一種鐵路信號安全控制平臺的研究

姚亞平

(1.中國鐵道科學研究院集團有限公司通信信號研究所,北京 100081； 2.中國鐵道科學研究院集團有限公司國家鐵路智能運輸系統(tǒng)工程技術研究中心,北京 100081)

引言

目前，在我國上道運行的各種鐵路信號計算機安全控制系統(tǒng)核心設備，如車站計算機聯(lián)鎖、車站列控中心、列車超速防護等系統(tǒng)的規(guī)模、數(shù)量都居于世界前列，但大多都采用引進的計算機安全平臺，并且同一計算機安全平臺在不同系統(tǒng)間的兼容性又相對較差。國內對信號安全控制系統(tǒng)的平臺化概念認知較晚、總體認識水平較低；在很長的時間內比較普遍地存在重應用開發(fā)、輕平臺作用的現(xiàn)象。而隨著高速鐵路、城際鐵路以及城市軌道交通的建設，對信號系統(tǒng)設備的安全性、可靠性、可用性和可維護性(RAMS)要求的提高，使信號安全控制系統(tǒng)的開發(fā)成本急劇增加。目前全路安全信號控制系統(tǒng)正在大面積地推廣更新，而具有統(tǒng)一的開發(fā)標準及通用接口的系統(tǒng)平臺目前還不夠成熟，國外的部分廠商已經(jīng)具有了系統(tǒng)化、體系化的安全控制平臺，這無疑增加了國內信號安全控制系統(tǒng)平臺化研究的緊迫程度。本文從總體設計原則、基本硬件結構和軟件結構等三方面論述能適應并滿足新時期各種鐵路信號安全控制系統(tǒng)兼容性、安全完整性要求的信號安全控制平臺。

1 信號安全控制平臺的設計原則

信號安全控制平臺是一類具有鐵路信號特殊安全需求的計算機應用平臺，其總體設計原則是在滿足各種信號安全控制系統(tǒng)可靠性要求的同時，還要具有平臺化的通用性和可擴展性[1]。

信號安全控制平臺的可靠性體現(xiàn)在除了實現(xiàn)特定系統(tǒng)所要求的基本功能并達到基本性能要求之外，還須符合相應的RAMS(可靠性、可用性、可維護性和安全性)需求以及達到規(guī)定的安全完整性要求[2]。

信號安全控制平臺的通用性和可擴展性體現(xiàn)在同一應用平臺可承載不同的應用軟件，能夠構成不同的應用系統(tǒng)。應用開發(fā)用戶可在選定適用的應用平臺之后，僅通過應用軟件的開發(fā)和相應的硬件配置，就能構建一類應用系統(tǒng)；而無需再對類似的每一個應用重復進行大量基礎的軟、硬件開發(fā)工作。

信號安全控制平臺通常主要由特定的硬件和軟件所組成。信號安全控制平臺硬件是針對鐵路信號控制安全側[3-4]明確的特點進行設計，基于失效-安全原則滿足SIL4級安全完整性[5]要求的計算機平臺，通過二乘二取二冗余設計及特有的拒絕機制[6]，確保整體硬件平臺滿足各特定信號安全控制系統(tǒng)的可靠性及安全性需求；通過標準的板卡數(shù)據(jù)總線接口實現(xiàn)硬件的可擴展性，滿足各特定信號安全控制系統(tǒng)的硬件通用性需求。

信號安全控制平臺把(某類)系統(tǒng)全部的功能軟件清晰、合理地劃分為平臺軟件和用戶應用軟件兩部分[7-8]，其中用戶應用軟件主要是指處理各特定信號安全控制系統(tǒng)內部邏輯運算的軟件，通過平臺軟件實現(xiàn)與外部系統(tǒng)的通信；平臺軟件主要對平臺硬件進行控制、協(xié)調處理，并對包括應用軟件在內的整個系統(tǒng)的運行進行調度管理。通過獨立設計的信號安全控制平臺的軟/硬件和對外用戶應用軟件，一方面可使應用軟件具有可移植性，便于升級和維護；另一方面可使信號安全控制平臺具有通用性和兼容性。

2 信號安全控制平臺硬件設計

2.1 硬件設計原理

信號安全控制平臺采用二乘二取二冗余結構作為安全平臺的整體核心架構[9]。其基本功能結構、邊界及接口如圖1所示。

圖1 信號安全控制平臺基本結構框圖

如圖1所示，信號安全控制平臺主要由電源層、邏輯層、通信層及IO執(zhí)行層等部分組成。

(1)邏輯層為安全控制平臺的核心層，主要由平臺的主從處理部件、對IO執(zhí)行層的信息傳輸/通信與控制部件，對平臺內、外部的通信部件等構成。邏輯層首先為其處理器上運行的用戶應用軟件提供所需的各種信息和系統(tǒng)功能支持，并在用戶應用軟件的主導下完成對平臺內、外部設備(包括相應的人機接口、安全類接口、一般類接口)的各種(實時的與非實時的、安全相關的與非安全相關的等)通信交互及控制；其次是控制邏輯層內部(主從通信)及邏輯層間(主備通信)實時進行的各種信息傳輸/通信；最后是對包括冗余機制在內的運行及協(xié)調、故障的檢測診斷及安全保障等功能的管理。

(2)通信層受控于邏輯層，由安全類通信接口、人機接口、一般類通信接口組成，主要完成平臺的內部及外部通信。安全通信類接口主要用于實現(xiàn)與其他外部安全信號控制系統(tǒng)的信息交互(例如聯(lián)鎖系統(tǒng)與列控系統(tǒng)之間、列控系統(tǒng)與限速服務器之間等)等功能，其要求對通信傳輸過程中的各種“威脅”進行嚴格的防護，所有安全通信協(xié)議都以只檢錯而不糾錯的編碼校驗為原則；人機接口[10]主要用于實現(xiàn)平臺與用戶之間的信息交互，提供程序下載、啟動、日志記錄、上傳等功能；一般類通信接口主要用于實現(xiàn)平臺與某一類特定應用間的非安全類信息交互(如聯(lián)鎖系統(tǒng)與運維系統(tǒng)之間)等功能[11]。

(3)IO執(zhí)行層受控于邏輯層，主要由采集/驅動執(zhí)行機和/或執(zhí)行單元(模塊)構成，能夠對一定規(guī)模數(shù)量的繼電器類和/或其他數(shù)字和模擬對象，實時進行安全、穩(wěn)定、可靠的狀態(tài)采集和驅動控制處理。

(4)電源層主要用于實現(xiàn)為信號安全控制平臺供電的功能，其受控于邏輯層的拒絕機制。當邏輯層檢測到主從交互間出現(xiàn)“故障”時，會執(zhí)行拒絕機制，停止為IO執(zhí)行層和通信層供電實現(xiàn)“安全”。

通過對信號安全控制平臺結構模塊的組合，可以構建特定信號安全控制系統(tǒng)的需求架構，如圖1所示區(qū)域①中模塊組合可以實現(xiàn)車站計算機聯(lián)鎖系統(tǒng)[8]架構；區(qū)域②中模塊組合則可以實現(xiàn)車站地面列控中心系統(tǒng)[12]架構。

2.2 硬件設計實現(xiàn)

根據(jù)信號安全控制平臺的硬件設計原理，信號安全控制平臺采用二乘二取二冗余結構，其基本組成結構如圖2所示。

圖2 信號安全控制平臺結構

由圖2可以得到，信號安全控制平臺由具有相同結構的A系和B系組成。兩系之間采用雙重冗余的系間專用安全接口進行通信，確保雙系間的同步。兩系采用主備方式冗余，正常運行時，兩系互為熱備；任何一系故障時，不會影響信號安全控制平臺的工作。A/B系中設有主從CPU，分別進行邏輯運算并實時進行比較；當比較結果不一致時，通過比較板實現(xiàn)圖1中拒絕機制功能，強制使本系離線，退出工作狀態(tài)。

A/B系通過一塊以太網(wǎng)通信卡與人機子系統(tǒng)通信，實現(xiàn)圖1中所示邏輯層與人機接口(MMI/MT接口)的通信功能[13]；通過可擴展的多塊以太網(wǎng)/RS422通信卡與外部其他信號系統(tǒng)系統(tǒng)通信，實現(xiàn)圖1中所示邏輯層的安全類接口功能。

阿里的聲音打碎了阿東的空白。上面開始有字浮出。這字便是：家里再也不會有母親了。阿東的眼淚開始在眶里打轉。

A/B系通過冗余的主從CAN通信卡與IO系統(tǒng)進行通信，通過安全側編碼及處理原則并進行校驗等手段實現(xiàn)平臺對外部模擬/開關信息的直接采集和驅動。

信號安全控制平臺在機械結構上，A、B兩系各采用獨立的安裝機籠；每個機籠中的主、從兩子系采用以比較板為中心左右對稱的雙板結構，主要由比較板和主/從兩塊CPU板、主/從兩塊/兩組CAN通信板、可擴展的多塊以太網(wǎng)/RS422通信板卡以及特制的專用母板等組成。CPU板通過標準的板卡總線與比較板、專用安全通信接口、CAN接口、以太網(wǎng)/RS422接口實現(xiàn)信息交互功能。

由圖1和圖2可以得到，信號安全控制平臺的整體結構由A系、B系、IO執(zhí)行單元以及供電部件構成。其中A、B系間專用安全通信接口、IO通信接口、與其他信號系統(tǒng)的通信接口都設有防雷單元，并采用屏蔽通信電纜；各通信線與電源線之間采用強弱區(qū)分、分組布線的原則進行布線設計。除此以外信號安全控制平臺依據(jù)等電位布置及良好的接地原則，將部件外殼、機籠外殼、屏蔽通信電纜等所有設備用地線連接，形成一個完整的聯(lián)合接地系統(tǒng)，用以保證了信號安全控制平臺能在復雜電磁環(huán)境中滿足相應的安全性、可靠性、可用性和可維護性(RAMS)要求。

3 信號安全控制平臺軟件設計

3.1 軟件設計原理

信號安全控制系統(tǒng)的軟件部分按功能可以劃分為邏輯處理(用戶應用軟件)和應用管理(平臺軟件)兩部分。平臺軟件通過預先定義的統(tǒng)一、標準接口與用戶應用軟件運行于信號安全控制平臺A、B兩系中各自的主、從(共4個)CPU中。其軟件關系如圖3所示。

圖3 系統(tǒng)軟件關系

如圖3所示，系統(tǒng)軟件分為平臺軟件部分和用戶應用軟件，平臺軟件在硬件平臺的基礎之上提供各種底層函數(shù)，完成通信層、IO控制層、邏輯層各部分硬件的初始化、運行及自檢處理；調度協(xié)調各部分硬件的運行及相互之間的信息交換處理；安全邏輯部分只要是實現(xiàn)同系中主、從兩子系的同步運行和二取二的安全冗余處理；實現(xiàn)A、B兩系之間的同步運行和主、備的可靠性冗余處理。

平臺軟件上電完成初始化、硬件自檢后，開始進行用戶邏輯運算初始化和安全邏輯自檢，之后進入循環(huán)結構，只有在發(fā)現(xiàn)嚴重的邏輯錯誤時才會退出工作狀態(tài)。其基本功能UML順序如圖4所示。

圖4 平臺軟件基本功能UML順序

由圖4可以得到當平臺軟件進入循環(huán)結構后的功能順序。平臺軟件通過已定義的標準接口將接收的數(shù)據(jù)傳遞給用戶應用軟件，其中包括IO執(zhí)行層的控制對象的模擬量和開關量status1、MMI/MT[12]的命令command&status、其他信號系統(tǒng)的命令及狀態(tài)等信息command&status2；通過已定義的接口讀取用戶應用軟件運算的結果，并將其發(fā)送到對應的硬件接口，其中包括控制對象驅動和開關Senddata1、狀態(tài)和日志記錄Senddata2、其他信號系統(tǒng)的命令及狀態(tài)等信息Senddata3，用戶應用程序完成接口信息交互后進行自身的邏輯運算Process1。平臺軟件獲取用戶應用軟件發(fā)送的狀態(tài)信息status2并進行安全邏輯運算Process2，其中安全邏輯運算Process2包括主從CPU的信息交換、同步及安全處理、主備兩系的信息交換、主備兩系信息的冗余處理、系統(tǒng)工作狀態(tài)處理等。

3.2 軟件設計實現(xiàn)

圖5 平臺軟件模塊結構框圖

由圖5可以得到，處于第一層次的是主程序模塊和為平臺提供時間基準的定時中斷模塊，由主程序模塊對第二層次的主從CPU信息交換模塊、兩系信息交換模塊、MMI/MT通信模塊、外部系統(tǒng)通信模塊、輸入輸出數(shù)據(jù)處理模塊、工作狀態(tài)處理模塊、錯誤處理模塊、比較板接口模塊以及IO通信模塊進行調度管理。處于第三層次的主從通信接口模塊、系間安全通信接口模塊及ETH接口模塊是完全針對硬件的、屬于底層驅動的硬件接口模塊，由第二層次的程序模塊調用。其中ETH接口模塊驅動平臺的ETH板卡實現(xiàn)與外部信號系統(tǒng)的通信，由 ETH板卡自帶軟件實現(xiàn)ETH通信協(xié)議[14](例如RSSP-I，RSSP-II協(xié)議)解析。

信號安全控制平臺上電啟動實現(xiàn)初始化和自檢后，進入一個永不退出的循環(huán)結構，其模塊流程如圖6所示。

圖6 平臺軟件模塊流程

由圖6可以得到平臺軟件模塊的基本流程，信號安全控制平臺軟件模塊首先進行系統(tǒng)初始化和自檢，其中初始化主要包括啟動硬件比較功能、各個硬件初始化、數(shù)據(jù)處理和自診斷等。

系統(tǒng)初始化和自檢完成后進入循環(huán)結構，首先處理A，B兩系及主從CPU的信息交互及握手，再依次進行IO信息處理、與MMI/MT信息處理和外部信號系統(tǒng)數(shù)據(jù)的處理；然后在調用該程序前進行A、B兩系的狀態(tài)及信息處理；之后調用用戶應用程序；最后進行主從CPU數(shù)據(jù)處理、拒絕機制處理和運行周期管理。完成上述模塊功能后，程序進入下一次循環(huán)周期。

4 信號安全控制平臺的驗證

依據(jù)EN50126/128/129/159等歐洲鐵路系列標準，信號安全控制平臺設計的驗證采用了經(jīng)典的V模型[5]，進行了風險源識別、風險分析、模塊級代碼測試、系統(tǒng)集成測試、系統(tǒng)安全驗證和確認等過程，確保了信號安全控制平臺軟硬件設計過程的可控、安全[15]。

此外，根據(jù)信號安全控制平臺設計的要求，研制了信號安全控制平臺樣機。平臺電磁兼容檢測、環(huán)境適應性實驗和防雷檢驗結果[16-17]表明：信號安全控制平臺的硬件標準通用接口、電磁兼容及防護設計能夠在復雜電磁環(huán)境中滿足相應的安全性、可靠性、可用型和可維護性(RAMS)要求，完全具備實際應用條件。

最后，以鐵路總公司發(fā)布的第二版標準站聯(lián)鎖及列控中心數(shù)據(jù)為用戶應用軟件，與平臺軟件相結合進行了系統(tǒng)集成測試和上海同濟大學鐵路車站計算機聯(lián)鎖檢驗站的功能測試，集成測試和功能測試結果表明：信號安全控制平臺配合相應的用戶應用軟件完全能夠滿足特定信號安全控制系統(tǒng)的全部功能及安全完整性需求，具備實際實施的能力。

5 結語

信號安全控制平臺是具備完全自主知識產(chǎn)權的滿足鐵路信號特殊安全需求的國產(chǎn)二乘二取二計算機應用平臺。提出一種信號安全控制平臺的設計研究，從硬件和軟件兩個方面分別闡述信號安全控制平臺的設計原理和設計實現(xiàn)，通過測試驗證確認設計的信號安全控制平臺可以為各種鐵路信號技術裝備開發(fā)提供一種具有較高安全性、可靠性、可用型和可維護性(RAMS)的具有統(tǒng)一接口的設備平臺。

隨著等同采納歐洲鐵路系列標準的我國國家相關標準的生效，CRCC對鐵路信號產(chǎn)品新的認定體系的逐步確立與實施，尤其是獨立第三方SIL4安全認證事實上的強制執(zhí)行，在鐵路信號控制系統(tǒng)工程應用時，采用“信號安全控制平臺+特殊應用”的認證方式，可以有效地節(jié)約成本并推進項目的實施進度，這種架構合理、功能全面、接口統(tǒng)一、兼容性強的信號安全控制平臺必將在鐵路信號設備全面升級的過程中發(fā)揮越來越大的作用。