自主化全电子信号机控制单元的设计与研究∗

冯浩楠 关恽珲付 伟 潘 明∗

(1.中国铁道科学研究院集团有限公司通信信号研究所，北京 100081；2.国家铁路智能运输系统工程技术研究中心，北京 100081；3.中国铁道科学研究院集团有限公司标准计量研究所，北京 100081)

随着计算机工控技术尤其是智能化嵌入技术、现场总线和网络技术的发展，许多国外铁路信号公司，如ABB、西门子、阿尔斯通、庞巴迪、安萨尔多和泰雷兹等都已研发出各自的全电子计算机联锁系统，并取得了不同程度的实际应用业绩[1－3]。全电子联锁系统具有减少继电器数量、降低安装和维护强度、适配更改方便等优势，成为轨道交通发展趋势[4－5]。全电子联锁系统需与现场信号设备紧密结合，具有接口电路直接与受控的信号设备电气特性相关的特点，国外系统通过简单的适应性开发无法很好地集成到国内轨道交通控制系统中应用。为了更好地与我国轨道交通现场设备结合，国内科研单位也在自行研制其全电子计算机联锁系统，兰州交通大学研制的计算机联锁全电子执行单元，采用与既有计算机联锁系统通信接口方式构成的全电子计算机联锁系统，在我国铁路上有部分应用[6－7]。

信号机是轨道交通中普遍使用的信号设备，全电子驱动模块须具有高的安全可靠性[8－9]。目前全电子信号控制单元采用同构模式的二取二结构，驱动外部信号机点灯电路[10－11]，此种控制模式存在共模故障。为此，本文设计和实现一种异构冗余控制结构的全电子信号机控制单元，提高设备的可靠性和可用性。集成全电子信号机控制单元的自主化的全电子计算机联锁系统经过严格测试和试验后，已经在国内若干场段投入使用，取得良好的效果。

1 全电子信号机控制单元设计

计算机联锁系统的全电子化，是将目前计算机联锁系统执行层中的轨旁设备接口安全型继电器及相关继电电路进行替代，用各类智能化的电子执行单元取代数字量采集驱动执行层电路和安全型继电器接口层电路，直接对道岔转辙机、信号机等轨旁设备进行控制[12]。

全电子信号机控制单元结构上由具有热备结构的A 系和B 系信号板、信号后接板、电源后接板、通用母板构成。在通用母板上通过调线设置单元地址，并设置相应的单元ID，完成与计算机联锁系统上层通信，接收点灯命令后进行信号机点灯控制，同时回读电流进行安全自检，如果检测到危险侧故障后，立即切断信号单元的电源，彻底切断对外输出。全电子信号机控制单元架构图如图1 所示。

图1 全电子信号控制单元架构图

2 系统硬件设计

2.1 系统架构

全电子信号控制单元中的A 系和B 系信号板用专用的二取二安全结构。正常运行时，两系互为热备；当任何一系出现故障时，不会影响系统的正常运行。每个信号板驱动8 个信号机灯位，并具备灯丝采集的功能，包括主CPU 模块(CPUA)，从CPU模块(CPUB)，监控CPU 模块(CPUC)，信号机接口模块，电源模块和复位模块六个部分。主CPU 模块和从CPU 模块完成对系统的信息交互比较和输出控制，构成二取二架构确保整个系统安全；二者的内部状态发送给监控CPU 模块记录，这些状态用于故障维修和诊断；信号板的六部分连接硬件结构框图如图2 所示。

图2 全电子信号机控制单元硬件结构

2.2 CPU 模块

主CPU、从CPU 和监控CPU 均采用dsPIC 系列16 位DSP 芯片作为运算控制单元。以主CPU 为例进行说明。设计RC 滤波电路向ADC 参考电源正端A＿REF ＋；ADC 参考电源负端为3.3VAGND。控制单元的下载端口包括:3.3 V、3.3VGND、RST、APGED、A-PGEC 五线。外置16 MHz 无源晶振结合电容以及电阻实现时钟信号的产生。8 路AD 完成灯丝电流的采集。设计两路UART 串口，分别完成与从CPU 和监控CPU 的通信。串口信号电压3.3 V，通信波特率为115 200 bit/s。CPUA 和CPUB 进行交互信息包括:工作状态、点灯命令、灯丝状态等比较信息。通过CAN 接口电路实现对外通信。CPU 硬件电路原理图如图3 所示。

图3 全电子信号机控制单元CPU 硬件原理图

2.3 信号机接口模块

信号机接口部分包括8 路信号灯的点灯控制，8路功能结构完全相同。如图4 所示。XJZ220、XJF220 为母板引入的220 V 电源正极和负极，通过32 芯端子引入到信号模块中。F0 为过流防护保险，J1～J8 为禁止信号继电器的节点，1Q－8Q、1H－8H 为信号单元输出8 路双断的点灯控制信号。

图4 全电子信号机控制单元信号机接口单元框图

在信号机接口模块中，为了避免同质器件产生的共因故障，功率驱动的“取2”器件使用了不同质器件，每个点灯通路由一个电子开关和一个继电器共同控制。

和传统的继电器一样，电子开关在输入和输出之间隔离，此外具有更快的开关速度、更长的使用寿命和更高的可靠性。在安全应用时，需要进行安全设计。当输出有高瞬态电压或浪涌电流时，可能导致电子开关损坏，因此在输出端接入限压的电压控制器件。当控制接近最小负载电流时，并联一个虚拟负载电阻减小输出端漏电流在负载上产生的较高残压。同时，考虑电子开关的散热效应，设计安装时与其他电子器件留出适当间隔。

采用强制引导(机械连接)触点的继电器，须使用特殊设计和结构措施确保常开触点不能采取与常闭触点相同的状态。EN50205 规定了带有强制导向触点的继电器的标准要求。如果在继电器通电时常用触点无法打开，则剩余的常开触点不能闭合，开放部件之间的间隙应保持≥0.5 mm。在断电时继电器常开触点无法打开的情况下，其余的常闭触点不能闭合，开放部件之间的间隙应保持≥0.5 mm。

电子开关和继电器这两个功率器件形成互补结构，继电器可以防止电子器件击穿造成误输出，电子开关可以避免继电器拉弧从而延长继电器的使用寿命。主从CPU 发出动态正码和反码驱动信号控制功率器件，只有两个器件同时开通才能点亮所控灯位，确保CPU 故障时能切断对外输出。

输出器件通过自检1～8 实现实时状态自检:每个点灯电路的电子开关和继电器都有状态监测电路，能够实时发现每个输出器件的状态异常。

2.4 电源供电模块

全电子信号机控制单元的电源包括24 V 电源、5 V 电源、3.3 V 电源三种。24 V 电源向继电器接点回读电路、事故继电器电路供电。固态继电器采用5 V 供电。主CPU 和从CPU、监控CPU、事故继电器、状态继电器、切换继电器接点回读、固态继电器回读、接口电路、CAN 收发器及接口电路采用3.3 V供电。CAN 总线及接口电路除3.3 V 电源外也采用5 V 供电。

电源模块硬件采用 DC/DC 电源，采用PKF2111A 实现24 V 到5 V 的变换。采用SC1655 LDO 模块DCDC03 实现5 V 到3.3 V 的电压变换。

2.5 复位模块

复位模块实现上电复位、欠压复位和手动复位。采用ADM706TAR 实现3.3 V 电压的上电复位以及外部复位功能。上电后电压大于3.08 V，输出复位信号低电平持续200 ms。按下复位按钮后，输出复位信号。

2.6 信号机灯丝电流采集模块

信号机的电流通过电流互感器进行采集，该采集方法的优点是可以对线电压进行隔离，实现无损测量，并能够很好地降噪。同时设置一个0.2 kΩ 的采样电阻，并设置一个二极管进行超压防护。信号机灯丝采集电流的量程为0～0.5 A；精度±2%，采样速率为0.5 s。

3 系统软件设计

全电子信号机控制单元的应用软件运行在二取二平台CPUA 和CPUB 中，应用软件提供接口与对象控制器的通信，并完成信号模块逻辑处理和输出功能。

从功能需求和软件设计的角度，全电子信号机控制单元软件划分为5 个模块:初始化模块、通信控制模块、应用程序模块、状态机模块、驱动模块，每个模块设计的安全等级均为SIL4。模块划分如图5 所示。各个模块功能如表1 所示。

图5 全电子信号机控制单元软件模块划分图

表1 全电子信号控制单元软件模块功能

应用程序模块又分为主函数程序、事件触发处理、动作执行处理程序。

(1)主函数程序

完成软件主程序的周期调度，调用与各模块之间的接口函数，完成数据接收、逻辑处理和数据的发送，开关量的采集以及信号点灯的输出驱动。

(2)事件触发处理

根据每个周期逻辑处理的结果触发相关的事件，驱动状态机的状态转换。

(3)动作执行处理

执行每个状态机状态内的动作函数，包括事故继电器驱动、命令输出、状态、灯位继电器控制等。

全电子信号机控制单元的主函数程序采用大循环结构，周期进行地址校验，继电器状态采集，通信的收发处理，状态机事件触发等功能。软件运行流程如图6 所示。

图6 全电子信号控制单元主函数流程图

4 可靠性分析

根据图1 全电子信号机控制单元结构图，表2中列举各个组成部分的可靠性参数[13－14]。

表2 全电子信号机控制单元部件可靠性

MIL－HDBK－217 标准是美国国防部可靠性分析中心提出的行业标准，用于计算产品的平均无故障工作时间(Mean Time Between Failure，MTBF)。FN2 模型在计算可靠性的过程中考虑因素包含:产品设计特性、环境及工作载荷影响、产品失效定义、和随机因素影响，基于失效物理可靠性模型全面预计系统可靠性。全电子信号机控制单元可靠性模型为表2 中的模块构成混联结构，计算模型参数考虑环境为室内工作，系统工作占空比为100%，工作时温度为40 ℃，计算得到全电子信号机控制单元的故障率为:λ＝0.09 891 4×10－6/h，平均故障间隔时间(MTBF)为10 109 800 h，满足SIL4 设计要求。

5 全电子信号机控制单元测试和应用

5.1 硬件测试

为了验证全电子信号机控制单元硬件是否满足功能需求和性能需求，搭建测试环境如图7 所示。24 V 电源接入电源后接板供电。PC 机通过CAN盒向全电子信号机控制单元发送模拟点灯命令，观察信号单元测试工装相应的灯是否点亮，并可用示波器探头接入工装对电流进行观测。硬件测试项目包括工作电源电压、时钟电路、复位电路、CAN 通信、UART 电路和点灯电路、事故电路、状态电路、切换电路的功能和性能等17 项内容。

图7 全电子信号控制单元硬件测试环境

5.2 软件测试

软件测试分为静态测试和动态测试两部分。在静态测试中，首先按照测试对象及特性配置测试工具，并完成编码规则的检查、静态分析和软件质量度量，确保各测试项符合测试要求后再进行编码风格的检查。编码风格的检查以人工测试为主；编码规则的检查、静态结构分析和软件质量度量以工具测试为主，并由人工完成各测试项的检查。

在动态测试中，首先以人工输入数据、机器自动执行的方式运行各个被测试函数的测试案例，以电子文档的形式记录测试执行情况，其中包括各个执行案例的输入条件、预期结果和实际执行结果；然后结合被测软件的语句覆盖、分支覆盖和MC/DC 覆盖的覆盖率统计结果，分析各个测试案例的执行情况，最终确定软件的实现是否符合设计要求。

对5 个软件模块进行的静态测试函数总数为59，代码行总数为2 400，发现问题为0 个；动态测试用例总数为168 个，案例总数为216 个，发现问题为0 个。

5.3 集成测试

将全电子信号机控制单元集成至TYJL－IIIE 全电子计算机联锁系统中，进行系统集成测试。自主化的全电子计算机联锁系统包括电源柜、联锁柜和执行柜三个机柜，如图8 所示。系统投入运行前，进行的集成测试包括室内和室外两种，最大程度减少工程配置错误，确保系统正常开通，集成测试内容如表3 所示。

图8 自主化全电子计算机联锁系统

表3 全电子计算机联锁系统集成测试

6 结语

全电子信号控制单元支持对铁路和城市轨道交通中各种类型信号机的控制，集成的自主化TYJLIIIE 全电子计算机联锁系统已在国内十余个场段投入使用，运行情况良好。优良稳定的表现将促使其在更多轨道交通工程领域中推广应用。