时间:2024-07-28
李志文
(中国铁路通信信号股份有限公司天津工程分公司,天津 300240)
信号(列控)系统是直接关系到行车安全的信息系统,其输入、运算、输出等环节均需要考虑足够的安全冗余,并进行闭环检查。
目前,列控系统对继电器的采集使用单接点采集方式,并认为采集单元获取的“0”和“1”严格对应继电器状态的“落下”和“吸起”;所有的运算均建立在这个基础上。但这种模式存在如下两个问题。
1)外部防护不足
举例:由于列控中心(TCC)采集继电器的前接点,假设对于一个由列控中心驱动的站内方向继电器;继电器当前状态为吸起,所以列控中心能够采集到24 V电压;当列控中心驱动其落下时,同时采集和驱动电缆断线,那么前接点的回采会丢失、列控中心认为其已经落下;但是由于驱动电缆也断线,继电器实际上并没有动作。这种情况下,列控中心采集的信息就与继电器实际状态不一致,并且这种不一致不能检查出来。
2)缺乏比较手段
由于列控中心的部署范围很广,涵盖了车站、线路所、中继站及无岔站,而后两者没有联锁系统、只有信号微机监测,列控中心采集的内容无法与其他同等级的安全系统进行比较,一旦发生采集错误,往往问题无法暴露。
为此,需要通过技术手段来提高列控中心的采集可靠性,从而提高整个信号系统的安全性与可靠性指标。
列控中心与继电电路接口分为采集外部继电器和回采本设备驱动继电器两类。
列控中心采集的外部继电器包括:轨道继电器(GJ)、区间方向继电器(FJ)、异物侵限报警继电器(YWJ)、邻站继电条件(如LXJ、ZXJ、TXJ、SNJJ、LUJ等)、区间轨道电路方向切换继电器复示继电器等。
列控中心回采本设备驱动继电器包括:正改方继电器(ZGFJ,JWXC-1700)和反改方继电器(FGFJ,JWXC-1700)、区间点灯继电器(LJ, HJ, UJ, LUJ)、站内轨道电路方向切换继电器(FQJ,JWXC-1700)、LEU冗余切换继电器(GZJ,HOZ-03464/44)、转频继电器(ZPJ,JWXC-1700)、倒码继电器(DMJ,JWXC-1700)、代其他设备驱动的继电器(如FQJ、GJ),限速降级继电器(JJ)等。
下面,对主要的继电器类型进行风险分析。
FQJ目的是用于站内轨道电路发码方向倒换,落下表示正向,吸起表示反向。
目前,列控中心采集FQJ接口电路如图1所示。
通过上述采集原理分析,当列控中心驱动FQJ落下,且采集到后接点有电,TCC认为落下;当列控中心驱动FQJ吸起,且采集到后接点没电,TCC认为吸起。当发生如下场景时,有误收码的风险。
场景:办理X->X3接车进路(图2粗黑线所示),3G2_FQJ落下,列车完全驶入3G2停车。此时办理S3->X发车进路(图2细虚线所示),如3G2_FQJ采集断线,TCC将误认为3G2_FQJ动作到位(实际3G2_FQJ落下)。列车将收到UUS/UU码,由于出站信号机平时灭灯,误以为X3信号开放,列车存在冒进X3的风险。
为此,可修改FQJ采集电路,列控中心增加FQJ前接点采集,如图3所示。
当前后接点状态为“10”时,视为吸起;当前后接点状态为“01”时,视为落下,否则为故障状态。股道区段FQJ故障状态时,列控中心控制相应股道轨道区段发HU码,道岔区段FQJ故障状态时,列控中心控制相应道岔区段轨道电路发B码。
当出现前述场景时,列控中心如采集FQJ前接点,即“10”状态,列控中心判定继电器动作到位,即使后接点断线也无安全问题;如采集不到FQJ前接点状态,即“00”状态,列控中心判定FQJ故障,控制3G2区段发HU码。无论继电器未动作或前接点采集断线情况,由于列控发送了HU码,均无安全问题。
邻站继电条件采集将作为本站编码条件的输入。当邻站继电条件采集有误,将导致后续编码升级的风险。
目前,列控中心采集邻站继电条件接口电路如图4所示,以LXJ(邻)为例。
邻站信号未开放即LXJ(邻)落下,由于混线等原因,LXJ(邻)前接点有电,TCC视为LXJ(邻)吸起,本站将根据LXJ(邻)吸起状态编码,造成后续编码升级的风险。
为此,修改邻站继电条件采集电路,增加后接点采集,如图5所示。
当列控中心采集到LXJ前后节点状态为“10”时,视为吸起;当采集到前后接点为“01”时视为落下;否则为故障状态。当采集到故障状态时,列控中心应控制本站轨道电路编码倒向安全侧。
当LXJ(邻)前接点混线时,TCC将采集到前后接点均有电,即“11”状态,TCC视LXJ(邻)为故障状态,按前方站信号关闭处理。
目前,区间信号灯驱采接口电路如图6所示,区间信号机点灯电路如图7所示。
每个点灯继电器将存在如下可能,以HJ为例说明。
1)列控中心驱动HJ吸起点亮红灯,由于HJ前接点混线,而HJ未动作,列控中心认为HJ吸起,存在红灯断丝未转移的风险。
2)列控中心未驱动HJ,而采集到HJ吸起,此时列控驱动UJ、LJ吸起,存在乱显示的风险,即红黄灯、红绿灯同时点亮。
3)区间反向运行时,列控中心驱动HJ落下,而采集到HJ吸起,如PIO端混电,实际HJ落下,信号机灭灯,无影响;如HJ为吸起,则信号机点红灯,即出现乱显示。
为此,提出增加后接点采集的方案,如图8所示。
对于LJ、UJ、LUJ、LJ,列控中心采集到前后节点状态为“10”时,视为吸起;前后接点状态为“01”时,视为落下。否则为故障状态,故障状态时,TCC宕机。
对于DJ、2DJ,列控中心采集到前后接点状态为“10”时,视为吸起;前后接点状态为“01”时,视为落下,否则为故障状态,故障状态时按断丝处理,并进行报警。
目前GJ只采集前接点,如图9所示。若GJ实际状态为落下,而前接点混电,列控中心会产生错误判断,导致码序升级的风险。
修改轨道电路采集电路,增加GJ后接点采集,如图10所示。
列控中心采集的前后节点状态为“10”时,判断轨道空闲;采集的前后接点状态为“01”时,判断占用;其他判断为故障,按占用处理。
对于继电编码的车站,列控中心驱动限速降级继电器(JJ),该继电器纳入进站信号机的点灯电路中。JJ吸起表示无限速降级,JJ落下表示有限速降级,目前JJ采集电路如图11所示。
列控中心驱动JJ吸起,JJ未吸起,进站信号机降级,如列控采集到JJ前接点,误认为JJ动作到位,无报警,但进站信号机已降级无安全问题。
列控中心驱动JJ落下,JJ未落下,由于单采集断线,TCC将认为落下,无报警。进站信号机存在不降级的风险。
列控中心驱动JJ落下,采集到JJ吸起,驱动采集不一致,报警。但进站信号机存在不降级的风险。
拟修改JJ采集电路,增加JJ后接点采集,如图12所示。
列控中心采集的前后节点状态为“10”时,判断吸起;前后接点状态为“01”时,判断落下;其他状态判断为故障,故障时,TCC宕机。
注意:JJ接口电路前后接点采集,并不能完全避免由外部因素造成的继电器不落下导致的进站信号机未降级。但增加了对“11”状态的报警。
因工程设计需要,列控中心代为驱动的继电器,继电器状态将用于其他电路中。当列控中心采集到代驱继电器状态与驱动命令不一致时,判断为故障,并根据代驱继电器的重要性采取报警或宕机等不同级别的处理措施。
列控中心驱动正改方继电器(ZGFJ)和反改方继电器(FGFJ),由ZGFJ和FGFJ组合条件并驱动方向继电器FJ,列控中心采集FJ的前后接点。ZGFJ吸起,FGFJ落下表示正向;ZGFJ落下,FGFJ吸起表示反向,如图13所示。
可见,由FJQ对应ZGF,FJH对应FGF,可通过FJ的前后接点状态和对ZGFJ和FGFJ的驱动命令比较,判定ZGFJ和FGFJ动作是否到位。因此ZGFJ和FGFJ的接口电路不作修改。
根据《信号系统与异物侵限系统接口技术条件》(运基信号[2009]719号)文规定,列控中心负责采集YWJ条件,应同时采集YWJ的一组前接点和一组后接点, YWJ常态为吸起,表示无灾害发生,如图14所示。由于列控中心已经采集了YWJ的不同组接点,所以,YWJ采集接口电路维持。
每处地震点由防灾专业提供两个DZJ,常态为吸起。列控中心分别采集DZJ1和DZJ2的前后节点,如图15所示,常态DZJ1和DZJ2均吸起,只有DZJ1和DZJ2均落下时表示地震发生。故地震继电器采集接口电路维持。
1组LEU冗余切换组合逻辑单元,由列控中心驱动两个信号安全继电器(1GZJ,2GZJ)来实现,采集电路如图16所示。当列控中心主机与LEU1/LEU2通信正常,驱动1GZJ/2GZJ电器吸起;当列控中心主机与LEU1/LEU2通信中断,控制相应1GZJ/2GZJ落下。
如LEU1设备故障,而1GZJ错误吸起,不发生LEU切换,LEU1控制的有源应答器发送应答器默认报文,无安全问题,故LEU切换继电器采集接口电路维持。
列控中心通过通信接口单元的轨道电路通信板,进行CAN协议转换,与移频柜的ZPW-2000A轨道电路设备进行通信。连接如图17所示。
当室外轨道被分路时,轨道电路接收器对GJ的驱动状态为落下,即占用状态;反之,轨道电路接收器对GJ驱动状态为吸起,即出清状态。因此,为获得真实的分路状态,除了可从GJ获取外,接收器的工作状态同样可作为参考条件。
考虑在列控中心的逻辑运算中,引入轨道电路通信状态和GJ状态二者的“与”逻辑。正常情况下,轨道电路通信盘获得的接收器状态,应与GJ状态一致。一旦出现不一致,则列控中心判断为故障状态,并采取宕机策略。
对同一继电器增加双接点采集,将原有的一元判断 (0/1)扩展为二元判断(01/10/00/11),并定义仅有01/10为有效值,从而将00/11的非法输入直接过滤。此外,加入轨道电路通信单元的通信状态比较机制,使得对轨道实际占用状态的判断条件增加为三重输入,即:GJ前接点,GJ后接点,轨道电路接收器状态。在尚未增加后接点采集的地点,也可修改软件、单独比较GJ前接点与轨道电路接收器状态,并进行相互校核、验证。通过上述的多种防护手段,提高了列控中心输入的安全可靠性。
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!