TBT3027-2002计算机联锁技术条件.pdf

TB 中 华 人 民 共 和 国 铁 道 行 业 标 准 T B/ T 3 0 2 7 - 2 0 0 2 计算机联锁技术条件 2 0 0 2 - 0 2 - 0 9发布2 0 0 2 - 0 7 - 0 1实施 中 华 少 L民 共 和 国 铁 道 部发布 T B/ P 3 0 2 7 - 2 0 0 2 目次 前言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II 1 范围 1 2 引用标准 ， 1 3 定义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 4 总则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 5 工作环境 3 6 联锁功能 ， ， ， 3 7 计算机联锁的硬件系统 7 8 计算机联锁的软件系统 一8 9 接口与通道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1 0 操作与表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 0 1 1 供电及电源设备 ， 1 1 1 2 电 磁兼容与雷电防护 ， ， ， 一1 1 1 3 监测与报警 1 2 1 4 应 急 盘 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 附 录A ( 标准 的 附 录)用 词 说 明 “ “ “ ” 1 3 附录 B ( 标准的附录) 联锁功能操作方法 ， 、 、 、 ， 、 、 、 、 、 、 ， 、 、 、 、 、 、 、 、 、 、 、 一1 4 T BP P 3 0 2 7 -2 0 0 2 前育 本技术 标准是根据铁计 1 9 9 6 1 号附件( 1 0 ) “ 铁道部标准计划” 安排的， 是在1 9 9 4 年铁道部颁布的 微机联锁系统暂行技术条件 经若干年实施的基础上提出的。 本标准的附录A 、 附录B 都是标准的附录。 本标准由中国铁路通信信号总公司 研究设计院提出 并归口。 本标准 起草单位: 北方交通大学、 铁道部科学研究院、 中国铁路通信信号总公司 研究设计院、 同 济大 学 。 本标准主要起草人: 单冬、 赵志熙、 高继祥、 何梅芳、 周玉堂、 吴芳美。 中 华 人 民 共 和 国 铁 道 行 业 标 准 T B/ r 3 0 2 7 - 2 0 0 2 计算 机联 锁 技 术条 件 1 范围 本标准规定了计算机联锁的术语定义、 总则、 工作环境、 联锁功能、 可靠性与安全性、 硬件与软件结 构、 接口 与通道、 操作与表示、 供电及电 源设备、 电磁兼容与雷电防护、 监测与报警， 以 及应急盘等技术条 件 。 本标准适用于车站计算机联锁的研究和设计。工程、 运营和维修部门可参照执行。 2 引用标准 下列标准所包含的条文， 通过在本标准中引 用而构成为本标准的 条文。 本标准出 版时， 所示版本均 为有效。所有 标准都会被修订， 使用本标准的 各方应探讨使用下列标准最新版本的可能 性。 C 日 / 1 3 0 4 7 . 2 -1 9 9 2 高度进制为4 4 . 4 5 二 的面板、 机架和机柜的基本尺寸系列 G B 1 0 4 9 3 -1 9 8 9 铁路站内 道口 信号设备技术条件 T B / 1 2 3 0 7 -1 9 9 2 电气集中 各种结合电 路技术条件 T B / 1 2 4 9 6 -2 0 0 0 信号微机监测系 统技术条件 T B / T 2 4 9 9 -1 9 9 4 调度集中和 调度监督的数据通信系统终端接口和 链路控制规程 T B / r 2 8 9 3 -1 9 9 8 铁路信号彩色屏幕图 形符号 E N 5 0 1 2 8 铁路控 制和防护系统软件 R a i l w a y A p p li c a t io n s : S o f t w a r e f o r R a i lw a y C o n t r o l a n d P r o t e c t io n S y s t e m s , F e b r u a r y , 1 9 9 4 E N 5 0 1 2 9 铁路安全电子系统R a i l w a y A p p l ic a t io n s : S a f e t y R e l a t e d E l e c t ro n i c 定义 本标 准采用下列定义 : 3. 1 联锁计算机 指计算机联锁中实现联锁功能和安全性输人输出的计算机系统， 包括硬件、 软件和接口。 安全性完善度 表示在全系统中体现确保安全的能 力。其定量指标可以 采用到给定时刻系统维持安全功能完善的 概率来表示。 软件安全性完善度等级 表示对软件所要求的安全性完善水平的一种定量指标。是将安全性完善度根据软件关键功能失效 中华人民共和.铁道部2 0 0 2 - 0 2 - 0 8 批准2 0 0 2 - 0 7 - 0 1 实施 1 T B/ T 3 0 2 7 - 2 0 0 2 的概率和产生的危险严重程度划分的等级。 3. 4 危险侧输出 联锁计算机产生危及行车安全的 输出。 3 . 5 联锁计算机的安全性 联锁计算机不产生危险侧输出的能力。 联锁计算机的安全度 联锁计算机不产生危险侧输出的概率。 体 系结构 指计算机联锁系统中具有不同功能的计算机之间的相互关系。 3 8 通信前置处理机 指在计算机通信中， 具有处理探询通信线路、 网 络争用以 及信息的 缓冲、 排队和转发等功能的处理 R .3 .9 数据字典 软件使用所有数据项名称连同有关的特性( 如逻辑结构、 约束、 值域等) 的集合。 合法码字 在数据字典中有定义的码字。 非法码字 在数据字典中没有定义的码字。 总则 4 . 1 计算机联 锁是以计算机为主要技术手段实现车站联锁的信号系统。计算机联锁应能满足各种车 站 场) 规 模和运输作业的 需要， 应保证行车安全， 提高 运输效 率， 改善劳动 条件， 并具备 大信息量和 联网 能力。 4 . 2 计算机联锁必须工作可靠并符合故障 一安全原则。 4 . 3 联锁计算机必须采用高可靠性硬件和 冗余结构。 4 . 4 计算机联锁软件的安全性完善度等级宜划分为4 级 ， 由高至低依次为4 -1 级。等级的划分等同于 E N 5 0 1 2 8 和 E N 5 0 1 2 9的规定。 4 . 5 有关电 源、 电磁环境、 外部接口、 人机接口 ( 考虑操作失误) 等环境条件和使用条件的设计应采用与 安全性完善度等级相适应的设计方法。 4 . 6 联锁计算机在发生一处故障与一次错误办理同时存在的情况下， 不得产生危险侧输出 4 . 7 计算机联锁的 硬件和软件结构应实现模块化和标准化 4 . 8 计算机联锁应能与其他信号系统结合， 并能与其他管理信息系统交换数据。 4 . 9 计算机联锁与其他系统通信时， 应遵循规定的通信协议。 4 . 1 0 计算机联锁应具有对室内 外联锁 设备的监测功能。 4 . 1 1 计算机联锁必须向规定的软件检测设备提供必要的接口。 2 TB/ T 3 0 2 7 - 2 0 0 2 工作环境 温度为5 一4 0 C a 相对湿度不大于9 0 %. 大 气压力为7 4 . 8 - 1 0 6 k P a o 应采 取防静电措施 。 51625354 联 锁功能 6 . ， 基本联锁功能 计算机联锁必须在规定的联锁条件和规定的时序下对进路、 信号和道岔实行控制。 对于来自 操作 设备的错误操作， 应具备有效的防护能力。 6， . 1 进 路 6 . ， . 1 . ， 下列进路规定为敌对进路。 敌对进路必须相互照查， 不得同时开通。 a ) 同一到发线上对向的列车进路与列车进路 ; b ) 同一到发线上对向的列车进路与调车进路; c ) 同 一咽 喉区内对向重叠的列车进路; d ) 同一咽喉区内 对向 或顺向重叠的列车进路与调车进路; e ) 同 一咽喉区内对向 重叠的调车进路; f ) 防护进路的信号机设在侵限轨道绝缘节处， 禁止同时开通的进路; 9 ) 向驼峰推送车列占 用的股道与另一端向 该股道的 接车 或调 车进路。 6 . 1 . 1 . 2 无岔区段有车占用时允许向该区段排列调车进路， 但不允许经由该区段排列组合调车进路， 即长调车进路。 6 . ， . 2 进路的锁闭 6 . 1 . 2 . ， 进路锁闭分为预先锁闭和接近锁闭。预先锁闭应在进路选通， 有关联锁条件具备时构成。接 近锁闭在信号开放， 进路的接近区 段占 用时构成， 对于列车进路， 接近锁闭须持续到进路第一区 段自 动 解锁或人为解锁。当 接近区 段未 设轨道电路时， 接近锁闭应于信号开放后立即 构成。 6 . 1 . 2 . 2 列车及调车进路， 应设接近锁闭， 其接近区段应有足够的长度， 规定如下: a ) 接车进 路为信号机外方的闭 塞分区 或轨道电路区段; b ) 发车进路为发车 线; c ) 正线上同方向相邻的两架信号机， 当信号显示上有联系时， 后一架信号机所防护进路的接近区 段， 应从前架列车信号机内方第一轨道区段开始; d ) 调车进路为信号机外方的 邻接轨道电路区段， 当信号机外方未设轨道电路时， 则信号开放即构 成进路的接近锁闭; e ) 当列车速度大于1 2 0 k m/ h 时， 正线列车进路的接近区段的长度应满足最高速度制动距离的要 求。 6 . 1 . 2 . 3 引导锁闭 分为引导进路锁闭和咽喉引 导总锁闭。进 路锁闭时须检查道岔位置正确， 并锁闭进 路中的道岔， 敌对信号不得开放。引导总锁闭须锁闭咽喉区的全部道岔， 包括到发线上的分歧道岔。 6 . 1 . 3 进路的解锁 6 . 1 . 3 . ， 任何操作不得使占用的区段解锁。 6 . 1 . 3 . 2 任何操作不得使列车、 车列运行前方的区段解锁。 6 . 1 . 3 . 3 进路的 解锁必须在信号关闭后进行， 进路解锁的方式规定为: a ) 锁闭的进路应能随列车车列的正常运行而 自 动解锁。 b ) 进路应按分段解锁方式设计。解锁时， 有条件的区段均应满足三点检查， 延时3 s 自动解锁。 3 T B月 ， 3 0 2 7 - 2 0 0 2 必要时， 接车进路的 接近区 段也可作为三点检查的条件之一。 6 . 1 . 3 . 4 调车中途返回解锁 在联锁区内 进行中途折返调车作业时， 在下列条件下调车进路应能实现中途 返回解锁。 a ) 当车列驶人调车进路后， 因中 途折返而使该进 路的部分区段不能解锁时， 在检查车列确已 根据 开放的折返信号机驶人该信号机的内方 ， 且出清全部未解锁的区段后， 该部分区段应 自动解 锁 ; b ) 当车列驶人调车 进路后， 因中途 折返作业而使该进路全部区 段均不能 解锁时， 在检查车列顺序 退出该进路和其接近区段后解锁; c ) 当 车列驶人并置信号机内 方后， 因中 途折返作业而使该进路全部区段均不能解锁时， 在检查车 列确已根据开放的反向 并置信号机驶人该信号机的内方， 且出清全部未解锁的区段后， 该条进 路 自动解锁。 6 ， ， . 3 . 5 已锁闭的进路不应因轨道电路瞬时分路不良或轨道电路停电恢复后错误解锁。 6 . ， . 3 . 6 办理取消进路和人工解锁 a ) 进路在预先锁闭状态时， 办理取消解锁应检查信号机关闭和 进路空闲， 取消 解锁不 应延时。 b ) 进路在接近锁闭 后， 应能办理人工解锁。接车进路及正线发车进路的人工解锁自 信号机关闭 时起延时3 m i n ; 其他进路的人工解锁自 信号机关闭 时起延时3 0 s . 6 . t3 . 7 除下列区段外的区段均可采用区 段故障解锁方式解锁。 a ) 轨道电路占用区段; b ) 处于列车车列走行前方的区段。 6 . 1 . 3 . 8 引导进路建立后， 需在人工确认后办理进路解锁。 6 . 1 . 4 信号 6 . 1 . 4 . ， 正常 办理进路或办理了 重复开放手续， 除引导信号外， 防护该进路的信号机必须检查其进路 空闲、 超限 界绝缘相邻区段空闲、 有关道岔位置正确、 进路已 锁闭、 未施行人工解锁、 敌对进路未建立以 及照查联锁条件正确后方可开放。 6 . 1 . 4 . 2 一次 排列由几条进路组成的 组合调车进路， 只当其各条进路均构成后， 防护各进路的调车信 号机由 组合调车进路最远端开始依次开放或同时开放。 6 . 1 . 4 . 3 已 开放的 信号机于下列情况之一时应及时关闭: a ) 列车信号， 当列车第一轮对进人该信号机内 方第一轨道区 段时; b ) 调车信号， 当车列全部越过信号机时或当信号机外方区段留有车辆( 含未设轨道电路) 出清内 方第一区段时; c ) 在专用的 机走线和机务段出口 处以 及机待线上的调车信号机， 当机车第一轮对进人信号机内 方时; d ) 发生故障时; e ) 办理取消或解锁进路时; f ) 复示信号机当其主体信号机关闭时。 6 . 1 . 4 . 4 必须保证值班人员能随时关闭开放的信号机。应具备多于一个的关闭信号的独立手段。 6 . 1 . 4 . 5 进站、 进路、 出站信号机( 办理 自动通过除外) 及调车信号机， 在信号关闭后， 不经再次办理 ， 不 得自 动重复开放信号。 6 . 1 . 4 . 6 在自 动闭塞区段， 根据需要对于正向经常有连续通过列车的 车站， 经办理自 动通过后， 应能使 该通过进路内的有关列车信号机随列车运行 自动变换相应显示。此时进路中的道岔必须保证处于锁闭 状态。 6 . 1 . 4 . 7 进站或接车进路信号机因故障不能正常开放信号或向非接车线路接车时， 应使用引导信号。 引导信号开放时必须办理引导进路、 检查引导进路中的道岔位置正确、 未建立敌对进路、 引导进路在锁 4 TB 广 1 3 0 2 7 - 2 0 0 2 闭 状态; 或者对道岔进行总锁闭。 开放引 导信号必须检查其主体信号机为红灯显示。 6 . 1 . 4 . 8 引 导信号在下列情况下应及时 关闭: a ) 列车未驶人引导进路之前信号保持开 放的条件不能满足时; b )信号机内方第一轨道区 段无故障的情况下， 列车第一轮对进人该区 段时; c ) 信号机内方第一轨道区段故障， 未能在 巧s 内进行维持开放信号的操作时; d ) 办理引导进路解锁时; e ) 解除道岔总锁闭时; f ) 人 工关闭信号时。 6 . ， . 4 . 9 信号灯丝监督 a ) 列车主体信号 机和调车信号机应设灯丝监督; b ) 在信号开放后， 应不间断地检查灯丝完好; c ) 进站、 进路或出站信号机， 当开放的 信号灯断 丝， 应自 动转变 为较低级信号显示; d ) 进站和有通过列车的正线出站或进路信号机应检查红灯灯丝完好方能开放; e ) 开放预告或复 示信号机时， 应不间断地检查其主体信号机在开放状态; f ) 列车信号机及进站、 接车 进路信号机的复示信号机的 点灯电路 应具有主、 副灯丝的自 动 转换功 能， 当主灯丝断丝时， 应有表示和报警。 6 . ， . 5 道岔 6 . 1 . 5 . 1 联锁道岔应能单独 操纵或随进路的排列而自 动选动。自 动选动宜采用顺序启动的方 式。 道岔的 单独操纵应优先于进路自 动 选动。 6 . 1 . 5 . 2 集中 联锁的 道岔应受进路锁闭、 区段锁闭及人工锁闭。 道岔控制电 路应符合下列要求: a ) 道岔转换设备的动作， 须与值班员的操纵意图一致; b ) 道岔在任一种锁闭状态下不得启动; c ) 道岔一经启动， 不论其所在区 段轨道电 路故障或有车进人轨道区 段， 均应继续转换到底; d ) 道岔因故被阻不能转换到底时， 当所在区 段无车占 用时， 对非调度集中 操纵的道岔， 应保证经 操纵后转换到原位， 对调度集中操纵的道岔， 应自动切断供电电路， 停止转换; e ) 电机电路故障， 道岔不应再转换; f ) 道岔转换完毕， 应自 动 切断启动电路; g ) 采用三相交流电源控制的电 动或电液转辙机， 必须设置断相保护装置; h ) 当 设计有列车储存进路或道岔 接受遥控时， 必须对道岔的启动采用能自 动切断 供电电 路， 停止 转换的防护措施; 必须采取防止因轨道电 路瞬间失去分路而解锁， 导致道岔错误转换的 措施。 6 . 1 . 5 . 3 集中 道岔表示电 路应符合下列要求: a ) 道岔表示应与道岔的 实际位 置一致， 并应检查自 动开闭器两排接点组或其他表示装置均在规 定位置; b ) 联动道岔须检查其各组道岔均在规定位置; c ) 单动、 联动和多点牵引道岔， 必须检查各牵引点的道岔转换设备均在规定位置; d ) 当道岔处于不密贴位置时， 严禁出现定位或反位表示; e )道岔启动时，应先切断位置表示; f ) 人工锁闭时， 不影响道岔的 位置表 示; 9 ) 道岔发生挤岔时， 应有挤岔表示。 6 . ， . 6 下坡道接车延续进路 6 . 1 . 6 . 1 当进站信号机外方列车制动距离内为超过6 o/- 下坡道时，必须设延续进路。 6 . ， . 6 . 2 排列接车进路及其延续进路， 应依次确定接车进路的 始端、 终端和延续 进路的终端。 6 . 1 . 6 . 3 进站信号机开放应检查接车进路及延续进路上的道岔位置正确并被锁闭、轨道区段空闲、 T B/ C 3 0 2 7 - 2 0 0 2 敌对信号未开放。延续进路锁闭后，可不始终检查延续进路上的轨道区段空闲。 6 . 1 . 6 . 4 当 延续进路已通向出站口 时， 如需连续发车，应按压出站信号机的信号按钮， 检查出站信 号机开放的条件满足后，即可开放出站信号机。出站信号机开放后，还可随时关闭，但延续进路不得 解锁。 6 . 1 . 6 . 5 延续进路的解锁 a )在正常情况下，在列车头部进人股道 3 min后，延续进路才能解锁; b ) 根据需要， 在列车头部进人股道后，因 故障导 致延续进路不能正常解锁时，可采取坡道解 锁的特殊操作不限时解锁 ; c )在取消或人工解锁接车进路后，延续进路应按取消进路方式解锁。 6 . ， . 6 . 6 引导接车时不设延续进路。 6 . 愧 . 7 到发线出 岔 6 . 1 . 7 . 1 向 有分歧道岔的到发 线上排列接车进路， 或由 有分歧道岔的到发线排列发车进路， 分歧道 岔应自 动转换到 规定位置并锁闭， 进站或出 站信号 机才能开放。 6 . 1 . 7 . 2 当防护该分歧道岔的 调车信号机开放时， 通向 该到发线的 接车进路不得建立， 但发车进路 可以建立。 6 . 1 . 7 . 3 接车时分歧道岔的 解锁 a ) 进站列车全部进人到发线并按顺序通过分歧道岔， 分歧道岔应自 动解锁; b ) 进站列车全部进入到 发线， 但未压人分歧道岔区段， 分歧道岔应经3 m i n 限时解锁; c ) 进站列车 全部进人到发线，占 用分歧道岔区段， 该分歧道岔应经3 m i n 延时并在列车出 清 后自动解锁。 6 . 1 . 7 . 4 发车时分歧道岔的 解锁 a )出发列车全部出清到发线，分歧道岔应立即自动解锁; b ) 无岔区段留有车辆时， 列车出清出站信号机内 方第一区段后， 分歧道岔才能解锁; c ) 取消发车进路， 分歧道岔和发车进路应同时解锁。当分歧道岔区段有车占 用时， 应保留区 段锁闭 。 6 . 2 平面溜放调车 6 . 2 . 1 溜放进路必须由 牵出 线通向 某一股道或某一指定线路的所有调车进路组成。 6 . 2 . 2 调车 信号机只有满足下列条件时，才能开放允许溜放信号: a )溜放进路建立后; b )溜放进路具有退路锁闭; c ) 溜放方向 的调车信号机外方有车列时， 或退路方向的调车信号机内方直至牵出线路末端空 闲时 。 6 . 2 . 3 溜放信号的 关闭时机为: a )当车列全部越过溜放方向的调车信号机时; b ) 当车列在 该信号机内 方区段分钩并出清后， 该信号机及其外方溜放方向的所有信号机均关 闭。 车组所跨调车信号机及其运行前方的 调车信号机继续保持溜放信号，与是否取消溜放 无关，直至车组越过该信号机; c )当机车进入退路方向的信号机内方时，该信号机关闭; d ) 取消溜放时，除在行车组所跨的 调车信号机及其运行方向前方的调车信号机外， 其他所属 调车信号机均关闭。 6 . 2 . 4 溜放进路的解锁 6 . 2 . 4 . ， 分钩时自 分钩区段前方第一架溜放方向 调车信号机内 方的进路应随溜放车组的 走行分段解 锁; 若分钩点为溜放方向 调车信号机内 方第一区段， 则该信号机防护的进路亦 随溜放车组的 前进分段 6 TB 汀 3 0 2 7 -2 0 0 2 解锁; 若分钩点非信号机内方第一区段， 则该信号 机防护的进路与该信号机外方至牵出 线的 溜放退路 进路相同，当车列退行至信号机外方时该信号防护的进路按中途返回方式解锁。 6 . 2 . 4 . 2 通向股道的调车信号机，当机车车列驶人该信号机内方后再全部退回信号机外方，即按分 钩处理，该信号机所防护的进路按中途返回解锁，其继续退行出清的进路，亦按中途返回解锁。 6 . 2 . 4 . 3 取消溜放时经3 0 s 后机车车 列溜放方向前方空闲的进路解锁， 其余进路待机车车列出清后 解锁或采取提前解锁方式以便车列及时改变退路。 6 . 2 . 4 . 4 溜放进路不能正常解锁时， 可施行区段故障解锁。 6 . 2 . 5 溜放进路的办理有单办和储存两种方式。当 采用储存方式时， 区段解锁后道岔延时转换， 且 在该溜放区内不允许同时办理其他列、调车进路或其他溜放进路。 6 . 3 与区间闭塞结合 应符合 T B / 12 3 0 7的3 . 1 一3 . 5的规定。 6 . 4 场间结合 应符合 T B / 1 2 3 0 7的4 . 1 的规定。 6 . 5 利用渡线隔开的联锁区衔接的结合 应符合T B / 1 2 3 0 7的4 . 2的规定。 6 . 6 到达场与驼峰结合 应符合T B / 1 2 3 0 7的4 . 3的规定。 6 . 7 与简易驼峰信号结合 应符合T B / 1 2 3 0 7的4 . 4的规定。 6 . 8 与机务段结合 应符合 T B / 1 2 3 0 7的5 . 1 一5 . 2的规定。 6 . 9 非进路调车 应符合T B / T 2 3 0 7的7 . 3的规定 6 . 1 0 道口控制 道口 技术条件应符合G B 1 0 4 9 3 的规定。 6 . ” 与调度集中的联系 ( 含调度监督) 6 . 1 1 . 1 计算机联锁与调度集中的通信 接口 与协议应参照T B / 1 2 4 9 9 进行设计。 6 . 1 1 . 2 当调度集中以 传输列车进路控 制命令方式对车站列车进路进行控制时， 计算机联锁与调度集 中的联系应参照T B / 1 2 3 0 7中6 . 1的规定进行设计。 6 . 1 1 . 3 当调度集中以传输执行计划方 式对车站列车进路进行控制时， 计算机 联锁应有根据执行计划 控制列车进路的能力。 6 . 1 1 . 4 计算机联锁与调度监督的联系应参照T B / T 2 3 0 7中6 . 2的规定进行设计。 6 . 1 2 与轨道电路电码化、进路表示器、发车表示器、调车表示器的结合应分别符合 T B / 1 2 3 0 7的 7 . 7 一7 . 1 0有关规定。 6 . 1 3 计算机联锁系统应预留与其他系统的接口。 7 计算机联锁的硬件系统 7 . 1 可靠性与安全性 7 . 1 . 1 计算机联锁应采用硬件冗余结构，如双机热备、三取二或主备二取二的结构。 7 . 1 . 2 计算机联锁的可 靠度指标: 平均故障间隔时间 ( MT B F ) 大于或等于1 0 h . 7 . 1 . 3 计算机联锁要求最高的安全性完善度等级，其安全度指标要求平均危险侧输出间隔时间大于 或等于1 0 1 h o 7 . 1 . 4 计算机联锁使用的涉及安全的电路必须符合故障一安全原则。 7 TB/I T 3 0 2 7 - 2 0 0 2 7 . 1 . 5 计算机联锁使用电 子元器 件构成故障一安全电路时， 必须考虑到元件级、门 级、 集成芯片级 故障，并按照故障一安全原则进行设计。 7 . 1 . 6 计算机联锁必须考虑瞬时 故障和间歇故障， 并采取相应的可靠性和安全性措施予以防护。 7 . 1 . 7 计算机联锁各计算机模块 之间的联系应采用冗余通道。 7 . 2 计 算机联锁硬件体系 结构 计算机联锁硬件体系结构应为层次结构，如分为人机对话层、联锁运算层和执行表示层。 7 . 3 计算机联锁与其他系统的 联系 7 . 3 . ， 计算机联锁应具有通过通信前置处理机和通信网 与其他系统实现 通信的能力。 7 . 3 . 2 计算机联锁与调度指挥系 统的 数据通信应符合有关规定。 7 . 4 电 路故障应能及时发现。当 故障 会危及行车安全时应采取措施切断系 统的危险侧 输出。 7 . 5 电子设备结构尺寸与工艺 7 . 5 . ， 设备结构尺寸应符合 G B / 1 3 0 4 7 . 2的规定。机柜或机架的最大尺寸应不超过2 0 0 0二 x 8 6 0 m m x 8 0 0 rn m ( 高x 宽x 厚) 。 7 . 5 . 2 联锁机柜应预留 一定数量的 模板接插位置。 7 . 5 . 3 机柜或机箱的结构应有良好的散热、隔热、防潮及防尘性能。 7 . 5 . 4 机柜或机箱的设计应便于 测试和器材更换。 7 . 5 . 5 接插件应接触可靠， 易于 插拔， 结构坚实， 不发生机械变形，并应具有防插错措施。接插件 插拔次数应保证在 4 0 0 次以上。 7 . 5 . 6 印制模板应涂以保护层， 元器件排列应 有规律。 板上应有电 路名称， 元器件附近应有识别标 志，各种识别标志被涂层覆盖而不易辨识时， 需在涂层外复印 再现。 8 计算机联锁的软件系统 8 . ， 一般原则 B . ， . 1 计算机联锁的软件系统必须达到软件制 式检测要求的可靠性和安全性。 8 . 1 . 2 计算机联锁的软件应按安全性要求划分软件安全性完善度等级， 并采取与 确定等级相适应的 技术措施。 8 . 1 . 3 应根据所划分的安全性完善度等级， 遵照软件质量保证体系、软件生命周期来设计、开发和 测试软件。 8 . 1 . 4 在编制软件需求规格说明 书时， 应同时提出一个合适的软件体系 结构。 8 . ， . 6 计算机联锁的软件应经过测试确认和安全性评枯， 并 将结果作为文档的一部分交给用户。 8 . 1 . 6 软件应能随着 计算机硬件不断升级而方便地移 植。 8 . ， . 7 所设计的 程序 应模块化、 结构化、 标准 化。 8 . 2 软件的体系结构 计算机联锁的软件体系结构应遵循下列原则: 8 . 2 . ， 应在要求的软 件安全性完善度等级下编制软件需求规格说明书。 8 . 2 . 2 应详细说明和 评价软件与硬件集成后系 统的 有效性。 8 . 2 . 3 使用标准软件时，安全性完善度等级为1 、 2 的 须经测试确认后使用，等级为3 , 4 的 在使用 前除测试确认外， 还应进行失效分析， 确立失效保护措施。 8 . 2 . 4 可使用已 经验证的根据标准开发的 软件模块。 8 . 2 . 5 软件体系结构说明应包括软件组成及采用的故障检测技术、安全性技术、人工智能技术等。 软件的组成包括有关的程序、规程、规则、文档及数据 8 . 3 软件的工程化开发 8 . 3 . ， 软件工程化开发指按软件开发方法学，将软件作为产品并按生产工序进行生产。 8 T B/ I T 3 0 2 7 - 2 0 0 2 8 . 3 . 2 应严格按照软件工程学的步骤开发软 件， 以保证联锁软件的 安全性质量。 一般按以 下几个阶 段展开软件开发的活动: a )计划阶段; b ) 需求分析阶段; c ) 概要设计阶段; d )详细设计阶段; e )编码阶段; f ) 测试评枯阶 段; 9 )运行维护阶段。 8 . 3 . 3 文档对于 保证软件的开发、 运行和维护的质量极为重要。应在8 . 3 . 2 中规定的各个阶段如期 地建立规定的文档。主要文档包括下列内容: a )软件任务书; b ) 软件需求规格说明书; c ) 软件设计说明书; d ) 软件体系 结构说明; e ) 软件实现报告; f ) 软件测试计划; 9 ) 软件测试报告; h ) 软件运行维护报告。 8 . 4 安全软件设计要求 8 . 4 . ， 必须消除已 判定的 危险，避免导致危险的人为差错。 8 . 4 . 2 为使软件达到确定的安全性完善度等级，应采用可靠性和安全性技术进行设计 ，如容错设计 ( N版本、恢复块) 、避错、冗余、 降额、自 测试 ( 失效故障检测) 、动态重构、 故障屏蔽， 以及利用 智能技术实现的操作合理性检查，对难以修正的危险侧输出和信息传输中断时的安全处理及其他异常 处理等。 8 . 4 . 3 有相同意义的与行车安全有关的变量及其同一变量不同取值的 信息编码的汉明码距应不小于 4 0 8 . 4 . 4 与 行车安全有关的 信息编 码， 在其码集中合法码字和非法码字或安全侧码字和非安全侧码字 的不对称比 率必须不小于2 5 5 1 0 8 . 4 . 5 在联锁机上电、复位之后， 开始联锁运算之前， 必须运行自 检程序， 检查联锁机及其输人、 输出接口功能的完好和完整。 8 . 4 . 6 联锁机在整个工作期间内， 应周期性运 行自 检或互检程序。 8 . 4 . 7 开关量信息采集周期应适应列车最高运 行速度的要求。 8 . 4 . 8 数据库中的主要数据可用车站基础数据自 动生成。 9 接口与通道 9 . ， 计算机联锁的接口指计算机联锁内部各组成部分之间的开关量采集或驱动的接口，以及计算机 联锁与外部各组成部分间的开关量采集或驱动的接口。计算机联锁的通道指计算机联锁内部各组成部 分 之间信息交换的通讯线路以 及计算机联锁与外部设备之间的 通讯线路。 计算机 联锁内部各组成部分 之间信息交换的通讯线路包括联锁计算机各计算机模块间为实现同 步或相互校核而设计的通讯线路; 联锁层与人机对话层等各计算机模块问交换数据的通讯线路;人机对话层模块 、 联锁运算层模块与监 测子系统之间的通讯线路等。 9 . 2 计算机联锁的 各种接口 与通道应保证长期使用的高 稳定 性和高可靠性。 9 TB/ r 3 0 2 7 - 2 0 0 2 9 . 3 设计有关行车安全的接口与通道时，应遵循下列原则: 9 . 3 . ， 与安全有关的 接口 与通道必须 按故障一安全原则进行设计。 9 . 3 . 2 设计安全接口与 通道，应对可能发生的故障进行假设， 并根据故障假设采取防 护措施。 故障 假设的基础是对已发生的故障的统计与分析。 9 . 3 . 3 设计安全接口 与通道时，除各 种故障假设外， 还必须考虑下列因素: 9 . 3 . 3 . 1 电源瞬间停电或电源波动超限; 9 . 3 . 3 . 2 接口、 通道与外部连接线路的断 线、 短路、 混线与接地。 9 . 3 . 4 设计安全接口 与通道时， 还应 采取光电隔离、 动静态冗余编码、参数限界冗余、 故障检测以 及其他特殊的工作原理等方法，以防止危险后果的发生。 9 . 3 . 5 采用故障检测法应考虑检测方 法自 身符合故障一安全设计原则。 9 . 4 计算机 联锁应能通过外部数据通道或计算机网络与其他自 动化或管理系统， 如调度集中系统、 调度监督系 统、 D MI S 系统等连接， 与之信息交 换。 9 . 5 在 设计各种通道 ( 包括网 络接口 通道)时， 应 遵循下列设计原则: 9 . 5 . ， 信息传输的协议应遵循I T U - T建议的 通信协议确定系 统的通信方式。 9 . 5 . 2 计算机联锁内 部各模块间 安全信息的 传输应设置专用通道， 构成封闭系统， 不应与计算机联 锁以外的系统直接连接或通讯。 9 . 5 . 3 对于 安全信息的传输， 除信道编码外， 信源编码也必须采用冗余的编码方式进行传输。计算 机模块在根据从通道接收 来的数据行动之前， 应进行极限 检测和 数据合理性检测。当检测到数据异常 时， 该数据应作为 安全侧数据予以处理。 9 . 5 . 4 必须考虑通讯通道中断或故障时可能对系统功能造成的影响，特别是对系统保证安全的功能 的影响，并采取措施予以防护。 9 . 5 . 5 应考虑非法登录的防护，包括合法人员的意外登录和不合法人员的恶意登录。应严格定义合 法用户的登录权。 对于有登录权的用户， 在进人系统时操作人员 必须符 合一定的操作规定。禁止使系 统存在由 远程登录 修改正在运行的软件的可能性。 计算机联锁与外部联网时应设置网络防火墙。 9 . 5 . 6 计算机联锁内部的信息传输通道和工业控制 局域网 宜采用冗余通道或冗余网，为使通道或网 络通讯的故障能得到实时的检测， 应优先选用具有以 下特性的网 络: a ) 网 络的 坚固 性应高于一般计算机局域网; b ) 容量足够大; c )具有一定的可扩展性。 9 . 5 . 7 当 计算机联锁与外部系统通过计算机网 ( 包括局域网和 广域网)联接时， 可通过前置处理机 实现 计算机联锁与网络的 联接。 也可通过 计算机联锁中 除联锁运算层和 执行表示层以 外的 计算机模 块 实现其功能。 9 . 5 . 8 在铺设用作信息传输通道的传输线时， 应与电源线分离， 远离干扰源， 如高压输电 线路、电 力牵引接触网等，必要时采取电气屏蔽措施。 9 . 5 . 9 引向 室外的 通讯通道， 应优先选用光传输通道， 除此以 外，则必须考虑通道的电气隔离或防 干扰、防雷害措施 9 . 6 接口与通道的运用和故障情况应纳人电务维修机和远程诊断的监测项 目。动态切换型 ( 如双机 热备型)联锁计算机的工作机和备用机的涉及安全的数据不一致时，必须采取安全切换对策以防危险 后果的 发生，同时宜给出相应报警信息。 9 . 7 应提供联锁系统与安全软件测试系统，包括出厂检测与现场测试系统的接口。 1 0 操作与表示 1 0 . 1 操作与表示应满足使用和维护的需要。 TBI T 3 0 2 7 - 2 0 0 2 1 0 . 2 操作设备应操作方便， 功能明确，便于减少误操作，但一次单一操作一般不形成有效操作命 令。 1 0 . 3 在表示设备上应有必要的简明图形、文字以及音响、语音提示。表示应简洁清晰，易于识别， 适应表示信息量的增减。 1 0 . 4 操作显示设备宜 采用单元式控制台和 屏幕 显示器与鼠标器的组合设备， 或采用双套屏幕显 示器 与鼠标器的组合设备。平时两套设备均应有正确显小，但只允许有一套设备具有操作功能。当操作功 能由 一种设备切换至另一种设备时 必须采取人工切换方式， 切换操作所使用的按钮必须加有铅封或辅 有输人口令的附加操作。 1 0 . 5 必要时可为值班员单独配置一套显示设备。 1 0 . 6 操作显示设备可配置相应的语音或音响提示。 1 0 . 7 表示设备的主要表示内 容应不少于现用继电 式电气集中联锁设备的表示内 容， 并具有根据需要 扩大表示内容的能力。 1 0 . 8 表示方式应符合 T B / 1 2 8 9 3 -1 9 9 8的规定。 1 0 . 9 操作方式应符合 “ 联锁功能操作方法”( 附录B )的规定。当没有具体规定时， 应与现用继电 式电气集中联锁设备的操作方式保持一致。 1 0 . 1 0 当采用鼠 标器作为操作设备时， 对于与现用继电 式电气集中 联锁设备按下带铅封按钮相对应 的操作， 应增加输入3 位数字口 令和再确认的附 加操作。 1 0 . 1 1 当采用鼠标器操作方式时，应具有股道、区间和信号按钮的封锁功能并具有相应提示。在屏 幕显示器上应具有轨道电路分路不良的显示能力。 1 1 供电及电源设备 ， ， . ， 计算机联锁的用电属于一级负荷， 应有两 路独立电源供电， 并且有自 动转接功能，以 保证不间 断供电。 ， ， . 2 主副电 源