單CPU架構聯鎖對外安全通信改造方案

卡斯柯信號有限公司 喻 焰 許明旺 謝千野

采用一種單CPU架構系統的對外安全通信設計思路，在不改變硬件的情況下，使VPI型計算機聯鎖系統滿足RSSP-I通信協議的安全要求，適應北京地鐵5號線大修工程中聯鎖外部安全接口變化。

1 改造背景

作為北京南北方向大動脈的地鐵5號線，近年來運力不斷提高、密度不斷加大。然而負責ATC（列車自動控制）功能的TCOM系統為單系配置，板卡不具備熱更換能力，一旦出現故障，將直接影響地鐵高強度的安全運營。由于TCOM系統的供貨商美國西屋公司已退出中國軌道交通市場，經過多方研究論證，決定在5號線大修工程期間，采用國產低頻發碼設備LFCT系統替換TCOM系統，實現熱冗余能力。

鑒于本次大修中的ATC設備變更，提供聯鎖功能的VPI系統必須改造原有的TCOM軌道發碼接口為新的LFCT接口。對于聯鎖系統來說，主要難點：一是原VPI-TCOM通信協議需采用新協議實現VPILFCT通信，并提升傳輸安全性；二是在硬件不改變的前提下，VPI系統對外安全通信接口的改造不能影響原有聯鎖功能和性能。

2 設計優化

軌道交通信號行業的安全系統基本采用多重冗余設計，以聯鎖系統為例，同一個車站的聯鎖，至少是雙機熱備系統，主備系皆有很多外部安全接口需求，安全系統之間的通信常采用行業內公認的幾種安全協議，如RSSP-I協議等。

對于外部功能的拓展，傳統的做法是為系統直連新的安全接口，但這樣做會增加系統處理上的負擔，比如運算能力，周期時序等問題。另外，隨意的增加接口對系統的安全獨立性問題也會產生挑戰。

為了克服上述缺點，更有效的方法是在安全系統中增加處理對外通信的專用接口CPU模塊。通過接口CPU來隔離邏輯運算CPU與外界的直接聯系，保證邏輯運算CPU自身的運算安全穩定。接口CPU可以與各種通信協議類型的外部設備進行通信，然后再通過算法轉化為邏輯運算CPU認可的統一協議，邏輯運算CPU幾乎不用關心對外新增的通信協議，提升了整個系統的擴展性。

如圖1所示，接口CPU作為系統A的一部分，與外界其他系統B1、B2…..Bn鏈接，可采用網絡、串口、CAN口等物理連接方式。

圖1 一種優化的單CPU安全通信架構設計

接口CPU負責按照相應的通道要求Cn和安全協議要求Pn，同外部安全系統Bn進行安全通信，來自于Bn的安全數據按照接收幀的格式存儲在接口CPU中，同時接口CPU會把發送幀傳輸給Bn系統。假定B1和B2是同一外部系統的組合，接口CPU還會對B1和B2傳輸過來的安全數據進行預處理操作，比如采用合幀的方式，以減少系統A運算CPU的邏輯運算壓力。

接口CPU對外部系統的數據進行算法轉化，添加時間戳等必要的防護，變為系統A運算CPU認可的單一通信格式數據，簡化系統A運算CPU的復雜度，使得系統A運算CPU的大部分能力保留在既有功能的運算執行上。

3 改造方案

在北京地鐵5號線的軌旁信號系統中，CI（計算機聯鎖）通過高速串口向地面自動列車控制系統ATC發送軌道電路編碼信息，該信息與列車速度、運行區段等被車載設備共同組成“目標-距離”控車模式。聯鎖系統的軌道發碼接口，作為該信息的承載通路，須滿足高安全、高可靠的傳輸要求。

北京地鐵五號線原CI-ATC架構如圖2所示，VPI系統AB雙機的VCOM通信板與單系配置的TCOM系統CCM通信板之間串口直連，采用HDLC（高級數據鏈路控制）通信協議保障數據傳輸。當TCOM為單系配置，一旦故障，VPI系統將直接丟失對軌道電路的發碼能力，該結構缺乏冗余性。

圖2 VPI-TCOM結構簡圖

HDLC協議的使用限制在于沒有指定字段來標識已封裝的上一層協議，每個廠商的HDLC格式都是私有不兼容的，鑒于主導該接口的協議條件需要考慮替換，而且VCOM與CPUPD通路上的數據為裸數據，傳輸過程中碼位跳變防護的能力不足，安全性不高。

改造后的新CI-ATC架構如圖3所示，VPI系統AB雙機的VCOM通信板與LFCT系統的AB雙機串口交叉互連，采用RSSP-I（鐵路信號安全協議-I型）通信協議保障數據傳輸的安全性。由于VPI和LFCT系統皆為雙機熱備結構，任何一個系統的單系故障，都不影響VPI對軌道電路的發碼能力。

圖3 VPI-LFCT結構簡圖

RSSP-I通信協議作為軌道交通行業公認的封閉式網絡安全協議，提供了完善的安全通信保護機制。VPI系統在采用該協議時，比較簡單的設計是通過CPUPD運算板直接與LFCT雙系進行串口通信。但CPUPD板本身要處理繼電器采集數據、鄰站CI信息等聯鎖核心邏輯，這種設計會增加CPUPD板的運算負荷，另外隨意的增加外部接口對既有系統的安全獨立性也帶來了挑戰。

為了克服上述缺點，保持既有聯鎖性能和安全等級不下降，本次改造，VPI系統采用上述單CPU架構的對外安全通信設計思路，VCOM通信板負責與LFCT系統通信的RSSP-I協議數據收發工作，然后通過算法轉換，使RSSP-I協議數據變為CPUPD板既有的FSFB2（第二代故障安全總線）協議數據，最后在CPUPD端完成軌道編碼相關的邏輯處理。該設計使VCOM板隔離了CPUPD板與外界的直接聯系，VCOM板可隨意拓展各種通信協議，而CPUPD板只需關注自身認可的某一種通信協議，松耦合的設計保持了運算單元的安全獨立性，也降低了運算單元的負荷。

結束語：在不改變VPI系統硬件的前提下，對系統內部結構優化設計，最小化改造成本。通過算法轉換，數據流全程強編碼防護等手段，使VCOM通信板與CPUPD運算板組合實現對外安全通信功能。經必維質量技術服務（意大利）有限公司第三方安全評估，該方案獲得了SIL4認證，為后續工程實踐提供了理論支持。

VPI與LFCT接口研發成功后，大修工程于2017年4月開始實施，北京地鐵5號線正線10個車站和2個試車線的TCOM系統逐步完成了國產化替代。經過2年多的正式運行，VPI聯鎖系統功能穩定、通信正常，與LFCT系統配合，一起降低了5號線運營壓力，為北京城市軌道交通提升了經濟價值和社會效益。