刘晓斌
中国高铁作为中国高新技术的一张名片,受到越来越多国家的青睐,中国高铁走向国际市场已经成为国家战略。列车运行控制系统是高速铁路关键技术之一,是列车高速安全运行的保证。无线闭塞中心(Radio Block Center,RBC)是列车运行控制系统地面的核心设备,它通过无线通信与列控车载设备交互车地信息,结合地面轨道电路、临时限速等信息,向车载发送行车许可,控制列车安全运行[1]。
目前我国具有自主知识产权的RBC,即自主化RBC,符合CTCS-3级列控系统标准规范,而欧洲以及其他多个国家均采用ETCS标准规范。自主化RBC与ETCS标准的互联互通成为高铁列控系统能否“走出去”的前提条件[2-3]。本文针对自主化RBC与ETCS互联互通的国际认证方式—TSI认证,通过标准梳理、标准符合性分析、差异项的处理和系统测试等,全面分析了TSI认证的整个流程,可为铁路信号产品如何进行国际认证提供参考。
TSI(Technical Specification for Interoperability)是欧盟铁路互联互通技术规范的简称,是欧盟关于铁路产品的技术法规。为了使铁路零部件在所有欧盟国家都能使用,欧盟委托欧洲铁路协会(ERA)颁布了互联互通性技术规范TSI,只有当铁路系统的零部件满足该标准要求时,互联互通性才能成为可能。ETCS系统结构见图1,其中RBC是ETCS-2级列控系统地面信号控制的核心设备,是地面信号系统信息及指令的收集和交互中心,根据计算机联锁的进路状态、临时限速、列车位置等,结合RBC配置的线路参数,生成列车行车许可等控制信息,并通过GSMR无线通信发送给车载设备,确保列车在其控制范围内安全、可靠、高效地运行[4]。TSI认证包括子系统和互通部件(Interoperability Constituent,IC)2种认证方式,RBC属于互通部件中的控制-指令和信号(Control-Command and Signalling,CCS)子系统中的一个部件[5-6]。欧盟规定在欧洲铁路上道使用的RBC设备需要进行TSI认证,其主要的互通对象是ETCS的车载设备和地面设备中的相邻RBC,其他的非ETCS的信号系统接口,欧盟并没有相关的认证要求。这样做的目的是确保装有ETCS列控系统的列车可以在欧盟不同的国家之间运行,而联锁等其他信号系统则可以维持不变。
TSI认证模块有以下几种分类[5-6]。
1)CA:内部生成控制。
2)CB/SB:EC型检验。
3)CC:基于内部生产控制的一致性验证。
4)CD/SD:基于生产过程质量管理体系的一致性验证。
5)CF/SF:基于产品验证的一致性验证。
6)CG/SG:单元验证。
7)CH/CH1/SH/SH1:基于全面质量管理系统的一致性验证。
基于以上基本模块的不同组合,又可能衍生出其他若干种不同的模块。根据铁路信号设备的特性,RBC可选择CB+CD的组合模块。
CB模块认证用于产品设计阶段,属于TSI认证的关键环节,需要对产品的功能、性能、设计实现、测试等各个方面进行标准符合性认证[7]。TSI符合性认证根据ETCS相关技术规范和CCS TSI 2016/919/EU关于欧盟铁路系统“控制-指令和信号”子系统的互操作性技术规范的要求进行认证。所认证的互联互通部件IC定义来自于CCS TSI 2016/919/EU表5.2a。另外所选用的UNISIG规范将采用CCS TSI 2016/919/EU的表A2.1中的specification#1(ETCS Baseline 3 Release 2 and GSM-R Baseline 1),目前最新版本为基线3(B3R2)版本。该版本的主要规范子集包括SUBSET-026 V3.6.0,SUBSET-037 V3.2.0,SUBSET-039 V3.2.0等。
CD模块主要是针对生产过程的质量管理体系评估,以确保制造出符合设计的互联互通部件[8]。审核内容包括生产企业的质量管理体系(如ISO9001∶2015)、环境管理体系(如ISO14001∶2015)和国际铁路行业标准(如ISO/TS22163∶2017)等的符合性。另外还需对生产质量管理计划、样机和硬件生产阶段流程进行审核。CD模块的审核具有一定的时效性,为确保证书的有效性,需要进行定期的监督性审核。本文主要对CB认证过程进行介绍。
TSI的CB认证是对产品设计开发的认证,依据产品的安全认证评估报告,以及产品的设计开发文档,审查产品功能与ETCS标准的符合性。其中主要的认证工作包括以下几个方面。
1)对ETCS标准的梳理,分析TSI认证所需要的标准集。
2)全面分析自主化RBC与标准集的符合性,对于不符合的内容需要进行需求及设计的变更。
3)搭建仿真测试环境,由认证机构人员进行测试确认。
ETCS标准定义了若干子集,这些子集规定了ETCS系统的系统需求、安全需求、性能需求、通信等方面的内容。根据标准设计的产品可以方便地接入欧洲的信号系统,实现信号系统车载与地面、地面与地面的互联互通,统一的标准为产品的设计研发和工程的快速实施提供了保证。
RBC参考的主要标准是ETCS的系统需求规范子集SUBSET-026[9],内容包括:基本的系统描述、应用规则、模式转换、应用处理流程、版本管理、ERTMS/ETCS语言和消息定义。其他相关的标准还包括:SUBSET-037、SUBSET-039、SUBSET-098等。与RBC相关的ETCS标准见表1。
表1 与RBC相关的ETCS标准
自主化RBC是在CTCS-3级列控系统规范的框架下开发的。CTCS-3级列控系统规范主要参考ETCS的相关标准,并结合我国国情,对其中的部分功能进行了本地化的修改应用。2个标准存在一定的差异性,见表2。
差异项主要包括不支持的功能项和不一致的功能项。CTCS-3级列控系统标准是以ETCS-2级列控系统标准为基础制定的,并对ETCS-2级列控系统中不符合我国国情的功能进行了删减,所以差异项主要是不支持的功能项。在TSI认证过程中,针对不支持的功能项,一般采用2种处理方式:第一种是简单地将不支持的功能项作为系统的应用限制条件;第二种则是在现有的系统中增加功能,以满足标准规范的要求。第一种方式可以在不修改当前系统的情况下通过TSI的认证,但在证书中则会说明系统的应用限制,不利于产品的推广和应用,因此建议在认证的过程中对不支持的功能进行修改,尽量满足标准规范中要求的所有条款。
依据表2中各差异项的功能要求,按照系统变更的流程开展系统软件的设计开发工作。表2中第1~6项的差异属于RBC的应用功能。其中第6项差异需要修改RBC的既有逻辑,其他则是新增加的功能。新增加的功能不会对原有的逻辑产生影响,可以通过增加新的软件模块来实现。第6项差异需要修改当前行车许可缩短的发送逻辑,在行车许可缩短前,需要增加与列车的协商过程,当列车同意行车许可缩短时,才可以进行行车许可的操作(如人工解锁进路)。第7项到第9项的差异属于RBC的车地通信功能的差异,也属于RBC的新增功能,对既有的通信功能没有影响,增加的功能可以根据实际工程的需要进行配置来决定是否启用。下面以第1项增加人工驾驶授权功能为例进行介绍。
表2 CTCS-3与ETCS-2相关标准的主要差异
人工驾驶授权是指列车在人工驾驶(SR)模式下,由于还不具备发送完全模式行车许可的条件,RBC向列车发送的一种行车凭证。列车可以根据人工驾驶授权,按照国家参数中规定的最高速度行车。人工驾驶授权通过RBC向列车发送消息Message2实现。
列车人工驾驶模式的应用场景主要有:ATP上电或重启时,由于列车无法确定位置,需要采用人工驾驶的模式行车,经过应答器后进行列车定位;由于轨道电路故障,RBC无法给出通过该区段的完全模式行车许可,列车需要通过人工驾驶模式越过故障区段。图2为ATP上电注册,司机选择人工驾驶模式场景的消息流程图,RBC按照流程图进行相应的软件设计和实现。
图2 人工驾驶授权消息流程图
无线闭塞中心进行TSI认证的软件应在已通过第三方独立安全评估(ISA)的软件版本上进行,如果软件做了变更升级,则测试的重点主要针对变更的部分进行回归测试,回归测试范围应包含功能测试、接口测试、性能测试和其它测试。由于RBC测试时需要配置线路数据,针对该配置数据还应进行数据测试,从而保证数据的正确性。
无线闭塞中心的TSI认证测试需搭建相应的测试环境,见图3。测试环境包括但不限于以下的组成部分:计算机联锁、CTC、ATP、GSM-R无线网络和仿真测试平台等[10]。测试环境中的设备可以采用真实设备或仿真设备,根据测试案例的要求组合搭建。测试案例按照TSI认证的要求,需要与标准规范子集的条款进行逐条对应,并根据测试的结果出具相应的测试报告。
图3 无线闭塞中心的TSI认证测试环境
根据表2,对RBC修改部分需要设计相应的测试案例。为了完成测试案例,测试环境应具备执行相应测试案例的能力,以及对执行结果进行查看和判断的功能。其中仿真车载应具备ETCS-2级ATP的功能,具有对新增的车载模式、数据消息和通信方式的处理能力。
本文对无线闭塞中心的TSI认证做了全面的解析,重点对TSI认证的模式,标准规范的子集以及与CTCS-3级列控系统的功能差异做了分析,为自主化RBC开展TSI认证提供了思路。自主化无线闭塞中心是我国自主研发的满足CTCS-3级的一个重要安全子系统,目前已通过第三方独立安全评估(ISA),并获得ISA证书。对该产品进行TSI认证,有助于我国对欧盟法规和标准的理解,掌握CTCS-3与ETCS-2级列控系统之间的差异性,进一步提升我国列控系统的相关技术水平,也能确保无线闭塞中心出口技术条款的符合性,保证产品质量,并最终达到走出去的战略部署。