新一代列車運行監(jiān)控裝置的設計研究

侯大山 鄭理華

列車運行監(jiān)控裝置（LKJ）是安裝在機車、動車組上用于防止冒進信號和超速事故，輔助機車、動車組司機操縱列車的重要運行控制設備［1］。目前國內(nèi)約2.1萬輛機車和1 000多列運行時速為250 km的動車組列車裝備了LKJ，運行范圍十分廣泛［2-3］。隨著我國鐵路網(wǎng)的不斷完善，鐵路運營和管理技術(shù)不斷提升，對鐵路運營的高效性和安全性要求也不斷提高，原有LKJ的硬件和軟件架構(gòu)已經(jīng)很難通過擴充和修改來滿足日益復雜的鐵路運輸條件。為此，在充分考慮不同運行場景、不同線路條件和不同類型列車對列控系統(tǒng)的需求下，新一代LKJ系統(tǒng)在安全性和功能性方面采取了多種措施，進行了全面升級。

1 現(xiàn)狀分析

1.1 存在的問題

目前LKJ系統(tǒng)在應用過程中存在以下問題。

1）雖然考慮并滿足了列車運行安全的功能需求，但并未明確安全完整性等級要求。目前國內(nèi)CTCS-2、CTCS-3級列車運行控制相關(guān)系統(tǒng)均已采用安全計算機技術(shù)，應用三取二或二乘二取二安全冗余架構(gòu)［4-6］，其安全完整性等級達到了SIL4級。因此，新一代LKJ系統(tǒng)也應采用安全冗余架構(gòu)。

2）控車主要依靠LKJ數(shù)據(jù)完成，主要包括基礎(chǔ)數(shù)據(jù)和臨時限速數(shù)據(jù)。目前LKJ數(shù)據(jù)更新主要通過人工換裝，在時效性、安全性上難以保證，存在錯裝和漏裝的風險［7-10］。而且換裝過程涉及多個部門間的溝通協(xié)調(diào)，應急換裝時效性不高。

3）LKJ控車過程對司機的控制水平依賴較高。隨著鐵路網(wǎng)的不斷擴張和運力不斷增強，貨運機車、動車組列車、重載列車和中歐班列等不同類型的列車，在不同線路大范圍運行和周轉(zhuǎn)，存在著人工辦理進站時間長、列車平均速度低和對標停車不準等問題，影響鐵路運輸效率。

1.2 設計思路

針對以上問題，新一代LKJ系統(tǒng)主機單元采用二乘二取二安全平臺架構(gòu)，以滿足系統(tǒng)安全完整性等級SIL4級的要求；在確保安全、可靠的前提下，新一代LKJ系統(tǒng)通過無線通信網(wǎng)絡與地面服務器連接，并進行數(shù)據(jù)交互，實現(xiàn)數(shù)據(jù)遠程無線升級，解決現(xiàn)有數(shù)據(jù)換裝存在的問題；基于LKJ輔助駕駛系統(tǒng)，可輔助司機操縱列車的牽引與制動，司機負責監(jiān)視并確保列車的安全運行狀態(tài)。在保障列車運行安全、平穩(wěn)的條件下，實現(xiàn)列車正點、節(jié)能運行，減輕司機勞動強度。

2 系統(tǒng)架構(gòu)設計

新一代LKJ系統(tǒng)由主機單元、擴展單元、DMI單元、應答器信息接收單元、無線換裝地面系統(tǒng)、測速雷達、司法記錄器、速度傳感器、壓力傳感器和輔助駕駛單元等構(gòu)成，其系統(tǒng)架構(gòu)見圖1。

主機單元采用二乘二取二（D2V2）安全計算機，由2個二取二（2V2）單元組成，每個2V2獨立采集速度、管壓和工況等信息，分別計算結(jié)果并比較，最后輸出執(zhí)行命令。

擴展單元由熱備冗余和非冗余部分構(gòu)成，通過安全通信插件與地面系統(tǒng)通信，實現(xiàn)遠程數(shù)據(jù)換裝（揭示數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)、運行記錄）；通過接口模塊與輔助駕駛單元進行數(shù)據(jù)交互，在LKJ安全防護下，實現(xiàn)列車啟動、區(qū)間運行、停車及運行調(diào)整等輔助駕駛功能。擴展單元同時采集鳴笛、電喇叭等IO量信號、平面調(diào)車編碼信號，并傳輸給主機單元。

3 功能實現(xiàn)

3.1 二乘二取二安全平臺

新一代LKJ系統(tǒng)主機采用二乘二取二架構(gòu)，見圖2。

3.1.1 二乘設計

新一代LKJ系統(tǒng)的二乘邏輯遵循雙系熱備的設計原則；雙系的A系和B系是結(jié)構(gòu)和功能完全相同的2套運算和執(zhí)行單元，通過相互隔離的通信通道輸出計算結(jié)果，互不影響；考慮單套系統(tǒng)所能達到的所有功能需求，以及軟件維護的成本和工作量，安全邏輯單元同時滿足單系和雙系系統(tǒng)；安全驅(qū)動單元根據(jù)接收到的制動信息，輸出對應的驅(qū)動信號，控制安全執(zhí)行單元；安全執(zhí)行單元包括2路獨立的得電和失電制動輸出電路，系統(tǒng)的兩系都能各自輸出得電或失電緊急制動，但只有當兩系同時輸出得電或失電緊急制動時才有效；如果其中任意一系出現(xiàn)故障，則該系進入安全狀態(tài)并切換到另一系工作。

3.1.2 二取二設計

每一系又由2套完全相同的CPU構(gòu)成，只有當2個CPU的運算結(jié)果比較一致后，才對外輸出，否則不輸出并且將系統(tǒng)導向安全狀態(tài)。新一代LKJ系統(tǒng)的安全邏輯單元CPU之間能夠進行通信和時鐘同步，將采集到的信號進行處理、交互同步和邏輯運算，計算的結(jié)果比較一致后，安全邏輯單元將制動控制命令通過隔離的CAN通信方式，傳輸給安全驅(qū)動單元，安全驅(qū)動單元根據(jù)CAN總線接收到的信號數(shù)據(jù)進行同步處理，輸出邏輯電平信號給安全執(zhí)行單元。安全執(zhí)行單元通過硬件電路實現(xiàn)“二取二”功能，將邏輯電平信號轉(zhuǎn)換為繼電器動作，實現(xiàn)相應的控制功能。這種設計符合組合式故障-安全架構(gòu)。另外，安全檢測電路通過觸點回采信號，對安全執(zhí)行單元的執(zhí)行動作進行回讀和反饋，一旦其中任意1個CPU檢測到反饋的執(zhí)行動作與系統(tǒng)輸出指令不一致，則判斷不可信，輸出禁止狀態(tài)。此外，速度、管壓和工況采集以及CAN通信報文均為二取二設計，滿足信息采集和數(shù)據(jù)通信的二取二需求。

圖1 新一代LKJ系統(tǒng)架構(gòu)

圖2 新一代LKJ系統(tǒng)安全計算機平臺架構(gòu)

3.2 LKJ無線換裝系統(tǒng)

LKJ無線換裝系統(tǒng)由車載系統(tǒng)（包括LKJ主機、擴展單元安全通信插件）、無線通信網(wǎng)絡和地面系統(tǒng)構(gòu)成，其架構(gòu)見圖3。系統(tǒng)的關(guān)鍵節(jié)點都采用冗余設計，以提高換裝業(yè)務的可靠性。其中車載換裝設備為雙套冗余，實現(xiàn)故障態(tài)下主備機無縫切換；地面核心網(wǎng)絡節(jié)點采用雙套熱備冗余（防火墻、交換機），消除單點故障帶來的影響；內(nèi)、外網(wǎng)通信服務器及應用服務器等采用雙機熱備，實現(xiàn)操作系統(tǒng)或監(jiān)管軟件出現(xiàn)故障時，自動遷移至備機運行。

由于車地通信采用無線方式（公用移動網(wǎng)絡和WLAN相結(jié)合），為避免在數(shù)據(jù)無線換裝過程中可能出現(xiàn)數(shù)據(jù)被篡改、地面網(wǎng)絡和主機服務器被攻擊等安全問題，需要重點考慮數(shù)據(jù)安全設計和網(wǎng)絡安全防護設計。

3.2.1 數(shù)據(jù)安全設計

LKJ無線換裝系統(tǒng)車地通信在WLAN覆蓋區(qū)域，采用WLAN通道與地面服務器通信；在無WLAN覆蓋區(qū)域，通過授權(quán)的公用移動網(wǎng)絡（3G/4G）與地面服務器進行通信。車地之間利用IPSec VPN技術(shù)建立通信隧道，采用國密SM4算法對數(shù)據(jù)進行加密，實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性，并采用CRC48校驗機制和斷點續(xù)傳等技術(shù)，對LKJ車載數(shù)據(jù)進行校驗、解壓、緩存，防止LKJ數(shù)據(jù)完整性受到破壞。

3.2.2 網(wǎng)絡安全防護設計

LKJ無線換裝系統(tǒng)網(wǎng)絡安全防護由LKJ車載換裝設備、車地防火墻、內(nèi)網(wǎng)防火墻、堡壘機、入侵檢測系統(tǒng)、CA證書服務器，以及虛擬化平臺（包含內(nèi)網(wǎng)通信服務器、數(shù)據(jù)服務器、應用服務器、防病毒服務器、時鐘服務器、證書服務器）等組成。

鐵路內(nèi)網(wǎng)各計算機終端與地面系統(tǒng)服務器間信息交互，采用內(nèi)網(wǎng)防火墻進行防護，實現(xiàn)對內(nèi)網(wǎng)終端計算機網(wǎng)絡邊界的安全防護和訪問控制；地面系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)通信服務器間的信息交互，基于鐵路安全傳輸平臺進行隔離，采用CA證書授權(quán)，實時對車載進行身份鑒別，通過Http/Https加密方式進行信息內(nèi)外網(wǎng)交互，實現(xiàn)對鐵路內(nèi)外網(wǎng)網(wǎng)絡的訪問控制，以及LKJ車載數(shù)據(jù)文件和重要信息內(nèi)外透傳；在地面系統(tǒng)與無線通信網(wǎng)絡邊界處，部署車地防火墻，通過網(wǎng)絡控制、包過濾、協(xié)議深度解析等策略，實現(xiàn)對地面系統(tǒng)網(wǎng)絡邊界的實時防護。

虛擬化平臺采用超融合架構(gòu)，它作為LKJ無線數(shù)據(jù)換裝系統(tǒng)的核心，為應用服務器、數(shù)據(jù)服務器、通信服務器及信息安全防護產(chǎn)品，提供相應的運行環(huán)境。超融合架構(gòu)的計算、存儲和網(wǎng)絡安全均為虛擬化設計，由軟件控制，擺脫了傳統(tǒng)服務器、網(wǎng)絡和存儲孤立的架構(gòu)，CPU、內(nèi)存和硬盤統(tǒng)一管理和分配，提升LKJ數(shù)據(jù)接收、解析、處理、管理的效率，提供高可靠、高可用的應用服務。

圖3 LKJ無線換裝系統(tǒng)架構(gòu)

超融合架構(gòu)基本配置為4個節(jié)點，每個節(jié)點的LKJ數(shù)據(jù)采用3個副本實時存儲，當某一個節(jié)點故障時，仍然可以通過其他節(jié)點的數(shù)據(jù)繼續(xù)進行換裝業(yè)務，保障了業(yè)務連續(xù)性和安全性。網(wǎng)絡設備采用冗余的萬兆交換機管理超融合架構(gòu)服務器，可滿足網(wǎng)絡轉(zhuǎn)發(fā)靈活調(diào)度。虛擬化平臺可實現(xiàn)計算、存儲、網(wǎng)絡、安全一體化，資源動態(tài)調(diào)度，集群業(yè)務負載自動均衡，降低集群內(nèi)高負載的主機資源利用率，在滿足業(yè)務系統(tǒng)及信息安全管理系統(tǒng)運行的前提下，有效提升系統(tǒng)的可靠性和可用性。

3.3 LKJ輔助駕駛單元

LKJ輔助駕駛單元通過輔助司機操縱列車的牽引與制動，實現(xiàn)列車的運行控制功能，不改變列車原有安全控制邏輯和安全監(jiān)控設備防護功能。

3.3.1 輔助駕駛設計方案

輔助駕駛單元通過新一代LKJ系統(tǒng)擴展單元接口模塊與LKJ主機單元進行通信，接收LKJ主機發(fā)送的移動授權(quán)、測速測距、目標速度、目標距離、控制相關(guān)數(shù)據(jù)以及線路數(shù)據(jù)等信息，綜合列車運行時間和限速要求，進行乘務區(qū)段的行程在線規(guī)劃，采取相應的速度控制策略來控制列車運行速度及牽引制動狀態(tài)，在保障列車運行安全、平穩(wěn)的條件下，實現(xiàn)列車正點、節(jié)能運行。

3.3.2 設計原則

輔助駕駛單元在自動駕駛控車模式下，實時對列車運行數(shù)據(jù)進行回采，控制過程保證列車安全、平穩(wěn)，同時針對各種故障進行導向安全的防護控制?？傮w設計原則如下。

1）不越過LKJ限速曲線［11］。

2）不改變LKJ的安全控車邏輯。

3）列車輔助駕駛單元無法繼續(xù)進行自動駕駛控制時，導向安全側(cè)控制。

4）需人工接管而人工未接管時，導向安全側(cè)控制。

5）列車出現(xiàn)故障后，輔助駕駛單元需根據(jù)故障狀況，決定是否提示司機退出自動駕駛。

6）輔助駕駛單元在提示退出自動駕駛模式的同時，需要將列車導向安全運行。

3.3.3 功能實現(xiàn)

1）LKJ主機單元發(fā)送臨時限速運行揭示，輔助駕駛單元按照臨時限速要求進行行程規(guī)劃。

2）列車在分相無電區(qū)前，根據(jù)分相里程確定分相位置，控制列車在斷電前切除牽引力，按照不低于過分相最低速度的要求合理規(guī)劃行程。

3）根據(jù)LKJ主機單元的支線、側(cè)線信息，自動選擇相應數(shù)據(jù)進行行程規(guī)劃。

4）根據(jù)機車信號以及LKJ的控制模式進行行程規(guī)劃，控制列車以不超過側(cè)線限速要求的速度通過。

5）列車在半自閉區(qū)間運行時，可按照進站信號機關(guān)閉指導列車運行，在接收到進站信號機的機車信號后，按照信號和LKJ主機單元控制模式要求進行行程規(guī)劃。

6）列車在長大坡道運行時，可根據(jù)列車“安全、正點、平穩(wěn)、減負、節(jié)能”運行要求進行行程規(guī)劃。

4 結(jié)束語

針對目前LKJ系統(tǒng)存在的問題，新一代LKJ系統(tǒng)采用二乘二取二的安全計算機平臺進行開發(fā)，能夠滿足SIL4級安全完整性等級要求；采用LKJ無線換裝系統(tǒng)，解決了人工換裝數(shù)據(jù)在時效性、安全性上的問題；新一代LKJ輔助駕駛單元與LKJ主機相互配合，共同完成控車任務，可提高列車運行效率，降低列車能耗和司機勞動強度，實現(xiàn)列車正點、平穩(wěn)、節(jié)能、高效運行。