摘要：高速鐵路的發(fā)展必須始終把安全擺在最核心、最本質、最關鍵的位置，列控系統(tǒng)是保障高速列車行車安全的核心設備。本文結合國內高速鐵路的發(fā)展現(xiàn)狀，一方面對高速鐵路目前所采用的列控車載設備設計、實現(xiàn)、測試、運營維護等方面的安全技術進行分析和總結，旨在增強民眾對高鐵的信任感；另一方面在目前的技術體系下，針對如何管好用好高速鐵路列控車載設備，也提出了一些見解，目的是尋求高速鐵路的更好更快發(fā)展。

關鍵詞：高速鐵路、車載設備、安全技術

?

目前，國內已開通的CTCS-3級列控線路主要有京滬、武廣、廣深、哈大、京石武、鄭西、滬寧、滬杭高鐵，最高運營時速350公里/小時。CTCS-3級列車運行控制系統(tǒng)是中國鐵路時速大于300km/h客運專線的重要技術裝備，是中國鐵路技術體系和裝備現(xiàn)代化的重要組成部分，是保證高速列車運行安全、可靠、高效的核心技術之一。

列車速度提高到160km/h以上時，對列車控制必須由開環(huán)控制變?yōu)殚]環(huán)控制，CTCS-3列控系統(tǒng)正是通過車地信息的實時交互，從而實現(xiàn)對列車的閉環(huán)控制。CTCS-3級列控系統(tǒng)主要分為車載設備和地面設備兩大部分。其中，列車運行過程中，車載設備實時通過GSM-R網絡與地面設備實現(xiàn)數據交互，根據接收到的地面命令信息（含地面設備提供的MA移動授權、信號動態(tài)信息、線路參數、臨時限速等信息），按照目標-距離模式生成MRSP最不利限制曲線，進行超速防護，監(jiān)控列車安全運行。列控車載設備是高速鐵路行車安全中必不可少的核心設備之一，列控車載設備的安全技術直接關系到高速鐵路列車運行中的安全性和可靠性。

車載設備由車載安全計算機（VC）、GSM-R無線通信單元（RTU）、軌道電路信息接收單元（TCR）、應答器信息接收模塊（BTM）、記錄單元（DRU）、人機界面（DMI）等組成。

CTCS-3級列控系統(tǒng)車載設備采用分布式體系結構，各輸入輸出單元通過總線與核心處理單元進行通信系統(tǒng)中的關鍵設備均采用冗余配置，具有高可靠性和高可用性；各輸入輸出單元通過總線與核心處理單元進行通信，具有良好的抗干擾性和可擴展性。

以下以CTCS3-300T車載為例說明CTCS-3級列控系統(tǒng)車載設備的結構。CTCS3-300T列控車載設備與列車可采用兩種形式的接口，一種為繼電器接口，一種為MVB接口，對應的系統(tǒng)框圖如圖1所示（CRH2和CRH3型車）。

CTCS3-300T列控車載設備主要組成包括：

1）車載安全計算機：包括C3主機（對應ATPCU單元）/C2主機（對應C2CU單元），是列控車載設備的控制核心。負責CTCS-3級車載控制功能，兼容CTCS-2級控制功能。

2）測速測距子系統(tǒng)：負責監(jiān)測列車的運行速度并計算列車行走距離，并通過一定方式將此速度距離信息發(fā)送至各個子模塊，包括SDP、SDU以及用于測速的雷達和速傳，其中SDU速度距離單元采集來自速度傳感器和雷達速度傳感器的脈沖信號，將其轉換為脈沖值，通過信號MVB總線傳送給SDP單元處理；SDP速度距離處理單元對SDU單元采集的脈沖值進行計算，得出列車運行方向、速度和走行距離。

3）安全傳輸子系統(tǒng)：主要控制MT模塊通過GSM-R網絡實現(xiàn)車地數據的安全、可靠傳輸，又稱為STU-V，包括COMC和GCD兩部分，其中COMC主要實現(xiàn)安全層相關功能及內部總線通信與外部無線通信協(xié)議間的轉換功能，GCD主要實現(xiàn)傳輸層、網絡層、鏈路層、MT模塊控制功能，數據加密解密算法也有GCD設備負責完成。

4）應答器信息傳輸子系統(tǒng)：負責應答器信息接收與處理，包含BTM和CAU，其中CAU即BTM的接收天線，用于接收地面應答器的信號；BTM用于接收應答器信息，并將解調后的信息傳輸給主機單元。

5）數字輸入/輸出單元：用于采集列車輸出的開關量信息，實現(xiàn)與列車之間接口。

6）安全輸入/輸出單元：用于車載設備緊急制動命令的發(fā)送，并接收制動反饋信息。

7）軌道電路信息接收子系統(tǒng)：用于軌道電路信息的接收和處理。

8）司法記錄單元：用于記錄司法分析所需的列控車載設備工作狀態(tài)及各種輸入輸出信息。

CTCS3-300T列控車載設備負責接收地面數據命令信息，通過對列車行車許可、線路參數、列車信息的綜合處理，按照目標距離連續(xù)速度控制模式，生成最不利速度控制曲線，通過采取聲光報警、切除牽引力、三級常用制動（弱、中、強）和緊急制動措施，監(jiān)控列車運行，保證列車速度不超過進路允許速度、線路結構規(guī)定的速度、列車的構造速度、臨時限速及緊急限速。

列控車載設備時保證列車行車安全的重要安全設備，必須按照相應的安全設計和評估標準進行系統(tǒng)的研究開發(fā)。由于國內的CTCS-3級列控系統(tǒng)是在歐洲ETCS-2級列控系統(tǒng)的基礎上發(fā)展和演變過來的，歐洲已針對鐵路領域制定了比較完善的的安全系統(tǒng)設計和評估標準，簡稱為CEN-ELEC系列標準。目前，國內CTCS-3級列控車載設備研發(fā)過程也同樣要求遵循關歐洲CEN-ELEC標準中定義的安全完整度安全要求。用于高速鐵路的列控車載設備，安全相關部件都要求達到SIL4級（EN50129規(guī)定，SIL4級系統(tǒng)風險概率滿足：10^-9≤每小時故障危險概率＜10^-8）。按照SIL4級要求，車載設備安全部件的設計與研發(fā)過程均應采用故障導向安全的原則，安全相關軟件應采用雙代碼或雙硬件方式對系統(tǒng)執(zhí)行過程中的關鍵數據進行實時比較。

按照CEN-ELEC相關標準的規(guī)定，車載設備研發(fā)過程中，應通過EN50128中的安全軟件開發(fā)V字形模型開展相關研發(fā)工作，實現(xiàn)對整個軟件生命期的質量管理與控制。安全軟件開發(fā)V字形模型具體包括系統(tǒng)需求階段、系統(tǒng)架構設計階段、模塊詳細設計階段、編碼階段、軟件模塊測試階段、軟硬件集成測試階段、軟件確認與驗證階段、系統(tǒng)集成測試階段、系統(tǒng)評估階段和系統(tǒng)維護階段。各個階段的輸入和輸出文件都有詳細的規(guī)定，車載設備研發(fā)完成后，必須通過相關的測試驗證，并經過具有相應資質的獨立第三方安全評估機構進行安全評估，通過安全認證后才能夠安裝使用。

目前，國內CTCS-3列控線路中裝備最多的車載設備是CTCS3-300T車載設備。以下以CTCS3-300T車載設備為例，對車載設備的安全性設計進行說明。??

CTCS3-300T車載設備的安全相關軟件采用雙代碼結構，同一套硬件中同時運行A、B兩套相異代碼，兩套代碼使用不同的數據區(qū)，采用不同的數據結構，并且兩套代碼同時對輸入輸出數據及中間過程關鍵數據進行相互比較，比較不一致則導向安全側。在系統(tǒng)設計中，CTCS3-300T車載設備采用現(xiàn)場總線分布式結構，具有良好的抗干擾性和可擴展性；車載系統(tǒng)中的關鍵設備均采用冗余配置，如ATPCU、C2CU、BTM、CAU、DMI等采用冷備，速度傳感器、雷達、TCR、GSM-R單元及其天線等采用熱備，具有高可靠性和高可用性。CTCS3-300T車載設備的各個子系統(tǒng)均采用安全性設計，系統(tǒng)內安全相關單元一方面運行時實時硬件單元的CPU、內存等硬件進行監(jiān)控；一方面采用AB代碼方案，該軟件構架可以防護硬件單元的硬件故障。在軟件偵測到硬件故障后，自動根據故障影響控制施加最大常用或者緊急制動。此外，CTCS3-300T車載設備的總線接口和列車接口也都采用了安全性設計：總線通過看門狗實現(xiàn)安全性監(jiān)控，一旦總線中斷或者受到干擾，看門狗溢出后，自行施加制動；列車接口中的緊急制動和全常用制動采用繼電器接口及失電制動邏輯，確保了接口的可靠性和故障條件下的安全性。

車載設備的相關研發(fā)和設計完成后，按照接口設計圖紙可以完成相關的安裝調試。在運行過程中，車載設備需要與列車配合使用，而不同車型在制動性能、電氣接口等方面存在很多差異。那么，該如何驗證車載設備與車輛的匹配性呢？這就需要通過型式試驗來保證。

型式試驗需要在車載設備安裝調試完畢后進行，目的是驗證車載設備與列車接口的適配性和安全性，型式試驗一般僅針對新車型的首列車。型式試驗應包含靜態(tài)測試和動態(tài)測試兩部分。

其中，靜態(tài)測試至少應覆蓋以下內容：

1）列車開關對車載設備的作用和影響檢測：測試動車組開關對車載設備的控制作用，檢查升降弓、斷/合主斷路器對車載設備運行的影響；

2）車載設備與列車的制動接口檢測：檢測車載設備弱、中、強（最大常用）制動輸出、緊急制動輸出，檢測相應的制動反饋信號，檢測車載設備能否正常采集列車駕駛臺狀態(tài)輸入信號、方向手柄信號，檢測休眠信號對車載設備的影響，檢測列車正常的制動輸出等信號對車載設備使用的影響。