一種高速鐵路銜接站點滅燈進路聯鎖軟件實現方法

徐德龍

(1.中國鐵道科學研究院通信信號研究所，北京 100081；2.中國鐵道科學研究院國家鐵路智能運輸系統工程技術研究中心，北京 100081)

在普速鐵路上，地面信號機為常態點燈狀態并作為行車的主體信號，滅燈時視為禁止行車。而在高速鐵路上，因在高速下觀察地面信號駕車已來不及反應，以及考慮節約供電、有故障時地面與車載可能會顯示不一致等因素，將站內列車信號機按常態滅燈設計，并且取消了區間通過信號機，司機按車載ATP行車。在聯鎖技術要求上，常態滅燈和常態點燈的信號機顯示及控制方式存在較大差異。常態滅燈的信號機有點亮和熄滅兩種狀態，辦理進路分點燈的進路和滅燈的進路。常態滅燈的信號機辦理點燈的進路，除檢查道岔、軌道電路等聯鎖關系外，向不設區間通過信號機的自動閉塞區間發車還須檢查區間空閑，如果是站內接車，須檢查次一架信號機已著燈等等[1]。這些差異帶來很多聯鎖軟件需要實現的新功能，總結如下：點亮或熄滅信號機燈光、點/滅燈狀態列車進路辦理、發車進路的檢查、信號機點/滅燈狀態轉換等。

不僅如此，當高速鐵路線路和普速鐵路線路貫通連接時，情況更為復雜。按照文獻[2]的描述有6種常見的銜接方式。特別是當高速場和普速場混用一個車場，在站場布局時將常態滅燈信號機和常態點燈信號機布置在同一個車站，這將對聯鎖實現提出更大的挑戰。本研究基于站場圖形網絡軟件架構的模塊狀態和消息方法，再輔助以布爾表達式，提出一種銜接站點滅燈進路聯鎖軟件實現方法。

1 銜接站點滅燈原則的研究現狀

關于高速鐵路銜接站信號機設置和顯示，因平衡安全和效率，一直存在爭議。

在技術標準/規范方面，2010年原鐵道部運輸局頒布了《客運專線銜接站信號機設置主要技術原則V1.0》，文中規定了銜接站地面信號機的設置原則[2]。該文件是關于銜接車站站型設計和運輸組織方面相對完整的技術文件。但由于存在設計不足，2012年該技術文件廢除。后續的標準/規范，僅原則性地對銜接站出站信號機機構標準提出要求[3]，并無其他相關內容。

在學術研究方面，對于銜接站點滅燈設計，一些學者有過研究，但多為工程設計角度。沈志凌(2012)提出減少銜接站信號機設置類型、銜接車站信號機采用一種設置標準、客貨共線線路引入高速鐵路車站時出站信號機的機構類型等具體建議[4]。石先明(2016)建議銜接站出站信號機常態點燈，信號顯示分別執行普速、高速鐵路的標準[6]。

在聯鎖軟件實現方面，臧永立、徐德龍等(2011)介紹了僅開行動車組的成灌鐵路信號機點滅燈功能需求和軟件要求[7]。袁湘鄂、段武等(2016)介紹了計算機聯鎖系統軟件的兩種實現架構，并介紹了聯鎖軟件的層次結構[8]。目前，尚沒有學者對于銜接車站站內常態點燈和常態滅燈進路聯鎖軟件實現方法深入到軟件設計實現方面。

2 常態滅燈和常態點燈混合布置的一種聯鎖軟件設計方法

2.1 軟件需求

對于銜接車站，最為復雜的應屬于高速鐵路和普速鐵路兩種類型線路的交匯站，該站的區間既有設通過信號機的既有線路，也有僅設信號標志牌的高速線路。該站既有普速列車運行，也有裝載了ATP的動車組，接發列車還存在交叉越線運行[4，9-10]。很多文章對站型有過研究[11]，比較典型的是文獻[2]中的第一種，如圖1所示。該站1G～4G出站信號機常態滅燈，VG～8G出站信號機常態點燈。

2.2 基本方法

基于站場圖形網絡的聯鎖軟件原理是：在規定的控制周期內，程序中的“信號設備”以模塊的形式按站場圖形連接的順序通過消息相互關聯，一個模塊的輸出消息作為下一個相鄰模塊的輸入消息，各模塊依據命令和輸入消息進行檢查、運算，是實現道岔轉換控制、進路鎖閉、信號開放控制等功能的一種方法[12]。如圖2(a)所示，以控制周期500 ms為例，畫出了模塊和消息傳輸的示意圖。各模塊的布局是按站場圖形固定從左向右和從右向左兩種排列方式，在奇偶周期按照兩種排列交替運算。根據設備類型以及功能需求，一般歸類為以下模塊：信號、道岔、防護道岔、無岔區段、股道、盡頭線、半自閉結合、自閉結合、場間聯系結合等模塊。其中，道岔模塊的輸入/輸出消息存在兩個分岔的情況，兩個分岔的消息處理原則在方法上是相同的。

進路處理的基本原理。對于辦理一條進路而言，根據操作人員下達的操作命令、消息和模塊的固有屬性來確定進路的起點和終點。起點稱之為進路始端模塊，終點稱之為進路終端模塊，起點和終點之間途經的模塊為中間設備模塊。從始端信號傳遞的消息，將沿著進路中的模塊傳遞到進路的終端模塊；在下一個控制周期，模塊按相反的方向運算，該進路終端的模塊將要處理的消息沿著站場圖形傳遞到進路的始端模塊，如圖2(b)所示。進路狀態的轉換、道岔的控制命令輸出、聯鎖條件的檢查等將都在這一消息網絡中完成。為了減少消息傳遞和處理的復雜性，一般傳遞的消息僅表示該進路的檢查條件正確與否、邏輯處理是否完成等兩方面邏輯。

圖1 銜接站類型舉例

圖2 進路模塊和消息傳輸示意

進路的工作機制。如果用一個二維坐標系來表示進路的工作過程，可以用X軸橫坐標表示聯鎖模塊，用Y軸縱坐標表示時間，將一條進路和進路上相關模塊的動作時序按照Y軸的時間先后表述出來。如圖3所示，能直觀看出隨著時間模塊狀態的變化，以及消息在站場圖形模塊中按從左向右和從右向左兩個方向交替傳輸的過程。

圖3 進路的工作機制示意

進路的狀態及消息一般歸為兩大類，一是選路狀態及消息，二是進路狀態及消息。選路狀態及消息，主要是確定進路的路徑、檢查及確定道岔目標位置和對應的消息傳遞；進路狀態及消息，主要是從進路確選到進路解鎖各狀態的檢查、處理和對應的消息傳遞，包括進路確選、進路鎖閉、信號開放前檢查、進路保持、正常解鎖和取消進路等處理。

2.3 銜接站軟件要點

(1)頂層設計。如表1所示，進、出站信號機辦理進路要綜合考慮表中的檢查條件[5](向區間發車僅列舉了正向發車的情況)，情況相對復雜。檢查條件是由始端點滅燈屬性、狀態和終端的區間屬性共同確定的。鑒于檢查的條件與終端的關聯度更高，所以將進路始端的點滅燈狀態轉移到終端，與終端的區間類型聯合后處理聯鎖邏輯。因此，做好狀態處理、并利用好終端狀態是關鍵。

(2)確定銜接站軟件實現層次。根據技術標準的部分要求，能確定銜接站軟件的層次結構。根據文獻[9]條款6.2.3.4的要求，進站信號機點亮并辦理了接車進路，對應進路股道上起阻擋作用的信號機應自動點亮紅色燈光[9]，確定在進路“選路”階段增加銜接站的邏輯，即第一層次在“選路狀態和消息”處。同樣根據條款6.2.3.4第二條的要求，若同向出站信號機不能點亮時，進站信號機不應開放[9]，確定第二層次在“進路狀態和消息”處，具體在“信號開放”狀態前和“進路保持”狀態處。第一、二層次狀態和消息定位示意如圖4所示，其他技術要求對應的層次不再一一說明。下面以這兩個層次為例進行詳細說明。

表1 辦理接車、發車進路新增的檢查條件

圖4 銜接站軟件第一、二層次狀態和消息定位示意

(3)第一層次設計方法。第一層次設計包括兩部分，一是設置進路終端的點滅燈狀態，二是進路終端與始端的點滅燈狀態一致性檢查處理。

①設置終端點滅燈狀態。消息傳遞把點滅燈狀態傳遞到終端模塊并記錄下來。進路的狀態與進路始端的狀態是一致的，分別是常態滅燈的信號機辦理點燈進路、常態滅燈的信號機辦理滅燈進路、常態點燈的信號機辦理進路3種狀態。對于常態滅燈的信號機，當操作人員將其“點燈”，始端向終端傳遞0X0A16消息，該消息傳遞到終端時，將終端KDZT(點滅燈狀態)置為0X06，如果終端模塊是股道或無岔，完成后向次一架列車信號機傳遞0X0A17消息并將其置為點燈，完成后消息清零。其他兩種情況見圖5。

圖5 設置點滅燈狀態設計方法

②終端與始端點滅燈狀態一致性檢查。進路終端根據狀態值(0X06、0X0A、0X08)分別發出不同的檢查消息，消息傳送到進路始端后，與始端狀態比對。檢查的目的是當檢查消息傳輸到進路始端時，如果發現終端的點滅燈狀態與始端信號不一致，及時將進路自動退回/取消，不影響后續進路的辦理，這屬于軟件的一種常用防御措施。

(4)第二層次設計。第二層次設計包括兩部分，一是信號開放前條件檢查，二是信號保持檢查。

①信號開放前條件檢查。進路終端首先檢查區間運行方向及開通條件，滿足后檢查點滅燈相關的邏輯條件(當終端檢查條件不滿足時，進路保持等待狀態)。以圖1的出站信號機XI(常態滅燈)、XVI(常態點燈)向區間SN口(區間不設置通過信號機)、SJN口(區間設置通過信號機)的發車為例進行說明。按照表1，如果向區間正向發車，共有6種進路情況。檢查條件如圖6所示。

圖6 信號開放前點滅燈條件檢查設計方法

②信號保持檢查。信號開放以后，在列車壓入進路前，信號將持續保持開放。為防止狀態錯誤后，失去對區間條件的檢查，仍需不間斷核對進路的點滅燈狀態。檢查的設計方法如圖7所示。信號保持檢查時，對區間運行方向、開通條件的檢查與“開放前檢查”一致，在檢查通過后，對發出的消息進行差異處理。消息值與始端信號的點滅燈狀態校核，如果一致，進路保持開放；如果不一致，則轉故障。

圖7 信號保持階段點滅燈狀態檢查設計方法

3 常態點燈和常態滅燈信號機交叉的通過或組合長進路應用分析

3.1 應用場景

常態點燈和常態滅燈信號機交叉設置的情況有兩大類，一類是進站常態點燈、出站常態滅燈，另一類是進站常態滅燈、出站常態點燈。目前第二種情況在工程上很少有應用。以第一種情況動車段的銜接站為例。動車段內信號機一般常態點燈，當段內設有車輛維修基地時，相連接的區間需設雙向通過信號機[4，16]，見圖8。為了區間通過信號機顯示電路的設計，以及考慮操作人員接非動車組列車時可能會存在漏辦理進站“點燈”等問題，將銜接站進站信號機X、XN設置為常態點燈。出站信號機XI～X4按照高鐵標準設置為常態滅燈，該站辦理下行通過進路分進站點燈出站滅燈、進站點燈出站點燈兩種情況。

3.2 聯鎖軟件處理

按照文獻[9] 6.2.3.6條款要求，常態滅燈的高鐵正線車站，辦理通過進路時，應檢查通過進路上的列車信號機點燈、滅燈狀態一致。另外，信號機一般設計為由遠端信號開始依次開放(通過進路可以適當放寬要求，接車、發車進路同時選出成功即可)。基于這些技術特點，在處理點滅燈相關狀態和消息時，通過進路、組合長進路都應該將多條進路協同處理。下面選取設置各進路點滅燈狀態和檢查為例進行說明。

(1)置各進路終端點滅燈狀態。為了保持進路的一致性，通過進路/組合長進路在選路狀態階段一般仍為一條大進路。那么設置終端模塊的點滅燈狀態，因沒有操作命令，應結合消息和模塊的固有屬性判斷進行設置。由于跨咽喉通過進路的聯鎖特殊技術要求，所以通過進路采用了有別于同一咽喉的特殊消息。圖9描述了由兩條進路組成，辦理常態點燈的進站信號機的通過進路和組合長列車進路的情況。

(2)終端與始端點滅燈狀態檢查。多段進路要由最遠端向近端逐一檢查。下面以辦理兩條進路的組合進路為例，第一條組合進路為兩架常態滅燈信號機辦理點燈的組合進路，第二條進路為一架常態點燈信號機、另一架常態滅燈信號機點燈辦理組合進路，詳見圖10。其他滅燈終端和常態點燈終端情況類似。

圖8 高鐵正線車站與動車段連接示意

圖9 通過進路和組合長進路設置點滅燈狀態設計方法(一)

圖10 通過進路和組合長進路點滅燈狀態檢查設計方法(二)

4 基于布爾表達式的信號顯示實現方法

依照《鐵路車站計算機聯鎖技術條件》(TB/T3027-2015)6.2.6條款對于控制臺列車信號機顯示的要求，對于點燈狀態的列車進路，控制臺列車信號機顯示應與室外一致；對于滅燈狀態的列車進路，控制臺列車信號機按四顯示原則顯示[9]。按照這一原則，進站、出站信號機都要有對應點滅燈的設計，這必然比普速鐵路信號顯示更復雜。

基于站場圖形網絡模塊狀態和消息的方法，在進路選路、開放等邏輯處理方面優勢是明顯的。對于信號顯示，需要關聯終端多個閉塞分區的狀態變化，仍利用消息實現困難。本信號顯示處理方法采用模塊表示信息，通過構建數據邏輯的類似布爾運算的方式實現[14]，即根據KDJ、LXJ、FJ、2LQ、3LQ等狀態處理點滅燈的綠、綠黃、黃顯示。本方法的優點是對模塊化程序的依賴小，編寫靈活，缺點是數據需要人工編寫，容易出錯。但固定數據格式后，可采用人工智能實現數據自動生成，能克服問題并提高生產效率。

對于信號顯示邏輯，增加關鍵數據校驗。基于上述方法實現的信號顯示，如數據缺少檢查條件，僅通過聯鎖試驗有時很難發現，但其帶來的缺陷是不能接受的，尤其是通過進路和組合長列車進路等由兩條或多條進路組合而成的情況檢查條件更多。因此，比較有效的方式是在以上數據形成有效輸出前，增加第二套程序進行校驗。編制獨立信號顯示校驗軟件并配合第二套關鍵數據，對通過進路和組合進路信號顯示進行校驗，確保顯示邏輯的正確性。關鍵數據包括每一條進路的始端、終端等。

5 銜接站新增軟件安全性分析

5.1 風險點

銜接站軟件最大的風險就是點滅燈進路的差異部分。如果進路的狀態被錯誤的修改或者是軟件設計上的缺陷，導致失去對區間空閑條件的檢查是存在的最大風險。具體風險點有以下3個方面。

(1)內存錯誤。由進路終端檢查區間條件，如果出現內存物理故障或其他軟件異常，要防止終端狀態出現錯誤的情況。

(2)漏檢查條件。有3種漏檢查條件的可能，一是兩條部分重疊的進路，第一條進路檢查條件正確，第二條進路檢查條件缺失，而缺失的部分還是與第一條進路重疊的部分；二是同一進路點燈進路或滅燈進路有漏檢查條件的情況；三是由于銜接站的復雜性，向某一區間或股道辦理的進路檢查條件缺失。

(3)信息保留。出現驅動信息、采集信息、通信接口發送信息、接收信息使用后不能及時清除、維持過時數據的情況。

5.2 主要安全防御措施

以上風險點要在故障以后導向安全[17]，滿足故障-安全原則，其風險防御措施見表2。

(1)采用“動態原則”

在每個周期的邏輯運算中，無論輸入信息是否有變化，均需進行全面的邏輯運算，確保狀態的有效更新[8]，這就是軟件處理的“動態原則”。在本軟件中關于開放信號實時檢查進路點滅燈狀態的處理就是動態原則的應用。

表2 風險點及風險防御措施

(2)遵循“一次性有效”原則

計算機設備對于信息的處理避免不了記錄信息的狀態，即“存儲”信息。這種“存儲”在不利的情況下不能及時清除，也就是“信息保留”則會影響行車安全。遵循“一次性有效”原則，能有效保證信息實時更新，防止信息保留。在本軟件中對涉及安全的變量信息、驅動信息等采取一次性有效的原則，隨用隨清除，及時將變量置位于安全側。

(3)采用“冗余編碼”原則

依照文獻[9]條款8.3.4的規定，與行車安全有關的信息編碼，非安全側碼字和安全側碼字的比率不應小于255∶1。在本軟件中，所有與安全有關的變量/信息都采用字節型變量，并定義變量的有效值，減少變量值變異帶來的風險。

(4)采用“站場圖形網絡結構”

該方式采用與站場圖形相對應的模塊連接方式，各模塊之間相互關聯制約，所有經過模塊的進路具有相同的條件，減少數據錯誤帶來的風險。另一方面，在某些內存錯誤時能起到防范作用。

(5)采用“一致性反復檢查”

進路終端與始端的“狀態一致性檢查”能有效防止基于站場圖形網絡方式軟件的內存錯誤帶來的風險。始端向終端發送消息設置終端的點滅燈狀態，但是否設置成功始端并不知道，通過終端向始端回執的消息，檢查了終端與始端點滅燈狀態的一致性，從而完整的完成了點滅燈狀態的設置。信號開放后，每個周期依然增加對進路始端和終端點滅燈狀態的校核檢查，避免終端狀態失效帶來的風險。

5.3 與既有軟件的兼容性

對既有軟件影響方面，軟件架構維持原有的“站場圖形網絡”，向下兼容，能同時適用普速鐵路車站，軟件的可擴展性、可維護性不受影響[18]。

6 結語

(1)通過對銜接站點滅燈功能需求的深入分析，基于站場圖形網路的模塊狀態和消息傳遞方法，提出了常態點燈、常態滅燈以及兩種方式組合的進路的合理實現方法。

(2)對于信號顯示的實現，采用基于布爾運算的方法，根據相關表示信息構建顯示邏輯。并基于進路信息，編制第二套校驗軟件配合關鍵數據，有效提高軟件的安全性。

(3)通過對銜接站新增聯鎖軟件的安全性分析，包括風險點、主要安全防御措施及對既有軟件影響分析3個方面，認為基于站場圖形網絡和布爾運算的高速鐵路銜接站點滅燈進路聯鎖軟件實現方法符合產品安全性要求，適合于工程推廣應用。

[1] 中國鐵路總公司.鐵路技術管理規程(高速鐵路部分)[M].北京:中國鐵道出版社，2014.

[2] 鐵道部運輸局.運基信號[2010]650號 客運專線銜接站信號機設置主要技術原則V1.0[S].北京:鐵道部運輸局，2010.

[3] 國家鐵路局.TB10621—2014 高速鐵路設計規范[S].北京:中國鐵道出版社，2015.

[4] 沈志凌.客運專線銜接站及聯絡線信號機布置研究[J].鐵道標準設計，2012(12)：96-102.

[5] 秦樹增.鐵路樞紐銜接站信號顯示關系探討[J].鐵道通信信號，2012(12):31-33.

[6] 石先明.客運專線鐵路與普通鐵路地面信號顯示標準的兼容性研究[J].鐵道標準設計，2016(3):139-146.

[7] 臧永立，徐德龍，王俊高，等.成灌鐵路計算機聯鎖系統的設計與實現[J].鐵道通信信號，2010，46(10):20-23.

[8] 袁湘鄂，段武.計算機聯鎖系統[M].北京:中國鐵道出版社，2015.

[9] 國家鐵路局.TB/T 3027—2015 鐵路車站計算機聯鎖技術條件[S].北京:中國鐵道出版社，2015.

[10] 陳晨.客運專線銜接站信號機設置方案探討[J].鐵道通信信號，2014(8):16-18.

[11] 袁湘鄂，徐德龍.計算機聯鎖設備專項測試研究[J].鐵道通信信號，2014(8):1-6.

[12] 中國鐵路總公司.鐵總運[2014]355號 車站聯鎖設備維護管理辦法[S].北京:中國鐵路總公司，2014.

[13] 中國鐵路總公司.鐵總運[2016]147號 車站計算機聯鎖操作顯示技術規范[S].北京:中國鐵路總公司，2016.

[14] 陳玲，蔡琦，尚彥龍.基于布爾代數與模糊邏輯的核動力系統技術狀態評估[J].原子能科學技術，2010(S):394-398.

[15] 何文卿.6502電氣集中電路[M].北京:中國鐵道出版社，1997.

[16] 袁俊喜.長春動車走行線信號機設置方案及客運專線信號機設置探究[J].鐵道標準設計，2014(2):84-93.

[17] 中華人民共和國鐵道部.TB2615—94 鐵路信號故障-安全原則[S].北京:中國鐵道出版社，1994.

[18] 劉鵬.基于站場圖形網絡的計算機聯鎖軟件在高速鐵路的應用研究[J].鐵道標準設計，2016(9):141-145.