单CPU架构联锁对外安全通信改造方案

卡斯柯信号有限公司 喻 焰 许明旺 谢千野

采用一种单CPU架构系统的对外安全通信设计思路，在不改变硬件的情况下，使VPI型计算机联锁系统满足RSSP-I通信协议的安全要求，适应北京地铁5号线大修工程中联锁外部安全接口变化。

1 改造背景

作为北京南北方向大动脉的地铁5号线，近年来运力不断提高、密度不断加大。然而负责ATC（列车自动控制）功能的TCOM系统为单系配置，板卡不具备热更换能力，一旦出现故障，将直接影响地铁高强度的安全运营。由于TCOM系统的供货商美国西屋公司已退出中国轨道交通市场，经过多方研究论证，决定在5号线大修工程期间，采用国产低频发码设备LFCT系统替换TCOM系统，实现热冗余能力。

鉴于本次大修中的ATC设备变更，提供联锁功能的VPI系统必须改造原有的TCOM轨道发码接口为新的LFCT接口。对于联锁系统来说，主要难点：一是原VPI-TCOM通信协议需采用新协议实现VPILFCT通信，并提升传输安全性；二是在硬件不改变的前提下，VPI系统对外安全通信接口的改造不能影响原有联锁功能和性能。

2 设计优化

轨道交通信号行业的安全系统基本采用多重冗余设计，以联锁系统为例，同一个车站的联锁，至少是双机热备系统，主备系皆有很多外部安全接口需求，安全系统之间的通信常采用行业内公认的几种安全协议，如RSSP-I协议等。

对于外部功能的拓展，传统的做法是为系统直连新的安全接口，但这样做会增加系统处理上的负担，比如运算能力，周期时序等问题。另外，随意的增加接口对系统的安全独立性问题也会产生挑战。

为了克服上述缺点，更有效的方法是在安全系统中增加处理对外通信的专用接口CPU模块。通过接口CPU来隔离逻辑运算CPU与外界的直接联系，保证逻辑运算CPU自身的运算安全稳定。接口CPU可以与各种通信协议类型的外部设备进行通信，然后再通过算法转化为逻辑运算CPU认可的统一协议，逻辑运算CPU几乎不用关心对外新增的通信协议，提升了整个系统的扩展性。

如图1所示，接口CPU作为系统A的一部分，与外界其他系统B1、B2…..Bn链接，可采用网络、串口、CAN口等物理连接方式。

图1 一种优化的单CPU安全通信架构设计

接口CPU负责按照相应的通道要求Cn和安全协议要求Pn，同外部安全系统Bn进行安全通信，来自于Bn的安全数据按照接收帧的格式存储在接口CPU中，同时接口CPU会把发送帧传输给Bn系统。假定B1和B2是同一外部系统的组合，接口CPU还会对B1和B2传输过来的安全数据进行预处理操作，比如采用合帧的方式，以减少系统A运算CPU的逻辑运算压力。

接口CPU对外部系统的数据进行算法转化，添加时间戳等必要的防护，变为系统A运算CPU认可的单一通信格式数据，简化系统A运算CPU的复杂度，使得系统A运算CPU的大部分能力保留在既有功能的运算执行上。

3 改造方案

在北京地铁5号线的轨旁信号系统中，CI（计算机联锁）通过高速串口向地面自动列车控制系统ATC发送轨道电路编码信息，该信息与列车速度、运行区段等被车载设备共同组成“目标-距离”控车模式。联锁系统的轨道发码接口，作为该信息的承载通路，须满足高安全、高可靠的传输要求。

北京地铁五号线原CI-ATC架构如图2所示，VPI系统AB双机的VCOM通信板与单系配置的TCOM系统CCM通信板之间串口直连，采用HDLC（高级数据链路控制）通信协议保障数据传输。当TCOM为单系配置，一旦故障，VPI系统将直接丢失对轨道电路的发码能力，该结构缺乏冗余性。

图2 VPI-TCOM结构简图

HDLC协议的使用限制在于没有指定字段来标识已封装的上一层协议，每个厂商的HDLC格式都是私有不兼容的，鉴于主导该接口的协议条件需要考虑替换，而且VCOM与CPUPD通路上的数据为裸数据，传输过程中码位跳变防护的能力不足，安全性不高。

改造后的新CI-ATC架构如图3所示，VPI系统AB双机的VCOM通信板与LFCT系统的AB双机串口交叉互连，采用RSSP-I（铁路信号安全协议-I型）通信协议保障数据传输的安全性。由于VPI和LFCT系统皆为双机热备结构，任何一个系统的单系故障，都不影响VPI对轨道电路的发码能力。

图3 VPI-LFCT结构简图

RSSP-I通信协议作为轨道交通行业公认的封闭式网络安全协议，提供了完善的安全通信保护机制。VPI系统在采用该协议时，比较简单的设计是通过CPUPD运算板直接与LFCT双系进行串口通信。但CPUPD板本身要处理继电器采集数据、邻站CI信息等联锁核心逻辑，这种设计会增加CPUPD板的运算负荷，另外随意的增加外部接口对既有系统的安全独立性也带来了挑战。

为了克服上述缺点，保持既有联锁性能和安全等级不下降，本次改造，VPI系统采用上述单CPU架构的对外安全通信设计思路，VCOM通信板负责与LFCT系统通信的RSSP-I协议数据收发工作，然后通过算法转换，使RSSP-I协议数据变为CPUPD板既有的FSFB2（第二代故障安全总线）协议数据，最后在CPUPD端完成轨道编码相关的逻辑处理。该设计使VCOM板隔离了CPUPD板与外界的直接联系，VCOM板可随意拓展各种通信协议，而CPUPD板只需关注自身认可的某一种通信协议，松耦合的设计保持了运算单元的安全独立性，也降低了运算单元的负荷。

结束语：在不改变VPI系统硬件的前提下，对系统内部结构优化设计，最小化改造成本。通过算法转换，数据流全程强编码防护等手段，使VCOM通信板与CPUPD运算板组合实现对外安全通信功能。经必维质量技术服务（意大利）有限公司第三方安全评估，该方案获得了SIL4认证，为后续工程实践提供了理论支持。

VPI与LFCT接口研发成功后，大修工程于2017年4月开始实施，北京地铁5号线正线10个车站和2个试车线的TCOM系统逐步完成了国产化替代。经过2年多的正式运行，VPI联锁系统功能稳定、通信正常，与LFCT系统配合，一起降低了5号线运营压力，为北京城市轨道交通提升了经济价值和社会效益。