安線、甘泉線等國有鐵路線的200余座車站中，應(yīng)用效果良好。車輛段信號聯(lián)鎖系統(tǒng)的技術(shù)要求與國有鐵路十分相似[12]，其計算機聯(lián)鎖系統(tǒng)的全電子化也是車輛段聯(lián)鎖的發(fā)展趨勢。全電子化后可有效解決傳統(tǒng)計算機聯(lián)鎖系統(tǒng)中還需要較多繼電器帶來的不便，同時對計算機聯(lián)鎖系統(tǒng)的影響僅局限在聯(lián)鎖主控層與電子執(zhí)行單元的接口方面，對其他層次影響較小，能將既有成熟聯(lián)鎖系統(tǒng)和電子執(zhí)行單元兩者的優(yōu)勢結(jié)合起來，是工程實施中比較可行的方案。

[1] 王樂.車輛段計算機聯(lián)鎖系統(tǒng)簡介[J].城市建設(shè)理論研究，2014(8).

[2] 牛寶明.全電子計算機聯(lián)鎖系統(tǒng)的研發(fā)[J].鐵道通信信號，2012，48(10)：6-10.

[3] 陳光武.軌道交通安全計算機系統(tǒng)及安全控制機制關(guān)鍵技術(shù)研究[D].蘭州：蘭州交通大學(xué)，2014.

[4] 郭陽.全電子執(zhí)行模塊在信號計算機聯(lián)鎖工程設(shè)計中的應(yīng)用[J].鐵道標(biāo)準(zhǔn)設(shè)計，2010(4)：116-118.

[5] 中國鐵路總公司.計算機聯(lián)鎖系統(tǒng)[M].北京：中國鐵道出版社，2015：29-33.

[6] 梁志國，劉鵬，徐德龍.基于通信方式實現(xiàn)的超大規(guī)模站場聯(lián)鎖系統(tǒng)解決方案[J].鐵道通信信號，2014， 50(12):25-26.

[7] 國家鐵路局.鐵路車站計算機聯(lián)鎖技術(shù)條件：TB3027-2015[S].北京：中國鐵道出版社，2015.

[8] 孫鑫.軌道交通全電子化聯(lián)鎖系統(tǒng)安全技術(shù)的應(yīng)用探討[J].無線互聯(lián)科技，2015(23)：54-55.

[9] CENELEC.Railway Applications：Safety Related Electronic Systems for Signaling.BS EN 50129：2003[S].British：European Committee for Electro technical Standardization，2003.

[10] 許麗，蘇思琦，曠文珍.全電子計算機聯(lián)鎖系統(tǒng)的通信協(xié)議設(shè)計及安全性分析[J].中國鐵道科學(xué)，2012，33(6)：84-87.

[11] 楊婉霞，鄧志杰，孫理和，等.基于全電子執(zhí)行機的場間聯(lián)系模塊的研究[J].微計算機信息，2007，23(10-2):298-300.

[12] 竇偉.計算機聯(lián)鎖系統(tǒng)在地鐵(輕軌)車輛段的應(yīng)用[J].鐵路計算機應(yīng)用，2002，67(10)：21-23.

(編輯：王艷菊)

Metro Depot’s Computer Interlocking System Adapting to Electronic Executive Unit

Liang Zhiguo

(Communication and Signaling Research Institute, China Academy of Railway Sciences, Beijing 100081)

This paper presents a scheme of realizing full-electronic computer interlocking system by using electronic executive unit to replace the I/O board and relay of metro depot's computer interlocking system. The paper offers a detailed illustration about functional structure of full-electronic computer interlocking system. Meanwhile, the paper analyzes the way of information interaction between two interlocking computers based on full-electronic computer interlocking system and electronic executive unit.The protecting measures in software and hardware's maintenance are listed, which are adopted to improve the safety and reliability of electronic executive unit. Compared with computer interlocking system, full-electronic computer interlocking system has more advantages in maintainability, extensibility and safety. It is the direction of the development of computer interlocking system.

metro depot; computer interlocking; electronic executive unit; fail-safe; urban rail transit

10.3969/j.issn.1672-6073.2016.04.013

2016-02-29

2016-03-15

梁志國，男，本科，助理研究員，從事交通信息工程及控制研究，liangzhiguo@139.com

鐵道部科技研究開發(fā)計劃(2011X009-A)

U231.7

A

1672-6073(2016)04-0059-05