一种基于封闭链路的全电子计算机联锁方法和系统

摘要

本发明公开了一种基于封闭链路的全电子计算机联锁方法和系统，全电子计算机联锁系统包括联锁逻辑部和全电子执行模块；联锁逻辑部，用于载入、校核、更新、管理和分发配置数据，负责联锁逻辑运算；全电子执行模块，用于接收、存储、校核和更新配置数据，根据配置数据设置自身配置状态并开始工作，接收联锁逻辑部的控制命令且根据控制命令管辖信号设备，监测信号设备，采集所管辖信号设备状态信息并传送给联锁逻辑部。联锁逻辑部根据全电子执行模块IP直接控制信号设备。允许将全电子执行模块集成至信号设备，最大化的分散配置全电子执行模块。配置数据分发模式将配置数据源集中于联锁逻辑部，避免分散配置数据不一致导致的误解设备信息问题。

说明书

技术领域

本发明属于铁路信号设备系统领域，特别涉及一种基于封闭链路的全电子计算机联锁方法和系统。

背景技术

传统的计算机联锁系统，集中设置在一个固定地点，通过继电器接口电路控制转辙机、信号机等铁路信号设备。不同的铁路信号设备其继电器接口电路原理不同，复杂程度不同，距离远近不同，出于成本以及配线复杂程度考虑，接口电路中只有关键继电器与计算机联锁驱动、采集单元连接，这些继电器可以被计算机联锁控制、监督，其他继电器虽然参与信号设备控制，但是无法被计算机联锁系统直接控制和监督。

传统计算机联锁系统这种控制模式，给接口电路设计、维护带来很大的困难，接口电路未正常动作，因为部分继电器缺少监督，故障定位困难；接口电路继电器组合需要占用大量继电器接口架，在站场改造时，施工、配线工作量大并且容易发生错误。

图1示出了现有全电子计算机联锁系统结构示意图。如图1所示，现有全电子计算机联锁系统中的全电子执行模块与联锁逻辑部之间需要设计一台专门的通信机。采用通信机模式时，联锁逻辑部与全电子执行模块的信息交互均需通过通信机中转。通信机承担安全协议与信息拆分、组合功能，为系统增加一个隐含的故障点；由通信机中转数据，增加数据的传输延迟。在一种典型的通信机模式中，以进站信号机为例，存在黄、绿、红、黄和白5个灯位，信号机模块在控制信号机时，联锁逻辑部直接控制信号机灯位亮和灭，同时根据信号机灯位的亮、灭状态，判断当前信号机显示状态。当信号机灯位异常时，需要联锁逻辑部检查到灯位异常再采取安全措施，响应时间接近1s或更长。

现有全电子计算机联锁系统，与全电子执行模块相关的配置数据，分别存储于联锁逻辑部与通信机或全电子执行模块。这种双重配置方式，在实施时必须进行全面地一致性校核，在配置变化时，必须在两端同时更新配置数据，容易因疏漏导致配置信息不一致，造成设备信息误解。

发明内容

针对上述问题，本发明公开了一种基于封闭链路的全电子计算机联锁系统，所述全电子计算机联锁系统包括联锁逻辑部和全电子执行模块；

所述联锁逻辑部与全电子执行模块通过封闭链路传输网络构建的专有云连接；所述全电子执行模块与信号设备通过信号电缆连接；

所述联锁逻辑部，用于载入、校核、更新、管理和分发配置数据，管理全电子计算机联锁系统的设备，负责联锁逻辑运算；

所述全电子执行模块，用于接收、存储、校核和更新配置数据，根据配置数据设置自身配置状态并开始工作，接收联锁逻辑部的控制命令且根据控制命令管辖信号设备，监测信号设备，采集所管辖信号设备状态信息并传送给联锁逻辑部。

更进一步地，所述全电子计算机联锁系统还包括操作机子系统、维修机子系统和电源子系统；

所述操作机子系统与联锁逻辑部通过操作交换机连接；所述维修机子系统与联锁逻辑部通过操作交换机连接；所述电源子系统与联锁逻辑部、全电子执行模块、操作机子系统和维修机子系统连接；

所述操作机子系统，用于接收联锁逻辑部的显示数据，以图形的方式显示给维护人员，以数字化方式传输给外部系统以及接收操作人员的操作指令并发送给联锁逻辑部；

所述维修机子系统，用于接收联锁逻辑部的显示数据和维护数据，接收全电子执行模块的维护数据，以图形的方式显示给维护人员以及以数字化方式传输给集中监测系统；

所述电源子系统，用于为联锁逻辑部、全电子执行模块、操作机子系统和维修机子系统供电。

更进一步地，所述联锁逻辑部包括两系冗余配置的联锁逻辑部Ⅰ系和联锁逻辑部Ⅱ系，两系配置相同，构成二乘二取二安全架构，每系主逻辑板均设置两个独立同步运行的CPU，当两个CPU运算结果一致时运算结果有效，运算结果不一致时主逻辑板停机；

所述联锁逻辑部根据全电子执行模块IP直接控制信号设备；

所述联锁逻辑部对配置数据进行校核，包括联锁逻辑部Ⅰ系和联锁逻辑部Ⅱ系的自校核、互校核。

更进一步地，所述全电子执行模块分为信号机模块、道岔模块、通用输入模块、通用输出模块、轨道电路模块和电码化模块。

更进一步地，每个所述全电子执行模块包括两系冗余配置的模块逻辑部Ⅰ系和模块逻辑部Ⅱ系，两系配置相同，构成二乘二取二安全架构，每系均设置两个独立同步运行的CPU，当两个CPU运算结果一致时运算结果有效，运算结果不一致时模块逻辑部停机。

更进一步地，所述全电子执行模块集中设置在铁路信号机房、分散设置在轨旁或集成至信号设备。

更进一步地，所述全电子执行模块具备独立IP；

所述IP由硬件接口确定且不设置在全电子执行模块上。

更进一步地，所述全电子执行模块在未接收到联锁逻辑部发送的配置数据前为通用型全电子执行模块；所述全电子执行模块无硬件拨码和不存储配置数据；所述全电子执行模块在成功获取配置数据后成为特定全电子执行模块。

更进一步地，所述全电子执行模块具备安全逻辑管理功能，当信号设备发生异常时，能在165ms内进行安全响应。

更进一步地，所述配置数据包括：模块通用配置项、单个模块配置项、通用现场配置项和单个模块现场配置项。

更进一步地，所述模块通用配置项包括：联锁逻辑部站标识、联锁逻辑部周期和通用接口版本号；

所述单个模块配置项包括：单个模块现场基本配置信息；

所述通用现场配置项包括：单个模块通用现场调试矫正的配置信息和接口版本；

所述单个模块现场配置项包括：单个模块现场调试矫正的配置信息。

更进一步地，所述全电子计算机联锁系统支持200个全电子执行模块节点并发通信，且每个节点均独立与联锁逻辑部保持实时通信；

所述全电子执行模块与联锁逻辑部I系、联锁逻辑部Ⅱ系均建立并维持安全通信连接，保证联锁逻辑部I系、联锁逻辑部Ⅱ系的无缝切换，安全通信在时序偏差校准的基础上增加固定4分钟的时序校准，固定4分钟的时序校准是双向校验。

更进一步地，所述全电子计算机联锁系统具备系统安全逻辑管理与终端安全逻辑管理双重保护机制；

所述联锁逻辑部负责系统安全逻辑管理；

所述全电子执行模块负责终端安全逻辑管理。

一种基于封闭链路的全电子计算机联锁方法，包括如下步骤：

联锁逻辑部载入或更新配置数据，校核配置数据；

全电子执行模块与所述联锁逻辑部握手成功后，所述联锁逻辑部将所述配置数据分发给所述全电子执行模块；

所述全电子执行模块根据所述配置数据设置自身配置状态并开始工作，监测所管辖的信号设备，并向所述联锁逻辑部发送控制命令执行状态和信号设备状态信息。

与现有技术相比，本发明的有益效果是：本发明提供一种基于封闭链路的全电子计算机联锁方法和系统，每个全电子执行模块均具备独立的IP，联锁逻辑部根据全电子执行模块IP直接控制信号设备，本方案不使用通信机，联锁逻辑部直接与全电子执行模块通信，提高通信效率。允许将全电子执行模块集成至信号设备，最大化的分散配置全电子执行模块，分散不受距离限制，集成度高，占用空间较少，大量节省控制电缆，改造时施工、配线工作量少，极大提高施工质量与效率。全电子执行模块都作为通用产品，同类全电子执行模块无需特殊配置能够直接替换，由联锁逻辑部通过专有云，向全电子执行模块分发配置数据，全电子执行模块根据接收到的配置数据工作，配置数据分发模式将配置数据源集中于联锁逻辑部，避免分散配置数据不一致导致的误解设备信息问题，同时在更换备用全电子执行模块时，无需再次核对配置信息一致性。全电子计算机联锁系统具备系统安全逻辑管理与终端安全逻辑管理双重保护机制。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了现有全电子计算机联锁系统结构示意图；

图2示出了根据本发明实施例的基于封闭链路的全电子计算机联锁系统结构示意图；

图3示出了根据本发明实施例的联锁逻辑部管理和分发配置数据第一流程图；

图4示出了根据本发明实施例的联锁逻辑部管理和分发配置数据第二流程图；

图5示出了根据本发明实施例的全电子执行模块控制信号设备示意图；

图6示出了根据本发明实施例的全电子执行模块与联锁逻辑部的握手流程图；

图7示出了根据本发明实施例的联锁逻辑部向全电子执行模块分发配置数据流程图；

图8示出了根据本发明实施例的全电子执行模块工作流程图；

图9示出了根据本发明实施例的联锁逻辑部向全电子执行模块发送数据流程图；

图10示出了根据本发明实施例的全电子执行模块向联锁逻辑部发送数据流程图；

图11示出了根据本发明实施例的源标识转换示意图；

图12示出了根据本发明实施例的信号机控制原理流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地说明，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图2示出了根据本发明实施例的基于封闭链路的全电子计算机联锁系统结构示意图。如图2所示，本实施例提出的一种基于封闭链路的全电子计算机联锁系统包括联锁逻辑部和全电子执行模块；

联锁逻辑部与全电子执行模块通过封闭链路传输网络构建的专有云连接；全电子执行模块与信号设备通过信号电缆连接；

联锁逻辑部，用于载入、校核、更新、管理和分发配置数据，管理全电子计算机联锁系统的所有设备，负责联锁逻辑运算；

全电子执行模块，用于接收、存储、校核和更新配置数据，根据配置数据设置自身配置状态并开始工作，接收联锁逻辑部的控制命令且根据控制命令管辖信号设备，监测信号设备，采集所管辖信号设备状态信息并传送给联锁逻辑部。

配置数据源集中于联锁逻辑部，配置数据更新后，只需要将更新后的配置数据分发给全电子执行模块，无需联锁逻辑部和全电子执行模块同时更新配置数据，避免分散配置数据不一致导致的误解设备信息问题，同时在更换备用全电子执行模块时，无需再次核对配置信息一致性。

全电子计算机联锁系统还包括操作机子系统、维修机子系统和电源子系统；

操作机子系统与联锁逻辑部通过操作交换机连接；维修机子系统与联锁逻辑部通过操作交换机连接；电源子系统与联锁逻辑部、全电子执行模块、操作机子系统和维修机子系统连接；

操作机子系统，用于接收联锁逻辑部的显示数据，以图形的方式显示给维护人员，以数字化方式传输给外部系统以及接收操作人员的操作指令并发送给联锁逻辑部；其中，外部系统指调度集中系统、调车指挥系统和调车监控系统；

维修机子系统，用于接收联锁逻辑部的显示数据和维护数据，接收全电子执行模块的维护数据，以图形的方式显示给维护人员以及以数字化方式传输给集中监测系统；

电源子系统，用于为联锁逻辑部、全电子执行模块、操作机子系统和维修机子系统供电。

封闭链路传输网络指全电子计算机联锁系统中联锁逻辑部与全电子执行模块之间的传输网络，不与公共网络连接。网络节点数量是可预期的，节点地址是符合系统设计要求的。专有云由封闭链路传输网络构建，用于配置数据的分发，具有安全性高和服务质量优异的优势。封闭链路传输网络具备封闭特性以及高定制性，极大的保障了全电子计算机联锁系统的安全性。

联锁逻辑部包括两系冗余配置的联锁逻辑部Ⅰ系和联锁逻辑部Ⅱ系，两系配置相同，构成二乘二取二安全架构，每系主逻辑板均设置两个独立同步运行的CPU，当两个CPU运算结果一致时运算结果有效，运算结果不一致时采取安全措施。安全措施指主逻辑板停机。联锁逻辑部包括主逻辑板、电源板、以太网板、系间板和CAN板。主逻辑板负责执行管理和逻辑运算功能；电源板负责联锁逻辑部供电转换；以太网板负责以太网通信；系间板负责双系间通信；CAN板负责CAN通信。

联锁逻辑部根据全电子执行模块IP直接控制信号设备，全电子计算机联锁系统中不使用通信机，联锁逻辑部直接与全电子执行模块通信，提高通信效率。信号设备包括信号机、道岔转辙机、继电器、轨道电路、64D半自动闭塞接口、电码化设备、道口栏木机和应答器。

联锁逻辑部作为全电子计算机联锁系统的核心，负责配置数据的载入、校核、更新、管理和分发服务。全电子执行模块作为终端，用于接收、存储、校核和更新配置数据。图3示出了根据本发明实施例的联锁逻辑部管理和分发配置数据第一流程图，侧重于联锁逻辑部的校核。如图3所示，联锁逻辑部用于管理和分发配置数据，联锁逻辑部与全电子执行模块执行校核的具体步骤包括：

联锁逻辑部载入或更新配置数据；

联锁逻辑部Ⅰ系和联锁逻辑部Ⅱ系中的管理软件分别对配置数据进行校核；检查通过则正常运行；检查失败，全电子计算机联锁系统转为安全状态；

联锁逻辑部Ⅰ系和联锁逻辑部Ⅱ系中的应用软件分别对配置数据进行校核；校核包括自校核、互校核、一致性检查与状态迁移；检查通过则正常运行；检查失败，全电子计算机联锁系统转为安全状态；

通用全电子执行模块根据硬件接口确定自身IP与通信源标识；接入网络与联锁逻辑部握手；

身份校核通过，握手成功后，联锁逻辑部向通用全电子执行模块分发配置数据；

全电子执行模块获得配置数据后，设置自身配置状态，成为特定全电子执行模块，开始正常工作；全电子执行模块未获取到配置数据，则再次获取；

联锁逻辑部向全电子执行模块持续发送配置数据与命令；全电子执行模块持续向联锁逻辑部发送命令执行反馈与控制状态。

配置数据校核包括：各全电子执行模块管辖设备与全电子执行模块类型的一致性、各全电子执行模块管辖设备与联锁逻辑部软件配置的一致性、各全电子执行模块管辖设备与联锁逻辑部发出控制命令的合法性、各全电子执行模块管辖设备与全电子执行模块反馈设备状态的合法性和联锁逻辑部双系配置数据的一致性等。

图4示出了根据本发明实施例的联锁逻辑部管理和分发配置数据第二流程图，侧重于配置数据的分发与执行。如图4所示，联锁逻辑部用于管理和分发配置数据，其中联锁逻辑部与全电子执行模块之间执行分发第二流程步骤具体如下：

S401：联锁逻辑部载入或更新配置数据；

S402：联锁逻辑部软件校核配置数据；

S403：联锁逻辑部检查配置数据是否符合要求；如果检查通过，则跳转步骤S404；如果检查未通过，则跳转步骤S405；其中，要求指配置规则；

S404：全电子执行模块连接；

S405：联锁逻辑部停止工作；

S406：全电子执行模块与联锁逻辑部握手；

S407：联锁逻辑部分发配置数据；

S408：全电子执行模块检查分发配置数据是否成功；若分发配置数据成功，则跳转步骤S409；若分发配置数据失败，则跳转步骤S419；

S409：全电子执行模块有效，激活相关设备；

S410：联锁逻辑部检查相关设备输入状态与配置特征值校核；

S411：联锁逻辑部执行逻辑运算；

S412：联锁逻辑部输出相关设备控制命令与配置特征值校核；

S413：全电子执行模块校核设备控制命令和配置特征值；

S414：校核是否一致；如果校核通过，则跳转步骤S415；如果校核未通过，则跳转步骤S416；

S415：全电子执行模块执行控制命令；

S416：全电子执行模块执行安全输出；

S417：全电子执行模块离线；

S418：全电子执行模块无效，保持相关设备冻结；

S419：全电子执行模块无效，保持相关设备冻结；

S420：相关设备输入状态置为安全态；

S421：联锁逻辑部执行逻辑运算；

S422：相关设备不给出输出控制命令，保持安全运算直到全电子执行模块再次接入，跳转步骤S404。

其中，校核包括联锁逻辑部Ⅰ系和联锁逻辑部Ⅱ系的自校核、互校核。安全态指铁路信号领域行业任何设备的安全状态，如轨道区段设定为占用状态，信号机设定为断丝状态，继电器为落下状态等。

全电子执行模块未接收到联锁逻辑部发送的配置数据前均为通用型全电子执行模块，根据硬件接口确定自身IP和通信源标识，无硬件拨码，不存储配置数据，只有接收到配置数据且配置成功才能执行相应控制功能，成为特定全电子执行模块。硬件拨码通常指现有全电子执行模块上设置的一些硬件开关，通过改变开关位置可以改变现有全电子执行模块的一些预设功能。本发明中的全电子执行模块是接收联锁逻辑部分发的配置数据，根据配置数据执行不同的控制功能，不采用硬件拨码的方式。现有全电子执行模块会将配置数据存储在芯片或存储卡上，不需要从联锁逻辑部获取配置数据，以此来简化与联锁逻辑部的通信交互内容，但是存在与联锁逻辑部配置不一致、模块通用性差的问题，使用时需要更多的人工校核工作。而本发明中的全电子执行模块不存储配置数据指全电子执行模块接收联锁逻辑部分发的配置数据，根据配置数据设置自身配置状态，并开始正常工作，但是不存储在芯片或存储卡上，断电后接收的配置数据会被清除，重新通电后，需要重新从联锁逻辑部获取配置数据。配置数据分发模式将配置数据源集中于联锁逻辑部，避免分散配置数据不一致导致的误解设备信息问题，同时在更换备用全电子执行模块时，无需再次核对配置信息一致性。

示例性的，对于通用型全电子执行模块和特定全电子执行模块，以信号机模块为例进行说明。通用型信号机模块可以控制各种信号机，但用于控制什么类型的信号机以及采取哪种控制模式，是由其接收的配置数据决定。特定信号机模块指通用型信号机模块接收到配置数据，且配置成功后，按照配置数据指定的控制模式控制一种或多种类型的信号机。

全电子计算机联锁系统支持200个全电子执行模块节点并发通信，且每个节点均独立与联锁逻辑部保持实时通信，全电子执行模块与联锁逻辑部I系、联锁逻辑部Ⅱ系均建立并维持安全通信连接，保证联锁逻辑部I系、联锁逻辑部Ⅱ系的无缝切换。安全通信在时序偏差校准的基础上增加固定4分钟的时序校准，固定4分钟的时序校准是双向校验，可以更及时有效的发现特定时序偏差风险。

全电子执行模块分为信号机模块、道岔模块、通用输入模块、通用输出模块、轨道电路模块和电码化模块。信号机模块、道岔模块、通用输入模块、通用输出模块、轨道电路模块和电码化模块是不同类型的全电子执行模块。

图5示出了根据本发明实施例的全电子执行模块控制信号设备示意图。如图5所示，全电子执行模块分别控制不同的信号设备：信号机模块用于控制信号机；道岔模块用于控制道岔转辙机；通用输入/通用输出模块用于控制继电器；轨道电路模块用于控制轨道电路；电码化模块用于控制轨道发码设备。每种模块可控制指定数量的信号设备。

每个全电子执行模块包括两系冗余配置的模块逻辑部Ⅰ系和模块逻辑部Ⅱ系，两系配置相同，构成二乘二取二安全架构，每系均设置两个独立同步运行的CPU，当两个CPU运算结果一致时运算结果有效，运算结果不一致时采取安全措施。安全措施指模块逻辑部停机。

全电子执行模块集中设置在铁路信号机房、分散设置在轨旁或集成至信号设备，最大化的分散配置全电子执行模块，分散不受距离限制，集成度高，占用空间较少，大量节省控制电缆，改造时施工、配线工作量少，极大提高施工质量与效率。全电子执行模块均具备独立IP，IP由硬件接口确定且不设置在全电子执行模块上，保证全电子执行模块的通用性。

全电子执行模块为通用型、无硬件拨码和不存储配置数据，成功获取配置数据后成为特定全电子执行模块。全电子执行模块由联锁逻辑部通过专有云分发配置数据，根据逻辑联锁部分发的配置数据工作。此设计模式，允许将全电子执行模块集成至信号设备，最大化的分散配置全电子执行模块。同类全电子执行模块是指所有道岔模块是相同的，所有信号机模块是相同的。只要是道岔模块，无需配置就可以替换使用的道岔模块，但是道岔模块不能替换信号机模块。

配置数据由联锁逻辑部集中管理与校核，避免了分散管理的一致性偏差问题。配置数据包括：模块通用配置项、单个模块配置项、通用现场配置项和单个模块现场配置项。每个配置项包括配置项说明和字节分配信息。具体配置数据信息如表1所示。

其中，扩展指备用字节。通用现场配置项指每种模块都有的配置项，但是单个模块的配置信息和接口版本不同，如：每种模块都有接口版本的字节信息，但是接口版本的具体内容或值可能是不同的，与具体模块的升级变更情况有关。单个模块现场配置项：某种特地类型的模块才有的配置项。单个模块现场基本配置信息指电流、电压、距离等具体被控设备电气参数的数据。单个模块现场调试矫正的配置信息指需要现场调试后确定的信息，是联锁逻辑部发送给全电子执行模块的配置数据的一部分内容。

配置数据分发流程分为握手与分发两个主要阶段，全电子执行模块上线或者因传输故障导致通信中断，再次建立通信时，全电子计算机联锁系统与全电子执行模块执行握手操作。图6示出了根据本发明实施例的全电子执行模块与联锁逻辑部的握手流程图。如图6所示，全电子执行模块用于与联锁逻辑部握手，具体握手步骤包括：

S601：全电子执行模块上线；

S602：全电子执行模块向联锁逻辑部发出握手请求；

S603：联锁逻辑部对请求信息的格式和节点进行检查；

S604：联锁逻辑部检查全电子执行模块与请求信息是否符合要求；如果检查通过，则跳转步骤S605；如果检查未通过，再次握手，则跳转步骤S602；

S605：联锁逻辑部发送应答信息；

S606：全电子执行模块对应答信息的格式和节点进行检查；

S607：全电子执行模块检查联锁逻辑部与应答信息是否符合要求；如果检查通过，则跳转步骤S608；如果检查未通过，则跳转步骤S602；

S608：握手成功。

其中，握手成功，联锁逻辑部向全电子执行模块分发配置数据。握手失败，全电子执行模块不工作，全电子计算机联锁系统采取安全输出。

图7示出了根据本发明实施例的联锁逻辑部向全电子执行模块分发配置数据流程图。如图7所示，联锁逻辑部用于向全电子执行模块分发配置数据，具体步骤如下：

S701：全电子执行模块与联锁逻辑部握手成功后；

S702：联锁逻辑部向全电子执行模块发送配置数据；

S703：全电子执行模块对配置数据的数据格式进行检查；

S704：如果配置数据检查通过，则跳转步骤S705；如果配置数据检查未通过，则跳转步骤S713；

S705：全电子执行模块检查自身配置状态；

S706：检查是否已经获取并设置过配置数据；如果没有设置过配置数据，则跳转步骤S707；如果已经设置过配置数据，则跳转步骤S709；

S707：全电子执行模块根据配置数据设置自身配置状态并开始正常工作；

S708：配置数据分发完成，全电子执行模块按此配置数据工作；

S709：全电子执行模块检查配置数据；

S710：检查配置数据与自身配置状态是否一致；如果一致则跳转步骤S711；如果不一致，则跳转步骤S712；

S711：全电子执行模块按现有自身配置数据工作；

S712：全电子执行模块按配置数据更新自身配置状态并复位，按新配置数据工作；

S713：等待正确的配置数据，全电子执行模块执行安全输出。

图8示出了根据本发明实施例的全电子执行模块工作流程图。如图8所示，全电子执行模块用于接收联锁逻辑部的控制命令且根据控制命令管辖信号设备，监测信号设备，采集所管辖信号设备状态信息并传送给联锁逻辑部，具体步骤如下：

S801：操作员输入指令；

S802：联锁逻辑部执行安全运算；

S803：维修机记录；

S804：全电子执行模块接收控制命令；

S805：全电子执行模块根据控制命令控制信号设备；

S806：全电子执行模块监测信号设备；

S807：全电子执行模块向联锁逻辑部发送控制命令执行状态与信号设备状态信息；跳转步骤S802和S803；

S808：向操作员反馈信息。

其中，反馈信息指车站相关设备显示状态，如信号机显示（红灯、绿灯、黄灯）、道岔位置（定位、反位、四开）、区段状态（空闲、占用）。道岔四开表示不再定位和反位的故障位置。

图9示出了根据本发明实施例的联锁逻辑部向全电子执行模块发送数据流程图。以联锁逻辑部I系作为主系和联锁逻辑部Ⅱ系作为从系为例进行说明。联锁逻辑部用于将主系数据和从系数据发送给全电子执行模块的模块逻辑部I系和模块逻辑部Ⅱ系。如图9所示，联锁逻辑部I系将主系数据发送给全电子执行模块的模块逻辑部I系和模块逻辑部Ⅱ系，联锁逻辑部Ⅱ系将从系数据发送给模块逻辑部I系和模块逻辑部Ⅱ系。

图10示出了根据本发明实施例的全电子执行模块向联锁逻辑部发送数据流程图。以模块逻辑部I系作为主系和模块逻辑部Ⅱ系作为从系为例进行说明。全电子执行模块用于将I系数据和Ⅱ系数据分别发送给联锁逻辑部I系和联锁逻辑部Ⅱ系。如图10所示，模块逻辑部I系将I系数据分别发送给联锁逻辑部I系和联锁逻辑部Ⅱ系。模块逻辑部Ⅱ系将Ⅱ系数据分别发送给联锁逻辑部I系和联锁逻辑部Ⅱ系。

封闭链路传输网络的危险情形包括：重复、丢失、插入、错序、错码和延迟。针对封闭链路传输网络的传输风险，全电子计算机联锁系统设计的安全防御措施包括：序列号、时间戳、超时、源标识、反馈报文和双重校验。针对不同危险情形设计的安全防御措施如表2所示。

其中，表中对号表示此类危险情形采用此种安全防御措施。

序列号：在通信双方交换的每条报文上加一个32位的流水号。接收端可以校验发送端提供的报文顺序。本序列号采用的是软件内部的周期序号，故即可作为系统发送报文时的序号，也可以作为存储在本次存储器中的报文超时。

时间戳：时间戳与序列号保持同步递增。

超时：报文应从生成时刻起有限时间段内保持有效。接收端对接收报文经校验确认有效后，应更新存储为最近接收的报文时间戳。

源标识：所有通信方均有一对唯一的32位长ID，随同安全数据一起发送。图11示出了根据本发明实施例的源标识转换示意图。如图11所示，源标识由节点地址转换而来，附加较强的节点一致性检查能力，节点地址由IP配置。源标识主要包括参数类型、节点地址和系统类型。参数类型包括DATAVER、SINIT、SID。DATAVER为数据版本，SINIT为启动安全数据信息交互前的建立通信标记参数，SID为通信源标识。系统类型包括600：DS6-60和601：E2S。DS6-60为全电子计算机联锁系统的标识，600为DS6-60的值。E2S为全电子执行模块的标识，601为E2S的值。

反馈报文：若接收端校验到发送报文序列非预期内的增量，则启动时序校正交互；若接收端向发送端发送时序请求时，发送端须按照接收端要求反馈时序应答，接收端再根据时序应答报文重新计算发送端的时序同步位置。

双重校验：采用2个32位长的CRC，确保安全传输所要求的漏检差错概率。

通信双方在收到数据时，依据上述安全防御措施对数据进行检查，检查通过时使用该数据，检查失败时丢弃该数据，连续出错时停止通信并报警。

本发明实施例还公开了一种基于封闭链路的全电子计算机联锁方法，包括如下步骤：

联锁逻辑部载入或更新配置数据，校核配置数据；

全电子执行模块与所述联锁逻辑部握手成功后，所述联锁逻辑部将所述配置数据分发给所述全电子执行模块；

所述全电子执行模块根据所述配置数据设置自身配置状态并开始工作，监测所管辖的信号设备，并向所述联锁逻辑部发送控制命令执行状态和信号设备状态信息。

全电子计算机联锁系统的联锁逻辑部、全电子执行模块以信号设备为对象进行控制，保持终端最小逻辑控制单位的故障安全功能。全电子计算机联锁系统具备系统安全逻辑管理与终端安全逻辑管理双重保护机制，联锁逻辑部负责系统安全逻辑管理，全电子执行模块以设备为单位管理和控制信号设备，负责全电子执行模块层面的安全逻辑管理，当信号设备发生异常时，最快能在165ms内进行安全响应，并且能够准确定位发生异常的信号设备，方便及时维修。以信号机控制为例，全电子计算机联锁系统中的信号机模块在控制信号机时，联锁逻辑部直接控制信号机设备，在联锁逻辑部层面，控制的是一架信号机而不是信号机的各个灯位。信号机模块负责控制信号机各灯位亮和灭，以进站信号机为例，存在黄、绿、红、黄、白5个灯位，同时根据信号机灯位的亮、灭状态，判断当前信号机显示状态。当信号机灯位异常时，全电子执行模块可以立即进行安全响应，响应时间小于165ms，不用等联锁逻辑部检查到灯位异常再采取安全措施，通常响应时间接近1s或更慢。

图12示出了根据本发明实施例的信号机控制原理流程图。如图12所示，联锁逻辑部用于控制信号机，具体步骤如下：

S1201：联锁逻辑部将信号机A的开放命令传输给信号机模块；

S1202：信号机模块根据联锁逻辑部控制命令控制各灯位亮、灭；

S1203：当信号机A目标灯位顺利点亮；

S1204：信号机模块向联锁逻辑部反馈信号机A开放成功的显示状态；

S1205：当信号机A点亮了危险灯位或者目标灯位开放失败；

S1206：信号机模块执行故障安全功能，立即切断相关灯位供电，并向红灯供电；

S1207：信号机模块向联锁逻辑部反馈信号机A开放红灯状态。

本发明提供一种基于封闭链路的全电子计算机联锁方法和系统，每个全电子执行模块均具备独立的IP，联锁逻辑部根据全电子执行模块IP直接控制信号设备，本方案不使用通信机，联锁逻辑部直接与全电子执行模块通信，提高通信效率。允许将全电子执行模块集成至信号设备，最大化的分散配置全电子执行模块，分散不受距离限制，集成度高，占用空间较少，大量节省控制电缆，改造时施工、配线工作量少，极大提高施工质量与效率。全电子执行模块都作为通用产品，同类全电子执行模块无需特殊配置能够直接替换，由联锁逻辑部通过专有云，向全电子执行模块分发配置数据，全电子执行模块根据接收到的配置数据工作，配置数据分发模式将配置数据源集中于联锁逻辑部，避免分散配置数据不一致导致的误解设备信息问题，同时在更换备用全电子执行模块时，无需再次核对配置信息一致性。全电子计算机联锁系统具备系统安全逻辑管理与终端安全逻辑管理双重保护机制。

尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。