城市轨道交通轨旁安全计算机平台设计

迟宝全

（上海富欣智能交通控制有限公司，上海 201203）

近年来，城市轨道交通领域在基于通信的列车自动控制（CBTC，Communication Based Train Control System）系统的基础上出现了一些新的发展方向，例如互联互通、全自动无人驾驶、列车自主运行系统（TACS, Train Autonomous Circumambulate System）[1-3]，以及多种信号制式，例如有轨电车、自动旅客捷运系统等。相应地，多种信号系统对于安全计算机平台也提出了新的技术需求。本文所介绍的安全计算机平台，主要考虑CBTC、TACS、多制式信号系统及全电子目标控制器等列控系统的通用技术需求，是在满足安全性和可靠性的前提下自主研发的通用轨旁安全计算机平台。

1 安全计算机平台的总体架构

1.1 架构说明

该通用安全计算机平台的总体架构，如图1 所示。

（1）诊断维护单元：实现通用平台的诊断维护和故障日志记录等功能，安全等级为SIL0。

（2）通信管理单元：实现通用平台的安全协议组包、解析、内部和外部安全通信等功能，安全等级为SIL4。

（3）安全计算单元：实现通用平台的安全逻辑运算和内部通信等功能，安全等级为SIL4。

（4）电子执行单元：实现通用平台对于轨旁信号设备（如信号机、道岔、轨道电路和应答器等）直接控制管理和信息采集功能，安全等级为SIL4。

（5）离散I/O 单元：实现通用平台对于外部继电器的驱动和采集处理等功能，安全等级为SIL4。

图1 通用轨旁安全计算机平台总体架构

1.2 架构特点

（1）完全基于以太网架构实现内部通信，以太网的通用性为该架构提供了极好的可扩展性和可维护性，有利于实现产品的灵活配置和模块化部署，可适用于更多应用场景。

（2）所有SIL4 等级安全单元均为2 乘2 取2冗余安全结构，采用完全相同的硬件核心板卡，核心板卡统一的方式降低了各种列控产品的开发认证和长期维护成本，提高了平台的通用性。

（3）上述各安全单元采用完全相同的平台软件架构，每个安全单元均实现通用功能。主要包括初始化上电自检、输入输出管理、系内同步管理、安全表决管理、系间同步切换管理、安全通信管理、在线自检管理、故障管理、诊断维护管理、周期调度与监控管理、时钟管理和用户接口管理。通用轨旁安全计算机平台的分层结构，如图2 所示。

2 安全计算机平台的原理与实现

2.1 安全原理

该通用安全计算机平台采用分布式体系架构，每个安全单元均采用组合故障安全和反应故障安全作为基本故障安全设计原则，由于上述所有安全单元的核心板卡完全相同，下面以离散I/O 单元为例，简述该平台的系统安全原理，如图3 所示。

图2 通用轨旁安全计算机平台分层结构

图3 通用轨旁安全计算机平台安全原理

该平台的核心板卡采用2 取2 结构，2 个CPU之间通过以太网实现任务级同步，数据交互和安全表决，每个周期2 个CPU 也会分别执行在线自检，根据安全表决和自检结果把动态生命信号发送给安全电源控制板VPS，一旦发生表决失败或者自检故障，VPS 会立即切断对外部继电器的离散输出电源，从而实现故障导向安全。其它几个安全单元的安全原理完全相同，只是在具体实现方面略有差异：对于没有离散输入输出通道的安全单元，同样是根据安全表决和自检结果，把动态生命信号发送给双通道差异化固件看门狗，一旦发生表决失败或者自检故障，由固件看门狗通过切断以太网PHY 芯片电源或者CAN 控制器芯片电源并复位CPU 的方式，切断对外输出，实现故障导向安全[4]。

2.2 技术实现

在具体的安全技术实现方面，该平台的总体安全策略是采用IEC61508 和EN50126、128、129 推荐的标准化技术方案，主要包括[5-9]：

（1）综合采用冗余检查、差异化、在线自检、硬件隔离和编码防护，实时回检等多种安全技术原则，防范各种系统性故障和随机性故障；

（2）所有安全组件必须通过最高等级安全认证，包括OS、BSP、网络协议栈、编译器、硬件、软件和固件等；

（3）采用充分的在线自检技术，在线自检包括上电自检和周期自检，检查的范围包括系统完整性、CPU 指令集、CPU 寄存器、RAM、ECC、任务堆栈、关键内存区、时钟、电源、温度、任务完整性和输入输出通道等；

（4）采用适当的差异化技术，差异化范围包括运行时间差异化，数据空间差异化，局部编码差异化和双通道差异化动态窗式看门狗等。

3 安全计算机平台的关键技术

3.1 基于安全以太网总线的安全自律技术

该平台由高度可重用的抽象化外设单元和标准化的控制模块组成，各模块功能独立，所有模块和外设单元都是基于以太网安全总线实现信息交互，需要满足最高安全等级SIL4 要求。在该系统中，通信协议完全基于EN50159 标准进行开发，物理层采用100 Mbit 高速以太网，可实现双网冗余管理。在模块的通信管理方面，可根据设备的类型、ID 灵活分配IP 实现快速组网和实时通信。

3.2 完整的在线自检和双通道故障管理技术

依据欧洲铁路安全标准，系统需要在启动自检和正常工作中，对系统部件和功能进行实时的在线自检，包括电源、时钟、温度、CPU 和 RAM 等。故障管理采用了分散自律的故障管理策略，各安全单元拥有独立的故障管理模块，该故障管理模块由完全差异化的故障报警通道和输出控制机制组成，可以检测模块范围内的安全隐患，以最短安全反应时间使系统导向安全侧，双通道差异化运行监控和故障管理技术原理，如图4 所示。上述完善的在线自检及故障管理均采用了自主专利技术并成功应用于工程项目。

图4 双通道差异化运行监控和故障管理技术原理

3.3 基于可靠通信的双系切换技术

传统的轨旁系统通常采用继电器电路实现双系切换，带来的问题是切换时间长，切换继电器电路也会占用一定的设备空间，不利于轨旁系统的小型化和全电子化。该平台采用基于可靠通信的双系切换技术，可以有效满足该需求。为防止双系断通信引起“双主”问题，2 乘2 取2 的双系除了以太网通信外，还需要增加2 条点对点高可靠性冗余通信链路，具体实现可以通过背板总线等多种方式。通过双系之间的高速通信，可以更加高效地实现双系抢主和主备切换逻辑。

4 结束语

本文介绍的安全计算机平台以满足城市轨道交通对于轨旁安全计算机平台的通用技术需求为目标。目前，该平台已经通过独立第三方SIL4 等级安全认证，并成功应用于上海浦东机场捷运项目的联锁和区域控制器子系统，苏州、武汉等有轨电车项目的道岔控制器子系统，青岛TACS 国家示范工程项目的目标控制器子系统等。实际运行情况表明，该平台完全符合安全性、可靠性和多种信号系统通用性的技术要求。该平台将通过适当的扩展和完善，形成在市域、城际等信号控制领域更广泛的应用。