基于全電子的有軌電車正線道岔控制系統(tǒng)研究

賈 斌

（北京全路通信信號研究設(shè)計院集團(tuán)有限公司，北京 100070）

有軌電車因其環(huán)保、節(jié)能、廉價以及大運量等優(yōu)良特性，成為全球范圍內(nèi)許多城市作為公共交通發(fā)展的對象。在國內(nèi)已有不少城市規(guī)劃和在建有軌電車，但信號系統(tǒng)多采用國外設(shè)備。國內(nèi)大鐵和地鐵信號系統(tǒng)技術(shù)發(fā)展的非常成熟，可以借鑒其技術(shù)應(yīng)用到有軌電車信號系統(tǒng)中，實現(xiàn)有軌電車信號系統(tǒng)的國產(chǎn)化。有軌電車信號系統(tǒng)中安全防護(hù)范圍僅在道岔區(qū)段，正線道岔控制系統(tǒng)實現(xiàn)道岔區(qū)段內(nèi)信號設(shè)備的安全控制，是有軌電車信號系統(tǒng)中唯一涉及安全的子系統(tǒng)，因此有必要對其進(jìn)行研究。

1 有軌電車信號系統(tǒng)

有軌電車信號系統(tǒng)如圖1 所示，包括運營控制中心子系統(tǒng)、平交路口控制子系統(tǒng)、車載子系統(tǒng)、正線道岔控制子系統(tǒng)及車輛段聯(lián)鎖子系統(tǒng)。運營控制中心子系統(tǒng)實現(xiàn)對全線列車運行的管理和監(jiān)視功能；平交路口信號控制子系統(tǒng)實現(xiàn)與道路交通信號控制系統(tǒng)接口，對有軌電車與其他社會車輛混行路口區(qū)域進(jìn)行管理；車載控制子系統(tǒng)處理司機(jī)操作指令，完成車輛位置定位、車地信息傳輸?shù)裙δ埽徽€道岔控制子系統(tǒng)實現(xiàn)道岔區(qū)域控制，完成信號設(shè)備之間正確的聯(lián)鎖關(guān)系控制[1]；車輛段聯(lián)鎖子系統(tǒng)實現(xiàn)車輛段信號設(shè)備控制。

圖1 有軌電車信號系統(tǒng)基本結(jié)構(gòu)圖Fig.1 Diagram of basic structure of tram signaling system

2 正線道岔控制系統(tǒng)功能及結(jié)構(gòu)

相比傳統(tǒng)的軌道交通信號控制采用中心控制方式，所有進(jìn)路控制由調(diào)度中心發(fā)起，有軌電車信號系統(tǒng)中正線道岔系統(tǒng)采用軌旁優(yōu)先控制方式，運營中心僅對軌旁設(shè)備進(jìn)行監(jiān)視，信號設(shè)備的控制在軌旁完成[2-3]。正線道岔控制系統(tǒng)能夠?qū)崿F(xiàn)以下幾種方式的控制。

1) 自動控制方式：當(dāng)列車到達(dá)接近區(qū)段，列車將自身信息(車次號、線路信息)通過車地?zé)o線通信傳遞給正線道岔控制系統(tǒng)，根據(jù)收到的信息，實現(xiàn)對轉(zhuǎn)轍機(jī)、信號機(jī)的控制。

2) 司控方式：當(dāng)發(fā)生故障，自動控制方式失效時，司機(jī)通過操作車載設(shè)備將控制信息通過車地?zé)o線通信傳送給正線道岔控制系統(tǒng)，根據(jù)收到的信息，實現(xiàn)對轉(zhuǎn)轍機(jī)、信號機(jī)的控制。

3) 地控方式：當(dāng)發(fā)生故障，自動控制方式、司控方式都失效時，按壓軌旁人工操作盤的道岔控制按鈕，控制命令傳輸給正線道岔控制系統(tǒng)，根據(jù)收到的信息，實現(xiàn)對轉(zhuǎn)轍機(jī)、信號機(jī)的控制。

4) 手控方式：當(dāng)以上3 種方式都失效時，司機(jī)可以人工搬動道岔，此時設(shè)備安全由人工保證。

正線道岔控制系統(tǒng)結(jié)構(gòu)如圖2 所示，由軌旁道岔控制柜、車地通信系統(tǒng)感應(yīng)環(huán)線、列車占用檢查計軸設(shè)備、轉(zhuǎn)轍機(jī)、信號機(jī)等組成。軌旁道岔控制柜中有正線道岔控制主機(jī)(簡稱控制主機(jī))、各種類型的電子執(zhí)行單元、電源、防雷分線單元等。

圖2 正線道岔控制系統(tǒng)結(jié)構(gòu)圖Fig.2 Diagram of structure of main switch control system

由于正線道岔控制采用軌旁控制方案，所有的設(shè)備都在軌旁，并埋于地下，所有的設(shè)備要求體積小、可靠性高[4-5]。因此相比大多數(shù)軌道交通中道岔、信號機(jī)驅(qū)動采集設(shè)備采用繼電器方式，應(yīng)該采用電子化方式的全電子執(zhí)行單元代替，1 個道岔控制單元可以控制1 臺轉(zhuǎn)轍機(jī)，1 個信號控制單元可以控制8 個燈位，有軌電車的信號顯示只有直向行駛、側(cè)向行駛、禁止信號3 種顯示，因此信號控制單元可以同時控制兩架信號機(jī)[6-7]。

正線道岔控制系統(tǒng)中的核心是控制主機(jī)，通過CAN 總線方式與全電子執(zhí)行單元連接。控制主機(jī)接收車載設(shè)備或軌旁人工操作盤的命令信息，并采集道岔、信號、區(qū)段的實際狀態(tài)信息，根據(jù)設(shè)備狀態(tài)及操作命令進(jìn)行聯(lián)鎖關(guān)系運算，輸出道岔、信號燈控制命令，控制道岔轉(zhuǎn)動及信號燈顯示。

3 正線道岔控制系統(tǒng)設(shè)計

正線道岔控制系統(tǒng)的安全完整性等級為SIL3，系統(tǒng)設(shè)計時必須按EN 系列標(biāo)準(zhǔn)要求，采用相應(yīng)的安全防護(hù)技術(shù)及措施保證系統(tǒng)的安全。本文只針對正線道岔室內(nèi)控制設(shè)備進(jìn)行研究，主要有控制主機(jī)、全電子執(zhí)行單元及安全通信，控制主機(jī)又分安全平臺和道岔控制邏輯軟件兩部分。

系統(tǒng)設(shè)計需符合故障導(dǎo)向安全原則，在故障發(fā)生時導(dǎo)向安全側(cè)，不應(yīng)危及行車安全。系統(tǒng)不能接收有效輸入數(shù)據(jù)或自身發(fā)生故障時，輸出必須導(dǎo)向安全。

3.1 安全平臺

在歐標(biāo)EN50129 中對于采用電子技術(shù)實現(xiàn)軌道交通信號系統(tǒng)，推薦了3 種安全性設(shè)計技術(shù)，分別為本原故障安全、組合式故障安全和反應(yīng)式故障安全。本原故障安全技術(shù)，就是利用原器件固有特性，實現(xiàn)故障安全設(shè)計原則。組合式故障安全，就是重疊使用器件以獲得更低的失效率。反應(yīng)式故障安全是指在故障發(fā)生時，啟動系統(tǒng)內(nèi)的故障反應(yīng)功能，對影響加以限制的技術(shù)[8-9]。

安全平臺設(shè)計策略復(fù)合使用以上3 種技術(shù)，對故障進(jìn)行防護(hù)處理，保證系統(tǒng)的安全及可靠性。

安全平臺硬件采用二取二冗余結(jié)構(gòu)，雙套CPU處理結(jié)果一致后表決輸出。每個CPU 通過軟件對硬件及軟件進(jìn)行周期監(jiān)測，一旦發(fā)現(xiàn)故障，所有輸出導(dǎo)向安全側(cè)[10-11]。每個CPU 中的應(yīng)用軟件采用異構(gòu)設(shè)計，并對兩套軟件每個周期的運算結(jié)果進(jìn)行比較，比較一致則輸出。否則導(dǎo)向安全側(cè)。

安全平臺具有以太網(wǎng)、光纖接口，可通過安全通信板與其他設(shè)備相連。安全平臺采用獨立的冗余雙電源供電，任何一路電源故障時，備用電源繼續(xù)工作。當(dāng)兩路電源都故障時，才停止工作。

3.2 道岔邏輯控制軟件

3.2.1 安全設(shè)計策略

為保證軟件質(zhì)量，按歐標(biāo)EN50128 中對軟件各生命周期的要求進(jìn)行，其中軟件安全設(shè)計策略主要有[12]以下幾項。

1) 設(shè)計時將安全功能和非安全功能隔離開，或者將非安全功能按安全功能的標(biāo)準(zhǔn)設(shè)計。

2) 清晰各功能模塊執(zhí)行的先后順序及處理流程，不能應(yīng)用多線程處理的方式。

3) 所有的輸入、輸出需實現(xiàn)二取二比較，并且對輸入在容許范圍內(nèi)進(jìn)行容錯處理。

4) 保證所有模塊功能清楚、精確、無二義性；模塊內(nèi)部功能關(guān)聯(lián)緊密，模塊之間的接口清晰、無歧義；具有高內(nèi)聚、低耦合的特性。

5) 采用防御性編程、故障檢測和診斷、失效斷言編程、多版本程序設(shè)計。

6) 采用結(jié)構(gòu)化的程序設(shè)計方法，并且編譯器已經(jīng)被認(rèn)證過。

7) 統(tǒng)一的編碼標(biāo)準(zhǔn)和風(fēng)格。

3.2.2 道岔控制邏輯

為保證列車在道岔區(qū)段安全通行，必須對道岔實施安全有效的控制。道岔控制的關(guān)鍵是對道岔控制權(quán)的處理，道岔控制權(quán)同一時間只能授予唯一的一輛列車。列車接近道岔區(qū)段時，若道岔控制權(quán)未被占用，則授予道岔控制權(quán)。列車通過后收回控制權(quán)，當(dāng)下一輛列車接近時，再次授予控制權(quán)。具體控制邏輯為：正線道岔控制系統(tǒng)內(nèi)存有各個線路數(shù)據(jù)，列車車載設(shè)備存有當(dāng)前運行的線路數(shù)據(jù)。當(dāng)列車道岔正線道岔區(qū)段接近區(qū)段時，通過車載設(shè)備將車次號及線路號發(fā)送給正線道岔控制系統(tǒng)。若道岔控制權(quán)未被占用，正線道岔控制系統(tǒng)通過數(shù)據(jù)匹配及道岔目前的位置，確定道岔是否需要轉(zhuǎn)動。如果需要則轉(zhuǎn)動道岔，待道岔轉(zhuǎn)動到需要位置，并檢查相應(yīng)的軌道區(qū)段空閑，則鎖閉道岔即授予道岔控制權(quán)。之后開放信號，司機(jī)依據(jù)信號進(jìn)入信號內(nèi)方后，信號關(guān)閉。待列車完全出清道岔區(qū)段，道岔解鎖，即此道岔控制權(quán)被釋放，在此期間不再給別的車輛授權(quán)道岔控制權(quán) 。道岔控制流程如圖3 所示。

3.3 電子執(zhí)行單元

正線道岔控制系統(tǒng)室外設(shè)備有道岔、信號、計軸設(shè)備、人工操作盤、車地通信單元，通過全電子執(zhí)行單元與道岔控制主機(jī)相連，相應(yīng)的有道岔控制單元、信號控制單元、計軸設(shè)備接口單元、人工操作盤接口單元、車地通信接口單元。

圖3 道岔控制流程Fig.3 Switch control process

電子執(zhí)行單元基于具有故障—安全比較雙電子結(jié)構(gòu)，采用二取二的“與”控制電路結(jié)構(gòu)，實現(xiàn)控制、監(jiān)督、監(jiān)測一體化[13]。電子執(zhí)行單元通過冗余通道接收控制主機(jī)發(fā)送的控制命令，通過二取二比較一致后輸出。同時采集室外設(shè)備的狀態(tài)并通過二取二比較一致后向控制主機(jī)發(fā)送，并對控制輸出進(jìn)行閉環(huán)檢測反饋，一旦監(jiān)測到過流，則切斷輸出實現(xiàn)過流保護(hù)，實現(xiàn)故障—安全輸出；設(shè)計有獨立的監(jiān)測電路，對設(shè)備的啟動電流及狀態(tài)信息進(jìn)行監(jiān)測，可監(jiān)測到芯片級的故障信息，將監(jiān)測信息實時發(fā)送給維修監(jiān)測機(jī)。電子執(zhí)行單元結(jié)構(gòu)如圖4 所示。

3.4 安全通信

通信接口示意如圖5 所示，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)固定，且連接設(shè)備數(shù)量已知，因此為封閉式網(wǎng)絡(luò)。接口分類為外部通信接口和系統(tǒng)內(nèi)部通信接口。外部接口有正線道岔控制主機(jī)與運營控制中心之間的以太網(wǎng)通信接口。內(nèi)部接口有正線道岔控制主機(jī)主板與光轉(zhuǎn)CAN 通信板之間的光通信接口，光轉(zhuǎn)CAN 通信板與電子執(zhí)行單元之間的CAN 通信接口，以太網(wǎng)光通信板與車載通信接口單元之間的以太網(wǎng)接口，控制主機(jī)內(nèi)部主板與光轉(zhuǎn)CAN 通信板、以太網(wǎng)通信板之間的光通信接口。所有通信通道采用兩條冗余通道，任意一條通道故障不影響正常通信。

圖4 電子執(zhí)行單元結(jié)構(gòu)圖Fig.4 Diagram of structure of electronic execution unit

圖5 通信接口圖Fig.5 Communication interface diagram

封閉式傳輸系統(tǒng)存在的危害有數(shù)據(jù)包重復(fù)、丟失、插入、亂序和傳輸超時，因此數(shù)據(jù)接收端要對接收數(shù)據(jù)的真實性、完整性、實時性、有序性進(jìn)行檢查。可采取的具體措施有序列號、時間戳、超時、源標(biāo)識、反饋消息、雙重校驗，通信危害/防御矩陣如表1 所示[14-15]。

表1 通信危害/防御矩陣Tab.1 Matrix of communication hazard/defense

序列號為一個32 位順序增加的整數(shù)，可采用系統(tǒng)的周期序號。時間戳基于32 位的線性反饋移位寄存器值，按系統(tǒng)周期移位并使用固定多項式做附加干擾輸入，與本地周期同步增加。雙重校驗，是指對用戶數(shù)據(jù)包的安全校驗和對整個安全數(shù)據(jù)報文的CRC 校驗。

數(shù)據(jù)發(fā)送端將數(shù)據(jù)序列號、當(dāng)前周期時間戳、通信源地址及目的地址、雙重校驗碼及用戶應(yīng)用數(shù)據(jù)組包后一起發(fā)送。接收端對接收到的報文，首先進(jìn)行源地址和目的地址的校驗。若為有效地址，則進(jìn)行數(shù)據(jù)CRC 校驗，校驗正確，則進(jìn)行時效校驗。若在有效時間范圍內(nèi)，則處理用戶數(shù)據(jù)包，并更新最后一次接收數(shù)據(jù)報文的序列號及時間戳。若超出容忍范圍，則發(fā)送時序校正請求，發(fā)送端收到請求后，發(fā)送時序校正應(yīng)答報文，接收端接收到時序校正應(yīng)答報文后，校正本地時序，之后又開始正常通信。

3.5 列車定位技術(shù)

由于有軌電車車道不是封閉車道，為半封閉車道或混合車道，因此列車定位方式有別于傳統(tǒng)的軌道電路定位方式，多采用計軸、感應(yīng)環(huán)線、信標(biāo)、GPS/BD、DR 航跡推算等方式。正線道岔控制系統(tǒng)的列車定位設(shè)備實現(xiàn)列車占用出清檢查，需滿足故障-安全原則，平交道口處列車定位的連續(xù)性及設(shè)備安全性滿足市政交通規(guī)范即可，其他線路的列車定位需滿足運營控制中心行車調(diào)度及行駛跟蹤要求。考慮投資成本及定位要求，道岔接近區(qū)段采用感應(yīng)環(huán)線（同時可作為車地通信的方式），在道岔區(qū)段采用計軸方式或GPS/BD 與信標(biāo)組合定位方式，其他線路區(qū)段采用GPS/BD + DR 組合方式。

4 系統(tǒng)測試

在系統(tǒng)設(shè)計的每個階段都有相應(yīng)測試來保證功能的準(zhǔn)確完善，測試主要分軟件測試、硬件測試、軟硬件集成測試、系統(tǒng)確認(rèn)測試。應(yīng)按照EN 系列標(biāo)準(zhǔn)對SIL3 級系統(tǒng)的要求采取相應(yīng)措施進(jìn)行測試，并將測試結(jié)果進(jìn)行記錄，對照測試計劃檢查是否達(dá)到要求。若未達(dá)到要求，則對設(shè)計進(jìn)行修改，修改完成后再進(jìn)行測試，直到測試計劃中的所有測試項都達(dá)到要求。

5 結(jié)束語

基于全電子的正線道岔控制系統(tǒng)按EN 系列標(biāo)準(zhǔn)要求采用相應(yīng)的措施及技術(shù)進(jìn)行開發(fā)測試，能夠達(dá)到SIL3 安全完整性等級要求，保證其安全性及可靠性。全電子化執(zhí)行單元技術(shù)、列車定位技術(shù)、安全計算平臺技術(shù)、感應(yīng)環(huán)線通信技術(shù)、計算機(jī)聯(lián)鎖技術(shù)等在國內(nèi)都已成熟應(yīng)用，完全可以集成有軌電車信號系統(tǒng)裝備，所以有軌電車信號系統(tǒng)，不應(yīng)依賴于國外設(shè)備，應(yīng)走國產(chǎn)化道路，降低成本，促進(jìn)現(xiàn)代有軌電車的推廣應(yīng)用。