列控聯鎖一體化系統多層次結構化設計實現

路 飛

（卡斯柯信號有限公司，北京 100070）

1 概述

在目前的CTCS-2 和CTCS-3 列車運行控制系統中，列控中心和計算機聯鎖是重要組成部分，也是核心地面安全設備，對列車的高效安全運行起著至關重要的作用。其中計算機聯鎖通過軟件實現站內聯鎖關系，并且可控制信號機、操動道岔等軌旁電子單元（LEU），列控中心控制軌道電路向車載設備發送編碼信息，并通過應答器向車載設備發送報文數據信息。列控聯鎖一體化設備集成了列控中心和計算機聯鎖的功能，減少現場設備數量，解決了設備間信息共享延時、信息冗余以及接口復雜等問題，減少現場設備接口，降低信息冗余性，提升了系統可靠性，同時也提升了設備的可維護性。

2 列控聯鎖一體化系統（TIS）結構化設計

列控中心系統由邏輯處理子系統以及維護終端子系統構成。邏輯處理子系統的硬件采用二乘二取二設計，滿足故障-安全原則。計算機聯鎖系統由邏輯處理子系統、控顯機子系統以及維護終端子系統構成，邏輯處理子系統硬件以采用二乘二取二結構設計，滿足故障-安全原則。因此，列控中心和計算機聯鎖的既有結構和安全要求是相同的。

2.1 接口部分設計

與既有列控中心設備的外部接口和計算機聯鎖的外部接口相比，列控聯鎖一體化系統的外部接口設備有所減少，列控聯鎖一體化系統的外部接口對象包括相鄰站列控聯鎖一體化、相鄰站聯鎖、相鄰站列控中心、無線閉塞中心（RBC）、臨時限速服務器（TSRS）、調度集中（CTC）、集中監測（CSM）、軌道電路、道岔轉轍機和信號機等軌旁設備。既有列控中心與LEU 接口為外部設備接口，可通過網絡或串口通信，通過LEU 向有源應答器發送報文數據，在列控聯鎖一體化系統中可直接通過目標控制器向有源應答器發送報文數據。

CTCS-2 級與CTCS-3 級模式下對于列控中心和計算機聯鎖的外部接口形式基本一致，接口層面與既有CTCS-2 級或CTCS-3 級模式可保證完全一致，安全通信協議、連接方式、繼電接口采集等均無變化。且相比傳統CTCS-2 級或CTCS-3 級列控系統設備，列控聯鎖一體化系統的外部設備接口進一步減少，更加便于現場維護。軟件層面僅涉及到部分系統的應用層協議變化，影響范圍較小。

2.2 系統結構設計

為實現列控聯鎖一體化的功能，需要對系統結構進行合理設計。系統結構包括系統預處理單元、外部信息接口單元，邏輯運算單元和信息維護單元。系統結構設計如圖1 所示。

圖1 系統結構設計示意Fig.1 System structure design diagram

從功能角度劃分，可分為CTCS-0 級功能和CTCS-2 級/CTCS-3 級功能。從系統設計角度可分為軟件管理和數據配置管理。

CTCS-2 級系統主要基于軌道電路和應答器傳輸列車行車許可信息，CTCS-3 級系統為基于GSM-R 無線通信實現車-地信息雙向傳輸，通過無線閉塞中心形成行車許可。對于既有列控中心設備，在CTCS-2 級系統和CTCS-3 級系統中功能基本一致。對于計算機聯鎖設備，除在CTCS-3 級系統上增加與無線閉塞中心接口外，其余功能與CTCS-2級系統功能基本一致。作為列控聯鎖一體化設備，可將CTCS-2 級系統功能和CTCS-3 級系統功能進行統一管理。

2.2.1 系統預處理單元

系統預處理層主要負責應用數據和配置的讀取，為主運算邏輯單元讀入運算所需的配置信息、站場數據、線路數據等，并開始進行系統初始化，分配內存地址，設置內存變量，同時對系統進行上電自檢。如果系統預處理時發生讀取數據配置失敗、系統內存初始化失敗或者上電自檢失敗等，系統則無法正常啟動。

2.2.2 外部信息接口單元

外部信息接口單元主要負責一體化系統與外部設備的接口功能，包括繼電采驅接口和通信接口數據交互，接口方式與既有列控中心或計算機聯鎖系統相似，列控中心和計算機聯鎖系統集成對外部設備接口無影響。且設備集成后，各個功能模塊可以統一綜合處理外部設備接口信息，針對既有列控中心和計算機聯鎖兩套系統共用的輸入信息，有效解決由于輸入信息不一致或者信息延時所帶來的問題。從設計實現以及后期運營維護方面，均不存在技術和管理上的障礙。

2.2.3 邏輯運算單元

邏輯運算單元為系統的核心處理單元，作為列控聯鎖一體化設備最為重要的組成部分，用來實現一體化系統的功能邏輯計算。邏輯層通過二乘二取二安全平臺主機實現。軟件的功能實現按照CTCS-0 級列控系統線路和CTCS-2/CTCS-3 級列控系統線路功能分開設計獨立模塊的原則，定義模塊1 負責CTCS-0 級功能邏輯，定義模塊2 負責CTCS-2 級/CTCS-3 級功能邏輯。其中CTCS-0 級功能包括站內聯鎖邏輯、區間及站內編碼功能，區間信號機控制功能和區間方向控制功能等，不包括線路數據相關功能。CTCS-2 級/CTCS-3 級主要功能為線路臨時限速處理和報文數據處理功能。定義模塊3 負責系統內部模塊間數據交互，作為內部模塊接口，各模塊間運算結果系統充分共享，有效組織各個功能模塊協調運行。

模塊1 主要實現站內聯鎖邏輯，包括進路建立、鎖閉、解鎖，信號機控制和道岔控制。該處理方式與既有計算機聯鎖系統一致。另外還會處理既有列控中心相關的不涉及線路數據功能，包括區段編碼功能、編碼方向控制功能、區間信號機控制功能，區間方向控制功能和區間占用邏輯檢查功能等。該模塊不依賴于線路數據，且該功能的輸入相對穩定，各個子功能間關聯緊密，采取模塊集成的方式處理。

在CTCS-2 或CTCS-3 級列控系統線路上，系統功能應包括臨時限速處理和報文功能處理。臨時限速處理和報文數據處理作為列控中心系統中十分重要控車功能，邏輯運算較為復雜，且依賴于線路數據，會隨線路數據調整而調整，實際應用中有可能會出現修改較為頻繁的情況，故單獨設計功能模塊2 來實現臨時限速處理和報文數據處理。

目前CTCS-2/CTCS-3 級線路中，臨時限速命令由CTC 下發，由臨時限速服務器負責臨時限速的管理，列控聯鎖一體化系統或列控中心系統負責限速執行，通過應答器報文的方式向車載設備輸出。列控聯鎖一體化系統作為集成設備，亦可考慮將臨時限速的管理納入到列控聯鎖一體化系統的模塊2中一并處理，進一步減少現場設備維護強度。接口處理與CTC 和列控中心接口方式保持一致。

兩個不同功能的模塊雖然功能方面互不影響，獨立運算，但各模塊的內部計算結果在模塊間可以相互復用，這就需要通過設計內部關聯接口模塊，即系統通過模塊3 實現實時傳輸模塊間的共享信息。例如模塊1 在處理編碼功能時需要臨時限速數據作為輸入，模塊2 應答器報文數據處理時需要進路信息，接口模塊3 作為信息傳輸介質，負責內部模塊運算結果信息的充分共享，將模塊3 設計為共享內存區，功能模塊可直接訪問共享內存區獲取需要的輸入信息。

站內和區間線路之間的信息交互無需再通過外部接口傳輸，有效解決了信息傳輸延時、設備集成調試等問題。邏輯運算單元模塊間數據交互流程如圖2 所示。

圖2 邏輯運算單元模塊間數據交互流程Fig.2 Flow chart of data interaction between logical operation unit modules

圖3 系統功能模塊結構Fig.3 System function module structure

針對現場線路復雜，不同線路存在不同功能需求的情況，可通過功能模塊、配置數據以及接口的裁剪和組合滿足現場各種線路場景，應用于CTCS-0、CTCS-2 或者CTCS-3 級列控系統線路。根據實際線路所需需求功能對系統的功能模塊和配置數據進行裁剪、拆分組合。系統通過合理的結構分層設計來實現適配不同的線路場景需求。

2.2.4 信息維護單元

信息維護層的主要功能為對設備運行情況，系統報警和數據查詢等維護功能的實現。一體化系統將列控中心和計算機聯鎖集成，對設備的維護需求也隨之提升。信息維護層通過多個維護信息數據處理方式進行展示，通過列表、圖形、曲線描述、文字顯示等多態組合，可使維護人員清晰地了解設備運行狀態。

信息維護層還應針對系統不同功能模塊運行數據，建立起系統統一的信息拓撲關系，動態分析關聯的信息之間相互影響，使數據信息之間能夠相融合，進行集成性的聯動分析，以形成整體設備運行情況綜合狀態。

2.3 安全性分析

列控聯鎖一體化系統采用模塊化分層設計管理，對于該設計的安全性進行分析。該系統的設計通過模塊化分層思想實現，系統的安全性分析也應更加注重模塊層級的安全性評估。根據模塊實現的不同功能進行劃分，將系統模塊劃分為非安全功能模塊和安全功能模塊，其中安全功能模塊又可分為安全關鍵等級低和安全關鍵等級高的模塊。系統模塊安全分析流程如圖4 所示。

圖4 系統模塊安全分析流程Fig.4 System module safety analysis flow chart

1）非安全功能模塊：模塊本身無安全邏輯運算功能，考慮模塊的輸出數據相對于安全功能模塊的影響，確保其數據結果不對其他安全功能模塊造成影響。例如信息維護單元模塊不參與系統邏輯運算，只作為維護數據輸出記錄。

2）安全關鍵等級低的模塊：不參與系統核心邏輯運算，負責系統內部模塊接口數據流控制。例如系統內部接口單元，內部建立模塊間的安全通信協議，負責安全功能模塊間的數據信息交互，確保模塊間交互數據完整可靠。

3）安全關鍵等級高的模塊：負責處理系統功能邏輯運算，輸出數據為直接影響列車運行的安全功能模塊。對其模塊內部進行邏輯結合安全需求進行分析，同時針對模塊間運算時序、邊界值，模塊間數據流交互以及模塊間耦合度進行安全分析。

對于系統的安全分析應先選取功能模塊，確定模塊安全關鍵等級，建立安全分析模型和系統失效模型，并設計相應安全防護措施防止失效發生或降低失效發生的危害，使系統達到SIL4 的安全等級。

對于系統的安全性，同樣采用功能模塊分層的方式進行具有針對性的安全分析，既確保系統安全性又可提高系統安全分析效率。

3 總結與展望

列控聯鎖一體化作為今后的重要發展方向，有效減少地面信號系統設備數量及系統間外部接口，降低地面信號系統復雜度，充分根據當前系統功能以及當前多種系統之間的復雜接口導致難以解決的問題進行系統集成。具有功能結構劃分明確、可維護性強、實時性高等優點。在當前列控聯鎖一體化系統除實現了客專模式下的計算機聯鎖和列控中心的基礎功能外，還新增了適配新型列控系統的閉塞切換、點/滅燈控制等功能。并且已在新型列控系統上進行仿真試驗。

本文利用模塊化設計思想將各個子功能有序地結合在一起，針對客專線路功能需求，充分考慮了設計開發、現場需求以及現場運營維護等方面。結構設計清晰，實現信息有序的共享和邏輯處理，并對模塊化結構進行安全性分析。為列控聯鎖一體化系統在客專上的應用提供了有效的技術方案。