李 潔， 饒 東， 張文彬

(1 株洲中車時代電氣股份有限公司， 湖南株洲 412001；2 北京市軌道交通建設(shè)管理有限公司， 北京 100068；3 北京市軌道交通運營管理有限公司， 北京 100068)

北京地鐵大興機(jī)場線是中國內(nèi)地首條最高速度160 km/h的全自動無人駕駛城市軌道交通線路，列車控制網(wǎng)絡(luò)是列車的核心系統(tǒng)之一，是集列車的控制、監(jiān)控和診斷為一體的集成控制系統(tǒng)。在車輛全自動化，無人化運營的條件下，對列車控制網(wǎng)絡(luò)的故障自動隔離、故障-安全導(dǎo)向、自檢與自診斷、冗余等提出了更高的要求。

傳統(tǒng)列車控制網(wǎng)絡(luò)為MVB架構(gòu)的TCN網(wǎng)絡(luò)，已廣泛應(yīng)用于軌道交通車輛。受限于MVB總線特性，基于MVB的列車控制網(wǎng)絡(luò)在8節(jié)編組的項目應(yīng)用中，MVB線路布設(shè)已達(dá)極限，另外數(shù)據(jù)傳輸延時較長，數(shù)據(jù)傳輸不能承載視頻、語音等類型數(shù)據(jù)，不能滿足城市軌道交通車輛實時性、大數(shù)據(jù)等發(fā)展需求，不足以支撐列車的全自動駕駛。而以太網(wǎng)的帶寬優(yōu)勢可有效解決列車網(wǎng)絡(luò)通信的帶寬瓶頸，并具有良好的兼容性；數(shù)據(jù)實時性強(qiáng)，數(shù)據(jù)傳輸量更大，并且可在傳統(tǒng)列車控制網(wǎng)絡(luò)基礎(chǔ)上增加安全防護(hù)設(shè)計及更多的冗余，提升自動化運營水平。

針對與以太網(wǎng)列車控制網(wǎng)絡(luò)技術(shù)，國外研究機(jī)構(gòu)提出使用基于IEC 61375的實時性通信協(xié)議TRDP用于列車以太網(wǎng)通信，西門子、龐巴迪等國際知名軌道交通設(shè)計制造企業(yè)已開展網(wǎng)絡(luò)試驗驗證工作。國內(nèi)相關(guān)企業(yè)在列車網(wǎng)絡(luò)控制系統(tǒng)中也已開展以太網(wǎng)的應(yīng)用嘗試，但在安全性和可靠性方面還需要進(jìn)一步探索研究，安全增強(qiáng)型列車控制網(wǎng)絡(luò)也成為了下一步列車以太網(wǎng)控制系統(tǒng)發(fā)展的重要趨勢。北京大興機(jī)場線列車控制網(wǎng)絡(luò)與傳統(tǒng)列車控制網(wǎng)絡(luò)的最大區(qū)別為列車通信、控制全部采用實時以太網(wǎng)，控制單元采用安全計算機(jī)架構(gòu)技術(shù)、安全輸入輸出技術(shù)，各系統(tǒng)通信采用安全通信協(xié)議，整車將列車控制網(wǎng)絡(luò)、弓網(wǎng)檢測、輪軌檢測集成為一體，將進(jìn)一步提高列車網(wǎng)絡(luò)的實時性、可靠性、安全性、可維護(hù)性、智能化等性能，推動車輛技術(shù)升級。

1 北京大興機(jī)場線的關(guān)鍵以太網(wǎng)控制系統(tǒng)技術(shù)的應(yīng)用

安全增強(qiáng)型列車控制網(wǎng)絡(luò)系統(tǒng)屬于列車以太網(wǎng)進(jìn)一步發(fā)展的新領(lǐng)域，國內(nèi)外行業(yè)內(nèi)并未有成熟的技術(shù)平臺。自主化設(shè)計研究安全增強(qiáng)型網(wǎng)絡(luò)控制系統(tǒng)，將在網(wǎng)絡(luò)實時性和安全性上進(jìn)一步提升，在網(wǎng)絡(luò)實現(xiàn)框架上基于實時以太網(wǎng)構(gòu)建列車控制網(wǎng)絡(luò)系統(tǒng)，具體采用網(wǎng)絡(luò)冗余、安全計算機(jī)架構(gòu)、安全通信技術(shù)等技術(shù)，實現(xiàn)了列車的實時、安全控制和傳輸；從功能上將列車控制網(wǎng)、維護(hù)網(wǎng)融合為一個網(wǎng)絡(luò)，提升網(wǎng)絡(luò)的綜合承載能力，為車輛的多網(wǎng)融合以及智能檢修服務(wù)提供支撐。安全增強(qiáng)型列車控制網(wǎng)絡(luò)系統(tǒng)的安全性、系統(tǒng)性、可靠性具有突出的前瞻性、先進(jìn)性、高度的研究意義和技術(shù)價值。

北京大興機(jī)場線無人駕駛列車以太網(wǎng)網(wǎng)絡(luò)系統(tǒng)TCMS采用冗余網(wǎng)絡(luò)結(jié)構(gòu)，其分為列車控制級和車輛控制級，列車級采用以太網(wǎng)環(huán)網(wǎng)冗余貫穿全車，同時每節(jié)車采用REPs中繼器組成MVB列車級總線，線路任意一點斷開，不影響整車以太網(wǎng)和MVB通信；車輛級控制總線采用EMD電器中距離介質(zhì)的MVB多功能車輛總線，A/B通道獨立布線；具有以太網(wǎng)口的子系統(tǒng)，可以用實時以太網(wǎng)點對點接入，實現(xiàn)實時以太網(wǎng)通信。在基于實時以太網(wǎng)ETB/ECN技術(shù)的列車通信網(wǎng)絡(luò)基礎(chǔ)上，利用安全硬件技術(shù)、實時數(shù)據(jù)傳輸技術(shù)和安全邏輯控制技術(shù)，構(gòu)建列車控制和列車維護(hù)網(wǎng)絡(luò)融合的一體化新型安全列車網(wǎng)絡(luò)。網(wǎng)絡(luò)拓?fù)鋱D如圖1。

圖1 網(wǎng)絡(luò)拓?fù)?/p>

北京大興機(jī)場線以太網(wǎng)網(wǎng)絡(luò)控制系統(tǒng)的關(guān)鍵技術(shù)，包括安全計算機(jī)架構(gòu)的硬件系統(tǒng)，列車實時傳輸協(xié)議、安全邏輯控制策略、網(wǎng)絡(luò)架構(gòu)冗余控制等技術(shù)。

整個網(wǎng)絡(luò)控制系統(tǒng)平臺整體按照SIL2級安全等級設(shè)計，達(dá)到國際領(lǐng)先水平，適用于無人駕駛等高安全要求的軌道交通領(lǐng)域。

2 安全計算機(jī)架構(gòu)的硬件系統(tǒng)

根據(jù)IEC 61375標(biāo)準(zhǔn)，基于實時以太網(wǎng)，研制可靠、安全的網(wǎng)絡(luò)系統(tǒng)產(chǎn)品構(gòu)建列車控制網(wǎng)絡(luò)系統(tǒng)。列車網(wǎng)絡(luò)系統(tǒng)通過實時以太網(wǎng)接口與各系統(tǒng)進(jìn)行數(shù)據(jù)交互，滿足全自動駕駛列車的實時通信、高帶寬的要求；同時列車網(wǎng)絡(luò)系統(tǒng)采用以太網(wǎng)環(huán)網(wǎng)進(jìn)行冗余與MVB通信，提高了列車網(wǎng)絡(luò)通信的可靠性與可用性；列車網(wǎng)絡(luò)將列車控制網(wǎng)、維護(hù)網(wǎng)融合為一個網(wǎng)絡(luò)。

列車內(nèi)部各系統(tǒng)之間通過實時以太網(wǎng)進(jìn)行數(shù)據(jù)通信，列車控制網(wǎng)絡(luò)與各系統(tǒng)具有通信周期小、數(shù)據(jù)端口大、傳輸帶寬大等優(yōu)勢，滿足全自動駕駛對于大數(shù)據(jù)量、高帶寬、低延時要求。為保障數(shù)據(jù)通信的實時性，需實現(xiàn)以下關(guān)鍵技術(shù)：

①實現(xiàn)符合IEC 61375-2-3，基于UDP的TRDP過程數(shù)據(jù)傳輸協(xié)議；

②實現(xiàn)符合IEC 61375-2-3，基于UDP/TCP的TRDP消息數(shù)據(jù)傳輸協(xié)議；

(1)列車控制雙網(wǎng)冗余通信

無人駕駛列車網(wǎng)絡(luò)TCMS采用MVB和以太網(wǎng)雙冗余網(wǎng)絡(luò)結(jié)構(gòu)，其分為列車控制級和車輛控制級，列車控制總線列車級采用以太網(wǎng)環(huán)網(wǎng)冗余貫穿全車，同時每節(jié)車采用MVB中繼器組成MVB列車級總線，線路任意一點斷開，不影響整車以太網(wǎng)和MVB通信；車輛級控制總線采用EMD電器中距離介質(zhì)的MVB多功能車輛總線，A/B通道獨立布線；具有以太網(wǎng)口的子系統(tǒng)，可以用實時以太網(wǎng)點對點接入，實現(xiàn)實時以太網(wǎng)通信；列車控制采用以太網(wǎng)控制為主，MVB控制為輔的冗余控制方式，提高列車通訊網(wǎng)絡(luò)冗余和可靠性。

(2)安全硬件平臺

安全控制與輸入輸出單元是車輛安全控制的核心，是整車安全控制的基礎(chǔ)：

①CCU控制單元安全硬件：采用帶診斷功能的安全計算機(jī)架構(gòu)、雙冗余技術(shù)設(shè)計，在異步雙處理器架構(gòu)中，為降低因時序差異而導(dǎo)致的比較不一致，建立雙處理器之間的同步與仲裁機(jī)制，提高列車控制單元安全性和可靠性，實現(xiàn)列車CCU安全控制，保障控制單元硬件功能安全完整性，圖2為安全控制單元架構(gòu)。

圖2 安全控制單元架構(gòu)

②IO安全硬件研究：采用帶診斷功能的IO輸入輸出安全架構(gòu)，實現(xiàn)IO安全控制。安全輸入：采用內(nèi)部1分4冗余采集，實時自檢技術(shù)，提高IO采集準(zhǔn)確性；安全輸出：采用基于安全繼電器、輸出冗余、自帶供電切除控制功能實現(xiàn)網(wǎng)絡(luò)安全輸出控制功能；實現(xiàn)多處理器的安全數(shù)據(jù)校對、同步及故障仲裁，確保數(shù)據(jù)處理的安全性，圖3為安全輸入輸出架構(gòu)。

a.數(shù)字量輸入DI采用實時診斷、校對、濾波技術(shù)，確保通過安全DI采集的車輛運行控制信息、診斷信息的可靠性，為整車安全控制提供支撐；

b.基于安全繼電器的安全數(shù)字量輸出(DO)技術(shù)，并實現(xiàn)DO驅(qū)動的故障-安全導(dǎo)向、故障無縫切換，確保安全DO控制的確定性與故障容忍度全面提升；

(3)控制與實時安全通信技術(shù)

根據(jù)IEC 61375標(biāo)準(zhǔn)，以太網(wǎng)通訊采用實時以太網(wǎng)安全通信協(xié)議(TRDP-safety)，針對數(shù)據(jù)通信傳輸采用安全校驗、超時防護(hù)、序號檢測等技術(shù)措施實現(xiàn)列車控制和實時傳輸數(shù)據(jù)的安全傳輸，具體安全措施如表1。

圖3 安全輸入輸出架構(gòu)

表1 安全措施矩陣

實時安全通信協(xié)議是保障數(shù)據(jù)傳輸功能安全的基礎(chǔ)，根據(jù)IEC 61375標(biāo)準(zhǔn)，列車網(wǎng)絡(luò)控制系統(tǒng)與各系統(tǒng)之間采用基于TRDP的實時以太網(wǎng)安全通信協(xié)議(TRDP-Safety)進(jìn)行數(shù)據(jù)傳輸，安全通信保障關(guān)鍵技術(shù)如下：

①基于安全序列號的傳輸檢測技術(shù)，解決通信傳輸過程中的意外重復(fù)、序列錯誤、報文插入、報文偽裝等安全風(fēng)險；

②基于時間監(jiān)視的超時防護(hù)技術(shù)，解決通信傳輸過程中的幀傳輸延時過大、通信信道錯幀率高等安全風(fēng)險；

③通信報文數(shù)據(jù)的安全校驗技術(shù)，解決通信傳輸過程中的報文損壞、數(shù)據(jù)錯誤等安全風(fēng)險；

④源身份編碼技術(shù)，解決通信傳輸過程中的報文插入、報文偽裝及尋址錯誤等安全風(fēng)險。

(4)安全增強(qiáng)型列車控制網(wǎng)絡(luò)系統(tǒng)與各系統(tǒng)接口需求及規(guī)范研究

基于實時以太網(wǎng)，研究各個子系統(tǒng)的通信特點和所屬于的設(shè)備分類，結(jié)合信號、牽引、制動、PIS等不同子系統(tǒng)的自身數(shù)據(jù)特征、安全等級與實時性要求，基于列車控制網(wǎng)絡(luò)系統(tǒng)的運行、操作、維護(hù)環(huán)境等不同工況，提取列車控制信息、故障信息、狀態(tài)信息等所傳輸數(shù)據(jù)的不同傳輸階段的數(shù)據(jù)特征，建立列車網(wǎng)絡(luò)控制系統(tǒng)的不同編組、智能化、實時性、誤碼率、安全性等要求的優(yōu)化模型，并最終形成滿足全自動駕駛需求的列車網(wǎng)絡(luò)控制系統(tǒng)的接口需求規(guī)范。

(5)以太網(wǎng)環(huán)網(wǎng)冗余控制技術(shù)

列車以太網(wǎng)骨干網(wǎng)采用環(huán)網(wǎng)冗余結(jié)構(gòu)見圖4，通過環(huán)網(wǎng)協(xié)議在軟件邏輯上進(jìn)行解環(huán)，既具備冗余功能，又不會產(chǎn)生廣播風(fēng)暴，從而提高編組網(wǎng)的可靠性，任意一個交換機(jī)或鏈路出現(xiàn)故障，仍可保證整個編組網(wǎng)內(nèi)通信正常。

圖4 以太網(wǎng)環(huán)網(wǎng)結(jié)構(gòu)

(6)以太網(wǎng)雙網(wǎng)口冗余通信技術(shù)

為了提高關(guān)鍵設(shè)備通訊可靠性，對于網(wǎng)絡(luò)、牽引、制動、信號系統(tǒng)全部采用雙網(wǎng)口冗余通訊，每個設(shè)備兩個通訊網(wǎng)口分別接在不同的交換機(jī)上，正常情況下一個網(wǎng)口進(jìn)行以太網(wǎng)通訊工作，另外一個網(wǎng)口熱備冗余，實時監(jiān)視通訊網(wǎng)口狀態(tài)，當(dāng)工作以太網(wǎng)口或線路出現(xiàn)故障時，熱備冗余網(wǎng)口無縫切換接替故障網(wǎng)口工作進(jìn)行通訊，從而保證關(guān)鍵設(shè)備冗余可靠性。

(7)列車控制冗余控制技術(shù)

對于關(guān)鍵的列車控制主設(shè)備CCU，由于其主要實現(xiàn)重要的列車控制、總線管理或調(diào)度功能，因此在兩個司機(jī)室對CCU做了熱備冗余配置，正常情況下兩個CCU通過自由競爭機(jī)制自動選取一個CCU為列車控制主，另外一個CCU為備用主，當(dāng)主CCU出現(xiàn)故障時，備用CCU將接管主CCU的職責(zé)，行使所有的總線管理或調(diào)度和列車控制功能，確保列車控制功能正常運行，保障單點故障時的系統(tǒng)可用性。

(8)列車總線、車輛總線均采用雙通道冗余

對于列車備用MVB網(wǎng)絡(luò)，不論是列車級總線還是車輛級總線，均采用通信線路雙通道冗余設(shè)計。正常情況下，各級總線的兩路通道均在工作，MVB管理芯片對兩路通道的數(shù)據(jù)同時進(jìn)行監(jiān)視和校驗，并選擇其中一路數(shù)據(jù)進(jìn)行收發(fā)管理。而當(dāng)某一路通信線路出現(xiàn)故障時，MVB管理芯片將選擇另一路通信線路進(jìn)行收發(fā)管理?？偩€通道的切換完全由MVB芯片進(jìn)行自動管理，無需人工干預(yù)。

(9)安全邏輯控制策略

以故障導(dǎo)向安全的控制原則，用網(wǎng)絡(luò)控制邏輯實現(xiàn)的控制策略，替代列車司機(jī)操作，同時，軟硬件同時進(jìn)行處理，防止軟件異?；蛘哂布收?，造成列車出現(xiàn)潛在的風(fēng)險。如轉(zhuǎn)向架切除、車門對標(biāo)、靜態(tài)/動態(tài)自檢等等。

3 系統(tǒng)裝車應(yīng)用

基于上述技術(shù)，已順利完成產(chǎn)品研發(fā)、樣機(jī)試制與調(diào)試，所有功能已實現(xiàn)。當(dāng)前已完成產(chǎn)品裝車、場內(nèi)調(diào)試、環(huán)鐵試驗等相關(guān)工作，同步完成了產(chǎn)品SIL2安全認(rèn)證工作，目前正在與信號系統(tǒng)聯(lián)調(diào)。

該產(chǎn)品的裝車試驗已充分驗證了以太網(wǎng)的帶寬優(yōu)勢，有效解決列車網(wǎng)絡(luò)通信的帶寬瓶頸，并具有良好的兼容性，采用實時以太網(wǎng)進(jìn)行數(shù)據(jù)傳輸，通信實時性好，并且在傳統(tǒng)列車控制網(wǎng)絡(luò)基礎(chǔ)上增加了安全防護(hù)設(shè)計及更多的冗余，能更大程度的減少故障后的人為干預(yù)需求，提升自動化運營水平。同時控制單元采用安全計算機(jī)架構(gòu)技術(shù)、安全輸入輸出技術(shù)，各系統(tǒng)通信采用安全通信協(xié)議，有效提高了列車網(wǎng)絡(luò)的實時性、可靠性、安全性、可維護(hù)性、智能化等性能，推動車輛技術(shù)升級。

4 實時以太網(wǎng)發(fā)展方向

近年來，以太網(wǎng)發(fā)展迅速，從商用以太網(wǎng)到工業(yè)以太網(wǎng)，再到實時以太網(wǎng)。正在逐步取代現(xiàn)代軌道交通領(lǐng)域主流的WTB/MVB列車通信網(wǎng)絡(luò)，實時以太網(wǎng)具有帶寬大，傳輸快，精度高等特點，為了充分發(fā)揮實時以太網(wǎng)的優(yōu)勢，擴(kuò)展以太網(wǎng)在交通領(lǐng)域的應(yīng)用，還需進(jìn)行以下發(fā)展。

(1) 基于業(yè)務(wù)的傳輸調(diào)度算法、資源配置算法、擁塞控制算法等，建立基于業(yè)務(wù)QoS分類的數(shù)據(jù)協(xié)同調(diào)度方案，實現(xiàn)實時控制業(yè)務(wù)和信息服務(wù)業(yè)務(wù)的一體化協(xié)調(diào)傳輸。構(gòu)建列車控制、信息服務(wù)和維護(hù)網(wǎng)絡(luò)融合的一體化新型安全列車網(wǎng)絡(luò)。

(2) 以高精度同步實時以太網(wǎng)系統(tǒng)為核心的交換設(shè)備及終端設(shè)備，構(gòu)建高精度同步實時以太網(wǎng)系統(tǒng)，具備高精度時鐘同步技術(shù)、基于時間戳的通信調(diào)度與交換技術(shù)，控制數(shù)據(jù)傳輸周期提升至≤1 ms 級別，傳輸抖動≤1 ms，實現(xiàn)多網(wǎng)絡(luò)融合的實時以太網(wǎng)后，進(jìn)一步滿足軌道交通車輛的多系統(tǒng)融合需求。