基于无线通信的列车自动控制系统的安全可靠性研究.doc

上海交通大学硕士学位论文基于无线通信的列车自动控制系统的安全可靠性研究姓名：周波申请学位级别：硕士专业：计算机技术指导教师：黄上腾;牟振英20070801上海交通大学工程硕士研究生学位论文 IVAbstract The CBTC system is the present urban track traffic signal systems one kind of new application plan, its security and reliable direct relation train movement quality. The present signaling system uses is fixed unenlightened perhaps the accurate movable block, along with the urbanized development, the operation request is getting higher and higher, therefore the CBTC appearance, displays the train automatic control systems ability fully. But the CBTC systems security and the reliability are one very important and the actual topic. Because traditional train automatic systems intelligence transmission mainly based on special-purpose wired network, reliability and security in private network design basic solution; Along with the wireless networkings development, has introduced CBTC based on the wireless communication train automatic control system, proposed the security to commercial WLAN and the reliable request. This article proposed that present domestic orbital transportation profession has some only regarding the CBTC systems secure reliability based on the universal network standard and the standard (for example the IEEE profession standard and in view of CBTC IEEE 1474 guidance white paper), in the network security has used some mature encryption algorithm (for example DES, 3DES), but these procedures and the standard often exist have the security loophole, must therefore carry on the corresponding analysis and the improvement to them. This article to the correspondence domain commonly used standard, the profession standard and the algorithm in fact carries on the analysis, as well as in communications systems network standard, IEEE 802.3 standards and IEEE International organization standard key cut agreement and so on analysis; Has carried on the analysis in view of the wireless communication systems profession standard and the algorithm which saves to the wireless system password proposed the compatible demand; Has referred to the security aspect correlation data, had discovered the two accommodating appear possibly some questions, and have carried on the analysis to the order of complexity, simultaneously aimed at the discovery the question to propose the enhancement solution and the agreement, have proven the CBTC system application feasibility as well as the superiority. This article significance lies, not only proposed a brand-new intelligent track transportation system, but also had proven in the communications system introduction rigorous signaling system, will have provided a recent development direction and the performance improvement way for signaling systems development. KEY WORDS：CBTC，DCS，IEEE 802.11B，IPSec，MTBF，co-frequency disturb，WLAN， channel balance 上海交通大学工程硕士研究生学位论文 V英文缩写说明 2oo2 2 out of 2 二取二 2oo3 2 out of 3 三取二 AAR Association of American Railways 美国铁路协会 AP Access Point 接入点 ATC Automatic Train Control 列车自动控制 ATO Automatic Train Operation 列车自动运行 ATP Automatic Train Protection 列车自动防护 ATPM Automatic Train Protection Manual Mode 列车自动防护人工模式 ATS Automatic Train Supervision 列车自动监控 CA Certificate Authority 认证授权 CBTC Communication Based Train Control 基于通信的列车控制 COTS Commercial-Off-The-Shelf 商用设备 CPU Central Processing Unit 中央处理单元 DCS Data Communication System 数据通信系统 DSP Digital Signal Processor 数字信号处理器 DSU Database Storage Unit 数据库存储单元 FSB Full Service Brake 全常用制动 FHSS Frequency-Hopping Spread Spectrum 跳频扩频 GUI Graphic User Interface 图形用户界面 HMI Human Machine Interface 人机界面 ID Identifier 识别号 IM Interface Module 接口模块 IP Internet Protocol 因特网协议 I/O Input Output Module 输入输出模块 LMA Limit of Movement Authority 移动授权权限 LRU Line Replacement Unit 线路可替换单元 MFC Microsoft Foundation Class 微软基础类 MPU Main Processing Unit 主处理单元 MRR Manual Route Reservation 人工进路预留 MTBF Mean Time Between Failure 平均无故障时间 MTTR Mean Time to Restore/repair（This time does not include the travel time to the equipment room） 平均恢复/修复时间（从到达设备室以后开始计算） NMS Network Management System 网络管理系统 OBRU On-Board Radio Unit 车载无线单元 ODC Open Database Connectivity 开放式数据库连接性 PSU Power Supply Unit 电源单元 SD Security Device 保密器件 STL Standard Template Library 标准模板库 TI Transponder Interrogator 应答查询器 TIMS Train Information Management System 列车管理信息系统 上海交通大学 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 周波 日期： 2007年 9月 30 日 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密，在 年解密后适用本授权书。 本学位论文属于 不保密。 （请在以上方框内打“”） 学位论文作者签名：周波 指导教师签名：黄上腾 日期： 年 月 日 日期： 年 月 日 上海交通大学工程硕士研究生学位论文 1 第一章 绪论 1.1 研究背景 随着城市化的发展和轨道交通技术的进步，城市轨道交通系统正发生着巨大的变化，自动化程度的增大、网络化的应用是城市轨道交通系统发展的必然趋势。近年来这种发展的步伐更进一步加快。城市轨道交通系统是一种不同于广义上的铁路运输系统的运输方式。 在基于高度自动化、高度计算机化的城市轨道交通系统中，现代通信技术的引进，使传统的信号系统一些概念正在发生变化，所使用的技术越来越多地引进了商用技术，尤其是计算机技术的广泛使用。 伴随着计算机技术和通信技术的发展，信号系统传递信息的方式也大量引入了各种新技术。 信号信息系统安全是一个涉及范围广、互连性强、动态性强的课题。整个信号信息系统大致分为三个独立的系统，如车载ATP系统、车载ATO系统、ATS系统。其中以ATS系统为信息中心，负责了对整个系统的信息传递、检验和储存。因此本课题将研究方向着重于对ATS系统中DCS的安全分析。 1.2目前列车自动控制系统的相关技术和现状 列车自动控制系统是从机车信号发展而来的，主要包括三部分：列车自动防护（ATP），列车自动监督（ATS），列车自动运行（ATO）。 ATP是三个子系统的安全核心，是ATC系统的基本配置，对列车的安全间隔、超速防护和车门进行控制。三个系统构成了一个完整的信息传递网络，目前国内外较多使用的都是有线专用网络，而且传递的信息量比较有限。通常只能传递必要的线路信息和行驶信息。ATS可以说是这个网络的中心，负责各种信息的交换和存储。而ATO则是ATC功能的扩展，是对ATP和ATS的有效利用。 目前国内的列车自动控制系统大多是采用半自动方式，即使用部分的ATO功能，根据线路的运营要求，主要分为连续式信号系统和点式信号系统。对于列车运行间隔（headway）的要求，目前的技术水平已经出现了瓶颈。 1.3 传统信号系统的系统构成及安全需求 传统信号系统的主要设计目标是用安全型轨旁信号机、列车停车和司机的警惕性来保持列车的实际间隔，从而使列车不会进入一个已被其它列车占用的区间。这个区间是通过轨道电路来分割，因此轨道电路的长度决定了区间长短，并结合车地通信确定列车的位置，从而划分出每列车之间的安全距离。 信号系统必须遵循故障导向安全的原则；一般情况下，大量使用安全型器件比如说安全型继电器等，以及冗余设计来保障系统安全近年来，2取2或是3取2的模式被大量使用。尤其对于远程控制的指令传递，一般情况下，上海交通大学工程硕士研究生学位论文 2 使用接口继电器来确保。因此，通常从数据处理、输入/输出、数据传输这三个过程分别实现故障安全8。 1.4 本课题的意义和来源 随着列车运行速度的不断提高，智能轨道交通系统中车地间的双向通信已经无法通过系统手段完成。因此必须研究基于通信的列车控制（Communication Based Train Control，简称CBTC）系统和具有高可靠性的高速数字调度移动通信。 为了实现运输高效与安全、高速智能交通综合信息系统在信息利用方面，必须采用基于通信的列车控制方式。与传统的基于轨道电路的列车控制（Track Circuit Based Train Control System，简称TBTC）系统相比9，CBTC有很多优越性，其中最重要的是： （1）列车和地面控制设备之间通过双向无线通信传递信息，构成闭环控制系统，使列车运行的安全性大大提高； （2）CBTC可以实现移动闭塞方式（Moving Automatic block System，简称MAS），使两列车追踪间隔大大缩短，提高列车在区间追踪运行的密度，从而大大提高铁路运输效率。 本课题研究之间来源于上海轨道交通6号线CBTC信号系统项目（2006.10-2007.10）。为了保证信号系统中的关键信息通过通信网络主要是无线通信方式保障列车自动控制的安全性，以及数据通信系统配置中的各种敏感信息的安全性，必须对项目中所涉及到的各种硬件设计和通信协议进行安全性和可靠性的研究。 1.5 作者所作的工作和本文的贡献 作者围绕本论文的课题进行了学习和研究，主要完成了以下几个方面的工作： 在广泛收集、浏览文献资料的基础上，对CBTC系统所常用的通信网络规范，尤其是无线通信IEEE 802.11的各种规范协议及算法进行了认真的学习，对CBTC系统所涉及的安全技术有了深刻的了解和掌握； 在对CBTC系统所涉及的安全技术深刻掌握并参考国内外的研究成果的基础上，对现行的硬件配置协议和协议算法进行分析，并对其中的一些不足提出建议和对策； 对所发现的数据通信系统（Data Communication System，简称DCS）的安全隐患提出了相应的改进意见。 本文的主要贡献为： 针对信号在传输过程中的问题，进行了故障安全的分析，并在此基础上提出了无线通信硬件配置的改进措施； 针对硬件配置中的网络覆盖问题，在保证有效和可靠的前提下，对网络覆盖原理进行了分析，并在此基础上提出了改进措施； 针对硬件配置的特点，进行了系统扩展的可行性分析，并在此基础上提出了建议和对策； 上海交通大学工程硕士研究生学位论文 3 针对无线网络的特性，分析信息在无线网络中传输可能存在的问题，对噪声干扰等进行了分析，并在此基础上对信道均衡、信息的加密和解密提出了改进措施； 针对新技术的出现，分析CBTC系统在新技术背景下的发展前景。 1.6 本文的篇章结构 第一章绪论对轨道交通信号系统的系统构成作了简单的介绍，说明了轨道交通信号系统对无线通信技术的需求，并对轨道交通信号系统安全的相关技术和现状进行了描述。 第二章对列车自动控制系统的基础介绍以及闭塞设计的要求和所有技术条件所要达到的基本安全要求。 第三章对CBTC进行了硬件分析，特别是数据通信系统的硬件配置，并对其进行了理论分析，在此基础上提出了相应的改进措施。 第四章对无线网络进行概述,尤其对其能够运用于轨道交通信号系统的可行性进行了说明,并且在特殊性上进行了特别介绍，特别对于安全性提出了相应的改进措施和对策。 第五章从故障安全角度对CBTC系统进行了分析。 第六章是新技术对CBTC系统的影响。 第七章是对本文的一个回顾以及后续工作的介绍。 上海交通大学工程硕士研究生学位论文 4 第二章 列车自动控制系统 在现代城市轨道交通中，轨道交通列车自动控制系统（简称信号系统）是地铁车辆安全、高效运行的主要保证。通常，信号系统系列包括列车自动监控系统（ATS）、列车自动防护/自动驾驶系统（ATP/ATO）和联锁系统三个部分。我国城市轨道交通市场正处于蓬勃发展起步阶段，市场潜力十分巨大。 2.1 列车自动控制系统 ATC系统顾名思义是对列车进行自动控制（Automatic Train Control）。但任何自动控制均有在各个层面的需求。这些层面一般分为在自动安全保护方面的，自动监视和掌握方面的，自动运行操作方面的。故相应ATC亦包含了它的三个子系统4。即： 列车运行自动保护（Automatic Train Protection）安全需求，简称ATP； 列车运行自动监控（Automatic Train Supervision）统一调整需求，简称ATS； 列车运行自动驾驶（Automatic Train Operation）精确运行，减少司机劳动，简称ATO。 2.1.1列车自动防护 该功能是安全型的，是ATC系统的根本。而ATS、ATO系统是建立在ATP基础上的。可以说没有ATP，ATS、ATO亦不存在。由ATP和ATS可以结合成较简易的ATC系统，ATO的工作将改由司机人工操作。ATP系统分设于轨旁和列车上二个地点。 2.1.2 列车自动监控 ATS子系统是ATC系统的监控部分。它对整个系统进行管理，控制和监督。它辅助调度员，给调度员一个工作平台。 它是一个非安全系统（安全由ATP保证，任何ATS的错误非安全，指令将不会被ATP所接受）ATS 子系统设备放置于控制中心。 ATS的功能如下5： 为中心调度员提供操作界面； 显示全线及列车设备的须知信息，并用图形数字表示； 制订生成时刻表，并记录列车实际运行时刻； 自动生成排列全线的列车进路； 自动调整全线列车运行时分，附合折返计划列车时刻表； 不同状况的列车给出不同速度模式的指令； 自动计算交会进路中的优先进路的选择； 上海交通大学工程硕士研究生学位论文 5 人工站区，站间及区域的封锁； 设置调整列车停站时间； 外部系统信息接口。 2.1.3 列车自动行驶 ATO是ATC的一个子系统，作为一个非安全子系统，依靠ATP提供保护，主要替代司机驾驶列车的工作。它的精确性，可靠性，稳定性远高于人工驾驶。并且还能做一些人工所无法完成的工作。ATO仅设置于列车上，ATO的主要功能如下： 速度自动调节； 站台程序定位停车； 自动开门控制； 自动折返； 自动根据线路坡度调整牵引力和制动力。 2.2 移动闭塞 目前地铁信号系统中普遍采用的是准移动闭塞技术,准移动闭塞概念建立在采用轨道电路检测列车位置的ATS基础上。移动闭塞则通过双向通信手段使每辆列车不仅知道自身在线路中的位置，这样就可以缩短列车的行车间隔，提高行车密度和行车效率，从而增强客运能力，提高服务质量和服务水平，这正是地铁信号系统发展的需求和趋势。 2.2.1 闭塞设计 为了保证城市轨道交通必要的通过能力和行车安全，我们通过区间闭塞来确保列车在规定的区间内安全运行。行车闭塞方式可以分为固定闭塞、准移动闭塞和移动闭塞。通常情况，在同一区间只准许一列列车运行，一旦列车占用了区间，即实行闭塞，在闭塞解除之前，不允许其他列车驶入。 传统信号系统的主要设计目标是用安全型轨旁信号机、列车停车和司机的警惕性来保持列车的实际间隔，从而使列车不会进入一个已被其它列车占用的区间。这个区间是通过轨道电路来分割，因此轨道电路的长度决定了区间长短，并结合车地通信确定列车的位置，从而划分出每列车之间的安全距离6。 2.2.2 移动闭塞原理 车载设备在区域控制器发出的移动授权权限（Limit of Movement Authority，简称LMA）下负责列车的安全运行。LMA被授权至列车前方的实际障碍物。车载设备确保由它产生的速度曲线考虑了所有适当的安全因素。这些考虑包括最不利情况下的停车距离和前方障碍物位置的偏差18。在移动闭塞系统中，TrZC根据列车所报告的位置，加上位置的不确定误差，从而得出该列车在最不上海交通大学工程硕士研究生学位论文 6 利条件下的位置。TrZC将这个列车的位置作为后续列车的障碍物来计算后续列车的移动授权权限，使之与前方列车尽可能接近。如果前行通信列车向前移动，后续列车的LMA以厘米级向前延伸1。 障碍物LMA（移动授权）正常情况下停车点常用制动曲线紧急制动曲线紧急情况加速度变化惰行最差情况下的停车距离 图2-1 移动闭塞原理1 Figure 2-1 Moving Block Principle1 需要说明的一点，列车定位是移动闭塞中一个重要的技术。列车定位2是指利用通信手段确定通信列车在ATC控制区内的实时位置。当列车接近ATC控制区域时，一旦检测到两个连续的应答器、并且确定这两个应答器的位置值和车载线路数据库中的一致，则该列车的位置和方向将被初始化。TrVOBC将会测量它所经过的两个连续的应答器之间的距离，并将其与线路数据库中的距离进行比较。如果两者差在限定的误差里，则列车的位置便确定，而且列车的确切位置及方向也能辨认出来。对应于每个检测到的应答器，TrVOBC将调整位置偏差。TrVOBC将根据转速计的输入来确定列车在两个应答器之间的位置。如果没有检测到2个连续的应答器或者检测到一个意料之外的应答器，TrVOBC将把位置设置为未知。意料之外的应答器是指检测到了与数据库中定义的位置不同的应答器。TrZC根据列车报告的车头位置，再加上位置测量误差值和估计的运行距离，计算得出通信列车可能的车头位置。TrZC根据列车报告的车尾位置，再加上位置测量误差值和潜在的倒溜距离计算得出通信车可能的车尾位置。VOBC会根据当前位置的坡度和倒溜容限（施加紧急制动之前），计算出列车的潜在倒溜距离，并把这个信息发送给TrZC。由于计算是动态的，所以TrZC可以为后续列车给出一个离前行列车最近的LMA；而其它系统是根据最差列车（如果系统内有多种类型列车）和最大坡度，来计算出最不利情况下的倒溜距离7。 2.2.3 移动闭塞与传统闭塞方式的比较 移动闭塞系统的主要设计目标是：在保持传统设计安全性的前提下，通过改上海交通大学工程硕士研究生学位论文 7 进列车定位分辨率和移动授权更新频率来减少列车间隔距离，提供更大的通过能力。车载设备在区域控制器发出的移动授权权限下负责列车的安全运行。移动授权权限被授权至列车前方的实际障碍物。车载设备确保由它产生的速度曲线考虑了所有适当的安全因素14。这些考虑包括最不利情况下的停车距离和前方障碍物位置的偏差。在这样的控制方式下，如果前行通信列车向前移动，后续列车的移动授权权限以厘米级向前延伸。基于无线通信的列车自动控制系统采用的就是移动闭塞6。 固定闭塞中，线路被划分为固定位置、一定长度的闭塞分区，一个分区只能被一列车占用；闭塞分区的长度根据车长、最高速度、最不利制动率等条件确定；列车之间间隔为若干分区，与列车在分区中的实际位置无关；制动的起点和终点总是某一分区的边界；通常是使用轨道电路来进行分区划分。目前上海地铁一号线和轻轨五号线使用的是固定闭塞方式。 行使方向报告的车头位置扩展的车头位置报告的车尾位置扩展的车尾位置具有潜在危险的列车为位置不确定的位置具有潜在危险的列车为位置CT可能的列车位置不确定的位置图2-2 列车定位2 Figure 2-2 Train position2 准移动闭塞的基本原则和固定闭塞一样，但是制动的起点可以延伸，但终端总是某分区的边界，它也是通过轨道电路来划分分区。上海地铁二号线、轻轨三号线和地铁四号线就是准移动闭塞的控制系统6。图2-3中对三种闭塞方式进行了比较。 在移动闭塞控制列车的间隔下，如同传统的基于轨道电路的系统，基于无线通信的列车控制系统也以“目标距离”的原则控制列车23。两种系统的不同之处在于分辨率：在数字轨道电路系统中，移动授权极限是以轨道电路区段为单位来给出22；而在移动闭塞的情况下，移动授权极限是基于更为精确的分辨率15。这也是基于无线通信的列车控制系统有别于传统列车控制系统的最大特点。 上海交通大学工程硕士研究生学位论文 8 2.3 系统需求 目前的ATC系统基本上能满足当前客运量对ATC行车安全、行车密度等的要求, 但ATC系统所含设备的品种多、设备量大、接口关系复杂, 在安全性、可靠性等方面尚有需完善的空间, 随着科学技术的进步,它必将发展成为更先进、更可靠、服务性能更佳、智能化程度更高的系统20。 2.3.1 安全性 系统安全性是指系统在运作中，对任何被认为可能产生的危害的防护性能。安全性是任何具有安全需求系统最主要的一项性能需求。如水坝，核电站等。因地铁载客运行直接牵涉到千百人的生命。故ATC系统亦无例外地将安全放至首位，故在铁路运输中有“安全第一”的提示4。 2040608080/8080/8080/6060/4040/040/02040608080/8080/8080/6060/4040/02040608080/8080/8080/6080/4040/0固定闭塞准移动闭塞移动闭塞40/0性能改善性能改善v/(km/h)v/(km/h)v/(km/h) 图2-3 三种闭塞方式的比较6 Figure 2-3 Compares of Three Block Modes6 上海交通大学工程硕士研究生学位论文 9 在过去电气设备时代，安全功能是建立在系统设备的元件级别上，依靠电气元件本身的功能特性。防止故障所带来的危害。明显的例子即为使用继电器依靠自然物理重力性能断开吸起接点切断危害状况的输出，达到安全的目的。但由于时代进步，电气设备粗、重、大，功能低下的缺点被具有细、轻、小功能强大的，微电子设备代替。如微机联锁，电子轨道电路以及通讯定位及交换信息等均是采用微电子设备构成21。但构成微电子设备的微电子元件本身并不具备自然物理的安全性能。故系统的安全性不能建立在设备元件级上。自然的必须建立在系统功能级上。所谓功能级即是实现某种安全功能的输出和输入必须在形成进程中进行安全性的防护，从而保持输出和输入功能的安全性10。 实际上安全性具体可作如下表述，即故障导向安全的二重含义5。 在无故障时设备能正确无误的工作 在故障时设备应导向安全的状态 微电子电路的故障是随机和不可预测的。且受环境的影响较大。故障后果也不能预期和控制。 微电子设备在功能级上一般采取以下几种办法21： 二取二，三取二制式即参数原则； 封闭式安全信息传输； 信道编码附有安全冗余码； 使用密钥的密码技术； 使用国际标准的操作模式。 考虑运行安全是设计ATC系统结构的首要环节。列车运行安全可分为下列功能： 强制的列车间隔； 强制列车限速； 列车和列车门控制。 在贯穿于ATC系统设计和开发的整个过程中，严格的执行冗余和故障安全原理。系统任一级的故障都导致它回复到一个较限制状态。 表2-1中详细描述了CBTC系统的安全需求并与估计的结果做了比较。 表2-1 安全性分析32 Table 2-1 Security Analysis32 设备 要求 预报 ATC系统 安全型故障率10-9 /小时 安全关键或者错误侧故障模式设计要求。 安全型校核冗余设计原理涉及到硬件或者软件配置，并要求任何会导致不安全情形的故障或者故障的组合，都能被证明发生可能性少于10-9 /运行小时 2.3.2 可靠性 CBTC系统的设计是为了提供一个可靠的系统。表2-2中详细描述了CBTC的系统可靠性需求和预计的比较结果。 上海交通大学工程硕士研究生学位论文 10 2.3.3 可用性 CBTC系统的设计提供了高可用性。系统是冗余的，所以单个的故障不会影响运行。例如：轨旁三重区域控制器按三取二配置，如果其中一个发生故障，故障报警将会报告给ATS，同时TrZC会继续以二取二配置运行直至纠正维护完成28。 TrVOBC是一个冗余系统，在三取二配置下运行。如果其中一个发生故障，故障报警将会报告给ATS，同时TrVOBC会继续以二取二配置运行直至纠正维护完成。 ATS是冗余的，两个服务器按主用和备用配置（双机热备），备用服务器同样接收所有的信息。一旦主用服务器出了故障，备用服务器将会成为主用并且不会影响运行30。 DCS系统是冗余的，它提供了一个完全冗余的无线覆盖。单个轨旁无线单元的故障不会影响运营。单个以太网交换机的故障也不会影响运行。表2-3中详细描述了可用性要求32。 表2-2 可靠性分析32 Table 2-2 Reliability Analysis32 设备 要求 预测 ATC系统 “安全相关”硬件的MTBF 106 小时 安全关键或者错误侧故障模式的设计要求。 安全型冗余检查设计原理要求任何会导致不安全情形的故障或者故障组合，都会被证明其MTBF高于 106 小时。 2.4 本章小结 本章对作为列车自动控制系统的理论基础和闭塞设计从原理上进行了简单的描述。本课题所研究的一些硬件和协议都是必须符合这些基本理论而进行扩张的。本章讨论是作为后续章节深入讨论的理论基础。 表2-3 可用性要求32 Table 2-3 Usability Requirement32 设备 要求 ATC系统可用性 A 99.98% 上海交通大学工程硕士研究生学位论文 11 第三章 DCS通信系统的硬件可靠性分析 3.1 系统结构 基于通信的列车自动控制系统中信息交换的关键系统是数据通信系统（DCS），有线骨干网和轨旁无线通信信道构成了DCS数据通信系统，这是移动闭塞的技术基础，也是区别于传统列车自动控制系统的最大区别之一。DCS的主要作用是在各个子系统之间传输ATC报文，而这些子系统大部分都是移动的。 3.2 网络体系结构 DCS是一个独立的网络，对于报文传送来说是完全透明的。ATC系统的应用程序不需要知道任何DCS的操作。反之，DCS也不需要知道ATC系统的应用。虽然DCS系统所传输的是安全型的列车控制信息，但其本身并不是一个安全型系统，只是一个可靠的数据传输系统而已。DCS采用了具有开放标准协议和接口的商用设备（Commercial-Off-The-Shelf，简称COTS）23。 整个网络采用了IEEE 802.3的以太网标准，而网内的所有移动通信则采用了IEEE 802.11的跳频扩谱（Frequency-Hopping Spread Spectrum，简称FHSS）无线标准。DCS采用UDP/IP（User Datagram Protocol，用户数据包协议）协议来传输ATC报文，并通过IPSec协议来保证网络的保密性13。DCS可以提供优越的ATC通信性能：平均报文延迟低于35ms。其可靠性是通过采用稳定的、多级冗余配置的高可靠设备来保证的。无线链路不需要前向纠错，只需检错即可。 3.2.1 骨干网构成 DCS由有线及无线部分组成，原理如图3-1所示。ATC系统的各个部分通过冗余的光纤骨干网互相连接起来。一段骨干网络构成了轨旁网络，该轨旁网络沿线路延伸。骨干网络是为IEEE 802.3局域网提供分布服务的固定有线网络。有线骨干网是冗余的高速单模光纤以太网，它由100Mbps或1Gbps的第2层网络交换机构成。这些交换机以冗余的自恢复环型结构形式连接。网络交换机位于沿线路所选定的车站。通过优化网络交换机以及WRU供应链的数量，可以提供最可靠的组合。所有ATC设备都通过一对冗余端口接入到网络交换机。它通过终端设备与所有的轨旁交换机相互连接。这些终端器件构成了车载系统。每个交换机最多提供两条100Mbps的骨干网连接和最多24条10/100Mbps本地以太网连接。这些连接中的一部分用于WRU供应链（如图3-1所示）。这些WRU沿线路分布，并且构成了IEEE 802.11无线局域网的基础。图3-1上部所示的系统监控（ATS）网络为冗余的局域网，它通过冗余的网络交换机连接到骨干网，如：ATS包含ATC中心控制设备、网络保密系统（Network Security System，简称NSS）和一个网络管理系统（Network Management System，简称NMS）。沿线车站设备室的ATC设备与轨旁网络的网络交换机连接13。同样连接到交换机的还有一系列供应轨旁上海交通大学工程硕士研究生学位论文 12 无线单元（Wayside Radio Unit，简称WRU）的分/插链。每个WRU包含一个无线接入点（AP）。每个供应链都能支持10个或更多的WRU，并且每端都分别与不同的网络交换机连接。这就为WRU提供了一系列冗余的本地供应网络。无线链路的一端是AP，而另外一端则在列车上，并连接到车载无线单元（On-Board Radio Unit，简称OBRU）。每个交换机的端口（与ATC设备相连）以及OBRU都有一个鉴定网关（一个保密器件Security Device，简称SD）。SD保证DCS网络的ATC报文鉴定。如图3-1所示，骨干网和轨旁网络支持由多重车地无线链接所组成的无线网络。有线和无线设备共同构成了一个无缝的网络31。以太网第2层网络交换机上的单模光纤链接，可以构成一个冗余环，如果需要，该环可以容纳50或更多的交换机。为了改善可靠性以及故障恢复时间，也可以组成一些互相连接的小环。 图3-1 ComTrac DCS网络典型图31 Figure 3-1 Typical ComTrac DCS Network31 图3-2显示了DCS网络的主要组成部分。穿过边界的每条线（电路）为一个IEEE 802.3标准接口13。注意：每条线上可以看见的第一个设备为SD。图的中心部分显示了骨干网和轨旁网络，以及将接入点供应链、本地列车控制设备或网桥连接到其它信任网络的交换机。注意：访问车载设备只能通过骨干网和它的保密器件。无线链接由轨旁AP天线和列车天线之间的锯齿线表示。考虑到设备冗余，列车的两端分别有无线设备，而为了路径多样性而为每个无线设备配置的两个天线。列车上的MR通过保密器件与车载控制设备相连。 COL-ACT-STA-123456789101112HS1HS2OK1OK2PSCONSOLECOL-ACT-STA-123456789101112HS1HS2OK1OK2PSCONSOLESDSDCentralEquipment(CE)NetworkSecuritySystem (NSS)NetworkManagementSystem (NMS)COL-ACT-STA-123456789101112HS1HS2OK1OK2PSCONSOLESDSDWaysideEquipment(WE)COL-ACT-STA-123456789101112HS1HS2OK1OK2PSCONSOLESDSDWaysideEquipment(WE)Add/dropswitchAP1Add/dropswitchAP2Add/dropswitchAP3Add/dropswitchAP4Add/dropswitchAP5Add/dropswitchAP6Redundant BACKBONE NETWORKRedundant WAYSIDE NETWORKSDSTAOBESTASDRedundantRADIO NETWORKAdd/dropswitchSingle-mode fibreMulti-modefibreCAT5To next add/drop switchTo next add/drop switchTo next add/drop switchTo next add/drop switchMulti-modefibreSingle-mode fibreSingle-mode fibreMulti-modefibreMulti-modefibre(distance100mAdd/dropswitchAP7Add/dropswitchAP8上海交通大学工程硕士研究生学位论文 13 3.2.2 轨旁无线单元和接入点 轨旁网络交换机与本地WRU供应链连接。该链由多模光纤组成。轨旁无线单元的工作电源是由位于某些车站的UPS远程提供的。 WRU沿线路安装，大约每250m一个。实际距离要取决于详细线路测量所确定的地形、隧道结构、地方标准及天线类型等等，在高架线路安装于触网立柱上（暂定）。每个WRU上的AP（Access Point）无线装置通过上述的本地伺服链连接到以太网交换机。每个AP无线装置一般都有两个定向天线，并分别面向线路的相反方向。 zczcSDSDSDSDNMSAPBackbone Network SwitchBackbone Network SwitchBackbone Network SwitchBackbone Network SwitchBackbone Network SwitchBackbone Network SwitchAPAPAPAPAPVOBCMRPSVOBCMRPSBackbone Network SwitchSDSDSDGatewayBridgeATC/ATSOther FAS/BAS LANsDCSBoundaryTrusted networkUntrusted networkRing Backbone NetworkDCSBoundaryUntrusted networkTrusted networkFront end of TrainRear end of Train 图3-2 典型DCS网络图22 Fig