基于自主化CTCS-3级列控车载设备的TSI认证解析

刘雅晴，程剑锋，岳 林，赵志鹏，赵晓宇

(中国铁道科学研究院集团有限公司通信信号研究所，北京 100081)

引言

由于铁路产品的设计和生产过程直接影响行车安全和运输效率，铁路产品认证越来越受到重视，在诸多国家已成为市场准入的必须要求。目前全球授信程度较高的铁路产品认证主要有：美国铁路协会(AAR)认证；海关联盟EAC认证；中铁检验认证中心(CRCC)认证；欧盟铁路互联互通技术规范(TSI)认证。研究目的是通过对列控车载设备的认证过程分析，为其他铁路产品的互联互通认证提供参考。

欧盟定制车载设备(ETCS)TSI的主要目的是寻求国家或城市间铁路互联互通，因此，希望达到不同供应商提供的地面设备.车载设备.关键零部件等能够相互兼容并方便互换，从而降低设备运营维护成本的目的[1-2]。通过TSI可以将欧洲列控技术要求进行简统化，使列车在穿越边界时不受限制地跨国家.跨城市运行，人机交互界面的统一，可以一定程度上减少各国的特殊要求，促进零部件厂商的投资，加快欧盟铁路发展[3]。自主化CTCS-3级列控车载设备，涵盖了列控系统的核心技术，构建了中国自主列控技术体系，是我国铁路信号产品参与国际竞争的基础。在自主化CTCS-3级列控车载设备基础上进行满足TSI要求的设计变更，是融入欧洲乃至全球市场的必要条件。

1 TSI标准

1.1 欧盟标准划分

欧盟法规及标准主要分为4个层次，自顶向下分别为欧盟指令.互联互通技术规范及其引用标准.其他国际性标准以及国家技术标准。其结构性框图如图1所示[4-5]。

图1 欧盟法规及标准层次划分示意

顶层要求为欧盟指令2008/57/EC，是铁路互联互通的总体技术指令，是保障铁路运行和互通的基本要求[6]。该指令是TSI制定.实施的法律依据，对“互操作性”.“子系统”等相关术语进行定义[7]；明确了TSI的范围.基本要求.实施策略等，并进一步对TSI的批准.审查和发布进行规定[8]。此外，还有其他指令，如2016/798号指令为应用于TSI各个子系统范围的安全指令，对安全管理过程中相关的安全管理系统.安全认证.授权.维护.监督.年度报告.调查责任等内容进行了要求。

第2层为欧盟委托欧洲铁路协会(ERA)颁布的互联互通技术规范(TSI)及其引用标准，TSI包含机车车辆，控制.指挥及信号子系统，供电牵引系统，基础设施等方面[9-10]，其中2016/919/EU为铁路系统控制.信号子系统互联互通技术规范。相关引用标准包括欧洲标准委员会(CEN).欧洲电工标准化委员会(CENELEC)和欧洲电信标准化协会(ETSI)等机构颁布的标准。

第3层为其他国际性标准，如国际标准化组织(ISO)颁布的相关标准等。

第4层为国家标准，如德国工业标准(DIN)；英国工业标准(BS)等。TSI及其引用标准.其他国际性标准和国家技术标准共同保证了欧盟指令基本要求的实施。

1.2 CCS子系统

控制.指挥及信号子系统(CCS)是铁路通信.信号及其相关外围设备的总称。主要功能包括列车防护.无线通信.列车检测等，分为列控车载设备和地面设备2部分。TSI定义的CCS系统边界[11]如图2所示。

图2 控制.指挥及信号子系统范围示意

2 系统需求差异性研究

2.1 自主化CTCS-3级列控车载设备

自主化CTCS-3级列控车载设备继承了既有列控系统大量可靠的开发和运用经验，并针对国内应用需求.标准化.技术先进性.可扩展性等方面进行了重点设计考虑[12-15]，具有新一代自主化车载安全计算机平台.双系冗余设备结构.C3/C2主控单元一体式设计.中央维护的操作模式等技术创新点[16]，其系统结构如图3所示[17-19]，包括车载主机和外围设备。

图3 自主化CTCS-3级列控车载设备系统结构

车载主机由安全计算机(VC).司法记录单元(JRU).继电器(RELAY).应答器信息接收单元(BTM).轨道电路信息读取单元(TCR).电台(MT)等设备组成，其中安全计算机由主控单元(VCU).无线传输单元(RTU).总线接口单元(MBI).列车接口单元(TIU)组成二乘二取二结构。车载外围设备由人机交互单元(DMI).铁路无线通信系统(GSM-R)天线.BTM天线.TCR天线.速度传感器(GT)等设备组成。

2.2 需求差异性研究及变更

欧盟对列控车载设备的需求描述体现在TSI规范2016/919/EU中，其首要功能是为列车提供地面信号并对列车实行超速防护，具体包括：基本功能需求.支持功能需求.外部接口需求.内部接口需求和安全需求。为达到支持ETCS功能的目的，自主化CTCS-3级列控车载设备应满足表1的需求，这是TSI认证过程中进行标准核对的必要条件。

表1 ETCS功能要求

基于以上要求，现有自主化CTCS-3级列控车载设备系统需进行适当设计变更，主要变更内容如下。

(1)支持等级变更

ETCS车载设备支持的等级为ETCS-0/1/2/3等级，与自主化CTCS-3级车载设备等级不符，需根据系统需求规范Subset-026中支持的等级进行变更，对软件功能的配置进行分支处理，并对配置参数进行修改。

(2)删除CTCS-2级软硬件功能并新增支持本国特殊传输模块(STM)等级功能。

CTCS-3级车载设备属于国内信号系统需求，不满足欧洲互联互通技术要求，应删除CTCS-3级列控车载设备中的TCR子系统和TCR天线设备，并根据欧洲标准的STM功能接口规范Subset-035以及STM安全时间层.安全链路层.安全应用层的接口规范Subset-056.Subset-057.Subset-058进行变更，对STM控制功能与安全通信协议进行处理。

(3)ETCS特定需求变更

特定需求为自主化CTCS-3级列控系统技术规范中不具备的ATP功能，即地面设计无需考虑的功能场景，具体包括以下功能：

①应答器重定位功能；

②应答器注入MA功能(应用于ETCS-1等级)；

③列车完整性确认功能(应用于ETCS-3等级)；

④地理位置报告功能(ETCS公里标信息)；

⑤紧急消息可采用高优先级通道功能；

⑥支持多种国际列车的静态限速功能；

⑦开口速度监控功能；

⑧紧急制动作为第1条控车曲线的功能；

⑨允许司机输入或地面设备修改黏着系数功能；

⑩支持由司机或地面设备发起短号码呼叫RBC功能(仅根据RBCID呼叫)；

此部分内容需对新增功能点进行危害识别.风险分析，并进行系统需求.系统结构设计.软件需求.软件结构设计.软件模块设计.代码实现及测试.验证确认等开发过程。

(4)人机交互单元变更

自主化CTCS-3级人机交互单元(DMI)与欧洲标准要求的显示需求差异较大，需根据欧洲标准ERA_ERTMS_015560需求重新进行设计开发[20]。由于DMI为基本完整性等级设备，验证过程只需要考虑功能实现。

(5)增加驾驶台信号

为满足ETCS标准中双端驾驶功能要求，在现有自主化CTCS-3级列控车载设备基础上增加驾驶台2激活信号输入.方向控制器2向前信号输入.方向控制器2向后信号输入。

3 认证方案选择

3.1 认证部件选择

自主化CTCS-3级列控车载设备系统内部集成了车载设备和测速测距设备，需根据2016/919/EU要求进行部件选择，即按照互联互通部件组将车载设备和测速测距模块进行组合认证。CCS车载子系统部件组，ETCS车载设备以及测速测距模块的组合范围见表2。

表2 CCS车载子系统部件组划分

3.2 认证模块选择

根据2010/713/EU标准，TSI认证模块共分为8个大类，为A.B.C.D.E.F.G.H，各类分别具有子系统认证(用S表示)或部件认证(用C表示)，如CA模块为部件的内部生产控制认证，SB模块为子系统型式检验认证[21]，全部认证模块及搭配关系如图4所示，认证过程中应同时满足图中虚线上下两部分的要求，因此可以选择一类认证，如H，或组合形式认证，如B+D。对于自主化CTCS-3级列控车载设备，作为CCS互联互通的部件，制造商或申请者可以选择以下部件组合方式进行认证。

图4 TSI认证模块划分示意

(1)CB+CD：型式检验程序+生产质量保障程序。

(2)CB+CF：型式检验程序+产品验证程序。

(3)CH：全面质量管理体系保障程序。

自主化CTCS-3级列控车载设备项目组充分考虑了产品的产量.成本等因素，认为该产品成本较高，产量适中，且安全性要求高，同时需要进行设计过程检查和生产的质量保障能力审核，因此选用“CB+CD”模块进行认证，即选用设计过程检查和质量生产能力审核相结合的认证方式，这种方式更适用于车载设备甚至铁路信号产品的TSI认证。根据2010/713/EC标准的描述，其中“CB”模块的认证为对部件技术设计能力的验证，“CD”模块的认证是基于质量管理系统的产品设计和生产过程的验证，2种认证模式的结合将更有力地证明列控车载设备的互联互通技术水平。

3.3 认证基线选择

由于CCS子系统不同技术标准版本均有效，且不同等级的CCS子系统适用的技术标准不同，需在认证过程中选择认证基线。认证基线一共分3个等级，基线中所包含的各标准版本逐渐升高，基线3中各标准为现行最新版本标准。表3对部分标准在各基线中的版本进行了说明。

对比不同基线可以看出，各基线的系统需求规范SUBSET-026.安全需求规范SUBSET-091.测试规范SUBSET-076等标准的版本不同，且版本逐渐升高。说明不同基线对产品功能要求不同，基线等级越高，对产品的功能.性能.安全性的要求越高。为保证产品的持续有效性，自主化CTCS-3级列控车载设备选择最新版本，即基线3进行认证。

4 评估程序及要求

从产品设计开发至最终准入市场运营，TSI认证需经过公示认证机构(NoBo)和当地国家安全当局(NSA)2个过程的审核，具体流程如图5所示。

图5 TSI认证审核流程

首先由制造商或申请者向公示认证机构提出申请，NoBo根据TSI相关EN标准及其他EN标准进行评估，评估过程包括前期准备.启动会议.预评估.文档审计.型式检验.质量管理审核.系统测试等流程，最终发放TSI认证报告和证书。后续再次由制造商或申请者提出申请，并申明产品合理性，由业主所在的NSA根据NoBo审核结果和国家法规要求进行一致性审核，审核通过后产品可以获得准入批准。

其中NoBo审核为主要过程，具体审核内容及描述见表4。

表4 TSI认证评估项目及内容概述

启动会议应由项目经理主持，用于明确认证实施细节，便于制定后期评估计划。启动会议后制造商或申请方应明确以下内容：识别现有设计与TSI标准要求的差异；明确认证所需文档清单；识别下一步需要完成的关键性活动.过程及文档；明确评估方与制造商或申请方，以及外包方的责任和工作内容划分等。评估计划应包含以下内容：预期实现的活动；工作团队的人员职责和独立性；认证所使用的方法；认证过程的时间安排；里程碑；预期输出等。随着认证工作的不断推进和深入，评估计划将根据实际需求进行更新和修改，以保证项目进度可控。

预评估过程主要内容为现有技术成果与欧盟互联互通技术标准的差异性核对。自主化CTCS-3级列控车载设备TSI认证是在原有CTCS-3基础上进行ETCS求证的过程，因此，首先应建立完整可靠的标准条款矩阵，用于在下一阶段根据TSI标准条款进行证据落实。对于标准中未作出强制要求以及双方对标准理解有偏差的条款，应在本阶段进行解决。

质量生产能力审计，评估方将依据公司现有的质量体系要求进行检查，包括文件检查和产品生产工艺及流程评估，从而确保列控车载设备的质量活动已经提供了充分执行的证据。此外，制造过程所在的质量管理系统(QMS)也应满足TSI技术规范的应用要求，且应经过NoBo认证。制造商的所有要求.元素等内容应被文件化，应是一个系统的.有序的整体文件集。

测试见证是根据项目开发团队已经完成的情况，评估方在不同阶段进行。通过观察系统测试执行过程和测试结果的正确性，评估方给出测试见证的结论。测试内容包括单元测试等白盒测试，以及系统集成测试等黑盒测试。在测试见证结束后，评估方将出具测试见证报告。根据需要，此报告可与现场审计报告合并。

此外，为满足特定国家准入需求，CTCS-3级列控车载设备TSI认证同时会伴随独立安全评估(ISA)认证，ISA认证主要依据EN标准对产品进行，关注产品开发流程与标准的符合性，根据对应的SIL等级要求，采用不同安全开发方法及流程控制来确保系统的安全性。ISA认证中涉及安全性.可用性.可靠性的评估内容及认证成果可作为TSI认证的基础，认证过程由评估方按照欧洲标准EN201265012850129进行评估并出具认证证书和评估报告。

当所有文档已经提交评估且所有问题均已关闭后，项目组将进行文档发布及后续配置管理工作，评估公司同时发放相应评估报告及证书。

5 结论

中国自主化CTCS-3级列控车载设备是铁路信号领域十分重要的高科技产品，也是中国高铁自主化技术的标志性成果，其拓展海外市场意义重大。在目前形势下，产品能够取得TSI认证是进入欧洲乃至国际市场的必要条件。本文介绍了TSI标准体系和CCS子系统的结构框架，并以自主化CTCS-3级列控车载设备为例，详细阐述了该产品与欧洲标准列控车载设备的需求差异及改进内容，并将欧盟铁路互联互通技术规范认证过程进行详细解析，为未来其他铁路产品进行TSI认证提供实例参考，符合我国“一带一路”倡议实施和推进要求。下一步将继续对中国自主化列控车载设备在国内模式下的功能进行针对性研究，为进一步适配具体国家法规要求提供技术支撑。