劉雅晴，程劍鋒，岳 林，趙志鵬，趙曉宇

(中國鐵道科學研究院集團有限公司通信信號研究所，北京 100081)

引言

由于鐵路產(chǎn)品的設計和生產(chǎn)過程直接影響行車安全和運輸效率，鐵路產(chǎn)品認證越來越受到重視，在諸多國家已成為市場準入的必須要求。目前全球授信程度較高的鐵路產(chǎn)品認證主要有：美國鐵路協(xié)會(AAR)認證；海關聯(lián)盟EAC認證；中鐵檢驗認證中心(CRCC)認證；歐盟鐵路互聯(lián)互通技術規(guī)范(TSI)認證。研究目的是通過對列控車載設備的認證過程分析，為其他鐵路產(chǎn)品的互聯(lián)互通認證提供參考。

歐盟定制車載設備(ETCS)TSI的主要目的是尋求國家或城市間鐵路互聯(lián)互通，因此，希望達到不同供應商提供的地面設備.車載設備.關鍵零部件等能夠相互兼容并方便互換，從而降低設備運營維護成本的目的[1-2]。通過TSI可以將歐洲列控技術要求進行簡統(tǒng)化，使列車在穿越邊界時不受限制地跨國家.跨城市運行，人機交互界面的統(tǒng)一，可以一定程度上減少各國的特殊要求，促進零部件廠商的投資，加快歐盟鐵路發(fā)展[3]。自主化CTCS-3級列控車載設備，涵蓋了列控系統(tǒng)的核心技術，構建了中國自主列控技術體系，是我國鐵路信號產(chǎn)品參與國際競爭的基礎。在自主化CTCS-3級列控車載設備基礎上進行滿足TSI要求的設計變更，是融入歐洲乃至全球市場的必要條件。

1 TSI標準

1.1 歐盟標準劃分

歐盟法規(guī)及標準主要分為4個層次，自頂向下分別為歐盟指令.互聯(lián)互通技術規(guī)范及其引用標準.其他國際性標準以及國家技術標準。其結構性框圖如圖1所示[4-5]。

圖1 歐盟法規(guī)及標準層次劃分示意

頂層要求為歐盟指令2008/57/EC，是鐵路互聯(lián)互通的總體技術指令，是保障鐵路運行和互通的基本要求[6]。該指令是TSI制定.實施的法律依據(jù)，對“互操作性”.“子系統(tǒng)”等相關術語進行定義[7]；明確了TSI的范圍.基本要求.實施策略等，并進一步對TSI的批準.審查和發(fā)布進行規(guī)定[8]。此外，還有其他指令，如2016/798號指令為應用于TSI各個子系統(tǒng)范圍的安全指令，對安全管理過程中相關的安全管理系統(tǒng).安全認證.授權.維護.監(jiān)督.年度報告.調查責任等內容進行了要求。

第2層為歐盟委托歐洲鐵路協(xié)會(ERA)頒布的互聯(lián)互通技術規(guī)范(TSI)及其引用標準，TSI包含機車車輛，控制.指揮及信號子系統(tǒng)，供電牽引系統(tǒng)，基礎設施等方面[9-10]，其中2016/919/EU為鐵路系統(tǒng)控制.信號子系統(tǒng)互聯(lián)互通技術規(guī)范。相關引用標準包括歐洲標準委員會(CEN).歐洲電工標準化委員會(CENELEC)和歐洲電信標準化協(xié)會(ETSI)等機構頒布的標準。

第3層為其他國際性標準，如國際標準化組織(ISO)頒布的相關標準等。

第4層為國家標準，如德國工業(yè)標準(DIN)；英國工業(yè)標準(BS)等。TSI及其引用標準.其他國際性標準和國家技術標準共同保證了歐盟指令基本要求的實施。

1.2 CCS子系統(tǒng)

控制.指揮及信號子系統(tǒng)(CCS)是鐵路通信.信號及其相關外圍設備的總稱。主要功能包括列車防護.無線通信.列車檢測等，分為列控車載設備和地面設備2部分。TSI定義的CCS系統(tǒng)邊界[11]如圖2所示。

圖2 控制.指揮及信號子系統(tǒng)范圍示意

2 系統(tǒng)需求差異性研究

2.1 自主化CTCS-3級列控車載設備

自主化CTCS-3級列控車載設備繼承了既有列控系統(tǒng)大量可靠的開發(fā)和運用經(jīng)驗，并針對國內應用需求.標準化.技術先進性.可擴展性等方面進行了重點設計考慮[12-15]，具有新一代自主化車載安全計算機平臺.雙系冗余設備結構.C3/C2主控單元一體式設計.中央維護的操作模式等技術創(chuàng)新點[16]，其系統(tǒng)結構如圖3所示[17-19]，包括車載主機和外圍設備。

圖3 自主化CTCS-3級列控車載設備系統(tǒng)結構

車載主機由安全計算機(VC).司法記錄單元(JRU).繼電器(RELAY).應答器信息接收單元(BTM).軌道電路信息讀取單元(TCR).電臺(MT)等設備組成，其中安全計算機由主控單元(VCU).無線傳輸單元(RTU).總線接口單元(MBI).列車接口單元(TIU)組成二乘二取二結構。車載外圍設備由人機交互單元(DMI).鐵路無線通信系統(tǒng)(GSM-R)天線.BTM天線.TCR天線.速度傳感器(GT)等設備組成。

2.2 需求差異性研究及變更

歐盟對列控車載設備的需求描述體現(xiàn)在TSI規(guī)范2016/919/EU中，其首要功能是為列車提供地面信號并對列車實行超速防護，具體包括：基本功能需求.支持功能需求.外部接口需求.內部接口需求和安全需求。為達到支持ETCS功能的目的，自主化CTCS-3級列控車載設備應滿足表1的需求，這是TSI認證過程中進行標準核對的必要條件。

表1 ETCS功能要求

基于以上要求，現(xiàn)有自主化CTCS-3級列控車載設備系統(tǒng)需進行適當設計變更，主要變更內容如下。

(1)支持等級變更

ETCS車載設備支持的等級為ETCS-0/1/2/3等級，與自主化CTCS-3級車載設備等級不符，需根據(jù)系統(tǒng)需求規(guī)范Subset-026中支持的等級進行變更，對軟件功能的配置進行分支處理，并對配置參數(shù)進行修改。

(2)刪除CTCS-2級軟硬件功能并新增支持本國特殊傳輸模塊(STM)等級功能。

CTCS-3級車載設備屬于國內信號系統(tǒng)需求，不滿足歐洲互聯(lián)互通技術要求，應刪除CTCS-3級列控車載設備中的TCR子系統(tǒng)和TCR天線設備，并根據(jù)歐洲標準的STM功能接口規(guī)范Subset-035以及STM安全時間層.安全鏈路層.安全應用層的接口規(guī)范Subset-056.Subset-057.Subset-058進行變更，對STM控制功能與安全通信協(xié)議進行處理。

(3)ETCS特定需求變更

特定需求為自主化CTCS-3級列控系統(tǒng)技術規(guī)范中不具備的ATP功能，即地面設計無需考慮的功能場景，具體包括以下功能：

①應答器重定位功能；

②應答器注入MA功能(應用于ETCS-1等級)；

③列車完整性確認功能(應用于ETCS-3等級)；

④地理位置報告功能(ETCS公里標信息)；

⑤緊急消息可采用高優(yōu)先級通道功能；

⑥支持多種國際列車的靜態(tài)限速功能；

⑦開口速度監(jiān)控功能；

⑧緊急制動作為第1條控車曲線的功能；

⑨允許司機輸入或地面設備修改黏著系數(shù)功能；

⑩支持由司機或地面設備發(fā)起短號碼呼叫RBC功能(僅根據(jù)RBCID呼叫)；

此部分內容需對新增功能點進行危害識別.風險分析，并進行系統(tǒng)需求.系統(tǒng)結構設計.軟件需求.軟件結構設計.軟件模塊設計.代碼實現(xiàn)及測試.驗證確認等開發(fā)過程。

(4)人機交互單元變更

自主化CTCS-3級人機交互單元(DMI)與歐洲標準要求的顯示需求差異較大，需根據(jù)歐洲標準ERA_ERTMS_015560需求重新進行設計開發(fā)[20]。由于DMI為基本完整性等級設備，驗證過程只需要考慮功能實現(xiàn)。

(5)增加駕駛臺信號

為滿足ETCS標準中雙端駕駛功能要求，在現(xiàn)有自主化CTCS-3級列控車載設備基礎上增加駕駛臺2激活信號輸入.方向控制器2向前信號輸入.方向控制器2向后信號輸入。

3 認證方案選擇

3.1 認證部件選擇

自主化CTCS-3級列控車載設備系統(tǒng)內部集成了車載設備和測速測距設備，需根據(jù)2016/919/EU要求進行部件選擇，即按照互聯(lián)互通部件組將車載設備和測速測距模塊進行組合認證。CCS車載子系統(tǒng)部件組，ETCS車載設備以及測速測距模塊的組合范圍見表2。

表2 CCS車載子系統(tǒng)部件組劃分

3.2 認證模塊選擇

根據(jù)2010/713/EU標準，TSI認證模塊共分為8個大類，為A.B.C.D.E.F.G.H，各類分別具有子系統(tǒng)認證(用S表示)或部件認證(用C表示)，如CA模塊為部件的內部生產(chǎn)控制認證，SB模塊為子系統(tǒng)型式檢驗認證[21]，全部認證模塊及搭配關系如圖4所示，認證過程中應同時滿足圖中虛線上下兩部分的要求，因此可以選擇一類認證，如H，或組合形式認證，如B+D。對于自主化CTCS-3級列控車載設備，作為CCS互聯(lián)互通的部件，制造商或申請者可以選擇以下部件組合方式進行認證。

圖4 TSI認證模塊劃分示意

(1)CB+CD：型式檢驗程序+生產(chǎn)質量保障程序。

(2)CB+CF：型式檢驗程序+產(chǎn)品驗證程序。

(3)CH：全面質量管理體系保障程序。

自主化CTCS-3級列控車載設備項目組充分考慮了產(chǎn)品的產(chǎn)量.成本等因素，認為該產(chǎn)品成本較高，產(chǎn)量適中，且安全性要求高，同時需要進行設計過程檢查和生產(chǎn)的質量保障能力審核，因此選用“CB+CD”模塊進行認證，即選用設計過程檢查和質量生產(chǎn)能力審核相結合的認證方式，這種方式更適用于車載設備甚至鐵路信號產(chǎn)品的TSI認證。根據(jù)2010/713/EC標準的描述，其中“CB”模塊的認證為對部件技術設計能力的驗證，“CD”模塊的認證是基于質量管理系統(tǒng)的產(chǎn)品設計和生產(chǎn)過程的驗證，2種認證模式的結合將更有力地證明列控車載設備的互聯(lián)互通技術水平。

3.3 認證基線選擇

由于CCS子系統(tǒng)不同技術標準版本均有效，且不同等級的CCS子系統(tǒng)適用的技術標準不同，需在認證過程中選擇認證基線。認證基線一共分3個等級，基線中所包含的各標準版本逐漸升高，基線3中各標準為現(xiàn)行最新版本標準。表3對部分標準在各基線中的版本進行了說明。

對比不同基線可以看出，各基線的系統(tǒng)需求規(guī)范SUBSET-026.安全需求規(guī)范SUBSET-091.測試規(guī)范SUBSET-076等標準的版本不同，且版本逐漸升高。說明不同基線對產(chǎn)品功能要求不同，基線等級越高，對產(chǎn)品的功能.性能.安全性的要求越高。為保證產(chǎn)品的持續(xù)有效性，自主化CTCS-3級列控車載設備選擇最新版本，即基線3進行認證。

4 評估程序及要求

從產(chǎn)品設計開發(fā)至最終準入市場運營，TSI認證需經(jīng)過公示認證機構(NoBo)和當?shù)貒野踩斁?NSA)2個過程的審核，具體流程如圖5所示。

圖5 TSI認證審核流程

首先由制造商或申請者向公示認證機構提出申請，NoBo根據(jù)TSI相關EN標準及其他EN標準進行評估，評估過程包括前期準備.啟動會議.預評估.文檔審計.型式檢驗.質量管理審核.系統(tǒng)測試等流程，最終發(fā)放TSI認證報告和證書。后續(xù)再次由制造商或申請者提出申請，并申明產(chǎn)品合理性，由業(yè)主所在的NSA根據(jù)NoBo審核結果和國家法規(guī)要求進行一致性審核，審核通過后產(chǎn)品可以獲得準入批準。

其中NoBo審核為主要過程，具體審核內容及描述見表4。

表4 TSI認證評估項目及內容概述

啟動會議應由項目經(jīng)理主持，用于明確認證實施細節(jié)，便于制定后期評估計劃。啟動會議后制造商或申請方應明確以下內容：識別現(xiàn)有設計與TSI標準要求的差異；明確認證所需文檔清單；識別下一步需要完成的關鍵性活動.過程及文檔；明確評估方與制造商或申請方，以及外包方的責任和工作內容劃分等。評估計劃應包含以下內容：預期實現(xiàn)的活動；工作團隊的人員職責和獨立性；認證所使用的方法；認證過程的時間安排；里程碑；預期輸出等。隨著認證工作的不斷推進和深入，評估計劃將根據(jù)實際需求進行更新和修改，以保證項目進度可控。

預評估過程主要內容為現(xiàn)有技術成果與歐盟互聯(lián)互通技術標準的差異性核對。自主化CTCS-3級列控車載設備TSI認證是在原有CTCS-3基礎上進行ETCS求證的過程，因此，首先應建立完整可靠的標準條款矩陣，用于在下一階段根據(jù)TSI標準條款進行證據(jù)落實。對于標準中未作出強制要求以及雙方對標準理解有偏差的條款，應在本階段進行解決。

質量生產(chǎn)能力審計，評估方將依據(jù)公司現(xiàn)有的質量體系要求進行檢查，包括文件檢查和產(chǎn)品生產(chǎn)工藝及流程評估，從而確保列控車載設備的質量活動已經(jīng)提供了充分執(zhí)行的證據(jù)。此外，制造過程所在的質量管理系統(tǒng)(QMS)也應滿足TSI技術規(guī)范的應用要求，且應經(jīng)過NoBo認證。制造商的所有要求.元素等內容應被文件化，應是一個系統(tǒng)的.有序的整體文件集。

測試見證是根據(jù)項目開發(fā)團隊已經(jīng)完成的情況，評估方在不同階段進行。通過觀察系統(tǒng)測試執(zhí)行過程和測試結果的正確性，評估方給出測試見證的結論。測試內容包括單元測試等白盒測試，以及系統(tǒng)集成測試等黑盒測試。在測試見證結束后，評估方將出具測試見證報告。根據(jù)需要，此報告可與現(xiàn)場審計報告合并。

此外，為滿足特定國家準入需求，CTCS-3級列控車載設備TSI認證同時會伴隨獨立安全評估(ISA)認證，ISA認證主要依據(jù)EN標準對產(chǎn)品進行，關注產(chǎn)品開發(fā)流程與標準的符合性，根據(jù)對應的SIL等級要求，采用不同安全開發(fā)方法及流程控制來確保系統(tǒng)的安全性。ISA認證中涉及安全性.可用性.可靠性的評估內容及認證成果可作為TSI認證的基礎，認證過程由評估方按照歐洲標準EN201265012850129進行評估并出具認證證書和評估報告。

當所有文檔已經(jīng)提交評估且所有問題均已關閉后，項目組將進行文檔發(fā)布及后續(xù)配置管理工作，評估公司同時發(fā)放相應評估報告及證書。

5 結論

中國自主化CTCS-3級列控車載設備是鐵路信號領域十分重要的高科技產(chǎn)品，也是中國高鐵自主化技術的標志性成果，其拓展海外市場意義重大。在目前形勢下，產(chǎn)品能夠取得TSI認證是進入歐洲乃至國際市場的必要條件。本文介紹了TSI標準體系和CCS子系統(tǒng)的結構框架，并以自主化CTCS-3級列控車載設備為例，詳細闡述了該產(chǎn)品與歐洲標準列控車載設備的需求差異及改進內容，并將歐盟鐵路互聯(lián)互通技術規(guī)范認證過程進行詳細解析，為未來其他鐵路產(chǎn)品進行TSI認證提供實例參考，符合我國“一帶一路”倡議實施和推進要求。下一步將繼續(xù)對中國自主化列控車載設備在國內模式下的功能進行針對性研究，為進一步適配具體國家法規(guī)要求提供技術支撐。