翟国锐,徐燕芬,代军峰, 孟祥振
(1.中车长春轨道客车股份有限公司,吉林 长春 130062;2.中车青岛四方车辆研究所有限公司,山东 青岛 266031;3.北京市轨道交通建设管理有限公司, 北京 100000)
随着经济和社会发展,轨道交通装备朝着智能化、集约化方向迈进,城轨车辆近年逐渐采用全自动无人驾驶模式控车[1-2],同时以太网在提升列车维护效率、降低维护成本、列车智能化方面逐渐展现出独特优势,列车网络控制系统(TCMS)采用工业以太网成为趋势。全自动无人驾驶城轨车辆TCMS设计需要满足全自动无人驾驶项目对TCMS可靠性、可用性和安全性的要求,同时满足车辆维护、智能化需求的数据落地要求。
全自动无人驾驶城轨车辆TCMS网络按照IEC 61375-2-3:2015《铁路电子设备 列车通信网络(TCN) 第2-3部分:TCN通信简介》、IEC 61375-3-4:2014《铁路电子设备 列车通信网络(TCN) 第3-4部分:以太网组成网络(ECN)》规定的列车通信网络组建,以北京地铁17号线地铁列车为例,其网络拓扑结构见图1。
如图1所示,北京地铁17号线地铁列车由8辆车组成,同时布置以太网和MVB网络。以太网布置1套完全冗余且相互独立的A、B网络,一个网络故障后不会影响另外一个网络。入网设备通过冗余端口或者冗余设备同时接入以太网的A、B网络和MVB网络。北京地铁17号线各列车设备配置见表1。
ESW.以太网交换机;REP.中继器;HMI.人机接口单元;CCU.中央控制单元;RIOM.远程输入输出模块;ERM.数据记录单元;PIS.旅客信息系统;CZT.车载广播台;EDCU.车门控制单元;PA.广播系统;FAS.烟火报警系统;TDS.走行部检测系统;HVAC.空调系统;BMS.蓄电池管理系统;TIDS.障碍物检测系统;ATC.信号;BCU/G、BCU/R.制动控制单元G阀、R阀;DCU/A.辅助控制单元;COMS.弓网监测系统;CCU-D、DCU/M.牵引控制单元;TGMS.轨道检测系统;LTE.长期演进;SGW.安全网关。
表1 北京地铁17号线各列车设备配置 台
根据表1可知,每辆车装配2个百兆级全双工的ESW,数据通信速率为100 Mbps,端口数量为16口或24口。每辆车均有REP,REP能够实现MVB信号的再生和放大功能,延长MVB信号的传输距离。HMI分别位于2个Tc车,主要负责显示设备状态、指导司机操作、输入人工干预指令以及向维修人员提供支持[3]。CCU分别位于2个Tc车,运行中互为热备,正常情况下,主CCU负责对本单元车辆的控制、对车辆设备的监视和诊断[4]。每辆车均有RIOM模块,通过以太网接口和IO接口分别与车辆网络和硬线相连,实现对110 V控制电路的主要信号、司机控制器模拟信号或数字信号、方向手柄等信号进行采集和控制。Tc1和Tc2车各有2个RIOM,用于重要信号的冗余采集。ERM位于Tc车,用于对列车主要设备的运行状态和故障进行自动信息采集、记录,并可通过便携式测试单元(PTU)将数据读出和显示,同时可以将诊断数据发送至地面服务器。SGW位于Tc车,ERM通过SGW连接到LTE传输模块,诊断数据经过SGW发送至地面服务器,防护列车控制网络免受外部网络的非法访问和攻击。
全自动无人驾驶车辆要求TCMS具有高可靠性,针对此项要求,研制并采用了双线性双归属网络拓扑。TCMS网络由相互独立的工业以太网A、B网络组成,入网设备同时接入相互独立的A、B网络,任何一条网络故障时,系统功能不降级,可提高以太网的可靠性。同时,车辆布置有MVB网络,在以太网A、B网络同时故障工况下,采用MVB网络控车,可进一步保证系统可靠性,满足全自动无人驾驶对TCMS网络拓扑的要求。
交换机支持软硬件旁路功能,交换机断电或发生软件故障时不会影响列车级网络通信。
TCMS中的重要设备如REP、HMI、CCU等均在网络上按照冗余方式部署,当单个设备故障时,冗余设备会自动切换为主设备,保证车辆的正常运行。
一些列车控制的关键I/O信号,例如司控器参考电压和实际输出电压信号等,均由Tc车2个相互冗余的RIOM同时进行采集,见图2。
为提高列车运行的安全性和可靠性,MVB总线采用符合IEC 61375系列标准的MVB-EMD电缆,该电缆具有冗余结构,即存在线路A、线路B两路通道(图3),入网设备通过连接器X1和X2接入MVB网络,对关键区域提供部分冗余,即在MVB网络中发生单点故障不会导致列车停止运行。
图3 MVB通信接口冗余
全自动无人驾驶车辆TCMS主要部件及其功能如下:
(1) 交换机。交换机在网络中用于构建列车级以太网和车辆级以太网,具备通用3层交换机的功能、软硬件旁路功能,并有简易便捷的WEB配置管理工具。
(2) CCU。CCU负责对车辆进行控制,对车辆设备进行监视和故障诊断,同时具备数据记录仪功能,可以记录列车状态数据、故障数据,作为列车维修人员进行故障查询的依据。
(3) RIOM。RIOM负责采集列车数字量和模拟量信号,同时依据CCU指令进行输出控制。
(4) HMI。HMI支持多路高清视频播放,可提供司机模式、乘务员模式、检修模式等显示工作模式,可以通过显示屏发布部分控制操作指令,同时对各子系统工作状态、故障信息、操作及维修提示信息进行集中显示。
(5) ERM。ERM主要功能是通过以太网接口和MVB接口与列车网络相连,对列车数据重新整理、解析、存储,实现用户对列车进行实时监视、诊断、检修的功能。
(6) SGW。SGW作为列车网络与地面网络的安全防火墙设备,具有报文过滤、状态检测、防攻击、报文加解密等安全策略,用于保护列车控制及监控系统网络免受外部网络非法访问和攻击。
(7) REP。REP满足IEC 61375系列标准,是冗余管理的MVB-EMD中继器,为列车网络监控系统的可靠性提供保障。REP可以通过数据帧识别数据传输方向,将数据帧从一个网段传输到另一个网段,并能侦测网络上的信号冲突且进行相应的处理。REP能够对MVB总线上传输的信号进行接收、放大和发送,用于增强通信质量,延长通信距离。每个REP包含2个相互冗余的REP模块。
列车诊断系统是列车网络控制系统的重要组成部分,当故障发生时,可以协助司机采取适当的操作,使检修人员更容易地查找并解决故障。列车诊断系统硬件包括CCU、HMI、RIOM、ERM等。ERM接收各个子系统通过以太网传输的故障信息,按照故障分类进行存储和报警提示。
在HMI上,不论是故障记录还是故障显示,每条纯文本信息都配有故障代码,根据不同的故障类别进行故障评估。故障类别和纯文本信息显示在HMI的界面上。此外,司机可以从HMI上获得其他所必须实施的操作的指导说明。
对于重大故障(1级故障和2级故障),HMI进行实时报警。警告标志和故障提示界面会自动出现在HMI上,其中1级故障排在前面,2级故障排在后面,这2类故障提示会一直在显示屏上显示,直到司机手动确认。故障被确认后将返回故障出现前的界面。3级故障不进行显示报警,但是可以通过HMI查询故障记录。故障记录总数为999条,司机可以随时调取查看历史故障记录。
ERM主要是通过列车网络对列车主要设备的运行数据、故障等重要数据进行记录,2台ERM同时工作,维护人员可以从任意一台ERM下载数据记录。
TCMS网络为控车网络,属于封闭式网络,网络黑客很难进行攻击,但将车辆数据传到地面数据中心需要通过车地无线通道实现。车地无线通道属于非安全网络,为保证控制网络安全,在车辆网络和无线通道之间布置防火墙设备[5],隔绝车辆控制网络和车地无线通信网络,以保证控车网络安全。
全自动无人驾驶城轨车辆对列车网络控制系统有安全等级要求[6]。为此,研制了满足SIL2等级的列车网络控制系统NG2000网络平台。NG2000网络平台具备安全通信功能、安全采集功能、安全输出功能、系统自检功能和逻辑运算功能。当安全功能失效后,故障导向安全侧,保证系统安全。
本文针对全自动无人驾驶城轨车辆对列车网络控制系统安全性、可靠性和可用性要求,采用满足SIL2安全等级的NG2000网络平台,可保证系统安全;网络拓扑采用以太网+MVB网络冗余拓扑结构,以太网和MVB网完全独立,互不影响,任一模式均能够满足控车要求;以太网采用双网双归属拓扑结构,交换机之间采用链路聚合技术,实现了网络拓扑冗余、带宽翻倍和维护、控制数据的多网融合;入网设备通过双网口接入以太网双网,单一网口故障不会影响列车功能;配置安全网关,保证了车地通信的信息安全,满足全自动无人驾驶城轨车辆对智能化、信息安全的要求。