鐵路自動控制系統(tǒng)計(jì)算機(jī)聯(lián)鎖系統(tǒng)的研究

鐵路自動控制系統(tǒng)計(jì)算機(jī)聯(lián)鎖系統(tǒng)的研究

隨著計(jì)算機(jī)鎖技術(shù)的發(fā)展，計(jì)算機(jī)鎖作為信號設(shè)備，在鐵路信號控制系統(tǒng)的運(yùn)行下得到了迅速發(fā)展。現(xiàn)在它已經(jīng)開始發(fā)展，并已進(jìn)入完善和改進(jìn)，并逐步進(jìn)入更高級別的智能控制。從總的發(fā)展趨勢看,計(jì)算機(jī)聯(lián)鎖必將逐步取代傳統(tǒng)的繼電聯(lián)鎖設(shè)備,這是科學(xué)技術(shù)進(jìn)步的必然結(jié)果。要求計(jì)算機(jī)聯(lián)鎖系統(tǒng)與繼電聯(lián)鎖一樣具備故障-安全的功能,保證運(yùn)輸生產(chǎn)安全,計(jì)算機(jī)聯(lián)鎖主要采用避錯(cuò)技術(shù)和容錯(cuò)技術(shù)來提高系統(tǒng)的可靠性,實(shí)現(xiàn)故障導(dǎo)向安全的。避錯(cuò)技術(shù)就是采用高可靠性的芯片,以減少故障的概率,但是它不能保證系統(tǒng)絕對可靠,因?yàn)樾酒煽啃缘奶岣呤怯邢薅鹊?要想進(jìn)一步提高系統(tǒng)的可靠性,就要用到容錯(cuò)技術(shù)。容錯(cuò)技術(shù)的基本出發(fā)點(diǎn)是承認(rèn)故障不可避免的事實(shí),進(jìn)而考慮解除故障影響的措施。其主要手段是投入更多的資源,如硬件冗余、軟件冗余、時(shí)間冗余等,主要的是硬件冗余和軟件冗余。所謂冗余設(shè)計(jì)技術(shù),是采用額外增加系統(tǒng)的硬件、軟件、信息和時(shí)間的冗余方式來掩蓋故障造成的影響,使系統(tǒng)中即使某部分發(fā)生故障,整個(gè)系統(tǒng)仍能正常工作。冗余設(shè)計(jì)是提高系統(tǒng)可靠性和安全性的有效途徑,它也是容錯(cuò)技術(shù)的核心。本文就鐵路目前廣泛使用的計(jì)算機(jī)聯(lián)鎖系統(tǒng)的冗余方式及其安全性進(jìn)行初步的探討。1.故障設(shè)計(jì)心理特征計(jì)算機(jī)聯(lián)鎖使用電子元件構(gòu)成故障—安全電路時(shí),必須考慮到元件級、門級、集成芯片級故障,并按照故障—安全原則進(jìn)行設(shè)計(jì)。計(jì)算機(jī)聯(lián)鎖系統(tǒng)的硬件冗余涉及到了元件級、電路級、功能單元級、部件級和系統(tǒng)級五個(gè)級別之間的冗余。1.1冗余技術(shù)的基本概念1.1.1保證了系統(tǒng)的可靠性如圖1所示,模塊A和模塊B經(jīng)或門輸出,兩個(gè)模塊只要有一個(gè)模塊正常輸出即可保證整個(gè)系統(tǒng)不停機(jī),提高了系統(tǒng)工作的可靠性。在實(shí)際應(yīng)用中,對安全性要求不高的處理人機(jī)對話信息的上位機(jī)一般采用可靠性冗余結(jié)構(gòu)。1.1.2保證個(gè)模塊輸出的一致性如圖2所示,模塊A和模塊B經(jīng)與門輸出,兩個(gè)模塊同步工作,只有兩個(gè)模塊輸出一致才能保證整個(gè)系統(tǒng)不停機(jī),只要有一個(gè)模塊故障,系統(tǒng)將不能正常輸出。這樣,提高了系統(tǒng)工作的安全性,減少了危險(xiǎn)側(cè)輸出的概率。在實(shí)際應(yīng)用中,對安全性要求較高的聯(lián)鎖控制機(jī)采用安全性冗余結(jié)構(gòu)。1.2雙機(jī)熱備系統(tǒng)1.2.1主機(jī)輸出熱壓圖中的A、B是兩臺完全相同的計(jì)算機(jī),其中一臺處于在線運(yùn)行狀態(tài),它的輸出通過切換開關(guān)引向外部,稱之為主機(jī);另一臺處于待命接替狀態(tài),稱為備機(jī)。由故障檢測機(jī)構(gòu)對系統(tǒng)的運(yùn)行進(jìn)行檢測,當(dāng)主機(jī)運(yùn)行發(fā)生故障時(shí),通過控制切換開關(guān)切除主機(jī),并將備用機(jī)狀態(tài)輸出。1.2.2備機(jī)假輸出雙機(jī)熱備是指主、備機(jī)輸入相同的信息,兩機(jī)同時(shí)獨(dú)立運(yùn)行相同的程序,定期同步,主機(jī)經(jīng)輸出口輸出,備機(jī)假輸出。系統(tǒng)運(yùn)行前,先打開的聯(lián)鎖機(jī)為主機(jī),當(dāng)主機(jī)發(fā)生故障時(shí),自動切換到備機(jī)輸出。這樣故障切換時(shí),可不影響系統(tǒng)工作,理想的系統(tǒng)可以實(shí)現(xiàn)“無縫切換”。采用雙機(jī)熱備方式的計(jì)算機(jī)聯(lián)鎖系統(tǒng),各子系統(tǒng)之間一般采用局域網(wǎng)的通信方式,為保證系統(tǒng)的通信及時(shí)可靠,一般均采用雙重冗余網(wǎng)絡(luò)結(jié)構(gòu)。1.2.3模塊a無故障時(shí)的檢測,把兩個(gè)模塊都雙機(jī)熱備系統(tǒng)的核心是故障檢測環(huán)節(jié)。故障監(jiān)測設(shè)備一般采用軟件和硬件結(jié)合的方式,比較法既是較為常見的故障監(jiān)測的方式,如圖4所示。這種結(jié)構(gòu)的基本思路是對兩個(gè)模塊的輸出進(jìn)行比較,通過比較發(fā)現(xiàn)故障,再進(jìn)一步判斷是哪一個(gè)模塊發(fā)生了故障,然后控制切換開關(guān)工作。當(dāng)兩個(gè)模塊均無故障時(shí),比較器輸出高電平“1”,使控制與門“1”導(dǎo)通,將模塊A的輸出作為系統(tǒng)的輸出。當(dāng)某一模塊發(fā)生故障時(shí),比較器輸出電平“0”,一次電平作為兩個(gè)模塊的中斷信號,使兩個(gè)模塊各自執(zhí)行故障檢測程序,并給出相應(yīng)的檢測信號。由無故障模塊的檢測信號使控制與門“1或2”導(dǎo)通,將無故障模塊的輸出作為系統(tǒng)的輸出。這種由雙機(jī)動態(tài)切換實(shí)現(xiàn)冗余的方式,稱為動態(tài)冗余。采用雙機(jī)動態(tài)冗余方式的關(guān)鍵是A、B機(jī)傳送給比較器的信息應(yīng)當(dāng)同時(shí)送到,因此,要求A、B機(jī)必須同步工作,只有同步才能及時(shí)交換信息。1.33、獲取2個(gè)系統(tǒng)1.3.1主機(jī)的結(jié)構(gòu)框圖三機(jī)表決系統(tǒng)也稱三取二系統(tǒng),如圖5所示是三機(jī)表決系統(tǒng)的結(jié)構(gòu)框圖,系統(tǒng)共有A、B、C三個(gè)相同的主機(jī),每個(gè)主機(jī)可以把它看成是系統(tǒng)中的一個(gè)模塊。三個(gè)模塊執(zhí)行相同的操作,其輸出送到表決器的輸入端,將表決器的輸出作為系統(tǒng)的輸出。1.3.2承認(rèn)“多數(shù)模塊的輸出是正確的”系統(tǒng)的輸入、CPU及輸出三大環(huán)節(jié)采用“三取二”模式,三機(jī)表決系統(tǒng)首先承認(rèn)“多數(shù)模塊的輸出是正確的”,按照“少數(shù)服從多數(shù)”的原理,用三取二的表決結(jié)果作為系統(tǒng)的正確輸出,不存在不存在整機(jī)切換問題。這樣有一個(gè)模塊發(fā)生故障,不影響系統(tǒng)的輸出。可以屏蔽任一個(gè)模塊的故障對系統(tǒng)的影響。1.3.3靜態(tài)冗余技術(shù)三機(jī)表決系統(tǒng)是利用故障屏蔽技術(shù)組成的冗余結(jié)構(gòu),稱這種冗余方式為靜態(tài)冗余。所謂靜態(tài)冗余技術(shù)就是在故障效應(yīng)達(dá)到模塊輸出之前,通過隔離或校正來消除它們的影響。通過冗余資源來隔離或校正故障,使故障不能在系統(tǒng)輸出中造成差錯(cuò),這種技術(shù)不能改變電路或系統(tǒng)的結(jié)構(gòu),所以稱為靜態(tài)冗余。它的基本原理是通過表決來隔離發(fā)生的故障。三機(jī)表決系統(tǒng)中,當(dāng)某一模塊出現(xiàn)故障時(shí),雖然可以被掩蓋過去,但系統(tǒng)已失去了容錯(cuò)的能力。若不及時(shí)修復(fù),當(dāng)另一模塊再發(fā)生故障時(shí),將使表決失誤。為此,三機(jī)表決系統(tǒng)必須具有故障檢測能力。如圖6所示是三機(jī)系統(tǒng)模塊故障檢測示意圖,檢測電路將系統(tǒng)最后的輸出與各模塊進(jìn)行“異或”比較,不一致時(shí)輸出為“1”給出故障指示。這樣,可以發(fā)現(xiàn)故障機(jī),并及時(shí)報(bào)警。要保證三機(jī)表決系統(tǒng)工作可靠,A、B、C三機(jī)必須同步工作,在系統(tǒng)軟件或硬件設(shè)計(jì)時(shí),必須采取相應(yīng)的措施,實(shí)現(xiàn)同步。1.42乘2取2系1.4.1雙系熱備及雙網(wǎng)冗余工作雙系外部接收點(diǎn)二乘二是指Ⅰ系、Ⅱ系每系分別有兩臺聯(lián)鎖計(jì)算機(jī),取二是指取其中一系的兩臺聯(lián)鎖計(jì)算機(jī)作為最后的控制輸出。各系內(nèi)部為二取二結(jié)構(gòu),雙系互為熱備;即聯(lián)鎖機(jī)及驅(qū)采機(jī)均為雙系(雙硬件體系)冗余工作,雙系中每一單系均包括雙套計(jì)算機(jī)實(shí)時(shí)校核工作。雙套系統(tǒng)嚴(yán)格同步,實(shí)時(shí)比較,每一單系中必須雙機(jī)工作一致才能對外輸出,實(shí)現(xiàn)全系統(tǒng)的高安全性。工作框圖見圖7所示。1.4.2系或系聯(lián)鎖控制單元Ⅰ系或Ⅱ系全部為三級二取二雙系冗余模式,確保系統(tǒng)出現(xiàn)硬件故障能保證系統(tǒng)不間斷運(yùn)行;Ⅰ系或Ⅱ系中的聯(lián)鎖控制單元作為一個(gè)整體,如果有一個(gè)故障,則整系停止工作。兩重系有兩種工作方式:同步工作方式、模擬測試工作方式。同步工作方式:兩重系分別工作于主系和從系。模擬測試工作方式:兩重系分別工作,相互隔離。1.4.3實(shí)現(xiàn)兩個(gè)系聯(lián)鎖的同步系統(tǒng)采用軟硬件結(jié)合完成二取二表決的容錯(cuò)機(jī)制和硬件完成雙機(jī)熱備的冗余機(jī)制來實(shí)現(xiàn)故障安全型計(jì)算機(jī)聯(lián)鎖系統(tǒng)。正常工作時(shí),Ⅰ系、Ⅱ系的計(jì)算機(jī)全部處于工作狀態(tài),兩系之間通過高速信息通道實(shí)時(shí)交換信息,實(shí)現(xiàn)兩系同步工作。Ⅰ系、Ⅱ系聯(lián)鎖計(jì)算機(jī)(每系兩臺)輸入相同的信息,執(zhí)行同樣的程序,完成同樣的任務(wù),每系的兩臺聯(lián)鎖計(jì)算機(jī)結(jié)果比較一致后,由其中一系作為最后的控制輸出,另一系作為備用。當(dāng)工作系其中一臺計(jì)算機(jī)發(fā)生故障或者輸出結(jié)果比較不一致時(shí),自動切換到從另一系作為控制輸出,且不影響系統(tǒng)的正常工作,故障系自動脫機(jī)。2.控制程序外在程序間相互獨(dú)立軟件冗余就是用幾種不同的軟件處理數(shù)據(jù),對處理結(jié)果進(jìn)行比較產(chǎn)生輸出。在結(jié)構(gòu)上可按“比較”的范圍分2種,一種是把系統(tǒng)按功能劃分成小段,各段之間進(jìn)行比較,另一種是采用幾個(gè)系統(tǒng)功能相同的軟件相比較,如圖8、9所示。這種軟件冗余關(guān)鍵在各個(gè)軟件的獨(dú)立性,相互獨(dú)立的程序,即使程序中可能存在故障,也可以通過表決將其屏蔽,如果程序間相互不獨(dú)立,故障可能同時(shí)存在于各個(gè)程序,則無法提高系統(tǒng)的可靠性。由于采用了幾種不同的相互獨(dú)立的處理軟件,因此防止了某種軟件由于設(shè)計(jì)錯(cuò)誤而產(chǎn)生的故障,還可以屏蔽硬件的某些故障,確保了系統(tǒng)安全。最常見的是采用2種不同的軟件處理數(shù)據(jù),同時(shí)結(jié)合硬件冗余共同提高系統(tǒng)的可靠性。例如,在二冗余系統(tǒng)中,主機(jī)和備機(jī)都采用2種軟件,平時(shí)主機(jī)工作,此時(shí)2種軟件同時(shí)對數(shù)據(jù)進(jìn)行處理,對結(jié)果進(jìn)行比較,如果