2.3　核心单元技术与设备

2.3.1　安全计算机平台技术

随着计算机应用技术迅速发展，其在工控、铁路、交通等和人们生活息息相关的领域得到了广泛的应用。特别是随着铁路行业的大发展，对计算机技术依赖越来越高。另一方面，计算机系统的故障将会造成重大的人员和经济损失，因此对计算机系统的安全性和可靠性要求也越来越高[18]。信号设备是用来保证列车高效安全运行的控制设备，因此对其安全性要求十分苛刻，欧标要求其系统安全完整性必须达到SIL4等级，即危险失效率＞1.0×10-9，国内也对其有同等要求。因此计算机必须有完备的故障检测手段，以保证能够及时发现故障并使控制设备导向安全侧，即故障—安全原则。

安全计算机平台是为信号设备提供安全输入、输出执行、数据安全及安全运行环境。作为信号设备的核心，承载着保证铁路信号设备安全和可靠运行的重要任务。根据铁路特有特点，安全计算机主要功能包括提供安全的IO输入接口、安全的IO输出接口、安全的通信接口、应用数据安全性保证、应用软件处理过程的安全性保证等。

安全计算机系统的主要要求包括两个方面：

①与安全相关的电路必须符合故障—安全原则；

②系统应按照安全完整性等级SIL4级的要求设计，危险失效率THR≤10-9次/h。

目前比较主流的安全平台主要有二乘二取二和三取二结构。由于三取二的实现成本过高，国内一般采用二乘二取二的冗余结构，如联锁设备、列控设备、既有线的站间传输设备均采用此结构。

安全计算机处理器系统包括处理器、内存及触发器等数字时序电路器件。这些器件系统复杂，瞬时失效风险高，并且存在着不确定性，其发生和消失都具有随机性。特别其运行环境恶劣，如电磁干扰、恶劣的散热条件或工作温度影响、振动等，任何器件不可能百分之百地可靠运行，总是存在失效可能。即使是小概率事件，当其出现故障，没有完备检测方法和有效的控制手段，就有可能造成严重后果。当然并不是所有器件的失效都会产生严重后果，并且对每一个器件的失效都制定防护手段也不现实，因此需要对器件进行失效分析，确定其产生后果是否是可接受的，从而决定是否需要制定防护手段。

如表2-2和表2-3所示，根据ALARP原则，可以将风险等级归类为下面三类：（a）风险不可接受区域（R1和R2区域）；（b）风险可容忍区域（R3区域，也称ALARP区域）；（c）风险可广泛接受区域（R4区域）。针对风险不可接受的R1和R2区域，必须采取必要的风险降低措施，使风险等级降低到R4或R3区域。针对风险可广泛接受得R4区域，可以不需要采取任何风险降低措施就可以接受。针对落入ALARP区域的R3风险，需要能够证明增加额外的风险降低措施带来的成本大于取得的风险收益才能被接受。

《Engineering Safety Management（The Yellow Book）Issue 4》规定的七步风险分析方法，一般选取其中四步进行风险分析，即危害识别、后果分析、原因分析和选项分析。

①使用FMECA方法分析功能失效模式（即危害）。

②使用事件树对危害进行后果分析，将对应危险失效（R1、R2、R3失效模式）纳入安全平台的危害列表。

③使用故障树对危害列表的危害进行原因分析。

④针对危害发生的原因，进行选项分析，提出设计改进措施和补偿措施。

一个产品的失效主要由系统失效和随机失效组成。通过对其控制能够使产品的可靠性和安全性达到安全产品的要求。

2.3.1.1　系统失效控制

系统失效主要由于人的错误、工具BUG、误操作等原因产生，其控制手段主要由管理流程及设计异构。通过管理流程制度的建立来避免和控制由设计错误、环境条件、误操作或人为因素引起的故障。主要采用三组完全独立的人员对各个设计环节进行确认和验证，如图2-11所示。验证人员检验每一环节的设计是否满足上一环节要求，确认人员通过测试验证设计实现是否满足软件需求和系统需求。

设计异构指的是两组背景完全独立的设计人员，对同一功能进行设计，产生两种实现，对输出进行相互校验，来控制系统失效。

2.3.1.2　随机失效控制

随机失效主要采用故障—安全技术进行控制。通过确定功能的安全侧，当随机失效发生时，采取措施使其处于安全侧。故障—安全技术包括反应故障—安全法、组合故障—安全法（复合式）和固有故障—安全法等。

①反应故障—安全法由安全相关功能单一项完成，通过快速故障检测和对任何危险失效进行避错控制来确保其操作安全性，如图2-12所示，控制与防护部分完全独立，软硬件各不相同，例如运算单元检测、数据安全性检测、IO输出回采等。运算单元检测一般通过执行基础运算逻辑语句，使其遍历所有处理模块，如算术运算单元、逻辑单元等，对执行结果与预期比较，达到检测目的；数据安全性检测对于状态性数据采用最大码距的方法进行检测，对于运算数据则采用数据编码方式进行检测，如CRC校验和反码比对方式；IO输出回采是对IO输出的中间执行信号和输出结果进行回采，当发现执行动作与输出不一致时，立刻采取控制措施，切断输出。

②组合故障—安全检测法指的是安全相关功能由两个或以上项来执行，通过之间的判决来进行故障检测（图2-13）。如二取二结构，对同一功能采用两套硬件和软件，分别进行独立处理，两套处理模块进行比较，只有执行一致时才对外输出。

③固有故障—安全检测方法是指安全相关功能由单一单元执行，当其实现电路任意器件出现故障时，其输出都处于安全状态。如IO数据采集电路，采用动态采集方法，这种动态采集的工作原理遵守了故障导向安全的原则。例如：在国内铁路行业应用中，继电器接点状态原来为断开（“0”）但是采集为闭合（“1”）的做法称为危险侧。这种危险侧的发生，常见于采集电路的器件失效。如图2-14所示，通过动态采集，即“变化”为“1”、“不变化”为“0”的原理，可以有效避免采集电路器件失效后，采集结果导向危险侧的发生，即遵守了故障—安全原则。

对于如图2-15所示的二取二安全结构，其中的监督电路、动态驱动使能电路等基于固有故障—安全模式，自检采用反应故障—安全模式，驱动模块与功能电路和CPU间互检采用组合式故障—安全模式。只有当自检和互检都通过后，监督电路才允许输出，否则拒绝输出。通过三种方法的结合使用，使系统具有更高的安全性。

2.3.2　计算机联锁系统

计算机联锁是采用微型计算机对车站值班人员的操作命令与现场实际状态的表示信息进行逻辑运算，从而实现对信号机、道岔及进路进行集中控制和联锁的车站联锁设备，是保证车站内列车和调车作业安全，提高车站通过能力的一种信号设备[19-20]。其主要功能包括联锁控制功能（进路控制、信号开放与关闭、道岔控制等）、显示功能（站场图、现场信号设备状态、值班员按钮动作、系统状态及故障报警等）、记录存储和故障检测与诊断功能以及数据交换功能。

典型的计算机联锁系统结构包括集中式控制（通常由室内和室外两部分构成，各层功能均由一台计算机完成）和分散式控制结构（按结构层次划分成若干相对独立又有一定联系的功能模块，由相应计算机处理）。下面结合安全计算机平台技术介绍一下几种典型的计算机联锁系统。

2.3.2.1　双机热备型计算机联锁

（1）TYJL-Ⅱ型计算机联锁

TYJL-Ⅱ型计算机联锁系统是铁道科学院研制的双机热备结构交换机联锁控制系统；是一个分布式多处理系统，系统采用模块化结构，可根据站场的实际需要，进行拼装连接，构成大小不一的系统。系统主要由五部分组成，即控制台、监控机、联锁机、执表机和电务维修机，如图2-16所示。

（2）DS6-11型计算机联锁

DS6-11型计算机联锁是由通号集团研制，采用高可靠的工控机，运用网络通信技术构成多微机分布式控制系统。系统由控制台系统、监测子系统、联锁子系统、输入输出接口等部分组成，如图2-17所示。各子系统采用的计算机统一为PC总线工控机，机箱和电源为整体结构，具有良好的适应工业现场环境和抗干扰性能。系统所有输入输出接口均经过光电耦合器件实现计算机设备与现场设备的电气隔离，能够有效防止来自现场方面的电气干扰。

（3）JD-IA型计算机联锁

JD-IA型计算机联锁系统是由交大微联科技有限公司开发研制的计算机联锁系统，保留了6502电气集中的执行电路，其他电路则由计算机联锁系统代替。系统的关键部分均采用双机热备，保证故障时不间断使用。

（4）VPI型计算机联锁

VPI型计算机联锁系统是卡斯柯信号有限公司（CASCO）引进阿尔斯通集团信号公司（ALSTOM Signaling）的VPI（Vitalprocessor Interlocking，安全型计算机联锁）专利技术，结合通过铁路运营技术要求进行二次开发，满足铁路专用要求的高可靠安全型信号联锁系统。

VPI型计算机联锁系统在采用了从ALSTOM引进国际认证的核心安全技术的基础上，在功能上、网络结构上做了较大改进，将系统功能分散到网络上的人机接口子系统、联锁处理、系统维护等节点上，由每个功能节点来完成一种或多种功能，而每个功能节点就是一个完整的计算机系统，彼此通过冗余网络交换信息并协调运行。

2.3.2.2　二乘二取二计算机联锁

（1）EI32-JD型计算机联锁

EI32-JD型计算机联锁是由日本信号株式会社和交大微联科技有限公司联合开发研制的计算机联锁系统，采用日本信号株式会社研制的硬件系统（EI32电子联锁系统）和交大微联研制的软件系统。EI32-JD型计算机联锁是二乘二取二系统，遵守故障—安全原则，其关键部分均采用双套热备，保证故障时不间断运行。该联锁系统属于分布式计算机控制系统，其特点是分散控制和集中信息管理。系统包括人机会话层（操作表示层）、联锁运算层、执行层。

（2）DS6-K5B型计算机联锁

DS6-K5B型计算机联锁系统是通号公司与日本京三公司联合开发的计算机联锁系统。联锁计算机和输入输出电路采用日本京三公司的K5B型产品（K5B型系统是日本京三制作所在K5型系统上采用32位处理器的升级系统），所有涉及到安全信息处理和传输的部件均按照故障—安全原则采取了二重系统结构设计，如图2-18所示。在软件中保留了K5B的管理程序，删除了K5B原理的联锁程序，而将DS6-11型计算机联锁的联锁程序移植到K5B系统中。

联锁处理部件采取双CPU共用时钟，对数据母线信号执行同步比较，发生错误时使输出倒向安全，遵守故障—安全原则，如图2-19所示。联锁2重系为主从式热备冗余，通过高速通道进行数据交换，保证2重系同步运行，可实现不间断的双系切换。

DS6-K5B系统的上位机是在DS6-11系统基础上进行了新的开发，软件平台上升到WINDOWSNT，使得操作界面得到改善，功能进一步提高。控制台操作表示设备提供屏幕显示器、表示盘、鼠标和按钮操作台灯等多种选择。DS6-K5B系统与传统双机热备系统相比，安全可靠性上升到一个新的水平，与K5B系统相比，造价大幅度降低。

（3）iLOCK型计算机联锁

iLOCK型计算机联锁系统是卡斯柯信号有限公司引进法国ALSTOM公司SMARTLOCK系统核心技术，并进行了国产化开发的二乘二取二系统[21]。该系统在一般二取二硬件冗余结构基础上，采用NISAL专利技术，增加了独立的“故障—安全”校验用CPU模块，使系统比一般的二取二结构具有更高的安全性。iLOCK综合运用了反应故障—安全、组合故障—安全和固有故障—安全技术。比采用单一安全技术的系统具备更高的安全性。系统中的VPS板（安全校验板）、VIIB板（双采安全型输入板）、VOOB板（安全型双断输出板）以及安全输出板中的AOCD元器件，均像安全型继电器一样具有“固有故障—安全”特性，如图2-20所示。

安全逻辑运算（VLE）板采用双CPU进行运算，对同一功能，在CPU1和CPU2中采用了独立相异的二组编码来表示，运行各自独立的软件，使联锁机从硬件到软件均构成二取二的组合故障—安全体系结构；在联锁运算采用二取二模式的基础上，CPU1和CPU2每执行一行程序，均分别构成校核字被实时地送到以VPS板为核心的独立的安全防护（校验）部分进行校核，以监督系统完好，且每行程序均得到正确执行。安全校验（VPS）板对各安全型输出端口进行实时动态校核（校核周期为50ms），确保防护电路能在系统可能发生错误输出之前即切断输出通道的电流，以实现故障—安全目的。

（4）TYJL-ADX型计算机联锁

TYJL-ADX型计算机联锁系统是铁科院通号所基于日本日立公司的ADX1000联锁系统开发而成。系统在引进日本日立公司以时钟同步、总线级比较技术的基础上，采用二乘二取二安全冗余结构的ADX-1000型计算机联锁系统的核心硬件及其专用软件平台上，按照我国铁路信号的技术需求，结合TYJL-TR9型计算机联锁系统的软件进行系统集成。外围系统进行了重新配置和进一步优化，完善了系统功能。

2.3.3　无线闭塞中心

无线闭塞中心（RBC）硬件采用冗余安全结构，主要设备包括无线闭塞单元（Radio Block Unit，RBU）、协议适配器（Versatile Interface Adapter，VIA）、RBC维护终端、司法记录单元（Judical Recorder Unit，JRU）、综合数字服务网（Integrate Services Digital Network，ISDN）服务器、操作控制终端和交换机等设备组成，如图2-21所示[7，8，22]。

2.3.3.1　RBC设备功能和结构

RBC采用安全计算机平台，遵循安全性原则，由不同的故障安全处理单元和操作系统构成。应用软件采用N版本冗余技术，对运算和表决采用不同的策略。RBC操作控制终端由服务器和工作站组成，主要可完成站场图形显示、进路及列车运行情况显示、列车的登记与注销、紧急操作以及RBC系统的维护与诊断等功能。典型的设备结构（通号公司RBC-TH）如图2-22所示。

RBC柜内包括两台内部交换机（DSW）和三台外部交换机（ESW），其中DSW用于RBU中各服务器之间的通信；ESW用于实现无线闭塞单元的对外通信，以及无线闭塞单元和ISDN服务器到VPC的通信。VPC_A、VPC_B和VPC_C是ISDN服务器。

司法记录单元将RBC所有状态以及列车报告的数据和状态均记录下来，以备分析检查，通过ISDN服务器为RBC提供通话路由。

CTCS-3级车载设备与RBC之间使用GSM-R交换信息，为了保证通信安全（对发送端/接收端以及数据完整性的认证），CTCS-3级车载设备与RBC之间需要使用密钥。在通信开始时，发送端和接收端通过认证（自动识别和认证程序），交换的数据通过使用信息认证码受到保护。密钥管理中心（KMC）负责密钥的生成和分配。

2.3.3.2　RBC设备外部接口

（1）RBC与车站联锁接口

RBC和联锁系统将站间线路划分为若干个信号授权SA区段，然后以此为基本单位进行信息交互，以对象的方式传递信息，对象包括列车状态、信号授权和紧急停车区。

RBC通过列车状态对象向联锁发送列车相关信息，包括列车信息、行车许可状态、列车位置信息、列车长度信息以及列车速度信息。

联锁通过信号授权对象向RBC发送进路状态相关信息，包括进路类型、进路状态、降级状态、SA区段的ID号、危险点信息、列车溜入检测标志以及开口速度。

联锁中可设置紧急停车区，其状态可通过紧急区对象传递给RBC。如果紧急停车区被激活，那么RBC将向该区域内以及将要进入该区域的列车发送无条件或有条件紧急停车消息，并在撤销该紧急停车区前不会对该区域下发新的行车许可。

RBC与联锁系统通过冗余配置的TCP/IP信号专用安全通信网连接，采用安全通信协议，实现信息安全传输。

（2）RBC与CTC接口

CTC向RBC发送登录信息和注销信息，登录信息包括操作ID号、操作员ID号、操作员用户名和密码，操作号用于操作反馈，用户名和密码在登录时使用，操作员ID将在其他指令下使用以验证操作员。注销信息只包括操作号和操作员ID号。

CTC可以通过RBC向列车下发无条件紧急停车命令，也能够撤销下发的紧急停车命令。对于CTC发来的命令，RBC将无条件执行。

时间同步信息由CTC向RBC发送，CTC系统采用NTP时间同步协议。

当RBC与CTC通信连接建立后，RBC需要向CTC发送所有的列车状态信息。随着列车运行，当列车状态发送变化时，RBC需要主动向CTC发送更新的列车状态信息。CTC系统也可以根据需要，主动要求RBC向CTC发送指定列车的状态信息。列车状态信息包括列车状态请求消息和列车状态消息。RBC系统应周期向CTC发送其工作状态信息，包括VIA-RBC连接状态、RBC设备在线信息和VIA设备在线信息。RBC系统内部如发生需要通知调度员的报警信息时，如GSM-R无线单元内列车数量超限的报警，可通过接口传送至CTC系统。

在CTC系统调度中心设置CTC/RBC接口服务器，CTC/RBC接口服务器通过以太网通信端口一端接入RBC网络，另一端接入CTC调度中心局域网。CTC系统通过协议转换器（VIA）设备和RBC系统进行数据交换。CTC-RBC接口服务器为双套配置，同时和多套VIA相连。

（3）RBC与临时限速服务器接口

临时限速信息包括临时限速命令和临时限速状态。临时限速服务器/RBC间交换的所有数据均采用安全通信协议，保证数据交换的安全[23]。RBC通过信号专用安全数据通信网直接与临时限速服务器连接，传输临时限速相关信息。

（4）RBC与集中监测设备接口

RBC向集中监测站机传送的主要信息包括RBC设备的运行状态信息、维护诊断信息等。在控制中心设置信号监测终端系统，终端计算机一端接入RBC的非安全局域网，一端接入监测局域网。RBC本地终端将所有RBC的维护和诊断信息汇总并处理，然后按照规定的应用层通信协议，将RBC的监测信息发送给信号集中监测的终端计算机，通过信号集中监测网络，将RBC监测信息发送给各级维修中心。

（5）RBC与GSM-R网络之间接口

RBC通过ISDNPRI接口与GSM-R网络移动交换机（MSC）连接。一个RBC与MSC的PRI接口必须冗余配置，MSC为这些接口分配统一的ISDN呼入号码，并按照负荷分担原则将车载台对某个RBC的呼叫路由到一个可用的PRI接口上。

2.3.4　列控中心

列控中心作为设置于各车站或中继站的列控安全设备，与轨道电路、计算机联锁、临时限速服务器、其他站列控中心、应答器地面电子单元、CTC和信号集中监测等连接，实现对轨道电路、有源应答器、区间方向和闭塞控制等功能。列控中心根据调度命令、进路状态、线路参数等产生进路及临时限速等相关信息，通过有源应答器及轨道电路向列车动态传送，从而实现对列车运行的动态控制[24-28]。

2.3.4.1　列控中心接口

列控中心适用于高速铁路上的联锁车站、信号中继站以及有客运作业的无岔车站，与之对应的列控中心被称为车站列控中心、中继站列控中心和无岔站列控中心。其中车站列控中心与联锁、轨道电路、临时限速服务器、LEU、CTC设备和集中监测设备直接接口，并管辖其范围内的中继站列控中心；中继站列控中心与轨道电路、临时限速服务器、LEU和集中监测设备直接接口，从属于车站列控中心，从车站列控中心接收线路方向信息，并将相应的轨道区段状态信息发送给其从属的车站列控中心；无岔站列控中心与轨道电路、临时限速服务器、LEU、CTC和集中监测设备直接接口。

通常列控中心需要与ZPW-2000系列轨道电路、车站联锁、临时限速服务器、相邻列控中心、地面电子单元、集中监测和CTC通信配置接口。实际应用中不同类型的列控中心与其他外部设备的接口配置如图2-23所示。

2.3.4.2　列控中心功能

①根据列车进路状态和轨道区段状态，实现站内和区间轨道电路的载频、低频信息编码功能，并控制轨道电路的发送方向。

②根据临时限速服务器发送的临时限速命令、车站联锁设备发发送的列车进路状态，实现应答器报文的实时组帧、编码和发送等功能。

③实现站间安全信息传输，实时传输区间轨道电路状态、低频码、区间方向等安全信息。

④实现区间运行方向与闭塞控制；区间信号机点灯控制，以及无岔站信号机与进路控制。

⑤与安全防灾系统接口，实现部分灾害的自动防护。

⑥具备诊断与维护功能，实现列控中心各模块、通信接口的故障自诊断和辅助维护，同时把监测状态信息发送给集中监测设备。

随着高速铁路的发展，实际列控中心还可以融合落物灾害防护等功能。作为CTCS系统地面设备的核心系统，列控中心技术日益成熟，服务于高速铁路的可靠性与安全性提升。

2.3.4.3　列控中心设备组成

列控中心设备按照故障—安全原则，采用二乘二取二安全冗余计算机平台结构，由安全主机单元、通信接口单元、驱动采集单元、辅助维护单元、站间安全数据网通信单元以及冗余电源单元等组成，系统结构如图2-24所示。其中的辅助维护单元实现相关设备状态和应用场景数据的监测和记录、维护报警、界面显示以及与集中监测系统接口等功能。

车站列控中心设备分为列控中心主机设备柜和LEU设备柜，LEU电子单元配置在LEU设备柜中并单独配置电源，其他设备配置在列控中心主机设备柜中；中继站和无岔站列控中心的LEU电子单元和列控中心设备则统一配置在列控中心设备柜中。

2.3.4.4　列控中心通信异常处理

为了保证控制安全，列控中心按照以下原则对不同情况下的通信异常进行处理。

①列控中心与轨道电路通信连续中断2s后，列控中心判定与轨道电路通信中断，所有轨道状态导向安全侧（轨道占用），列控中心按照轨道占用编码及控制区间信号机点灯，并向监测维护单元及集中监测报警。

②列控中心与联锁通信连续中断3s后，列控中心判定与联锁通信中断。通信中断后，列控中心按照车站无进路，进站信号机红灯断丝，无改方命令处理。同时控制进站口及到发线有源应答器发送默认报文，出站口应答器发送正常限速报文。

③列控中心间通信连续中断3s后，列控中心判定列控站间通信中断。通信中断后，列控中心按照边界区段占用，红灯灯丝断丝（正向口且列控中心控制区间信号机点灯情况下），邻站无改方命令处理。

④列控中心与临时限速服务器通信连续中断3s后，列控中心判定与临时限速服务器通信中断。通信中断后，列控中心按照无新的临时限速命令，维持原临时限速信息处理。

⑤列控中心设备连续检测各个通道上的通信状态，连续3s不能从某个通道上接收到正确数据时，即判断该通道故障，向集中监测设备发送报警。

⑥当列控中心设备和外部设备的所有通道中断6s后，则判断通信完全中断，列控中心执行相应的安全措施。

⑦列控中心设备和联锁通信中断后，列控中心控制有源应答器发送列控中心默认报文，站内轨道电路按无进路发码。

⑧列控中心设备和邻站列控中心通信中断时，边界区段发送HU码。

⑨当列控中心与临时限速服务器通信中断后，列控中心应保持原临时限速信息，临时限速服务器不能在该车站列控中心管辖范围内增设临时限速信息。