一种铁路信号安全控制平台的研究

姚亚平

(1.中国铁道科学研究院集团有限公司通信信号研究所,北京 100081； 2.中国铁道科学研究院集团有限公司国家铁路智能运输系统工程技术研究中心,北京 100081)

引言

目前，在我国上道运行的各种铁路信号计算机安全控制系统核心设备，如车站计算机联锁、车站列控中心、列车超速防护等系统的规模、数量都居于世界前列，但大多都采用引进的计算机安全平台，并且同一计算机安全平台在不同系统间的兼容性又相对较差。国内对信号安全控制系统的平台化概念认知较晚、总体认识水平较低；在很长的时间内比较普遍地存在重应用开发、轻平台作用的现象。而随着高速铁路、城际铁路以及城市轨道交通的建设，对信号系统设备的安全性、可靠性、可用性和可维护性(RAMS)要求的提高，使信号安全控制系统的开发成本急剧增加。目前全路安全信号控制系统正在大面积地推广更新，而具有统一的开发标准及通用接口的系统平台目前还不够成熟，国外的部分厂商已经具有了系统化、体系化的安全控制平台，这无疑增加了国内信号安全控制系统平台化研究的紧迫程度。本文从总体设计原则、基本硬件结构和软件结构等三方面论述能适应并满足新时期各种铁路信号安全控制系统兼容性、安全完整性要求的信号安全控制平台。

1 信号安全控制平台的设计原则

信号安全控制平台是一类具有铁路信号特殊安全需求的计算机应用平台，其总体设计原则是在满足各种信号安全控制系统可靠性要求的同时，还要具有平台化的通用性和可扩展性[1]。

信号安全控制平台的可靠性体现在除了实现特定系统所要求的基本功能并达到基本性能要求之外，还须符合相应的RAMS(可靠性、可用性、可维护性和安全性)需求以及达到规定的安全完整性要求[2]。

信号安全控制平台的通用性和可扩展性体现在同一应用平台可承载不同的应用软件，能够构成不同的应用系统。应用开发用户可在选定适用的应用平台之后，仅通过应用软件的开发和相应的硬件配置，就能构建一类应用系统；而无需再对类似的每一个应用重复进行大量基础的软、硬件开发工作。

信号安全控制平台通常主要由特定的硬件和软件所组成。信号安全控制平台硬件是针对铁路信号控制安全侧[3-4]明确的特点进行设计，基于失效-安全原则满足SIL4级安全完整性[5]要求的计算机平台，通过二乘二取二冗余设计及特有的拒绝机制[6]，确保整体硬件平台满足各特定信号安全控制系统的可靠性及安全性需求；通过标准的板卡数据总线接口实现硬件的可扩展性，满足各特定信号安全控制系统的硬件通用性需求。

信号安全控制平台把(某类)系统全部的功能软件清晰、合理地划分为平台软件和用户应用软件两部分[7-8]，其中用户应用软件主要是指处理各特定信号安全控制系统内部逻辑运算的软件，通过平台软件实现与外部系统的通信；平台软件主要对平台硬件进行控制、协调处理，并对包括应用软件在内的整个系统的运行进行调度管理。通过独立设计的信号安全控制平台的软/硬件和对外用户应用软件，一方面可使应用软件具有可移植性，便于升级和维护；另一方面可使信号安全控制平台具有通用性和兼容性。

2 信号安全控制平台硬件设计

2.1 硬件设计原理

信号安全控制平台采用二乘二取二冗余结构作为安全平台的整体核心架构[9]。其基本功能结构、边界及接口如图1所示。

图1 信号安全控制平台基本结构框图

如图1所示，信号安全控制平台主要由电源层、逻辑层、通信层及IO执行层等部分组成。

(1)逻辑层为安全控制平台的核心层，主要由平台的主从处理部件、对IO执行层的信息传输/通信与控制部件，对平台内、外部的通信部件等构成。逻辑层首先为其处理器上运行的用户应用软件提供所需的各种信息和系统功能支持，并在用户应用软件的主导下完成对平台内、外部设备(包括相应的人机接口、安全类接口、一般类接口)的各种(实时的与非实时的、安全相关的与非安全相关的等)通信交互及控制；其次是控制逻辑层内部(主从通信)及逻辑层间(主备通信)实时进行的各种信息传输/通信；最后是对包括冗余机制在内的运行及协调、故障的检测诊断及安全保障等功能的管理。

(2)通信层受控于逻辑层，由安全类通信接口、人机接口、一般类通信接口组成，主要完成平台的内部及外部通信。安全通信类接口主要用于实现与其他外部安全信号控制系统的信息交互(例如联锁系统与列控系统之间、列控系统与限速服务器之间等)等功能，其要求对通信传输过程中的各种“威胁”进行严格的防护，所有安全通信协议都以只检错而不纠错的编码校验为原则；人机接口[10]主要用于实现平台与用户之间的信息交互，提供程序下载、启动、日志记录、上传等功能；一般类通信接口主要用于实现平台与某一类特定应用间的非安全类信息交互(如联锁系统与运维系统之间)等功能[11]。

(3)IO执行层受控于逻辑层，主要由采集/驱动执行机和/或执行单元(模块)构成，能够对一定规模数量的继电器类和/或其他数字和模拟对象，实时进行安全、稳定、可靠的状态采集和驱动控制处理。

(4)电源层主要用于实现为信号安全控制平台供电的功能，其受控于逻辑层的拒绝机制。当逻辑层检测到主从交互间出现“故障”时，会执行拒绝机制，停止为IO执行层和通信层供电实现“安全”。

通过对信号安全控制平台结构模块的组合，可以构建特定信号安全控制系统的需求架构，如图1所示区域①中模块组合可以实现车站计算机联锁系统[8]架构；区域②中模块组合则可以实现车站地面列控中心系统[12]架构。

2.2 硬件设计实现

根据信号安全控制平台的硬件设计原理，信号安全控制平台采用二乘二取二冗余结构，其基本组成结构如图2所示。

图2 信号安全控制平台结构

由图2可以得到，信号安全控制平台由具有相同结构的A系和B系组成。两系之间采用双重冗余的系间专用安全接口进行通信，确保双系间的同步。两系采用主备方式冗余，正常运行时，两系互为热备；任何一系故障时，不会影响信号安全控制平台的工作。A/B系中设有主从CPU，分别进行逻辑运算并实时进行比较；当比较结果不一致时，通过比较板实现图1中拒绝机制功能，强制使本系离线，退出工作状态。

A/B系通过一块以太网通信卡与人机子系统通信，实现图1中所示逻辑层与人机接口(MMI/MT接口)的通信功能[13]；通过可扩展的多块以太网/RS422通信卡与外部其他信号系统系统通信，实现图1中所示逻辑层的安全类接口功能。

阿里的声音打碎了阿东的空白。上面开始有字浮出。这字便是：家里再也不会有母亲了。阿东的眼泪开始在眶里打转。

A/B系通过冗余的主从CAN通信卡与IO系统进行通信，通过安全侧编码及处理原则并进行校验等手段实现平台对外部模拟/开关信息的直接采集和驱动。

信号安全控制平台在机械结构上，A、B两系各采用独立的安装机笼；每个机笼中的主、从两子系采用以比较板为中心左右对称的双板结构，主要由比较板和主/从两块CPU板、主/从两块/两组CAN通信板、可扩展的多块以太网/RS422通信板卡以及特制的专用母板等组成。CPU板通过标准的板卡总线与比较板、专用安全通信接口、CAN接口、以太网/RS422接口实现信息交互功能。

由图1和图2可以得到，信号安全控制平台的整体结构由A系、B系、IO执行单元以及供电部件构成。其中A、B系间专用安全通信接口、IO通信接口、与其他信号系统的通信接口都设有防雷单元，并采用屏蔽通信电缆；各通信线与电源线之间采用强弱区分、分组布线的原则进行布线设计。除此以外信号安全控制平台依据等电位布置及良好的接地原则，将部件外壳、机笼外壳、屏蔽通信电缆等所有设备用地线连接，形成一个完整的联合接地系统，用以保证了信号安全控制平台能在复杂电磁环境中满足相应的安全性、可靠性、可用性和可维护性(RAMS)要求。

3 信号安全控制平台软件设计

3.1 软件设计原理

信号安全控制系统的软件部分按功能可以划分为逻辑处理(用户应用软件)和应用管理(平台软件)两部分。平台软件通过预先定义的统一、标准接口与用户应用软件运行于信号安全控制平台A、B两系中各自的主、从(共4个)CPU中。其软件关系如图3所示。

图3 系统软件关系

如图3所示，系统软件分为平台软件部分和用户应用软件，平台软件在硬件平台的基础之上提供各种底层函数，完成通信层、IO控制层、逻辑层各部分硬件的初始化、运行及自检处理；调度协调各部分硬件的运行及相互之间的信息交换处理；安全逻辑部分只要是实现同系中主、从两子系的同步运行和二取二的安全冗余处理；实现A、B两系之间的同步运行和主、备的可靠性冗余处理。

平台软件上电完成初始化、硬件自检后，开始进行用户逻辑运算初始化和安全逻辑自检，之后进入循环结构，只有在发现严重的逻辑错误时才会退出工作状态。其基本功能UML顺序如图4所示。

图4 平台软件基本功能UML顺序

由图4可以得到当平台软件进入循环结构后的功能顺序。平台软件通过已定义的标准接口将接收的数据传递给用户应用软件，其中包括IO执行层的控制对象的模拟量和开关量status1、MMI/MT[12]的命令command&status、其他信号系统的命令及状态等信息command&status2；通过已定义的接口读取用户应用软件运算的结果，并将其发送到对应的硬件接口，其中包括控制对象驱动和开关Senddata1、状态和日志记录Senddata2、其他信号系统的命令及状态等信息Senddata3，用户应用程序完成接口信息交互后进行自身的逻辑运算Process1。平台软件获取用户应用软件发送的状态信息status2并进行安全逻辑运算Process2，其中安全逻辑运算Process2包括主从CPU的信息交换、同步及安全处理、主备两系的信息交换、主备两系信息的冗余处理、系统工作状态处理等。

3.2 软件设计实现

图5 平台软件模块结构框图

由图5可以得到，处于第一层次的是主程序模块和为平台提供时间基准的定时中断模块，由主程序模块对第二层次的主从CPU信息交换模块、两系信息交换模块、MMI/MT通信模块、外部系统通信模块、输入输出数据处理模块、工作状态处理模块、错误处理模块、比较板接口模块以及IO通信模块进行调度管理。处于第三层次的主从通信接口模块、系间安全通信接口模块及ETH接口模块是完全针对硬件的、属于底层驱动的硬件接口模块，由第二层次的程序模块调用。其中ETH接口模块驱动平台的ETH板卡实现与外部信号系统的通信，由 ETH板卡自带软件实现ETH通信协议[14](例如RSSP-I，RSSP-II协议)解析。

信号安全控制平台上电启动实现初始化和自检后，进入一个永不退出的循环结构，其模块流程如图6所示。

图6 平台软件模块流程

由图6可以得到平台软件模块的基本流程，信号安全控制平台软件模块首先进行系统初始化和自检，其中初始化主要包括启动硬件比较功能、各个硬件初始化、数据处理和自诊断等。

系统初始化和自检完成后进入循环结构，首先处理A，B两系及主从CPU的信息交互及握手，再依次进行IO信息处理、与MMI/MT信息处理和外部信号系统数据的处理；然后在调用该程序前进行A、B两系的状态及信息处理；之后调用用户应用程序；最后进行主从CPU数据处理、拒绝机制处理和运行周期管理。完成上述模块功能后，程序进入下一次循环周期。

4 信号安全控制平台的验证

依据EN50126/128/129/159等欧洲铁路系列标准，信号安全控制平台设计的验证采用了经典的V模型[5]，进行了风险源识别、风险分析、模块级代码测试、系统集成测试、系统安全验证和确认等过程，确保了信号安全控制平台软硬件设计过程的可控、安全[15]。

此外，根据信号安全控制平台设计的要求，研制了信号安全控制平台样机。平台电磁兼容检测、环境适应性实验和防雷检验结果[16-17]表明：信号安全控制平台的硬件标准通用接口、电磁兼容及防护设计能够在复杂电磁环境中满足相应的安全性、可靠性、可用型和可维护性(RAMS)要求，完全具备实际应用条件。

最后，以铁路总公司发布的第二版标准站联锁及列控中心数据为用户应用软件，与平台软件相结合进行了系统集成测试和上海同济大学铁路车站计算机联锁检验站的功能测试，集成测试和功能测试结果表明：信号安全控制平台配合相应的用户应用软件完全能够满足特定信号安全控制系统的全部功能及安全完整性需求，具备实际实施的能力。

5 结语

信号安全控制平台是具备完全自主知识产权的满足铁路信号特殊安全需求的国产二乘二取二计算机应用平台。提出一种信号安全控制平台的设计研究，从硬件和软件两个方面分别阐述信号安全控制平台的设计原理和设计实现，通过测试验证确认设计的信号安全控制平台可以为各种铁路信号技术装备开发提供一种具有较高安全性、可靠性、可用型和可维护性(RAMS)的具有统一接口的设备平台。

随着等同采纳欧洲铁路系列标准的我国国家相关标准的生效，CRCC对铁路信号产品新的认定体系的逐步确立与实施，尤其是独立第三方SIL4安全认证事实上的强制执行，在铁路信号控制系统工程应用时，采用“信号安全控制平台+特殊应用”的认证方式，可以有效地节约成本并推进项目的实施进度，这种架构合理、功能全面、接口统一、兼容性强的信号安全控制平台必将在铁路信号设备全面升级的过程中发挥越来越大的作用。