以車為核心的軌道交通列控產(chǎn)品安全平臺設計

遲寶全，侯麗君，吳 松

0 引言

基于通信技術的列車自動控制系統(tǒng)（以下稱CBTC）產(chǎn)品通常可以分為產(chǎn)品應用部分和產(chǎn)品平臺部分，CBTC 體系安全也由功能安全和技術安全兩部分組成，其中產(chǎn)品應用需滿足功能安全要求，產(chǎn)品平臺需滿足技術安全要求，二者相輔相成，密不可分，共同指引產(chǎn)品開發(fā)的方向。通常情況下，基于統(tǒng)一的產(chǎn)品平臺開發(fā)CBTC 產(chǎn)品，可以在一定程度上提高產(chǎn)品性能和工程化效率，降低使用成本和維護成本。

1 CBTC 產(chǎn)品應用和產(chǎn)品平臺的發(fā)展方向

CBTC 產(chǎn)品經(jīng)歷了十余年的發(fā)展，已經(jīng)形成了成熟穩(wěn)定的產(chǎn)品架構，如圖1 所示。其中，傳統(tǒng)CBTC 的產(chǎn)品應用包括幾個核心安全子系統(tǒng)：軌旁的聯(lián)鎖CBI 和區(qū)域控制器ZC，車載設備ATP 和ATO。在CBTC 模式下，CBI 根據(jù)ZC 的指令完成信號機和道岔的控制，ZC 根據(jù)車載匯報的位置、速度信息計算移動授權并發(fā)給車載設備，車載設備根據(jù)ZC發(fā)送的移動授權計算ATO控車曲線和ATP防護曲線，實現(xiàn)列車自動運行和安全防護。

傳統(tǒng)CBTC 的產(chǎn)品安全平臺通常分為軌旁安全平臺和車載安全平臺，由于軌旁設備和車載設備在接口、功能、性能和環(huán)境指標要求等方面存在一定的差異，出于成本和可實現(xiàn)性考慮，兩種產(chǎn)品平臺通常是獨立設計、分別維護。該做法的優(yōu)點是安全平臺設計實現(xiàn)相對容易，缺點是需要維護多個軟硬件版本，而且長期應用的成本較高。

圖1 傳統(tǒng)CBTC 系統(tǒng)架構

隨著列控技術的不斷發(fā)展，在傳統(tǒng)CBTC 的基礎上，列控系統(tǒng)出現(xiàn)了一些新的發(fā)展方向，如互聯(lián)互通、全自動無人駕駛FAO、車車通信，以及多種信號制式，如有軌電車、跨座式單軌、懸掛式空軌、APM（自動旅客捷運系統(tǒng)）、市域鐵路等。相應地，產(chǎn)品應用對產(chǎn)品平臺也提出了新的發(fā)展需求，這些需求包括但不限于：

（1）兼容歐標、美標，滿足不同信號制式的需求；

（2）支持RSSP-I/II 安全協(xié)議，滿足互聯(lián)互通標準的需求；

（3）支持CANOpen、MVB、TRDP，滿足車輛總線接口IEC 61375 標準的需求；

（4）支持模塊化、獨立控制、靈活配置、快速組網(wǎng)，滿足車輛信號融合的需求；

（5）支持衛(wèi)星定位、雷達防撞、多傳感器融合，滿足列車測速定位和自動防護的需求；

（6）支持大數(shù)據(jù)量通信、大運算量，性能卓越，滿足車車通信的需求；

（7）診斷維護功能智能化，滿足信號系統(tǒng)智能運維的需求；

（8）低成本、低功耗、小型化、全電子化，滿足軌旁設備一體化和全電子化的需求；

（9）硬件資源豐富，可擴展性強，滿足定制化和工程化的需求；

（10）高可靠性，長產(chǎn)品生命周期，滿足無人駕駛的需求。

本文所介紹的產(chǎn)品平臺在滿足安全性和可靠性的前提下，主要考慮車車通信以及車輛與信號系統(tǒng)深度融合的相關需求，并根據(jù)列控產(chǎn)品的演進方向，提出一種通用的產(chǎn)品平臺設計方案。

2 以車為核心的下一代列控產(chǎn)品特點

基于車車通信的下一代列控系統(tǒng)結構如圖2所示，其主要特點之一是以車為核心，列車自主運行，軌旁設備簡化為受控于車載設備的目標控制器或電子執(zhí)行單元。車載設備相比以前更加智能化，承擔了聯(lián)鎖控制和安全防護全部功能，通過預定、使用和釋放的方式共享線路資源，通過車車通信，后車可以直接獲取前車的位置、速度、狀態(tài)信息，實現(xiàn)列車追蹤，減少了與軌旁設備的交互環(huán)節(jié)，降低了追蹤間隔，提高了行車效率。同時，由于系統(tǒng)簡化了軌旁設備，優(yōu)化了系統(tǒng)內(nèi)部接口，從而降低了系統(tǒng)復雜度，提高了系統(tǒng)實時性和可靠性，降低了實現(xiàn)難度和全生命周期的維護成本。

圖2 基于車車通信的下一代列控系統(tǒng)架構

基于車車通信的下一代列控系統(tǒng)的另一個主要特點是車輛與信號系統(tǒng)的深度融合（圖3）。所有信號設備（如ATP 和ATO 等）和車輛設備（如TCMS、牽引系統(tǒng)、制動系統(tǒng)、門控制系統(tǒng)、空調(diào)系統(tǒng)、火災報警系統(tǒng)、旅客信息系統(tǒng)等）都作為通信節(jié)點納入車輛網(wǎng)絡統(tǒng)一管理，同時充分利用車輛和信號系統(tǒng)的速度傳感器，提高速度信號的可靠性和冗余性。該方案摒棄了傳統(tǒng)的信號車載設備與車輛的特殊接口設計，取消傳統(tǒng)車載信號系統(tǒng)的內(nèi)部獨立網(wǎng)絡，從列車全系統(tǒng)出發(fā)，將列車所有功能（含所有安全功能，如列控、牽引、制動、車門控制等）進行一體化設計，進一步降低了設備成本，提高了系統(tǒng)的性能和可靠性。

圖3 車輛與信號系統(tǒng)深度融合示意圖

3 以車為核心的下一代列控產(chǎn)品平臺

如前文所述，以車為核心的下一代列控產(chǎn)品平臺邊界及可配置性必須滿足車輛和軌旁設備的通用接口需求，并在不同的應用場景下實現(xiàn)靈活配置，該產(chǎn)品平臺的通用接口包括但不限于：外部通信接口、診斷維護接口、信標接口、車輛接口、軌旁接口、安全輸入輸出接口等。該產(chǎn)品通用功能包括但不限于：初始化上電自檢、輸入輸出管理、系統(tǒng)內(nèi)同步管理、安全表決管理、系統(tǒng)間同步切換管理、外部安全通信管理、在線自檢管理、故障管理、診斷維護管理、周期調(diào)度與監(jiān)控管理、時鐘管理、用戶接口管理等。

以車為核心的下一代列控產(chǎn)品平臺的外部接口及可配置方案設計如圖4—圖6 所示。

圖4 軌道交通列控通用安全產(chǎn)品平臺

圖5 車載安全產(chǎn)品平臺

圖6 軌旁通用產(chǎn)品平臺

除了外部接口需兼容軌旁和車載信號系統(tǒng)的需求之外，該產(chǎn)品平臺的內(nèi)部通信架構還需滿足車輛與信號系統(tǒng)深度融合的需求，該產(chǎn)品平臺的通用模塊包括但不限于：診斷維護單元、通信管理單元、安全計算單元、離散I/O 單元、模擬I/O 單元、自動駕駛單元、電子執(zhí)行單元等。

該產(chǎn)品平臺由高度可復用的抽象化的外設單元和標準化的控制模塊組成，所有模塊和外設單元均基于以太網(wǎng)安全總線實現(xiàn)信息交互，并需要滿足最高安全等級SIL4 要求。在該系統(tǒng)中，通信協(xié)議完全基于EN 50159 標準開發(fā)，物理層采用100 M高速以太網(wǎng)，可實現(xiàn)雙網(wǎng)冗余管理。在所有模塊的通信管理方面，可根據(jù)設備的類型和ID 靈活分配IP，實現(xiàn)快速組網(wǎng)和實時通信。產(chǎn)品平臺基于以太網(wǎng)的分布式架構也使得該車載信號產(chǎn)品更加容易直接接入車輛網(wǎng)絡，實現(xiàn)車輛與信號系統(tǒng)的一體化設計。

為了實現(xiàn)產(chǎn)品平臺的通用性，所有安全模塊均采用統(tǒng)一的核心板卡和平臺軟件實現(xiàn)，擁有獨立的系統(tǒng)調(diào)度、在線自檢、仲裁服務、時鐘管理、模塊通信、存儲管理、I/O 管理、故障管理等功能，該產(chǎn)品平臺的分層結構如圖7 所示。

圖7 通用軌交產(chǎn)品平臺分層結構

4 結語

車車通信作為下一代列控產(chǎn)品的發(fā)展方向，其產(chǎn)品平臺相對于傳統(tǒng)的CBTC 系統(tǒng)平臺而言，除了安全性和可靠性的要求之外，還需要更靈活的擴展性和可配置性，以滿足車輛信號一體化以及軌旁系統(tǒng)小型化和全電子化的要求。本文介紹了一種以車為核心的列控產(chǎn)品平臺設計方案，該產(chǎn)品平臺完全實現(xiàn)自主研發(fā)并通過獨立第三方SIL4 等級安全認證。下一步該產(chǎn)品平臺將通過適當?shù)臄U展，應用于車車通信以及各種多制式列控項目中。