计算机联锁安全接口防护技术的运用和研究

张利峰

计算机联锁作为保障铁路安全行车的核心控制装备，目前已广泛应用于我国的高速铁路和普速铁路。随着我国铁路信号控制系统的快速发展，作为铁路信号控制系统中的基础设备，计算机联锁接口功能也逐步增加。从早期普速铁路的继电器控制接口，到目前高速铁路CTCS-2 和CTCS-3 级列控系统中与列控中心、无线闭塞中心，以及相邻计算机联锁的安全通信接口，与调度集中系统、无线调车机车信号和监控系统、集中监测系统的串行通信接口，接口形式和接口数量均呈现多元化发展。随之接口的安全性和可靠性便成为制约铁路信号控制系统安全和可靠运用的重要因素，接口的安全防护和保障技术也成为计算机联锁设备研发的重点内容。

1 计算机联锁设备安全接口

作为铁路信号控制系统中的安全设备，计算机联锁的软件和硬件设计均遵循故障-安全原则，且已达到铁路信号设备最高的安全等级SIL4 级，但联锁设备的高安全性依赖于外部接口输入信息的安全。基于安全功能的影响分析，计算机联锁设备中与安全相关的接口包括二类：一类是通过继电器与轨旁信号设备或结合电路的接口；另一类是通过信号安全数据网与外部其他安全相关信号设备的通信接口［1］，具体范围如图1 所示。

2 接口安全防护

2.1 继电器接口防护

在我国铁路信号控制系统中，计算机联锁与车站内轨旁信号设备接口一般采用继电接口电路的方式，继电接口电路通常由若干AX 系列安全型继电器构成，并按照故障-安全的原则设计；计算机联锁通过驱动和采集接口电路中相关继电器的动作，完成与外部接口设备的安全控制［2］。计算机联锁设备中配置有用于继电器状态采集的采集板和用于继电器动作的输出板，采集板和输出板分别设计有安全的采集和驱动电路，它们虽然对于继电器采集和驱动回路的断线故障和电磁干扰均有良好的防护作用，但对于采集和驱动回路中可能发生的单点混线故障无有效的防护措施［3］。因此，为提高计算机联锁设备运用的安全性，需采取技术措施对继电器的采集和驱动回路接口进行防护。

图1 计算机联锁设备安全接口范围

2.1.1 继电器采集接口防护

计算机联锁通过采集继电器或继电器组合的接点状态，获取轨旁信号设备或结合电路设备的状态。继电器接点状态采集的原理，是联锁设备把系统内配置的DC 24V 正电（以下简称IOZ），通过线缆配置到组合架中被采集继电器的中接点，在被采集继电器吸起时，IOZ 通过继电器前接点返回到计算机联锁采集板对应的采集通道，由采集板内的安全采集电路，根据采集的电信号，判断继电器接点是处于闭合还是断开状态。

计算机联锁设备内所有的采集通道通常共用一个DC24V 电源，如果任意2 个采集通道的线缆出现单点混线，在其中一个采集通道继电器吸起时，另一个采集通道也会同时采集到IOZ，会导致联锁设备获取到错误的继电器接点状态。例如计算机联锁设备采集的轨道区段继电器（GJ），道岔表示继电器（DBJ，FBJ）等，在出现采集线缆单点混线时，就可能会导致处于占用状态区段的GJ 采集状态由落下改为吸起，处于四开状态道岔的DBJ 或FBJ 采集状态由落下改为吸起，联锁设备获取的区段状态就会错误地由占用变为空闲，道岔位置会错误地由四开变为定位或反位，进而导致进路信号错误开放或进路错误解锁等安全风险。

因此，为防止出现上述单点混线故障，在继电器的采集电路中普遍采用了前后接点或双接点采集的防护技术，通过2 个接点的采集状态，确定继电器的最终采集状态，可以有效避免线缆单点混线引起的继电器状态采集错误，保障继电器接口采集信息安全。轨道区段继电器（GJ）前后接点采集原理见图2；道岔表示电路采用单独增加DFBH（DBJ 和FBJ 后接点的串联）采集的原理见图3。

图2 区段GJ 前后接点采集示意图

图3 道岔增加DFBH 采集示意图

通过采用上述防护技术，计算机联锁在采集到轨道区段继电器GJ 和道岔表示继电器DBJ/FBJ 接点状态时，按照表1、表2 的原则确定区段状态和道岔状态。

表1 轨道区段状态判定原则

表2 道岔位置判定原则

2.1.2 继电器驱动接口防护

计算机联锁通过驱动接口电路的相关继电器吸起或落下，实现对轨旁信号设备和结合电路的驱动控制。被控继电器由输出板上的安全控制电路输出DC 24V 驱动，各输出通道驱动电源通常采用联锁系统配置的DC 24V 电源，如果每个驱动通道只输出DC 24V 正电（＋），则在不同输出通道线缆发生单点混线后，会导致一个通道有输出DV 24V 正电时，另一个通道也会错误产生DV 24V 正电，进而导致被控继电器错误吸起。因此，为防止驱动回路单点混线造成的安全风险，计算机联锁的继电器输出回路宜采用“双断”输出设计［4］，即输出板每一路输出通道同时输出控制继电器动作的正电（＋）和负电（－），在发生单点混线故障时，在一个通道驱动继电器吸起时，由于被混电的输出通道无法形成有效控制回路，另一路被控继电器不会错误驱动吸起，保障继电器驱动接口的安全。继电器双断驱动原理见图4。

图4 继电器双断驱动示意图

2.2 安全通信接口防护

在高速铁路CTCS-2 和CTCS-3 列控系统中，计算机联锁（CBI）通过信号安全数据网，与列控中心（TCC） 和无线闭塞中心（RBC） 以及相邻计算机联锁，实时交互安全相关控制信息，向TCC 和RBC 实时发送列车进路信息，区段、道岔及信号机等轨旁信号设备的状态信息；接收TCC发送的区间闭塞区段信息、区间方向信息、异物侵限灾害信息，同时接收邻站计算机联锁发送的信号机和轨道区段状态等信息。如果接口信息在通信传输过程中发生错误，计算机联锁在未采取防护措施情况下使用了错误的接口信息，会导致联锁控制功能失效，造成极其严重的后果。

2.2.1 安全通信协议防护

信号安全数据网络的传输通道和传输设备为非置信传输系统，CBI 与TCC、RBC 和相邻CBI 的传输信息均为安全至关信息，信息数据在传输过程中，会遇到各类环境干扰和传输路径中各类传输设备和线路的故障，需要采用安全通信协议保障接口信息传输的真实性、完整性、实时性和有序性。根据《GB 24339.1-2009 轨道交通 通信、信号和处理系统第1 部分：封闭式传输系统中的安全相关通信》［5］和《GB 24339.2-2009 轨道交通 通信、信号和处理系统第2 部分：开放式传输系统中的安全相关通信》［6］，CBI 与TCC、RBC 和相邻CBI 的安全通信需要对以下7 种通信的威胁进行防护：信息重复、信息删除、信息插入、信息重排序、信息损坏、信息延时和信息伪装。

铁路信号安全通信Ⅰ型协议（RSSP-Ⅰ） 可以对除信息伪装外的6 种通信接口威胁进行有效防护［7］，如表3 所示；铁路信号安全通信Ⅱ型协议（RSSP-Ⅱ）可以对7 种通信接口威胁进行有效防护［8］，如表4 所示。根据《TB/T 3027-2015 铁路车站计算机联锁技术条件》的规定，CBI 与TCC以及与相邻CBI 之间安全通信协议采用RSSP-Ⅰ协议， CBI 与RBC 间的安全通信协议采用RSSP-Ⅱ协议。

计算机联锁与外部信号系统间的数据信息在传输过程中发生通信故障，接收的数据信息无法通过相应安全通信协议的校验、或超过规定的时间不能收到时，相关数据信息按照故障-安全的原则置为安全态，保证计算机联锁的控制输出导向安全侧，具体数据的处理要求，在计算机联锁与相关设备的接口标准和规范中均有明确的规定。

表3 RSSP-Ⅰ协议防御矩阵

表4 RSSP-Ⅱ协议防御矩阵

2.2.2 应用层协议防护

计算机联锁与TCC、RBC 和相邻计算机联锁通信的应用层协议中，规定有双方通信的接口协议版本号和配置数据版本号［9］。接口协议版本号，对应的是通信双方应用层数据格式和数据内容的版本；配置数据版本号，对应的是具体车站配置数据的实际设备数量和排序的版本。在具体的工程项目中，通信双方约定本站的接口协议版本和配置数据版本号，并在软件中进行配置，在双方初始建立通信时，按照约定的版本号进行接口协议和配置数据版本号的校验。如果检测到任一版本号与约定的版本号不一致，立即把接收数据信息置为安全态，保证接口双方不会因错误的使用不同协议版本数据，而造成对接口数据信息的解析错误。

为进一步加强计算机联锁与RBC 间接口信息安全性的防护，在国铁集团企业标准《Q/CR 621.1-2018 CTCS-3 级列控系统无线闭塞中心（RBC）接口规范 第1 部分：RBC-CBI 接口》的应用层协议中提出，在计算机联锁发送RBC 的数据信息中，增加了道岔状态信息和站内列车信号状态信息［10］。RBC 在接收到计算机联锁发送的列车进路信息后，对列车进路信息、道岔状态信息和列车信号信息的一致性进行校验，如果发现存在不一致，RBC 立即将接收的联锁列车进路信息导向安全状态，保障高铁列车的行车安全。

3 结束语

针对继电器驱采接口和安全通信接口的防护措施，目前已经在计算机联锁设备上广泛应用，有效防护了现场运用过程中出现的各类接口故障，保障了计算机联锁设备在普速和高速铁路信号系统中的安全可靠运用。目前相关的接口标准和规范中，对于计算机联锁设备可以连接的最大接口数量没有明确定义，导致在实际运用中，对计算机联锁设备的接口需求不断增加，达到甚至超过了计算机联锁设备接口性能的极限，对计算机联锁设备的可靠稳定运用造成了一定的影响，建议后续相关标准修订时，考虑增加计算机联锁设备接口能力边界的规定。