轨道交通安全控制关键技术综述

江 明

(1．北京全路通信信号研究设计院集团有限公司，北京 100070；2．北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

1 概述

轨道交通信号系统是轨道交通系统中为保证行、调车作业安全，提高车站、区间通过能力及列车解编能力，提升综合指挥调度及运营管理水平，改善作业人员劳动条件，降低运行能耗的技术设备的总称，是一套用于消解列车运行冲突风险的专用工业控制系统，是使移动装备与地面固定装备保持协调关系、防止列车超速的重要系统。随着信号系统不断发展，其功能也在不断扩展完善。从当前的技术发展阶段来看，信号系统具有保障行车安全、提高运输效率、提升运营管理水平、改善工作人员劳动条件、降低运行能耗等5大功能[1]。

轨道交通列车运行控制系统（简称列控系统）是信号系统的重要组成部分，对保障行车安全、提高运输效率起到重要的作用。由于列控系统安全控制功能的极端重要性，需要攻克大量轨道交通安全控制关键技术才能保证其功能的正确实现。从文献调研情况来看，中国铁路智能运输系统从整个运输系统的角度梳理了关键技术体系[2]，部分文献[3-4]从不同角度概括了部分安全控制关键技术，但总的来说缺乏对轨道交通安全控制关键技术的全面梳理。为了从技术角度更好地展现列控系统的全貌，理解各项安全控制关键技术在列控系统中所起的作用，本文从RAMSS（可靠性、可用性、可维护性、安全性、信息安全）技术、安全控制系统技术、安全控制基础技术、超速防护技术、冲突防护技术、自动运行技术6个维度，全面系统地梳理了轨道交通安全控制所涉及的关键技术，绘制了轨道交通安全控制关键技术树，对各关键技术的国内外现状和发展水平进行总结，并针对部分关键技术进行深入探讨。通过相关关键技术的梳理，我国轨道交通安全控制技术在上述6个维度上与全球安全控制领先技术对比情况如下：安全控制系统技术和自动运行技术处于领跑状态，安全控制基础技术、超速防护技术、冲突防护技术处于并跑状态，RAMSS技术处于跟跑状态。

2 轨道交通安全控制关键技术

随着运输业竞争的日益激烈，对铁路运输提出了更安全、更高效、更多信息服务的要求，进而对铁路信号系统及列控系统提出了更高的要求。为了满足不断涌现的新需求，由于传统的铁路信号设备逐渐显示出一定的局限性，因此向功能先进的电子控制系统的过渡是必然趋势。同时，信息技术的飞速发展使电子控制系统在铁路信号中的广泛应用成为可能，并且在此过程中针对电子控制系统的使用涌现出大量新的关键技术。

目前在各国铁路应用的轨道交通列控系统制式多种多样，如中国的CTCS-0～CTCS-4级列控系统、欧洲的ETCS 0～ETCS 3级列控系统、日本的ATC系统、法国的TVM430系统、德国的LZB系统、美国的PTC系统、城市轨道交通的CBTC系统等，其主要功能包括超速防护、冲突防护、自动运行等。通过对上述各种不同制式的列控系统的技术特点和实现方式进行梳理分析，并加以归纳提炼分类，得出如图1所示的轨道交通安全控制关键技术树，共分为RAMSS技术、安全控制系统技术、安全控制基础技术、超速防护技术、冲突防护技术、自动运行技术6个方面。其中，RAMSS技术和安全控制系统技术是较为通用的技术，可适用于轨道交通、航天、核能等不同的行业，主要是结合列控系统的实际需求和特点进行裁减应用；安全控制基础技术、超速防护技术、冲突防护技术、自动运行技术目前属于列控系统的专用技术，后续也可考虑将这些技术推广至轨道交通其他专业甚至是轨道交通行业之外的其他行业。另外，人工智能、云计算、大数据、物联网、移动应用等智能化技术也可以广泛应用于轨道交通信号系统的各个方面，但是因为上述技术目前在列控系统中的直接应用尚不广泛，暂不纳入关键技术树。

无论什么制式的列控系统，主要目的都是为了保障行车安全、提高运输效率，其系统功能及总体架构大同小异，出发点都是采用图1所示关键技术树中列举的部分关键技术来实现预期的功能。在RAMSS技术、安全控制系统技术的保障下，按照其安全功能分配，从安全控制基础技术、超速防护技术、冲突防护技术、自动运行技术中选择不同关键技术的组合研发列控装备就可以形成一套新的列控系统。以我国300 km以上时速智能高铁采用的CTCS-3+ATO列控系统为例，系统采用准移动闭塞制式和地面集中式联锁，采用轨道电路实现列车定位和完整性检查，RBC采用集中方式生成行车许可、保存并发送电子地图，ATP采用速度传感器和应答器实现测速测距、采用一次制动曲线生成控车模式曲线，临时限速服务器实现临时限速管理，ATO实现自动加减速控制和车门开关门防护，能够与CTCS-3级列控系统实现互联互通。

图1 轨道交通安全控制关键技术树Fig.1 Railway safety control related key technologies tree

3 RAMSS技术

具有良好的可靠性、可用性、可维护性和安全性（RAMS）一直是铁路信号设备的基本要求，而随着铁路信号设备网络化的发展趋势，信息安全也成为一个全新的重要课题。传统铁路信号设备构成简单、功能较弱，采用具有非对称错误特性且故障可知的器件作为基本故障—安全逻辑单元（以信号安全继电器为主），藉此保证铁路信号设备整体具有故障-安全特性，设备具有较高的抗干扰能力，可靠性较高，同时因未接入信息网络也不存在信息安全风险。随着铁路信号电子控制系统的运用日益广泛和深入，现代铁路信号设备近年来也在迅速实现变革，采用计算机、通信、控制技术，依据可靠性理论，通过对软件和硬件的避错和容错设计，来实现系统的安全可靠应用，在RAM、功能安全、信息安全等方面提出了更高的要求。

RAM技术方面，20世纪50年代初美国就开始对电子设备进行可靠性研究，目前已经有了比较完善的理论基础。关键技术主要包括RAM建模技术、RAM设计技术、RAM分析技术、RAM评价技术、电磁兼容技术、防错容错技术等。具体的RAMS工程应用技术包括基于安全系数的可靠性工程设计、故障模式影响分析（FMEA）、可靠性框图分析、故障树分析（FTA）、GO 法、事件树分析法（ETA）、马尔科夫模型、Petri 网、可靠性试验等。目前国际上技术成果主要体现在IEC62278（EN50126）、IEC61508，美国军用标准MIL-STD-785B、MIL-HDBK-217F-N2和MIL-HDBK-472等标准规范中；我国的技术成果主要体现在IDT IEC62278（GB/T 21526）、《电子设备可靠性预计手册》（GJB299C）、《故障报告、分析和纠正措施系统》（GJB841）等标准规范中, 但我国尚未建立系统的RAM工程体系[5]，同时列控系统缺乏异地灾备的实践，有待进一步加快推进。

功能安全技术方面，其概念起源于20世纪60～70年代的航空领域和核技术领域，用于消除系统运行过程中可能出现的人的风险、物的风险、环境风险和管理风险，经过多年的发展已经取得初步成果。关键技术主要包括安全建模技术、安全分析技术、安全控制技术、安全仿真技术、继电电路技术、安全平台技术等。按照模型假设，可分为传统的事故模型和系统的事故模型两大类[6]。传统的事故模型假定事故是由于组件故障或者失效引起的，并且简化了人为和组织因素，比较典型的有多米诺事故模型、瑞士奶酪事故模型，这类模型简单直观，既可以定性分析也可以定量分析，并且具备一定的自动化分析工具；但因为忽略了人为和组织差错、软件差错、需求缺陷等问题，对非线性、强耦合的事故原因分析力不从心。近年来，针对现有方法的局限性和复杂系统不断涌现的实际情况，提出了基于系统思维的事故模型和安全性分析与控制方法，比较典型的有STAMP模型、STPA分析方法和FRAM模型、FRAM分析方法等，这类模型强调相互作用和相关性的重要性，能够适用于复杂系统的分析，但目前只能通过人工方法来使用，自动化工具较为缺乏。目前国际上功能安全相关成果主要体现在 IEC61508、IEC62278（EN50126）、IEC62279（EN50128）、IEC62425（EN50129）、IEC62280（EN50159）等标准规范中；我国于20世纪90年代即提出了铁路信号故障-安全原则（TB/T 2615），并陆续等同采用了上述国际标准，但是近年来的工作主要聚焦在既有传统事故模型相关成熟方法的工程应用，对包括系统事故模型在内的相关技术理论研究工作开展较为欠缺，需要大力加强。

信息安全技术方面，网络信息安全起步于20世纪90年代，目前处于快速发展阶段。关键技术主要包括安全分析技术、安全防护技术、安全测评技术、安全信息传输技术、安全数据网技术等。目前国际上技术成果主要体现在IEC62443等标准规范中，面向各种工业行业的工业自动化控制系统的安全，比较符合各工业行业对信息安全标准的需要。国内已初步建立工控系统信息安全标准体系，包括安全监管、安全规划、安全建设、安全测评、安全管理、安全产品共6类标准[7]。但目前电力、石油天然气及核设施等行业的技术及标准研究处于领先地位，轨道交通信号系统相关研究尚处于起步阶段，需要快速推进。

4 安全控制系统技术

列控系统要应用到特定的铁路运营线路，必然涉及到系统设计、接口设计、工程实施、监测维护等全生命周期的各个环节。经过短短十几年的高速发展，我国已开通三万多km高速铁路和五千多km城市轨道交通线路，在轨道交通安全控制的系统层技术方面取得长足进步，制定了较为完善的技术标准体系[8]，总体水平处于全球领先地位。

系统设计技术方面，关键技术包括运营场景设计技术、工程设计技术、等级转换技术、互联互通技术、枢纽设计技术等，从顶层架构上解决如何实现不同等级跨线运行、互联互通的铁路网需求问题，主要成果体现在《铁路信号设计规范》 （TB10007）、《CTCS-2级列控系统总体技术要求》 （TB/T3516）、《CTCS-3级列控系统总体技术规范》（Q/CR661）等标准规范中，但还有大量理论研究工作可以开展。为了更好地总结提炼我国列控系统的系统设计先进经验，特别需要研究一套理论方法和技术，用于指导运营场景的设计以及枢纽车站列控方案设计，满足类型繁多、特点各异的枢纽车站的实际特点。

接口设计技术方面，关键技术包括综合交通信号接口技术、通信接口技术、车辆接口技术、供电接口技术、人机接口技术、站台门接口技术、车地短程通信技术、总线技术等。列控系统既需要与公路、水路、民航等其他交通方式的信号系统接口，实现铁路在综合交通运输体系中的地位和作用进一步提升；也需要与通信、车辆、供电、机务、站务等多个专业的系统接口，实现铁路各子系统协同工作；还需要实现系统内部各装备之间的接口，满足系统正常运用。相关系统对列控系统的正常工作均会造成影响，以通信系统为例，可以选用400 M、GSM-R、LTE-R、Wi-Fi或者5G等各种通信网络，但通信网络的实时传输能力会直接影响列控系统的性能和效率，需要合理选用通信网络并设计好列控-通信接口。此外，应答器、轨道电路的调制解调等车地短程通信技术，以太网、串口、MVB、PROFIBUS、CAN、TRDP等总线技术对列控系统的正常应用也有较大影响，也是需要重点攻克的关键技术。

工程实施技术方面，关键技术包括列控工程数据技术、产业化技术、测试验证技术、系统集成技术、现场施工技术、联调联试技术、系统评估技术等，主要是采用系统集成的方式解决现场开通运营过程中出现的各类问题，保持整体协调指挥、实施步调一致，同时使得工程实施各个环节不断提高效率、保证质量安全，确保列控系统开通目标的按期达成。

监测维护技术方面，关键技术包括动态监测技术、故障诊断技术、智能维护技术、维护管理技术等，实现在用设备的状态监测、设备故障的自动诊断、维护作业的智能化指导和高效管理。后续可更多与人工智能、云计算、大数据、物联网、移动应用等智能化技术相结合，提升监测维护智能化水平。

5 安全控制基础技术

为实现列控系统的超速防护、冲突防护、自动运行等功能，除了必须攻克RAMSS技术、安全控制系统技术以及各功能相关的专用技术外，还需要解决一些较为公用的关键技术，将其分类为安全控制基础技术，主要包括电子地图技术、列车定位技术、列车完整性检查技术等。

电子地图技术是轨道交通安全控制的重要关键技术，是列控设备确定管辖范围内线路上所有的列车位置，为每列车计算控车模式曲线、行车许可和驾驶策略的基础。关键技术主要包括电子地图的建模技术、生成技术、拼接技术、安全存储技术和安全同步技术。电子地图是利用计算机技术，以数字方式存储和查阅的地图，给定线路拓扑结构、轨旁信号设备（含控制区域划分）、线路数据（经纬度信息、允许速度、线路坡度、道岔等）以及线路上各元素之间的拓扑关系，其统一化定制与描述对实现跨线互联互通运营起着决定性的作用。按照电子地图描述的范围，可分为全局地图和局部地图；按照电子地图信息来源，可分为静态存储地图、在线下载地图、在线生成地图；按照电子地图描述信息的维度，可分为一维地图、二维地图和三维地图。例如，CBTC系统中车载保存的电子地图为全局地图、静态存储地图、二维地图，C3系统中ATP根据行车许可信息生成的用于计算控车曲线的临时地图为局部地图、动态地图、一维地图，C4系统ATP设备应用的卫星导航地图为全局地图、静态地图、三维地图。应根据电子地图更新的频率、处理设备和通信系统的性能合理选择不同类型的电子地图。

列车定位技术用于确定列车在电子地图中的位置，根据采集到的列车经纬度信息、地面定位标信息、测速测距、占用检查设备状态等信息，结合电子地图提供的信息计算确定。根据定位信息来源，可分为主动定位技术（列车自主定位）、被动定位技术（地面定位）两种类型。其中，主动定位技术主要包括车车通信、车体检测、无线扩频、电网检测、卫星定位、应答器/信标等，被动定位技术主要包括轨道电路、计轴、感应环线，以及近期出现的电磁传感技术、超声传感技术、雷达探测技术、视频监测技术等。根据定位连续程度的不同，可以分为离散信息方式、连续信息方式和分段信息方式等多种方式，其中应答器/信标为离散信息方式，卫星定位为连续信息方式，轨道电路为分段信息方式。在上述定位技术中，主动定位技术的特点是定位主体必须安装定位设备并且处于正常工作状态下才能实现故障-安全，一旦定位设备故障则失去定位，未安装定位设备也将失去定位；被动定位技术则对处于正常或故障状态的列车均可实现故障-安全的定位，但需要沿线安装特定的地面设备，带来额外的建设和维护工作。

列车完整性检查是指列车运行过程中利用设备检测列车的完整性，即检测列车有无脱钩抛车现象。对采用主动定位方式的系统，由于抛车上未装备定位装置无法实现定位，必须采用故障-安全的列车完整性检查装置；对采用被动定位方式的系统，能够正常定位抛车，无需加装故障-安全的列车完整性检查装置。关键技术主要包括系统完整性模型、完整性风险分析、安全列尾、三点检查等。实现列车完整性检查的方式主要有基于卫星及速度传感器的混合检测、在各车厢安装无线传感器并判断传感器网络的结构、车长的准确估计、风压变化速率检测等。

6 超速防护技术

超速防护功能是列控系统保障列车运行安全的一项主要功能，通过将采集获得的列车实际速度值与计算获得的列车允许速度值进行实时比较，当列车速度超过允许速度时采取包括报警、输出常用制动、输出紧急制动等措施防止列车超速。为实现超速防护功能，需要采取的关键技术除了安全控制基础技术外，还包括测速测距技术、临时限速技术和控车曲线计算技术。

测速测距技术是获取列车速度、加速度、位置、运行方向等信息的依据，是车载设备计算行车许可实现安全控车的重要保障。关键技术包括速度测定技术、多源融合技术、测速测距安全处理技术等。常用的方式包括卫星、速度传感器、雷达、加速度计、惯导及多种信息融合等，各种方式各有其优缺点。例如，卫星精度较高、连续性较好但无法处理长大隧道；速度传感器可靠性较高但是列车发生空转打滑时精度下降，且随着走行距离增大误差累积增大；雷达虽然能在一定程度上避免空转打滑误差，但可靠性不太高。因此，推荐采用多种信息融合的方式提高测速测距精度。

临时限速技术的目的是为减少线路维护、风雪天气对行车安全及效率的影响，实现限速设置的安全性及灵活性，采用设备自动的方式来避免列车超速运行。具体功能为根据调度员的临时限速操作命令，实现列控限速指令的自动分配和集中管理，保证施工限速计划及突发限速的安全顺利实施。关键技术包括离线限速技术、临时限速管理技术、应答器报文实时生成技术、限速命令安全下达技术等。

控车模式曲线根据车辆制动减速度和坡度信息，结合由行车许可生成的一维电子地图计算得出，可分为分级速度控制曲线和速度-目标距离模式曲线，其中分级速度控制又可分为阶梯式和分段曲线式两种。关键技术包括列车制动模型、制动控车模型以及控车模式曲线算法。为了快速计算不同坡道组合下的制动控车模式曲线，存在制动减速度归档和坡度归档两类快速算法。这两类算法都较为保守，会影响列车运行效率，后续需要研究更高效的列车制动模型、制动控车模型以及计算量适中的控车模式曲线算法。

7 冲突防护技术

冲突防护功能是列控系统保障列车运行安全、提高运输效率的一项主要功能，通过联锁、闭塞等技术手段实现列车/车列安全间隔控制，避免出现列车/车列追尾、迎面或侧面冲撞等恶性事故。冲突防护功能有两种实现方式，一种以地面设备为中心，另一种以车载设备为中心。需要采取的关键技术除了安全控制基础技术外，主要还包括闭塞技术、行车许可技术、联锁技术。

闭塞就是用信号或凭证，保证列车按照空间间隔制运行的技术方法，实现前行列车和追踪列车之间保持一定距离。总的来说，闭塞方式可分为站间闭塞和自动闭塞。站间闭塞就是两站间只能运行一列车，其列车的空间间隔为一个站间。站间闭塞按技术手段和闭塞方法又可分为： 电话闭塞、路签闭塞，路牌闭塞、半自动闭塞、自动站间闭塞。自动闭塞从闭塞制式的角度来看，可分为固定闭塞、准移动闭塞（含虚拟闭塞）和移动闭塞[9]，其中移动闭塞又可分为基于位置的移动闭塞和基于速度的移动闭塞。移动闭塞与其它闭塞方式相比具有地面设备简化，能够提供更高密度的行车能力等优点，但实现的技术难度最大，通信网络或设备的故障对运营的影响最大，需要引入全新的安全理念，对列车动态间隔控制建立完备的智能控制模型。

行车许可技术是自动闭塞相关的关键技术，根据列车所在位置、列车运行方向、电子地图、道岔状态计算得出行车许可（MA）。MA计算有集中式和分散式两种方式。集中式MA计算技术较为成熟，在既有列控系统中已广泛使用，采用地面控制设备（如RBC、TCC）根据管辖范围内的全局状态统一为各列车计算MA。分散式MA计算有两种方式，一种是轨道电路仅根据相邻轨道电路的状态直接计算MA并传送给信号机显示，适用于低速的运营线路；另一种是列车通过车车通信获得的局部信息各自计算MA，难点在于如何选择需要通信的列车，对未装备或无定位列车的处理，多列车同时申请改方的处理等问题，并且对通信网络提出了极高的可靠性要求。关键技术包括列车运行间隔调整技术、列车管理技术、行车路径规划技术、车载路径锁定技术等。

联锁是指为了保证铁路车站行车和调车作业的安全，在信号机、道岔和进路之间通过技术手段建立的相互制约关系。联锁技术可分为地面集中式联锁和车载分散式联锁。地面集中式联锁技术较为成熟，已广泛使用，采用联锁设备根据管辖范围内的全局状态统一管理信号机、道岔和进路，目前有继电联锁、计算机联锁、全电子联锁等多种形式，当逻辑单元控制远程执行单元时可构成区域联锁。车载分散式联锁将联锁功能上车，通过车车通信和/或车地通信获得的局部信息计算联锁相关逻辑，可以减少地面设备和增强车载功能，也可有效降低进路信息传输延迟。但联锁功能上车，意味着道岔要受到多头（多车）管理，如处理不当会出现状态一致性问题，同时调车的相关处理也是急需解决的问题。关键技术包括道岔控制、信号机控制、进路管理、联锁控制逻辑等。

8 自动运行技术

列车自动运行功能是列控系统提高运输效率、降低运行能耗的一项主要功能，根据地面控制系统指令、不同的运行工况及区间运行时分选择最佳的控制策略，完成自动开/关车门、站台精确停车及列车启动、加速、惰行和制动的控制，满足站间行车间隔及平均旅行速度的要求，达到节能及自动调整列车运行的目的。需要采取的关键技术除了安全控制基础技术外，主要还包括驾驶策略技术、车门开关防护技术、故障检测技术等。

准点率、停准率、舒适度、能耗是判定一套自动运行系统优劣的重要指标。如何在各种线路条件、各种气象条件、各种车型条件下保证这些指标的高水平达成，是自动运行系统后续发展需要不断提升的方向，通过解决驾驶策略技术来实现。关键技术包括牵引模型研究、制动模型研究、曲线规划算法、规划曲线优化、控制算法等。

车门开关防护技术主要解决列车车门安全开关的问题，车门处理需要考虑的场景包括在错误的时机/位置打开车门，或者打开错误侧的车门；这两种场景均可能导致乘客意外掉出车厢，造成伤亡。关键技术包括车门状态安全采集、乘客状态检测、车门开关安全决策、车门开关命令安全输出等。

随着自动化、智能化程度的不断提高，高速铁路自动运行系统将更多替代司乘人员的工作，带来传统铁路信号系统安全功能边界的拓展。系统将更多地承担涉及行车安全和乘客安全的安全功能，增加了可能导致人员伤亡和财产损失的风险源，通过解决故障检测技术来保障系统安全。关键技术包括线路条件检测技术、障碍物检测技术、人员检测技术、车上设备状态检测技术等[10]。

由于轨道交通安全控制关键技术体系庞杂，涉及的技术领域纷繁复杂，笔者掌握的信息有限，难免出现挂一漏万的情况，对部分关键技术的理解和分类也可能存在不当之处，在后续研究过程中进一步完善。

9 总结

经过十余年的努力，我国建成了世界上规模最大的高速铁路网，使得我国迈入高速铁路大国的行列。但是，单就轨道交通安全控制技术而言，目前还存在大而不强的问题，在全球轨道交通安全控制技术领域尚未形成全面引领的态势。为了帮助铁路信号专业人员更好地理解轨道交通安全控制技术的内涵和外延，本文从RAMSS技术、安全控制系统技术、安全控制基础技术、超速防护技术、冲突防护技术、自动运行技术6个维度，全面系统地梳理了轨道交通安全控制所涉及的关键技术，绘制轨道交通安全控制关键技术树，并针对部分关键技术进行深入探讨，希望能给我国铁路信号专业人员带来一些启示。