一种用于轨道信号系统的安全编码传输装置的制作方法

1.本发明涉及列车信号控制系统，尤其是涉及一种用于轨道信号系统的安全编码传输装置。


背景技术：

2.地铁1号指挥中心pcc1突发大火，整栋大楼全部烧毁，造成1至6号线中心行车指挥系统完全瘫痪。火灾过后，1至6号线运营处于车站通过继电器联锁单元台行车指挥状态，控制中心则采用cctv进行监视列车位置，低下的行车指挥效率，导致6条地铁线路运力大幅度下滑，列车运营间隔由2分钟降低到5分钟，地铁公司急需恢复控制中心列车监控功能。
3.地铁1至6号线行车指挥系统全部采用继电器联锁+列控系统pa+基于fsk(frequency-shift keying，频移键控)通信的集中指令系统mc，实现基于固定闭塞的列车运行安全控制与调度集中。
4.上述行车指挥系统构成以mc为核心，所有相关子系统均以驱动采集的硬线连接方式与mc连接，不同设备安装地点，如控制中心与车站mc与mc之间通信方式为fsk，系统框图构成参考图1。
5.控制中心被火灾摧毁的部分主要是调度台(用于调度下发控制命令，如进路建立)，交通控制光学面板tco(观察列车在线路上的位置及信号状态)及附属指令台、tco与车站联锁、pa接口的控制中心mc机柜，位于车站的mc、继电器联锁及pa机柜则完好无损。此外，由于原有控制中心建筑在大火中已化为废墟，控制中心mc与车站mc之间的fsk信息传输线路也遭到毁坏，墨城地铁公司将新控制中心设置在墨城安防中心c5，因而实现6条线路与新控制中心之间的通信也是设计中需要考虑的问题。
6.因此如何来解决以下问题，成为需要解决的技术问题：
7.1、如何来尽量保留车站mc、继电器联锁、pa、轨旁轨道电路及环线、信号机、车载设备；
8.2、按照既有occ中心控制系统技术需求，如何来开发出一套控制中心ats行车指挥系统，用以取代原系统tco及调度台，该系统将与继电器联锁、pa设备实现接口，覆盖既有行车监控系统功能；
9.3、如何来实现控制中心与车站fsk接口设备的以太网传输，并通过设计配套的网络传输协议，从而保证与既有系统相同等级的信息实时性与可用性。


技术实现要素：

10.本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种用于轨道信号系统的安全编码传输装置。
11.本发明的目的可以通过以下技术方案来实现：
12.根据本发明的第一方面，提供了一种用于轨道信号系统的安全编码传输装置，包括控制中心和车载设备，所述控制中心与车载设备之间采用双环冗余以太网通信连接，所
述控制中心包括冗余设置的通信前置机，所述车载设备设有fsk与lan协议转换模块，所述通信前置机和fsk与lan协议转换模块内嵌用于信息传输与信息校核的软件模块。
13.作为优选的技术方案，所述的通信前置机与车载设备的fsk与lan协议转换模块采用四个ip通信连接，其中红网和蓝网各对应两个，其中通信协议采用基于modbus-tcp标准协议框架下开发的安全通信协议。
14.作为优选的技术方案，所述的通信前置机作为modbus-tcp协议的master发起请求，所述fsk与lan协议转换模块作为modbus-tcp协议的slave应答请求，其中通信周期t可配置。
15.作为优选的技术方案，所述的四个ip连接中的一个为主连接master ip，该主连接master ip向fsk与lan协议转换模块同时发送轮询状态请求和控制命令写请求；
16.其他三个从连接则只发送轮询状态请求，获取fsk与lan协议转换模块应答后作为数据备份，同时保持其与fsk与lan协议转换模块之间的通信链路。
17.作为优选的技术方案，当所述的主连接master ip失效的话，根据三个从连接的可用性与健康度，自动选择一个并使其上升为主连接master ip，从而达到系统状态下的无缝切换。
18.作为优选的技术方案，所述的用于信息传输与信息校核的软件模块包括依次连接的tc信息编码分组校核及组包模块、安全码生成模块、modbus-tcp协议封装模块、modbus-tcp协议解析模块、安全码校核模块和tk信息编码拆包及分组校核模块。
19.作为优选的技术方案，所述的tc信息编码分组校核及组包模块的具体处理过程如下：
20.步骤s101，从上层ats应用服务器获取本母站所有控制命令变量；
21.步骤s102，按照不同类型变量格式对信息进行分组编码；
22.步骤s103，对生成的信息内容进行校核，保证对应输出符合卡诺图输出变量不相切原理；
23.步骤s104，按照接口数据定义，对所有输出信息进行组包操作；
24.步骤s105，完成组包，发送给下游安全码生成模块处理。
25.作为优选的技术方案，所述的tk信息编码拆包及分组校核模块的具体处理过程如下：
26.步骤s201，从安全码校核模块获取包含本母站所有表示信息变量的数据；
27.步骤s202，根据数据接口定义，按照不同类型变量格式对信息进行分组解码；
28.步骤s203，对每个表示信息内容进行校核，确认其是否符合卡诺图输出变量不相切原理，若为是，执行步骤s204，否则执行步骤s205；
29.步骤s204，发送给上游ats应用服务器处理；
30.步骤s205，抛弃此包数据，向异常处理模块发送报警信息。
31.作为优选的技术方案，所述的安全码生成模块的具体处理过程如下：
32.步骤s301，从上层tc信息编码分组校核及组包模块获取已得到验证并完成组包的信息包；
33.步骤s302，将信息包添加lbits空信息，按sc-32安全码生成需求补齐信息位，生成信息序列；
34.步骤s303，根据查表法生成sc-32安全信息码，并根据vdp格式要求添加到vdp包相应信息位；
35.步骤s304，内部安全计数器变量+1，同步后添加到vdp包相应信息位；
36.步骤s305，完成vdp组包，发送给下游modbus-tcp协议封装模块处理。
37.作为优选的技术方案，所述的安全码校核模块的具体处理过程如下：
38.步骤s401，从modbus-tcp协议解析模块获取包含128bits安全编码的m+128bits vdp信息包；
39.步骤s402，判断安全计数器变量值是否等于当前记录的请求值，若为是，执行步骤s403，否则执行步骤s404；
40.步骤s403，根据生成多项式和信息安全码对信息内容进行校核，并执行步骤s405；
41.步骤s404，接收信息与当前请求信息安全计数器不等，信息过期，抛弃此包数据；
42.步骤s405，判断sc-32校核是否正确，若为是，执行步骤s406否则执行步骤s407；
43.步骤s406，信息解包，将m bits用户数据发送给上层tk信息编码拆包及分组校核模块进行应用层信息校核；
44.步骤s407，通道监视阀值k3+1，并判断k3是否小于设置阈值，若为是，执行步骤s408，否则执行步骤s409；
45.步骤s408，抛弃此包数据；
46.步骤s409，永久关闭此ip modbus-tcp会话，并产生网络通道故障报警。
47.作为优选的技术方案，所述的k3为rh3的系数，rh3为可忍受的损坏vdps未被检测到的风险率。
48.作为优选的技术方案，所述的modbus-tcp协议封装模块与modbus-tcp协议解析模块之间的数据包括两组四种不同信息类型报文。
49.作为优选的技术方案，所述的两组四种不同信息类型报文局包括：
50.第一组包括：
51.轮询状态请求报文，为通信前置机向fsk与lan协议转换模块发送；
52.轮询状态应答报文，为fsk与lan协议转换模块向通信前置机发送；
53.第二组包括：
54.控制命令写请求报文，为通信前置机向fsk与lan协议转换模块发送；
55.控制命令写请求应答报文，为fsk与lan协议转换模块向通信前置机发送。
56.作为优选的技术方案，所述的用于信息传输与信息校核的软件模块还包括时钟同步模块，用于外接gps时钟服务器，在失去gps信号情况下，为上层ats应用服务系统及下层fsk与lan协议转换模块提供时钟同步服务。
57.作为优选的技术方案，所述的用于信息传输与信息校核的软件模块还包括异常处理模块。
58.作为优选的技术方案，所述的异常处理模块包括以下功能：
59.a)监控设备工作状态，接收其他功能模块报警信息，上传至应用服务器或在必要时关闭相应ip端口通信；
60.b)设备启动或单功能模块重启时，检查各功能模块初始化参数设置，并重置这些参数；
61.c)管理两台通信前置机的双机同步功能，必要时，如主控通信前置机故障失去心跳变化，则实施双机切换操作。
62.与现有技术相比，本发明具有以下优点：
63.1)本发明装置基于全冗余架构设计，控制中心通信前置机采用双服务器，双网络4ip架构，车站fsk/lan模块采用双网络4ip架构，它们之间通信的以太网采用物理双环且具备环保护功能的cots高可靠性以太网交换机，这种架构设计，能够有效避免系统单点故障造成的系统失效，最大程度上提高了系统可用性；
64.2)本发明网络通信协议基于标准modbus tcp/ip开发，在应用数据层添加了数据安全校验尾部信息，使用gb/t 20830中定义的sc-32标准crc循环冗余算法，并加入系统安全时钟及通道监视管理，通过上述安全编码方法及软件检测，可以量化的估算出信息传输错误未被检测到且被系统错误引用的概率低于rh3＝10-8
，这个概率对于实现系统整体安全性指标是重要且可被接受的；
65.3)本发明根据既有mc信息编码特点，设计了信息生成与分组校验模块，从发送和接收端均对信息生成原则进行校核，确保不会出现非法码位，从而避免了mc对ats应用服务器等上游系统，以及继电器联锁、pa等下游系统的错误输出；
66.4)本发明通信软件信息处理程序设计采用模块化设计，代码可以方便的在通信前置机与车站fsk/lan模块之间移植，保证了相似功能产品开发软件模块的一致性。
附图说明
67.图1为现有以mc为中心的sgte行车指挥系统示意图；
68.图2为控制中心冗余架构通信前置机的示意图；
69.图3为控制中心与车站双环冗余以太网结构的示意图；
70.图4为车站fsk与lan协议转换模块(以下简称：fsk/lan模块)与上层交换机及下层行车控制系统连接示意图；
71.图5为控制中心与车站的四个ip连接的示意图；
72.图6为通信前置机与fsk/lan模块通信流程图；
73.图7为控制中心冗余架构通信前置机软件模块部署示意图；
74.图8为vdp数据生成的流程图；
75.图9为vdp数据校核的流程图；
76.图10为表示与控制信息编码及数据流的示意图；
77.图11为tc控制信息生成的流程图；
78.图12为tk表示信息校核的流程图。
具体实施方式
79.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。
80.本发明围绕需求，开发出一种应用于mc系统的安全编码传输装置，解决新建控制
中心与1至6号线各车站以太网安全通信问题。本发明具有如下特点：
81.1、采用网络传输安全通信协议，在通用网络通信协议基础上增加信息安全层，确保信息传输的时效性与安全性；
82.2、控制中心设备与车站网络通信设备采用冗余架构设计，保证信息传输的高可靠性；
83.3、控制中心设备与车站网络通信设备均考虑通信失效的降级处理，保证控制指令与中心表示信息的安全性与准确性；
84.4、在通信前置机应用程序中开发了mc接口信息分组校验模块，用于对ats应用服务器下发的控制命令及车站fsk/lan模块上传的表示信息包进行格式检查与校核，确保信息内容本身的完整性与正确性。
85.从硬件结构上来说，本发明功能模块分布架构参考图2(控制中心)、图3(控制中心与车站环网连接)、图4(车站)，分为3个部分：
86.a、控制中心冗余架构通信前置机、高精度gps时钟模块及上下层网络连接；
87.b、控制中心与车站之间双环冗余以太网络；
88.c、车站fsk/lan冗余通信以太网协议转换器。
89.本发明涵盖的系统安全传输编码及装置主要涉及上述三个部分，其中软件传输与信息校核模块主要部署在控制中心冗余架构通信前置机及车站fsk/lan冗余通信以太网协议转换器上，它们之间信息传输的物理通道通过控制中心与车站之间双环冗余以太网络实现。
90.本发明着重描述控制中心控制中心前置机硬件与软件架构，软件模块功能及实现方法。车站fsk/lan模块将作为一个整体，控制中心与车站之间的双环冗余网络采用cots商用现成产品，因而不做描述。
91.1、控制中心前置机硬件与软件架构
92.控制中心通信前置机采用a/b机冗余架构，在同一时刻，与车站fsk/lan转换模块保持4个ip链接，红网和蓝网各对应2个，应用层采用基于modbus-tcp标准协议框架下开发的安全通信协议。
93.其中ats通信前置机作为modbus-tcp协议的master(tcp的slave)发起请求，fsk/lan模块作为modbus-tcp协议的slave(tcp的master)应答请求，通信周期t可配置，通常为1s。
94.四个ip连接中的一个为主连接(master ip)，向fsk/lan模块同时发送轮询状态请求(tk polling request)和控制命令写请求(tc writing request)。ats系统将采信主连接的信息，上传到应用服务器进行进一步处理，其他3个从连接则只发送轮询状态请求，获取fsk/lan模块应答后作为数据备份，同时保持其与fsk/lan模块之间的通信链路。
95.当主ip由于某种原因(如通信前置机宕机或其他原因，如人工倒机导致双系切换，fsk/lan冗余通信模块单系故障，中心车站通信网络故障等)导致失效，则系统根据三个从ip(slave ip)的可用性与健康度，自动选择一个并使其上升为主ip，从而达到系统状态下的无缝切换，满足运营可用性需求。
96.通信前置机与车站fsk/lan模块之间的ip主从关系参考图5。
97.通信前置机与fsk/lan模块modbus-tcp信息处理流程参考图6，四个ip的通信流遵
循同一流程。
98.2、控制中心冗余架构通信前置机软件功能模块部署参考图7，包括依次连接的tc信息编码分组校核及组包模块、安全码生成模块、modbus-tcp协议封装模块、modbus-tcp协议解析模块、安全码校核模块和tk信息编码拆包及分组校核模块，下面对每个软件功能模块进行说明。
99.1)modbus-tcp协议封装模块、modbus-tcp协议解析模块
100.控制中心通信前置机与车站fsk/lan模块之间的安全通信协议基于标准modbus-tcp协议栈开发，由modbus-tcp协议封装及解析模块实现，分为2组4种不同信息类型报文，按如下规则定义：
101.组1(主从ip)：
102.a)轮询状态请求(tk polling request)，通信前置机-》fsk/lan；
103.b)轮询状态应答(tk polling response)，fsk/lan-》通信前置机；
104.组2(仅主ip)：
105.a)控制命令写请求(tc writing request)，通信前置机-》fsk/lan；
106.b)控制命令写请求应答(tc writing resopose)，fsk/lan-》通信前置机。
107.modbus-tcp协议栈定义参考表1(读，写格式类似，统一在同一图内)。
108.表1
109.[0110][0111]
2)安全码(safety code)生成/校核模块
[0112]
安全码生成/校核模块主要对安全过程数据vdp进行处理，vdp数据格式参考表2所示。该模块有两个功能：
[0113]
a)安全码生成与解析：
[0114]
根据应用数据内容，发送端填充安全计数器，并生sc-32安全校验码，作为安全校验信息附加在信息包尾部发送给接收端，接收端对其进行解析，并进行信息报顺序，时效性以及内容进行校验。采用的sc-32定义了一种用于计算安全码的循环冗余码，生成多项式采用“1f4acfb13”，具体算法在gb/t 20830-2015中规定。
[0115]
表2
[0116]
[0117]
b)通道监视：
[0118]
通道监视用于发现传输错误率突然增加的情况，这种情况可能由ip传输通道中某一组件的软硬件损坏而导致的，譬如通信前置机网卡，车站fsk/lan网络模块或他们之间的环网交换机节点等。传输错误率的增加可能会使安全码不能检测出错误的概率超出可以接受的范围。这些故障可能是永久性的，如通信前置机网卡，车站fsk/lan网络模块故障，需要修复系统才能恢复；也可能是临时的，如传输网络暂时堵塞，系统可能自动恢复。
[0119]
如果接收到的安全码错误的vdps的个数超过了参数k3(通道监视阀值)所定义的阀值，通道监视功能将指示安全通信丢失，主程序永久关闭关联的ip会话。如果接收到的vdps的安全码错误率低于k3，通道监视功能将取消安全通信丢失指示。
[0120]
在本发明中，k3被设置成k3＝43次/每小时，由应用层程序通过数据准备工具进行配置。k3为rh3的系数，rh3为可忍受的损坏vdps未被检测到的风险率，并且安全码sc-32对损坏vdps的检测性能pus≈2-32
(参考iec62280)。k3＝43是通过使得rh3＝10-8
而推算得来的。
[0121]
如图8所示，所述的安全码生成模块的具体处理过程如下：
[0122]
步骤s301，从上层tc信息编码分组校核及组包模块获取已得到验证并完成组包的信息包；
[0123]
步骤s302，将信息包添加lbits空信息，按sc-32安全码生成需求补齐信息位，生成信息序列；
[0124]
步骤s303，根据查表法生成sc-32安全信息码，并根据vdp格式要求添加到vdp包相应信息位；
[0125]
步骤s304，内部安全计数器变量+1，同步后添加到vdp包相应信息位；
[0126]
步骤s305，完成vdp组包，发送给下游modbus-tcp协议封装模块处理。
[0127]
如图9所示，所述的安全码校核模块的具体处理过程如下：
[0128]
步骤s401，从modbus-tcp协议解析模块获取包含128bits安全编码的m+128bits vdp信息包；
[0129]
步骤s402，判断安全计数器变量值是否等于当前记录的请求值，若为是，执行步骤s403，否则执行步骤s404；
[0130]
步骤s403，根据生成多项式和信息安全码对信息内容进行校核，并执行步骤s405；
[0131]
步骤s404，接收信息与当前请求信息安全计数器不等，信息过期，抛弃此包数据；
[0132]
步骤s405，判断sc-32校核是否正确，若为是，执行步骤s406否则执行步骤s407；
[0133]
步骤s406，信息解包，将m bits用户数据发送给上层tk信息编码拆包及分组校核模块进行应用层信息校核；
[0134]
步骤s407，通道监视阀值k3+1，并判断k3是否小于设置阈值，若为是，执行步骤s408，否则执行步骤s409；
[0135]
步骤s408，抛弃此包数据；
[0136]
步骤s409，永久关闭此ip modbus-tcp会话，并产生网络通道故障报警。
[0137]
3)tc信息编码分组校核及组包模块和tk信息编码拆包及分组校核模块
[0138]
这两个模块主要功能是按照mc定义的信息格式对发送的信息进行编码处理，对接收的信息进行格式校验，严格确保其正确性。
[0139]
控制中心ats系统与mc之间信息交护分为两类：
[0140]
a)控制类信息tc：
[0141]
方向为ats-》mc，具体信息内容包括：进路建立/取消，站台扣车设备激活/取消指令，pa列车区间运行等级选择(正常，加速1，加速2，缓行模式，雨天模式)，终端站台发车时间指示等；
[0142]
b)表示类信息tk：
[0143]
方向为mc-》ats，具体信息内容包括：轨道电路占用/出清、道岔左/右开向、信号机红/白/绿、检修坑占用/出清、室外站台设备，如站台扣车设备激活/取消状态、终端折返站车次号输入设备输入信息、pa轨道区段初始化激活/取消等。
[0144]
这两类信息均通过车站的fsk/lan模块进行协议转换实现，信息流参考图10。
[0145]
无论是控制信息，还是表示信息，其编码规则均遵循卡诺图定义的输出变量不相切原理，其目的是保证mc后端继电器形式硬线编码输出与继电器联锁及pa列控柜之间的接口不存在竞争乃至冒险，变量信息位编码可参照图12(以5信息位编码为列)。
[0146]
如图11所示，所述的tc信息编码分组校核及组包模块的具体处理过程如下：
[0147]
步骤s101，从上层ats应用服务器获取本母站所有控制命令变量；
[0148]
步骤s102，按照不同类型变量格式对信息进行分组编码；
[0149]
步骤s103，对生成的信息内容进行校核，保证对应输出符合卡诺图输出变量不相切原理；
[0150]
步骤s104，按照接口数据定义，对所有输出信息进行组包操作；
[0151]
步骤s105，完成组包，发送给下游安全码生成模块处理。
[0152]
如图12所示，所述的tk信息编码拆包及分组校核模块的具体处理过程如下：
[0153]
步骤s201，从安全码校核模块获取包含本母站所有表示信息变量的数据；
[0154]
步骤s202，根据数据接口定义，按照不同类型变量格式对信息进行分组解码；
[0155]
步骤s203，对每个表示信息内容进行校核，确认其是否符合卡诺图输出变量不相切原理，若为是，执行步骤s204，否则执行步骤s205；
[0156]
步骤s204，发送给上游ats应用服务器处理；
[0157]
步骤s205，抛弃此包数据，向异常处理模块发送报警信息。
[0158]
4)软件模块还包括时钟同步模块与异常处理模块
[0159]
时钟同步模块外接高精度gps时钟服务器，在失去gps信号情况下，根据设计需求，守时精度高于200ns/日，为上层ats应用服务系统及下层车站fsk/lan模块提供时钟同步服务，采用ntp协议转发。
[0160]
异常处理模块主要实现如下功能：
[0161]
a)监控设备工作状态，接收其他功能模块报警信息，上传至应用服务器或在必要时关闭相应ip端口通信；
[0162]
b)设备启动或单功能模块重启时(如重新启动单一ip的modbus-tcp会话)，检查各功能模块初始化参数设置，并重置这些参数；
[0163]
c)管理两台通信前置机的双机同步功能，必要时，如主控通信前置机故障失去心跳变化，则实施双机切换操作。
[0164]
本发明解决了墨西哥地铁1至6号线新建控制中心ats系统与既有车站mc网络连通
问题，从而实现了新建ats与既有系统之间的远程接口，避免了整个系统的推翻重建，大大减少了项目资金需求，缩短了项目实施周期；
[0165]
本发明涉及的系统安全编码传输方法与装置，应用于墨西哥地铁1至6号线控制中心重建。然而，基于mc+继电器联锁+pa成套轨道交通行车控制系统设备在全球有广泛的应用业绩。本发明涉及的安全通信方法及附属硬件装置的成功开发与应用，为上述城市轨道交通分段化改造，即先实施控制中心ats系统改造，再逐步实施cbtc全系统改造提供了一种切实可行的方案选择。
[0166]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。