單CPU架構(gòu)聯(lián)鎖對(duì)外安全通信改造方案

卡斯柯信號(hào)有限公司 喻 焰 許明旺 謝千野

采用一種單CPU架構(gòu)系統(tǒng)的對(duì)外安全通信設(shè)計(jì)思路，在不改變硬件的情況下，使VPI型計(jì)算機(jī)聯(lián)鎖系統(tǒng)滿足RSSP-I通信協(xié)議的安全要求，適應(yīng)北京地鐵5號(hào)線大修工程中聯(lián)鎖外部安全接口變化。

1 改造背景

作為北京南北方向大動(dòng)脈的地鐵5號(hào)線，近年來(lái)運(yùn)力不斷提高、密度不斷加大。然而負(fù)責(zé)ATC（列車自動(dòng)控制）功能的TCOM系統(tǒng)為單系配置，板卡不具備熱更換能力，一旦出現(xiàn)故障，將直接影響地鐵高強(qiáng)度的安全運(yùn)營(yíng)。由于TCOM系統(tǒng)的供貨商美國(guó)西屋公司已退出中國(guó)軌道交通市場(chǎng)，經(jīng)過(guò)多方研究論證，決定在5號(hào)線大修工程期間，采用國(guó)產(chǎn)低頻發(fā)碼設(shè)備LFCT系統(tǒng)替換TCOM系統(tǒng)，實(shí)現(xiàn)熱冗余能力。

鑒于本次大修中的ATC設(shè)備變更，提供聯(lián)鎖功能的VPI系統(tǒng)必須改造原有的TCOM軌道發(fā)碼接口為新的LFCT接口。對(duì)于聯(lián)鎖系統(tǒng)來(lái)說(shuō)，主要難點(diǎn)：一是原VPI-TCOM通信協(xié)議需采用新協(xié)議實(shí)現(xiàn)VPILFCT通信，并提升傳輸安全性；二是在硬件不改變的前提下，VPI系統(tǒng)對(duì)外安全通信接口的改造不能影響原有聯(lián)鎖功能和性能。

2 設(shè)計(jì)優(yōu)化

軌道交通信號(hào)行業(yè)的安全系統(tǒng)基本采用多重冗余設(shè)計(jì)，以聯(lián)鎖系統(tǒng)為例，同一個(gè)車站的聯(lián)鎖，至少是雙機(jī)熱備系統(tǒng)，主備系皆有很多外部安全接口需求，安全系統(tǒng)之間的通信常采用行業(yè)內(nèi)公認(rèn)的幾種安全協(xié)議，如RSSP-I協(xié)議等。

對(duì)于外部功能的拓展，傳統(tǒng)的做法是為系統(tǒng)直連新的安全接口，但這樣做會(huì)增加系統(tǒng)處理上的負(fù)擔(dān)，比如運(yùn)算能力，周期時(shí)序等問(wèn)題。另外，隨意的增加接口對(duì)系統(tǒng)的安全獨(dú)立性問(wèn)題也會(huì)產(chǎn)生挑戰(zhàn)。

為了克服上述缺點(diǎn)，更有效的方法是在安全系統(tǒng)中增加處理對(duì)外通信的專用接口CPU模塊。通過(guò)接口CPU來(lái)隔離邏輯運(yùn)算CPU與外界的直接聯(lián)系，保證邏輯運(yùn)算CPU自身的運(yùn)算安全穩(wěn)定。接口CPU可以與各種通信協(xié)議類型的外部設(shè)備進(jìn)行通信，然后再通過(guò)算法轉(zhuǎn)化為邏輯運(yùn)算CPU認(rèn)可的統(tǒng)一協(xié)議，邏輯運(yùn)算CPU幾乎不用關(guān)心對(duì)外新增的通信協(xié)議，提升了整個(gè)系統(tǒng)的擴(kuò)展性。

如圖1所示，接口CPU作為系統(tǒng)A的一部分，與外界其他系統(tǒng)B1、B2…..Bn鏈接，可采用網(wǎng)絡(luò)、串口、CAN口等物理連接方式。

圖1 一種優(yōu)化的單CPU安全通信架構(gòu)設(shè)計(jì)

接口CPU負(fù)責(zé)按照相應(yīng)的通道要求Cn和安全協(xié)議要求Pn，同外部安全系統(tǒng)Bn進(jìn)行安全通信，來(lái)自于Bn的安全數(shù)據(jù)按照接收幀的格式存儲(chǔ)在接口CPU中，同時(shí)接口CPU會(huì)把發(fā)送幀傳輸給Bn系統(tǒng)。假定B1和B2是同一外部系統(tǒng)的組合，接口CPU還會(huì)對(duì)B1和B2傳輸過(guò)來(lái)的安全數(shù)據(jù)進(jìn)行預(yù)處理操作，比如采用合幀的方式，以減少系統(tǒng)A運(yùn)算CPU的邏輯運(yùn)算壓力。

接口CPU對(duì)外部系統(tǒng)的數(shù)據(jù)進(jìn)行算法轉(zhuǎn)化，添加時(shí)間戳等必要的防護(hù)，變?yōu)橄到y(tǒng)A運(yùn)算CPU認(rèn)可的單一通信格式數(shù)據(jù)，簡(jiǎn)化系統(tǒng)A運(yùn)算CPU的復(fù)雜度，使得系統(tǒng)A運(yùn)算CPU的大部分能力保留在既有功能的運(yùn)算執(zhí)行上。

3 改造方案

在北京地鐵5號(hào)線的軌旁信號(hào)系統(tǒng)中，CI（計(jì)算機(jī)聯(lián)鎖）通過(guò)高速串口向地面自動(dòng)列車控制系統(tǒng)ATC發(fā)送軌道電路編碼信息，該信息與列車速度、運(yùn)行區(qū)段等被車載設(shè)備共同組成“目標(biāo)-距離”控車模式。聯(lián)鎖系統(tǒng)的軌道發(fā)碼接口，作為該信息的承載通路，須滿足高安全、高可靠的傳輸要求。

北京地鐵五號(hào)線原CI-ATC架構(gòu)如圖2所示，VPI系統(tǒng)AB雙機(jī)的VCOM通信板與單系配置的TCOM系統(tǒng)CCM通信板之間串口直連，采用HDLC（高級(jí)數(shù)據(jù)鏈路控制）通信協(xié)議保障數(shù)據(jù)傳輸。當(dāng)TCOM為單系配置，一旦故障，VPI系統(tǒng)將直接丟失對(duì)軌道電路的發(fā)碼能力，該結(jié)構(gòu)缺乏冗余性。

圖2 VPI-TCOM結(jié)構(gòu)簡(jiǎn)圖

HDLC協(xié)議的使用限制在于沒(méi)有指定字段來(lái)標(biāo)識(shí)已封裝的上一層協(xié)議，每個(gè)廠商的HDLC格式都是私有不兼容的，鑒于主導(dǎo)該接口的協(xié)議條件需要考慮替換，而且VCOM與CPUPD通路上的數(shù)據(jù)為裸數(shù)據(jù)，傳輸過(guò)程中碼位跳變防護(hù)的能力不足，安全性不高。

改造后的新CI-ATC架構(gòu)如圖3所示，VPI系統(tǒng)AB雙機(jī)的VCOM通信板與LFCT系統(tǒng)的AB雙機(jī)串口交叉互連，采用RSSP-I（鐵路信號(hào)安全協(xié)議-I型）通信協(xié)議保障數(shù)據(jù)傳輸?shù)陌踩浴Ｓ捎赩PI和LFCT系統(tǒng)皆為雙機(jī)熱備結(jié)構(gòu)，任何一個(gè)系統(tǒng)的單系故障，都不影響VPI對(duì)軌道電路的發(fā)碼能力。

圖3 VPI-LFCT結(jié)構(gòu)簡(jiǎn)圖

RSSP-I通信協(xié)議作為軌道交通行業(yè)公認(rèn)的封閉式網(wǎng)絡(luò)安全協(xié)議，提供了完善的安全通信保護(hù)機(jī)制。VPI系統(tǒng)在采用該協(xié)議時(shí)，比較簡(jiǎn)單的設(shè)計(jì)是通過(guò)CPUPD運(yùn)算板直接與LFCT雙系進(jìn)行串口通信。但CPUPD板本身要處理繼電器采集數(shù)據(jù)、鄰站CI信息等聯(lián)鎖核心邏輯，這種設(shè)計(jì)會(huì)增加CPUPD板的運(yùn)算負(fù)荷，另外隨意的增加外部接口對(duì)既有系統(tǒng)的安全獨(dú)立性也帶來(lái)了挑戰(zhàn)。

為了克服上述缺點(diǎn)，保持既有聯(lián)鎖性能和安全等級(jí)不下降，本次改造，VPI系統(tǒng)采用上述單CPU架構(gòu)的對(duì)外安全通信設(shè)計(jì)思路，VCOM通信板負(fù)責(zé)與LFCT系統(tǒng)通信的RSSP-I協(xié)議數(shù)據(jù)收發(fā)工作，然后通過(guò)算法轉(zhuǎn)換，使RSSP-I協(xié)議數(shù)據(jù)變?yōu)镃PUPD板既有的FSFB2（第二代故障安全總線）協(xié)議數(shù)據(jù)，最后在CPUPD端完成軌道編碼相關(guān)的邏輯處理。該設(shè)計(jì)使VCOM板隔離了CPUPD板與外界的直接聯(lián)系，VCOM板可隨意拓展各種通信協(xié)議，而CPUPD板只需關(guān)注自身認(rèn)可的某一種通信協(xié)議，松耦合的設(shè)計(jì)保持了運(yùn)算單元的安全獨(dú)立性，也降低了運(yùn)算單元的負(fù)荷。

結(jié)束語(yǔ)：在不改變VPI系統(tǒng)硬件的前提下，對(duì)系統(tǒng)內(nèi)部結(jié)構(gòu)優(yōu)化設(shè)計(jì)，最小化改造成本。通過(guò)算法轉(zhuǎn)換，數(shù)據(jù)流全程強(qiáng)編碼防護(hù)等手段，使VCOM通信板與CPUPD運(yùn)算板組合實(shí)現(xiàn)對(duì)外安全通信功能。經(jīng)必維質(zhì)量技術(shù)服務(wù)（意大利）有限公司第三方安全評(píng)估，該方案獲得了SIL4認(rèn)證，為后續(xù)工程實(shí)踐提供了理論支持。

VPI與LFCT接口研發(fā)成功后，大修工程于2017年4月開始實(shí)施，北京地鐵5號(hào)線正線10個(gè)車站和2個(gè)試車線的TCOM系統(tǒng)逐步完成了國(guó)產(chǎn)化替代。經(jīng)過(guò)2年多的正式運(yùn)行，VPI聯(lián)鎖系統(tǒng)功能穩(wěn)定、通信正常，與LFCT系統(tǒng)配合，一起降低了5號(hào)線運(yùn)營(yíng)壓力，為北京城市軌道交通提升了經(jīng)濟(jì)價(jià)值和社會(huì)效益。