基于点位信息的CBTC信号系统ZC-CI接口设计

李际俊

（上海电气泰雷兹交通自动化系统有限公司，上海 201206）

0 引言

对于传统联锁停车场而言，其地铁列车的发车效率已无法满足运营需求，需提升出库能力方能有效缓解早高峰客流压力。为了提高车辆段出库能力，则需对场段信号设备进行改造，将传统的固定闭塞改造成移动闭塞，突破传统基于联锁车辆段的双红灯防护限制。将传统的限制人工驾驶模式列车改为列车自动驾驶模式（Automatic Train Operation，ATO），有效减少人工确认环节。

在传统正线基于通信的列车自动控制（Communication Based Train Control System，CBTC）系统中，区域控制器（ZC）主要负责根据收到进路授权信息、结合接收到通信列车的位置报告保证列车运行的安全间隔、计算移动授权并发送给列车。进路建立、进路锁闭、防护信号开放、进路解锁逻辑以及继电器状态的采集与控制等基本联锁功能仍然由计算机联锁（CI）负责，室外轨旁基础设备（简称：轨旁设备，包括信号机、轨道区段和道岔等）与CI通过继电电路相连，CI通过采集继电器接点获得轨旁设备状态，控制继电器励磁吸起或失磁落下动作轨旁设备。根据以上原理，ZC-CI的接口定义会深入到各家供应商的内部软件控制逻辑，很难在ZC-CI之间对不同的供应商进行互联互通，技术壁垒较大。

但对于既有停车场改造，需要保证改造过程不影响停车场既有的接发车能力，保证每天的运营，还需要考虑到传统场段联锁系统与正线ATC系统不是同一供应商的问题；以及既有场段改造设备房的空间问题。由此，需要一个新的ZC-CI交互方案，减少不同供应商的互联互通壁垒，减少改造对于运营的风险以及空间的使用，并需要新的ZC与CI的交互方式来进行改造。

区别于传统的ZC与CI接口，采用基于进路信息为核心的交互形式，当ZC具备进路控制等联锁逻辑处理功能时，可采用基于点位信息的ZC-CI接口设计形式。点位信息即是若干继电器状态变量的集合，可分为采集点位和驱动点位，一个点位对应一个继电器采集或驱动状态，取值为低电平或高电平，在采集点位中分别代表采集到的继电器接点处于断开和闭合状态，在驱动点位中分别代表控制继电器失磁落下或励磁吸起。当采用上述接口时，CI仅向ZC发送采集点位信息，并依照ZC发来驱动点位信息的控制继电器动作。基于点位信息CBTC系统的ZC-CI接口形式，接口界面清晰，接口定义简洁，顺应当今CBTC系统的主流发展趋势，可提升ZC在CBTC系统中对列车运行控制的核心地位，从而实现CBTC系统整体性能的提升与优化[1-2]。

1 总体方案

当CBTC系统采用基于点位信息的ZC-CI接口（简称：ZC-CI接口）时，ZC承担除采集驱动采集继电器状态之外的所有联锁和列车运行控制处理逻辑，通过ZC-CI接口获取采集点位信息，并将驱动点位信息发送给CI。CI通过继电电路硬线接口与室外设备连接，CI将采集到继电器状态通过采集点位信息通过ZC-CI接口传送给ZC，同时将ZC发来的驱动点位信息控制相应继电器动作。根据上述原理，ZC-CI接口互传的应用数据信息主要为各信号点位采集状态（CI→ZC）和驱动指令（ZC→CI），以及必要的安全校验信息。ZC-CI接口信息交互示意如图1所示。

图1 ZC-CI接口信息交互示意图

ZC和CI均使用以太网接口与对方保持通信，为保证接口通信的可靠性，采用冗余结构的ZC和CI设备，本方与对方的双系设备之间通过数据通信子系统（DCS）骨干网均建立冗余的通信链接，ZC与CI间互联示意如图2所示。为保证接口通信安全，在接口应用数据传送采用铁路信号安全通信协议并增加实时性校核信息，当本方判断接口通信中断或规定时间内没有收到对方发来的有效更新信息时，本方设备应按故障-导向原则做出反应。

图2 ZC与CI间互联示意图

为维持ZC故障或通信中断等极端情况下的基本运行，提高信号系统的可用性，系统中的CI按CBTC模式和后备模式2种模式编制应用软件。当系统处于CBTC时，CI根据预先定义的ZC-CI接口通信规则正常接受ZC发送的继电器点位驱动信息，识别解码后直接动作继电器，CI将忽略其自带控显机发送任何信号操控指令；当系统处于后备模式时，不论ZC处于什么状态，CI将依照基本联锁规则，承担相应联锁逻辑处理功能，操作员通过CI自带的控显机进行信号操控，相关操作在通过相关联锁关系检查后方可驱动相应点位继电器，维持信号系统在单纯联锁控制下的基本功能，在此模式下，CI将忽略ZC发来任何信息[3]。

2 Z C-CI接口标准

2.1 物理连接方式

ZC-CI接口通过DCS有线网络提供的以太网端口进行通信，双方物理接口位于ZC设备网卡和CI设备网卡，端子使用标准RJ45端子，连接线缆使用不低于5类规格的双绞线（CAT-5）。

2.2 通信结构层次

本接口通信层次参考TCP/IP协议（传输控制协议/网际协议）的网络连接模型，依次由数据链路层、网络层、传输层、安全层和应用层组成，接口通信层次关系示意如图3所示。其中，数据链路层的MAC子层基于IEEE802.3标准，网络层通信协议采用IPv4协议，传输层采用用户数据报UDP协议作为传输协议，安全层遵循铁路信号安全（Railway Signal Safety Protocol，RSSP-I）协议对接口应用数据进行处理，保证接口通信的安全、可靠。应用层根据预先定义的应用数据报文格式封装传送点位信息。

图3 接口通信层次关系示意图

2.3 应用数据报文

ZC-CI接口通过预先定义的应用数据报文传送点位信息，其格式为：报文头+应用数据。应用数据分为ZC发给CI的继电器驱动点位数据（简称：驱动报文）以及CI发给ZC的继电器采集点位数据（简称：采集报文）2种类型。

报文头为定长，共 25个字节（byte），不随站场情况发生改变，其格式定义如表1所示。

表1 报文头格式定义

表1中，发送方标识信息、接收方标识信息按ZC和CI设备进行预先定义，同一站场中，采用冗余结构的ZC分别配置2个互不相同的ID（识别号），CI同理配置为另2个ID，同一线路不同站场ZC和CI设备的ID只能使用一次，不能重复。本方消息序列号（TSN）、对方消息序列号（RSN）和收到上一条消息时本方序列号（LTSN）各占 4个字节 32位，TSN其取值范围为0×00000001到0×FFFFFFFE，0×FFFFFFFF预留，当通信中断时本方应发送的 RSN、LTSN取值为0×FFFFFFFF。ZC和CI设备的处理周期、协议版本号均根据实际情况配置为固定值。

驱动报文和采集报文用于实际传送驱动或采集点位信息，均为定长，实际长度由根据各站场实际设备，参照CI接口点位表配置的驱动点位信息序列表（简称“驱动点位表”）和采集点位信息序列表（简称“采集点位表”）确定。本文所传送的点位信息均由2个比特位组成，1个字节代表4个驱动或采集点位，点位状态的比特位定义如表2所示。

表2 点位信息的比特位定义

表2中，01代表点位是高电平，在驱动报文中表示须驱动相应点位继电器励磁吸起，在采集报文中表示采集到相应点位继电器处于励磁吸起状态；10代表点位是低电平，在驱动报文中表示相应点位不作驱动，继电器应处于失磁落下状态，在采集报文中表示采集到相应点位继电器处于失磁落下状态；00作为驱动点位表或采集点位表中未作定义的空点位取值，以此填充确保报文长度为固定值。对于有具体定义的点位，除01和10外，其余值均为无效值，ZC或CI若收到存在无效值的报文应拒绝处理该报文。

此外，需要说明的是：驱动报文和采集报文的格式互不相同。驱动报文格式如表3所示。

表3 驱动报文格式

其中，第1个字节取固定值0×01，后续字节根据驱动点位表定义由ZC向CI发送驱动点位信息。N取值根据驱动点位表得出，为固定值。采集报文格式如表4所示。

表4 采集报文格式

采集报文可分为2部分：点位采集状态和区段占用延时状态。其中，所有类型站场的采集报文均包含点位采集状态部分，其第1个字节为根据采集点位表定义，需发送的所有采集点位所占字节长度，后续字节根据点位表定义由CI向ZC发送各点位采集状态。M取值根据驱动点位表得出，为固定值。

3 故障-安全策略

为适配ZC-CI接口的安全可靠应用，对信号模式切换、硬线继电电路、区段状态报告和接口实时通信等重要环节设计了特殊的故障-安全策略，避免产生意外的安全风险。

3.1 信号模式切换

系统可分为CBTC模式和后备模式。CBTC模式下，CI根据ZC发送的驱动报文控制相应点位的继电器动作。后备模式下，CI将忽略ZC发来的任何信息，ZC应导向安全侧输出，即将发送驱动报文中所有的点位均低电平状态。但不论何种模式，CI均向ZC发送真实的采集报文。

当系统从CBTC模式切换到后备模式时，ZC应导向安全侧输出，CI应进入全站封锁状态，不能通过CI自带的控显机进行信号操控，需延时一定时间后CI才可解除锁闭，由此确保在延时过程中列车能够停稳不再移动，在解除锁闭后操作员方能通过控显机进行后备模式下的正常信号操控，且只由CI承担联锁逻辑处理功能并进行安全输出。当系统从后备模式切换到CBTC模式时，ZC应启动模式切换锁闭，保持导向安全侧输出。CI根据ZC命令将所有输出导向安全侧。需延时一定时间后ZC才可解除锁闭，正常发送驱动报文给CI并由其执行，实现CBTC模式下的正常信号操控。

信号模式切换采用硬线切换方式，由物理的模式切换旋钮通过继电电路对后备模式继电器和CBTC模式继电器状态进行控制。后备模式继电器和CBTC模式继电器在继电电路上进行互锁，当后备模式继电器吸起且CBTC模式继电器落下时，表示系统处于后备模式；当CBTC模式继电器吸起且后备模式继电器落下时，表示系统处于后备模式；其余状态ZC将导向安全输出，CI维持后备模式控制。CI实时采集后备模式继电器和CBTC模式继电器状态，并通过采集报文中预先定义的点位将两个模式继电器信息发送至ZC。

3.2 驱动点位反馈

为确保CBTC模式下，CI根据驱动报文动作的继电器实际状态与ZC驱动要求一致，所有可以由ZC通过驱动报文动作的继电器，在继电电路中增加回采电路，由CI进行硬线回采，并通过采集报文预先定义的点位发送至ZC作为驱动点位反馈信息。

ZC根据反馈信息判断继电器是否按发送的驱动点位信息进行动作，若在比较后两者不一致，说明在接口通信、CI处理或继电电路环节存在问题导致继电器错误动作，ZC将导向安全侧输出。

3.3 区段占用延时状态

对于使用轨道电路作为列车位置检测设备的停车场，为避免由于短轴距工程车经过短区段轨道电路时由于通信延时或丢包而造成的安全风险，CI还需额外汇报区段占用延时状态。当系统正常工作时，区段的状态由空闲变为占用（轨道继电器落下）时，CI应立即将该值设为占用（01）；当区段的状态由占用变为空闲（轨道继电器落下）时，CI应延时一定时间，从而过滤掉安全风险，再将相应区段值设为空闲（10）。除空区段信息位为00以外，其他组合均为无效值，ZC应拒绝处理该报文。

3.4 通信故障处理

为确保ZC-CI通信的实时性，防止因通信中断或报文更新迟滞等故障导致造成意外的安全风险。对于ZC和CI，需定义各自相对对方的通信超时宽恕时间（Communication Timeout Forgiveness Time，CTFT），分别为ZC-CICTFT和CI-ZCFTFT。当ZC或CI在规定的通信超时宽恕时间内没有收到对方发来的有效报文更新时，应判断与对方通信中断，若ZC与CI建立的冗余通信链接均中断时，ZC应导向安全侧输出。若CI自身存在安全相关故障时，应主动断开与ZC的通信连接。此外，为判断本方收到报文时机与对方发送同一报文的通信延时在安全范围内，双方均需对报文的进行新鲜度进行监督。新鲜度（F）的计算公式为：

式中：Cycle Count为接收方接受到报文时的当前处理周期计数；PR为接收方的处理周期；PT为发送方的处理周期；TSN、RSN、LTSN为接收到报文头内相应字节的值。

当ZC和CI收到一帧有效报文后，需计算其新鲜度F与ZC-CICTFT或CI-ZCFTFT进行比较，确定同一报文接收相对于发送的延时是否超过可容忍限度。

定义ZC和CI通信通道上相对对方的窗口时长（Channel Freshness Timeout Timer，CFTT）计算公式分别为：

接收方应使用上述公式计算各自的ZC-CICFTT或CI-ZCCFTT。当ZC接收CI发来报文延时超过了可容忍限度，突破窗口时长限制，即ZC-CICFTT＜0时，ZC应判定与CI通信中断，导向安全侧输出；同理，当CI-ZCCFTT＜0时，CI应判定与ZC通信中断。

例外的情况是，当ZC或CI收到对方的第一帧报文时，因RSN，LTSN为默认值0×FFFFFFFF，无法得知该报文的真实新鲜度，若除新鲜度外其他校验通过，则接受该报文，但不使用其应用数据进行处理，直到收到对方的下一帧通过新鲜度校验的报文，才能建立实质意义上的通信，并对报文进行后续处理。

4 结论

随着CBTC技术的不断发展，ZC在信号系统中的核心地位将愈发凸显，当ZC具备原CI承担的联锁逻辑处理功能时，原CI即可简化设计为简单具备继电器采集驱动及对外通信功能的轨旁设备控制器，如此对优化CBTC系统整体架构、提升子系统间的融合度、减少逻辑处理环节、提升系统运行效率、实现由进路为中心向以列车为中心的跨越式转变具有重大意义。而基于点位信息的ZC-CI接口作为配套设计，不仅适用于CBTC系统不同供应商ZC和CI设备间的互联互通，还同样适用于以轨旁设备控制器代替CI的联锁列控一体化系统中，应用前景广泛。当前，基于点位信息的ZC-CI接口设计已在上海轨道交通车场出库能力提升项目的既有线路车场自动化改造工程中得到了实际应用，改造后的车场具备了列车运行自动控制功能，取得了较好的实施效果，值得进一步发展推广。