2.3　核心單元技術(shù)與設(shè)備

2.3.1　安全計算機平臺技術(shù)

隨著計算機應(yīng)用技術(shù)迅速發(fā)展，其在工控、鐵路、交通等和人們生活息息相關(guān)的領(lǐng)域得到了廣泛的應(yīng)用。特別是隨著鐵路行業(yè)的大發(fā)展，對計算機技術(shù)依賴越來越高。另一方面，計算機系統(tǒng)的故障將會造成重大的人員和經(jīng)濟損失，因此對計算機系統(tǒng)的安全性和可靠性要求也越來越高[18]。信號設(shè)備是用來保證列車高效安全運行的控制設(shè)備，因此對其安全性要求十分苛刻，歐標(biāo)要求其系統(tǒng)安全完整性必須達到SIL4等級，即危險失效率＞1.0×10-9，國內(nèi)也對其有同等要求。因此計算機必須有完備的故障檢測手段，以保證能夠及時發(fā)現(xiàn)故障并使控制設(shè)備導(dǎo)向安全側(cè)，即故障—安全原則。

安全計算機平臺是為信號設(shè)備提供安全輸入、輸出執(zhí)行、數(shù)據(jù)安全及安全運行環(huán)境。作為信號設(shè)備的核心，承載著保證鐵路信號設(shè)備安全和可靠運行的重要任務(wù)。根據(jù)鐵路特有特點，安全計算機主要功能包括提供安全的IO輸入接口、安全的IO輸出接口、安全的通信接口、應(yīng)用數(shù)據(jù)安全性保證、應(yīng)用軟件處理過程的安全性保證等。

安全計算機系統(tǒng)的主要要求包括兩個方面：

①與安全相關(guān)的電路必須符合故障—安全原則；

②系統(tǒng)應(yīng)按照安全完整性等級SIL4級的要求設(shè)計，危險失效率THR≤10-9次/h。

目前比較主流的安全平臺主要有二乘二取二和三取二結(jié)構(gòu)。由于三取二的實現(xiàn)成本過高，國內(nèi)一般采用二乘二取二的冗余結(jié)構(gòu)，如聯(lián)鎖設(shè)備、列控設(shè)備、既有線的站間傳輸設(shè)備均采用此結(jié)構(gòu)。

安全計算機處理器系統(tǒng)包括處理器、內(nèi)存及觸發(fā)器等數(shù)字時序電路器件。這些器件系統(tǒng)復(fù)雜，瞬時失效風(fēng)險高，并且存在著不確定性，其發(fā)生和消失都具有隨機性。特別其運行環(huán)境惡劣，如電磁干擾、惡劣的散熱條件或工作溫度影響、振動等，任何器件不可能百分之百地可靠運行，總是存在失效可能。即使是小概率事件，當(dāng)其出現(xiàn)故障，沒有完備檢測方法和有效的控制手段，就有可能造成嚴重后果。當(dāng)然并不是所有器件的失效都會產(chǎn)生嚴重后果，并且對每一個器件的失效都制定防護手段也不現(xiàn)實，因此需要對器件進行失效分析，確定其產(chǎn)生后果是否是可接受的，從而決定是否需要制定防護手段。

如表2-2和表2-3所示，根據(jù)ALARP原則，可以將風(fēng)險等級歸類為下面三類：（a）風(fēng)險不可接受區(qū)域（R1和R2區(qū)域）；（b）風(fēng)險可容忍區(qū)域（R3區(qū)域，也稱ALARP區(qū)域）；（c）風(fēng)險可廣泛接受區(qū)域（R4區(qū)域）。針對風(fēng)險不可接受的R1和R2區(qū)域，必須采取必要的風(fēng)險降低措施，使風(fēng)險等級降低到R4或R3區(qū)域。針對風(fēng)險可廣泛接受得R4區(qū)域，可以不需要采取任何風(fēng)險降低措施就可以接受。針對落入ALARP區(qū)域的R3風(fēng)險，需要能夠證明增加額外的風(fēng)險降低措施帶來的成本大于取得的風(fēng)險收益才能被接受。

《Engineering Safety Management（The Yellow Book）Issue 4》規(guī)定的七步風(fēng)險分析方法，一般選取其中四步進行風(fēng)險分析，即危害識別、后果分析、原因分析和選項分析。

①使用FMECA方法分析功能失效模式（即危害）。

②使用事件樹對危害進行后果分析，將對應(yīng)危險失效（R1、R2、R3失效模式）納入安全平臺的危害列表。

③使用故障樹對危害列表的危害進行原因分析。

④針對危害發(fā)生的原因，進行選項分析，提出設(shè)計改進措施和補償措施。

一個產(chǎn)品的失效主要由系統(tǒng)失效和隨機失效組成。通過對其控制能夠使產(chǎn)品的可靠性和安全性達到安全產(chǎn)品的要求。

2.3.1.1　系統(tǒng)失效控制

系統(tǒng)失效主要由于人的錯誤、工具BUG、誤操作等原因產(chǎn)生，其控制手段主要由管理流程及設(shè)計異構(gòu)。通過管理流程制度的建立來避免和控制由設(shè)計錯誤、環(huán)境條件、誤操作或人為因素引起的故障。主要采用三組完全獨立的人員對各個設(shè)計環(huán)節(jié)進行確認和驗證，如圖2-11所示。驗證人員檢驗每一環(huán)節(jié)的設(shè)計是否滿足上一環(huán)節(jié)要求，確認人員通過測試驗證設(shè)計實現(xiàn)是否滿足軟件需求和系統(tǒng)需求。

設(shè)計異構(gòu)指的是兩組背景完全獨立的設(shè)計人員，對同一功能進行設(shè)計，產(chǎn)生兩種實現(xiàn)，對輸出進行相互校驗，來控制系統(tǒng)失效。

2.3.1.2　隨機失效控制

隨機失效主要采用故障—安全技術(shù)進行控制。通過確定功能的安全側(cè)，當(dāng)隨機失效發(fā)生時，采取措施使其處于安全側(cè)。故障—安全技術(shù)包括反應(yīng)故障—安全法、組合故障—安全法（復(fù)合式）和固有故障—安全法等。

①反應(yīng)故障—安全法由安全相關(guān)功能單一項完成，通過快速故障檢測和對任何危險失效進行避錯控制來確保其操作安全性，如圖2-12所示，控制與防護部分完全獨立，軟硬件各不相同，例如運算單元檢測、數(shù)據(jù)安全性檢測、IO輸出回采等。運算單元檢測一般通過執(zhí)行基礎(chǔ)運算邏輯語句，使其遍歷所有處理模塊，如算術(shù)運算單元、邏輯單元等，對執(zhí)行結(jié)果與預(yù)期比較，達到檢測目的；數(shù)據(jù)安全性檢測對于狀態(tài)性數(shù)據(jù)采用最大碼距的方法進行檢測，對于運算數(shù)據(jù)則采用數(shù)據(jù)編碼方式進行檢測，如CRC校驗和反碼比對方式；IO輸出回采是對IO輸出的中間執(zhí)行信號和輸出結(jié)果進行回采，當(dāng)發(fā)現(xiàn)執(zhí)行動作與輸出不一致時，立刻采取控制措施，切斷輸出。

②組合故障—安全檢測法指的是安全相關(guān)功能由兩個或以上項來執(zhí)行，通過之間的判決來進行故障檢測（圖2-13）。如二取二結(jié)構(gòu)，對同一功能采用兩套硬件和軟件，分別進行獨立處理，兩套處理模塊進行比較，只有執(zhí)行一致時才對外輸出。

③固有故障—安全檢測方法是指安全相關(guān)功能由單一單元執(zhí)行，當(dāng)其實現(xiàn)電路任意器件出現(xiàn)故障時，其輸出都處于安全狀態(tài)。如IO數(shù)據(jù)采集電路，采用動態(tài)采集方法，這種動態(tài)采集的工作原理遵守了故障導(dǎo)向安全的原則。例如：在國內(nèi)鐵路行業(yè)應(yīng)用中，繼電器接點狀態(tài)原來為斷開（“0”）但是采集為閉合（“1”）的做法稱為危險側(cè)。這種危險側(cè)的發(fā)生，常見于采集電路的器件失效。如圖2-14所示，通過動態(tài)采集，即“變化”為“1”、“不變化”為“0”的原理，可以有效避免采集電路器件失效后，采集結(jié)果導(dǎo)向危險側(cè)的發(fā)生，即遵守了故障—安全原則。

對于如圖2-15所示的二取二安全結(jié)構(gòu)，其中的監(jiān)督電路、動態(tài)驅(qū)動使能電路等基于固有故障—安全模式，自檢采用反應(yīng)故障—安全模式，驅(qū)動模塊與功能電路和CPU間互檢采用組合式故障—安全模式。只有當(dāng)自檢和互檢都通過后，監(jiān)督電路才允許輸出，否則拒絕輸出。通過三種方法的結(jié)合使用，使系統(tǒng)具有更高的安全性。

2.3.2　計算機聯(lián)鎖系統(tǒng)

計算機聯(lián)鎖是采用微型計算機對車站值班人員的操作命令與現(xiàn)場實際狀態(tài)的表示信息進行邏輯運算，從而實現(xiàn)對信號機、道岔及進路進行集中控制和聯(lián)鎖的車站聯(lián)鎖設(shè)備，是保證車站內(nèi)列車和調(diào)車作業(yè)安全，提高車站通過能力的一種信號設(shè)備[19-20]。其主要功能包括聯(lián)鎖控制功能（進路控制、信號開放與關(guān)閉、道岔控制等）、顯示功能（站場圖、現(xiàn)場信號設(shè)備狀態(tài)、值班員按鈕動作、系統(tǒng)狀態(tài)及故障報警等）、記錄存儲和故障檢測與診斷功能以及數(shù)據(jù)交換功能。

典型的計算機聯(lián)鎖系統(tǒng)結(jié)構(gòu)包括集中式控制（通常由室內(nèi)和室外兩部分構(gòu)成，各層功能均由一臺計算機完成）和分散式控制結(jié)構(gòu)（按結(jié)構(gòu)層次劃分成若干相對獨立又有一定聯(lián)系的功能模塊，由相應(yīng)計算機處理）。下面結(jié)合安全計算機平臺技術(shù)介紹一下幾種典型的計算機聯(lián)鎖系統(tǒng)。

2.3.2.1　雙機熱備型計算機聯(lián)鎖

（1）TYJL-Ⅱ型計算機聯(lián)鎖

TYJL-Ⅱ型計算機聯(lián)鎖系統(tǒng)是鐵道科學(xué)院研制的雙機熱備結(jié)構(gòu)交換機聯(lián)鎖控制系統(tǒng)；是一個分布式多處理系統(tǒng)，系統(tǒng)采用模塊化結(jié)構(gòu)，可根據(jù)站場的實際需要，進行拼裝連接，構(gòu)成大小不一的系統(tǒng)。系統(tǒng)主要由五部分組成，即控制臺、監(jiān)控機、聯(lián)鎖機、執(zhí)表機和電務(wù)維修機，如圖2-16所示。

（2）DS6-11型計算機聯(lián)鎖

DS6-11型計算機聯(lián)鎖是由通號集團研制，采用高可靠的工控機，運用網(wǎng)絡(luò)通信技術(shù)構(gòu)成多微機分布式控制系統(tǒng)。系統(tǒng)由控制臺系統(tǒng)、監(jiān)測子系統(tǒng)、聯(lián)鎖子系統(tǒng)、輸入輸出接口等部分組成，如圖2-17所示。各子系統(tǒng)采用的計算機統(tǒng)一為PC總線工控機，機箱和電源為整體結(jié)構(gòu)，具有良好的適應(yīng)工業(yè)現(xiàn)場環(huán)境和抗干擾性能。系統(tǒng)所有輸入輸出接口均經(jīng)過光電耦合器件實現(xiàn)計算機設(shè)備與現(xiàn)場設(shè)備的電氣隔離，能夠有效防止來自現(xiàn)場方面的電氣干擾。

（3）JD-IA型計算機聯(lián)鎖

JD-IA型計算機聯(lián)鎖系統(tǒng)是由交大微聯(lián)科技有限公司開發(fā)研制的計算機聯(lián)鎖系統(tǒng)，保留了6502電氣集中的執(zhí)行電路，其他電路則由計算機聯(lián)鎖系統(tǒng)代替。系統(tǒng)的關(guān)鍵部分均采用雙機熱備，保證故障時不間斷使用。

（4）VPI型計算機聯(lián)鎖

VPI型計算機聯(lián)鎖系統(tǒng)是卡斯柯信號有限公司（CASCO）引進阿爾斯通集團信號公司（ALSTOM Signaling）的VPI（Vitalprocessor Interlocking，安全型計算機聯(lián)鎖）專利技術(shù)，結(jié)合通過鐵路運營技術(shù)要求進行二次開發(fā)，滿足鐵路專用要求的高可靠安全型信號聯(lián)鎖系統(tǒng)。

VPI型計算機聯(lián)鎖系統(tǒng)在采用了從ALSTOM引進國際認證的核心安全技術(shù)的基礎(chǔ)上，在功能上、網(wǎng)絡(luò)結(jié)構(gòu)上做了較大改進，將系統(tǒng)功能分散到網(wǎng)絡(luò)上的人機接口子系統(tǒng)、聯(lián)鎖處理、系統(tǒng)維護等節(jié)點上，由每個功能節(jié)點來完成一種或多種功能，而每個功能節(jié)點就是一個完整的計算機系統(tǒng)，彼此通過冗余網(wǎng)絡(luò)交換信息并協(xié)調(diào)運行。

2.3.2.2　二乘二取二計算機聯(lián)鎖

（1）EI32-JD型計算機聯(lián)鎖

EI32-JD型計算機聯(lián)鎖是由日本信號株式會社和交大微聯(lián)科技有限公司聯(lián)合開發(fā)研制的計算機聯(lián)鎖系統(tǒng)，采用日本信號株式會社研制的硬件系統(tǒng)（EI32電子聯(lián)鎖系統(tǒng)）和交大微聯(lián)研制的軟件系統(tǒng)。EI32-JD型計算機聯(lián)鎖是二乘二取二系統(tǒng)，遵守故障—安全原則，其關(guān)鍵部分均采用雙套熱備，保證故障時不間斷運行。該聯(lián)鎖系統(tǒng)屬于分布式計算機控制系統(tǒng)，其特點是分散控制和集中信息管理。系統(tǒng)包括人機會話層（操作表示層）、聯(lián)鎖運算層、執(zhí)行層。

（2）DS6-K5B型計算機聯(lián)鎖

DS6-K5B型計算機聯(lián)鎖系統(tǒng)是通號公司與日本京三公司聯(lián)合開發(fā)的計算機聯(lián)鎖系統(tǒng)。聯(lián)鎖計算機和輸入輸出電路采用日本京三公司的K5B型產(chǎn)品（K5B型系統(tǒng)是日本京三制作所在K5型系統(tǒng)上采用32位處理器的升級系統(tǒng)），所有涉及到安全信息處理和傳輸?shù)牟考凑展收稀踩瓌t采取了二重系統(tǒng)結(jié)構(gòu)設(shè)計，如圖2-18所示。在軟件中保留了K5B的管理程序，刪除了K5B原理的聯(lián)鎖程序，而將DS6-11型計算機聯(lián)鎖的聯(lián)鎖程序移植到K5B系統(tǒng)中。

聯(lián)鎖處理部件采取雙CPU共用時鐘，對數(shù)據(jù)母線信號執(zhí)行同步比較，發(fā)生錯誤時使輸出倒向安全，遵守故障—安全原則，如圖2-19所示。聯(lián)鎖2重系為主從式熱備冗余，通過高速通道進行數(shù)據(jù)交換，保證2重系同步運行，可實現(xiàn)不間斷的雙系切換。

DS6-K5B系統(tǒng)的上位機是在DS6-11系統(tǒng)基礎(chǔ)上進行了新的開發(fā)，軟件平臺上升到WINDOWSNT，使得操作界面得到改善，功能進一步提高。控制臺操作表示設(shè)備提供屏幕顯示器、表示盤、鼠標(biāo)和按鈕操作臺燈等多種選擇。DS6-K5B系統(tǒng)與傳統(tǒng)雙機熱備系統(tǒng)相比，安全可靠性上升到一個新的水平，與K5B系統(tǒng)相比，造價大幅度降低。

（3）iLOCK型計算機聯(lián)鎖

iLOCK型計算機聯(lián)鎖系統(tǒng)是卡斯柯信號有限公司引進法國ALSTOM公司SMARTLOCK系統(tǒng)核心技術(shù)，并進行了國產(chǎn)化開發(fā)的二乘二取二系統(tǒng)[21]。該系統(tǒng)在一般二取二硬件冗余結(jié)構(gòu)基礎(chǔ)上，采用NISAL專利技術(shù)，增加了獨立的“故障—安全”校驗用CPU模塊，使系統(tǒng)比一般的二取二結(jié)構(gòu)具有更高的安全性。iLOCK綜合運用了反應(yīng)故障—安全、組合故障—安全和固有故障—安全技術(shù)。比采用單一安全技術(shù)的系統(tǒng)具備更高的安全性。系統(tǒng)中的VPS板（安全校驗板）、VIIB板（雙采安全型輸入板）、VOOB板（安全型雙斷輸出板）以及安全輸出板中的AOCD元器件，均像安全型繼電器一樣具有“固有故障—安全”特性，如圖2-20所示。

安全邏輯運算（VLE）板采用雙CPU進行運算，對同一功能，在CPU1和CPU2中采用了獨立相異的二組編碼來表示，運行各自獨立的軟件，使聯(lián)鎖機從硬件到軟件均構(gòu)成二取二的組合故障—安全體系結(jié)構(gòu)；在聯(lián)鎖運算采用二取二模式的基礎(chǔ)上，CPU1和CPU2每執(zhí)行一行程序，均分別構(gòu)成校核字被實時地送到以VPS板為核心的獨立的安全防護（校驗）部分進行校核，以監(jiān)督系統(tǒng)完好，且每行程序均得到正確執(zhí)行。安全校驗（VPS）板對各安全型輸出端口進行實時動態(tài)校核（校核周期為50ms），確保防護電路能在系統(tǒng)可能發(fā)生錯誤輸出之前即切斷輸出通道的電流，以實現(xiàn)故障—安全目的。

（4）TYJL-ADX型計算機聯(lián)鎖

TYJL-ADX型計算機聯(lián)鎖系統(tǒng)是鐵科院通號所基于日本日立公司的ADX1000聯(lián)鎖系統(tǒng)開發(fā)而成。系統(tǒng)在引進日本日立公司以時鐘同步、總線級比較技術(shù)的基礎(chǔ)上，采用二乘二取二安全冗余結(jié)構(gòu)的ADX-1000型計算機聯(lián)鎖系統(tǒng)的核心硬件及其專用軟件平臺上，按照我國鐵路信號的技術(shù)需求，結(jié)合TYJL-TR9型計算機聯(lián)鎖系統(tǒng)的軟件進行系統(tǒng)集成。外圍系統(tǒng)進行了重新配置和進一步優(yōu)化，完善了系統(tǒng)功能。

2.3.3　無線閉塞中心

無線閉塞中心（RBC）硬件采用冗余安全結(jié)構(gòu)，主要設(shè)備包括無線閉塞單元（Radio Block Unit，RBU）、協(xié)議適配器（Versatile Interface Adapter，VIA）、RBC維護終端、司法記錄單元（Judical Recorder Unit，JRU）、綜合數(shù)字服務(wù)網(wǎng)（Integrate Services Digital Network，ISDN）服務(wù)器、操作控制終端和交換機等設(shè)備組成，如圖2-21所示[7，8，22]。

2.3.3.1　RBC設(shè)備功能和結(jié)構(gòu)

RBC采用安全計算機平臺，遵循安全性原則，由不同的故障安全處理單元和操作系統(tǒng)構(gòu)成。應(yīng)用軟件采用N版本冗余技術(shù)，對運算和表決采用不同的策略。RBC操作控制終端由服務(wù)器和工作站組成，主要可完成站場圖形顯示、進路及列車運行情況顯示、列車的登記與注銷、緊急操作以及RBC系統(tǒng)的維護與診斷等功能。典型的設(shè)備結(jié)構(gòu)（通號公司RBC-TH）如圖2-22所示。

RBC柜內(nèi)包括兩臺內(nèi)部交換機（DSW）和三臺外部交換機（ESW），其中DSW用于RBU中各服務(wù)器之間的通信；ESW用于實現(xiàn)無線閉塞單元的對外通信，以及無線閉塞單元和ISDN服務(wù)器到VPC的通信。VPC_A、VPC_B和VPC_C是ISDN服務(wù)器。

司法記錄單元將RBC所有狀態(tài)以及列車報告的數(shù)據(jù)和狀態(tài)均記錄下來，以備分析檢查，通過ISDN服務(wù)器為RBC提供通話路由。

CTCS-3級車載設(shè)備與RBC之間使用GSM-R交換信息，為了保證通信安全（對發(fā)送端/接收端以及數(shù)據(jù)完整性的認證），CTCS-3級車載設(shè)備與RBC之間需要使用密鑰。在通信開始時，發(fā)送端和接收端通過認證（自動識別和認證程序），交換的數(shù)據(jù)通過使用信息認證碼受到保護。密鑰管理中心（KMC）負責(zé)密鑰的生成和分配。

2.3.3.2　RBC設(shè)備外部接口

（1）RBC與車站聯(lián)鎖接口

RBC和聯(lián)鎖系統(tǒng)將站間線路劃分為若干個信號授權(quán)SA區(qū)段，然后以此為基本單位進行信息交互，以對象的方式傳遞信息，對象包括列車狀態(tài)、信號授權(quán)和緊急停車區(qū)。

RBC通過列車狀態(tài)對象向聯(lián)鎖發(fā)送列車相關(guān)信息，包括列車信息、行車許可狀態(tài)、列車位置信息、列車長度信息以及列車速度信息。

聯(lián)鎖通過信號授權(quán)對象向RBC發(fā)送進路狀態(tài)相關(guān)信息，包括進路類型、進路狀態(tài)、降級狀態(tài)、SA區(qū)段的ID號、危險點信息、列車溜入檢測標(biāo)志以及開口速度。

聯(lián)鎖中可設(shè)置緊急停車區(qū)，其狀態(tài)可通過緊急區(qū)對象傳遞給RBC。如果緊急停車區(qū)被激活，那么RBC將向該區(qū)域內(nèi)以及將要進入該區(qū)域的列車發(fā)送無條件或有條件緊急停車消息，并在撤銷該緊急停車區(qū)前不會對該區(qū)域下發(fā)新的行車許可。

RBC與聯(lián)鎖系統(tǒng)通過冗余配置的TCP/IP信號專用安全通信網(wǎng)連接，采用安全通信協(xié)議，實現(xiàn)信息安全傳輸。

（2）RBC與CTC接口

CTC向RBC發(fā)送登錄信息和注銷信息，登錄信息包括操作ID號、操作員ID號、操作員用戶名和密碼，操作號用于操作反饋，用戶名和密碼在登錄時使用，操作員ID將在其他指令下使用以驗證操作員。注銷信息只包括操作號和操作員ID號。

CTC可以通過RBC向列車下發(fā)無條件緊急停車命令，也能夠撤銷下發(fā)的緊急停車命令。對于CTC發(fā)來的命令，RBC將無條件執(zhí)行。

時間同步信息由CTC向RBC發(fā)送，CTC系統(tǒng)采用NTP時間同步協(xié)議。

當(dāng)RBC與CTC通信連接建立后，RBC需要向CTC發(fā)送所有的列車狀態(tài)信息。隨著列車運行，當(dāng)列車狀態(tài)發(fā)送變化時，RBC需要主動向CTC發(fā)送更新的列車狀態(tài)信息。CTC系統(tǒng)也可以根據(jù)需要，主動要求RBC向CTC發(fā)送指定列車的狀態(tài)信息。列車狀態(tài)信息包括列車狀態(tài)請求消息和列車狀態(tài)消息。RBC系統(tǒng)應(yīng)周期向CTC發(fā)送其工作狀態(tài)信息，包括VIA-RBC連接狀態(tài)、RBC設(shè)備在線信息和VIA設(shè)備在線信息。RBC系統(tǒng)內(nèi)部如發(fā)生需要通知調(diào)度員的報警信息時，如GSM-R無線單元內(nèi)列車數(shù)量超限的報警，可通過接口傳送至CTC系統(tǒng)。

在CTC系統(tǒng)調(diào)度中心設(shè)置CTC/RBC接口服務(wù)器，CTC/RBC接口服務(wù)器通過以太網(wǎng)通信端口一端接入RBC網(wǎng)絡(luò)，另一端接入CTC調(diào)度中心局域網(wǎng)。CTC系統(tǒng)通過協(xié)議轉(zhuǎn)換器（VIA）設(shè)備和RBC系統(tǒng)進行數(shù)據(jù)交換。CTC-RBC接口服務(wù)器為雙套配置，同時和多套VIA相連。

（3）RBC與臨時限速服務(wù)器接口

臨時限速信息包括臨時限速命令和臨時限速狀態(tài)。臨時限速服務(wù)器/RBC間交換的所有數(shù)據(jù)均采用安全通信協(xié)議，保證數(shù)據(jù)交換的安全[23]。RBC通過信號專用安全數(shù)據(jù)通信網(wǎng)直接與臨時限速服務(wù)器連接，傳輸臨時限速相關(guān)信息。

（4）RBC與集中監(jiān)測設(shè)備接口

RBC向集中監(jiān)測站機傳送的主要信息包括RBC設(shè)備的運行狀態(tài)信息、維護診斷信息等。在控制中心設(shè)置信號監(jiān)測終端系統(tǒng)，終端計算機一端接入RBC的非安全局域網(wǎng)，一端接入監(jiān)測局域網(wǎng)。RBC本地終端將所有RBC的維護和診斷信息匯總并處理，然后按照規(guī)定的應(yīng)用層通信協(xié)議，將RBC的監(jiān)測信息發(fā)送給信號集中監(jiān)測的終端計算機，通過信號集中監(jiān)測網(wǎng)絡(luò)，將RBC監(jiān)測信息發(fā)送給各級維修中心。

（5）RBC與GSM-R網(wǎng)絡(luò)之間接口

RBC通過ISDNPRI接口與GSM-R網(wǎng)絡(luò)移動交換機（MSC）連接。一個RBC與MSC的PRI接口必須冗余配置，MSC為這些接口分配統(tǒng)一的ISDN呼入號碼，并按照負荷分擔(dān)原則將車載臺對某個RBC的呼叫路由到一個可用的PRI接口上。

2.3.4　列控中心

列控中心作為設(shè)置于各車站或中繼站的列控安全設(shè)備，與軌道電路、計算機聯(lián)鎖、臨時限速服務(wù)器、其他站列控中心、應(yīng)答器地面電子單元、CTC和信號集中監(jiān)測等連接，實現(xiàn)對軌道電路、有源應(yīng)答器、區(qū)間方向和閉塞控制等功能。列控中心根據(jù)調(diào)度命令、進路狀態(tài)、線路參數(shù)等產(chǎn)生進路及臨時限速等相關(guān)信息，通過有源應(yīng)答器及軌道電路向列車動態(tài)傳送，從而實現(xiàn)對列車運行的動態(tài)控制[24-28]。

2.3.4.1　列控中心接口

列控中心適用于高速鐵路上的聯(lián)鎖車站、信號中繼站以及有客運作業(yè)的無岔車站，與之對應(yīng)的列控中心被稱為車站列控中心、中繼站列控中心和無岔站列控中心。其中車站列控中心與聯(lián)鎖、軌道電路、臨時限速服務(wù)器、LEU、CTC設(shè)備和集中監(jiān)測設(shè)備直接接口，并管轄其范圍內(nèi)的中繼站列控中心；中繼站列控中心與軌道電路、臨時限速服務(wù)器、LEU和集中監(jiān)測設(shè)備直接接口，從屬于車站列控中心，從車站列控中心接收線路方向信息，并將相應(yīng)的軌道區(qū)段狀態(tài)信息發(fā)送給其從屬的車站列控中心；無岔站列控中心與軌道電路、臨時限速服務(wù)器、LEU、CTC和集中監(jiān)測設(shè)備直接接口。

通常列控中心需要與ZPW-2000系列軌道電路、車站聯(lián)鎖、臨時限速服務(wù)器、相鄰列控中心、地面電子單元、集中監(jiān)測和CTC通信配置接口。實際應(yīng)用中不同類型的列控中心與其他外部設(shè)備的接口配置如圖2-23所示。

2.3.4.2　列控中心功能

①根據(jù)列車進路狀態(tài)和軌道區(qū)段狀態(tài)，實現(xiàn)站內(nèi)和區(qū)間軌道電路的載頻、低頻信息編碼功能，并控制軌道電路的發(fā)送方向。

②根據(jù)臨時限速服務(wù)器發(fā)送的臨時限速命令、車站聯(lián)鎖設(shè)備發(fā)發(fā)送的列車進路狀態(tài)，實現(xiàn)應(yīng)答器報文的實時組幀、編碼和發(fā)送等功能。

③實現(xiàn)站間安全信息傳輸，實時傳輸區(qū)間軌道電路狀態(tài)、低頻碼、區(qū)間方向等安全信息。

④實現(xiàn)區(qū)間運行方向與閉塞控制；區(qū)間信號機點燈控制，以及無岔站信號機與進路控制。

⑤與安全防災(zāi)系統(tǒng)接口，實現(xiàn)部分災(zāi)害的自動防護。

⑥具備診斷與維護功能，實現(xiàn)列控中心各模塊、通信接口的故障自診斷和輔助維護，同時把監(jiān)測狀態(tài)信息發(fā)送給集中監(jiān)測設(shè)備。

隨著高速鐵路的發(fā)展，實際列控中心還可以融合落物災(zāi)害防護等功能。作為CTCS系統(tǒng)地面設(shè)備的核心系統(tǒng)，列控中心技術(shù)日益成熟，服務(wù)于高速鐵路的可靠性與安全性提升。

2.3.4.3　列控中心設(shè)備組成

列控中心設(shè)備按照故障—安全原則，采用二乘二取二安全冗余計算機平臺結(jié)構(gòu)，由安全主機單元、通信接口單元、驅(qū)動采集單元、輔助維護單元、站間安全數(shù)據(jù)網(wǎng)通信單元以及冗余電源單元等組成，系統(tǒng)結(jié)構(gòu)如圖2-24所示。其中的輔助維護單元實現(xiàn)相關(guān)設(shè)備狀態(tài)和應(yīng)用場景數(shù)據(jù)的監(jiān)測和記錄、維護報警、界面顯示以及與集中監(jiān)測系統(tǒng)接口等功能。

車站列控中心設(shè)備分為列控中心主機設(shè)備柜和LEU設(shè)備柜，LEU電子單元配置在LEU設(shè)備柜中并單獨配置電源，其他設(shè)備配置在列控中心主機設(shè)備柜中；中繼站和無岔站列控中心的LEU電子單元和列控中心設(shè)備則統(tǒng)一配置在列控中心設(shè)備柜中。

2.3.4.4　列控中心通信異常處理

為了保證控制安全，列控中心按照以下原則對不同情況下的通信異常進行處理。

①列控中心與軌道電路通信連續(xù)中斷2s后，列控中心判定與軌道電路通信中斷，所有軌道狀態(tài)導(dǎo)向安全側(cè)（軌道占用），列控中心按照軌道占用編碼及控制區(qū)間信號機點燈，并向監(jiān)測維護單元及集中監(jiān)測報警。

②列控中心與聯(lián)鎖通信連續(xù)中斷3s后，列控中心判定與聯(lián)鎖通信中斷。通信中斷后，列控中心按照車站無進路，進站信號機紅燈斷絲，無改方命令處理。同時控制進站口及到發(fā)線有源應(yīng)答器發(fā)送默認報文，出站口應(yīng)答器發(fā)送正常限速報文。

③列控中心間通信連續(xù)中斷3s后，列控中心判定列控站間通信中斷。通信中斷后，列控中心按照邊界區(qū)段占用，紅燈燈絲斷絲（正向口且列控中心控制區(qū)間信號機點燈情況下），鄰站無改方命令處理。

④列控中心與臨時限速服務(wù)器通信連續(xù)中斷3s后，列控中心判定與臨時限速服務(wù)器通信中斷。通信中斷后，列控中心按照無新的臨時限速命令，維持原臨時限速信息處理。

⑤列控中心設(shè)備連續(xù)檢測各個通道上的通信狀態(tài)，連續(xù)3s不能從某個通道上接收到正確數(shù)據(jù)時，即判斷該通道故障，向集中監(jiān)測設(shè)備發(fā)送報警。

⑥當(dāng)列控中心設(shè)備和外部設(shè)備的所有通道中斷6s后，則判斷通信完全中斷，列控中心執(zhí)行相應(yīng)的安全措施。

⑦列控中心設(shè)備和聯(lián)鎖通信中斷后，列控中心控制有源應(yīng)答器發(fā)送列控中心默認報文，站內(nèi)軌道電路按無進路發(fā)碼。

⑧列控中心設(shè)備和鄰站列控中心通信中斷時，邊界區(qū)段發(fā)送HU碼。

⑨當(dāng)列控中心與臨時限速服務(wù)器通信中斷后，列控中心應(yīng)保持原臨時限速信息，臨時限速服務(wù)器不能在該車站列控中心管轄范圍內(nèi)增設(shè)臨時限速信息。