鐵路自動控制系統計算機聯鎖系統的研究

隨著計算機鎖技術的發展，計算機鎖作為信號設備，在鐵路信號控制系統的運行下得到了迅速發展。現在它已經開始發展，并已進入完善和改進，并逐步進入更高級別的智能控制。從總的發展趨勢看,計算機聯鎖必將逐步取代傳統的繼電聯鎖設備,這是科學技術進步的必然結果。要求計算機聯鎖系統與繼電聯鎖一樣具備故障-安全的功能,保證運輸生產安全,計算機聯鎖主要采用避錯技術和容錯技術來提高系統的可靠性,實現故障導向安全的。避錯技術就是采用高可靠性的芯片,以減少故障的概率,但是它不能保證系統絕對可靠,因為芯片可靠性的提高是有限度的,要想進一步提高系統的可靠性,就要用到容錯技術。容錯技術的基本出發點是承認故障不可避免的事實,進而考慮解除故障影響的措施。其主要手段是投入更多的資源,如硬件冗余、軟件冗余、時間冗余等,主要的是硬件冗余和軟件冗余。所謂冗余設計技術,是采用額外增加系統的硬件、軟件、信息和時間的冗余方式來掩蓋故障造成的影響,使系統中即使某部分發生故障,整個系統仍能正常工作。冗余設計是提高系統可靠性和安全性的有效途徑,它也是容錯技術的核心。本文就鐵路目前廣泛使用的計算機聯鎖系統的冗余方式及其安全性進行初步的探討。1.故障設計心理特征計算機聯鎖使用電子元件構成故障—安全電路時,必須考慮到元件級、門級、集成芯片級故障,并按照故障—安全原則進行設計。計算機聯鎖系統的硬件冗余涉及到了元件級、電路級、功能單元級、部件級和系統級五個級別之間的冗余。1.1冗余技術的基本概念1.1.1保證了系統的可靠性如圖1所示,模塊A和模塊B經或門輸出,兩個模塊只要有一個模塊正常輸出即可保證整個系統不停機,提高了系統工作的可靠性。在實際應用中,對安全性要求不高的處理人機對話信息的上位機一般采用可靠性冗余結構。1.1.2保證個模塊輸出的一致性如圖2所示,模塊A和模塊B經與門輸出,兩個模塊同步工作,只有兩個模塊輸出一致才能保證整個系統不停機,只要有一個模塊故障,系統將不能正常輸出。這樣,提高了系統工作的安全性,減少了危險側輸出的概率。在實際應用中,對安全性要求較高的聯鎖控制機采用安全性冗余結構。1.2雙機熱備系統1.2.1主機輸出熱壓圖中的A、B是兩臺完全相同的計算機,其中一臺處于在線運行狀態,它的輸出通過切換開關引向外部,稱之為主機;另一臺處于待命接替狀態,稱為備機。由故障檢測機構對系統的運行進行檢測,當主機運行發生故障時,通過控制切換開關切除主機,并將備用機狀態輸出。1.2.2備機假輸出雙機熱備是指主、備機輸入相同的信息,兩機同時獨立運行相同的程序,定期同步,主機經輸出口輸出,備機假輸出。系統運行前,先打開的聯鎖機為主機,當主機發生故障時,自動切換到備機輸出。這樣故障切換時,可不影響系統工作,理想的系統可以實現“無縫切換”。采用雙機熱備方式的計算機聯鎖系統,各子系統之間一般采用局域網的通信方式,為保證系統的通信及時可靠,一般均采用雙重冗余網絡結構。1.2.3模塊a無故障時的檢測,把兩個模塊都雙機熱備系統的核心是故障檢測環節。故障監測設備一般采用軟件和硬件結合的方式,比較法既是較為常見的故障監測的方式,如圖4所示。這種結構的基本思路是對兩個模塊的輸出進行比較,通過比較發現故障,再進一步判斷是哪一個模塊發生了故障,然后控制切換開關工作。當兩個模塊均無故障時,比較器輸出高電平“1”,使控制與門“1”導通,將模塊A的輸出作為系統的輸出。當某一模塊發生故障時,比較器輸出電平“0”,一次電平作為兩個模塊的中斷信號,使兩個模塊各自執行故障檢測程序,并給出相應的檢測信號。由無故障模塊的檢測信號使控制與門“1或2”導通,將無故障模塊的輸出作為系統的輸出。這種由雙機動態切換實現冗余的方式,稱為動態冗余。采用雙機動態冗余方式的關鍵是A、B機傳送給比較器的信息應當同時送到,因此,要求A、B機必須同步工作,只有同步才能及時交換信息。1.33、獲取2個系統1.3.1主機的結構框圖三機表決系統也稱三取二系統,如圖5所示是三機表決系統的結構框圖,系統共有A、B、C三個相同的主機,每個主機可以把它看成是系統中的一個模塊。三個模塊執行相同的操作,其輸出送到表決器的輸入端,將表決器的輸出作為系統的輸出。1.3.2承認“多數模塊的輸出是正確的”系統的輸入、CPU及輸出三大環節采用“三取二”模式,三機表決系統首先承認“多數模塊的輸出是正確的”,按照“少數服從多數”的原理,用三取二的表決結果作為系統的正確輸出,不存在不存在整機切換問題。這樣有一個模塊發生故障,不影響系統的輸出。可以屏蔽任一個模塊的故障對系統的影響。1.3.3靜態冗余技術三機表決系統是利用故障屏蔽技術組成的冗余結構,稱這種冗余方式為靜態冗余。所謂靜態冗余技術就是在故障效應達到模塊輸出之前,通過隔離或校正來消除它們的影響。通過冗余資源來隔離或校正故障,使故障不能在系統輸出中造成差錯,這種技術不能改變電路或系統的結構,所以稱為靜態冗余。它的基本原理是通過表決來隔離發生的故障。三機表決系統中,當某一模塊出現故障時,雖然可以被掩蓋過去,但系統已失去了容錯的能力。若不及時修復,當另一模塊再發生故障時,將使表決失誤。為此,三機表決系統必須具有故障檢測能力。如圖6所示是三機系統模塊故障檢測示意圖,檢測電路將系統最后的輸出與各模塊進行“異或”比較,不一致時輸出為“1”給出故障指示。這樣,可以發現故障機,并及時報警。要保證三機表決系統工作可靠,A、B、C三機必須同步工作,在系統軟件或硬件設計時,必須采取相應的措施,實現同步。1.42乘2取2系1.4.1雙系熱備及雙網冗余工作雙系外部接收點二乘二是指Ⅰ系、Ⅱ系每系分別有兩臺聯鎖計算機,取二是指取其中一系的兩臺聯鎖計算機作為最后的控制輸出。各系內部為二取二結構,雙系互為熱備;即聯鎖機及驅采機均為雙系(雙硬件體系)冗余工作,雙系中每一單系均包括雙套計算機實時校核工作。雙套系統嚴格同步,實時比較,每一單系中必須雙機工作一致才能對外輸出,實現全系統的高安全性。工作框圖見圖7所示。1.4.2系或系聯鎖控制單元Ⅰ系或Ⅱ系全部為三級二取二雙系冗余模式,確保系統出現硬件故障能保證系統不間斷運行;Ⅰ系或Ⅱ系中的聯鎖控制單元作為一個整體,如果有一個故障,則整系停止工作。兩重系有兩種工作方式:同步工作方式、模擬測試工作方式。同步工作方式:兩重系分別工作于主系和從系。模擬測試工作方式:兩重系分別工作,相互隔離。1.4.3實現兩個系聯鎖的同步系統采用軟硬件結合完成二取二表決的容錯機制和硬件完成雙機熱備的冗余機制來實現故障安全型計算機聯鎖系統。正常工作時,Ⅰ系、Ⅱ系的計算機全部處于工作狀態,兩系之間通過高速信息通道實時交換信息,實現兩系同步工作。Ⅰ系、Ⅱ系聯鎖計算機(每系兩臺)輸入相同的信息,執行同樣的程序,完成同樣的任務,每系的兩臺聯鎖計算機結果比較一致后,由其中一系作為最后的控制輸出,另一系作為備用。當工作系其中一臺計算機發生故障或者輸出結果比較不一致時,自動切換到從另一系作為控制輸出,且不影響系統的正常工作,故障系自動脫機。2.控制程序外在程序間相互獨立軟件冗余就是用幾種不同的軟件處理數據,對處理結果進行比較產生輸出。在結構上可按“比較”的范圍分2種,一種是把系統按功能劃分成小段,各段之間進行比較,另一種是采用幾個系統功能相同的軟件相比較,如圖8、9所示。這種軟件冗余關鍵在各個軟件的獨立性,相互獨立的程序,即使程序中可能存在故障,也可以通過表決將其屏蔽,如果程序間相互不獨立,故障可能同時存在于各個程序,則無法提高系統的可靠性。由于采用了幾種不同的相互獨立的處理軟件,因此防止了某種軟件由于設計錯誤而產生的故障,還可以屏蔽硬件的某些故障,確保了系統安全。最常見的是采用2種不同的軟件處理數據,同時結合硬件冗余共同提高系統的可靠性。例如,在二冗余系統中,主機和備機都采用2種軟件,平時主機工作,此時2種軟件同時對數據進行處理,對結果進行比較,如果