9
安全性和可用性的关系
R R：事件结果 A：正常运用 S：降级处理 CA：运用条件 CS：降级条件
CA
N（预期+非预期）
Y（预期）
S≥S’
S
A
10
安全性和可用性的关系
R R：事件结果 A：正常运用 S：降级处理 CA：运用条件 CS：降级条件
CS
N（预期+非预期）
Y（预期）
A’≥A
A’
11
S’
安全性和可用性的关系
30
Linking Consistency 链接的一致性
链接检查是应答器传输系统中最强有力的 安全保障手段。在CTCS-2级列控系统中链 接检查的核心是判断应答器组的链接一致 性，链接检查的结果是车载设备执行所链 接的应答器组给出的链接反应。应答器链 接一致性检查的失效或未使用链接检查可 能导致安全风险。
33
对载频不一致的处理
接收 F1/F3 只接收F1
A
Lw
B C
只接收F3
L1
L2
一般窗口宽度考虑测速测距和设备安装等误差因素 从可用性出发，窗口还考虑适当余量。
34
Linking Consistency 链接的一致性
CTCS列控系统应答器应用原则 5.2.1.2 一般车站及区间，应答器组链接失败时， Q_LINKREACTION=“无反应”。当某应答器 组丢失后，ATP控车可能存在不安全因素 时，Q_LINKREACTION=“常用制动”。
16
链接原则
为使车载设备接收应答器信息故障时列车行 驶的距离最短，若两个连续的预期链接的应 答器组未检测到（不论设计的链接反应如 何），ATP默认第二个应答器组的链接反应 为常用制动。因为此时应答器位置校正功能 已经失效。
（不仅仅是信息冗余问题）
17
链接原则 构成安全信息的应答器组中应答器最小 数量为2，如果其中一个应答器故障， 另一个仍可接受车载设备访问，因此仍 可调用链接反应。
7
预期控制与非预期控制 预期控制：预先设计好的控制流程， 系统虽然发生异常，但结果是意料之 中的情况，系统仍在可控范围内或故 障导向安全输出； 非预期控制，事先没有对应的控制流 程，系统一旦发生异常，其结果可能 超出设计，系统失控导致非安全输出。
8
预期控制与非预期控制
DMI 黑屏 ATP 主机“死机” 速度表指针“消失” 失电制动 系统安全设计要求无论预期还是非预期的输入，所有 系统级输出必须是预期控制；而对于系统可用性而 言，要求预期的“死机”类输出最小化，因为这种预期 的安全控制降低了系统的可用性。
（C0-C2站出站口应答器设置）
18
降级原则
降级处理是为了调节系统的安全性和可用 性，使之在安全的前提下达到平衡。在ATP 系统故障或功能不完全具备的条件下，降级 处理是降低系统安全风险，同时兼顾系统可 用性的有效措施。
19
降级原则
降级处理包括多种形式，如采取干预措施 （如制动）、降低允许速度、缩短行车许可、 选择CTCS等级或改变控制模式，以及上述方 式的组合等。降级处理必须要有明确的报警 提示，降级后的安全保障不应受故障的影响。 通常降级处理不仅伴随着控制模式的转换， 而且带来安全责任的转移。
31
Linking Consistency 链接的一致性 在期望窗口内未发现链接应答器组 通过非预期方向的应答器组
（即，在期望窗口外发现或根本没有发现，或期望窗口 内发现非预期的应答器组）
32
对载频不一致的处理
根据应答器信息判断ATP接收载频是CTCS2的 特点之一。 当ATP接收的载频与应答器描述的载频不一致 时，ATP应触发最大常用制动。通常在预期的 载频分界点开窗来判断载频的正确性。
27
系统安全性和可用性结论 系统的安全性是可用性的基础。 系统安全设计通过采用最不利原则、链接 原则和降级原则追求高安全原则下的系统 可用性，使系统输出预期可控。
28
三、应答器信息传输
点式信息 大容量 灵活多用 链接功能
29
Criteria of consistency 一致性的标准
消息的正确性：整条消息完整并遵守规 范语言；变量不应有无效值； 消息应在预期的时间收到； 消息应在期望的正确位置收到。 如果任何一条标准不满足， 则车载设备不得使用地面设备传送的消息！！！
47
制动与缓解
缓解与制动对应，超速只是制动的一种情况; 有些制动必须停车； 有些缓解要求司机介入；
48
MSB与EB
MSB是主要控车手段； EB是最终控车手段； 什么情况MSB/EB？
49
EB与TR
TR必然EB； EB未必TR； TR-PT
50
机控与人控
弱制动优先； 自动缓解； 更好的制动性能； 更好的一致性；
解读规范： 系统安全性和可用性是一对矛盾的统一体。 两种思路： 对于非预期的情况均视为潜在的安全隐 患，进行安全处理，使输出预期可控； 对于非预期的情况，如果规范中没有明确 不可用，则不进行专门的安全处理。
6
二、安全性和可用性
系统/设备发生任何故障时，保持或导向安 全状态的设计原则。
A design philosophy which results in any expected failure maintaining or placing the equipment in a safe state.
(00=紧急制动，01=常用制动，10=无反应，11=备用)
即使所有应答器组都采用链接，系统设计 也必须考虑对于始发车或ATP重启机，以及 车载不能利用链接的情况。
37
四、轨道电路信息传输
码序:
L5-L4-L3-L2-L-LU-U-HU L5-L4-L3-L2-L-LU-U2/U2S-UU/UUSHU
38
四、轨道电路信息传输 无码：
未发码 未解出定义码 定义为“无码” 无码的处理原则
39
四、轨道电路信息传输
锁频码25.7Hz：
“ห้องสมุดไป่ตู้决”邻线干扰 局限性 存在的问题
（不建议采用）
40
四、轨道电路信息传输
检查码27.9Hz：
故障检查 反向码
（无码-掉码-制动）
41
四、轨道电路信息传输
TB/T 3060： 机车信号的显示与线路上列车接近的地面信号 机的显示含义相符;显示具有一定的速度含义， 但不规定具体的速度值。
24
安全理念
特例是潜在的安全隐患； 未知的（非预期）是潜在的安全隐患； 非CTCS区段处理CTCS信息须谨慎； 没有绝对的安全； 安全余量是高安全系统的必要条件； 安全门限是高安全系统的必要条件； … …
25
系统安全设计
列控系统安全性能的关键取决于所接收信息的完整 性，包括数据的完整性，即数据的采集、解析和分 配；系统运用的完整性，即整个工程（设计、工艺、 安装、管理等）的实施；以及数据输入的完整性， 即从列车数据生成、确认到存储的全过程。这些完 整性必须达到SIL4级或相对应的要求。
22
序号
控制模式
简要描述
适用范围
安全责任
1
完全监督（FS）
当列控车载设备具备列控系统所需的基本数 据（行车许可、线路信息、列车数据 等）时自动进入完全监控模式。 列控车载设备所接收的地面信息不能完全满 足实施完全监控。 用于调车作业。
CTCS2/3级
列控车载设备承担全部安全责任（下列两种情况除外）。 a 列车以开口速度接近EOA时，司机对相应的EOA负责； b 司机对整列车占用且SSP和坡度信息未知区段的限速负责 。 列控车载设备负责监控列车按固定限速运行。 司机对列车运行安全承担重要责任。 列控车载设备负责监督调车限速；监控调车区域边界，对 超越范围的调车执行冒进防护。 司机控制车列在调车区域内并负责调车作业的安全。 列控车载设备负责监控列车以固定限速运行的距离/时间。 司机负责检查轨道空闲、道岔位置，对列车运行安全承担 主要责任。 司机承担全部安全责任。 列控车载设备不负责列车运行安全防护。
13
最不利原则
最限制条件（速度、距离、时间） 默认值 超限值
14
最不利原则
V
S 速度限制分类 最严格的限速曲线 最严格的限速模式示例 15 列车长度
链接原则 为使链接应答器组丢失限制性信息 的可能性减至最小，对于若其丢失 可能导致安全危险的链接应答器 组，其链接反应不得设为无反应。
（如：坡道细化）
CTCS-2级列控系统 与
技术规范
中国铁道科学研究院 2011.6
1
目录
一、 二、 三、 四、 五、 六、 七、 八、 CTCS2级列控系统 安全性和可用性的关系 应答器信息传输 轨道电路信息传输 ATP控车 列控系统联调联试 典型故障分析 名词术语
2
关键词
安全 规范 故障分析
3
一、CTCS2级列控系统
(按规定速度运行)
UU/UUS： 状态含义 速度含义
42
五、ATP控车
一次制动模式 测速测距 3个速度1个距离
43
一次制动模式
V 速度分级控制 出口控制 一次模式控制 分段曲线控制 入口控制
0
S
44
测速测距
45
3个速度1个距离
46
五、ATP控车
制动与缓解 MSB与EB EB与TR 机控人控
20
降级原则
以CTCS-2级列控系统车载设备为例，其有多 种控制模式，对于不同的控制模式，即使限 速值一样，其安全等级、安全要求和安全责 任也不尽相同。在完全监控模式，车载设备 承担全部安全责任，而在其他模式，司机承 担相应的安全责任。
21
降级原则
高安全等级的系统设计要求最大限度地采用完 全监控模式，尽可能减低由于司机责任带来的 风险。当然前提是必须完全满足完全监控的条 件，条件不满足时必须转为相应的降级模式。