中国列车运行控制系统(CTCS)是在我国铁路高速线路和客运专线上,保证列车行车安全,提高列车运行效率的重要技术装备之一。C3列控系统基于GSM-R无线通信技术,兼容C2列控系统,符合C3级标准要求,满足最高运营速度350km/h、列车正向运行追踪时间间隔3分钟的要求。
C3列控系统包括车载设备和地面设备两大部分。车载设备负责接收地面命令,生成速度模式曲线,监控列车运行,保证列车行车安全。地面设备主要根据联锁办理的进路,给车载设备发出行车许可、紧急行车等命令。其中,车载安全计算机和RBC是C3列控系统的关键设备,负责处理大部分C3业务,二个硬件平台的功能直接影响系统运行的性能。
目前,国内厂商大都采取和国外厂商合作的方式共同开发C3列控系统,尤其是关键设备。与此同时,华为凭借多年的科研积累及成熟的软硬件平台,在深入理解ETCS及CTCS标准的基础上,自主研发了包括安全计算机和RBC在内的C3列控系统。
地面核心设备:RBC
RBC即无线闭塞中心,是高速铁路列控系统的核心设备之一。RBC根据从联锁系统接收的信号授权及列车发送的位置报告,为其管辖范围内的每辆列车生成运行授权,并发送给列车,以控制列车安全地运行。由于RBC同时管辖多辆列车,并且控制列车运行,因此对设备的安全性和可靠性要求极高。
一套完整的RBC设备包含:组成表决冗余结构的4台主机(核心服务器)、2台互为冗余的通信机、司法记录仪、操作维护设备及可外置的ISDN接入服务器等。
国际上先进的RBC核心服务器,有的采用通用的高可靠性计算机,有的沿用联锁等传统信号设备的硬件平台。而华为则根据RBC的各项需求,综合分析,硬件采用了基于ATCA架构的OSTA 2.0开放标准计算平台,系统软件采用了华为DOPRA 1.6分布式可编程实时架构。
ATCA架构已经广泛、成熟应用于电信领域。ATCA架构中各模块支持热插拔,发生故障后备机可以热替换主机工作,原主机降为备机。由于主、备两系统的电源相互隔离,热替换单板也不会使系统宕机。跟通用计算机相比,ATCA架构功耗低、组网简单、冗余实现容易。此外,ATCA架构外部电源线、网线等很少,维护方便。
在这个成熟的软硬件平台上,华为RBC重点针对列控的安全性需求,以及闭塞业务需求设计,满足列控系统在安全性、可靠性、功能、容量、接口、业务等方面的要求。
-
高安全性
华为RBC产品的开发采用CMMI+SAFE研发流程,应用表决、异构、安全编程等技术,遵循“故障-安全”理念,符合SIL4安全完整性等级的要求。
华为RBC主机为2乘2取2架构,即两套系统互为主备,一套系统内两个主机之间进行关键数据的比较,比较不通过则不向车载设备发送运行授权。两个主机的单板采用不同的硬件、不同的操作系统、不同的应用软件,以避免共模故障带来的安全风险。
华为RBC系统还采用表决冗余架构,以及多重软硬件检测、校验技术,充分保障列车运行的安全性。通过软件多版本、硬件多批次检测,华为RBC的故障检测率达到99.999%,处于业界先进水平。
-
高可靠性
华为RBC的可靠性保障措施有:采用分布式供电,电源输入模块冗余配置,4路输入可实现2+2备份;风扇也采取冗余配置,部分风扇的故障不影响系统的正常运行;设备管理、冗余备份、表决比较、业务软件采用相互隔离的通信平面,每个通信平面内部冗余,点对点互连,并且交换板集成在RBC机框内部。
另一方面,ATCA架构在通信设备上的累计故障统计结果显示,硬件平均无故障时间长达1.35×106小时,约153年。因此,ATCA架构本身具有的高可靠性、高可用性和灵活冗余组态方式,完全可以降低RBC的危险失效概率,提高安全性。
另外,基于“故障-安全”的设计,华为RBC在系统故障时,将产生导向安全行为的措施,使危险失效水平再提高两个数量级。
-
高速的处理能力
众所周知,列车运行的高速度、高密度,要求通信信号系统具有很高的实时性。而且,RBC作为列控系统的地面核心设备,需要同时与多辆列车、多套联锁系统交互,因此必须具备高速的处理能力。
华为RBC中各个单板(业务处理板、通信处理板等),可配置单颗或多颗低功耗、高性能处理器,单板内存最大可达16GB,支持10/100/1000M对外通信接口,内部业务数据通道最大可支持10Gbps带宽。这些电信级的配置极大提高了RBC的处理能力,使华为列控系统的整体性能处在行业前列。
-
强大的接口能力
华为RBC主机各个后插板为接口板,可根据需要灵活配置,支持GE、COM等接口,并可轻松实现对CAN、PROFIBUS等工业现场总线的扩展。
华为RBC通过ISDN接入服务器连接到GSM-R网络。单台ISDN接入服务器满配最大可支持480路数据通道。因此,ISDN接入服务器与RBC主机之间可灵活组网,通过多对多连接的方式进一步提高通信可靠性。
车载核心设备:安全计算机
C3车载设备的主要功能是采集列车速度传感器数据,接收应答器报文、地面轨道电路信息、地面RBC无线通信报文(移动授权等)、列车接口状态,根据列车的固有特性,采取特定算法来防止列车超速,控制列车追踪间隔,以保证列车行车安全。
车载系统故障容易导致灾难性后果,环境大面积破坏或危及人民生命安全,所以华为列控车载设备设计为“故障-安全”系统:当系统故障时,实现自动导向安全状态,保护生命,并将破坏和损失降到最低;在此前提下,提高设备和系统的可用性。其核心安全计算机采用多套设备同时运行,一套设备的故障不影响列车正常运行。另外,安全性与可用性由元器件的高可靠性、容错、冗余、反馈检测等结构实现。华为列控车载平台的元器件采用铁路行业专用的高可靠性器件,或符合铁路规范的工业级器件。
华为C3车载安全计算机提供多种工业标准接口、强大的处理能力和安全输出保障;系统硬件完成“二取二”功能,确保两套完全相同的处理器系统,其输入、输出和关键过程数据相同;单个处理器性能达300MIPS;双通道总线互连架构,功耗低,无需主动散热。
具体来讲,华为C3车载安全计算机具有以下特点。
“二取二”的可靠性核心技术
“二取二”技术是华为安全计算机的可靠性核心技术,对数据输入、中间运算结果、结果输出实现二取二同步、二取二比较。在实现同步时,设置时间窗,超时则指示同步失败;实现比较时,结构相同则比较成功,否则比较失败,失败后封锁自己的输出。
独立的数据输入通道
华为安全计算机建立多个独立的数据输入通道,确保系统的可靠性。例如,独立的电源供应,可防止电源故障导致的IO错误无法检出;独立的防护电路,可提高接口电路的抗ESD、抗浪涌能力,降低器件失效率,增加器件失效的检测率;分离的传输通路,使信号传输干扰不同时存在,可减少系统误动作次数。
紧急制动输出
华为安全计算机具有两个独立的IO总线接口,可实现硬件数据校验和数据比较。靠近末端的硬件狗功能,使两套系统的CPU即使同时死机,或者同时发生总线故障,也可自动隔离本系统的输出,导向安全侧;元器件失效可检测,并立即隔离本系统输出;脉冲驱动继电器的输出引脚失效,将立即导致刹车。另外,两个系统的安全计算机双主机,若同时故障隔离,能够立即紧急制动。
适应严酷的工作环境
华为具备高可靠性的产品设计经验,以及高低温和振动环境试验室、EMC试验室、安规试验室,技术先进的PCB加工、调测和装配生产线。因此,华为安全计算机经过严格的测试试验,其冲击试验、功能性随机振动试验的规格要求,均高于铁路行业的标准。
华为安全计算机采用45nm制程工艺,大大提高系统性能、降低功耗。华为经过多年平台研究,掌握了单板模块强化技术、板内器件散热平面转移技术、自然散热空间流量管理技术,解决了有限空间内高热密度板级器件散热需求。基于此,华为安全计算机的PCB板采用专门的热设计、高导热率材质和特殊的导热垫片,保证芯片和散热器可靠接触,且热阻低。
为满足高速大功率情况下能正常工作,华为安全计算机进行了专业的EMC设计,确保在强干扰的环境下工作稳定。
节能与环保
华为安全计算机的设计还考虑了节能减排、绿色设计。华为安全计算机的CPU采用AMD的低功耗版本,每个处理器功率仅35W,大大低于普通服务器处理器的95W功耗;CPU智能调频功能根据任务繁忙程度,自动调节工作频率,动态调节系统功耗。华为安全计算机的EMC设计,完全符合TB3034铁路标准,其中电磁辐射余量仅6dB。
在产品设计和加工过程中,华为安全计算机的所有元件器件和加工辅料,都满足世界各国电子产品环保要求,有毒有害物质成分含量控制在极低的水平。华为安全计算机还选用超静音调速风扇辅助散热,来延长器件寿命,减少噪声污染。
除了安全计算机和RBC,车载和地面设备的通信载体包括GSM-R网络通信系统和应答器传输系统。其中,华为的GSM-R系统已经在大秦线、京九线等重要线路得到成功应用;为RBC提供通话路由的ISDN服务器,采用华为SoftCo 9500系统,容量大、处理能力强,采用冗余设计,温备运行,支持热插拔;在应答器方面,借助长久积累的射频、硬件设计经验,华为已经研制出包括应答器、应答器接收天线、BTM在内的应答器传输系统。
华为在努力攻克列控关键技术的同时,也注重集成业界成熟产品,实现整体解决方案的快速交付。像DMI、雷达、测速发电机、机车电台以及其它非核心设备,都采取集成业界成熟硬件平台,进行业务软件二次开发的方式实现。
高铁的迅猛发展,充满了机遇与挑战,华为公司将依托多年积累的软硬件研发能力及快速的市场反应能力,走自主创新之路,推出适合中国铁路的信号系统解决方案,助力中国高铁实现跨越式发展。