車輛段計算機聯鎖系統全電子化研究

梁志國

(中國鐵道科學研究院通信信號研究所 北京 100081)

?

車輛段計算機聯鎖系統全電子化研究

梁志國

(中國鐵道科學研究院通信信號研究所 北京 100081)

基于控制技術、電子技術及自動檢測技術的發展，提出用電子執行單元取代車輛段計算機聯鎖執行層的采集/驅動板和繼電接口電路方案，實現計算機聯鎖的全電子化。對全電子化后的功能結構進行詳細說明，并介紹全電子化后的聯鎖雙機與電子執行單元的信息交互方式，列舉為提高電子執行單元的安全性、可靠性在軟件、硬件方面所采取的防護措施，證明全電子化聯鎖在維護性、擴展性、安全性方面與計算機聯鎖相比更有優勢，是聯鎖系統發展的方向。

車輛段；計算機聯鎖；電子執行單元；故障-安全；城市軌道交通

車輛段計算機聯鎖系統是利用計算機對信號員的操作命令及車輛段內設備狀態顯示的信息進行邏輯運算，實現對道岔、信號機等設備及進路的集中控制，使其相互制約[1]，保障地鐵運行安全，提高地鐵運行效率。從20世紀80年代開始研制，經過多年發展，計算機聯鎖系統尤其是聯鎖平臺及其核心軟件已經成熟、穩定，在地鐵信號系統中廣泛使用。由于當時電子技術的限制，計算機聯鎖與道岔、信號機等軌旁設備的接口電路仍為繼電方式[2]，隨著控制技術、電子技術及自動檢測技術的發展[3]，電子執行單元可取代繼電接口電路，直接控制軌旁設備。

1 電子執行單元介紹及對比

根據控制對象的不同，道岔、信號、軌道、電碼化、場間聯系、閉塞、零散、通用輸入、通用輸出等電子執行單元模塊[4]可完全取代繼電接口電路功能，且電子執行單元智能化、模塊化程度高，相比繼電接口電路具有以下優點：

1) 當繼電接口電路發生故障時，需要對電路有豐富經驗的專業人員人工判斷，對繼電器還要定期維護，且維護工作量大；當電子執行單元發生故障時，系統能夠精確定位到板級，不需要人工判斷和處理，直接更換對應故障板卡即可，且支持帶電插拔，維護簡單；

2) 繼電器體積大、配線多，現場施工質量直接影響計算機聯鎖的穩定性；而統一放置在機柜中的一個執行單元可取代組合架一層接口電路，體積卻只有其1/20，占地面積極小，更有利于安裝和維護，且執行單元為工廠標準化生產，無需現場配線，系統擴展非常容易，同時能杜絕現場的“封連線”，質量可控，可顯著提高系統的穩定性和安全性；

3) 繼電器只有“0”和“1”兩個狀態，邏輯功能由多個繼電器組成的電路完成，復雜的邏輯判斷無法完成；執行單元由智能CPU控制且有完善的檢測手段，邏輯能力強，不僅能判斷出非法狀態，還能檢測出外部混線，可大幅度提升故障檢測水平和安全冗余能力;

4) 隨著維護管理的需要，依托繼電接口電路增設了很多信息化設備，但接口電路未對新引入的設備進行適應性修改，存在安全隱患。例如：設計中沒有對道岔電路采用任何的防雷器件和電路，曾發生過因新增道岔表示電壓檢測電路而使道岔誤動的危險情況。而在設計執行單元時已經對電子器件的安全特性、抗干擾能力以及雷擊強電侵入等隱患進行過全面的分析，在設計之初就已經將風險源關閉，安全性、可靠性更高。

2 適配修改

車輛段配置的計算機聯鎖按照功能層次可劃分為人機交互層、聯鎖主控層、聯鎖執行層和軌旁設備接口層4個功能層次[5]。其中聯鎖執行層是由采集及驅動繼電器的采集板、驅動板組成，一般通過現場總線與聯鎖主控層連接。將計算機聯鎖主控層與執行層連接的總線接口變更為2個CAN總線接口，用電 子 執 行單元全面取代執行層和軌旁設備的繼電接口電路，以聯鎖主控層為主、多個電子執行單元為從，實現計算機聯鎖系統的全電子化。同時電務維修機增加2個CAN總線接口，用來記錄聯鎖主控層與執行層電子執行單元的命令及狀態信息，以備故障時查詢。

圖1 計算機聯鎖全電子化前后的系統結構對比

計算機聯鎖全電子化后按照功能層次同樣可劃分為人機交互層、聯鎖主控層、聯鎖執行層和軌旁設備接口層4個功能層次，只是聯鎖執行層和軌旁設備接口層與原來大不相同。對比圖1介紹全電子聯鎖的功能層次。

1) 人機交互層。人機交互層通過熱備的兩臺監控機和單元臺，與聯鎖主控層以通信方式交互信息，向值班員提供車輛段站場的狀態，接受值班員的操作命令，給出相關的提示和報警。同時還有一臺電務維修機將站場狀態信息和操作命令,聯鎖系統的狀態和故障信息,以及電子執行單元的命令和狀態變化信息進行不間斷的記錄儲存，為故障原因的分析、查找及處理提供完整的記錄數據。計算機聯鎖的全電子化對此層影響較小，僅增加與電子執行單元相關的錯誤提示和記錄數據。

2) 聯鎖主控層。聯鎖主控層通常也稱作邏輯層，是整個聯鎖系統的核心，主要完成對安全平臺各部分接口的控制調度處理，包括與人機交互層、聯鎖對外接口等通信協調調用，同時還運行聯鎖軟件，進行聯鎖邏輯運算。此軟件是整個聯鎖系統的核心，對行車安全至關重要。計算機聯鎖全電子化后只增加與執行層的電子執行單元通信接口調用，并完成全電子化適配前由繼電電路實現的部分邏輯功能。全電子聯鎖不改變計算機聯鎖的核心聯鎖軟件，完全繼承了聯鎖軟件的優點。

3) 聯鎖執行層。聯鎖執行層受控于聯鎖主控層，計算機聯鎖全電子化將原執行層以弱電采集及驅動繼電器為對象的輸入、輸出單元，替換為能夠直接以強電驅動道岔轉轍機和信號機，并直接進行狀態采集的電子執行單元，同時將原軌旁設備接口層繼電電路完成的部分邏輯功能轉移至執行層，由電子執行單元完成。

4) 軌旁設備接口層。全電子化適配后已基本取消軌旁設備接口層，其電路的功能轉移到聯鎖主控層和聯鎖執行層，僅余下聯鎖執行層到室外設備的接口電纜，此處為對照方便仍然保留對軌旁設備接口層的劃分。

3 適配分析

計算機聯鎖全電子后沒有改變計算機聯鎖的主控層結構，仍為主流應用的雙機熱備或者二乘二取二結構，兩臺聯鎖機同時工作，其中一臺聯鎖機為主機，另一臺聯鎖機為備機并保持在熱備狀態，有效提高系統的可靠性，其中每臺聯鎖機仍然為主機、備機、脫機、聯機4種工作狀態[6]。系統工作時只有聯鎖機主機向電子執行單元發送命令信息，聯鎖機主機和備機同時接收電子執行單元的狀態信息并進行聯鎖邏輯運算。當聯鎖機主機發生故障時，原聯鎖機備機由備機狀態轉為主機狀態，自動升為聯鎖機新主機，并接替原主機向電子執行單元發送命令信息，不影響聯鎖系統的使用，原故障聯鎖機由主機狀態轉為脫機狀態，只接收電子執行單元的狀態信息。當處于脫機狀態的聯鎖機修復后會由脫機狀態轉為聯機狀態，同時接收電子執行單元的狀態信息進行聯鎖邏輯運算，并與聯鎖機主機通信，當其與聯鎖機主機邏輯運算狀態一致時，工作狀態由聯機狀態升為備機狀態，并保持在熱備狀態。各工作狀態與電子執行單元通信的關系如圖2所示。

4 軟件實現與防護

計算機聯鎖全電子化后，在聯鎖核心程序中需要增加對電子執行單元的通信接口，即將全電子化前對輸入/輸出接口的程序調用替換為對電子執行單元通信接口的調用，如圖3所示，此接口可完成與電子執行單元通信的發送、接收，主要功能歸納如下：

1) 將聯鎖主控層的驅動命令和電子執行單元的狀態信息按照協議轉換成電子執行單元和聯鎖主控層可相互識別的信息；

2) 發送、接收電子執行單元的命令及狀態信息；

3) 全電子化前由繼電接口電路完成的部分邏輯功能。

圖3 與全電子執行通信接口調用

聯鎖主控層與電子執行單元的安全通信是確保全電子聯鎖安全使用的關鍵。通信的安全防御措施主要有以下幾方面：

1) 采用雙通道方式，當雙路總線命令或狀態數據一致才認為命令或狀態有效，當發現雙路數據不一致時，置為故障狀態[7]；

2) 通信數據包應有CRC(循環冗余)校驗和序列號[8]，且兩路信息采用不同的CRC校驗算法，當校驗不通過或發現序列號不對時，立即將相關信息置為安全側；

3) 通信數據中包含模塊類型和故障錯誤碼信息，當主控層與執行單元發現模塊類型出現錯誤或者故障錯誤碼信息時，立即將相關信息置為安全側，這樣可有效防止維修中更換模塊錯誤，出現未知錯誤的可能性；

4) 發送的命令信息和接收的狀態信息為編碼信息[8]，且分別以正碼、反碼存儲，同時存儲在相隔的數據緩沖區，當編碼信息和正碼、反碼校驗不通過時，立即將相關信息置為安全側；

5) 聯鎖主控層與電子執行單元之間在連續3 s的通信周期內接收不到相互間的通信信息，立即將相關信息置為安全側，且判斷通信中斷3 s的關鍵計數緩沖區為雙份，防止關鍵計數器因內存錯誤一直不能累加，造成信息保留。

通信軟件處理流程如圖4所示，通過以上措施，可有效防護主控層和執行單元間通信存在的重復、插入、錯序、延時、損壞等安全風險[9]，保證聯鎖與電子執行單元傳輸信息的安全，提高系統的可靠性及安全性。

圖4 通信軟件處理流程示意

5 硬件防護

計算機聯鎖全電子化后由電子執行單元直接控制道岔、信號機等軌旁設備，電子執行單元已是系統的關鍵設備，直接影響系統的安全性、可靠性。EN50129標準對傳統的故障安全原則進行了擴展，并引入到可編程電子系統領域，在功能安全、故障的影響和失效-安全以及通過技術措施防護系統故障等多個層面，都給出了相關電子系統的安全設計與實現原則。電子執行單元的設計完全遵循此標準，采用了組合式故障-安全、反應式故障-安全和固有式故障-安全等多個安全技術，使系統安全完整性等級達到了SIL4級[10]。具體的防御措施主要有：

1) 采用雙CPU結構，每個CPU通過獨立的現場總線與主控層連接，分別接收并比較主控層發來的控制命令，當命令一致時才會執行，否則自動停止輸出[11]；

2) 采用控制電路雙斷和雙硬件校核等技術，每個控制點采用雙電子開關冗余配置，由兩個CPU獨立控制，只有雙電子開關同時打開時，控制電路才會輸出，任意一路控制電路或采集電路發生故障后，通過相互比較和校核，均能被立即發現；

3) 采用閉環控制方式，通過回讀電路將輸出的結果讀回并與輸出命令比較，當沒有命令而發現有輸出時，立即切斷模塊的驅動電源；

4) 具有過壓、過流自動保護和在線自診斷功能，當執行單元過壓、過流時，模塊自動停止輸出，同時診斷出故障點是模塊自身還是在室外設備，保證系統輸出部分的故障安全；

5) 具有二級防雷保護功能，第一級為防雷分線柜，第二級為執行單元內的防雷模塊。當防雷系統失效時，執行單元自動停止輸出并報警；

6) 對于系統電源等關鍵部位采用硬件冗余結構，任何單點故障都不影響系統的工作。

6 結語

電子執行單元經過多年發展，已經相對完善、穩定，相比繼電接口電路具有安全性高、可靠性高、體積小、便于系統功能擴展、維護工作量小等優點，目前已應用在哈羅線、寶中線、陽安線、甘泉線等國有鐵路線的200余座車站中，應用效果良好。車輛段信號聯鎖系統的技術要求與國有鐵路十分相似[12]，其計算機聯鎖系統的全電子化也是車輛段聯鎖的發展趨勢。全電子化后可有效解決傳統計算機聯鎖系統中還需要較多繼電器帶來的不便，同時對計算機聯鎖系統的影響僅局限在聯鎖主控層與電子執行單元的接口方面，對其他層次影響較小，能將既有成熟聯鎖系統和電子執行單元兩者的優勢結合起來，是工程實施中比較可行的方案。

[1] 王樂.車輛段計算機聯鎖系統簡介[J].城市建設理論研究，2014(8).

[2] 牛寶明.全電子計算機聯鎖系統的研發[J].鐵道通信信號，2012，48(10)：6-10.

[3] 陳光武.軌道交通安全計算機系統及安全控制機制關鍵技術研究[D].蘭州：蘭州交通大學，2014.

[4] 郭陽.全電子執行模塊在信號計算機聯鎖工程設計中的應用[J].鐵道標準設計，2010(4)：116-118.

[5] 中國鐵路總公司.計算機聯鎖系統[M].北京：中國鐵道出版社，2015：29-33.

[6] 梁志國，劉鵬，徐德龍.基于通信方式實現的超大規模站場聯鎖系統解決方案[J].鐵道通信信號，2014， 50(12):25-26.

[7] 國家鐵路局.鐵路車站計算機聯鎖技術條件：TB3027-2015[S].北京：中國鐵道出版社，2015.

[8] 孫鑫.軌道交通全電子化聯鎖系統安全技術的應用探討[J].無線互聯科技，2015(23)：54-55.

[9] CENELEC.Railway Applications：Safety Related Electronic Systems for Signaling.BS EN 50129：2003[S].British：European Committee for Electro technical Standardization，2003.

[10] 許麗，蘇思琦，曠文珍.全電子計算機聯鎖系統的通信協議設計及安全性分析[J].中國鐵道科學，2012，33(6)：84-87.

[11] 楊婉霞，鄧志杰，孫理和，等.基于全電子執行機的場間聯系模塊的研究[J].微計算機信息，2007，23(10-2):298-300.

[12] 竇偉.計算機聯鎖系統在地鐵(輕軌)車輛段的應用[J].鐵路計算機應用，2002，67(10)：21-23.

(編輯：王艷菊)

Metro Depot’s Computer Interlocking System Adapting to Electronic Executive Unit

Liang Zhiguo

(Communication and Signaling Research Institute, China Academy of Railway Sciences, Beijing 100081)

This paper presents a scheme of realizing full-electronic computer interlocking system by using electronic executive unit to replace the I/O board and relay of metro depot's computer interlocking system. The paper offers a detailed illustration about functional structure of full-electronic computer interlocking system. Meanwhile, the paper analyzes the way of information interaction between two interlocking computers based on full-electronic computer interlocking system and electronic executive unit.The protecting measures in software and hardware's maintenance are listed, which are adopted to improve the safety and reliability of electronic executive unit. Compared with computer interlocking system, full-electronic computer interlocking system has more advantages in maintainability, extensibility and safety. It is the direction of the development of computer interlocking system.

metro depot; computer interlocking; electronic executive unit; fail-safe; urban rail transit

10.3969/j.issn.1672-6073.2016.04.013

2016-02-29

2016-03-15

梁志國，男，本科，助理研究員，從事交通信息工程及控制研究，liangzhiguo@139.com

鐵道部科技研究開發計劃(2011X009-A)

U231.7

A

1672-6073(2016)04-0059-05