軌道交通安全計(jì)算機(jī)

1、軌道交通的安全計(jì)算機(jī)軌道交通運(yùn)行控制系統(tǒng)大多是實(shí)時(shí)、多任務(wù)和安全苛求的計(jì)算機(jī)控制系統(tǒng)，美國Wind River公司的VxWorks是微內(nèi)核結(jié)構(gòu)的多任務(wù)嵌入式實(shí)時(shí)操作系統(tǒng)(RTOS)，相當(dāng)符合這種控制系統(tǒng)的要求。VxWorks采用了中斷驅(qū)動(dòng)和基于優(yōu)先級(jí)的搶占式任務(wù)調(diào)度方式，包括豐富的任務(wù)間通信與同步機(jī)制，例如共享內(nèi)存、互斥、信號(hào)量、消息隊(duì)列、信號(hào)和管道等，它還提供了先進(jìn)的內(nèi)存保護(hù)機(jī)制和容錯(cuò)管理框架。VxWorks的可靠性和實(shí)時(shí)性在許多領(lǐng)域都得到了驗(yàn)證，是目前優(yōu)秀的多任務(wù)嵌入式實(shí)時(shí)操作系統(tǒng)之一。為了進(jìn)一步提高列車運(yùn)行速度和線路運(yùn)營效率，基于通訊的列車控制系統(tǒng)(Communication Based

2、 Train Control system ,CBTC)成為城市軌道交通的主要發(fā)展趨勢。在CBTC系統(tǒng)中，車載控制器、區(qū)域控制器和計(jì)算機(jī)聯(lián)鎖控制器是系統(tǒng)的核心組成部分，對(duì)整個(gè)CBTC的安全可靠運(yùn)行具有重要影響。而作為這些系統(tǒng)載體的安全計(jì)算機(jī)，其安全性、可靠性、可用性和可維護(hù)性等性能指標(biāo)也成為影響整個(gè)CBTC系統(tǒng)安全可靠性的重要因素。本文針對(duì)軌道交通領(lǐng)域?qū)Π踩?jì)算機(jī)在安全性能方面的苛刻要求，提出了一種基于三取二表決結(jié)構(gòu)的安全計(jì)算機(jī)系統(tǒng)的設(shè)計(jì)方法。1.1選題背景、目的和意義 當(dāng)今中國社會(huì)進(jìn)步迅速、城市規(guī)模迅速擴(kuò)大、城市人口過度密集以及基礎(chǔ)設(shè)施建設(shè)未及時(shí)跟上，造成城市交通擁堵問題已經(jīng)成為制約諸多大中

3、城市發(fā)展的一道障礙。城市軌道交通(包括城市輕軌和地下鐵)具有運(yùn)能大、快捷方便、安全舒適以及相對(duì)與公路交通污染小、排放少、節(jié)能環(huán)保等優(yōu)點(diǎn)，正在被越來越多的城市作為解決交通擁堵問題的主要解決途徑，并加以積極發(fā)展建設(shè)。 隨著電子信息技術(shù)的發(fā)展，在軌道交通領(lǐng)域，傳統(tǒng)的繼電器聯(lián)鎖方式軌道交通信號(hào)系統(tǒng)正在逐漸被以計(jì)算機(jī)聯(lián)鎖為代表的安全計(jì)算機(jī)信號(hào)系統(tǒng)所代替。人們對(duì)城市軌道交通的要求越來越高，如何保證列車的安全、可靠、穩(wěn)定、快速以及高效的運(yùn)行是城市軌道交通信號(hào)系統(tǒng)函待滿足的根本需求。如果系統(tǒng)不能夠保證長期穩(wěn)定、安全、可靠地運(yùn)行，將可能出現(xiàn)不可預(yù)料的嚴(yán)重后果。系統(tǒng)的失效或者故障往往可能導(dǎo)致重大的生命財(cái)產(chǎn)損失，包

4、括人員的傷亡、設(shè)備的損壞、環(huán)境的破壞和財(cái)產(chǎn)損失等嚴(yán)重后果，因此系統(tǒng)的安全可靠運(yùn)行能力是軌道交通信號(hào)系統(tǒng)的一項(xiàng)重要指標(biāo)。安全計(jì)算機(jī)作為城市軌道交通信號(hào)系統(tǒng)的核心，在保證行車安全、增強(qiáng)旅客乘坐舒適度、提高運(yùn)營效率、提高列車運(yùn)行精確度等方面覺有決定性作用。保證安全計(jì)算機(jī)系統(tǒng)的安全可靠運(yùn)行是安全計(jì)算機(jī)系統(tǒng)設(shè)計(jì)制造過程中的一項(xiàng)基本要求。目前軌道交通信號(hào)系統(tǒng)正朝著自動(dòng)化、智能化、系統(tǒng)化、網(wǎng)絡(luò)化和信息化的方向發(fā)展，基于通信的列車控制系統(tǒng)(CBTC)是目前全球軌道交通行業(yè)內(nèi)公認(rèn)的最先進(jìn)的列車運(yùn)行控制技術(shù)，是當(dāng)今世界范圍內(nèi)軌道交通信號(hào)技術(shù)的發(fā)展趨勢fl。它的特點(diǎn)是用無線通信媒體來實(shí)現(xiàn)列車和地面的雙向通信，用以代

5、替軌道電路作為媒體來實(shí)現(xiàn)列車運(yùn)行控制。CBTC的突出優(yōu)點(diǎn)是實(shí)現(xiàn)了車一地雙向通信，而且數(shù)據(jù)吞吐量大，傳輸速度快，減少區(qū)間鋪設(shè)電纜數(shù)量，減少一次性投資及日常維護(hù)工作，可以大幅提高軌道交通運(yùn)營效率。我國的CBTC技術(shù)相比國外雖然起步較晚，但正處于迅速發(fā)展階段。到目前為止，北京、上海、廣州、深圳等城市軌道部分線路己經(jīng)正在使用CBTC系統(tǒng)，而大部分的在建線路以及一些老線路都準(zhǔn)備應(yīng)用CBTC系統(tǒng)或者進(jìn)行CBTC改造。國內(nèi)目前在做CBTC國產(chǎn)化的企業(yè)和研究機(jī)構(gòu)主要有:北京交大微聯(lián)、上?？ㄋ箍啤⑸虾０柨ㄌ?、浙大網(wǎng)新眾合軌道、北京和利時(shí)等，在目前國家大力發(fā)展城市軌道交通，增加基礎(chǔ)設(shè)施建設(shè)力度的大環(huán)境下，只要把

6、握住時(shí)機(jī)和機(jī)遇，國產(chǎn)化CBTC系統(tǒng)將大有所為。CBTC系統(tǒng)主要由車載子系統(tǒng)、區(qū)域控制子系統(tǒng)、ATS/ATC子系統(tǒng)、數(shù)據(jù)通訊子系統(tǒng)、聯(lián)鎖子系統(tǒng)構(gòu)成f2l。其中車載子系統(tǒng)、區(qū)域控制子系統(tǒng)以及聯(lián)鎖子系統(tǒng)作為CBTC系統(tǒng)的重要組成部分，分別完成對(duì)列車運(yùn)行的ATP/ATO控制、區(qū)域內(nèi)列車的移動(dòng)授權(quán)、列車運(yùn)行的移動(dòng)閉塞、軌道信號(hào)系統(tǒng)的聯(lián)鎖邏輯運(yùn)算等功能，其安全性和可靠性與列車運(yùn)行安全息息相關(guān)，為了保證操作人員和旅客的人身安全，系統(tǒng)的可靠性和安全性必須得到更好的保證。因此在這些子系統(tǒng)中應(yīng)用的計(jì)算機(jī)系統(tǒng)通常為基于多模冗余容錯(cuò)技術(shù)的安全計(jì)算機(jī)系統(tǒng)，本文在對(duì)常用安全計(jì)算機(jī)的安全性和可靠性進(jìn)行分析比較的基礎(chǔ)上，提出

7、了一種新型三取二安全計(jì)算機(jī)系統(tǒng)的設(shè)計(jì)方法。安全計(jì)算機(jī)。由于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的長足發(fā)展，工業(yè)、交通、國防、日常生活都離不開計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)對(duì)于軌道信號(hào)的發(fā)展是革命性的。逐漸產(chǎn)生微機(jī)聯(lián)鎖系統(tǒng)、車地實(shí)施通信等高端技術(shù)使軌道運(yùn)輸自動(dòng)化程度大大提高。計(jì)算機(jī)控制系統(tǒng)可以降低成本，提供便利，增強(qiáng)系統(tǒng)功能，最大限度減少人為出錯(cuò)率。但是有利必有弊，計(jì)算機(jī)信號(hào)系統(tǒng)也有其弊端。一是計(jì)算機(jī)系統(tǒng)的雜性，軟件硬件都是一個(gè)不小的問題，尤其是軟件，簡單的軟件程序也有數(shù)以千計(jì)的執(zhí)行路徑，這對(duì)于保證系統(tǒng)安全性能帶來不小挑戰(zhàn)，發(fā)生事故時(shí)，尋找失誤之處也變得比較困難。但是畢竟計(jì)算機(jī)信號(hào)系統(tǒng)是未來發(fā)展的趨勢，人們于是把故

8、障安全技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)結(jié)合起來，形成了一些新的技術(shù)和方法。一般說來有故障檢測與診斷技術(shù)、計(jì)算機(jī)容錯(cuò)技術(shù)，前者一般目的在于盡快發(fā)現(xiàn)故障，能夠投入備份或者及時(shí)修復(fù)，后者主要通過冗余屏蔽錯(cuò)誤的影響或是利用重構(gòu)使系統(tǒng)緩慢降級(jí)。本題目研究的目的為開發(fā)一種新型的具有更高的安全性、可靠性的安全計(jì)算機(jī)系統(tǒng)，采用嵌入式操作系統(tǒng)和三取二冗余表決形式，實(shí)現(xiàn)在系統(tǒng)發(fā)生任一單點(diǎn)故障的情況下，系統(tǒng)的不間斷正常運(yùn)行，保證整個(gè)系統(tǒng)的可靠性和安全性。 首先對(duì)安全計(jì)算機(jī)多種結(jié)構(gòu)的可靠性和安全性進(jìn)行了比較，最后選取了三取二冗余表決結(jié)構(gòu)作為安全計(jì)算機(jī)的最終實(shí)現(xiàn)形式。詳細(xì)描述了安全計(jì)算機(jī)的運(yùn)行原理和容錯(cuò)功能的實(shí)現(xiàn)機(jī)制，并對(duì)系統(tǒng)的軟

9、硬件總體組成結(jié)構(gòu)進(jìn)行了論述。 從硬件方面詳細(xì)說明了系統(tǒng)的硬件總體結(jié)構(gòu)，采用模塊化設(shè)計(jì)方法，對(duì)系統(tǒng)硬件進(jìn)行了模塊化戈分，并對(duì)每個(gè)功能子模塊的內(nèi)部結(jié)構(gòu)和組成進(jìn)行了描述說明。討論了在硬件模塊電路中采用的故障一安全措施，以及這些措施的工作原理。 從軟件方面研究安全計(jì)算機(jī)系統(tǒng)的實(shí)現(xiàn)方式，運(yùn)用模塊化的方法對(duì)系統(tǒng)軟件進(jìn)行了功能模塊劃分。研究的重點(diǎn)是安全計(jì)算機(jī)三冗余模塊之間的同步、冗余數(shù)據(jù)的三取二表決、對(duì)外數(shù)據(jù)通訊的管理、系統(tǒng)故障的檢測與識(shí)別等內(nèi)容。安全計(jì)算機(jī)研究及發(fā)展現(xiàn)狀 安全計(jì)算機(jī)系統(tǒng)是指在發(fā)生故障的情況下，能夠?qū)崿F(xiàn)系統(tǒng)的故障導(dǎo)向安全，即系統(tǒng)的輸出在故障狀態(tài)下導(dǎo)向安全側(cè)，從而避免造成重大的生命財(cái)產(chǎn)損失。安

10、全計(jì)算機(jī)在航空航天、軍事軍工、化工能源、軌道交通等安全苛求領(lǐng)域具有廣泛的應(yīng)用，要求計(jì)算機(jī)系統(tǒng)具有長時(shí)間穩(wěn)定可靠運(yùn)行的能力，和避免發(fā)生重大災(zāi)害的故障處理能力。 由于當(dāng)前的電子元器件計(jì)算機(jī)本身并不具有固有的“故障一安全”特性，從而導(dǎo)致由其組成的計(jì)算機(jī)系統(tǒng)在發(fā)生故障時(shí)的輸出結(jié)果無法預(yù)料，因此必須通過采用特殊的容錯(cuò)結(jié)構(gòu)和專用的操作系統(tǒng)使系統(tǒng)在計(jì)算機(jī)故障時(shí)處于安全狀態(tài)3。設(shè)備故障是不可避免的，要使系統(tǒng)在設(shè)備故障時(shí)不出現(xiàn)危險(xiǎn)的后果，必須采用合適的系統(tǒng)結(jié)構(gòu)和設(shè)計(jì)方法，而實(shí)現(xiàn)安全計(jì)算機(jī)的“故障一安全”特性最常用的技術(shù)就是容錯(cuò)技術(shù)。 容錯(cuò)技術(shù)的基本出發(fā)點(diǎn)是承認(rèn)系統(tǒng)故障的不可避免性，它的本質(zhì)是容忍故障存在，進(jìn)而采

11、取措施解除故障影響的技術(shù)。容錯(cuò)技術(shù)最重要的思想是冗余和重組，其對(duì)故障的處理主要有以下幾種措施4 1） .故障限制:限制故障的影響范圍，一般采取隔離、模塊化等技術(shù)措施。 2） .故障檢測:實(shí)現(xiàn)對(duì)故障的檢測和定位，方便維修和維護(hù)?？刹捎寐?lián)機(jī)檢測和脫機(jī) 自檢的方法一 1）.重試:在某些環(huán)境因素(如電磁干擾)的影響下，系統(tǒng)出現(xiàn)瞬態(tài)故障。這種情況下可采用對(duì)操作進(jìn)行重試，即可消除故障的影響。 2）.恢復(fù)重組:即當(dāng)檢測到故障后，就啟用冗余設(shè)備，進(jìn)行重組，屏蔽故障的影響。 3）.重啟:當(dāng)故障無法消除，計(jì)算機(jī)系統(tǒng)失效時(shí)，可以進(jìn)行設(shè)備重啟，消除故障。但是設(shè)備重啟一般需要一定的時(shí)間，所以最好能夠配合冗余和重組技術(shù)構(gòu)

12、建熱備冗余系統(tǒng)。重啟分為軟重啟和硬重啟。 4）.對(duì)故障部件進(jìn)行修理使之復(fù)原。修復(fù)工作可以脫機(jī)進(jìn)行，也可以聯(lián)機(jī)進(jìn)行。要進(jìn)行脫機(jī)修復(fù)，要求系統(tǒng)硬件最好能夠支持熱插拔技術(shù)。 5）.重構(gòu):將修復(fù)的設(shè)備重新裝回系統(tǒng)，成為備用部件。 隨著軌道交通對(duì)列車運(yùn)行速度和運(yùn)能要求的提高，保證行車的安全性和可靠性成為越來越為重要的研究課題。軌道交通信號(hào)系統(tǒng)以及列車運(yùn)行控制系統(tǒng)作為CBTC系統(tǒng)中的重要組成部分，普遍采用了安全計(jì)算機(jī)作為系統(tǒng)運(yùn)行平臺(tái)，其運(yùn)行的安全性和可靠性是業(yè)內(nèi)非常重視的關(guān)鍵問題。 早在1978年，瑞典的Ericesson公司(現(xiàn)屬于Adtrans公司)就研制出一臺(tái)安全計(jì)算機(jī)作為城市地鐵的聯(lián)鎖控制器在瑞典

13、哥德堡站(Geteborg)投入運(yùn)行。由于安全計(jì)算機(jī)相比以往的軌道繼電器電路在性能和擴(kuò)展性、維護(hù)性方面的諸多優(yōu)勢，安全計(jì)算機(jī)系統(tǒng)在軌道交通上的應(yīng)用越來越為廣泛，各家公司紛紛研制了自己的安全計(jì)算機(jī)系統(tǒng)。 在國外，其中最具代表性的安全計(jì)算機(jī)系統(tǒng)主要有: （1）.德國西門子公司研制的SIMIS系統(tǒng)。該安全計(jì)算機(jī)采用二取二結(jié)構(gòu)，即采用的兩臺(tái)完全相同的計(jì)算機(jī)組構(gòu)成熱備冗余結(jié)構(gòu)，在系統(tǒng)的輸出設(shè)有硬件比較器，從而實(shí)現(xiàn)系統(tǒng)的“故障一安全”。 （2）.德國西門子公司研制的SICAS系統(tǒng)。該安全計(jì)算機(jī)采用的是三取二結(jié)構(gòu)，即采用的三臺(tái)完全相同的計(jì)算機(jī)組構(gòu)成三模冗余結(jié)構(gòu)。這套系統(tǒng)的特點(diǎn)是結(jié)構(gòu)簡單、配置靈活，但不適用于

14、控制單元多、聯(lián)鎖邏輯較為復(fù)雜的情況。 （3）.瑞典Adtranz公司研制的EBILOCK系統(tǒng)。該安全計(jì)算機(jī)也是采用采用二取二雙機(jī)熱備冗余結(jié)構(gòu)方式來提高可靠性和安全性。 （4）.Alcatel公司研制的SelTra。系統(tǒng)5。該系統(tǒng)應(yīng)用于基于無線通信的列車控制系統(tǒng)，作為系統(tǒng)中的區(qū)域控制器來實(shí)現(xiàn)列車運(yùn)行的移動(dòng)閉塞技術(shù)。該安全計(jì)算機(jī)采用的一是三取二結(jié)構(gòu)，通過對(duì)輸出的三取二表決來實(shí)現(xiàn)系統(tǒng)的容錯(cuò)能力。 （5）.Bombardier公司的Flexiblok(現(xiàn)改名CITYFLO ) CBTC系統(tǒng)中的軌旁ATP(區(qū)域控制器)、聯(lián)鎖控制器和車載ATP(車載控制器)等皆為基于二乘二取二結(jié)構(gòu)的安全計(jì)算機(jī)系統(tǒng)。（6）

15、.USSI公司(已被Ansaldo收購)的MicroLock計(jì)算機(jī)聯(lián)鎖系統(tǒng)，采用的是熱備冗余結(jié)構(gòu)的安全計(jì)算機(jī)系統(tǒng)。（7）.GRS公司(己被Alstom收購)研制的VPI系統(tǒng)，采用的也是雙模冗余技術(shù)來提高系統(tǒng)的可靠性國內(nèi)的公司和研究機(jī)構(gòu)自80年代初就開始了軌道交通安全計(jì)算機(jī)的研制工作，但進(jìn)展比較緩慢。到90年代中后期，進(jìn)入了快速發(fā)展階段，安全計(jì)算機(jī)首先被應(yīng)用于實(shí)現(xiàn)軌道交通信號(hào)系統(tǒng)的聯(lián)鎖功能，即計(jì)算機(jī)聯(lián)鎖系統(tǒng)。其中具有代表性的是: 1、鐵道部科學(xué)研究院通號(hào)所的TYJL-II雙機(jī)熱備型、TY兒一TR9與TYJL-TR2000三取二型計(jì)算機(jī)聯(lián)鎖系統(tǒng)f-8102、通號(hào)公司研究設(shè)計(jì)院計(jì)算機(jī)所的DS6-11

16、雙機(jī)熱備、DS6-20三取二型、DS6-KSB二乘二取二型計(jì)算機(jī)聯(lián)鎖系統(tǒng)90 3、北京交大微聯(lián)公司的JD-1 A雙機(jī)熱備型與EI32-JD型計(jì)算機(jī)聯(lián)鎖系統(tǒng)1 .0 4、卡斯科公司的iLock二乘二取二計(jì)算機(jī)聯(lián)鎖系統(tǒng)W0除此之外，國內(nèi)還有諸如北京和利時(shí)、華為技術(shù)有限公司、浙大網(wǎng)新眾合軌道、蘭州大成等其他公司亦在研發(fā)自己的安全計(jì)算機(jī)系統(tǒng)。12 安全計(jì)算機(jī)理論研究及現(xiàn)狀 安全計(jì)算機(jī)系統(tǒng)最主要的功能是保證列車運(yùn)行安全，降低事故發(fā)生可能性、提高列車運(yùn)營效率，安全性、可靠性、可用性和可維護(hù)性是評(píng)價(jià)安全計(jì)算機(jī)系統(tǒng)優(yōu)劣的重要指標(biāo)。在對(duì)安全計(jì)算機(jī)系統(tǒng)不同結(jié)構(gòu)的安全性、可靠性、可用性和可維護(hù)性進(jìn)行量化分析方面，前

17、人已經(jīng)做過很多理論研究工作，有很多已經(jīng)被證明為正確有效的方法。 Markov模型是分析安全計(jì)算機(jī)可靠性最為有效的方法之一。Markov過程認(rèn)為系統(tǒng)在時(shí)刻to所處的狀態(tài)和時(shí)刻to之前所處的狀態(tài)無關(guān)，且將來時(shí)刻t的狀態(tài)與現(xiàn)在的狀態(tài)有關(guān)，而與過去狀態(tài)無關(guān)，這一特點(diǎn)被稱為“無后效性”或者“無記憶性”或“馬氏性”(121。系統(tǒng)中故障的出現(xiàn)和修復(fù)都是隨機(jī)，而與以前的狀態(tài)無關(guān)，因此這種過程屬于Markov過程。Markov模型可以綜合反映多種失效模式對(duì)系統(tǒng)性能指標(biāo)的影響，對(duì)Markov模型進(jìn)行定量分析，可以提供對(duì)系統(tǒng)的可靠性、安全性及可用性設(shè)計(jì)方案的比較和評(píng)價(jià)130故障樹分析(Fault Tree Anal

18、ysis, FTA)技術(shù)是美國貝爾電報(bào)公司的電話實(shí)驗(yàn)室于1962年開發(fā)的，在可靠性工程分析領(lǐng)域得到了廣泛的應(yīng)用【14。故障樹分析采用邏輯表示的方法，形象地對(duì)系統(tǒng)故障進(jìn)行，具有直觀明朗、思路清晰、邏輯性強(qiáng)的特點(diǎn)，可以對(duì)系統(tǒng)的可靠性做定性分析，也可以用來做定量分析。定性分折的主要目的是尋找導(dǎo)致與系統(tǒng)有關(guān)的不希望事件發(fā)生的原因和原因的組合，即尋找導(dǎo)致頂事件發(fā)生的所有故障模式。定量分析的主要目的是當(dāng)給定所有底事件發(fā)生的概率時(shí)，求出頂事件發(fā)生的概率及其他定量指標(biāo)。在系統(tǒng)設(shè)計(jì)階段，故障樹分析可幫助判明潛在的故障以便改進(jìn)設(shè)計(jì)，包括維修性設(shè)計(jì)。在系統(tǒng)使用維修階段，可幫助故障診斷改進(jìn)使用維修方案。 失效模式分析

19、(Failure mode and effects analysis, FMEA)是一種系統(tǒng)化的Z程設(shè)計(jì)輔助工具，主要是利用表格方式協(xié)助工程師進(jìn)行工程分析y s a FMEA在1960年被應(yīng)用于航空工業(yè)中奢名的阿波羅計(jì)劃(Apollo)，并于80年代美國軍方確認(rèn)為軍方規(guī)范。不同于FTA的自上而下的分析方法，F(xiàn)MEA采用的是自下而上的分析方法，其目的在于改善產(chǎn)品和制造的可靠性，在產(chǎn)品設(shè)計(jì)或生產(chǎn)工藝真正實(shí)現(xiàn)之前發(fā)現(xiàn)產(chǎn)品的弱點(diǎn)，可在原型樣機(jī)階段或在大批量生產(chǎn)之前確定產(chǎn)品缺陷。，從而提升產(chǎn)品質(zhì)量，降低成本損失。 此外在安全計(jì)算機(jī)的設(shè)計(jì)制造過程中被廣泛應(yīng)用的可靠性分析方法還有諸如故障模式、影響及關(guān)鍵性分

20、析(Failure mode, effects, and criticality analysis,FMEAC)6,隱患日志(Hazard Log)1等其他安全性和可靠性分析以及保證技術(shù)方法。運(yùn)用這些成熟可靠的技術(shù)方法可以更好的保證在安全計(jì)算機(jī)的設(shè)計(jì)、制造、安裝以及維護(hù)過程中的系統(tǒng)整體的安全性和可靠性。第二章安全計(jì)算機(jī)系統(tǒng)原理與需求分析2.1安全計(jì)算機(jī)系統(tǒng)原理雙機(jī)熱備安全計(jì)算機(jī)雙機(jī)熱備安全計(jì)算機(jī)系統(tǒng)的邏輯運(yùn)算層一般由兩個(gè)獨(dú)立的單元組成，每個(gè)邏輯運(yùn)算單元具有相同的硬件結(jié)構(gòu)，運(yùn)行相同的軟件程序，都能獨(dú)立完成規(guī)定的同樣的功能。雙機(jī)熱備結(jié)構(gòu)安全計(jì)算機(jī)可以根據(jù)現(xiàn)場應(yīng)用的具體情況采用2種完全不同的工作方式

21、:純熱備工作方式和二取二工作方式。 采用純熱備工作方式時(shí)兩個(gè)單元都上電工作，同時(shí)采集輸入數(shù)據(jù)，進(jìn)行數(shù)據(jù)邏輯運(yùn)算和處理。但只有主工作單元的輸出有效，通過切換單元選通使能實(shí)現(xiàn)輸出。兩個(gè)單元均有故障檢測功能，在系統(tǒng)運(yùn)行過程中實(shí)時(shí)進(jìn)行自檢。當(dāng)主工作單元發(fā)現(xiàn)自身出現(xiàn)故障時(shí)，就給出控制信號(hào)并釋放控制權(quán)限，驅(qū)動(dòng)切換單元進(jìn)行切換，然后給出報(bào)警信息等待維修。若是備機(jī)出現(xiàn)故障的情況下，則自動(dòng)下機(jī)給出報(bào)警信息，等待維修人員進(jìn)行維修或者更換。雙機(jī)熱備聯(lián)鎖系統(tǒng)在純熱備工作方式下的原理結(jié)構(gòu)如下圖所示:圖2.1純熱備工作方式原理結(jié)構(gòu)框圖雙模冗余安全計(jì)算機(jī)的另一個(gè)工作方式為二取二模式。在這種工作模式下，系統(tǒng)的兩個(gè)邏輯運(yùn)算單元

22、都上電工作，同時(shí)采集輸入數(shù)據(jù)，進(jìn)行數(shù)據(jù)邏輯運(yùn)算和處理，并同時(shí)進(jìn)行輸出。與純熱備工作方式不同的是，二取二模式下安全計(jì)算機(jī)并不存在主從差異，不需要一個(gè)主從切換控制單元，而代之為一個(gè)二取二表決單元，該單元同時(shí)接收兩個(gè)邏輯運(yùn)算單元的數(shù)據(jù)結(jié)果并對(duì)其進(jìn)行二取二表決。二取二表決執(zhí)行的邏輯為:當(dāng)且僅當(dāng)兩路輸出數(shù)據(jù)皆為有效的危險(xiǎn)側(cè)輸出時(shí)，方才輸出危險(xiǎn)側(cè)信號(hào)。與純熱備模式的另外一個(gè)區(qū)別是兩個(gè)單元也都分別有故障檢測模塊，但是當(dāng)任一模塊檢測的故障時(shí)，系統(tǒng)輸出導(dǎo)向安全，故障模塊告警并等待維修。雙機(jī)熱備聯(lián)鎖系統(tǒng)在二取二工作方式下的原理結(jié)構(gòu) 二乘二取二安全計(jì)算機(jī)設(shè)計(jì)的關(guān)鍵是實(shí)現(xiàn)主備兩系4個(gè)冗余邏輯運(yùn)算單元的同步、主備系的故

23、障檢測以及主備切換功能。為了保證二乘二取二安全計(jì)算機(jī)的邏輯運(yùn)算單元能夠同時(shí)采集輸入，同時(shí)進(jìn)行數(shù)據(jù)處理和邏輯運(yùn)算，并同時(shí)給出數(shù)據(jù)結(jié)果向輸出級(jí)輸出，二乘二取二安全計(jì)算機(jī)的4個(gè)邏輯運(yùn)算單元必須在運(yùn)行的過程中保持?jǐn)?shù)據(jù)運(yùn)算和執(zhí)行度的一致性，即必須進(jìn)行同步。二乘二取二安全計(jì)算機(jī)的同步不僅包括主備兩系之間的同步，同時(shí)包括系內(nèi)兩個(gè)邏輯運(yùn)算單元之間的同步，同步的方式通常有時(shí)鐘級(jí)同步、固定周期同步和任務(wù)級(jí)同步等幾種，實(shí)現(xiàn)的方式又可分為硬件同步和軟件同步。當(dāng)今安全計(jì)算機(jī)所采用的同步方式多為任務(wù)級(jí)同步，由軟件來實(shí)現(xiàn)。二乘二取二安全計(jì)算機(jī)的每一個(gè)獨(dú)立的計(jì)算機(jī)系為二取二表決系，正常工作時(shí)主系獲得輸出控制權(quán)，當(dāng)主系數(shù)據(jù)輸出

24、存在表決不一致的情況時(shí)，說明系內(nèi)某一個(gè)數(shù)據(jù)處理/運(yùn)算通道存在故障，則與備系的兩個(gè)數(shù)據(jù)結(jié)果進(jìn)行比對(duì)來識(shí)別故障單元，主系給出告警信息并發(fā)出主備切換指令控制切換單元進(jìn)行主備切換。當(dāng)備系在熱備狀態(tài)時(shí)的自檢測發(fā)現(xiàn)輸出表決的不一致時(shí)，亦與主系的表決結(jié)果進(jìn)行對(duì)比，由此發(fā)現(xiàn)故障單元，給出告警信息并下機(jī)等待維修。安全計(jì)算機(jī)結(jié)構(gòu)選擇安全計(jì)算機(jī)的體系結(jié)構(gòu) 常見的安全計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)冗余方式，如雙機(jī)熱備、三取二表決、二取二表決、二取二乘二等，它們的安全性和可靠性指標(biāo)已有很多文獻(xiàn)從理論上進(jìn)行了論證，并且已經(jīng)應(yīng)用在多種軌道交通信號(hào)設(shè)備上，如車站計(jì)算機(jī)聯(lián)鎖系統(tǒng)和列車自動(dòng)運(yùn)行系統(tǒng)等。目前，采用雙機(jī)熱備形式的安全計(jì)算機(jī)應(yīng)用比較廣

25、泛，在雙機(jī)熱備的技術(shù)基礎(chǔ)上可以構(gòu)建二取二乘二的結(jié)構(gòu)，而兩者相比，后者明顯具有更高的安全性和可靠性。IEC61508標(biāo)準(zhǔn)中推薦在安全相關(guān)領(lǐng)域的電子設(shè)備/系統(tǒng)采用以下S種容錯(cuò)結(jié)構(gòu):1、.loo I ( one out of one )結(jié)構(gòu)。這種架構(gòu)只有一個(gè)獨(dú)立模塊，為非冗余結(jié)構(gòu)，但是電路內(nèi)部具有故障一安全特性，任一故障的產(chǎn)生會(huì)被導(dǎo)向安全側(cè)輸出。其結(jié)構(gòu)框圖如下圖所示:2 ( one out of two)結(jié)構(gòu)，即熱備冗余結(jié)構(gòu)。這種結(jié)構(gòu)具有兩個(gè)功能相同的冗余模塊，當(dāng)任一模塊輸出有效信號(hào)時(shí)，輸出有效。3.2002 ( two out of two)結(jié)構(gòu)，即二取二結(jié)構(gòu)。這種結(jié)構(gòu)具有兩個(gè)功能相同的冗余模塊，

26、當(dāng)且僅當(dāng)兩個(gè)模塊都輸出危險(xiǎn)側(cè)信號(hào)時(shí)，系統(tǒng)才輸出危險(xiǎn)側(cè)信號(hào)。.1 oo2D (one out of two with diagnostic)結(jié)構(gòu)。這種結(jié)構(gòu)在1002結(jié)構(gòu)的基礎(chǔ)上增加了2個(gè)故障檢測模塊，在檢測模塊檢測到本模塊的故障時(shí)，輸出由另外一個(gè)工作正常的模塊決定;當(dāng)兩個(gè)模塊都為故障狀態(tài)時(shí)，輸出回路切斷。本結(jié)構(gòu)的原理框圖如下圖所示:.2003 ( two out of three)結(jié)構(gòu)，即三取二結(jié)構(gòu)。這種結(jié)構(gòu)由3個(gè)功能相同的冗余模塊構(gòu)成，并具有一個(gè)對(duì)輸出進(jìn)行多數(shù)表決的三取二表決模塊，任一模塊的故障輸出不會(huì)影響系統(tǒng)的正常工作。三取二的結(jié)構(gòu)原理框圖如下圖所示: 圖2.7 2003原理結(jié)構(gòu)框圖 ICE

27、61508對(duì)這五種結(jié)構(gòu)的安全性、可靠性、可用性和可維護(hù)性進(jìn)行了詳細(xì)的比較，在這五種結(jié)構(gòu)中，loo2D結(jié)構(gòu)和200結(jié)構(gòu)的性能最好。在對(duì)2003結(jié)構(gòu)進(jìn)行改進(jìn)的情況下，即當(dāng)三取二中的單一模塊故障時(shí)降級(jí)為二取二工作方式，2003這種結(jié)構(gòu)就比之1 oo2D結(jié)構(gòu)覺有更高的安全性、可靠性和可用性了。因此本文選用三取二結(jié)構(gòu)作為安全計(jì)算機(jī)系統(tǒng)的總體結(jié)構(gòu)，在此基礎(chǔ)上設(shè)計(jì)安全計(jì)算機(jī)的硬件系統(tǒng)和軟件系統(tǒng)。第五章測試與結(jié)果 目前該三取二安全計(jì)算機(jī)的系統(tǒng)樣機(jī)己設(shè)計(jì)完成，并在實(shí)驗(yàn)室完成了各項(xiàng)功能和性能測試，如圖5.1所示。CPU模塊之間的CPUbus總線經(jīng)測試可以達(dá)到最高20Mbps的通訊速率，通過CPUbus總線進(jìn)行的同

28、步功能達(dá)到了系統(tǒng)要求的同步精度和響應(yīng)速度。通過軟件表決家現(xiàn)的表決功能具有很好的執(zhí)行效果，在人為植入故障的情況下正確的修正錯(cuò)誤結(jié)果;IO模塊和通訊模塊可以在主工作模塊故障的情況下，快速無縫地切換至備用模塊繼續(xù)工作。測試結(jié)果表明，所設(shè)計(jì)平臺(tái)達(dá)到可靠性、安全性和可維護(hù)性的要求。 根據(jù)前期的安全計(jì)算機(jī)硬件系統(tǒng)設(shè)計(jì)，本課題完成了硬件各個(gè)子模塊電路的設(shè)計(jì)，并對(duì)硬件的具體功能進(jìn)行了調(diào)試驗(yàn)證，證明了前期設(shè)計(jì)的正確性。2、基本思路和框架對(duì)安全計(jì)算機(jī)的軟件系統(tǒng)進(jìn)行層次化劃分，描述平臺(tái)軟件的實(shí)現(xiàn)。對(duì)平臺(tái)軟件的兩個(gè)重要組成部分平臺(tái)控制軟件和通訊控制軟件進(jìn)行模塊化設(shè)計(jì)，仔細(xì)了解其結(jié)構(gòu)組成和實(shí)現(xiàn)流程。同時(shí)，對(duì)各軟件子模塊

29、的實(shí)現(xiàn)原理和工作流程進(jìn)行全面的描述。3、具體方案基于差異性原則的結(jié)構(gòu)設(shè)計(jì)異性結(jié)構(gòu)設(shè)計(jì)原則，例如個(gè)基于架構(gòu)使用語言實(shí)現(xiàn)，另個(gè)基于可編程邏輯器件，例如使用硬件描述語言，例如實(shí)現(xiàn)。外部設(shè)備管理單元由組共個(gè)構(gòu)成，每個(gè)構(gòu)成系取結(jié)構(gòu)，兩系構(gòu)成熱備（乘）取冗余結(jié)構(gòu)或并行取冗余結(jié)構(gòu)。每一系的個(gè)的選擇也應(yīng)符合差異性結(jié)構(gòu)設(shè)計(jì)原則，例如個(gè)基于架構(gòu)，另個(gè)基于架構(gòu)，同時(shí)選擇不同的操作系統(tǒng)、不同的編譯器或不同的編程語言。在節(jié)的地面信號(hào)系統(tǒng)優(yōu)化方案中，將地面信號(hào)系統(tǒng)分為核心主機(jī)部分和遠(yuǎn)程外設(shè)部分，核心主機(jī)部分和遠(yuǎn)程外設(shè)部分均基于通用安全計(jì)算機(jī)平臺(tái)搭建。核心主機(jī)放置于信號(hào)機(jī)械室內(nèi)，主要實(shí)現(xiàn)、等的信號(hào)邏輯功能，需要高安全性、高

30、可靠性和強(qiáng)大的邏輯處理能力以及安全穩(wěn)定的對(duì)外輸入輸出能力；遠(yuǎn)程部分盡量靠近現(xiàn)場控制對(duì)象，和現(xiàn)象控制對(duì)象的硬件連線盡可能短，主要實(shí)現(xiàn)、軌道電路、等輸入輸出功能，需要安全穩(wěn)定的輸入輸出能力。車載信號(hào)系統(tǒng)只需要一個(gè)基于通用安全計(jì)算機(jī)平臺(tái)的主機(jī)部分，不需要靠近現(xiàn)場的遠(yuǎn)程外設(shè)部分。根據(jù)上述信號(hào)系統(tǒng)的功能需求，通用安全計(jì)算機(jī)平臺(tái)可以配置成核心主機(jī)型配置、遠(yuǎn)程外設(shè)型配置兩種形式。典型的核心主機(jī)型配置包括邏輯處理單元、外部設(shè)備管理單元、容錯(cuò)和安全管理單元三個(gè)部分以及安全通信內(nèi)網(wǎng)（如圖所示，可以適用于地面信號(hào)系統(tǒng)的核心主機(jī)部分和車載信號(hào)系統(tǒng)。典型的遠(yuǎn)程外設(shè)型配置包括外部設(shè)備管理單元、容錯(cuò)和安全管理單元兩個(gè)部分以

31、及安全通信內(nèi)網(wǎng)，如圖所示，可以適用于地面信號(hào)系統(tǒng)的遠(yuǎn)程外設(shè)部分。邏輯處理單元外部設(shè)備管理單元邏輯處理單元提供符合乘取機(jī)制的高安全、高可靠和高性能運(yùn)算處理能力，以支持多個(gè)軌道交通信號(hào)邏輯功能。外部設(shè)備管理單元提供：通用數(shù)字量、模擬量、脈沖量的輸入或通用數(shù)字量、模擬量的輸出能力；針對(duì)軌道電路、等特殊應(yīng)用的、需要基于或?qū)崿F(xiàn)的智能輸入或智能輸出能力；各種外部通信能力（包括無線通信能力）。容錯(cuò)和安全管理單元與邏輯處理單元相互配合完成乘取機(jī)制，與外部設(shè)備管理單元相互配合完成熱備（乘）取冗余機(jī)制或并行取冗余機(jī)制。其中，邏輯處理單元由組共個(gè)構(gòu)成，每個(gè)構(gòu)成系取結(jié)構(gòu)，兩系構(gòu)成乘結(jié)構(gòu)。每一系的個(gè)應(yīng)符合差異性結(jié)構(gòu)設(shè)計(jì)

32、原則，例如個(gè)基于架構(gòu)，另個(gè)基于架構(gòu)，同時(shí)選擇不同的操作系統(tǒng)、不同的編譯器、不同的編程語言。容錯(cuò)和安全管理單元由個(gè)或多個(gè)構(gòu)成，在滿足安全性的前提下，優(yōu)先選擇個(gè)的方案，即取結(jié)構(gòu)的方案，個(gè)的也應(yīng)符合差所以，我們?cè)谠O(shè)計(jì)改進(jìn)的安全計(jì)算機(jī)平臺(tái)時(shí)，為了降低共因失效率，應(yīng)遵循差異性結(jié)構(gòu)設(shè)計(jì)原則，保證在各通道、模塊之間或系統(tǒng)功能之間存在以下方面的改進(jìn)的安全計(jì)算機(jī)平臺(tái)中，針對(duì)目前安全計(jì)算機(jī)平臺(tái)設(shè)計(jì)普遍釆用的相同硬件架構(gòu)和相同操作系統(tǒng)、編譯器或編程語言，為了降低安全計(jì)算機(jī)平臺(tái)的共因失效率，所以釆用硬件軟件差異性設(shè)計(jì)原則。通過硬件上選擇不同處理器架構(gòu)例如架構(gòu)、架構(gòu)、架構(gòu)等，同時(shí)選擇不同的操作系統(tǒng)、不同的編譯器、不同的

33、編程語言及其開發(fā)環(huán)境。改進(jìn)的安全計(jì)算機(jī)硬件結(jié)構(gòu)設(shè)計(jì)目前常用的安全計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有熱備結(jié)構(gòu)、取結(jié)構(gòu)、取結(jié)構(gòu)、乘取結(jié)構(gòu)。現(xiàn)代軌道交通中廣泛使用的安全計(jì)算機(jī)主要為取結(jié)構(gòu)和乘取結(jié)構(gòu)。雙機(jī)熱備結(jié)構(gòu)的安全計(jì)算機(jī)系統(tǒng)的主體由兩個(gè)硬件結(jié)構(gòu)完全相同的計(jì)算機(jī)組成，根據(jù)一定邏輯關(guān)系定出主機(jī)和備機(jī)，只有主機(jī)輸出結(jié)果。當(dāng)主機(jī)工作單元檢測出自身故障，切換單元進(jìn)行切換，使備機(jī)成主工作狀態(tài)。雙模冗余安全計(jì)算機(jī)結(jié)構(gòu)的另一種方式是取結(jié)構(gòu)。與熱備結(jié)構(gòu)工作方式不同的是，取模式下的安全計(jì)算機(jī)不存在主、從關(guān)系，表決單元同時(shí)接收兩個(gè)邏輯運(yùn)算單元的結(jié)果輸出，并對(duì)其進(jìn)行取表決。取表決的邏輯為：當(dāng)且僅當(dāng)兩路數(shù)據(jù)皆為有效的危險(xiǎn)輸出時(shí)，才輸出危險(xiǎn)信

34、號(hào)。取結(jié)構(gòu)安全計(jì)算機(jī)系統(tǒng)由三個(gè)硬件結(jié)構(gòu)完全相同的計(jì)算機(jī)和一個(gè)多數(shù)表決器組成，三個(gè)通道的計(jì)算機(jī)接收相同的數(shù)據(jù)，邏輯處理單元進(jìn)過運(yùn)算處理輸出結(jié)果，然后將三個(gè)結(jié)果送至多數(shù)表決器；若只有一個(gè)模塊出現(xiàn)故障，表決器會(huì)跟據(jù)多數(shù)原則選取正確的多數(shù)數(shù)據(jù)輸出而將故障輸出屏蔽。乘取結(jié)構(gòu)的安全計(jì)算機(jī)可看成是雙機(jī)熱備和二取二結(jié)構(gòu)結(jié)合的一種安全計(jì)算機(jī)結(jié)構(gòu)，具有雙機(jī)熱備結(jié)構(gòu)的強(qiáng)持續(xù)運(yùn)行能力、良好維護(hù)性，以及取結(jié)構(gòu)的全的優(yōu)點(diǎn)。乘取結(jié)構(gòu)由兩個(gè)通道組成，兩通道之間構(gòu)成熱備關(guān)系，通過切換控制單元控制兩者之間的主從切換，提高系統(tǒng)的可用性。單通道內(nèi)部是取的關(guān)系，兩臺(tái)安全計(jì)算機(jī)構(gòu)成取的安全結(jié)構(gòu)，確保系統(tǒng)的安全性。改進(jìn)的軌道信號(hào)安全計(jì)算機(jī)的具體設(shè)基于差異性原則的結(jié)構(gòu)設(shè)計(jì)目前市場上采用技術(shù)的控制計(jì)算機(jī)大多數(shù)都不具備故障安全”特性。而對(duì)于軌道交通信號(hào)控制領(lǐng)域，一旦計(jì)算機(jī)系統(tǒng)不能正常工作，就有可能向被控設(shè)備輸出危險(xiǎn)的控制信號(hào)，從而造成重大的人員傷亡和財(cái)產(chǎn)損失。所以要求信號(hào)控制系統(tǒng)是一種高可靠性、高安全性的系統(tǒng)。針對(duì)信號(hào)系統(tǒng)這樣的安全荀求系統(tǒng)，提高可靠性和安全性最直接辦法就是釆用硬件冗余結(jié)構(gòu)。而使用冗余結(jié)構(gòu)卻會(huì)加大共因失效的概率，共因失效是由于空間環(huán)境設(shè)計(jì)以及人因等方面的共同原