姚亞平

(1.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司通信信號(hào)研究所,北京 100081； 2.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司國(guó)家鐵路智能運(yùn)輸系統(tǒng)工程技術(shù)研究中心,北京 100081)

引言

目前，在我國(guó)上道運(yùn)行的各種鐵路信號(hào)計(jì)算機(jī)安全控制系統(tǒng)核心設(shè)備，如車站計(jì)算機(jī)聯(lián)鎖、車站列控中心、列車超速防護(hù)等系統(tǒng)的規(guī)模、數(shù)量都居于世界前列，但大多都采用引進(jìn)的計(jì)算機(jī)安全平臺(tái)，并且同一計(jì)算機(jī)安全平臺(tái)在不同系統(tǒng)間的兼容性又相對(duì)較差。國(guó)內(nèi)對(duì)信號(hào)安全控制系統(tǒng)的平臺(tái)化概念認(rèn)知較晚、總體認(rèn)識(shí)水平較低；在很長(zhǎng)的時(shí)間內(nèi)比較普遍地存在重應(yīng)用開發(fā)、輕平臺(tái)作用的現(xiàn)象。而隨著高速鐵路、城際鐵路以及城市軌道交通的建設(shè)，對(duì)信號(hào)系統(tǒng)設(shè)備的安全性、可靠性、可用性和可維護(hù)性(RAMS)要求的提高，使信號(hào)安全控制系統(tǒng)的開發(fā)成本急劇增加。目前全路安全信號(hào)控制系統(tǒng)正在大面積地推廣更新，而具有統(tǒng)一的開發(fā)標(biāo)準(zhǔn)及通用接口的系統(tǒng)平臺(tái)目前還不夠成熟，國(guó)外的部分廠商已經(jīng)具有了系統(tǒng)化、體系化的安全控制平臺(tái)，這無疑增加了國(guó)內(nèi)信號(hào)安全控制系統(tǒng)平臺(tái)化研究的緊迫程度。本文從總體設(shè)計(jì)原則、基本硬件結(jié)構(gòu)和軟件結(jié)構(gòu)等三方面論述能適應(yīng)并滿足新時(shí)期各種鐵路信號(hào)安全控制系統(tǒng)兼容性、安全完整性要求的信號(hào)安全控制平臺(tái)。

1 信號(hào)安全控制平臺(tái)的設(shè)計(jì)原則

信號(hào)安全控制平臺(tái)是一類具有鐵路信號(hào)特殊安全需求的計(jì)算機(jī)應(yīng)用平臺(tái)，其總體設(shè)計(jì)原則是在滿足各種信號(hào)安全控制系統(tǒng)可靠性要求的同時(shí)，還要具有平臺(tái)化的通用性和可擴(kuò)展性[1]。

信號(hào)安全控制平臺(tái)的可靠性體現(xiàn)在除了實(shí)現(xiàn)特定系統(tǒng)所要求的基本功能并達(dá)到基本性能要求之外，還須符合相應(yīng)的RAMS(可靠性、可用性、可維護(hù)性和安全性)需求以及達(dá)到規(guī)定的安全完整性要求[2]。

信號(hào)安全控制平臺(tái)的通用性和可擴(kuò)展性體現(xiàn)在同一應(yīng)用平臺(tái)可承載不同的應(yīng)用軟件，能夠構(gòu)成不同的應(yīng)用系統(tǒng)。應(yīng)用開發(fā)用戶可在選定適用的應(yīng)用平臺(tái)之后，僅通過應(yīng)用軟件的開發(fā)和相應(yīng)的硬件配置，就能構(gòu)建一類應(yīng)用系統(tǒng)；而無需再對(duì)類似的每一個(gè)應(yīng)用重復(fù)進(jìn)行大量基礎(chǔ)的軟、硬件開發(fā)工作。

信號(hào)安全控制平臺(tái)通常主要由特定的硬件和軟件所組成。信號(hào)安全控制平臺(tái)硬件是針對(duì)鐵路信號(hào)控制安全側(cè)[3-4]明確的特點(diǎn)進(jìn)行設(shè)計(jì)，基于失效-安全原則滿足SIL4級(jí)安全完整性[5]要求的計(jì)算機(jī)平臺(tái)，通過二乘二取二冗余設(shè)計(jì)及特有的拒絕機(jī)制[6]，確保整體硬件平臺(tái)滿足各特定信號(hào)安全控制系統(tǒng)的可靠性及安全性需求；通過標(biāo)準(zhǔn)的板卡數(shù)據(jù)總線接口實(shí)現(xiàn)硬件的可擴(kuò)展性，滿足各特定信號(hào)安全控制系統(tǒng)的硬件通用性需求。

信號(hào)安全控制平臺(tái)把(某類)系統(tǒng)全部的功能軟件清晰、合理地劃分為平臺(tái)軟件和用戶應(yīng)用軟件兩部分[7-8]，其中用戶應(yīng)用軟件主要是指處理各特定信號(hào)安全控制系統(tǒng)內(nèi)部邏輯運(yùn)算的軟件，通過平臺(tái)軟件實(shí)現(xiàn)與外部系統(tǒng)的通信；平臺(tái)軟件主要對(duì)平臺(tái)硬件進(jìn)行控制、協(xié)調(diào)處理，并對(duì)包括應(yīng)用軟件在內(nèi)的整個(gè)系統(tǒng)的運(yùn)行進(jìn)行調(diào)度管理。通過獨(dú)立設(shè)計(jì)的信號(hào)安全控制平臺(tái)的軟/硬件和對(duì)外用戶應(yīng)用軟件，一方面可使應(yīng)用軟件具有可移植性，便于升級(jí)和維護(hù)；另一方面可使信號(hào)安全控制平臺(tái)具有通用性和兼容性。

2 信號(hào)安全控制平臺(tái)硬件設(shè)計(jì)

2.1 硬件設(shè)計(jì)原理

信號(hào)安全控制平臺(tái)采用二乘二取二冗余結(jié)構(gòu)作為安全平臺(tái)的整體核心架構(gòu)[9]。其基本功能結(jié)構(gòu)、邊界及接口如圖1所示。

圖1 信號(hào)安全控制平臺(tái)基本結(jié)構(gòu)框圖

如圖1所示，信號(hào)安全控制平臺(tái)主要由電源層、邏輯層、通信層及IO執(zhí)行層等部分組成。

(1)邏輯層為安全控制平臺(tái)的核心層，主要由平臺(tái)的主從處理部件、對(duì)IO執(zhí)行層的信息傳輸/通信與控制部件，對(duì)平臺(tái)內(nèi)、外部的通信部件等構(gòu)成。邏輯層首先為其處理器上運(yùn)行的用戶應(yīng)用軟件提供所需的各種信息和系統(tǒng)功能支持，并在用戶應(yīng)用軟件的主導(dǎo)下完成對(duì)平臺(tái)內(nèi)、外部設(shè)備(包括相應(yīng)的人機(jī)接口、安全類接口、一般類接口)的各種(實(shí)時(shí)的與非實(shí)時(shí)的、安全相關(guān)的與非安全相關(guān)的等)通信交互及控制；其次是控制邏輯層內(nèi)部(主從通信)及邏輯層間(主備通信)實(shí)時(shí)進(jìn)行的各種信息傳輸/通信；最后是對(duì)包括冗余機(jī)制在內(nèi)的運(yùn)行及協(xié)調(diào)、故障的檢測(cè)診斷及安全保障等功能的管理。

(2)通信層受控于邏輯層，由安全類通信接口、人機(jī)接口、一般類通信接口組成，主要完成平臺(tái)的內(nèi)部及外部通信。安全通信類接口主要用于實(shí)現(xiàn)與其他外部安全信號(hào)控制系統(tǒng)的信息交互(例如聯(lián)鎖系統(tǒng)與列控系統(tǒng)之間、列控系統(tǒng)與限速服務(wù)器之間等)等功能，其要求對(duì)通信傳輸過程中的各種“威脅”進(jìn)行嚴(yán)格的防護(hù)，所有安全通信協(xié)議都以只檢錯(cuò)而不糾錯(cuò)的編碼校驗(yàn)為原則；人機(jī)接口[10]主要用于實(shí)現(xiàn)平臺(tái)與用戶之間的信息交互，提供程序下載、啟動(dòng)、日志記錄、上傳等功能；一般類通信接口主要用于實(shí)現(xiàn)平臺(tái)與某一類特定應(yīng)用間的非安全類信息交互(如聯(lián)鎖系統(tǒng)與運(yùn)維系統(tǒng)之間)等功能[11]。

(3)IO執(zhí)行層受控于邏輯層，主要由采集/驅(qū)動(dòng)執(zhí)行機(jī)和/或執(zhí)行單元(模塊)構(gòu)成，能夠?qū)σ欢ㄒ?guī)模數(shù)量的繼電器類和/或其他數(shù)字和模擬對(duì)象，實(shí)時(shí)進(jìn)行安全、穩(wěn)定、可靠的狀態(tài)采集和驅(qū)動(dòng)控制處理。

(4)電源層主要用于實(shí)現(xiàn)為信號(hào)安全控制平臺(tái)供電的功能，其受控于邏輯層的拒絕機(jī)制。當(dāng)邏輯層檢測(cè)到主從交互間出現(xiàn)“故障”時(shí)，會(huì)執(zhí)行拒絕機(jī)制，停止為IO執(zhí)行層和通信層供電實(shí)現(xiàn)“安全”。

通過對(duì)信號(hào)安全控制平臺(tái)結(jié)構(gòu)模塊的組合，可以構(gòu)建特定信號(hào)安全控制系統(tǒng)的需求架構(gòu)，如圖1所示區(qū)域①中模塊組合可以實(shí)現(xiàn)車站計(jì)算機(jī)聯(lián)鎖系統(tǒng)[8]架構(gòu)；區(qū)域②中模塊組合則可以實(shí)現(xiàn)車站地面列控中心系統(tǒng)[12]架構(gòu)。

2.2 硬件設(shè)計(jì)實(shí)現(xiàn)

根據(jù)信號(hào)安全控制平臺(tái)的硬件設(shè)計(jì)原理，信號(hào)安全控制平臺(tái)采用二乘二取二冗余結(jié)構(gòu)，其基本組成結(jié)構(gòu)如圖2所示。

圖2 信號(hào)安全控制平臺(tái)結(jié)構(gòu)

由圖2可以得到，信號(hào)安全控制平臺(tái)由具有相同結(jié)構(gòu)的A系和B系組成。兩系之間采用雙重冗余的系間專用安全接口進(jìn)行通信，確保雙系間的同步。兩系采用主備方式冗余，正常運(yùn)行時(shí)，兩系互為熱備；任何一系故障時(shí)，不會(huì)影響信號(hào)安全控制平臺(tái)的工作。A/B系中設(shè)有主從CPU，分別進(jìn)行邏輯運(yùn)算并實(shí)時(shí)進(jìn)行比較；當(dāng)比較結(jié)果不一致時(shí)，通過比較板實(shí)現(xiàn)圖1中拒絕機(jī)制功能，強(qiáng)制使本系離線，退出工作狀態(tài)。

A/B系通過一塊以太網(wǎng)通信卡與人機(jī)子系統(tǒng)通信，實(shí)現(xiàn)圖1中所示邏輯層與人機(jī)接口(MMI/MT接口)的通信功能[13]；通過可擴(kuò)展的多塊以太網(wǎng)/RS422通信卡與外部其他信號(hào)系統(tǒng)系統(tǒng)通信，實(shí)現(xiàn)圖1中所示邏輯層的安全類接口功能。

阿里的聲音打碎了阿東的空白。上面開始有字浮出。這字便是：家里再也不會(huì)有母親了。阿東的眼淚開始在眶里打轉(zhuǎn)。

A/B系通過冗余的主從CAN通信卡與IO系統(tǒng)進(jìn)行通信，通過安全側(cè)編碼及處理原則并進(jìn)行校驗(yàn)等手段實(shí)現(xiàn)平臺(tái)對(duì)外部模擬/開關(guān)信息的直接采集和驅(qū)動(dòng)。

信號(hào)安全控制平臺(tái)在機(jī)械結(jié)構(gòu)上，A、B兩系各采用獨(dú)立的安裝機(jī)籠；每個(gè)機(jī)籠中的主、從兩子系采用以比較板為中心左右對(duì)稱的雙板結(jié)構(gòu)，主要由比較板和主/從兩塊CPU板、主/從兩塊/兩組CAN通信板、可擴(kuò)展的多塊以太網(wǎng)/RS422通信板卡以及特制的專用母板等組成。CPU板通過標(biāo)準(zhǔn)的板卡總線與比較板、專用安全通信接口、CAN接口、以太網(wǎng)/RS422接口實(shí)現(xiàn)信息交互功能。

由圖1和圖2可以得到，信號(hào)安全控制平臺(tái)的整體結(jié)構(gòu)由A系、B系、IO執(zhí)行單元以及供電部件構(gòu)成。其中A、B系間專用安全通信接口、IO通信接口、與其他信號(hào)系統(tǒng)的通信接口都設(shè)有防雷單元，并采用屏蔽通信電纜；各通信線與電源線之間采用強(qiáng)弱區(qū)分、分組布線的原則進(jìn)行布線設(shè)計(jì)。除此以外信號(hào)安全控制平臺(tái)依據(jù)等電位布置及良好的接地原則，將部件外殼、機(jī)籠外殼、屏蔽通信電纜等所有設(shè)備用地線連接，形成一個(gè)完整的聯(lián)合接地系統(tǒng)，用以保證了信號(hào)安全控制平臺(tái)能在復(fù)雜電磁環(huán)境中滿足相應(yīng)的安全性、可靠性、可用性和可維護(hù)性(RAMS)要求。

3 信號(hào)安全控制平臺(tái)軟件設(shè)計(jì)

3.1 軟件設(shè)計(jì)原理

信號(hào)安全控制系統(tǒng)的軟件部分按功能可以劃分為邏輯處理(用戶應(yīng)用軟件)和應(yīng)用管理(平臺(tái)軟件)兩部分。平臺(tái)軟件通過預(yù)先定義的統(tǒng)一、標(biāo)準(zhǔn)接口與用戶應(yīng)用軟件運(yùn)行于信號(hào)安全控制平臺(tái)A、B兩系中各自的主、從(共4個(gè))CPU中。其軟件關(guān)系如圖3所示。

圖3 系統(tǒng)軟件關(guān)系

如圖3所示，系統(tǒng)軟件分為平臺(tái)軟件部分和用戶應(yīng)用軟件，平臺(tái)軟件在硬件平臺(tái)的基礎(chǔ)之上提供各種底層函數(shù)，完成通信層、IO控制層、邏輯層各部分硬件的初始化、運(yùn)行及自檢處理；調(diào)度協(xié)調(diào)各部分硬件的運(yùn)行及相互之間的信息交換處理；安全邏輯部分只要是實(shí)現(xiàn)同系中主、從兩子系的同步運(yùn)行和二取二的安全冗余處理；實(shí)現(xiàn)A、B兩系之間的同步運(yùn)行和主、備的可靠性冗余處理。

平臺(tái)軟件上電完成初始化、硬件自檢后，開始進(jìn)行用戶邏輯運(yùn)算初始化和安全邏輯自檢，之后進(jìn)入循環(huán)結(jié)構(gòu)，只有在發(fā)現(xiàn)嚴(yán)重的邏輯錯(cuò)誤時(shí)才會(huì)退出工作狀態(tài)。其基本功能UML順序如圖4所示。

圖4 平臺(tái)軟件基本功能UML順序

由圖4可以得到當(dāng)平臺(tái)軟件進(jìn)入循環(huán)結(jié)構(gòu)后的功能順序。平臺(tái)軟件通過已定義的標(biāo)準(zhǔn)接口將接收的數(shù)據(jù)傳遞給用戶應(yīng)用軟件，其中包括IO執(zhí)行層的控制對(duì)象的模擬量和開關(guān)量status1、MMI/MT[12]的命令command&status、其他信號(hào)系統(tǒng)的命令及狀態(tài)等信息command&status2；通過已定義的接口讀取用戶應(yīng)用軟件運(yùn)算的結(jié)果，并將其發(fā)送到對(duì)應(yīng)的硬件接口，其中包括控制對(duì)象驅(qū)動(dòng)和開關(guān)Senddata1、狀態(tài)和日志記錄Senddata2、其他信號(hào)系統(tǒng)的命令及狀態(tài)等信息Senddata3，用戶應(yīng)用程序完成接口信息交互后進(jìn)行自身的邏輯運(yùn)算Process1。平臺(tái)軟件獲取用戶應(yīng)用軟件發(fā)送的狀態(tài)信息status2并進(jìn)行安全邏輯運(yùn)算Process2，其中安全邏輯運(yùn)算Process2包括主從CPU的信息交換、同步及安全處理、主備兩系的信息交換、主備兩系信息的冗余處理、系統(tǒng)工作狀態(tài)處理等。

3.2 軟件設(shè)計(jì)實(shí)現(xiàn)

圖5 平臺(tái)軟件模塊結(jié)構(gòu)框圖

由圖5可以得到，處于第一層次的是主程序模塊和為平臺(tái)提供時(shí)間基準(zhǔn)的定時(shí)中斷模塊，由主程序模塊對(duì)第二層次的主從CPU信息交換模塊、兩系信息交換模塊、MMI/MT通信模塊、外部系統(tǒng)通信模塊、輸入輸出數(shù)據(jù)處理模塊、工作狀態(tài)處理模塊、錯(cuò)誤處理模塊、比較板接口模塊以及IO通信模塊進(jìn)行調(diào)度管理。處于第三層次的主從通信接口模塊、系間安全通信接口模塊及ETH接口模塊是完全針對(duì)硬件的、屬于底層驅(qū)動(dòng)的硬件接口模塊，由第二層次的程序模塊調(diào)用。其中ETH接口模塊驅(qū)動(dòng)平臺(tái)的ETH板卡實(shí)現(xiàn)與外部信號(hào)系統(tǒng)的通信，由 ETH板卡自帶軟件實(shí)現(xiàn)ETH通信協(xié)議[14](例如RSSP-I，RSSP-II協(xié)議)解析。

信號(hào)安全控制平臺(tái)上電啟動(dòng)實(shí)現(xiàn)初始化和自檢后，進(jìn)入一個(gè)永不退出的循環(huán)結(jié)構(gòu)，其模塊流程如圖6所示。

圖6 平臺(tái)軟件模塊流程

由圖6可以得到平臺(tái)軟件模塊的基本流程，信號(hào)安全控制平臺(tái)軟件模塊首先進(jìn)行系統(tǒng)初始化和自檢，其中初始化主要包括啟動(dòng)硬件比較功能、各個(gè)硬件初始化、數(shù)據(jù)處理和自診斷等。

系統(tǒng)初始化和自檢完成后進(jìn)入循環(huán)結(jié)構(gòu)，首先處理A，B兩系及主從CPU的信息交互及握手，再依次進(jìn)行IO信息處理、與MMI/MT信息處理和外部信號(hào)系統(tǒng)數(shù)據(jù)的處理；然后在調(diào)用該程序前進(jìn)行A、B兩系的狀態(tài)及信息處理；之后調(diào)用用戶應(yīng)用程序；最后進(jìn)行主從CPU數(shù)據(jù)處理、拒絕機(jī)制處理和運(yùn)行周期管理。完成上述模塊功能后，程序進(jìn)入下一次循環(huán)周期。

4 信號(hào)安全控制平臺(tái)的驗(yàn)證

依據(jù)EN50126/128/129/159等歐洲鐵路系列標(biāo)準(zhǔn)，信號(hào)安全控制平臺(tái)設(shè)計(jì)的驗(yàn)證采用了經(jīng)典的V模型[5]，進(jìn)行了風(fēng)險(xiǎn)源識(shí)別、風(fēng)險(xiǎn)分析、模塊級(jí)代碼測(cè)試、系統(tǒng)集成測(cè)試、系統(tǒng)安全驗(yàn)證和確認(rèn)等過程，確保了信號(hào)安全控制平臺(tái)軟硬件設(shè)計(jì)過程的可控、安全[15]。

此外，根據(jù)信號(hào)安全控制平臺(tái)設(shè)計(jì)的要求，研制了信號(hào)安全控制平臺(tái)樣機(jī)。平臺(tái)電磁兼容檢測(cè)、環(huán)境適應(yīng)性實(shí)驗(yàn)和防雷檢驗(yàn)結(jié)果[16-17]表明：信號(hào)安全控制平臺(tái)的硬件標(biāo)準(zhǔn)通用接口、電磁兼容及防護(hù)設(shè)計(jì)能夠在復(fù)雜電磁環(huán)境中滿足相應(yīng)的安全性、可靠性、可用型和可維護(hù)性(RAMS)要求，完全具備實(shí)際應(yīng)用條件。

最后，以鐵路總公司發(fā)布的第二版標(biāo)準(zhǔn)站聯(lián)鎖及列控中心數(shù)據(jù)為用戶應(yīng)用軟件，與平臺(tái)軟件相結(jié)合進(jìn)行了系統(tǒng)集成測(cè)試和上海同濟(jì)大學(xué)鐵路車站計(jì)算機(jī)聯(lián)鎖檢驗(yàn)站的功能測(cè)試，集成測(cè)試和功能測(cè)試結(jié)果表明：信號(hào)安全控制平臺(tái)配合相應(yīng)的用戶應(yīng)用軟件完全能夠滿足特定信號(hào)安全控制系統(tǒng)的全部功能及安全完整性需求，具備實(shí)際實(shí)施的能力。

5 結(jié)語(yǔ)

信號(hào)安全控制平臺(tái)是具備完全自主知識(shí)產(chǎn)權(quán)的滿足鐵路信號(hào)特殊安全需求的國(guó)產(chǎn)二乘二取二計(jì)算機(jī)應(yīng)用平臺(tái)。提出一種信號(hào)安全控制平臺(tái)的設(shè)計(jì)研究，從硬件和軟件兩個(gè)方面分別闡述信號(hào)安全控制平臺(tái)的設(shè)計(jì)原理和設(shè)計(jì)實(shí)現(xiàn)，通過測(cè)試驗(yàn)證確認(rèn)設(shè)計(jì)的信號(hào)安全控制平臺(tái)可以為各種鐵路信號(hào)技術(shù)裝備開發(fā)提供一種具有較高安全性、可靠性、可用型和可維護(hù)性(RAMS)的具有統(tǒng)一接口的設(shè)備平臺(tái)。

隨著等同采納歐洲鐵路系列標(biāo)準(zhǔn)的我國(guó)國(guó)家相關(guān)標(biāo)準(zhǔn)的生效，CRCC對(duì)鐵路信號(hào)產(chǎn)品新的認(rèn)定體系的逐步確立與實(shí)施，尤其是獨(dú)立第三方SIL4安全認(rèn)證事實(shí)上的強(qiáng)制執(zhí)行，在鐵路信號(hào)控制系統(tǒng)工程應(yīng)用時(shí)，采用“信號(hào)安全控制平臺(tái)+特殊應(yīng)用”的認(rèn)證方式，可以有效地節(jié)約成本并推進(jìn)項(xiàng)目的實(shí)施進(jìn)度，這種架構(gòu)合理、功能全面、接口統(tǒng)一、兼容性強(qiáng)的信號(hào)安全控制平臺(tái)必將在鐵路信號(hào)設(shè)備全面升級(jí)的過程中發(fā)揮越來越大的作用。