刘鹏， 杨璘， 孙翼， 宋小莉

（1.中国铁道科学研究院集团有限公司通信信号研究所，北京100081；2.中铁检验认证中心有限公司，北京100081）

0 引言

计算机联锁在铁路车站应用广泛，特别是在高速铁路信号系统中，由于高速铁路列车运行速度高、运行间隔小、正点率要求高，为提高高铁系统的安全与效率，必须配有计算机联锁系统［1］。计算机联锁系统对可靠性和安全性2方面都有极高要求，特别是在安全性方面，要求达到最高的安全完整性等级［2］。联锁软件主要负责联锁逻辑运算，是计算机联锁系统各子系统中功能和逻辑安全要求最高的核心软件。在计算机联锁软件工程生产实施中，为避免诸如设计、软件变更、软件数据配置错误等问题发生，其应用软件应从流程控制、软件数据安全防护、软件管理等方面加强软件安全生产，在保证软件安全性的前提下提高软件质量和生产效率。

1 联锁软件生产存在的主要问题

在联锁系统工程实际实施中，影响联锁系统可靠运行除了系统硬件、标准版软件功能缺陷之外，绝大部分是设计人员和软件人员在软件生产过程中产生的诸如设计、数据配置错误等造成的，这些诸如“人的行为”问题经常影响现场设备使用，延误设备开通工期，频繁加大联锁回归测试。联锁软件生产流程及人员结构分配见图1。根据联锁软件生产流程及人员分配特点，归纳联锁软件在生产流程中的问题主要存在于设计和编制2个环节。

图1 联锁软件生产流程及人员结构分配

1.1 接口设计

设计人员主要负责与设计方沟通设计资料的相关问题；负责车站图纸的收集、审核工作，核对联锁系统外部接口资料（含列控中心（TCC）、无线闭塞中心（RBC）、车站联锁（CBI））；向软件人员提供车站数据输入（含车站用户需求说明书、设备IO信息）。在接口设计过程中主要存在以下问题：

（1）设计图纸资料完整性（两图一表）缺陷，设备驱动采集配线错误等；

（2）车站特殊联锁逻辑关系设计意图描述不准确；

（3）标准制式软件不能满足特殊应用，接口电路设计功能与软件不适配。

1.2 软件编制

软件的编制调试过程是软件实际生产过程。软件人员依据设计人员提供的输入资料及联锁接口的各信息表进行软件编制、调试，负责联锁工程软件问题的分析和改进，实施联锁工程应用软件的变更。软件人员在软件生产过程中主要存在以下问题：

（1）软件变更等级判定级别有误；

（2）联锁标准版版本（平台与软件）使用范围与车站需求不适配，联锁数据配置错误；

（3）软件人员对现场设备使用环境、特殊应用场景、特殊接口电路未做到充分了解，导致编制软件与现场各接口功能不匹配，影响设备使用。

2 接口设计优化方案

2.1 问题分析

因工期及信号设计涉及诸多专业等因素，联锁图纸资料经常不是一起提供给联锁软件生产方，造成设计资料提供的不连续性。此外设计接口配线存在人为出错，未及时校验审核，导致联锁设备到现场开通调试时才发现问题，影响设备开通使用。设计方对于车站所提出的设计要求，尤其是对车站特殊应用场景、特殊作业要求、特殊接口电路等设计，联锁接口设计人员未做充分分析或由于个人经验、沟通不足等因素，导致联锁标准制式软件不能满足功能需求。

2.2 优化方案

工程接口设计主要负责软件输入数据的生产工作，软件的正确性直接取决于输入数据的准确与否，是软件生产的源头。针对接口设计所涉及的问题，应从资料审核与人员结构2个方面解决：

（1）设计资料的审核工作是软件编制的前提，接口设计人员加强与设计方及时沟通，对资料的完整性、内容的准确性加强审核力度。应做到有问题及时发现，对于发现的问题及时与设计方沟通，并积极协商解决方案。

（2）接口设计人员要有足够的设计经验，要对产品软件性能、接口电路、接口适配能力（站场规模、运营能力）等各环节具备总体把关作用。对发现的设计问题应及时反馈设计方及其他系统接口设计单位，对于特殊需求车站需与联锁标准软件负责人协商，必要时组织相关人员讨论，以免延误整个联锁系统生产的周期。

设计资料审核流程见图2，通过有效的审核流程控制，能够有效解决联锁软件编制前期接口设计诸多问题。

3 软件编制调试优化方案

3.1 问题分析

（1）在联锁软件变更工程实施中，首先需确保软件的变更等级，对联锁软件变更的范围进行全面的安全评估。软件变更等级准确判定是联锁软件安全生产的标尺，是确定联锁软件生产规模判断依据。在软件变更中，若软件变更等级判断不准确，则会造成软件调试工作的返工。

（2）在以往联锁软件编制调试过程中，软件人员经常未正确使用联锁标准版软件，导致标准版软件不能适应站场需求功能，在调试及测试时，也常出现数据错误，导致测试工作不断反复。

（3）因软件人员缺少现场调试经验或对特殊联锁关系不能充分理解，导致所编制的软件功能不能满足功能需求，影响现场运用。

图2 设计资料审核流程

3.2 优化方案

3.2.1 软件变更等级判定依据

联锁软件应满足相关铁路应用安全标准中安全完整性等级（SIL）的质量管理过程控制、安全管理过程控制和技术安全要求。联锁软件变更应符合《铁路信号产品运用管理办法》要求。联锁软件变更等级分为3类。联锁软件标准版（制式软件）通常是以通过CRCC“标准站”制式检测完成的，制式软件的变更应属于一类和二类变更。联锁应用数据主要是以制式软件为基础，以具体车站为特定目标，编制联锁站场数据。联锁应用数据变更较大范围属于三类变更。只有在制式软件不能适应站场设计要求或用户需求等特殊情况时，才对联锁应用软件（含标准软件）进行更高级别变更。联锁软件变更等级分类见表1。

3.2.2 增加联锁软件审核及安全防护

（1）软件审核。软件确认的目标是证明软件具有所定义的安全完整性等级，满足软件需求且适合预期的应用。主要的确认活动是根据评审、分析和测试的结果，评估所有异常和不符合项的安全关键性［3］。在软件编制过程中，加大软件输入资料完整性检查、标准版软件版本使用是否合理以及特殊数据的审核确认工作，能够大大减少软件人员在生产过程中产生的错误，使软件问题在软件测试前及测试中就能及时发现，尽量减少软件回归测试工作。软件审核流程见图3。

表1 联锁软件变更等级分类

图3 软件审核流程

（2）软件安全防护。依据铁路车站计算机联锁安全原则要求，计算机联锁的设计变更、数据制作、测试、安装、运营维护过程的活动不应降低其安全完整性。程序和配置数据分离时应对配置数据的版本和适用性进行检查，并对配置数据的正确性进行检查［4］。在联锁应用软件实际生产过程中，软件数据配置错误是目前制约软件质量的关键因素。依据联锁工程生产流程特点，采用“双套校核机制”能够大大加强软件编制的准确性。

①双份联锁数据：对于车站联锁关键数据（超限道岔、防护道岔、信号显示关系等）、客专接口数据均应采用双份数据校核以提高数据编制的准确性。在软件防护功能实现过程中，联锁双份数据可采取多种方式进行校核，例如动态数据与静态数据方式、正反码数据比较［5］等，从而进一步提高软件数据的准确性。

②双通道编制：在软件研发与数据均采用安全防护措施的基础上，通过采用双通道原则进行双人编制也是提高联锁软件安全生产的一种方式。一般在条件允许范围内，联锁工程软件可设2名软件人员进行数据编制工作：1名为联锁工程软件人员A，1名为联锁工程软件人员B。A负责工程软件数据编制的整体工作。B负责联锁工程软件第2份数据的编制。A与B同时对车站数据分别进行编制，由A通过辅助工具（CAD）在软件编制过程中对数据的差异性进行比较，通过上述方式能够有效避免单独软件编制人员在数据填写上的错误。联锁软件人员A、B将联锁数据编制完毕后由联锁软件人员A进行数据比对。双套数据双人编制具体流程见图4。

图4 联锁软件数据编制双通道制作流程

3.2.3 加强软件人员组织管理及问题库建立

（1）加强人员资质培训、人才梯度的培养。联锁系统是保障车站安全行车的重要设备，联锁设备的正确安装、调试是联锁设备运行可靠的基础。因此软件生产人员均应对现场设备、环境有充分的了解和认知。利用已开发的计算机联锁教学及故障诊断专家系统［6］使技术人员能够快速了解联锁系统知识，这对软件生产人员进行软件编制、管理均有很大帮助。此外软件生产人员中的设计人员、软件人员、测试人员应具有独立性，分组或者分部门进行组织生产，避免一人多职的现象发生。

（2）加强技术交流、问题导向分析，设立交流问题库。联锁软件人员的经验是从调试车站数量及其复杂程度积累出来的。在调试过程中，将遇到的软件问题、数据错误均纳入问题库，对日后完善软件、提高软件安全性有很大作用。

4 软件生产效率

近年来，铁路投资建设稳步提升，尤其是高铁建设快速发展，铁路信号产品在满足安全生产的前提下还要满足建设工期的要求。提高信号产品的生产效率、降低软件人员劳动强度、避免人为错误的需求也日趋明显。联锁逻辑关系大多参照6502电气集中电路原理，以布尔运算方式编制联锁逻辑。该方法的优点是对模块化程序的依赖小，编写灵活，缺点是数据需要人工编写，容易出错。通过数据工具固定数据格式后，可采用人工智能实现数据自动生成，解决上述问题并提高生产效率［7］。

（1）软件数据自动生成工具。随着高速铁路各信号系统发展，信号设备的互联互通均已趋于完善。在中国国家铁路集团有限公司的大力指导下，联锁相关技术条件、接口规范、设计标准均陆续发布，如信号系统设备各接口规范、《计算机联锁车站联锁图表编制原则》等，使联锁软件的输入文件资料格式更加规范化、标准化。不同接口厂家、设计方对联锁系统均按统一标准文件格式设计输入资料。软件人员可开发联锁软件数据编制辅助工具，对这些输入资料进行二次整理，使联锁数据、接口数据自动生成。辅助工具的开发能够有效避免人为编制错误，降低软件人员工作强度，提高软件生产效率。

（2）智能信息管理系统。联锁软件的生产包括诸多环节，上述仅描述了工程软件的实际生产过程及在各环节的人员职责。实际软件在生产完毕后还包括后续工作：配合用户验收、软件发布、现场施工、调试等诸多环节。这些流程节点、各个环节的交互都会影响联锁软件生产的整体进度。以往联锁软件生产环节的交互方式都是通过纸质版表格实现软件流程标识、审核、交接管理等。对软件的质量管理、数据存档等工作需要大量人力维护，这种方式对于软件生产进度、问题处理所处的阶段都没有直观可视化的管理。通过采用信息管理系统可高效管理软件生产各阶段流程。信息管理系统依据质量管理体系标准，通过联网、线上操作等方法，实现无纸化办公，从而可有效避免各部门人员繁琐的交接工作，通过线上信息管理流程在节约纸质成本的同时，也能实时反馈软件生产的各进度状态，从管理上极大地提高了软件生产效率。

5 结束语

联锁软件的安全生产是保障联锁系统运营安全的关键环节。依据《质量管理体系：要求》［8］，需要从各方面加强管理，才能确保系统的可靠性和安全性［9］。基于联锁软件的结构特点，对工程应用软件生产的各阶段、流程采用阶段式分布管理，做到对软件安全生产的有效卡控。通过采取双通道软件编制、双份数据校核等措施，尽量减少软件人员在数据配置中的错误。在保证联锁软件安全性的前提下，如何降低联锁软件的风险，加大对联锁系统生产的再次优化，是联锁软件生产改革的必由之路。