以車為核心的軌道交通列控產品安全平臺設計

遲寶全，侯麗君，吳 松

0 引言

基于通信技術的列車自動控制系統（以下稱CBTC）產品通常可以分為產品應用部分和產品平臺部分，CBTC 體系安全也由功能安全和技術安全兩部分組成，其中產品應用需滿足功能安全要求，產品平臺需滿足技術安全要求，二者相輔相成，密不可分，共同指引產品開發的方向。通常情況下，基于統一的產品平臺開發CBTC 產品，可以在一定程度上提高產品性能和工程化效率，降低使用成本和維護成本。

1 CBTC 產品應用和產品平臺的發展方向

CBTC 產品經歷了十余年的發展，已經形成了成熟穩定的產品架構，如圖1 所示。其中，傳統CBTC 的產品應用包括幾個核心安全子系統：軌旁的聯鎖CBI 和區域控制器ZC，車載設備ATP 和ATO。在CBTC 模式下，CBI 根據ZC 的指令完成信號機和道岔的控制，ZC 根據車載匯報的位置、速度信息計算移動授權并發給車載設備，車載設備根據ZC發送的移動授權計算ATO控車曲線和ATP防護曲線，實現列車自動運行和安全防護。

傳統CBTC 的產品安全平臺通常分為軌旁安全平臺和車載安全平臺，由于軌旁設備和車載設備在接口、功能、性能和環境指標要求等方面存在一定的差異，出于成本和可實現性考慮，兩種產品平臺通常是獨立設計、分別維護。該做法的優點是安全平臺設計實現相對容易，缺點是需要維護多個軟硬件版本，而且長期應用的成本較高。

圖1 傳統CBTC 系統架構

隨著列控技術的不斷發展，在傳統CBTC 的基礎上，列控系統出現了一些新的發展方向，如互聯互通、全自動無人駕駛FAO、車車通信，以及多種信號制式，如有軌電車、跨座式單軌、懸掛式空軌、APM（自動旅客捷運系統）、市域鐵路等。相應地，產品應用對產品平臺也提出了新的發展需求，這些需求包括但不限于：

（1）兼容歐標、美標，滿足不同信號制式的需求；

（2）支持RSSP-I/II 安全協議，滿足互聯互通標準的需求；

（3）支持CANOpen、MVB、TRDP，滿足車輛總線接口IEC 61375 標準的需求；

（4）支持模塊化、獨立控制、靈活配置、快速組網，滿足車輛信號融合的需求；

（5）支持衛星定位、雷達防撞、多傳感器融合，滿足列車測速定位和自動防護的需求；

（6）支持大數據量通信、大運算量，性能卓越，滿足車車通信的需求；

（7）診斷維護功能智能化，滿足信號系統智能運維的需求；

（8）低成本、低功耗、小型化、全電子化，滿足軌旁設備一體化和全電子化的需求；

（9）硬件資源豐富，可擴展性強，滿足定制化和工程化的需求；

（10）高可靠性，長產品生命周期，滿足無人駕駛的需求。

本文所介紹的產品平臺在滿足安全性和可靠性的前提下，主要考慮車車通信以及車輛與信號系統深度融合的相關需求，并根據列控產品的演進方向，提出一種通用的產品平臺設計方案。

2 以車為核心的下一代列控產品特點

基于車車通信的下一代列控系統結構如圖2所示，其主要特點之一是以車為核心，列車自主運行，軌旁設備簡化為受控于車載設備的目標控制器或電子執行單元。車載設備相比以前更加智能化，承擔了聯鎖控制和安全防護全部功能，通過預定、使用和釋放的方式共享線路資源，通過車車通信，后車可以直接獲取前車的位置、速度、狀態信息，實現列車追蹤，減少了與軌旁設備的交互環節，降低了追蹤間隔，提高了行車效率。同時，由于系統簡化了軌旁設備，優化了系統內部接口，從而降低了系統復雜度，提高了系統實時性和可靠性，降低了實現難度和全生命周期的維護成本。

圖2 基于車車通信的下一代列控系統架構

基于車車通信的下一代列控系統的另一個主要特點是車輛與信號系統的深度融合（圖3）。所有信號設備（如ATP 和ATO 等）和車輛設備（如TCMS、牽引系統、制動系統、門控制系統、空調系統、火災報警系統、旅客信息系統等）都作為通信節點納入車輛網絡統一管理，同時充分利用車輛和信號系統的速度傳感器，提高速度信號的可靠性和冗余性。該方案摒棄了傳統的信號車載設備與車輛的特殊接口設計，取消傳統車載信號系統的內部獨立網絡，從列車全系統出發，將列車所有功能（含所有安全功能，如列控、牽引、制動、車門控制等）進行一體化設計，進一步降低了設備成本，提高了系統的性能和可靠性。

圖3 車輛與信號系統深度融合示意圖

3 以車為核心的下一代列控產品平臺

如前文所述，以車為核心的下一代列控產品平臺邊界及可配置性必須滿足車輛和軌旁設備的通用接口需求，并在不同的應用場景下實現靈活配置，該產品平臺的通用接口包括但不限于：外部通信接口、診斷維護接口、信標接口、車輛接口、軌旁接口、安全輸入輸出接口等。該產品通用功能包括但不限于：初始化上電自檢、輸入輸出管理、系統內同步管理、安全表決管理、系統間同步切換管理、外部安全通信管理、在線自檢管理、故障管理、診斷維護管理、周期調度與監控管理、時鐘管理、用戶接口管理等。

以車為核心的下一代列控產品平臺的外部接口及可配置方案設計如圖4—圖6 所示。

圖4 軌道交通列控通用安全產品平臺

圖5 車載安全產品平臺

圖6 軌旁通用產品平臺

除了外部接口需兼容軌旁和車載信號系統的需求之外，該產品平臺的內部通信架構還需滿足車輛與信號系統深度融合的需求，該產品平臺的通用模塊包括但不限于：診斷維護單元、通信管理單元、安全計算單元、離散I/O 單元、模擬I/O 單元、自動駕駛單元、電子執行單元等。

該產品平臺由高度可復用的抽象化的外設單元和標準化的控制模塊組成，所有模塊和外設單元均基于以太網安全總線實現信息交互，并需要滿足最高安全等級SIL4 要求。在該系統中，通信協議完全基于EN 50159 標準開發，物理層采用100 M高速以太網，可實現雙網冗余管理。在所有模塊的通信管理方面，可根據設備的類型和ID 靈活分配IP，實現快速組網和實時通信。產品平臺基于以太網的分布式架構也使得該車載信號產品更加容易直接接入車輛網絡，實現車輛與信號系統的一體化設計。

為了實現產品平臺的通用性，所有安全模塊均采用統一的核心板卡和平臺軟件實現，擁有獨立的系統調度、在線自檢、仲裁服務、時鐘管理、模塊通信、存儲管理、I/O 管理、故障管理等功能，該產品平臺的分層結構如圖7 所示。

圖7 通用軌交產品平臺分層結構

4 結語

車車通信作為下一代列控產品的發展方向，其產品平臺相對于傳統的CBTC 系統平臺而言，除了安全性和可靠性的要求之外，還需要更靈活的擴展性和可配置性，以滿足車輛信號一體化以及軌旁系統小型化和全電子化的要求。本文介紹了一種以車為核心的列控產品平臺設計方案，該產品平臺完全實現自主研發并通過獨立第三方SIL4 等級安全認證。下一步該產品平臺將通過適當的擴展，應用于車車通信以及各種多制式列控項目中。