趙 強(qiáng)，常振臣，王金田，于蘇橫

（長春軌道客車股份有限公司，吉林長春130062）

列車網(wǎng)絡(luò)控制系統(tǒng)作為對全車關(guān)鍵設(shè)備發(fā)送控制命令、監(jiān)測狀態(tài)信息及故障診斷的核心設(shè)備，其安全性在列車運(yùn)行中尤為重要，保證列車網(wǎng)絡(luò)控制系統(tǒng)具有較高的安全性、完整性等級是列車安全運(yùn)行的前提條件。

目前國內(nèi)開發(fā)的列車網(wǎng)絡(luò)控制系統(tǒng)并沒有全面系統(tǒng)的安全性要求，這表明，TCMS故障監(jiān)測診斷系統(tǒng)處于不完備狀態(tài)，即TCMS不能完全保證自身滿足安全性要求的情況下去監(jiān)控其他子系統(tǒng)的安全狀態(tài)。因此，更高安全要求的TCMS是必須要考慮的。長春軌道客車股份有限公司針對北京地鐵項目旨在使用現(xiàn)貨供應(yīng)的部件來開發(fā)具有安全完整性等級2級（SIL2）的列車網(wǎng)絡(luò)控制系統(tǒng)。論文描述了應(yīng)當(dāng)滿足這些目標(biāo)的列車網(wǎng)絡(luò)控制系統(tǒng)的基本架構(gòu)及主要硬件和軟件特性，包括建議的錯誤檢測技術(shù)和相關(guān)故障處理措施。

1 SIL2要求

對于SIL2級的TCMS，意味著其安全容忍率要達(dá)到10－7≤T HR＜10－6（故障數(shù)／h）［1］。北京地鐵項目TCSM的硬件和軟件的設(shè)計和開發(fā)的一個重要挑戰(zhàn)是使用現(xiàn)貨供應(yīng)部件和簡化的系統(tǒng)架構(gòu)降低由安全要求所引入的成本，以達(dá)到SIL2的要求。更高安全完整性等級的TCMS的開發(fā)實際上由更為冗余的架構(gòu)及更為嚴(yán)密的開發(fā)過程予以保證。

開發(fā)滿足SIL2級TCMS的要求包括硬件［1］及軟件［2］兩方面。完整的TCMS硬件和軟件應(yīng)在滿足要求的基礎(chǔ)上進(jìn)行開發(fā)設(shè)計，并保證得以實施。

1．1 硬件要求

EN 50129標(biāo)準(zhǔn)要求保證嚴(yán)重的單一故障的安全性，對其失效后的安全保證可以通過組合的、反應(yīng)性的或者固有的安全技術(shù)予以達(dá)到。

組合的故障。安全意味著單一硬件每一安全相關(guān)功能至少由兩個獨(dú)立項予以執(zhí)行，并且只要必要的失效項一致，非約束性活動就予以允許。依據(jù)TCMS設(shè)計的初始目標(biāo)，特別是考慮到降低系統(tǒng)中硬件部件的數(shù)量的要求，這一替代方案不予選擇。

反應(yīng)性故障。安全通過發(fā)生在單一硬件中危險故障的適當(dāng)檢測和否定來保證安全運(yùn)行。但是，為了避免共因故障，故障檢測功能被視為將是獨(dú)立的第二個項，其獨(dú)立性可能會由于實際內(nèi)、外影響，或者功能內(nèi)、外影響而喪失。

如果單個硬件的所有不可忽略故障模式都是非危險性的，則其固有的安全功能予以考慮，固有失效安全可用于特定功能（例如，強(qiáng)制關(guān)閉）。

此外，EN 50129標(biāo)準(zhǔn)建議了SIL2級的硬件架構(gòu)相關(guān)技術(shù)：“帶有自測試和監(jiān)督的單獨(dú)電子結(jié)構(gòu)”和“基于反應(yīng)性失效安全的單獨(dú)電子結(jié)構(gòu)”是有效的替代方案；通過在線動態(tài)測試來檢驗安全相關(guān)系統(tǒng)是否正確運(yùn)行及通過程序順序的時間或者邏輯監(jiān)控向操作員提供故障指示等安全保護(hù)措施予以高度建議實施。

1．2 軟件要求

開發(fā)滿足SIL2要求的軟件，必須嚴(yán)格貫徹執(zhí)行軟件生存期所有軟件質(zhì)量活動。通過危害分析，明確軟件安全要求；依據(jù)安全要求，實施軟件代碼、模塊及系統(tǒng)集成的安全性設(shè)計；根據(jù)軟件開發(fā)階段，進(jìn)行驗證與測試，確認(rèn)及評估軟件安全性、完整性。

此外，在保證軟件嚴(yán)密開發(fā)過程要求的基礎(chǔ)上，EN 50128標(biāo)準(zhǔn)建議了一套在架構(gòu)設(shè)計階段執(zhí)行的技術(shù)和措施，見表1。在SIL2級情況中，這些技術(shù)應(yīng)予以實施來滿足安全性要求。

2 系統(tǒng)概述

北京地鐵項目列車采用6輛編組（4動2拖），列車網(wǎng)絡(luò)控制系統(tǒng)按照IEC 61375－1標(biāo)準(zhǔn)規(guī)定的列車通信網(wǎng)絡(luò)組建，系統(tǒng)總線采用絞線式列車總線（WTB）＋多功能車輛總線（MVB）的形式，列車級總線（WTB）采用雙絞線進(jìn)行數(shù)據(jù)的傳輸，MVB的電氣接口為電氣中距離（EMD）介質(zhì)，見圖1。

表1 故障檢測和處理的建議技術(shù)

圖1 北京地鐵項目網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

以故障導(dǎo)向安全設(shè)計為原則，網(wǎng)絡(luò)拓補(bǔ)的設(shè)計更多的考慮了自愈環(huán)網(wǎng)的設(shè)計理念，列車總線及車輛總線均冗余結(jié)構(gòu)設(shè)計，實現(xiàn)了信息傳輸中單點(diǎn)故障情況下的線路自動倒換；關(guān)鍵性硬件的主備配置，從根本上確保網(wǎng)絡(luò)對整車的安全控制。此外，整車網(wǎng)絡(luò)控制為主硬線控制為輔設(shè)計，更進(jìn)一步全面保證了列車運(yùn)行安全性。

2．1 硬件架構(gòu)

TCMS硬件主要由中央控制單元（CCU）、診斷控制單元（DCCU）、TCN網(wǎng)關(guān)、人機(jī)接口單元、中繼器等10部分組成。

為保證TCMS系統(tǒng)整體設(shè)計上能夠滿足SIL2要求，在系統(tǒng)硬件架構(gòu)設(shè)計采用通用的冗余配置基礎(chǔ)上，硬件自身的設(shè)計通過故障模式影響分析對安全性隱患進(jìn)行了全面的控制。對于現(xiàn)貨供應(yīng)的硬件產(chǎn)品，以其可靠性指標(biāo)平均無故障間隔時間作為系統(tǒng)安全設(shè)計的保證。

CCU作為TCMS的核心硬件，其板卡是符合ROHS認(rèn)證的嵌入板，主要由一個中間層CPU模塊及一個PC／104－Plus結(jié)構(gòu)的承載板組成，其100 MHz高速緩存處理保證了信息處理的及時性；其內(nèi)置看門狗定時獨(dú)立保護(hù)系統(tǒng)，保證了系統(tǒng)出現(xiàn)故障時，在可選的定時周期內(nèi)（2～255 s）立即切換到備份／冗余系統(tǒng)。DCCU內(nèi)部硬件配置與CCU具有完全一致的結(jié)構(gòu)，關(guān)鍵區(qū)別在于軟件的配置。DCCU在整個系統(tǒng)的架構(gòu)上依然以冗余設(shè)計為基礎(chǔ)，其內(nèi)置Intel處理器、芯片集及雙備份的故障信息存儲機(jī)制充分保證了監(jiān)控信息的可靠性。

作為控制WTB和MVB間的信息傳輸?shù)腢IC網(wǎng)關(guān)依照TCN標(biāo)準(zhǔn)設(shè)計，從MVB角度來看，它是一個通常作為仲裁者的設(shè)備；從WTB角度來看，它是一個可以配置為主節(jié)點(diǎn)或者從節(jié)點(diǎn)。其功能和能量消耗可以通過外部16個數(shù)字量輸入來控制，并且可以通過4個數(shù)字量輸出來控制車輛的其他設(shè)備。TCN－GW01可以用計算機(jī)軟件通過RS232線纜來配置，為了提高可靠性，TCN－GW01系統(tǒng)完全冗余，意味著所有的功能是雙份，進(jìn)一步提高了TCMS系統(tǒng)整體的安全性。

人機(jī)接口單元X86成熟的硬件構(gòu)架，顯示器的數(shù)據(jù)強(qiáng)大處理能力使其在RS485高速通訊的情況下能夠保持畫面的正常顯示以及數(shù)據(jù)的正確處理。數(shù)字量輸入、輸出模塊、中繼器及電源模塊等的成熟設(shè)計都在提高硬件可靠性的基礎(chǔ)上，保證了TCMS運(yùn)行安全性。

由于TCMS硬件整體結(jié)構(gòu)從降低成本角度考慮保持了簡單可靠的設(shè)計原則，而由此帶來的硬件冗余度的缺乏導(dǎo)致軟件結(jié)構(gòu)的較大復(fù)雜性，更為全面的安全性要求只能通過軟件機(jī)制來完成。

2．2 軟件架構(gòu)

對于TCMS的軟件架構(gòu)，通過定義一系列＂模塊＂予以說明，如系統(tǒng)軟件模塊、底層支持軟件模塊及應(yīng)用軟件模塊等。系統(tǒng)軟件為底層的支持軟件裝載于主控CCU單元內(nèi)，主控CCU基于32位X86構(gòu)架，增加了Vxworks實時操作系統(tǒng)和IEC 61131的圖形化編程功能，提升了整個控制系統(tǒng)軟件的實時性、可靠性和用戶開放性。底層支持軟件模塊主要包括與硬件相關(guān)接口驅(qū)動軟件、網(wǎng)絡(luò)配置組件及與TCN協(xié)議棧通訊功能等相關(guān)的接口軟件。應(yīng)用軟件模塊采用圖形化編程軟件，采用符合IEC 61131國際標(biāo)準(zhǔn)的OPENPCS軟件。OpenPCS的軟件開發(fā)平臺支持IEC 61131－3標(biāo)準(zhǔn)所規(guī)定的5種編程方式IL，ST，LD，F(xiàn)BD，SFC。通過采用IEC 61131的圖形化編程功能可以將應(yīng)用軟件的功能控制部分進(jìn)行圖形化設(shè)計和編寫，保證了軟件的開發(fā)、驗證及確認(rèn)安全性活動的有效實施。

全局監(jiān)測組態(tài)關(guān)鍵是TCMS主軟件，它起到一個執(zhí)行監(jiān)測器、一個軟件看門狗、一個日志管理器和一個診斷管理器的作用。它充當(dāng)一個全局調(diào)度程序，處理人機(jī)接口單元上執(zhí)行的所有操作，實施調(diào)度規(guī)則，并允許和停止每個操作的執(zhí)行。它可識別引起HMI運(yùn)行模式更改的條件，并在模式改變（例如實施一個測試策略、執(zhí)行一個操作、掛起或重新開始一個線程）時執(zhí)行配置系統(tǒng)所必需的操作。在運(yùn)行模式更改情況下，全局監(jiān)測激活了模式更改程序。它同時包含一組靜態(tài)表格（這些表格支持停止進(jìn)程、用于啟動的新進(jìn)程和必要的存儲器指針），其中有關(guān)于模塊失效和激活的規(guī)則。此外，檢驗系統(tǒng)配置的全局監(jiān)測通常在當(dāng)前操作模式中所預(yù)先予以設(shè)定，其檢驗與測試程序模塊起到執(zhí)行檢驗和測試操作的作用。測試模塊包含測試設(shè)備所需要的所有算法，并提供設(shè)置測試策略的服務(wù)；檢驗?zāi)K則執(zhí)行數(shù)據(jù)接受機(jī)制、可靠性校驗和多種計算的對比，并且它定期執(zhí)行校驗。從安全機(jī)制角度考慮，在軟件設(shè)計中控制流程監(jiān)測機(jī)制和軟件看門狗都采用。

北京地鐵項目TCMS軟件除在設(shè)計中對安全性要求予以充分貫徹外，軟件開發(fā)流程控制也嚴(yán)格遵守EN 50128中SIL2標(biāo)準(zhǔn)要求，形成了軟件代碼設(shè)計、測試、模塊設(shè)計、測試及系統(tǒng)集成設(shè)計、測試標(biāo)準(zhǔn)化開發(fā)體系，并且對生命周期各階段軟件開發(fā)活動進(jìn)行了驗證，最終通過確認(rèn)軟件開發(fā)SIL2的要求得以滿足。

3 故障監(jiān)測機(jī)制及支持性技術(shù)

根據(jù)安全性設(shè)計中的故障—安全導(dǎo)向原則，有效的故障檢測起到一個決定性作用。當(dāng)一種故障被監(jiān)測到，由此產(chǎn)生的風(fēng)險必須導(dǎo)致安全的狀態(tài)，這種故障處理方式保證了通過正確重試機(jī)制或通過故障停止行為檢測故障情況下的TCMS運(yùn)行安全性，而對于未檢測到的故障則促進(jìn)了風(fēng)險的增加。

3．1 應(yīng)用的故障監(jiān)測技術(shù)

根據(jù)安全性標(biāo)準(zhǔn)EN 50129可知，系統(tǒng)故障（尤其是軟件設(shè)計故障）的潛在風(fēng)險主要通過相應(yīng)于SIL2的質(zhì)量和安全管理對開發(fā)期間故障進(jìn)行防止和消除。通過故障檢測可檢測出永久故障和暫時故障兩種隨機(jī)故障。

永久硬件故障通過具有高故障覆蓋率的有效試驗程序進(jìn)行檢測，包括以下4種測試方式：

⑴RAM和閃存通過marsh試驗算法［3］進(jìn)行測試；

⑵CPU通過一個試驗軟件套件校驗以檢測寄存器、內(nèi)部總線、算法和邏輯單元以及指令譯碼中的故障；

⑶基于校驗驗證的ROM測試；

⑷ 外設(shè)（鍵盤、LCD燈、音頻設(shè)備）的測試通過人工實際操作得以驗證。

硬件永久故障和隨機(jī)暫時故障的監(jiān)測主要取決于軟件執(zhí)行的檢測作用的最終影響結(jié)果。考慮到安全標(biāo)準(zhǔn)的推薦，我們把防錯性程序設(shè)計技術(shù)分成如下3類：（1）“防錯性程序設(shè)計”技術(shù)用于檢測反常數(shù)據(jù)流或數(shù)據(jù)值，如“故障斷言程序”、“安全包”、“譯碼”屬于數(shù)據(jù)接受、可靠性校驗的分類，因為這種技術(shù)關(guān)注于程序中間故障及輸出結(jié)果。（2）而“防錯性程序設(shè)計”技術(shù)用于檢測異?？刂屏?，如“程序數(shù)組監(jiān)控”和“存儲執(zhí)行的路徑”則屬于控制流程監(jiān)測范圍的分類，因為它們只致力于影響計算控制流的故障。（3）區(qū)別于以上兩類故障檢測技術(shù)，多種計算與對比是在數(shù)據(jù)和控制都有關(guān)的故障情況下一種高效率的通用技術(shù)，它的特點(diǎn)在于能夠結(jié)合多樣程序?qū)浖O(shè)計的故障進(jìn)行檢測。

數(shù)據(jù)接受、可靠性校驗在數(shù)據(jù)處理功能情況下不失為一種有效方式，但只有在能分配接受準(zhǔn)則給中間或輸出數(shù)據(jù)時結(jié)果正確性才能得到保證?？刂屏鞅O(jiān)測在控制相關(guān)功能中更為有效，但其覆蓋范圍是有限的，因為，即使控制流本身是正確的計算結(jié)果也可能不正確。此外，數(shù)據(jù)接受校驗還能檢測程序是否受到控制流誤差的影響。多種計算與對比在時間和存儲費(fèi)用上來說是昂貴的，因此它們只能在其他技術(shù)不能滿足時才使用。根據(jù)這些觀察和TCMS系統(tǒng)不同特性的分析，選擇表2中列出的故障檢測技術(shù)予以實施。

表2 分配給TCMS功能的誤差檢測技術(shù)

3．2 工具支持

數(shù)據(jù)接受、可靠性校驗作為規(guī)定應(yīng)用的故障檢測技術(shù)應(yīng)在相應(yīng)模塊設(shè)計階段提出。而控制流監(jiān)測作為對所校驗?zāi)K實際功能的檢測可以獨(dú)立應(yīng)用的一種檢測機(jī)制予以采用：參考的控制流能從模塊的源代碼提取，并且一個可再次使用的校驗器元件（通常所謂的一個看門狗程序，WP）能檢驗運(yùn)行控制流是否對應(yīng)于參考數(shù)據(jù)流。為了便于對比，壓縮標(biāo)志符分配給不同的程序狀態(tài)，并且這些識別標(biāo)志的運(yùn)行結(jié)果被轉(zhuǎn)換到WP。WP檢驗識別標(biāo)志是否能定期地收到，并表現(xiàn)為參考控制流所允許的一個有效的控制流。識別標(biāo)志按在處理（檢驗結(jié)果和時序安排）、功能運(yùn)行（檢驗函數(shù)調(diào)用分類）或聲明（依據(jù)句法結(jié)構(gòu)檢驗允許的轉(zhuǎn)換）的等級進(jìn)行有效分配。

用于識別標(biāo)志的操作說明能夠通過手動或通過一個源代碼預(yù)處理程序插入到程序源中。預(yù)處理程序執(zhí)行一個輸入編程語言的句法分析程序，分配識別標(biāo)志給程序狀態(tài)（取決于選定的等級水平），并最終產(chǎn)生測試化的原始資料和用于WP的參考信息。北京地鐵項目TCMS的設(shè)計過程中，用一個看門狗程序處理器在源程序中插入標(biāo)志數(shù)據(jù)符實現(xiàn)故障的有效檢測。

4 結(jié)束語

針對目前國內(nèi)鐵路運(yùn)營系統(tǒng)設(shè)備的安全要求狀況，TCMS是一個沒有完整安全要求定義的系統(tǒng)。但是，對于列車運(yùn)行控制的安全性以及運(yùn)營服務(wù)的安全任務(wù)保證性，對TCMS是完全必要的。

以北京地鐵項目為例詳述了一個基于SIL2要求的列車網(wǎng)絡(luò)控制系統(tǒng)的整體設(shè)計。系統(tǒng)構(gòu)建難點(diǎn)在于簡化的硬件結(jié)構(gòu)及低開發(fā)成本。在軟件模塊化設(shè)計中TCMS已經(jīng)滿足功能性和安全性的要求；TCMS更多的軟件邏輯編程的控制及硬線冗余設(shè)計都使列車運(yùn)行安全性得以充分保證，最終確保列車網(wǎng)絡(luò)控制系統(tǒng)安全完整性等級達(dá)到2級水平。

［1］CENELEC．EN50129－鐵路應(yīng)用－通信、信號發(fā)送與處理系統(tǒng)－用于信號發(fā)送的安全相關(guān)的電子系統(tǒng)［S］．2003．

［2］CENELEC．EN50128－鐵路應(yīng)用－通信、信號發(fā)送與處理系統(tǒng)－用于鐵路控制與保護(hù)系統(tǒng)的軟件［S］．2001．

［3］A．J．van de Goor．半導(dǎo)體存儲器測試：理論與實踐［M］．John Wiley＆Sons，Inc．，紐約，NY，美國，1991．