摘要：高速铁路的发展必须始终把安全摆在最核心、最本质、最关键的位置，列控系统是保障高速列车行车安全的核心设备。本文结合国内高速铁路的发展现状，一方面对高速铁路目前所采用的列控车载设备设计、实现、测试、运营维护等方面的安全技术进行分析和总结，旨在增强民众对高铁的信任感；另一方面在目前的技术体系下，针对如何管好用好高速铁路列控车载设备，也提出了一些见解，目的是寻求高速铁路的更好更快发展。

关键词：高速铁路、车载设备、安全技术

 

目前，国内已开通的CTCS-3级列控线路主要有京沪、武广、广深、哈大、京石武、郑西、沪宁、沪杭高铁，最高运营时速350公里/小时。CTCS-3级列车运行控制系统是中国铁路时速大于300km/h客运专线的重要技术装备，是中国铁路技术体系和装备现代化的重要组成部分，是保证高速列车运行安全、可靠、高效的核心技术之一。

列车速度提高到160km/h以上时，对列车控制必须由开环控制变为闭环控制，CTCS-3列控系统正是通过车地信息的实时交互，从而实现对列车的闭环控制。CTCS-3级列控系统主要分为车载设备和地面设备两大部分。其中，列车运行过程中，车载设备实时通过GSM-R网络与地面设备实现数据交互，根据接收到的地面命令信息（含地面设备提供的MA移动授权、信号动态信息、线路参数、临时限速等信息），按照目标-距离模式生成MRSP最不利限制曲线，进行超速防护，监控列车安全运行。列控车载设备是高速铁路行车安全中必不可少的核心设备之一，列控车载设备的安全技术直接关系到高速铁路列车运行中的安全性和可靠性。

车载设备由车载安全计算机（VC）、GSM-R无线通信单元（RTU）、轨道电路信息接收单元（TCR）、应答器信息接收模块（BTM）、记录单元（DRU）、人机界面（DMI）等组成。

CTCS-3级列控系统车载设备采用分布式体系结构，各输入输出单元通过总线与核心处理单元进行通信系统中的关键设备均采用冗余配置，具有高可靠性和高可用性；各输入输出单元通过总线与核心处理单元进行通信，具有良好的抗干扰性和可扩展性。

以下以CTCS3-300T车载为例说明CTCS-3级列控系统车载设备的结构。CTCS3-300T列控车载设备与列车可采用两种形式的接口，一种为继电器接口，一种为MVB接口，对应的系统框图如图1所示（CRH2和CRH3型车）。

CTCS3-300T列控车载设备主要组成包括：

1）车载安全计算机：包括C3主机（对应ATPCU单元）/C2主机（对应C2CU单元），是列控车载设备的控制核心。负责CTCS-3级车载控制功能，兼容CTCS-2级控制功能。

2）测速测距子系统：负责监测列车的运行速度并计算列车行走距离，并通过一定方式将此速度距离信息发送至各个子模块，包括SDP、SDU以及用于测速的雷达和速传，其中SDU速度距离单元采集来自速度传感器和雷达速度传感器的脉冲信号，将其转换为脉冲值，通过信号MVB总线传送给SDP单元处理；SDP速度距离处理单元对SDU单元采集的脉冲值进行计算，得出列车运行方向、速度和走行距离。

3）安全传输子系统：主要控制MT模块通过GSM-R网络实现车地数据的安全、可靠传输，又称为STU-V，包括COMC和GCD两部分，其中COMC主要实现安全层相关功能及内部总线通信与外部无线通信协议间的转换功能，GCD主要实现传输层、网络层、链路层、MT模块控制功能，数据加密解密算法也有GCD设备负责完成。

4）应答器信息传输子系统：负责应答器信息接收与处理，包含BTM和CAU，其中CAU即BTM的接收天线，用于接收地面应答器的信号；BTM用于接收应答器信息，并将解调后的信息传输给主机单元。

5）数字输入/输出单元：用于采集列车输出的开关量信息，实现与列车之间接口。

6）安全输入/输出单元：用于车载设备紧急制动命令的发送，并接收制动反馈信息。

7）轨道电路信息接收子系统：用于轨道电路信息的接收和处理。

8）司法记录单元：用于记录司法分析所需的列控车载设备工作状态及各种输入输出信息。

CTCS3-300T列控车载设备负责接收地面数据命令信息，通过对列车行车许可、线路参数、列车信息的综合处理，按照目标距离连续速度控制模式，生成最不利速度控制曲线，通过采取声光报警、切除牵引力、三级常用制动（弱、中、强）和紧急制动措施，监控列车运行，保证列车速度不超过进路允许速度、线路结构规定的速度、列车的构造速度、临时限速及紧急限速。

列控车载设备时保证列车行车安全的重要安全设备，必须按照相应的安全设计和评估标准进行系统的研究开发。由于国内的CTCS-3级列控系统是在欧洲ETCS-2级列控系统的基础上发展和演变过来的，欧洲已针对铁路领域制定了比较完善的的安全系统设计和评估标准，简称为CEN-ELEC系列标准。目前，国内CTCS-3级列控车载设备研发过程也同样要求遵循关欧洲CEN-ELEC标准中定义的安全完整度安全要求。用于高速铁路的列控车载设备，安全相关部件都要求达到SIL4级（EN50129规定，SIL4级系统风险概率满足：10^-9≤每小时故障危险概率＜10^-8）。按照SIL4级要求，车载设备安全部件的设计与研发过程均应采用故障导向安全的原则，安全相关软件应采用双代码或双硬件方式对系统执行过程中的关键数据进行实时比较。

按照CEN-ELEC相关标准的规定，车载设备研发过程中，应通过EN50128中的安全软件开发V字形模型开展相关研发工作，实现对整个软件生命期的质量管理与控制。安全软件开发V字形模型具体包括系统需求阶段、系统架构设计阶段、模块详细设计阶段、编码阶段、软件模块测试阶段、软硬件集成测试阶段、软件确认与验证阶段、系统集成测试阶段、系统评估阶段和系统维护阶段。各个阶段的输入和输出文件都有详细的规定，车载设备研发完成后，必须通过相关的测试验证，并经过具有相应资质的独立第三方安全评估机构进行安全评估，通过安全认证后才能够安装使用。

目前，国内CTCS-3列控线路中装备最多的车载设备是CTCS3-300T车载设备。以下以CTCS3-300T车载设备为例，对车载设备的安全性设计进行说明。  

CTCS3-300T车载设备的安全相关软件采用双代码结构，同一套硬件中同时运行A、B两套相异代码，两套代码使用不同的数据区，采用不同的数据结构，并且两套代码同时对输入输出数据及中间过程关键数据进行相互比较，比较不一致则导向安全侧。在系统设计中，CTCS3-300T车载设备采用现场总线分布式结构，具有良好的抗干扰性和可扩展性；车载系统中的关键设备均采用冗余配置，如ATPCU、C2CU、BTM、CAU、DMI等采用冷备，速度传感器、雷达、TCR、GSM-R单元及其天线等采用热备，具有高可靠性和高可用性。CTCS3-300T车载设备的各个子系统均采用安全性设计，系统内安全相关单元一方面运行时实时硬件单元的CPU、内存等硬件进行监控；一方面采用AB代码方案，该软件构架可以防护硬件单元的硬件故障。在软件侦测到硬件故障后，自动根据故障影响控制施加最大常用或者紧急制动。此外，CTCS3-300T车载设备的总线接口和列车接口也都采用了安全性设计：总线通过看门狗实现安全性监控，一旦总线中断或者受到干扰，看门狗溢出后，自行施加制动；列车接口中的紧急制动和全常用制动采用继电器接口及失电制动逻辑，确保了接口的可靠性和故障条件下的安全性。

车载设备的相关研发和设计完成后，按照接口设计图纸可以完成相关的安装调试。在运行过程中，车载设备需要与列车配合使用，而不同车型在制动性能、电气接口等方面存在很多差异。那么，该如何验证车载设备与车辆的匹配性呢？这就需要通过型式试验来保证。

型式试验需要在车载设备安装调试完毕后进行，目的是验证车载设备与列车接口的适配性和安全性，型式试验一般仅针对新车型的首列车。型式试验应包含静态测试和动态测试两部分。

其中，静态测试至少应覆盖以下内容：

1）列车开关对车载设备的作用和影响检测：测试动车组开关对车载设备的控制作用，检查升降弓、断/合主断路器对车载设备运行的影响；

2）车载设备与列车的制动接口检测：检测车载设备弱、中、强（最大常用）制动输出、紧急制动输出，检测相应的制动反馈信号，检测车载设备能否正常采集列车驾驶台状态输入信号、方向手柄信号，检测休眠信号对车载设备的影响，检测列车正常的制动输出等信号对车载设备使用的影响。