計算機聯(lián)鎖系統(tǒng)安全可靠性設(shè)計淺析

摘要】從計算機聯(lián)鎖系統(tǒng)在鐵路交通應(yīng)用中的基本組成和基本功能著手，根據(jù)影響計算機聯(lián)鎖系統(tǒng)安全可靠性的一些關(guān)鍵因素，分析了在研制開發(fā)計算機聯(lián)鎖系統(tǒng)設(shè)備過程中所采用的改善和提高安全可靠性的幾種方法。

【關(guān)鍵詞】計算機聯(lián)鎖系統(tǒng) 安全可靠性 硬件 軟件

1 概述

計算機聯(lián)鎖系統(tǒng)的安全可靠性是研究、開發(fā)、生產(chǎn)計算機聯(lián)鎖設(shè)備必須遵循的永恒的主題，也是驗證計算機聯(lián)鎖系統(tǒng)性能的主要依據(jù)。計算機聯(lián)鎖設(shè)備是一種連續(xù)工作的實時系統(tǒng)，它必須具有極高的安全性和可靠性才能適應(yīng)鐵路運輸和城市軌道交通高效和安全的運營要求。

其實汁算機聯(lián)鎖系統(tǒng)的安全性是指聯(lián)鎖設(shè)備在運行過程中無論發(fā)生什么故障都不能產(chǎn)生有可能危及列車安全運行的危險因素，一般著重于在不正常的情況下使系統(tǒng)導向安全，防止產(chǎn)生危險后果；而可靠性是指聯(lián)鎖設(shè)備在規(guī)定的時間和規(guī)定的條件下完成規(guī)定功能的能力，一般側(cè)重于防止或減少系統(tǒng)發(fā)生故障。顯然，安全性的實現(xiàn)是以可靠性為基礎(chǔ)，并在提高可靠性的前提下完成的。為了系統(tǒng)地分析問題，我們將把計算機聯(lián)鎖系統(tǒng)的安全性和可靠性結(jié)合在一起考慮，并著重從系統(tǒng)的硬件設(shè)計、軟件設(shè)計和數(shù)據(jù)傳輸及處理等幾個方面采取各種綜合技術(shù)措施，使計算機聯(lián)鎖系統(tǒng)符合故障—一安全的原則。

2 硬件部分的安全可靠性分析

根據(jù)計算機聯(lián)鎖系統(tǒng)的結(jié)構(gòu)組成和功能特點，硬件部分的安全可靠性技術(shù)從計算機聯(lián)鎖系統(tǒng)的上位機、聯(lián)鎖機和接口電路三個部分進行分析。

2．1上位機安全可靠性分析

上位機主要功能是向聯(lián)鎖機構(gòu)輸入操作信息，接受聯(lián)鎖機構(gòu)輸出的反映設(shè)備工作狀態(tài)和行車作業(yè)情況的表示信息。為此上位機可采用經(jīng)國際安全機構(gòu)認證的高可靠工業(yè)控制計算機，摒棄原商用機所采用的大母板結(jié)構(gòu)，把原來的大底版(系統(tǒng)板)功能集中在一塊ALL--IN--ONE插卡上，底板變成無源總線母板，增加了插槽數(shù)，便于系統(tǒng)的升級擴展。

采用的機箱結(jié)構(gòu)具有良好的散熱、隔熱、防潮、防塵性能，驅(qū)動器架采取避震措施，使整個機箱具有可靠的機械強度和很好的抗電磁干擾的能力；采用不問斷供電及凈化的專用開關(guān)電源，抗共模干擾，具有浪涌保護、過載保護、漏電保護的功能，單機設(shè)備的平均無故障工作時間可達到100000h。

計算機聯(lián)鎖系統(tǒng)的維修機和上位機的配置是一致的，平?？勺鳛樯衔粰C的熱備機，在系統(tǒng)故障時能夠進行自動無擾切換，切換過程不影響現(xiàn)場設(shè)備狀態(tài)，提高設(shè)備可靠性。

上位機的人機接口界面的設(shè)計使用先進的工業(yè)控制軟件，使得系統(tǒng)的監(jiān)控不僅具有友好的人機交互界面，而且具有豐富的圖形畫面顯示及圖形操作功能，調(diào)圖方式靈活，修改參數(shù)方便。在設(shè)計中，根據(jù)鐵路交通和城市軌道交通信號計算機聯(lián)鎖的特點，可以靈活運用登錄口令、操作員權(quán)限、安全設(shè)定點、設(shè)定點口令、安全審計跟蹤記錄等安全特性，確保聯(lián)鎖系統(tǒng)執(zhí)行操作的安全可靠。

2．2聯(lián)鎖機安全可靠性分析

聯(lián)鎖機是信號控制系統(tǒng)的核心。在設(shè)計中，可選用國際安全機構(gòu)認證的硬件三重冗余計算機聯(lián)鎖系統(tǒng)，用于實現(xiàn)聯(lián)鎖數(shù)據(jù)處理過程的故障—安全。所謂三重化冗余系統(tǒng)是指系統(tǒng)共有A、B、c三個相同的主機，每個主機可以把它看成系統(tǒng)中的一個模塊。三個模塊同時執(zhí)行一致的操作，其輸出送到“表決器”的輸入端，然后把表決器的輸出作為系統(tǒng)的輸出。結(jié)果經(jīng)輸出設(shè)備三取二表決后進行輸出，可以保證輸出的安全性。當其中一個聯(lián)鎖處理單元聯(lián)鎖邏輯單元故障時，系統(tǒng)能夠轉(zhuǎn)換為二取二工作方式，在不降低安全陛的前提下，使整體系統(tǒng)的可靠性得到提高。

采用三取二表決系統(tǒng)原本是為了提高系統(tǒng)的可靠性而采取的一種冗余系統(tǒng)。然而從安全性角度來看，若有兩個主機發(fā)生了同樣的故障，即共模故障，系統(tǒng)將輸出錯誤信息，經(jīng)接口驅(qū)動后，有可能危及行車的安全。因此，必須消除軟硬件的設(shè)計錯誤，當主機的設(shè)計完全正確無誤時，僅由硬件失效和干擾而產(chǎn)生的共模故障的發(fā)生概率就很小。為了進—步降低未檢出故障的組合而產(chǎn)生共模故障的可能性，可利用單機自檢技術(shù)、主機間互檢技術(shù)和雙套不同的軟件，擴大故障檢測范圍，消除因干擾而引起的影響。

為了保證三重化冗余系統(tǒng)能夠通過多數(shù)一致表決得到正確的結(jié)果和發(fā)現(xiàn)出錯的模塊，這就要求三臺微機必須同步工作。否則，整個系統(tǒng)便會出現(xiàn)紊亂狀態(tài)，多數(shù)一致表決無法進行，系統(tǒng)無法保證正?？煽康墓ぷ?。

計算機聯(lián)鎖系統(tǒng)為保證安全可靠而采取的主要措施是：全面的在線自診斷和專門的安全檢查程序。這就要求系統(tǒng)在規(guī)定的周期內(nèi)對計算機的運算器、存儲器、接口等元器件用一系列自診斷程序進行全面自診，而安全檢查程序則對聯(lián)鎖程序任務(wù)模塊的運行狀態(tài)進行監(jiān)視，對關(guān)鍵信息代碼的合法性進行檢查。在自診斷和專門的安全檢查中一旦發(fā)現(xiàn)故障，立即切斷計算機的輸出(同時報警)。在設(shè)計中必須采取有效的措施來確保：

(1)檢測過程本身應(yīng)具有安全性，或采用相應(yīng)硬件及軟件措施來實現(xiàn)安全性；

(2)檢測要要有足夠的頻率，使類似或等同故障在二次檢測之間不會發(fā)生；

(3)檢測要足夠靈敏，能夠測出每個安全單元之中的重要故障；

(4)檢測失敗時應(yīng)及時產(chǎn)生安全保護動作；

(5)冗余裝置要足夠獨立，使之不受其他故障的影響。

例如在具體實施中，使輸出控制單元經(jīng)過表決后輸出，所有輸出進行反饋檢查閉環(huán)控制；在輸出執(zhí)行環(huán)節(jié)采用條件電源供電方法，當用實時檢測或?qū)崟r比較技術(shù)發(fā)現(xiàn)聯(lián)鎖微機內(nèi)部故障時，即使產(chǎn)生危險側(cè)的錯誤控制命令，通過強制切斷執(zhí)行環(huán)節(jié)的條件電源，減少錯誤的控制命令輸出。

采用光電隔離技術(shù)，接點輸入電路要經(jīng)過光電耦合后力節(jié)目接至接口電路輸入輸出模塊，有效的抑制接點輸入電路的電磁干擾；采用靜態(tài)輸入或動態(tài)輸入方式，以便有效的實現(xiàn)故障—安全原則。

在輸出接口的設(shè)計中，采用代碼—動靜態(tài)和動靜態(tài)—電平兩級變換電路；采用不間斷供電及凈化的專用電源，電源模塊內(nèi)部設(shè)有雙重化電壓調(diào)整器及自診斷電路，可檢測電壓的輸出范圍與是否超溫并給出相應(yīng)報警。

2．3 接口電路安全可靠性分析

由于一般繼電電路采用的重力式安全繼電器具有很高的安全性，在我國鐵路中運用了幾十年，為此計算機聯(lián)鎖系統(tǒng)的接口電路仍然以安全繼電器作為計算機聯(lián)鎖機構(gòu)與室外設(shè)備控制電路的接口。我們知道安全繼電器通過以下技術(shù)實現(xiàn)故障—一安全：電氣接點采用特殊材料制作，使接點粘連的可能極??；采用吹弧技術(shù)，消除接點拉弧造成熔接；采用重力式設(shè)計原理，在繼電器故障時，利用其重力使銜鐵復位，從而保證實現(xiàn)系統(tǒng)的故障——安全的目的。