城际动车组高安全等级列车网络控制技术研究

乔 恩，李洋涛，余 健，孙振超，夏好广

随着城际铁路向舒适化和智能化方向发展，城际动车组网络系统构成越来越复杂，对列车安全、可靠及高效运行提出更高的要求。随着列车控制与管理系统中的设备种类和数量日益增多，系统中用来传输列车控制、监视、故障诊断及乘客娱乐信息的列车通信网络的带宽需求也不断增大。目前城际动车组常用的现场总线有TCN，ARCNET，LonWorks 和CAN 等，这些网络的带宽已难以满足列车实时传输大容量数据的需求，因此又推出了基于以太网的车辆网络控制系统。相比于传统现场总线控制网络系统，以太网的传输速率大大提高，能够很好地应对未来日趋多样化的传输业务和不断增大的信息吞吐量，而且网络拓扑灵活，系统的可扩展性好[1]。

1 既有典型城际动车组网络系统

城际动车组网络系统主要实现城际列车重要设备的管理，包含运行信息采集、运行状态监视和系统故障诊断等功能，从而保证列车安全可靠地运行，并为司机提供故障处理指南，为检修维护提供数据支持。既有的动车组网络控制系统采用的有TCN网络、ARCNET及以太网等。

（1）典型城际动车组网络控制系统多采用TCN网络，以CRH6F 动车组为例，其列车网络控制系统分为两级总线结构：WTB列车级总线和MVB车辆级总线。整列车牵引单元内采用MVB总线通信，列车重联时通过WTB 总线通信。WTB 总线物理上采用2 根互为冗余的双绞线，传输速率为1 Mbit/s，2 个牵引单元之间通过WTB 总线和冗余的网关连接，通过网关与本单元的多功能车辆总线(MVB)相连进行数据交换。MVB 总线的传输介质为EMD，物理层上采用2对冗余的双绞线总线结构，MVB总线的传输速率为1.5 Mbit/s。此外列车网络控制系统还设置有以太网总线通信，主要用于维护、在线监控、故障下载等功能。

（2）部分城际动车组采用ARCNET网络作为控制网络，如CRH6A动车组，其网络系统以CRH2型动车组为基础，列车的控制、监测与诊断系统为由网络连接在一起的基于微处理器的分布式智能控制与诊断系统。列车级(车厢间)为ARCNET 光纤环网、加自诊断线，车辆级(车厢内)为HDLC 光纤、电流环。

（3）以太网控车系统作为轨道车辆上新兴的技术，在城际动车组上有所应用。例如，贵阳城际动车组，采用以太网通信网络，相对其他既有列车总线通信速率大幅提升，宽带效率提升60 倍，同时进一步增强信号强度，提升网络安全等级，为行车提供安全保障。

以太网技术具有通信速率高、成本低的优势，与传统主流的TCN 网络相比较，以太网列车控制系统会降低成本并增加功能，提升列车运行监控水平，实现列车智能化、高可靠性、高便捷性，为旅客提供更加多样化的服务。目前国内外轨道交通行业都在研究发展以太网列车通信网络，在未来的轨道交通领域，基于以太网的列车控制网络系统将成为主流，以其优越的性能逐渐取代现有的网络控制技术，因此研究适合城际列车的高安全等级网络控制系统具有重要的意义。

2 风险分析

城际动车组网络是城际动车组的核心组成，主要功能是重要设备的控制、列车状态信息的采集、列车故障的诊断，交互的系统包括制动系统、牵引系统、车门系统等，是列车安全可靠运行的重要保障。此外，网络控制系统还是司机或机械师进行故障处理的重要依据，既能够在运行状态下为司机、机械师提供有效的列车状态及故障信息，引导其针对不同工况做出正确反映，也能够记录存储车辆在运行中产生的故障信息，为检修维护提供有效的数据支持。

2.1 核心设备风险

网络控制系统从逻辑上可以分为中央控制单元、输入输出模块、网关、事件记录仪、交换机等，一些设备故障及功能异常将会直接导致列车安全受到威胁，造成严重的经济损失和人员伤亡。因此，需要识别出网络控制系统的顶层危害及隐患，并导出网络控制系统涉及的安全功能，同时将安全需求分解到网络控制系统的核心设备中，以此作为网络控制系统设备及应用技术开发的向导。

《轨道交通可靠性、可用性、可维修性和安全性规范及示例》(EN 50126)提出可以使用显式风险评估(ERE)方法[2]识别网络控制系统中存在的顶层危害，明确城际动车组网络中主要承担安全需求的控制设备为中央控制单元和安全输入输出模块。

2.2 系统通信风险

遵循《铁路电子设备列车通信网络》(IEC 61375)国际标准，城际动车组网络以实时以太网为例[3]，网络控制系统与其他各子系统传输的信息包括但不限于常用制动控制信息、火灾报警信息、牵引施加及封锁控制信息、方向设置信息、车辆硬线信号等。在传输过程中发生任何的通信错误，都会为网络控制系统带来较为严重的安全隐患，为了保障系统安全，作为整车逻辑运行平台的中央控制单元以及硬线信号输入输出处理的输入输出模块，增加故障诊断措施能够提高系统安全性。同时，采用核心设备冗余及合理的网络拓扑结构设计，可以实现网络控制系统的高可用性和高可靠性。

3 拓扑结构设计及分析

以太网通信技术具有实时性，能够增加传输网络系统的可靠性。为了满足网络传输、智能化方面不断涌现的新需求，城际动车组优先推荐以太网控车系统。以太网控制系统可以分为列车级以太网骨干网(ETB)和车辆级以太网编组网(ECN)，交换机能够实现列车级总线到车辆级总线的数据转发功能[4]。

3.1 列车拓扑结构

以四动四拖的城际动车组为例，其8 辆编组城际动车组列车控制与管理系统(TCMS)网络拓扑结构示意图如图1 所示。不同车型由数量不同的中央控制单元(CCU)、数据记录单元(ERM)、交换机单元(ECNN)、输入输出模块(IOM)、人机接口显示屏(HMI)等设备和必要的总线终端器构成。

图1 8辆编组城际动车组TCMS网络拓扑结构示意图Fig.1 TCMS network topology of eight intercity EMUs

列车级总线和车辆级总线均采用通信线路双通道冗余设计，当某一路通信线路出现故障时，系统可以自动切换到另一路通信线路，有效增加网络控制系统的可靠性。

列车级以太网一般为头车交换机和列车级交换机，列车级交换机为冗余设置，从而提高可靠性。为提高列车级的冗余性，从而达到更高的可靠性和安全性，列车级以太网可以设置为并行网络，即对单线形列车级以太网架构进行冗余设置。

车辆级以太网的拓扑结构形式[5]，可以采取多种形式。依据IEC 61375 标准，车辆级以太网可以采用线形、环形、梯形等架构，还可以采用并行网络实现冗余，提高可靠性及可用性。

（1）对于单线形网络，由于任意车辆级交换机节点故障均会造成整个车辆级传输中断，因此，不建议仅采用单线形网络。对于线形网络，可以采用并行结构，即双线形网络拓扑。双线形网络拓扑如图2 所示。对于双线形网络，任意单一节点的故障，不会导致车辆级网络的中断。

图2 双线形网络拓扑Fig.2 Bilinear network topology

（2）对于环形网络，任意交换机节点故障，不会导致车辆级以太网网络故障，因此，可以采用环形网络，其自身比单线形网络具有更高的可靠性。单环形网络拓扑如图3 所示，在其基础上，如果进行冗余设置布置为双环网，可靠性更高，双环形网络拓扑如图4所示。

图3 单环形网络拓扑Fig.3 Single-ring network topology

图4 双环形网络拓扑Fig.4 Double-ring network topology

（3）对于梯形网络，相对于单环形网络，又增加了车辆级交换机之间的连接，当任意车节内部的任意线缆断开，同时任意车节之间的任意线缆断开，都不会影响到整车网络的完整性[6]，可靠性得到进一步提升。

3.2 不同拓扑的可靠性分析

根据《工业通信网络：高可用性自动化网络》(IEC 62439)提供的方法和《轨道交通电子设备列车通信网络》(GB/T 28029.12)中推荐的参数进行可用性研究，计算8 编组网络链路可靠性，其各类网络架构可靠性指标分析结果如表1 所示，用于可靠性和可用性计算的参数如表2 所示，不同网络拓扑的可靠性和可用性分析如表3 所示。通过上述分析，对于城轨网络，双环网由于环路的冗余设置，具有最高的可靠性及可用性指标[7]。

表1 各类网络架构可靠性指标分析结果Tab.1 Analysis of various network architecture reliability indicators

表2 用于可靠性和可用性计算的参数Tab.2 Parameters used in reliability and availability calculations

表3 不同网络拓扑的可靠性和可用性分析Tab.3 Reliability and availability analysis of different network topologies

4 核心设备安全设计

从控制功能实现上，城际动车组网络控制系统涉及安全性的设备主要包括中央控制单元和安全输入输出模块。对网络设备而言，提高系统安全性有故障诊断设计和安全冗余架构2种方式。

4.1 故障诊断设计

根据《电气/电子/可编程电子安全相关系统的功能安全》(IEC 61508-2)，系统设计初期需要确定环境对系统的限制、系统预期失效率、故障可能引起的后果，针对偶发性硬件故障导致的功能异常，需要系统在设计中添加识别措施[8]。硬件故障诊断设计有过压防护、欠压保护、过流保护等；软件常见的故障诊断措施有定期存储区读写、函数输入参数检查、任务执行时间监控等，从可靠性角度上讲，系统采用过多的硬件故障诊断设计会直接导致系统失效率增加，其本质是通过增加系统的整体失效率而降低系统的安全功能失效率，故障检测电路的设计越复杂，系统的可靠性和可用性越低，同时系统的安全性越高，故障危害性越小。合理地增加故障诊断措施结合冗余架构设计，才能构建一个高可靠性、可用性且高安全性的系统。

4.2 安全冗余架构

安全冗余架构通常采用多通道并行处理[8]，在终端进行表决，以此降低系统的错误率，配合回路故障诊断措施能够有效识别系统故障并导向安全。常见的冗余系统架构有双通道系统1oo2，2oo2；三通道系统1oo3，2oo3；四通道系统2oo4。当安全冗余与故障诊断相结合，又会衍生出带诊断的系统架构1oo1D， 1oo2D， 2oo2D， 1oo3D， 2oo3D，2oo4D。

从可用性角度上讲，2oo4D 系统高于2oo3 系统，而两者所能达到的安全目标基本相同。各种体系结构安全性和可用性比较如表4所示。

表4 各种体系结构安全性和可用性比较Tab.4 Security and availability comparisons of various architectures

4.3 中央控制单元设计

在网络控制系统核心设备中央控制单元的安全设计中，为了提高系统可用性和可靠性，设备部署采用热备冗余架构，即2oo2结构[9]，当主设备发生故障时可以通过主从切换来保障列车运行不受干扰。为了提高系统的安全性，中央控制单元采用通信双通道冗余架构，当且仅当双通道数据一致时，中央控制单元才对获取的通信数据予以采信，设备主控板卡采用安全的通用软件平台，在搭建上层应用逻辑时注意数据过滤，底层增加周期性自检、温度监控、电源保护、通信数据校验、身份验证等安全诊断机制，且选用具有高安全性能的安全处理芯片以达到故障导向安全目标。

4.4 安全输入输出模块设计

安全输入输出模块作为网络控制平台的输入输出，采用完全独立的双冗余设计，当某一组设备发生供电、通信、输出短路或断路等故障时，另一组可以进行“无缝切换”[10]，安全输入输出模块硬件结构图如图5 所示。主控板卡搭建信号逻辑功能，将采集到的输入信号经过逻辑运算后输出[11]，并负责所有冗余板卡的故障切换。安全数字量输入输出板卡负责数字量开关信号采集与数字量信号输出控制，具有回路诊断功能，包括周期性自检、输出状态反馈、数据校验。这种冗余加诊断机制能够对故障进行安全处理，从而保证安全侧在故障后不对外误输出有效高电平信号。

图5 安全输入输出模块硬件结构图Fig.5 Hardware structure of safety input/output module

依据《铁路应用通信、信号和处理系统用于信号的安全相关电子系统》(EN 50129)，对基于完全独立的双冗余架构实现的安全输入输出模块，进行风险分析活动，识别出该系统主要安全功能为数字量信号采集功能和数字量信号输出功能。参考目前的硬件设计和《电子设备可靠性预计模型及数据手册》(GB/T 37963—2019)，搭建系统故障树模型，以安全数字量信号采集功能为例，安全输入数字量信号采集功能失效故障树模型如图6 所示。通过故障树模型，测定安全输入输出模块的安全功能失效率计算结果如表5所示。

表5 安全输入输出模块的安全功能失效率计算结果Tab.5 Function failure efficiency calculation results of safety input/output module

图6 安全输入数字量信号采集功能失效故障树模型Fig.6 Failure tree model of digital signal acquisition function of safety input

5 安全通信

对于高安全等级城际动车组网络控制系统而言，如果要保障通信安全，必须采用功能安全通信协议[12-13]，网络控制系统要实现一个安全功能，不仅仅要依靠缜密的逻辑设计，同时其传输链路包括采集及输出都要能够达到对应的安全等级，通信总线作为系统中传输安全数据的重要载体，是传输链路上的重中之重。

城际动车组的实时以太网可以依据《铁路应用通信、信号和处理系统传输系统中与安全相关的通信》(EN50159)[14]标准中对通信的安全要求，对《铁路电子设备列车通信网络》(IEC 61375)标准中的《安全数据报文传输安全通信协议》(SDTv2)[3]提出以下安全通信措施。

（1）CRC校验。数据校验可以有效识别出由于传输介质故障或信息干扰等原因造成的通信数据损坏，对于寻址错误的数据，同样可以通过接收端的数据校验策略进行识别[15]。

（2）安全序列号。当通信链路上出现干扰或失效导致未更新的旧数据在不正确的时间点上发生重复发送，甚至在不符合预期顺序的时间点上错序传输，此时，面对重复传输的数据，发送端不会更新该数据的安全序列号，和错序的通信数据一样，将被接收端判定为无效数据。

（3）有效时间窗及延时诊断。在通信过程中，有很多种情况如通信中断、软件运行状态异常、信号干扰等，都会造成数据丢失，基于发送端安全序列号的设置，接收端需要结合数据接收到的时间以及对应序列号判断数据的有效性，当相邻两个有效数据的序列号间隔过大，此时会判定为数据丢失。

（4）密钥。考虑网络安全性，首当其冲需要对接入通信设备权限进行管理，仅用端口标识作为通信权限审核标准略显单薄，为了预防未知源数据插入以及有效发送源发出的虚假数据，应对设备增加双方约定好的标识——密钥，结合CRC 校验以增加通信私密性，有效验证数据正确性及数据源权限。

（5）信道监视。接收端会在单位时间内对所有的错误信息进行收集和统计，当单信道在单位时间内频繁出现传输错误时，该信道可能处于故障状态，此时应用将做出应对措施，如输出信道故障诊断信息或切换至冗余通信信道。

（6）冗余设备状态监视。冗余设备采用不同的安全密钥，接收端通过密钥识别设备是否发生主从切换，当设备主从切换过于频繁且主位设备状态无法保持时，此时可能已经出现主从设备均故障，列车应用识别到该故障状态后，应有反应措施以保障行车安全。

《安全数据报文传输安全通信协议》(SDTv2)，能够达到城际动车组网络控制系统安全通信目标，规避网络通信中常见的传输错误，是非常适用基于以太网的列车网络通信控制系统的安全通信协议。

6 结束语

网络控制系统作为城际动车组的神经系统和指挥中枢，在城际列车不断向智能化、高安全性发展进程中，起着至关重要的作用。城际动车组列车运行环境的复杂性使得网络系统面临各类安全风险，如元器件老化、电磁干扰，或是系统软件自身存在缺陷等。基于功能安全标准、规范及理论研究，进行高可靠、高安全等级的城际动车组网络系统设计，对城际列车网络安全方面的探索具有重要的指导意义，并对未来的城际动车组网络系统设计具有借鉴作用。随着我国城际铁路的快速发展以及列车信息化、智能化程度越来越高，列车通信网络技术的应用将占据越来越重要的地位。高安全等级网络控制系统的研究，可以为将来城际动车组的设计起到规范指导作用，从而使城际列车达到更安全、更可靠的要求。