計算機聯(lián)鎖系統安全可靠性設計研究

　　聯(lián)鎖機是信號控制系統的核心，怎樣對計算機聯(lián)鎖系統安全可靠性設計?

　　【摘要】從計算機聯(lián)鎖系統在鐵路交通應用中的基本組成和基本功能著(zhù)手，根據影響計算機聯(lián)鎖系統安全可靠性的一些關(guān)鍵因素，分析了在研制開(kāi)發(fā)計算機聯(lián)鎖系統設備過(guò)程中所采用的改善和提高安全可靠性的幾種方法。

　　【關(guān)鍵詞】計算機聯(lián)鎖系統 安全可靠性 硬件 軟件

　　1 概述

　　計算機聯(lián)鎖系統的安全可靠性是研究、開(kāi)發(fā)、生產(chǎn)計算機聯(lián)鎖設備必須遵循的永恒的主題，也是驗證計算機聯(lián)鎖系統性能的主要依據。計算機聯(lián)鎖設備是一種連續工作的實(shí)時(shí)系統，它必須具有極高的安全性和可靠性才能適應鐵路運輸和城市軌道交通高效和安全的運營(yíng)要求。

　　其實(shí)汁算機聯(lián)鎖系統的安全性是指聯(lián)鎖設備在運行過(guò)程中無(wú)論發(fā)生什么故障都不能產(chǎn)生有可能危及列車(chē)安全運行的危險因素，一般著(zhù)重于在不正常的情況下使系統導向安全，防止產(chǎn)生危險后果;而可靠性是指聯(lián)鎖設備在規定的時(shí)間和規定的條件下完成規定功能的能力，一般側重于防止或減少系統發(fā)生故障。顯然，安全性的實(shí)現是以可靠性為基礎，并在提高可靠性的前提下完成的。為了系統地分析問(wèn)題，我們將把計算機聯(lián)鎖系統的安全性和可靠性結合在一起考慮，并著(zhù)重從系統的硬件設計、軟件設計和數據傳輸及處理等幾個(gè)方面采取各種綜合技術(shù)措施，使計算機聯(lián)鎖系統符合故障—一安全的原則。

　　2 硬件部分的安全可靠性分析

　　根據計算機聯(lián)鎖系統的結構組成和功能特點(diǎn)，硬件部分的安全可靠性技術(shù)從計算機聯(lián)鎖系統的上位機、聯(lián)鎖機和接口電路三個(gè)部分進(jìn)行分析。

　　2.1上位機安全可靠性分析

　　上位機主要功能是向聯(lián)鎖機構輸入操作信息，接受聯(lián)鎖機構輸出的反映設備工作狀態(tài)和行車(chē)作業(yè)情況的表示信息。為此上位機可采用經(jīng)國際安全機構認證的高可靠工業(yè)控制計算機，摒棄原商用機所采用的大母板結構，把原來(lái)的大底版(系統板)功能集中在一塊all--in--one插卡上，底板變成無(wú)源總線(xiàn)母板，增加了插槽數，便于系統的升級擴展。

　　采用的機箱結構具有良好的散熱、隔熱、防潮、防塵性能，驅動(dòng)器架采取避震措施，使整個(gè)機箱具有可靠的機械強度和很好的抗電磁干擾的能力;采用不問(wèn)斷供電及凈化的專(zhuān)用開(kāi)關(guān)電源，抗共模干擾，具有浪涌保護、過(guò)載保護、漏電保護的功能，單機設備的平均無(wú)故障工作時(shí)間可達到100000h。

　　計算機聯(lián)鎖系統的維修機和上位機的配置是一致的，平�？勺鳛樯衔粰C的熱備機，在系統故障時(shí)能夠進(jìn)行自動(dòng)無(wú)擾切換，切換過(guò)程不影響現場(chǎng)設備狀態(tài)，提高設備可靠性。

　　上位機的人機接口界面的設計使用先進(jìn)的工業(yè)控制軟件，使得系統的監控不僅具有友好的人機交互界面，而且具有豐富的圖形畫(huà)面顯示及圖形操作功能，調圖方式靈活，修改參數方便。在設計中，根據鐵路交通和城市軌道交通信號計算機聯(lián)鎖的特點(diǎn)，可以靈活運用登錄口令、操作員權限、安全設定點(diǎn)、設定點(diǎn)口令、安全審計跟蹤記錄等安全特性，確保聯(lián)鎖系統執行操作的安全可靠。

　　2.2聯(lián)鎖機安全可靠性分析

　　聯(lián)鎖機是信號控制系統的核心。在設計中，可選用國際安全機構認證的硬件三重冗余計算機聯(lián)鎖系統，用于實(shí)現聯(lián)鎖數據處理過(guò)程的故障—安全。所謂三重化冗余系統是指系統共有a、b、c三個(gè)相同的主機，每個(gè)主機可以把它看成系統中的一個(gè)模塊。三個(gè)模塊同時(shí)執行一致的操作，其輸出送到“表決器”的輸入端，然后把表決器的輸出作為系統的輸出。結果經(jīng)輸出設備三取二表決后進(jìn)行輸出，可以保證輸出的安全性。當其中一個(gè)聯(lián)鎖處理單元聯(lián)鎖邏輯單元故障時(shí)，系統能夠轉換為二取二工作方式，在不降低安全陛的前提下，使整體系統的可靠性得到提高。

　　采用三取二表決系統原本是為了提高系統的可靠性而采取的一種冗余系統。然而從安全性角度來(lái)看，若有兩個(gè)主機發(fā)生了同樣的故障，即共模故障，系統將輸出錯誤信息，經(jīng)接口驅動(dòng)后，有可能危及行車(chē)的安全。因此，必須消除軟硬件的設計錯誤，當主機的設計完全正確無(wú)誤時(shí)，僅由硬件失效和干擾而產(chǎn)生的共模故障的發(fā)生概率就很小。為了進(jìn)—步降低未檢出故障的組合而產(chǎn)生共模故障的可能性，可利用單機自檢技術(shù)、主機間互檢技術(shù)和雙套不同的軟件，擴大故障檢測范圍，消除因干擾而引起的影響。

　　為了保證三重化冗余系統能夠通過(guò)多數一致表決得到正確的結果和發(fā)現出錯的模塊，這就要求三臺微機必須同步工作。否則，整個(gè)系統便會(huì )出現紊亂狀態(tài)，多數一致表決無(wú)法進(jìn)行，系統無(wú)法保證正�？煽康墓ぷ�。

　　計算機聯(lián)鎖系統為保證安全可靠而采取的主要措施是：全面的在線(xiàn)自診斷和專(zhuān)門(mén)的安全檢查程序。這就要求系統在規定的周期內對計算機的運算器、存儲器、接口等元器件用一系列自診斷程序進(jìn)行全面自診，而安全檢查程序則對聯(lián)鎖程序任務(wù)模塊的運行狀態(tài)進(jìn)行監視，對關(guān)鍵信息代碼的合法性進(jìn)行檢查。在自診斷和專(zhuān)門(mén)的安全檢查中一旦發(fā)現故障，立即切斷計算機的輸出(同時(shí)報警)。在設計中必須采取有效的措施來(lái)確保：

　　(1)檢測過(guò)程本身應具有安全性，或采用相應硬件及軟件措施來(lái)實(shí)現安全性;

　　(2)檢測要要有足夠的頻率，使類(lèi)似或等同故障在二次檢測之間不會(huì )發(fā)生;

　　(3)檢測要足夠靈敏，能夠測出每個(gè)安全單元之中的重要故障;

　　(4)檢測失敗時(shí)應及時(shí)產(chǎn)生安全保護動(dòng)作;

　　(5)冗余裝置要足夠獨立，使之不受其他故障的影響。

　　例如在具體實(shí)施中，使輸出控制單元經(jīng)過(guò)表決后輸出，所有輸出進(jìn)行反饋檢查閉環(huán)控制;在輸出執行環(huán)節采用條件電源供電方法，當用實(shí)時(shí)檢測或實(shí)時(shí)比較技術(shù)發(fā)現聯(lián)鎖微機內部故障時(shí)，即使產(chǎn)生危險側的錯誤控制命令，通過(guò)強制切斷執行環(huán)節的條件電源，減少錯誤的控制命令輸出。

　　采用光電隔離技術(shù)，接點(diǎn)輸入電路要經(jīng)過(guò)光電耦合后力節目接至接口電路輸入輸出模塊，有效的抑制接點(diǎn)輸入電路的電磁干擾;采用靜態(tài)輸入或動(dòng)態(tài)輸入方式，以便有效的實(shí)現故障—安全原則。

　　在輸出接口的設計中，采用代碼—動(dòng)靜態(tài)和動(dòng)靜態(tài)—電平兩級變換電路;采用不間斷供電及凈化的專(zhuān)用電源，電源模塊內部設有雙重化電壓調整器及自診斷電路，可檢測電壓的輸出范圍與是否超溫并給出相應報警。

　　2.3 接口電路安全可靠性分析

　　由于一般繼電電路采用的重力式安全繼電器具有很高的安全性，在我國鐵路中運用了幾十年，為此計算機聯(lián)鎖系統的接口電路仍然以安全繼電器作為計算機聯(lián)鎖機構與室外設備控制電路的接口。我們知道安全繼電器通過(guò)以下技術(shù)實(shí)現故障—一安全：電氣接點(diǎn)采用特殊材料制作，使接點(diǎn)粘連的可能極小;采用吹弧技術(shù)，消除接點(diǎn)拉弧造成熔接;采用重力式設計原理，在繼電器故障時(shí)，利用其重力使銜鐵復位，從而保證實(shí)現系統的故障——安全的目的。

　　為此在計算機聯(lián)鎖系統中，信號、道岔、軌道電路等監控對象的狀態(tài)信息依然是用安全型繼電器的接點(diǎn)狀態(tài)來(lái)反映的，輸人接口的任務(wù)就是將這種電平形式的二值邏輯數據安全地采集到聯(lián)鎖機中來(lái)。

　　2.4 其他方面的安全可靠性分析

　　考慮計算機聯(lián)鎖系統硬件設備的其他方面的安全可靠性，對包括電源、計算機、數據通訊線(xiàn)路、輸人輸出接口、機架結構及地線(xiàn)設置等方面采取了電磁兼容設計和防雷設計，以保證在規定等級的運用環(huán)境中，設備必須正常工作，不產(chǎn)生任何指標下降和功能上非期望值的偏差。

　　3 軟件系統的安全可靠性分析

　　在計算機聯(lián)鎖控制系統里，各種復雜的功能主要依靠軟件來(lái)實(shí)現。嵌入在安全控制系統中的軟件，不僅要能完整地實(shí)現系統的控制功能，還要能保證實(shí)現系統在發(fā)生意外時(shí)的安全防護即故障—一安全功能。

　　一般在汁算機聯(lián)鎖控制系統中，普遍采用以下軟件技術(shù)來(lái)提高系統的安全可靠性：

　　(1)采用信息編碼技術(shù)，以便出錯時(shí)能被及時(shí)識別。例如，對于涉及行車(chē)安全的邏輯變量，用多元代碼來(lái)表示安全變量的兩個(gè)值—一安全側值和危險側值。這樣，當代碼在存儲或傳輸過(guò)程中，由于存儲器硬件故障或者外界干擾而發(fā)生畸變，一旦錯成非法碼時(shí)，就可由軟件自動(dòng)檢出并導向安全側。

　　(2)采用軟件冗余技術(shù)，保證軟件運行的安全性。

　　(3)采用軟件檢測技術(shù)及時(shí)發(fā)現故障，以進(jìn)一步采取措施防止危險側信息的發(fā)生和輸出。

　　(4)利用軟件對輸人數據的合理性進(jìn)行檢查，劉輸出的控制信息進(jìn)行反饋重復檢查等等。

　　圖1是一個(gè)從安全角度去考慮的計算機聯(lián)鎖系統的框圖，實(shí)際上也是計算機聯(lián)鎖系統的一個(gè)安全性模型，只是僅從保障安全的角度把計算機聯(lián)鎖系統描述成為一個(gè)典型的數據處理系統。對于計算機聯(lián)鎖系統來(lái)說(shuō)，保障安全就是保障框圖中的數據流和控制流這兩種信息處理的安全;退一步講，即便信息處理發(fā)生錯誤也不會(huì )導致危險的后果。

　　聯(lián)鎖機和外部設備的輸入/輸出信息具有兩種特性，—是開(kāi)關(guān)性;二是安全性。外部設備向聯(lián)鎖機提供的輸入信息具有開(kāi)關(guān)性。同樣，聯(lián)鎖機的輸出信息也具有開(kāi)關(guān)性，這種開(kāi)關(guān)性可由表示兩個(gè)狀態(tài)的器件如繼電器來(lái)反映。輸入/輸出信息的安全性是根據信息與行車(chē)安全的關(guān)系來(lái)界定的。一類(lèi)是與安全無(wú)關(guān)的信息，稱(chēng)作非安全信息;另一類(lèi)是與安全有關(guān)的信息，稱(chēng)作安全信息。

　　聯(lián)鎖機和監控對象之間交換的信息屬于安全信息，因此必須考慮當輸凡輸出通道發(fā)生故障時(shí)，一定要確保傳送信息的安全。為此，在通道設計上必須采用安全輸凡輸出接口。在cpu與輸入和輸出模塊間采用專(zhuān)用總線(xiàn)以保證傳送的正確性，對輸入電路采用光電隔離電路讀取。輸入值，以檢測“粘連”狀態(tài)，對各個(gè)輸出信號在提供給繼電器前進(jìn)行表決，不致因輸出模塊本身的故障而影響信息安全。一般在具體的系統設計中，可采取如下措施：

　　(1)安全信息的輸入：在計算機輸出每種信號設備狀態(tài)碼的第一位后，待輸出電平穩定(如20ms)，再將每種信號設備狀態(tài)碼的第一位讀入儲存，并立即輸出第二位代碼;讀入全部代碼后，經(jīng)計算機整理后再傳給每個(gè)對象的存儲模塊。

　　(2)安全信息的存儲與更新：計算機聯(lián)鎖中監視現場(chǎng)設備狀態(tài)的存儲單元，在宏觀(guān)上必須與被監視的對象建立不斷的聯(lián)系，當聯(lián)系中斷時(shí)，系統必須立即倒向安全。

　　(3)安全信息的運算：聯(lián)鎖條件滿(mǎn)足時(shí)，程序的走向和運算結果都是預知的。為了提高安全性和防止漏檢查聯(lián)鎖條件，在每次判斷條件成立后，將該條代碼進(jìn)行按位累加，聯(lián)鎖關(guān)系全部檢查正確時(shí)，其累加值應與預期結果相符。

　　(4)安全信息的輸出：計算機的開(kāi)關(guān)量的輸出是非故障安全的。為了保證安全，可對輸出環(huán)節進(jìn)行連續的監視，如出現不應有的危險側輸出，應快速地在現場(chǎng)設備未動(dòng)作前予以切斷。

　　(5)安全信息在計算機間的傳遞：為了符合信號系統的傳統做法，遵循故障安全的要求，在計算機聯(lián)鎖的設計時(shí)，應采用點(diǎn)對點(diǎn)的循環(huán)傳送方法，而不采用變化檢出、一次傳送的方法。

　　計算機聯(lián)鎖的串行數據在傳輸過(guò)程中，由于干擾而引起誤碼是難免的，在檢查數據位和冗余位之間的關(guān)系是否正確時(shí)，應著(zhù)重防止在傳輸中錯誤地出現危險側代碼。為了確保信息傳輸的安全可靠，一方面可以采用冗余度小、檢錯能力高的循環(huán)碼(crc)作為檢錯碼;另一方面就是在軟件編程時(shí)對傳輸的信息進(jìn)行特殊編碼，并以反饋重發(fā)方式糾錯。

　　根據編碼理論，利用n位二值碼元可生成一個(gè)具有2”種伏態(tài)的碼字或代碼的集合。在這2”種狀態(tài)的代碼組合當中，僅取一種狀態(tài)代表危險側碼字(例如用危險側碼字10101 010代表對應繼電器吸起)，再取另一種狀態(tài)代表安全側碼字(例如用安全側碼字01 010101代表對應繼電器落下)，其余的均認為是非法碼字，則這種代碼便具有典型的故障—一安全特性。由于非法碼字在正常的聯(lián)鎖運算時(shí)也被認做安全側碼字，故而該編碼組合僅有1種碼字對應危險側，其余2“—1種狀態(tài)均對應安全側。但在實(shí)際的運行中要真正能做到故障導向安全，還需對軟件編程的安全編碼進(jìn)行科學(xué)的分析和認真的考慮。

　　我們認為編碼中各個(gè)碼元發(fā)生差錯的概率是相同的且不同碼元發(fā)生差錯的事件是獨立的。假定每一碼元發(fā)生差錯的概率是"，則無(wú)差錯的概率即為1—p，此時(shí)整個(gè)代碼均無(wú)差錯的概率為(1—p)“。當選用編碼組合中碼距最大的一對代碼，即碼距等于n的—對代碼分別作為代表危險側和安全側的有效碼時(shí)，安全側代碼因故畸變成危險側代碼的條件是n個(gè)碼元同時(shí)出錯，其出錯概率為曠;而安全側代碼出錯變?yōu)榱硗庖粋�(gè)代碼的概率則為1—(1—p)，顯然這兩個(gè)概率有著(zhù)明顯的數量的不同，這就造成了編碼在故障或受到干擾情況下邏輯出錯的不對稱(chēng)性，假定2“種編碼中任一個(gè)發(fā)生畸變、出錯變?yōu)榱硗馊我粋�(gè)代碼的概率相同，均為p(c);此時(shí)，因危險側代碼只有—個(gè)，某一代碼錯為該代碼的概率即為戶(hù)(c)以上數值與目前國內外廣泛使用的信號安全型繼電器的不對稱(chēng)指數相比顯然是可以認可的;同時(shí)n取為16，恰好是計算機內存字節的整數，便于進(jìn)行軟件編程。根據鐵道部《計算機聯(lián)鎖技術(shù)條件》標準，與行車(chē)安全有關(guān)的信息在計算機內必須以空間冗余的方式存儲，在自由狀態(tài)下其非法碼字和合法碼字出現的比率或非安全側碼字和安全側碼字出現的比率必須大于255：1，上述規定中所謂空間冗余即意味著(zhù)必須用多余的信息位表示單一比特的信息，采用不對稱(chēng)碼元的方法表示涉安信息即為空間冗余方法之一。此外，自由狀態(tài)即指任一代碼發(fā)生畸變而成另一代碼相同概率p(c)的假設。該條件給出的具體數值則意味著(zhù)如采用不對稱(chēng)碼元，則所選代碼位至少為n：8�；�于這些原因，計算機聯(lián)鎖中選用16位代碼來(lái)表示聯(lián)鎖數據是可取的。經(jīng)過(guò)正確的合理編碼，完全可以保證編碼的漢明距大于4。

　　4 結 論

　　計算機聯(lián)鎖系統的安全可靠性是計算機聯(lián)鎖系統的關(guān)鍵，我們必須從系統的硬件設計、軟件設計和數據傳輸及處理等幾個(gè)方面采取各種綜合技術(shù)措施，才可使計算機聯(lián)鎖系統符合故障—一安全的原則。

　　綜合以上分析和考慮，并通過(guò)可估算和推導的數學(xué)方法進(jìn)行可靠性和安全性計算機聯(lián)鎖系統的安全可靠性指標：平均故障間隔時(shí)間mtbf為1x10h，平均危險側故障間隔時(shí)間mtbfas為1x10h，符合國家標準。

　　參考文獻

　　[1] 吳汶麟城市軌道交通信號與通信系統.北京：中國鐵道出版社，

　　[2] 吳芳美，鐵路安全軟件測試評估，北京：中國鐵道出版杜，2001

　　[3] 趙志熙.計算機聯(lián)鎖系統技術(shù)北京：中國鐵道出版社，1999

　　[4] tb/t3027--2002.計算機聯(lián)鎖技術(shù)條件

　　[5] tb/t2307--1992.電氣集中各種結合電路技術(shù)條件

　　[6]鐵路控制和防護系統軟件railwayapplication：softwareforrailwaycontrolandprotectionsystem，feburaryl994.en50128

　　[7]快路安全電子系統railwayappllcatlon：safetyrelatedelectronic，bn50129

【計算機聯(lián)鎖系統安全可靠性設計研究】相關(guān)文章：

計算機遠程控制系統的可靠性設計研究01-18

談?wù)動(dòng)嬎銠C網(wǎng)絡(luò )可靠性?xún)?yōu)化設計策略研究03-12

提高煤礦供電安全可靠性綜合措施研究11-24

硬齒面齒輪結構可靠性虛擬疲勞設計11-16

淺談?dòng)嬎銠C軟件可靠性設計的認識11-21

探析提高煤礦供電安全可靠性綜合措施研究論文03-12

安全儀表系統安全完整性等級評估技術(shù)研究提綱12-04

現代路橋設計研究03-28

結構疲勞壽命、可靠性可視化技術(shù)與虛擬疲勞設計02-21