卡斯柯信號有限公司 喻 焰 許明旺 謝千野
采用一種單CPU架構(gòu)系統(tǒng)的對外安全通信設(shè)計思路,在不改變硬件的情況下,使VPI型計算機聯(lián)鎖系統(tǒng)滿足RSSP-I通信協(xié)議的安全要求,適應(yīng)北京地鐵5號線大修工程中聯(lián)鎖外部安全接口變化。
作為北京南北方向大動脈的地鐵5號線,近年來運力不斷提高、密度不斷加大。然而負責ATC(列車自動控制)功能的TCOM系統(tǒng)為單系配置,板卡不具備熱更換能力,一旦出現(xiàn)故障,將直接影響地鐵高強度的安全運營。由于TCOM系統(tǒng)的供貨商美國西屋公司已退出中國軌道交通市場,經(jīng)過多方研究論證,決定在5號線大修工程期間,采用國產(chǎn)低頻發(fā)碼設(shè)備LFCT系統(tǒng)替換TCOM系統(tǒng),實現(xiàn)熱冗余能力。
鑒于本次大修中的ATC設(shè)備變更,提供聯(lián)鎖功能的VPI系統(tǒng)必須改造原有的TCOM軌道發(fā)碼接口為新的LFCT接口。對于聯(lián)鎖系統(tǒng)來說,主要難點:一是原VPI-TCOM通信協(xié)議需采用新協(xié)議實現(xiàn)VPILFCT通信,并提升傳輸安全性;二是在硬件不改變的前提下,VPI系統(tǒng)對外安全通信接口的改造不能影響原有聯(lián)鎖功能和性能。
軌道交通信號行業(yè)的安全系統(tǒng)基本采用多重冗余設(shè)計,以聯(lián)鎖系統(tǒng)為例,同一個車站的聯(lián)鎖,至少是雙機熱備系統(tǒng),主備系皆有很多外部安全接口需求,安全系統(tǒng)之間的通信常采用行業(yè)內(nèi)公認的幾種安全協(xié)議,如RSSP-I協(xié)議等。
對于外部功能的拓展,傳統(tǒng)的做法是為系統(tǒng)直連新的安全接口,但這樣做會增加系統(tǒng)處理上的負擔,比如運算能力,周期時序等問題。另外,隨意的增加接口對系統(tǒng)的安全獨立性問題也會產(chǎn)生挑戰(zhàn)。
為了克服上述缺點,更有效的方法是在安全系統(tǒng)中增加處理對外通信的專用接口CPU模塊。通過接口CPU來隔離邏輯運算CPU與外界的直接聯(lián)系,保證邏輯運算CPU自身的運算安全穩(wěn)定。接口CPU可以與各種通信協(xié)議類型的外部設(shè)備進行通信,然后再通過算法轉(zhuǎn)化為邏輯運算CPU認可的統(tǒng)一協(xié)議,邏輯運算CPU幾乎不用關(guān)心對外新增的通信協(xié)議,提升了整個系統(tǒng)的擴展性。
如圖1所示,接口CPU作為系統(tǒng)A的一部分,與外界其他系統(tǒng)B1、B2…..Bn鏈接,可采用網(wǎng)絡(luò)、串口、CAN口等物理連接方式。
圖1 一種優(yōu)化的單CPU安全通信架構(gòu)設(shè)計
接口CPU負責按照相應(yīng)的通道要求Cn和安全協(xié)議要求Pn,同外部安全系統(tǒng)Bn進行安全通信,來自于Bn的安全數(shù)據(jù)按照接收幀的格式存儲在接口CPU中,同時接口CPU會把發(fā)送幀傳輸給Bn系統(tǒng)。假定B1和B2是同一外部系統(tǒng)的組合,接口CPU還會對B1和B2傳輸過來的安全數(shù)據(jù)進行預(yù)處理操作,比如采用合幀的方式,以減少系統(tǒng)A運算CPU的邏輯運算壓力。
接口CPU對外部系統(tǒng)的數(shù)據(jù)進行算法轉(zhuǎn)化,添加時間戳等必要的防護,變?yōu)橄到y(tǒng)A運算CPU認可的單一通信格式數(shù)據(jù),簡化系統(tǒng)A運算CPU的復(fù)雜度,使得系統(tǒng)A運算CPU的大部分能力保留在既有功能的運算執(zhí)行上。
在北京地鐵5號線的軌旁信號系統(tǒng)中,CI(計算機聯(lián)鎖)通過高速串口向地面自動列車控制系統(tǒng)ATC發(fā)送軌道電路編碼信息,該信息與列車速度、運行區(qū)段等被車載設(shè)備共同組成“目標-距離”控車模式。聯(lián)鎖系統(tǒng)的軌道發(fā)碼接口,作為該信息的承載通路,須滿足高安全、高可靠的傳輸要求。
北京地鐵五號線原CI-ATC架構(gòu)如圖2所示,VPI系統(tǒng)AB雙機的VCOM通信板與單系配置的TCOM系統(tǒng)CCM通信板之間串口直連,采用HDLC(高級數(shù)據(jù)鏈路控制)通信協(xié)議保障數(shù)據(jù)傳輸。當TCOM為單系配置,一旦故障,VPI系統(tǒng)將直接丟失對軌道電路的發(fā)碼能力,該結(jié)構(gòu)缺乏冗余性。
圖2 VPI-TCOM結(jié)構(gòu)簡圖
HDLC協(xié)議的使用限制在于沒有指定字段來標識已封裝的上一層協(xié)議,每個廠商的HDLC格式都是私有不兼容的,鑒于主導該接口的協(xié)議條件需要考慮替換,而且VCOM與CPUPD通路上的數(shù)據(jù)為裸數(shù)據(jù),傳輸過程中碼位跳變防護的能力不足,安全性不高。
改造后的新CI-ATC架構(gòu)如圖3所示,VPI系統(tǒng)AB雙機的VCOM通信板與LFCT系統(tǒng)的AB雙機串口交叉互連,采用RSSP-I(鐵路信號安全協(xié)議-I型)通信協(xié)議保障數(shù)據(jù)傳輸?shù)陌踩?。由于VPI和LFCT系統(tǒng)皆為雙機熱備結(jié)構(gòu),任何一個系統(tǒng)的單系故障,都不影響VPI對軌道電路的發(fā)碼能力。
圖3 VPI-LFCT結(jié)構(gòu)簡圖
RSSP-I通信協(xié)議作為軌道交通行業(yè)公認的封閉式網(wǎng)絡(luò)安全協(xié)議,提供了完善的安全通信保護機制。VPI系統(tǒng)在采用該協(xié)議時,比較簡單的設(shè)計是通過CPUPD運算板直接與LFCT雙系進行串口通信。但CPUPD板本身要處理繼電器采集數(shù)據(jù)、鄰站CI信息等聯(lián)鎖核心邏輯,這種設(shè)計會增加CPUPD板的運算負荷,另外隨意的增加外部接口對既有系統(tǒng)的安全獨立性也帶來了挑戰(zhàn)。
為了克服上述缺點,保持既有聯(lián)鎖性能和安全等級不下降,本次改造,VPI系統(tǒng)采用上述單CPU架構(gòu)的對外安全通信設(shè)計思路,VCOM通信板負責與LFCT系統(tǒng)通信的RSSP-I協(xié)議數(shù)據(jù)收發(fā)工作,然后通過算法轉(zhuǎn)換,使RSSP-I協(xié)議數(shù)據(jù)變?yōu)镃PUPD板既有的FSFB2(第二代故障安全總線)協(xié)議數(shù)據(jù),最后在CPUPD端完成軌道編碼相關(guān)的邏輯處理。該設(shè)計使VCOM板隔離了CPUPD板與外界的直接聯(lián)系,VCOM板可隨意拓展各種通信協(xié)議,而CPUPD板只需關(guān)注自身認可的某一種通信協(xié)議,松耦合的設(shè)計保持了運算單元的安全獨立性,也降低了運算單元的負荷。
結(jié)束語:在不改變VPI系統(tǒng)硬件的前提下,對系統(tǒng)內(nèi)部結(jié)構(gòu)優(yōu)化設(shè)計,最小化改造成本。通過算法轉(zhuǎn)換,數(shù)據(jù)流全程強編碼防護等手段,使VCOM通信板與CPUPD運算板組合實現(xiàn)對外安全通信功能。經(jīng)必維質(zhì)量技術(shù)服務(wù)(意大利)有限公司第三方安全評估,該方案獲得了SIL4認證,為后續(xù)工程實踐提供了理論支持。
VPI與LFCT接口研發(fā)成功后,大修工程于2017年4月開始實施,北京地鐵5號線正線10個車站和2個試車線的TCOM系統(tǒng)逐步完成了國產(chǎn)化替代。經(jīng)過2年多的正式運行,VPI聯(lián)鎖系統(tǒng)功能穩(wěn)定、通信正常,與LFCT系統(tǒng)配合,一起降低了5號線運營壓力,為北京城市軌道交通提升了經(jīng)濟價值和社會效益。