论文部分内容阅读
【摘 要】简要介绍中国CTCS3型列车控制系统构成,并从供电线路保护、设备冗余设计、软件逻辑保护等三方面对CTCS3型列车控制系统的安全设计原理进行概述。
【关键词】动车组;列控系统;安全设计
0.引言
目前,铁路发展随着速度和密度的提高,不同速度等级列车的跨线运行,保证高速条件下铁路运输安全的任务十分艰巨,对列控系统的可靠性、安全性和可维护性提出了更高的要求。本文就CTCS3型列车控制(ATP)系统安全设计进行介绍。
1.概述
武广线、郑西线及京沪线等采用由CTCS2和ETCS2构成的CTCS3双模系统,相关技术规范包括:系统功能需求规范(FRS),系统需求规范(SRS),系统接口规范(FIS/FFFIS)等。
CRH380新一代动车组每个头车上都安装一套完整的列车保护系统。
两个头车上的列车保护系统相互独立运行。仅当被占用司机室的方向开关指示“前进”或“后退”方向,且被拖拽司机室的方向开关置于0位时,该设备才被激活。
它的主要功能包括:
(1)根据路面速度要求,辅助司机控制列车行驶速度,防止列车超速或冒进降速。
(2)自动过分相控制。
(3)防止列车到站不停,及记录列车运行位置。
车载ATP系统包括地面设备和车上设备两大部分。地面设备由地面感应器提供标志信号及路线信息。车上设备接收来自地面的信息,并由车上控制系统结合车辆信息(如载重、制动能力、列车长度等)形成ATP允许的列车行驶速度,显示在ATP的DMI上。ATP系统在整个行车过程中进行速度监控。
2.ATP系统构成
每个端车各有一套ATP系统,每套ATP系统包括以下部件:
一套车载CTCS3系统。
一个模拟仪表显示当前速度,例如CTCS3系统的DMI故障,司机可以通过模拟仪表观察列车当前速度。
一套车辆系统TCR(轨道电路读取器)。
一套DMS,无线传输设备,用于发送ATP工作状态。
另外各头车还有一套GFX-3A装置和一套CIR列车无线电系统。
每辆头车的CTCS3系统包括以下部件:
1台CTCS3主机。
2台速度传感器,用来获取TC02车或TC15车的拖轴速度。
2台司机室人机界面DMI,用于显示CTCS3状态信息。
2个BTM天线,用于接收轨道线路信息。
2个GSM-R天线,通过GSM-R连续传送列车运行控制命令,车-地间可双向通信。
3.ATP系统保护
ATP系统保护主要从供电线路保护、设备冗余设计以及中央控制单元软件逻辑保护等几方面进行说明。
3.1供电线路保护
ATP系统电源由本牵引单元的BN直流110V提供。由BN1供电的负载包括:
CTCS3主机。
DMI显示器。
动态监控系统主机。
远程数据传输主机。
数据记录单元和过分相设备由BN1/BD直流110V供电,主要是为了保证BN1线路故障情况下,BD可以继续为设备进行供电。
每个负载设备均设有空气断路器进行过载、过流及缺相保护功能。
3.2 ATP系统设备冗余设计
ATP系统为了保证列车安全运行,因此增加冗余性能:
两个速度传感器(=44-B01和=44-B02)。
两个应答器主机(=44-T01和=44-T02)。
两个GSM-R天线(=44-T03和=44-T04)。
两个CTCS雷达(=44-A02和=44-A03)。
两个ATP显示器(=44-K24和=44-K25)。
两个应答器主机(=44-T11和=44-T12)。
两个TCR天线(=44-T11和=44-T12)。
四个GFX-3A天线(=44-T31,=44-T32,=44-T33,=44-T34)。
在任意一个设备故障情况下,剩下的一个都可以继续工作。
3.3中央控制单元软件逻辑保护
3.3.1 CTCS3主机共有3种工作状态:分别是运行、待机、休眠
当CTCS3供电空开闭合后,隔离开关打到正常位时,CTCS3主机会向TCMS输入DI信号“ISOL_CTCS_BYPAS_1L=1”且“ISOL_CTCS_BYPAS_2H=0”(ISOL_CTCS_BYPAS_1L=0”且“ISOL_CTCS_BYPAS_2H=1”是CTCS3隔离状态,“ISOL_CTCS_BYPAS_1L=1”且“ISOL_CTCS_BYPAS_2H=1”或者ISOL_CTCS_BYPAS_1L=0”且“ISOL_CTCS_BYPAS_2H=0”是CTCS3系统故障状态,MMI将产生诊断信息“CTCS3系统故障”,并且屏蔽CTCS3主机输出的所有信号),CTCS3主机进入待机状态。当其中一端启用司机室钥匙,并且方向开关移出0位,此时CTCS3主机进入运行工作状态,另外一端非占用司机室处于休眠状态。
在司机换端过程中,两端CTCS3主机均处于待机状态。当司机换端成功后,占用司机室端CTCS3主机进入工作状态,另一端处于休眠状态。
只有在蓄电池接通的情况下,CTCS3主机才能够工作。如果CTCS3系统发生故障,可以通过隔离开关将主机输出DI信号屏蔽掉(即CTCS_Valid Signal=0、 CTCS_Section Order=0),也可以通过NFB让CTCS3断电。 3.3.2安全制动保护
CTCS3可以输出4级制动指令,分别是1、4、7级常用制动和紧急制动。其中1、4、7级常用制动指令由CTCS3主机用硬线与继电器连接,再通过电触点信号与端车BCU单元的相应制动接口连接,制动力大小由BCU计算得出并施加;紧急制动指令,是通过断开CTCS3主机中的电触点来控制紧急制动安全环路EBL断开,从而施加紧急制动。7级常用制动和紧急制动用于控制动车组在加速过程中超速,1级和4级常用制动用于控制动车组在减速过程中撞线。
在列车停止时,CTCS3主机会检测制动手柄及牵引手柄位置信号,如果牵引手柄在“0位”且制动手柄在“REL位”,那么CTCS3将通过7级制动硬线信号使制动系统实施最大常用制动。其他手柄位置组合信号,不会触发制动指令。
施加1、4、7级常用制动,分别对应DI信号CTCS_BRAKE_LEVEL1_H=1、CTCS_BRAKE_LEVEL4_H=1、CTCS_BRAKE_LEVEL7_L=0。用于中央单元区分手柄制动指令,并进行异常检测。
3.3.3信息安全处理
CTCS3通过BTM天线将运行信息(例如:速度限制,位置调整,前进许可)传输传送到CTCS3主机上。应用这些信息,CTCS3主机为前面的运行计算路线-速度图。路线-速度图反映了可接受的最大速度,它是基于轨道特征的函数。它把路线的速度轮廓和制动曲线都计算在内。速度轮廓(当地最大速度)包含在应答器传送的轨道信息内。CTCS3主机从轨道数据(例如有关冒险和停止点的信息——这些信息通过应答器传输)和列车数据中(制动起始次数,常用制动减速度——这些信息存储在CTCS3主机中)计算制动曲线。
CTCS3通过比较实际速度和路线-速度图持续监测可允许速度。一旦车辆的速度超过路线-速度图,CTCS3主机首先通过DMI 给司机发出一个视听信号进行警告。尽管有警告提示,如果司机仍然不减速,分级制动就会通过硬线启动(常用制动或紧急制动)。
CTCS3主机与DMI交换的信息包括:对于DMI 的有关实际速度、参考速度、与目的地距离的信息; DMI 输出听觉、视觉警告的请求;通过DMI 向CTCS3主机下载数据;对CTCS3 执行系统测试的请求。
3.3.4过分相区
只要CTCS3主机无故障,将会向CCU一直输出分相有效信号“Valid Signal=1”。当通过BTM天线检测到将要通过分相区时,主机将计算即将通过分相区的整个信号输出节点:无电区前将向TCMS输出一个信号——分相指令信号“Section order=1”;当离开分相区后,同样通过主机向TCMS输出一个信号“Section order=0”。这两个信号均为继电器触点信号(触点闭合表示逻辑“真”或“有效”,触点断开表示逻辑“假”或“无效”)。
CTCS3主机也可以通过地面应答器进入CTCS2控车等级,当主机进入CTCS2级别时,将不会向网络一直输出分相有效信号“Valid Signal=1”,而是在即将进入分相区前,通过接收地面应答器信号产生输出信号“Valid Signal=1”,直到动车组通过分相区后,输出低电平信号“Valid Signal=0”。
车辆应根据CTCS3主机输出的分相有效信号“Valid Signal”来判断过分相由CTCS3主机控制还是由车辆自身控制(GFX-3A过分相系统)。如果主机输出“Valid Signal=1”信号,则由CTCS3控制过分相区;如果主机输出“Valid Signal=0”,网络将忽略信号“Section order”,由车载GFX-3A过分相系统控制动车组通过分相区。
CTCS3与GFX-3A的信号切换:列车正常运行时,占用司机端CTCS3与GFX-3A系统同时工作,但是在CTCS3主机正常的情况下,网络将默认GFX-3A系统输入的DI信号为无效,利用CTCS3信号通过分相区。那么,两系统将存在以下切换条件:
当CTCS3故障开关打到隔离位时,即ISOL_CTCS_BYPAS_1L=0、ISOL_CTCS_BYPAS_2H=1,网络将自动复位对GFX-3A系统输入DI信号的屏蔽,使用GFX-3A系统通过分相区。如果出现“SOL_CTCS_BYPAS_1L=1”且“ISOL_CTCS_BYPAS_2H=1”或者ISOL_CTCS_BYPAS_1L=0”且“ISOL_CTCS_BYPAS_2H=0”,那么网络也将认为CTCS3故障,同样将自动复位对GFX-3A系统输入DI信号的屏蔽,通过GFX-3A系统控制动车组通过分相区。
当CTCS主机采用3级或者2级系统正常工作时,如果“Valid Signal=1”信号优先于GFX_WARNING_RESET脉冲信号与GFX_HSCB_OFF脉冲信号(参考“过分相功能规范”),那么网络将忽略GFX-3A系统输出的GFX_WARNING_RESET脉冲信号与GFX_HSCB_OFF脉冲信号,利用“Section order=1”命令通过分相区。反之,利用GFX_WARNING_RESET脉冲信号与GFX_HSCB_OFF脉冲信号通过分相区。
4.结束语
通过上述安全设计的原理介绍,可大致了解CTCS3型ATP系统与动车组之间的安全设计关系,为优化ATP系统与动车组之间安全接口提供参考。信号系统中的任一关键设备都依据故障导向安全的原理进行设计,达到IEC61508中规定的安全级别4级。
【关键词】动车组;列控系统;安全设计
0.引言
目前,铁路发展随着速度和密度的提高,不同速度等级列车的跨线运行,保证高速条件下铁路运输安全的任务十分艰巨,对列控系统的可靠性、安全性和可维护性提出了更高的要求。本文就CTCS3型列车控制(ATP)系统安全设计进行介绍。
1.概述
武广线、郑西线及京沪线等采用由CTCS2和ETCS2构成的CTCS3双模系统,相关技术规范包括:系统功能需求规范(FRS),系统需求规范(SRS),系统接口规范(FIS/FFFIS)等。
CRH380新一代动车组每个头车上都安装一套完整的列车保护系统。
两个头车上的列车保护系统相互独立运行。仅当被占用司机室的方向开关指示“前进”或“后退”方向,且被拖拽司机室的方向开关置于0位时,该设备才被激活。
它的主要功能包括:
(1)根据路面速度要求,辅助司机控制列车行驶速度,防止列车超速或冒进降速。
(2)自动过分相控制。
(3)防止列车到站不停,及记录列车运行位置。
车载ATP系统包括地面设备和车上设备两大部分。地面设备由地面感应器提供标志信号及路线信息。车上设备接收来自地面的信息,并由车上控制系统结合车辆信息(如载重、制动能力、列车长度等)形成ATP允许的列车行驶速度,显示在ATP的DMI上。ATP系统在整个行车过程中进行速度监控。
2.ATP系统构成
每个端车各有一套ATP系统,每套ATP系统包括以下部件:
一套车载CTCS3系统。
一个模拟仪表显示当前速度,例如CTCS3系统的DMI故障,司机可以通过模拟仪表观察列车当前速度。
一套车辆系统TCR(轨道电路读取器)。
一套DMS,无线传输设备,用于发送ATP工作状态。
另外各头车还有一套GFX-3A装置和一套CIR列车无线电系统。
每辆头车的CTCS3系统包括以下部件:
1台CTCS3主机。
2台速度传感器,用来获取TC02车或TC15车的拖轴速度。
2台司机室人机界面DMI,用于显示CTCS3状态信息。
2个BTM天线,用于接收轨道线路信息。
2个GSM-R天线,通过GSM-R连续传送列车运行控制命令,车-地间可双向通信。
3.ATP系统保护
ATP系统保护主要从供电线路保护、设备冗余设计以及中央控制单元软件逻辑保护等几方面进行说明。
3.1供电线路保护
ATP系统电源由本牵引单元的BN直流110V提供。由BN1供电的负载包括:
CTCS3主机。
DMI显示器。
动态监控系统主机。
远程数据传输主机。
数据记录单元和过分相设备由BN1/BD直流110V供电,主要是为了保证BN1线路故障情况下,BD可以继续为设备进行供电。
每个负载设备均设有空气断路器进行过载、过流及缺相保护功能。
3.2 ATP系统设备冗余设计
ATP系统为了保证列车安全运行,因此增加冗余性能:
两个速度传感器(=44-B01和=44-B02)。
两个应答器主机(=44-T01和=44-T02)。
两个GSM-R天线(=44-T03和=44-T04)。
两个CTCS雷达(=44-A02和=44-A03)。
两个ATP显示器(=44-K24和=44-K25)。
两个应答器主机(=44-T11和=44-T12)。
两个TCR天线(=44-T11和=44-T12)。
四个GFX-3A天线(=44-T31,=44-T32,=44-T33,=44-T34)。
在任意一个设备故障情况下,剩下的一个都可以继续工作。
3.3中央控制单元软件逻辑保护
3.3.1 CTCS3主机共有3种工作状态:分别是运行、待机、休眠
当CTCS3供电空开闭合后,隔离开关打到正常位时,CTCS3主机会向TCMS输入DI信号“ISOL_CTCS_BYPAS_1L=1”且“ISOL_CTCS_BYPAS_2H=0”(ISOL_CTCS_BYPAS_1L=0”且“ISOL_CTCS_BYPAS_2H=1”是CTCS3隔离状态,“ISOL_CTCS_BYPAS_1L=1”且“ISOL_CTCS_BYPAS_2H=1”或者ISOL_CTCS_BYPAS_1L=0”且“ISOL_CTCS_BYPAS_2H=0”是CTCS3系统故障状态,MMI将产生诊断信息“CTCS3系统故障”,并且屏蔽CTCS3主机输出的所有信号),CTCS3主机进入待机状态。当其中一端启用司机室钥匙,并且方向开关移出0位,此时CTCS3主机进入运行工作状态,另外一端非占用司机室处于休眠状态。
在司机换端过程中,两端CTCS3主机均处于待机状态。当司机换端成功后,占用司机室端CTCS3主机进入工作状态,另一端处于休眠状态。
只有在蓄电池接通的情况下,CTCS3主机才能够工作。如果CTCS3系统发生故障,可以通过隔离开关将主机输出DI信号屏蔽掉(即CTCS_Valid Signal=0、 CTCS_Section Order=0),也可以通过NFB让CTCS3断电。 3.3.2安全制动保护
CTCS3可以输出4级制动指令,分别是1、4、7级常用制动和紧急制动。其中1、4、7级常用制动指令由CTCS3主机用硬线与继电器连接,再通过电触点信号与端车BCU单元的相应制动接口连接,制动力大小由BCU计算得出并施加;紧急制动指令,是通过断开CTCS3主机中的电触点来控制紧急制动安全环路EBL断开,从而施加紧急制动。7级常用制动和紧急制动用于控制动车组在加速过程中超速,1级和4级常用制动用于控制动车组在减速过程中撞线。
在列车停止时,CTCS3主机会检测制动手柄及牵引手柄位置信号,如果牵引手柄在“0位”且制动手柄在“REL位”,那么CTCS3将通过7级制动硬线信号使制动系统实施最大常用制动。其他手柄位置组合信号,不会触发制动指令。
施加1、4、7级常用制动,分别对应DI信号CTCS_BRAKE_LEVEL1_H=1、CTCS_BRAKE_LEVEL4_H=1、CTCS_BRAKE_LEVEL7_L=0。用于中央单元区分手柄制动指令,并进行异常检测。
3.3.3信息安全处理
CTCS3通过BTM天线将运行信息(例如:速度限制,位置调整,前进许可)传输传送到CTCS3主机上。应用这些信息,CTCS3主机为前面的运行计算路线-速度图。路线-速度图反映了可接受的最大速度,它是基于轨道特征的函数。它把路线的速度轮廓和制动曲线都计算在内。速度轮廓(当地最大速度)包含在应答器传送的轨道信息内。CTCS3主机从轨道数据(例如有关冒险和停止点的信息——这些信息通过应答器传输)和列车数据中(制动起始次数,常用制动减速度——这些信息存储在CTCS3主机中)计算制动曲线。
CTCS3通过比较实际速度和路线-速度图持续监测可允许速度。一旦车辆的速度超过路线-速度图,CTCS3主机首先通过DMI 给司机发出一个视听信号进行警告。尽管有警告提示,如果司机仍然不减速,分级制动就会通过硬线启动(常用制动或紧急制动)。
CTCS3主机与DMI交换的信息包括:对于DMI 的有关实际速度、参考速度、与目的地距离的信息; DMI 输出听觉、视觉警告的请求;通过DMI 向CTCS3主机下载数据;对CTCS3 执行系统测试的请求。
3.3.4过分相区
只要CTCS3主机无故障,将会向CCU一直输出分相有效信号“Valid Signal=1”。当通过BTM天线检测到将要通过分相区时,主机将计算即将通过分相区的整个信号输出节点:无电区前将向TCMS输出一个信号——分相指令信号“Section order=1”;当离开分相区后,同样通过主机向TCMS输出一个信号“Section order=0”。这两个信号均为继电器触点信号(触点闭合表示逻辑“真”或“有效”,触点断开表示逻辑“假”或“无效”)。
CTCS3主机也可以通过地面应答器进入CTCS2控车等级,当主机进入CTCS2级别时,将不会向网络一直输出分相有效信号“Valid Signal=1”,而是在即将进入分相区前,通过接收地面应答器信号产生输出信号“Valid Signal=1”,直到动车组通过分相区后,输出低电平信号“Valid Signal=0”。
车辆应根据CTCS3主机输出的分相有效信号“Valid Signal”来判断过分相由CTCS3主机控制还是由车辆自身控制(GFX-3A过分相系统)。如果主机输出“Valid Signal=1”信号,则由CTCS3控制过分相区;如果主机输出“Valid Signal=0”,网络将忽略信号“Section order”,由车载GFX-3A过分相系统控制动车组通过分相区。
CTCS3与GFX-3A的信号切换:列车正常运行时,占用司机端CTCS3与GFX-3A系统同时工作,但是在CTCS3主机正常的情况下,网络将默认GFX-3A系统输入的DI信号为无效,利用CTCS3信号通过分相区。那么,两系统将存在以下切换条件:
当CTCS3故障开关打到隔离位时,即ISOL_CTCS_BYPAS_1L=0、ISOL_CTCS_BYPAS_2H=1,网络将自动复位对GFX-3A系统输入DI信号的屏蔽,使用GFX-3A系统通过分相区。如果出现“SOL_CTCS_BYPAS_1L=1”且“ISOL_CTCS_BYPAS_2H=1”或者ISOL_CTCS_BYPAS_1L=0”且“ISOL_CTCS_BYPAS_2H=0”,那么网络也将认为CTCS3故障,同样将自动复位对GFX-3A系统输入DI信号的屏蔽,通过GFX-3A系统控制动车组通过分相区。
当CTCS主机采用3级或者2级系统正常工作时,如果“Valid Signal=1”信号优先于GFX_WARNING_RESET脉冲信号与GFX_HSCB_OFF脉冲信号(参考“过分相功能规范”),那么网络将忽略GFX-3A系统输出的GFX_WARNING_RESET脉冲信号与GFX_HSCB_OFF脉冲信号,利用“Section order=1”命令通过分相区。反之,利用GFX_WARNING_RESET脉冲信号与GFX_HSCB_OFF脉冲信号通过分相区。
4.结束语
通过上述安全设计的原理介绍,可大致了解CTCS3型ATP系统与动车组之间的安全设计关系,为优化ATP系统与动车组之间安全接口提供参考。信号系统中的任一关键设备都依据故障导向安全的原理进行设计,达到IEC61508中规定的安全级别4级。