翟國銳，徐燕芬，代軍峰, 孟祥振

(1.中車長春軌道客車股份有限公司，吉林 長春 130062；2.中車青島四方車輛研究所有限公司，山東 青島 266031；3.北京市軌道交通建設管理有限公司, 北京 100000)

隨著經濟和社會發(fā)展，軌道交通裝備朝著智能化、集約化方向邁進，城軌車輛近年逐漸采用全自動無人駕駛模式控車[1-2]，同時以太網在提升列車維護效率、降低維護成本、列車智能化方面逐漸展現(xiàn)出獨特優(yōu)勢,列車網絡控制系統(tǒng)(TCMS)采用工業(yè)以太網成為趨勢。全自動無人駕駛城軌車輛TCMS設計需要滿足全自動無人駕駛項目對TCMS可靠性、可用性和安全性的要求，同時滿足車輛維護、智能化需求的數據落地要求。

1 網絡拓撲結構

全自動無人駕駛城軌車輛TCMS網絡按照IEC 61375-2-3：2015《鐵路電子設備 列車通信網絡(TCN) 第2-3部分：TCN通信簡介》、IEC 61375-3-4：2014《鐵路電子設備 列車通信網絡(TCN) 第3-4部分：以太網組成網絡(ECN)》規(guī)定的列車通信網絡組建，以北京地鐵17號線地鐵列車為例，其網絡拓撲結構見圖1。

如圖1所示，北京地鐵17號線地鐵列車由8輛車組成，同時布置以太網和MVB網絡。以太網布置1套完全冗余且相互獨立的A、B網絡，一個網絡故障后不會影響另外一個網絡。入網設備通過冗余端口或者冗余設備同時接入以太網的A、B網絡和MVB網絡。北京地鐵17號線各列車設備配置見表1。

ESW.以太網交換機；REP.中繼器；HMI.人機接口單元；CCU.中央控制單元；RIOM.遠程輸入輸出模塊；ERM.數據記錄單元；PIS.旅客信息系統(tǒng)；CZT.車載廣播臺；EDCU.車門控制單元；PA.廣播系統(tǒng)；FAS.煙火報警系統(tǒng)；TDS.走行部檢測系統(tǒng)；HVAC.空調系統(tǒng)；BMS.蓄電池管理系統(tǒng)；TIDS.障礙物檢測系統(tǒng)；ATC.信號；BCU/G、BCU/R.制動控制單元G閥、R閥；DCU/A.輔助控制單元；COMS.弓網監(jiān)測系統(tǒng)；CCU-D、DCU/M.牽引控制單元；TGMS.軌道檢測系統(tǒng)；LTE.長期演進；SGW.安全網關。

表1 北京地鐵17號線各列車設備配置 臺

根據表1可知，每輛車裝配2個百兆級全雙工的ESW，數據通信速率為100 Mbps，端口數量為16口或24口。每輛車均有REP，REP能夠實現(xiàn)MVB信號的再生和放大功能,延長MVB信號的傳輸距離。HMI分別位于2個Tc車，主要負責顯示設備狀態(tài)、指導司機操作、輸入人工干預指令以及向維修人員提供支持[3]。CCU分別位于2個Tc車，運行中互為熱備，正常情況下，主CCU負責對本單元車輛的控制、對車輛設備的監(jiān)視和診斷[4]。每輛車均有RIOM模塊，通過以太網接口和IO接口分別與車輛網絡和硬線相連，實現(xiàn)對110 V控制電路的主要信號、司機控制器模擬信號或數字信號、方向手柄等信號進行采集和控制。Tc1和Tc2車各有2個RIOM，用于重要信號的冗余采集。ERM位于Tc車，用于對列車主要設備的運行狀態(tài)和故障進行自動信息采集、記錄，并可通過便攜式測試單元(PTU)將數據讀出和顯示，同時可以將診斷數據發(fā)送至地面服務器。SGW位于Tc車，ERM通過SGW連接到LTE傳輸模塊，診斷數據經過SGW發(fā)送至地面服務器，防護列車控制網絡免受外部網絡的非法訪問和攻擊。

2 網絡拓撲分析

2.1 雙網冗余

全自動無人駕駛車輛要求TCMS具有高可靠性，針對此項要求，研制并采用了雙線性雙歸屬網絡拓撲。TCMS網絡由相互獨立的工業(yè)以太網A、B網絡組成，入網設備同時接入相互獨立的A、B網絡，任何一條網絡故障時，系統(tǒng)功能不降級，可提高以太網的可靠性。同時，車輛布置有MVB網絡，在以太網A、B網絡同時故障工況下，采用MVB網絡控車，可進一步保證系統(tǒng)可靠性，滿足全自動無人駕駛對TCMS網絡拓撲的要求。

2.2 交換機旁路功能

交換機支持軟硬件旁路功能，交換機斷電或發(fā)生軟件故障時不會影響列車級網絡通信。

2.3 重要設備冗余配置

TCMS中的重要設備如REP、HMI、CCU等均在網絡上按照冗余方式部署，當單個設備故障時，冗余設備會自動切換為主設備，保證車輛的正常運行。

2.4 列車關鍵I/O信號冗余

一些列車控制的關鍵I/O信號，例如司控器參考電壓和實際輸出電壓信號等，均由Tc車2個相互冗余的RIOM同時進行采集，見圖2。

2.5 MVB通信接口冗余

為提高列車運行的安全性和可靠性，MVB總線采用符合IEC 61375系列標準的MVB-EMD電纜，該電纜具有冗余結構，即存在線路A、線路B兩路通道(圖3)，入網設備通過連接器X1和X2接入MVB網絡，對關鍵區(qū)域提供部分冗余，即在MVB網絡中發(fā)生單點故障不會導致列車停止運行。

圖3 MVB通信接口冗余

3 主要部件及其功能

全自動無人駕駛車輛TCMS主要部件及其功能如下：

(1) 交換機。交換機在網絡中用于構建列車級以太網和車輛級以太網，具備通用3層交換機的功能、軟硬件旁路功能，并有簡易便捷的WEB配置管理工具。

(2) CCU。CCU負責對車輛進行控制，對車輛設備進行監(jiān)視和故障診斷，同時具備數據記錄儀功能，可以記錄列車狀態(tài)數據、故障數據，作為列車維修人員進行故障查詢的依據。

(3) RIOM。RIOM負責采集列車數字量和模擬量信號，同時依據CCU指令進行輸出控制。

(4) HMI。HMI支持多路高清視頻播放，可提供司機模式、乘務員模式、檢修模式等顯示工作模式，可以通過顯示屏發(fā)布部分控制操作指令，同時對各子系統(tǒng)工作狀態(tài)、故障信息、操作及維修提示信息進行集中顯示。

(5) ERM。ERM主要功能是通過以太網接口和MVB接口與列車網絡相連，對列車數據重新整理、解析、存儲，實現(xiàn)用戶對列車進行實時監(jiān)視、診斷、檢修的功能。

(6) SGW。SGW作為列車網絡與地面網絡的安全防火墻設備，具有報文過濾、狀態(tài)檢測、防攻擊、報文加解密等安全策略，用于保護列車控制及監(jiān)控系統(tǒng)網絡免受外部網絡非法訪問和攻擊。

(7) REP。REP滿足IEC 61375系列標準，是冗余管理的MVB-EMD中繼器，為列車網絡監(jiān)控系統(tǒng)的可靠性提供保障。REP可以通過數據幀識別數據傳輸方向，將數據幀從一個網段傳輸到另一個網段，并能偵測網絡上的信號沖突且進行相應的處理。REP能夠對MVB總線上傳輸的信號進行接收、放大和發(fā)送，用于增強通信質量，延長通信距離。每個REP包含2個相互冗余的REP模塊。

4 故障診斷

列車診斷系統(tǒng)是列車網絡控制系統(tǒng)的重要組成部分，當故障發(fā)生時，可以協(xié)助司機采取適當的操作，使檢修人員更容易地查找并解決故障。列車診斷系統(tǒng)硬件包括CCU、HMI、RIOM、ERM等。ERM接收各個子系統(tǒng)通過以太網傳輸的故障信息，按照故障分類進行存儲和報警提示。

4.1 HMI故障顯示與報警

在HMI上，不論是故障記錄還是故障顯示，每條純文本信息都配有故障代碼，根據不同的故障類別進行故障評估。故障類別和純文本信息顯示在HMI的界面上。此外，司機可以從HMI上獲得其他所必須實施的操作的指導說明。

對于重大故障(1級故障和2級故障)，HMI進行實時報警。警告標志和故障提示界面會自動出現(xiàn)在HMI上，其中1級故障排在前面，2級故障排在后面，這2類故障提示會一直在顯示屏上顯示，直到司機手動確認。故障被確認后將返回故障出現(xiàn)前的界面。3級故障不進行顯示報警，但是可以通過HMI查詢故障記錄。故障記錄總數為999條，司機可以隨時調取查看歷史故障記錄。

4.2 ERM數據記錄

ERM主要是通過列車網絡對列車主要設備的運行數據、故障等重要數據進行記錄，2臺ERM同時工作，維護人員可以從任意一臺ERM下載數據記錄。

5 網絡信息安全分析

TCMS網絡為控車網絡，屬于封閉式網絡，網絡黑客很難進行攻擊，但將車輛數據傳到地面數據中心需要通過車地無線通道實現(xiàn)。車地無線通道屬于非安全網絡，為保證控制網絡安全，在車輛網絡和無線通道之間布置防火墻設備[5]，隔絕車輛控制網絡和車地無線通信網絡，以保證控車網絡安全。

6 控車安全

全自動無人駕駛城軌車輛對列車網絡控制系統(tǒng)有安全等級要求[6]。為此，研制了滿足SIL2等級的列車網絡控制系統(tǒng)NG2000網絡平臺。NG2000網絡平臺具備安全通信功能、安全采集功能、安全輸出功能、系統(tǒng)自檢功能和邏輯運算功能。當安全功能失效后，故障導向安全側，保證系統(tǒng)安全。

7 結束語

本文針對全自動無人駕駛城軌車輛對列車網絡控制系統(tǒng)安全性、可靠性和可用性要求，采用滿足SIL2安全等級的NG2000網絡平臺，可保證系統(tǒng)安全；網絡拓撲采用以太網+MVB網絡冗余拓撲結構，以太網和MVB網完全獨立，互不影響，任一模式均能夠滿足控車要求；以太網采用雙網雙歸屬拓撲結構，交換機之間采用鏈路聚合技術，實現(xiàn)了網絡拓撲冗余、帶寬翻倍和維護、控制數據的多網融合；入網設備通過雙網口接入以太網雙網，單一網口故障不會影響列車功能；配置安全網關，保證了車地通信的信息安全，滿足全自動無人駕駛城軌車輛對智能化、信息安全的要求。