全电子计算机联锁系统的研发

专业知识分享版

使命：加速中国职业化进程

摘要:随着计算机联锁系统在高速铁路、地铁系统广泛应用，采用继电器接口控制室外设备的联锁系统也在高速铁路区域联锁、地铁项目集中控制技术中应用，而远距离非集中站室外设备控制需要大量电缆加芯，同时，由于国内安全型继电器不满足欧洲标准，难于在海外推广，这些都将迫使计算机联锁系统在结构及控制接口方面进行改进与提高。因此，研发高可靠性、满足SIL4 标准、适合远距离安全传输与控制的全电子输入输出接口系统，是计算机联锁系统必须进行的一次技术变革。

关键词:计算机联锁; 全电子; 故障-安全

计算机联锁系统经过多年的应用与改进，其可靠性、可用性、可维护性及安全性 ( RAMS) 已完全满足国内铁路系统的要求，但基于一定安全性的考虑，其室外设备接口部分仍沿用既有 6502 电气集中继电接口电路，如信号机点灯电路、道岔控制电路、轨道电路、闭塞接口电路等。该种模式适用于室外设备的本地控制，而对于室外设备需要远距离控制的区域联锁 ( 或集中联锁) ，则存在结构上的问题。因此，有必要研发适用于远距离信息安全传输的全电子输入输出系统，既可以优化计算机联锁的系统结构以及提高系统整体性能，又能实现对计算机联锁系统主机、通信系统、室外设备接口电路的故障监控，同时又可对接口电路输入输出内容、控制命令的传递过程实现全过程记录。采用全电子模式的计算机联锁系统，在满足安全认证的前提下，能够规避国内安全型继电器不满足欧洲标准要求的问题，在国内有良好工程业绩的前提下，可以加快占有海外铁路市场的步伐。

1全电子计算机联锁系统结构

全电子计算机联锁系统的结构设计应既能满足本地室外设备的控制需求，同时又要适应远距离区域控制的需求。在区域联锁 ( 或集中控制) 模式下，应充分考虑远距离控制室外设备指令及信息的安全、可靠传输，因此，系统控制结构可配置主控站联锁系统与被控站联锁系统。一个主控站根据需要可以控制多个被控站; 主控站与被控站之间设置冗余的传输通道，信息的传输除采用铁道部相关协议外，还应采取更加严密的远程传输的防护措施;被控站由于不进行联锁逻辑计算，可只设置高可靠性的通信主机，以及负责输入输出控制的全电子接口系统。

1. 1主控站全电子联锁系统结构

主控站计算机联锁系统除全电子输入输出部分外，其主要结构仍沿用既有系统结构，联锁主机采用二乘二取二的冗余结构，通过交换机与被控站进行数据通信，主控站联锁逻辑控制及控显软件不需要修改，无须改变已经通过验证的联锁软件系统，只需对输入输出接口软件及远程通信部分软件进行修改。全电子联锁系统建议结构如图 1 所示。

专业知识分享版

使命：加速中国职业化进程

在上述建议的结构中，全电子的接口系统根据功能分别配置，如道岔接口板、信号机接口板、轨道电路采集接口板以及零散电路接口板等。为保证系统安全、可靠运行，全电子板采集、驱动电路与联锁主机通信接口应采用冗余 CAN 总线通信。全电子接口板电源系统采用 2 + 2 冗余设置，采用集中供电方式，每块电源板应能满足全电子接口板工作最大电源容量 ( 不包括室外设备动作电源) 要求。主控站与被控站之间经交换机通过冗余设置的光缆通道连接，通信协议采用铁道部通信协议，但应考虑远距离传输的安全防护。

1. 2被控站系统结构及安全防护措施

区域联锁 ( 或集中控制) 模式中主控站联锁系统负责联锁逻辑计算，被控站只接收主控站室外设备的控制信息，或将被控站室外设备状态信息发送至主控站，所以被控站系统建议采用如图 2 所示系统结构。

专业知识分享版

使命：加速中国职业化进程

被控站设置双机热备的通信主机，主机系统采用高可靠性的工业级计算机，通过冗余的网络接口与主控站联锁系统通信，同时主机系统提供冗余的 CAN 总线接口与本地全电子输入输出系统进行通信; 采用工业级计算机可在降低系统总体造价的同时满足系统可靠性、可用性需求。室外设备接口板采用和主控站相同的结构与控制模式。

双机热备的主、备机同时接收主控站系统控制命令，同时对接收的命令进行比较，验证一致后由通信主机发送到全电子系统执行。双机热备的主、备机还同时接收全电子系统采集的室外设备状态信息，同时对接收的信息进行比较，验证一致后由通信主机发送到主控站主机系统，不一致时发送安全侧信息至主控站。

通信主机通过检测自身设备状态、与备机通信状态进行主、备状态自动切换，主、备状态不受全电子输入输出接口板状态影响。通信主机通过维修机提供手动主、备切换功能。

2输入输出板控制电路

采用全电子模式控制室外设备动作、室外设备状态的采集，应考虑电子控制设备的电流和电压参数、可靠性及设备尺寸。本方案输出控制建议采用固态继电器 SSR ( solid State Relay) 作为输出控制开关。SSR 输入端要求很小的控制电流，能与TTL 、HTL 、CMOS 等集成电路较好地兼容; 而输出回路则采用可控硅或大功率晶体管接通和断开负载电流。输入与输出之间采用光电耦合，通断没有可动接触部件，因此具有工作可靠、开关速度快、无噪音、寿命长、体积小、无火花、耐蚀、防爆、抗振等特点。室外设备状态采集采用工业级 A/D( 模数转换) 及磁隔离器件，确保室外采集电源与室内计算机设备的电气隔离，防止雷电、

专业知识分享版

使命：加速中国职业化进程

牵引电流及其他外部电源对联锁主机或通信主机系统的影响。

本方案中电子设备直接与室外电缆连接，除在电缆引入端有防雷器件外，在板级输入输出端也应增加板级防雷器件。为保证输入输出控制电路能及时发现板级设备及室外设备故障，采用冗余单片机( 如 ARM 系列或 DSP 系列) 为逻辑处理单元，负责输入输出信息的控制与采集，同时板级 CPU 能够实时监督板级元器件的工作状态，故障信息通过CPU 发送到本地维修机; 板级冗余 CPU 对输入输出信息进行比较计算，双机运算结果比较一致进行室外设备控制及状态采集，不一致则输出安全侧控制，确保系统安全、可靠运行。全电子输入输出接口板每个 CPU 均提供 2 路冗余的 CAN 总线接口，确保控制、采集数据的可靠传输。

2. 1信号机控制电路

全电子信号机控制电路原理应按照 6502 电气集中信号机点灯电路原理进行设计，信号机控制电路从如下主要方面进行安全防护。

1． 采用双 CPU 模式，每个 CPU 分别接收主机发送的控制命令，并比较命令的一致性。命令一致时输出控制命令 ( 开放或关闭信号) ，命令不一致时输出关闭命令。

2． 信号点灯电源采用双断控制，每个控制点采用双电子开关冗余配置，提高系统控制可靠性。

3． 设置紧急控制开关。若控制开放信号或关闭信号机的开关故障 ( 开关短路) ，在发出控制命令后不能关闭信号，应立即切断信号供电电源，将信号机置于灭灯状态。

4． 对每个控制开关状态进行实时采集，与CPU 发出的控制状态进行比较，若没有控制命令而开关打开，或没有控制命令而有点灯电流时立即切断供电电源; 若有控制命令而开关没有打开立即报警，并将故障状态返回至联锁主机。

5． 采用电子方式采集点灯电流，监督信号机灯丝状态，允许灯丝断丝时立即将断丝状态返回至联锁主机，关闭开放的信号，并报警。

2. 2道岔控制电路 (以四线制直流道岔为例)

直流道岔控制电路采用直流型 SSR ( solid staterelay) 电子开关，控制模式采用双 CPU ，其控制原理参照四线制道岔控制原理进行设计。( 目前国内的道岔控制电路考虑节省室外电缆，动作线与表示回线公用。若不考虑节省室外电缆，将动作线与表示线分开设计，全电子道岔控制电路逻辑将更加简单) 。道岔控制电路的控制与安全防护措施如下:

1． 采用双 CPU 模式，每个 CPU 分别接收主机发送的控制命令，并比较命令的一致性，命令一致输出控制命令 ( 定位或反位操纵) ，命令不一致时输出关闭命令。

2． CPU 接收到主机发送的控制命令立即打开控制开关 ( 定操打开 X1 与 X4 控制开关，反操打开 X2 与 X4 控制开关) ，并采集 X4 道岔动作电流，当没有电流或电流小于规定电流值时立即关闭开关，并返回故障状态; 当电流正常时保持开关打开至道岔转换到位，到位后转辙机切断电源，道岔动作电流为零，CPU 控制 X1、X4 开关关闭，接通道岔表示电路 ( X1、X3 或 X2、X3) ，CPU 采集三个冗余的光耦条件，判断道岔处于定位或反位，并返回至主机。

3． 动作线与动作回线采用双断控制，每个控制点采用双电子开关冗余配置，提高控制可靠性。

4． 设置紧急控制开关。对每个控制开关状态进行实时采集，与 CPU 发出的控制状态进行比较，若无输出控制命令 ( 定操或反操) 开关打开，立即切断信号供电电源，防止道岔误动。

5． 道岔表示位置采用 3 组光耦组合，当 3 个光耦一致时且与另一组光耦状态相反时才用于道岔位置的判断条件，否则道岔则置于四开状态，确保不出现室内外状态不一致情况。

6． 采用全电子道岔控制电路，在道岔故障失去表示时必须进行一次道岔定位、反位操作来确认道岔位置并返回道岔表示，防止由于人为封连道岔表示线出现错误道岔表示，或实际位置与表示位置不一致而出现危及行车安全的事故。