單CPU架構(gòu)聯(lián)鎖對外安全通信改造方案

卡斯柯信號有限公司 喻 焰 許明旺 謝千野

采用一種單CPU架構(gòu)系統(tǒng)的對外安全通信設(shè)計思路，在不改變硬件的情況下，使VPI型計算機聯(lián)鎖系統(tǒng)滿足RSSP-I通信協(xié)議的安全要求，適應(yīng)北京地鐵5號線大修工程中聯(lián)鎖外部安全接口變化。

1 改造背景

作為北京南北方向大動脈的地鐵5號線，近年來運力不斷提高、密度不斷加大。然而負責ATC（列車自動控制）功能的TCOM系統(tǒng)為單系配置，板卡不具備熱更換能力，一旦出現(xiàn)故障，將直接影響地鐵高強度的安全運營。由于TCOM系統(tǒng)的供貨商美國西屋公司已退出中國軌道交通市場，經(jīng)過多方研究論證，決定在5號線大修工程期間，采用國產(chǎn)低頻發(fā)碼設(shè)備LFCT系統(tǒng)替換TCOM系統(tǒng)，實現(xiàn)熱冗余能力。

鑒于本次大修中的ATC設(shè)備變更，提供聯(lián)鎖功能的VPI系統(tǒng)必須改造原有的TCOM軌道發(fā)碼接口為新的LFCT接口。對于聯(lián)鎖系統(tǒng)來說，主要難點：一是原VPI-TCOM通信協(xié)議需采用新協(xié)議實現(xiàn)VPILFCT通信，并提升傳輸安全性；二是在硬件不改變的前提下，VPI系統(tǒng)對外安全通信接口的改造不能影響原有聯(lián)鎖功能和性能。

2 設(shè)計優(yōu)化

軌道交通信號行業(yè)的安全系統(tǒng)基本采用多重冗余設(shè)計，以聯(lián)鎖系統(tǒng)為例，同一個車站的聯(lián)鎖，至少是雙機熱備系統(tǒng)，主備系皆有很多外部安全接口需求，安全系統(tǒng)之間的通信常采用行業(yè)內(nèi)公認的幾種安全協(xié)議，如RSSP-I協(xié)議等。

對于外部功能的拓展，傳統(tǒng)的做法是為系統(tǒng)直連新的安全接口，但這樣做會增加系統(tǒng)處理上的負擔，比如運算能力，周期時序等問題。另外，隨意的增加接口對系統(tǒng)的安全獨立性問題也會產(chǎn)生挑戰(zhàn)。

為了克服上述缺點，更有效的方法是在安全系統(tǒng)中增加處理對外通信的專用接口CPU模塊。通過接口CPU來隔離邏輯運算CPU與外界的直接聯(lián)系，保證邏輯運算CPU自身的運算安全穩(wěn)定。接口CPU可以與各種通信協(xié)議類型的外部設(shè)備進行通信，然后再通過算法轉(zhuǎn)化為邏輯運算CPU認可的統(tǒng)一協(xié)議，邏輯運算CPU幾乎不用關(guān)心對外新增的通信協(xié)議，提升了整個系統(tǒng)的擴展性。

如圖1所示，接口CPU作為系統(tǒng)A的一部分，與外界其他系統(tǒng)B1、B2…..Bn鏈接，可采用網(wǎng)絡(luò)、串口、CAN口等物理連接方式。

圖1 一種優(yōu)化的單CPU安全通信架構(gòu)設(shè)計

接口CPU負責按照相應(yīng)的通道要求Cn和安全協(xié)議要求Pn，同外部安全系統(tǒng)Bn進行安全通信，來自于Bn的安全數(shù)據(jù)按照接收幀的格式存儲在接口CPU中，同時接口CPU會把發(fā)送幀傳輸給Bn系統(tǒng)。假定B1和B2是同一外部系統(tǒng)的組合，接口CPU還會對B1和B2傳輸過來的安全數(shù)據(jù)進行預(yù)處理操作，比如采用合幀的方式，以減少系統(tǒng)A運算CPU的邏輯運算壓力。

接口CPU對外部系統(tǒng)的數(shù)據(jù)進行算法轉(zhuǎn)化，添加時間戳等必要的防護，變?yōu)橄到y(tǒng)A運算CPU認可的單一通信格式數(shù)據(jù)，簡化系統(tǒng)A運算CPU的復(fù)雜度，使得系統(tǒng)A運算CPU的大部分能力保留在既有功能的運算執(zhí)行上。

3 改造方案

在北京地鐵5號線的軌旁信號系統(tǒng)中，CI（計算機聯(lián)鎖）通過高速串口向地面自動列車控制系統(tǒng)ATC發(fā)送軌道電路編碼信息，該信息與列車速度、運行區(qū)段等被車載設(shè)備共同組成“目標-距離”控車模式。聯(lián)鎖系統(tǒng)的軌道發(fā)碼接口，作為該信息的承載通路，須滿足高安全、高可靠的傳輸要求。

北京地鐵五號線原CI-ATC架構(gòu)如圖2所示，VPI系統(tǒng)AB雙機的VCOM通信板與單系配置的TCOM系統(tǒng)CCM通信板之間串口直連，采用HDLC（高級數(shù)據(jù)鏈路控制）通信協(xié)議保障數(shù)據(jù)傳輸。當TCOM為單系配置，一旦故障，VPI系統(tǒng)將直接丟失對軌道電路的發(fā)碼能力，該結(jié)構(gòu)缺乏冗余性。

圖2 VPI-TCOM結(jié)構(gòu)簡圖

HDLC協(xié)議的使用限制在于沒有指定字段來標識已封裝的上一層協(xié)議，每個廠商的HDLC格式都是私有不兼容的，鑒于主導該接口的協(xié)議條件需要考慮替換，而且VCOM與CPUPD通路上的數(shù)據(jù)為裸數(shù)據(jù)，傳輸過程中碼位跳變防護的能力不足，安全性不高。

改造后的新CI-ATC架構(gòu)如圖3所示，VPI系統(tǒng)AB雙機的VCOM通信板與LFCT系統(tǒng)的AB雙機串口交叉互連，采用RSSP-I（鐵路信號安全協(xié)議-I型）通信協(xié)議保障數(shù)據(jù)傳輸?shù)陌踩?。由于VPI和LFCT系統(tǒng)皆為雙機熱備結(jié)構(gòu)，任何一個系統(tǒng)的單系故障，都不影響VPI對軌道電路的發(fā)碼能力。

圖3 VPI-LFCT結(jié)構(gòu)簡圖

RSSP-I通信協(xié)議作為軌道交通行業(yè)公認的封閉式網(wǎng)絡(luò)安全協(xié)議，提供了完善的安全通信保護機制。VPI系統(tǒng)在采用該協(xié)議時，比較簡單的設(shè)計是通過CPUPD運算板直接與LFCT雙系進行串口通信。但CPUPD板本身要處理繼電器采集數(shù)據(jù)、鄰站CI信息等聯(lián)鎖核心邏輯，這種設(shè)計會增加CPUPD板的運算負荷，另外隨意的增加外部接口對既有系統(tǒng)的安全獨立性也帶來了挑戰(zhàn)。

為了克服上述缺點，保持既有聯(lián)鎖性能和安全等級不下降，本次改造，VPI系統(tǒng)采用上述單CPU架構(gòu)的對外安全通信設(shè)計思路，VCOM通信板負責與LFCT系統(tǒng)通信的RSSP-I協(xié)議數(shù)據(jù)收發(fā)工作，然后通過算法轉(zhuǎn)換，使RSSP-I協(xié)議數(shù)據(jù)變?yōu)镃PUPD板既有的FSFB2（第二代故障安全總線）協(xié)議數(shù)據(jù)，最后在CPUPD端完成軌道編碼相關(guān)的邏輯處理。該設(shè)計使VCOM板隔離了CPUPD板與外界的直接聯(lián)系，VCOM板可隨意拓展各種通信協(xié)議，而CPUPD板只需關(guān)注自身認可的某一種通信協(xié)議，松耦合的設(shè)計保持了運算單元的安全獨立性，也降低了運算單元的負荷。

結(jié)束語：在不改變VPI系統(tǒng)硬件的前提下，對系統(tǒng)內(nèi)部結(jié)構(gòu)優(yōu)化設(shè)計，最小化改造成本。通過算法轉(zhuǎn)換，數(shù)據(jù)流全程強編碼防護等手段，使VCOM通信板與CPUPD運算板組合實現(xiàn)對外安全通信功能。經(jīng)必維質(zhì)量技術(shù)服務(wù)（意大利）有限公司第三方安全評估，該方案獲得了SIL4認證，為后續(xù)工程實踐提供了理論支持。

VPI與LFCT接口研發(fā)成功后，大修工程于2017年4月開始實施，北京地鐵5號線正線10個車站和2個試車線的TCOM系統(tǒng)逐步完成了國產(chǎn)化替代。經(jīng)過2年多的正式運行，VPI聯(lián)鎖系統(tǒng)功能穩(wěn)定、通信正常，與LFCT系統(tǒng)配合，一起降低了5號線運營壓力，為北京城市軌道交通提升了經(jīng)濟價值和社會效益。