一种铁路信号安全控制平台的研究

GXF360 2019-09-06

展开全文

引言

目前，在我国上道运行的各种铁路信号计算机安全控制系统核心设备，如车站计算机联锁、车站列控中心、列车超速防护等系统的规模、数量都居于世界前列，但大多都采用引进的计算机安全平台，并且同一计算机安全平台在不同系统间的兼容性又相对较差。国内对信号安全控制系统的平台化概念认知较晚、总体认识水平较低；在很长的时间内比较普遍地存在重应用开发、轻平台作用的现象。而随着高速铁路、城际铁路以及城市轨道交通的建设，对信号系统设备的安全性、可靠性、可用性和可维护性(RAMS)要求的提高，使信号安全控制系统的开发成本急剧增加。目前全路安全信号控制系统正在大面积地推广更新，而具有统一的开发标准及通用接口的系统平台目前还不够成熟，国外的部分厂商已经具有了系统化、体系化的安全控制平台，这无疑增加了国内信号安全控制系统平台化研究的紧迫程度。本文从总体设计原则、基本硬件结构和软件结构等三方面论述能适应并满足新时期各种铁路信号安全控制系统兼容性、安全完整性要求的信号安全控制平台。

1 信号安全控制平台的设计原则

信号安全控制平台是一类具有铁路信号特殊安全需求的计算机应用平台，其总体设计原则是在满足各种信号安全控制系统可靠性要求的同时，还要具有平台化的通用性和可扩展性[1]。

信号安全控制平台的可靠性体现在除了实现特定系统所要求的基本功能并达到基本性能要求之外，还须符合相应的RAMS(可靠性、可用性、可维护性和安全性)需求以及达到规定的安全完整性要求[2]。

信号安全控制平台的通用性和可扩展性体现在同一应用平台可承载不同的应用软件，能够构成不同的应用系统。应用开发用户可在选定适用的应用平台之后，仅通过应用软件的开发和相应的硬件配置，就能构建一类应用系统；而无需再对类似的每一个应用重复进行大量基础的软、硬件开发工作。

设定初始条件为(10-9,0,0,0),以系统式(4)参数r1为可调节参数。当r1逐渐从2.60变化到2.85时,部分典型相轨图的演变情况如图5所示。当r1=2.60时,系统运行在周期1状态,如图5(a)所示;当r1=2.65时,系统工作在周期2状态,如图5(b)所示;当r1=2.75时,系统的振荡轨迹为单涡卷混沌吸引子,如图5(c)所示;而当r1=2.85时,系统则以周期3行为振荡,如图5(d)所示。因此,随着参数变化,改进型文氏桥混沌振荡器存在周期极限环、混沌吸引子以及倍周期分岔等复杂动力学行为。

信号安全控制平台通常主要由特定的硬件和软件所组成。信号安全控制平台硬件是针对铁路信号控制安全侧[3-4]明确的特点进行设计，基于失效-安全原则满足SIL4级安全完整性[5]要求的计算机平台，通过二乘二取二冗余设计及特有的拒绝机制[6]，确保整体硬件平台满足各特定信号安全控制系统的可靠性及安全性需求；通过标准的板卡数据总线接口实现硬件的可扩展性，满足各特定信号安全控制系统的硬件通用性需求。

在送葬的人群中，蒋浩德也有失去老伴的苦痛。去年，一场车祸夺去了妻子的生命，赔了三十万，可家庭破碎了。他想找个伴儿，似乎有了眉目。他走近雨心，给她一些安慰。

信号安全控制平台把(某类)系统全部的功能软件清晰、合理地划分为平台软件和用户应用软件两部分[7-8]，其中用户应用软件主要是指处理各特定信号安全控制系统内部逻辑运算的软件，通过平台软件实现与外部系统的通信；平台软件主要对平台硬件进行控制、协调处理，并对包括应用软件在内的整个系统的运行进行调度管理。通过独立设计的信号安全控制平台的软/硬件和对外用户应用软件，一方面可使应用软件具有可移植性，便于升级和维护；另一方面可使信号安全控制平台具有通用性和兼容性。

2 信号安全控制平台硬件设计

2.1 硬件设计原理

信号安全控制平台采用二乘二取二冗余结构作为安全平台的整体核心架构[9]。其基本功能结构、边界及接口如图1所示。

图1 信号安全控制平台基本结构框图

如图1所示，信号安全控制平台主要由电源层、逻辑层、通信层及IO执行层等部分组成。

(1)逻辑层为安全控制平台的核心层，主要由平台的主从处理部件、对IO执行层的信息传输/通信与控制部件，对平台内、外部的通信部件等构成。逻辑层首先为其处理器上运行的用户应用软件提供所需的各种信息和系统功能支持，并在用户应用软件的主导下完成对平台内、外部设备(包括相应的人机接口、安全类接口、一般类接口)的各种(实时的与非实时的、安全相关的与非安全相关的等)通信交互及控制；其次是控制逻辑层内部(主从通信)及逻辑层间(主备通信)实时进行的各种信息传输/通信；最后是对包括冗余机制在内的运行及协调、故障的检测诊断及安全保障等功能的管理。

(2)通信层受控于逻辑层，由安全类通信接口、人机接口、一般类通信接口组成，主要完成平台的内部及外部通信。安全通信类接口主要用于实现与其他外部安全信号控制系统的信息交互(例如联锁系统与列控系统之间、列控系统与限速服务器之间等)等功能，其要求对通信传输过程中的各种“威胁”进行严格的防护，所有安全通信协议都以只检错而不纠错的编码校验为原则；人机接口[10]主要用于实现平台与用户之间的信息交互，提供程序下载、启动、日志记录、上传等功能；一般类通信接口主要用于实现平台与某一类特定应用间的非安全类信息交互(如联锁系统与运维系统之间)等功能[11]。

(3)IO执行层受控于逻辑层，主要由采集/驱动执行机和/或执行单元(模块)构成，能够对一定规模数量的继电器类和/或其他数字和模拟对象，实时进行安全、稳定、可靠的状态采集和驱动控制处理。

1.1.5 排除标准 ①综述文献；②动物实验文献；③个案报道；④重复发表或内容相似的文献；⑤原始文献非RCT；⑥无法从原始文献获得相应数据。

(4)电源层主要用于实现为信号安全控制平台供电的功能，其受控于逻辑层的拒绝机制。当逻辑层检测到主从交互间出现“故障”时，会执行拒绝机制，停止为IO执行层和通信层供电实现“安全”。

通过对信号安全控制平台结构模块的组合，可以构建特定信号安全控制系统的需求架构，如图1所示区域①中模块组合可以实现车站计算机联锁系统 [8] 架构；区域②中模块组合则可以实现车站地面列控中心系统 [12] 架构。

2.2 硬件设计实现

根据信号安全控制平台的硬件设计原理，信号安全控制平台采用二乘二取二冗余结构，其基本组成结构如图2所示。

图2 信号安全控制平台结构

由图2可以得到，信号安全控制平台由具有相同结构的A系和B系组成。两系之间采用双重冗余的系间专用安全接口进行通信，确保双系间的同步。两系采用主备方式冗余，正常运行时，两系互为热备；任何一系故障时，不会影响信号安全控制平台的工作。A/B系中设有主从CPU，分别进行逻辑运算并实时进行比较；当比较结果不一致时，通过比较板实现图1中拒绝机制功能，强制使本系离线，退出工作状态。

如今，我虽身在外地，但可以通过努力地工作、通过服务更多的人来实现自己的价值，以此报答父母的恩情。帮助更多人也是父母从小对我的教诲。他们是这样说的，也是这样做的。在他们眼里，伺候他们只是小孝，伺候社会大众是一种大孝，他们早就懂得小孝与大孝的关系。

A/B系通过一块以太网通信卡与人机子系统通信，实现图1中所示逻辑层与人机接口(MMI/MT接口)的通信功能[13]；通过可扩展的多块以太网/RS422通信卡与外部其他信号系统系统通信，实现图1中所示逻辑层的安全类接口功能。

以纳米粒度分析仪测得复方精油微胶囊的大小与分布,如图所示,A样品运用异丙醇为脱水剂,最佳配方的粒径为259.9±17.8 nm; B样品以冷冻真空干燥直接脱水,最佳配方的粒径为188.2±25.6 nm。后者粒径明显小于前者,分布更加均匀。

我们都见过米袋、麻袋，在乡村里，这些都是用来装稻谷、粮食的。而米袋也是我们生活中常见到的软装容器。而现代的米袋升级成为尼龙米袋，不仅结实实用，且还能在袋身上印制广告或者精美的图案。现代生活陶艺也是一样，在日积月累的创新创造中，不断的结合实用性，不断的改良，完全可以达到“只有你想不到的，没有人做不到的”水平。

A/B系通过冗余的主从CAN通信卡与IO系统进行通信，通过安全侧编码及处理原则并进行校验等手段实现平台对外部模拟/开关信息的直接采集和驱动。

胆固醇、高密度脂蛋白、低密度脂蛋白、甘油三酯检测试剂盒及检测仪器cobas8000全自动生化分析仪由罗氏诊断产品上海有限公司提供；β-catenin兔抗小鼠单克隆抗体、PV-6002羊抗小鼠IgG/HRP聚合物由美国GBI公司提供；WIF由美国R&D公司提供；Olympus BX-51光学显微镜及数码摄影系统由日本奥林帕斯公司生产。

信号安全控制平台在机械结构上，A、B两系各采用独立的安装机笼；每个机笼中的主、从两子系采用以比较板为中心左右对称的双板结构，主要由比较板和主/从两块CPU板、主/从两块/两组CAN通信板、可扩展的多块以太网/RS422通信板卡以及特制的专用母板等组成。CPU板通过标准的板卡总线与比较板、专用安全通信接口、CAN接口、以太网/RS422接口实现信息交互功能。

由图1和图2可以得到，信号安全控制平台的整体结构由A系、B系、IO执行单元以及供电部件构成。其中A、B系间专用安全通信接口、IO通信接口、与其他信号系统的通信接口都设有防雷单元，并采用屏蔽通信电缆；各通信线与电源线之间采用强弱区分、分组布线的原则进行布线设计。除此以外信号安全控制平台依据等电位布置及良好的接地原则，将部件外壳、机笼外壳、屏蔽通信电缆等所有设备用地线连接，形成一个完整的联合接地系统，用以保证了信号安全控制平台能在复杂电磁环境中满足相应的安全性、可靠性、可用性和可维护性(RAMS)要求。

3 信号安全控制平台软件设计

3.1 软件设计原理

信号安全控制系统的软件部分按功能可以划分为逻辑处理(用户应用软件)和应用管理(平台软件)两部分。平台软件通过预先定义的统一、标准接口与用户应用软件运行于信号安全控制平台A、B两系中各自的主、从(共4个)CPU中。其软件关系如图3所示。

图3 系统软件关系

如图3所示，系统软件分为平台软件部分和用户应用软件，平台软件在硬件平台的基础之上提供各种底层函数，完成通信层、IO控制层、逻辑层各部分硬件的初始化、运行及自检处理；调度协调各部分硬件的运行及相互之间的信息交换处理；安全逻辑部分只要是实现同系中主、从两子系的同步运行和二取二的安全冗余处理；实现A、B两系之间的同步运行和主、备的可靠性冗余处理。

平台软件上电完成初始化、硬件自检后，开始进行用户逻辑运算初始化和安全逻辑自检，之后进入循环结构，只有在发现严重的逻辑错误时才会退出工作状态。其基本功能UML顺序如图4所示。

图4 平台软件基本功能UML顺序

由图4可以得到当平台软件进入循环结构后的功能顺序。平台软件通过已定义的标准接口将接收的数据传递给用户应用软件，其中包括IO执行层的控制对象的模拟量和开关量status1、MMI/MT[12]的命令command&status、其他信号系统的命令及状态等信息command&status2；通过已定义的接口读取用户应用软件运算的结果，并将其发送到对应的硬件接口，其中包括控制对象驱动和开关Senddata1、状态和日志记录Senddata2、其他信号系统的命令及状态等信息Senddata3，用户应用程序完成接口信息交互后进行自身的逻辑运算Process1。平台软件获取用户应用软件发送的状态信息status2并进行安全逻辑运算Process2，其中安全逻辑运算Process2包括主从CPU的信息交换、同步及安全处理、主备两系的信息交换、主备两系信息的冗余处理、系统工作状态处理等。

结果以“平均值±标准差”表示，数据处理与分析采用SPSS 16.0统计软件进行方差分析和差异显著性比较，以P＜0.05作为差异显著性判断标准。

3.2 软件设计实现

根据信号安全控制平台软件设计原理，平台软件为应用软件提供一个具有高安全性和高可靠性的、高效且易于使用的运行平台。同时，基于信号安全控制平台的硬件结构和功能需求，信号安全控制平台软件模块可划分为3个层次。其模块框图如图5所示。

图5 平台软件模块结构框图

由图5可以得到，处于第一层次的是主程序模块和为平台提供时间基准的定时中断模块，由主程序模块对第二层次的主从CPU信息交换模块、两系信息交换模块、MMI/MT通信模块、外部系统通信模块、输入输出数据处理模块、工作状态处理模块、错误处理模块、比较板接口模块以及IO通信模块进行调度管理。处于第三层次的主从通信接口模块、系间安全通信接口模块及ETH接口模块是完全针对硬件的、属于底层驱动的硬件接口模块，由第二层次的程序模块调用。其中ETH接口模块驱动平台的ETH板卡实现与外部信号系统的通信，由 ETH板卡自带软件实现ETH通信协议[14](例如RSSP-I，RSSP-II协议)解析。

[5]This conduct threatens our national interests,undermines the value of U.S.investments and technology,weakens the global competitiveness of our firms,and harms American workers.（2018.3.23）

信号安全控制平台上电启动实现初始化和自检后，进入一个永不退出的循环结构，其模块流程如图6所示。

图6 平台软件模块流程

由图6可以得到平台软件模块的基本流程，信号安全控制平台软件模块首先进行系统初始化和自检，其中初始化主要包括启动硬件比较功能、各个硬件初始化、数据处理和自诊断等。

系统初始化和自检完成后进入循环结构，首先处理A，B两系及主从CPU的信息交互及握手，再依次进行IO信息处理、与MMI/MT信息处理和外部信号系统数据的处理；然后在调用该程序前进行A、B两系的状态及信息处理；之后调用用户应用程序；最后进行主从CPU数据处理、拒绝机制处理和运行周期管理。完成上述模块功能后，程序进入下一次循环周期。

4 信号安全控制平台的验证

依据EN50126/128/129/159等欧洲铁路系列标准，信号安全控制平台设计的验证采用了经典的V模型[5]，进行了风险源识别、风险分析、模块级代码测试、系统集成测试、系统安全验证和确认等过程，确保了信号安全控制平台软硬件设计过程的可控、安全[15]。

此外，根据信号安全控制平台设计的要求，研制了信号安全控制平台样机。平台电磁兼容检测、环境适应性实验和防雷检验结果[16-17]表明：信号安全控制平台的硬件标准通用接口、电磁兼容及防护设计能够在复杂电磁环境中满足相应的安全性、可靠性、可用型和可维护性(RAMS)要求，完全具备实际应用条件。

最后，以铁路总公司发布的第二版标准站联锁及列控中心数据为用户应用软件，与平台软件相结合进行了系统集成测试和上海同济大学铁路车站计算机联锁检验站的功能测试，集成测试和功能测试结果表明：信号安全控制平台配合相应的用户应用软件完全能够满足特定信号安全控制系统的全部功能及安全完整性需求，具备实际实施的能力。

5 结语

信号安全控制平台是具备完全自主知识产权的满足铁路信号特殊安全需求的国产二乘二取二计算机应用平台。提出一种信号安全控制平台的设计研究，从硬件和软件两个方面分别阐述信号安全控制平台的设计原理和设计实现，通过测试验证确认设计的信号安全控制平台可以为各种铁路信号技术装备开发提供一种具有较高安全性、可靠性、可用型和可维护性(RAMS)的具有统一接口的设备平台。

随着等同采纳欧洲铁路系列标准的我国国家相关标准的生效，CRCC对铁路信号产品新的认定体系的逐步确立与实施，尤其是独立第三方SIL4安全认证事实上的强制执行，在铁路信号控制系统工程应用时，采用“信号安全控制平台+特殊应用”的认证方式，可以有效地节约成本并推进项目的实施进度，这种架构合理、功能全面、接口统一、兼容性强的信号安全控制平台必将在铁路信号设备全面升级的过程中发挥越来越大的作用。

参考文献：

[1] 袁湘鄂，段武.计算机联锁系统[M].北京：中国铁道出版社，2015.

[2] 国家铁路局.铁路车站计算机联锁技术条件：TB/T 3027—2015[S].北京：中国铁道出版社，2015.

[3] 付刚.简议铁路信号故障-安全原则[J].铁路通信信号工程技术，2013，10(5)：16-19.

[4] 段武.铁路信号的失效-安全及其基本原则[J].铁道通信信号，2016，52(7)：1-10.

[5] EN50128-2011. Railway applications-Communications， signaling and processing systems-Software for railway control and protection systems[S]. 2011.

[6] 韩安平，段武.二乘二取二硬件安全冗余信号控制平台关键部件的安全设计和可靠性研究[J].铁路技术创新，2015(2)：99-102.

[7] 黄卫中，贾琨，刘人鹏.我国铁路CTCS-3级列控系统的分析与研究[J]. 铁道通信信号，2010，46(4)：1-6，21

[8] 张萍.TYJL_III型计算机联锁系统的安全评估[R].北京：中国铁道科学研究院，2015.

[9] 姚亚平.信号安全控制平台工程及标准化研究[R].北京：中国铁道科学研究院，2015.

[10]中国铁路总公司.车站计算机联锁操作显示技术规范：铁总运[2016]147 号[S].北京：中国铁路总公司，2016.

[11]中国铁路总公司.车站联锁设备维护管理办法：铁总运[2014]355号[S].北京：中国铁路总公司，2014.