《计算机联锁系统构成方案-双机热备双软件方案介绍.doc》由会员分享,可在线阅读,更多相关《计算机联锁系统构成方案-双机热备双软件方案介绍.doc(6页珍藏版)》请在金锄头文库上搜索。
1、USSI的CBTC系统的可靠性及冗余可用性设计是基于USSI公司采用在其供应铁路和轨道交通产品及系统经验基础上形成的可靠性设计方法学。该方法学以及具体的可靠性的可维护性设计规则和程序详见本公司程序手册SG-5400A(硬件可靠性和可维护性设计规则)和SG-5400B(软件可靠性和可维护性设计规则)。USSI计算机联锁系统构成方案USSI的CBTC系统正线采用分布式联锁控制方式,分为若干联锁区。每个联锁区包括有岔站和无岔站,由位于设备集中站的联锁控制器Microlok II控制。典型联锁控制器的使用配置参见图1。其中图例说明:BS为骨干交换机, AS为接入交换机, LCW为现地工作站,MSW为维
2、护工作站。 图1 典型的联锁设备配置联锁控制器Microlok II专用于执行轨旁联锁逻辑的安全性功能。它通过安全型接口电路与轨旁设备接口,采集并控制其状态。与MicrolokII接口的轨旁设备包括本站及其联锁区内其它车站的信号机、转辙机、计轴主机、现地控制盘、紧急停车按钮、自动折返按钮、站台屏蔽门及区间隔断门等。与闭塞制式(移动闭塞或固定闭塞)无关,联锁控制器提供诸如“接近锁闭”、“进路锁闭”、“占用锁闭”和“运行方向锁闭”等基本功能。这些功能通过列车位置数据来实现,该数据来自相应的区域控制器。在以列车为中心的CBTC系统中,每辆列车的位置都被传送给区域控制器。区域控制器追踪所有在其控制区域
3、内列车的位置,即区域控制器与联锁控制器Microlok共同完成接近、进路、方向和转辙机锁闭功能。系统的结构允许装备CBTC的列车和未装备CBTC的列车(无车载CBTC ATP)安全地运行于同一系统。对于未装备CBTC的列车,其位置数据必须通过后备计轴系统来判定。而且,如果某辆列车的ATP设备出现故障,区域控制器无法知道该列车的位置,这时需要利用计轴设备来判定其位置。MicroLokII安全处理器是一个专为轨道交通安全应用而设计的基于微处理器的逻辑控制器,其基本功能是根据一个标准的执行程序和一个专为安全功能而设计的应用程序,来处理输入量并生成相应输出,达到控制安全联锁的功能。 图2 MicroL
4、okII外观MicroLok II的基本硬件是印刷电路板(PCB),主要包括以下设备:机柜,CPU板,安全 I/O板,电源板,PCB串口适配板,非安全 I/O板。MicroLok II联锁控制器包含全部联锁逻辑。联锁控制器的数字输出控制安全继电器,这些安全继电器的接点用于控制转辙机、信号机、屏蔽门等。每个联锁控制器都有一个唯一的IP地址,通过轨旁网络与区域控制器保持通信,并通过专用网络与相邻的联锁控制器保持通信。CBTC正常运作时,区域控制器向联锁控制器发出指令,弃用计轴系统的一定功能及计轴区段占用表示。这种配置的好处在于,如果区域控制器失效,系统还可通过每个现场联锁控制器的控制保持运行。US
5、SI联锁控制器的高可用冗余(实为2乘2结构)联锁控制器是一个安全逻辑处理器,除处理联锁逻辑之外,还提供故障安全二进制输入/输出管理。MicrolokII系统由单68322安全微处理器板控制,基于一个具有软件多样性和自诊断功能的特殊安全结构。与联锁设备的接口是由指定的I/O板(继电器,信号机等)处理的。每个Microlok II系统包括一个主单元和一个备用单元,一个用于正常运行,另一个备用。如果在线的系统出现故障,备用系统将自动转为在线系统。在线单元监控备用单元的状态,如果备用单元不可用,在线单元将向本站的MSW、控制中心及维修中心的维修工作站报警并显示。双线圈的输出继电器由来自2个不同机笼的输
6、出信号驱动。在线和备用单元之间的故障切换也能人工通过控制器上的一个硬件复位设备完成。一个特别单元的复位也能通过应用程序内的软件复位实现。USSI联锁控制器安全性设计原理(等同甚至超过2取2的安全性)MICROLOKII平台结合了“分集与自检”与“固有故障安全”两个安全原则。“分集与自检”是源远流长的安全原则,在美国联合道岔信号国际有限公司开发的所有安全系统中都有采用。“分集”指的是以不同的方式执行各个运算,“自检”指的是执行健康状态自我诊断以检验处理器乃至整个系统持续的健康状况。“分集”旨在通过使用不同的数据库和不同的算法进行两次运算,从而保证某一特定运算过程的结果的正确性。在执行第一次运算过
7、程中,运算数据将取自第一个数据库,并采用第一种算法进行结果计算。第二次运算将采用第二个数据库中的数据并采用第二种算法来计算结果。然后对两次运算的结果进行比较,如果发现结果不一致,则宣布存在系统错误,否则,继续执行正常处理。“分集”的概念又被称做“双路径”。同样,两个独立数据库的用法被称做“双存储”。注意不同的数据库或者是存储在不同的物理存储器(通过地址偏移,防止可致同一存储器被读取两次的硬件故障)之中,或者是以补码或编码的形式存储在同一物理存储器中,以防共态存储器故障。另外,算法过程也被及时分开执行,确保瞬时细微故障能被成功检测。这些概念参见下图3所示。 图3:双路径/双存储的分集概念一览自检
8、功能是通过一系列“分层”诊断实现的。处理器是否完好将依靠一套由可执行程序/应用软件正常运行时所用全部处理器运算方法所组成的指令集测试、主寄存器测试以及数据/地址总线等进行验证。系统中的主要硬件部件经过频繁监控和控制算法,确保硬件的完好性。比如,所有受激的安全输出将周期性地转换至“OFF/断开”状态一瞬间,然后通过监控电路进行复读,确保输出不至于固定在加电状态。其它例子还包括进行各个输入/输出组之间的断路试验,以及通过不同的三信道FSK信号处理电路完成测试信道互换以测试每一信道正常标准下的完好性。通过任务执行跟踪、校验计算器以及其它措施(将在后面章节论述)确保软件的正确执行。由于任何一种特定的诊
9、断方法不能确保检测出所有可能的故障模式,所以将采用分层诊断法。通过分层设置不同诊断方法,而每一种诊断方法具有不同的检出率,则可降低漏检共态故障的几率。1、高级框图图4所示为美国联合道岔信号国际有限公司(USSI)基于微处理器的一个典型系统的高级框图。该系统采用了“分集”和“自检”的概念,也就是其主要运算都以不同方法和不同的软件运算来完成,主要的系统硬件通过自检运算进行检测。仅当不同逻辑运算结果一致且自检未发现任何故障时才允许输出。该系统结合了安全硬件和非安全硬件以及可执行软件,这些软件在硬件内置的各种诊断器进行连续监控的过程中,采用双路径处理和双存储技术(分集),基于“部位特定”应用程序逻辑表
10、进行主要的运算。设备关键部分存在的任何故障都将导致受控系统返回至安全状态。一旦任何一个“分集”和“自检”程序检测出重大错误,CPS将收到断电信号,从而导致导致输出端缺电和系统关闭。此外,一旦处理器存在重大故障,它将不能维持“续电”信号,并再次导致系统关闭。CPS在设计上采用“固有故障安全”技术,并且不存在会因处理器未能发出续电信号而产生输出的任何故障模式。因此,在USSI公司的所有安全产品中还使用了另外了一个基本概念,即采取主动行动维持系统运行而规避任何关闭系统的行动(该概念被称之为“行动规避原则”)。由于要求一系列主动行动(如向CPS发送精确频率的信号),所以能保证系统正确运行。图4: US
11、SI 公司微处理器系统典型框图2、输出端控制每一输出装置受处理器控制并受一个向处理器提供反馈的电路所监控,从而确保所有输出都是处理器实际所要求的。同样,为检验反馈回路的完好性,输出将以一定周期循环执行。如果某一输出的正在被启动,处理器将关闭该输出一瞬间,然后通过接收监控器的响应来验证该请求的正确性。当某一输出正在被关闭,处理器将启动该输出一瞬间,然后通过接收监控器的响应来验证该请求的正确性。一旦验证失败,将导致系统关闭并复位。条件电源安全电路作用在于当且仅当内部诊断程序正确执行后产生安全时钟信号后向输出装置提供电源。诊断检测或系统校验失败将导致时钟信号终止,继而导致输出端供电终止。3、输入端控
12、制输出接口电路采用了控制原则与输出电路的控制原则相似。任何输入端去电之后将导致更为受限的情况(比如:轨道占用,红点或黑点信号等)。特定电路板上每一输入接口均通过闭路安全输入监控器的作用强制进入强受限状态。然后,输入端被读取并验证是否真正允许强制进入强受限状态,以此确保不发生输入接口电路故障从而导致弱受限状态的输入。4、处理器运算控制通过使用“分层”诊断软件持续监控处理器运算过程和非安全硬件的“健康”状态确保系统安全性。一旦检出故障,输出端供电将被终止,处理器将被置于“无限回路”状态。5、串行通信数据安全性微处理器之间交换串行数据必须以安全的模式进行,但是,由于所用编码/解码硬件和传输媒体不能设计成安全模式,微处理器只能使用既有的错误检测编码方案,保证微处理器之间串行数据交换获得较高的安全性。经独立安全性评估机构的评定,根据CENELEC(欧洲电工标准化委员会)标准EN 50128 和EN 50129的规定,MICROLOK II平台的综合安全性等级为4级,该平台的危险故障率小于10-11/小时。
