計算機聯(lián)鎖安全接口防護技術的運用和研究

張利峰

計算機聯(lián)鎖作為保障鐵路安全行車的核心控制裝備，目前已廣泛應用于我國的高速鐵路和普速鐵路。隨著我國鐵路信號控制系統(tǒng)的快速發(fā)展，作為鐵路信號控制系統(tǒng)中的基礎設備，計算機聯(lián)鎖接口功能也逐步增加。從早期普速鐵路的繼電器控制接口，到目前高速鐵路CTCS-2 和CTCS-3 級列控系統(tǒng)中與列控中心、無線閉塞中心，以及相鄰計算機聯(lián)鎖的安全通信接口，與調(diào)度集中系統(tǒng)、無線調(diào)車機車信號和監(jiān)控系統(tǒng)、集中監(jiān)測系統(tǒng)的串行通信接口，接口形式和接口數(shù)量均呈現(xiàn)多元化發(fā)展。隨之接口的安全性和可靠性便成為制約鐵路信號控制系統(tǒng)安全和可靠運用的重要因素，接口的安全防護和保障技術也成為計算機聯(lián)鎖設備研發(fā)的重點內(nèi)容。

1 計算機聯(lián)鎖設備安全接口

作為鐵路信號控制系統(tǒng)中的安全設備，計算機聯(lián)鎖的軟件和硬件設計均遵循故障-安全原則，且已達到鐵路信號設備最高的安全等級SIL4 級，但聯(lián)鎖設備的高安全性依賴于外部接口輸入信息的安全?；诎踩δ艿挠绊懛治?，計算機聯(lián)鎖設備中與安全相關的接口包括二類：一類是通過繼電器與軌旁信號設備或結(jié)合電路的接口；另一類是通過信號安全數(shù)據(jù)網(wǎng)與外部其他安全相關信號設備的通信接口［1］，具體范圍如圖1 所示。

2 接口安全防護

2.1 繼電器接口防護

在我國鐵路信號控制系統(tǒng)中，計算機聯(lián)鎖與車站內(nèi)軌旁信號設備接口一般采用繼電接口電路的方式，繼電接口電路通常由若干AX 系列安全型繼電器構成，并按照故障-安全的原則設計；計算機聯(lián)鎖通過驅(qū)動和采集接口電路中相關繼電器的動作，完成與外部接口設備的安全控制［2］。計算機聯(lián)鎖設備中配置有用于繼電器狀態(tài)采集的采集板和用于繼電器動作的輸出板，采集板和輸出板分別設計有安全的采集和驅(qū)動電路，它們雖然對于繼電器采集和驅(qū)動回路的斷線故障和電磁干擾均有良好的防護作用，但對于采集和驅(qū)動回路中可能發(fā)生的單點混線故障無有效的防護措施［3］。因此，為提高計算機聯(lián)鎖設備運用的安全性，需采取技術措施對繼電器的采集和驅(qū)動回路接口進行防護。

圖1 計算機聯(lián)鎖設備安全接口范圍

2.1.1 繼電器采集接口防護

計算機聯(lián)鎖通過采集繼電器或繼電器組合的接點狀態(tài)，獲取軌旁信號設備或結(jié)合電路設備的狀態(tài)。繼電器接點狀態(tài)采集的原理，是聯(lián)鎖設備把系統(tǒng)內(nèi)配置的DC 24V 正電（以下簡稱IOZ），通過線纜配置到組合架中被采集繼電器的中接點，在被采集繼電器吸起時，IOZ 通過繼電器前接點返回到計算機聯(lián)鎖采集板對應的采集通道，由采集板內(nèi)的安全采集電路，根據(jù)采集的電信號，判斷繼電器接點是處于閉合還是斷開狀態(tài)。

計算機聯(lián)鎖設備內(nèi)所有的采集通道通常共用一個DC24V 電源，如果任意2 個采集通道的線纜出現(xiàn)單點混線，在其中一個采集通道繼電器吸起時，另一個采集通道也會同時采集到IOZ，會導致聯(lián)鎖設備獲取到錯誤的繼電器接點狀態(tài)。例如計算機聯(lián)鎖設備采集的軌道區(qū)段繼電器（GJ），道岔表示繼電器（DBJ，F(xiàn)BJ）等，在出現(xiàn)采集線纜單點混線時，就可能會導致處于占用狀態(tài)區(qū)段的GJ 采集狀態(tài)由落下改為吸起，處于四開狀態(tài)道岔的DBJ 或FBJ 采集狀態(tài)由落下改為吸起，聯(lián)鎖設備獲取的區(qū)段狀態(tài)就會錯誤地由占用變?yōu)榭臻e，道岔位置會錯誤地由四開變?yōu)槎ㄎ换蚍次?，進而導致進路信號錯誤開放或進路錯誤解鎖等安全風險。

因此，為防止出現(xiàn)上述單點混線故障，在繼電器的采集電路中普遍采用了前后接點或雙接點采集的防護技術，通過2 個接點的采集狀態(tài)，確定繼電器的最終采集狀態(tài)，可以有效避免線纜單點混線引起的繼電器狀態(tài)采集錯誤，保障繼電器接口采集信息安全。軌道區(qū)段繼電器（GJ）前后接點采集原理見圖2；道岔表示電路采用單獨增加DFBH（DBJ 和FBJ 后接點的串聯(lián)）采集的原理見圖3。

圖2 區(qū)段GJ 前后接點采集示意圖

圖3 道岔增加DFBH 采集示意圖

通過采用上述防護技術，計算機聯(lián)鎖在采集到軌道區(qū)段繼電器GJ 和道岔表示繼電器DBJ/FBJ 接點狀態(tài)時，按照表1、表2 的原則確定區(qū)段狀態(tài)和道岔狀態(tài)。

表1 軌道區(qū)段狀態(tài)判定原則

表2 道岔位置判定原則

2.1.2 繼電器驅(qū)動接口防護

計算機聯(lián)鎖通過驅(qū)動接口電路的相關繼電器吸起或落下，實現(xiàn)對軌旁信號設備和結(jié)合電路的驅(qū)動控制。被控繼電器由輸出板上的安全控制電路輸出DC 24V 驅(qū)動，各輸出通道驅(qū)動電源通常采用聯(lián)鎖系統(tǒng)配置的DC 24V 電源，如果每個驅(qū)動通道只輸出DC 24V 正電（＋），則在不同輸出通道線纜發(fā)生單點混線后，會導致一個通道有輸出DV 24V 正電時，另一個通道也會錯誤產(chǎn)生DV 24V 正電，進而導致被控繼電器錯誤吸起。因此，為防止驅(qū)動回路單點混線造成的安全風險，計算機聯(lián)鎖的繼電器輸出回路宜采用“雙斷”輸出設計［4］，即輸出板每一路輸出通道同時輸出控制繼電器動作的正電（＋）和負電（－），在發(fā)生單點混線故障時，在一個通道驅(qū)動繼電器吸起時，由于被混電的輸出通道無法形成有效控制回路，另一路被控繼電器不會錯誤驅(qū)動吸起，保障繼電器驅(qū)動接口的安全。繼電器雙斷驅(qū)動原理見圖4。

圖4 繼電器雙斷驅(qū)動示意圖

2.2 安全通信接口防護

在高速鐵路CTCS-2 和CTCS-3 列控系統(tǒng)中，計算機聯(lián)鎖（CBI）通過信號安全數(shù)據(jù)網(wǎng)，與列控中心（TCC） 和無線閉塞中心（RBC） 以及相鄰計算機聯(lián)鎖，實時交互安全相關控制信息，向TCC 和RBC 實時發(fā)送列車進路信息，區(qū)段、道岔及信號機等軌旁信號設備的狀態(tài)信息；接收TCC發(fā)送的區(qū)間閉塞區(qū)段信息、區(qū)間方向信息、異物侵限災害信息，同時接收鄰站計算機聯(lián)鎖發(fā)送的信號機和軌道區(qū)段狀態(tài)等信息。如果接口信息在通信傳輸過程中發(fā)生錯誤，計算機聯(lián)鎖在未采取防護措施情況下使用了錯誤的接口信息，會導致聯(lián)鎖控制功能失效，造成極其嚴重的后果。

2.2.1 安全通信協(xié)議防護

信號安全數(shù)據(jù)網(wǎng)絡的傳輸通道和傳輸設備為非置信傳輸系統(tǒng)，CBI 與TCC、RBC 和相鄰CBI 的傳輸信息均為安全至關信息，信息數(shù)據(jù)在傳輸過程中，會遇到各類環(huán)境干擾和傳輸路徑中各類傳輸設備和線路的故障，需要采用安全通信協(xié)議保障接口信息傳輸?shù)恼鎸嵭?、完整性、實時性和有序性。根據(jù)《GB 24339.1-2009 軌道交通 通信、信號和處理系統(tǒng)第1 部分：封閉式傳輸系統(tǒng)中的安全相關通信》［5］和《GB 24339.2-2009 軌道交通 通信、信號和處理系統(tǒng)第2 部分：開放式傳輸系統(tǒng)中的安全相關通信》［6］，CBI 與TCC、RBC 和相鄰CBI 的安全通信需要對以下7 種通信的威脅進行防護：信息重復、信息刪除、信息插入、信息重排序、信息損壞、信息延時和信息偽裝。

鐵路信號安全通信Ⅰ型協(xié)議（RSSP-Ⅰ） 可以對除信息偽裝外的6 種通信接口威脅進行有效防護［7］，如表3 所示；鐵路信號安全通信Ⅱ型協(xié)議（RSSP-Ⅱ）可以對7 種通信接口威脅進行有效防護［8］，如表4 所示。根據(jù)《TB/T 3027-2015 鐵路車站計算機聯(lián)鎖技術條件》的規(guī)定，CBI 與TCC以及與相鄰CBI 之間安全通信協(xié)議采用RSSP-Ⅰ協(xié)議， CBI 與RBC 間的安全通信協(xié)議采用RSSP-Ⅱ協(xié)議。

計算機聯(lián)鎖與外部信號系統(tǒng)間的數(shù)據(jù)信息在傳輸過程中發(fā)生通信故障，接收的數(shù)據(jù)信息無法通過相應安全通信協(xié)議的校驗、或超過規(guī)定的時間不能收到時，相關數(shù)據(jù)信息按照故障-安全的原則置為安全態(tài)，保證計算機聯(lián)鎖的控制輸出導向安全側(cè)，具體數(shù)據(jù)的處理要求，在計算機聯(lián)鎖與相關設備的接口標準和規(guī)范中均有明確的規(guī)定。

表3 RSSP-Ⅰ協(xié)議防御矩陣

表4 RSSP-Ⅱ協(xié)議防御矩陣

2.2.2 應用層協(xié)議防護

計算機聯(lián)鎖與TCC、RBC 和相鄰計算機聯(lián)鎖通信的應用層協(xié)議中，規(guī)定有雙方通信的接口協(xié)議版本號和配置數(shù)據(jù)版本號［9］。接口協(xié)議版本號，對應的是通信雙方應用層數(shù)據(jù)格式和數(shù)據(jù)內(nèi)容的版本；配置數(shù)據(jù)版本號，對應的是具體車站配置數(shù)據(jù)的實際設備數(shù)量和排序的版本。在具體的工程項目中，通信雙方約定本站的接口協(xié)議版本和配置數(shù)據(jù)版本號，并在軟件中進行配置，在雙方初始建立通信時，按照約定的版本號進行接口協(xié)議和配置數(shù)據(jù)版本號的校驗。如果檢測到任一版本號與約定的版本號不一致，立即把接收數(shù)據(jù)信息置為安全態(tài)，保證接口雙方不會因錯誤的使用不同協(xié)議版本數(shù)據(jù)，而造成對接口數(shù)據(jù)信息的解析錯誤。

為進一步加強計算機聯(lián)鎖與RBC 間接口信息安全性的防護，在國鐵集團企業(yè)標準《Q/CR 621.1-2018 CTCS-3 級列控系統(tǒng)無線閉塞中心（RBC）接口規(guī)范 第1 部分：RBC-CBI 接口》的應用層協(xié)議中提出，在計算機聯(lián)鎖發(fā)送RBC 的數(shù)據(jù)信息中，增加了道岔狀態(tài)信息和站內(nèi)列車信號狀態(tài)信息［10］。RBC 在接收到計算機聯(lián)鎖發(fā)送的列車進路信息后，對列車進路信息、道岔狀態(tài)信息和列車信號信息的一致性進行校驗，如果發(fā)現(xiàn)存在不一致，RBC 立即將接收的聯(lián)鎖列車進路信息導向安全狀態(tài)，保障高鐵列車的行車安全。

3 結(jié)束語

針對繼電器驅(qū)采接口和安全通信接口的防護措施，目前已經(jīng)在計算機聯(lián)鎖設備上廣泛應用，有效防護了現(xiàn)場運用過程中出現(xiàn)的各類接口故障，保障了計算機聯(lián)鎖設備在普速和高速鐵路信號系統(tǒng)中的安全可靠運用。目前相關的接口標準和規(guī)范中，對于計算機聯(lián)鎖設備可以連接的最大接口數(shù)量沒有明確定義，導致在實際運用中，對計算機聯(lián)鎖設備的接口需求不斷增加，達到甚至超過了計算機聯(lián)鎖設備接口性能的極限，對計算機聯(lián)鎖設備的可靠穩(wěn)定運用造成了一定的影響，建議后續(xù)相關標準修訂時，考慮增加計算機聯(lián)鎖設備接口能力邊界的規(guī)定。