摘要：高速鐵路的發(fā)展必須始終把安全擺在最核心、最本質(zhì)、最關(guān)鍵的位置，列控系統(tǒng)是保障高速列車行車安全的核心設(shè)備。本文結(jié)合國內(nèi)高速鐵路的發(fā)展現(xiàn)狀，一方面對高速鐵路目前所采用的列控車載設(shè)備設(shè)計、實現(xiàn)、測試、運營維護等方面的安全技術(shù)進行分析和總結(jié)，旨在增強民眾對高鐵的信任感；另一方面在目前的技術(shù)體系下，針對如何管好用好高速鐵路列控車載設(shè)備，也提出了一些見解，目的是尋求高速鐵路的更好更快發(fā)展。

關(guān)鍵詞：高速鐵路、車載設(shè)備、安全技術(shù)

?

目前，國內(nèi)已開通的CTCS-3級列控線路主要有京滬、武廣、廣深、哈大、京石武、鄭西、滬寧、滬杭高鐵，最高運營時速350公里/小時。CTCS-3級列車運行控制系統(tǒng)是中國鐵路時速大于300km/h客運專線的重要技術(shù)裝備，是中國鐵路技術(shù)體系和裝備現(xiàn)代化的重要組成部分，是保證高速列車運行安全、可靠、高效的核心技術(shù)之一。

列車速度提高到160km/h以上時，對列車控制必須由開環(huán)控制變?yōu)殚]環(huán)控制，CTCS-3列控系統(tǒng)正是通過車地信息的實時交互，從而實現(xiàn)對列車的閉環(huán)控制。CTCS-3級列控系統(tǒng)主要分為車載設(shè)備和地面設(shè)備兩大部分。其中，列車運行過程中，車載設(shè)備實時通過GSM-R網(wǎng)絡(luò)與地面設(shè)備實現(xiàn)數(shù)據(jù)交互，根據(jù)接收到的地面命令信息（含地面設(shè)備提供的MA移動授權(quán)、信號動態(tài)信息、線路參數(shù)、臨時限速等信息），按照目標(biāo)-距離模式生成MRSP最不利限制曲線，進行超速防護，監(jiān)控列車安全運行。列控車載設(shè)備是高速鐵路行車安全中必不可少的核心設(shè)備之一，列控車載設(shè)備的安全技術(shù)直接關(guān)系到高速鐵路列車運行中的安全性和可靠性。

車載設(shè)備由車載安全計算機（VC）、GSM-R無線通信單元（RTU）、軌道電路信息接收單元（TCR）、應(yīng)答器信息接收模塊（BTM）、記錄單元（DRU）、人機界面（DMI）等組成。

CTCS-3級列控系統(tǒng)車載設(shè)備采用分布式體系結(jié)構(gòu)，各輸入輸出單元通過總線與核心處理單元進行通信系統(tǒng)中的關(guān)鍵設(shè)備均采用冗余配置，具有高可靠性和高可用性；各輸入輸出單元通過總線與核心處理單元進行通信，具有良好的抗干擾性和可擴展性。

以下以CTCS3-300T車載為例說明CTCS-3級列控系統(tǒng)車載設(shè)備的結(jié)構(gòu)。CTCS3-300T列控車載設(shè)備與列車可采用兩種形式的接口，一種為繼電器接口，一種為MVB接口，對應(yīng)的系統(tǒng)框圖如圖1所示（CRH2和CRH3型車）。

CTCS3-300T列控車載設(shè)備主要組成包括：

1）車載安全計算機：包括C3主機（對應(yīng)ATPCU單元）/C2主機（對應(yīng)C2CU單元），是列控車載設(shè)備的控制核心。負(fù)責(zé)CTCS-3級車載控制功能，兼容CTCS-2級控制功能。

2）測速測距子系統(tǒng)：負(fù)責(zé)監(jiān)測列車的運行速度并計算列車行走距離，并通過一定方式將此速度距離信息發(fā)送至各個子模塊，包括SDP、SDU以及用于測速的雷達(dá)和速傳，其中SDU速度距離單元采集來自速度傳感器和雷達(dá)速度傳感器的脈沖信號，將其轉(zhuǎn)換為脈沖值，通過信號MVB總線傳送給SDP單元處理；SDP速度距離處理單元對SDU單元采集的脈沖值進行計算，得出列車運行方向、速度和走行距離。

3）安全傳輸子系統(tǒng)：主要控制MT模塊通過GSM-R網(wǎng)絡(luò)實現(xiàn)車地數(shù)據(jù)的安全、可靠傳輸，又稱為STU-V，包括COMC和GCD兩部分，其中COMC主要實現(xiàn)安全層相關(guān)功能及內(nèi)部總線通信與外部無線通信協(xié)議間的轉(zhuǎn)換功能，GCD主要實現(xiàn)傳輸層、網(wǎng)絡(luò)層、鏈路層、MT模塊控制功能，數(shù)據(jù)加密解密算法也有GCD設(shè)備負(fù)責(zé)完成。

4）應(yīng)答器信息傳輸子系統(tǒng)：負(fù)責(zé)應(yīng)答器信息接收與處理，包含BTM和CAU，其中CAU即BTM的接收天線，用于接收地面應(yīng)答器的信號；BTM用于接收應(yīng)答器信息，并將解調(diào)后的信息傳輸給主機單元。

5）數(shù)字輸入/輸出單元：用于采集列車輸出的開關(guān)量信息，實現(xiàn)與列車之間接口。

6）安全輸入/輸出單元：用于車載設(shè)備緊急制動命令的發(fā)送，并接收制動反饋信息。

7）軌道電路信息接收子系統(tǒng)：用于軌道電路信息的接收和處理。

8）司法記錄單元：用于記錄司法分析所需的列控車載設(shè)備工作狀態(tài)及各種輸入輸出信息。

CTCS3-300T列控車載設(shè)備負(fù)責(zé)接收地面數(shù)據(jù)命令信息，通過對列車行車許可、線路參數(shù)、列車信息的綜合處理，按照目標(biāo)距離連續(xù)速度控制模式，生成最不利速度控制曲線，通過采取聲光報警、切除牽引力、三級常用制動（弱、中、強）和緊急制動措施，監(jiān)控列車運行，保證列車速度不超過進路允許速度、線路結(jié)構(gòu)規(guī)定的速度、列車的構(gòu)造速度、臨時限速及緊急限速。

列控車載設(shè)備時保證列車行車安全的重要安全設(shè)備，必須按照相應(yīng)的安全設(shè)計和評估標(biāo)準(zhǔn)進行系統(tǒng)的研究開發(fā)。由于國內(nèi)的CTCS-3級列控系統(tǒng)是在歐洲ETCS-2級列控系統(tǒng)的基礎(chǔ)上發(fā)展和演變過來的，歐洲已針對鐵路領(lǐng)域制定了比較完善的的安全系統(tǒng)設(shè)計和評估標(biāo)準(zhǔn)，簡稱為CEN-ELEC系列標(biāo)準(zhǔn)。目前，國內(nèi)CTCS-3級列控車載設(shè)備研發(fā)過程也同樣要求遵循關(guān)歐洲CEN-ELEC標(biāo)準(zhǔn)中定義的安全完整度安全要求。用于高速鐵路的列控車載設(shè)備，安全相關(guān)部件都要求達(dá)到SIL4級（EN50129規(guī)定，SIL4級系統(tǒng)風(fēng)險概率滿足：10^-9≤每小時故障危險概率＜10^-8）。按照SIL4級要求，車載設(shè)備安全部件的設(shè)計與研發(fā)過程均應(yīng)采用故障導(dǎo)向安全的原則，安全相關(guān)軟件應(yīng)采用雙代碼或雙硬件方式對系統(tǒng)執(zhí)行過程中的關(guān)鍵數(shù)據(jù)進行實時比較。

按照CEN-ELEC相關(guān)標(biāo)準(zhǔn)的規(guī)定，車載設(shè)備研發(fā)過程中，應(yīng)通過EN50128中的安全軟件開發(fā)V字形模型開展相關(guān)研發(fā)工作，實現(xiàn)對整個軟件生命期的質(zhì)量管理與控制。安全軟件開發(fā)V字形模型具體包括系統(tǒng)需求階段、系統(tǒng)架構(gòu)設(shè)計階段、模塊詳細(xì)設(shè)計階段、編碼階段、軟件模塊測試階段、軟硬件集成測試階段、軟件確認(rèn)與驗證階段、系統(tǒng)集成測試階段、系統(tǒng)評估階段和系統(tǒng)維護階段。各個階段的輸入和輸出文件都有詳細(xì)的規(guī)定，車載設(shè)備研發(fā)完成后，必須通過相關(guān)的測試驗證，并經(jīng)過具有相應(yīng)資質(zhì)的獨立第三方安全評估機構(gòu)進行安全評估，通過安全認(rèn)證后才能夠安裝使用。

目前，國內(nèi)CTCS-3列控線路中裝備最多的車載設(shè)備是CTCS3-300T車載設(shè)備。以下以CTCS3-300T車載設(shè)備為例，對車載設(shè)備的安全性設(shè)計進行說明。??

CTCS3-300T車載設(shè)備的安全相關(guān)軟件采用雙代碼結(jié)構(gòu)，同一套硬件中同時運行A、B兩套相異代碼，兩套代碼使用不同的數(shù)據(jù)區(qū)，采用不同的數(shù)據(jù)結(jié)構(gòu)，并且兩套代碼同時對輸入輸出數(shù)據(jù)及中間過程關(guān)鍵數(shù)據(jù)進行相互比較，比較不一致則導(dǎo)向安全側(cè)。在系統(tǒng)設(shè)計中，CTCS3-300T車載設(shè)備采用現(xiàn)場總線分布式結(jié)構(gòu)，具有良好的抗干擾性和可擴展性；車載系統(tǒng)中的關(guān)鍵設(shè)備均采用冗余配置，如ATPCU、C2CU、BTM、CAU、DMI等采用冷備，速度傳感器、雷達(dá)、TCR、GSM-R單元及其天線等采用熱備，具有高可靠性和高可用性。CTCS3-300T車載設(shè)備的各個子系統(tǒng)均采用安全性設(shè)計，系統(tǒng)內(nèi)安全相關(guān)單元一方面運行時實時硬件單元的CPU、內(nèi)存等硬件進行監(jiān)控；一方面采用AB代碼方案，該軟件構(gòu)架可以防護硬件單元的硬件故障。在軟件偵測到硬件故障后，自動根據(jù)故障影響控制施加最大常用或者緊急制動。此外，CTCS3-300T車載設(shè)備的總線接口和列車接口也都采用了安全性設(shè)計：總線通過看門狗實現(xiàn)安全性監(jiān)控，一旦總線中斷或者受到干擾，看門狗溢出后，自行施加制動；列車接口中的緊急制動和全常用制動采用繼電器接口及失電制動邏輯，確保了接口的可靠性和故障條件下的安全性。

車載設(shè)備的相關(guān)研發(fā)和設(shè)計完成后，按照接口設(shè)計圖紙可以完成相關(guān)的安裝調(diào)試。在運行過程中，車載設(shè)備需要與列車配合使用，而不同車型在制動性能、電氣接口等方面存在很多差異。那么，該如何驗證車載設(shè)備與車輛的匹配性呢？這就需要通過型式試驗來保證。

型式試驗需要在車載設(shè)備安裝調(diào)試完畢后進行，目的是驗證車載設(shè)備與列車接口的適配性和安全性，型式試驗一般僅針對新車型的首列車。型式試驗應(yīng)包含靜態(tài)測試和動態(tài)測試兩部分。

其中，靜態(tài)測試至少應(yīng)覆蓋以下內(nèi)容：

1）列車開關(guān)對車載設(shè)備的作用和影響檢測：測試動車組開關(guān)對車載設(shè)備的控制作用，檢查升降弓、斷/合主斷路器對車載設(shè)備運行的影響；

2）車載設(shè)備與列車的制動接口檢測：檢測車載設(shè)備弱、中、強（最大常用）制動輸出、緊急制動輸出，檢測相應(yīng)的制動反饋信號，檢測車載設(shè)備能否正常采集列車駕駛臺狀態(tài)輸入信號、方向手柄信號，檢測休眠信號對車載設(shè)備的影響，檢測列車正常的制動輸出等信號對車載設(shè)備使用的影響。