新一代计算机联锁系统关键技术研究论文论文

新一代计算机联锁系统关键技术研究论文论文 上海交通大学工程硕士研究生学位论文 摘要 计算机联锁系统是应用在铁路信号控制领域 直接控制车站的道岔 信号 机与轨道区段 并且实现三者之间的联锁关系 用以保障行车安全和提高运输 效率的控制系统 要求具有极高的安全性和可靠性 目前随着我国铁路的跨越 式发展与高速铁路的车站信号控制要求 迫切需要国内研发单位在消化吸收国 外计算机联锁先进技术的基础上 研制符合中国国情具有高可靠性与高安全性 的新一代计算机联锁系统设备 本文设计了一种结构全新的新一代国产二乘二取二计算机联锁系统 深入 研究了系统安全性 可靠性 并给出了系统的实现方法及详细的软硬件解决方 案 论文的主要研究内容如下 首先 本文分析比较了三种常用计算机联锁系统冗余结构 双击热备型 三取二型与二乘二取二型 的优缺点 并且用马尔柯夫方法提出了三种系统的 最后选 MATLAB 仿真比较分析了三种结构的可靠性与安全Markov 模型 用 性 取了高可靠性 高安全性与高灵活性的二乘二取二系统作为新一代计算机联锁 系统的体系结构 其次 按照新一代计算机联锁系统的层次结构详细设计了操作表示层 联 锁逻辑控制层与采集驱动层的硬件结构 最后提出了整个系统的总体硬件结构 然后在以往科研工作的基础上 设计了联锁软件的总体模块结构 其中重点介 绍了联锁运算软件的结构与设计特点 最后 介绍了新一代计算机联锁系统可以很容易的通过远程光缆通信系统 扩展为区域计算机联锁系统 介绍了新一代计算机联锁系统与分散自律调度集 中 CTC 系统结合的两种结构方式 本论文对我国铁路下一代计算机联锁系统的体系结构选择进行了探讨 指 出二乘二取二系统是我们的发展方向 对新一代二乘二取二计算机联锁系统给 出了软硬件设计 对于开展新一代计算机联锁系统的具体研究具有积极的 指导意义 关键词 计算机联锁 双机热备 三模冗余 二乘二取二 安全性 可靠性 I 上海交通大学工程硕士研究生学位论文 Abstract The computer-based Interlocking system (CIS) is used in the railway signal field to straitly control the switchs signals and track circuit of station ,to realize the interlocking relation of the three former, and to ensure the travelling safety and improve the transportation efficiency, The security and reliability of the CIS is vital. Along with the Great - leap - forward development of the railway of our country and station signal control request of highspeed railway at present, our research institutes are told urgently to develop a new generation CIS equipment adapting to the Chinese situation with high security and reliability on the base of absorbing the advanced overseas technology. In the thesis, a double duplicated modular redundancy (DDMR) CIS with new structure is designed. The system security, reliability and the system realization methods are studied deeply, and the sketch of hardware and software is given in detail.In the thesis, research is focused on the followings First,in the thesis ,we study and compare the advantage and disadvantage of three familiar redundance architecture CIS (Double redundancy Triplicated modular redundancy and DDMR). Using Markov method ,we offer one’s Markov module of every architecture, and using Matlab software ,we simulate and compare reliability and security of three architecture.At last, we choose DDMR as our new generation CIS architecture. Second,according to the layered structure of new generationg CIS ,we design the operation /representation layer interlocking logical control layer and collection/ drive layer,and offer integrate architecture of entire DDMR system. Based on the former work,we give the whole module structure of interlocking sofware,In it,we stress the structure and characteristic of interlocking operation software. Third,we intruduce that the new generation CIS can expand easily as field CIS by remote optical cable communication system, and we introduce two combination method of new DDMR CIS and CTC. In the thesis,we discuss the achitecture of new generation CIS,and indicate that DDMR is our direction of development;we give the hardware and software design plan of new generation DDMR CIS,it has active guiding significance for concrete research of new generation CIS. Computer-based interlocking,Double redundancy,Triplicated modular KeyWords redundancy,Double duplicated modular redundancy, security, reliability II 附件四 上海交通大学 学位论文原创性声明 本人郑重声明 所呈交的学位论文 是本人在导师的指导下 独立进行研究工作所取得的成果 除文中已经注明引用的内容外 本 论文不包含任何其他个人或集体已经发表或撰写过的作品成果 对本 文的研究做出重要贡献的个人和集体 均已在文中以明确方式标明 本人完全意识到本声明的法律结果由本人承担 学位论文作者签名 李毅力 日期 2005 年 6 月 6 日 1 附件五 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留 使用学位论文的规 定 同意学校保留并向国家有关部门或机构送交论文的复印件和电子 版 允许论文被查阅和借阅 本人授权上海交通大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索 可以采用影印 缩印 或扫描等复制手段保存和汇编本学位论文 保密 在 年解密后适用本授权书 本学位论文属于 不保密 请在以上方框内打 学位论文作者签名 李毅力 指导教师签名 胡越明 日期 2005 年 6 月 6 日 日期 2005 年 6 月 6 日 2 上海交通大学工程硕士研究生学位论文 第 1 章 绪论 1.1 计算机联锁系统概述 铁路车站信号联锁系统是用来控制站内的道岔 信号机与进路并实现三者 之间的联锁关系的实时控制系统 长期以来我国铁路主要采用继电式电气集中 联锁作为车站信号的控制设备 在保障行车安全 提高运输效率 改善劳动条 [1~4] 件等方面都起着非常重要的作用 以上仍 目前全路 6000 余车站 其中 80 采用继电式电气集中联锁系统 控制技术 电子技术 随着通信技术 网络技术 上世纪 70 年代末以来 计算机软硬件技术 仿真技术 人工智能技术的快速发展 车站信号计算机联 锁系统应运而生 它利用计算机技术和通信技术来控制铁路车站 包括编组站 的到达场 出发场 编尾 的信号设备 完成信号机 道岔和轨道区段三者之 可靠性高 设计施工周期短 扩缩方便 能 间的联锁 具有体积小 重量轻 够实现动作记录和故障诊断功能 操作方便省力 维修方便等优点 到目前为止研制 我国的计算机联锁系统的研发起步于上世纪 80 年代中期 与开发工作取得了重大成果 其中 基于双机热备动态冗余技术的计算机联锁 技术已基本成熟 该两种系 基于三模冗余技术的计算机联锁技术也发展迅速 统均已在全路大面积推广运用 就已开通车站的使用情况来看 设备运行情况 和用户使用反映情况普遍良好 数年来从未因计算机联锁系统设备而影响行车 安全 技术和经济 因此计算机联锁系统在我国铁路上的应用具有重大的社会 意义 特别是在铁路运输自动化方面的应用 不仅能提高运输能力 提高运营 管理水平 减少维修工作量 计 而且能迅速适应于现代化铁路运输业的发展 不久的将来计算机联锁系 算机联锁系统已成为铁路车站集中装置的发展方向 统必将逐渐取代继电联锁装置 1.2 计算机联锁系统的现状与发展 1.2.1 国外车站计算机联锁系统的应用现状 1978 年世界第一个计算机联锁系统在瑞典哥德堡问世 从 20 世纪 80 年代 起各国竞相研究开发计算机联锁系统 并取得了显著的成绩 在瑞典 德国 美国 英国 法国 日本等国家应用车站计算机联锁系统已经有二十余年的历 [6] 史 并取得了令人瞩目的社会经济效益和计算机联锁系统的设计经验 其中 具有代表性的是 采用双机热备动 瑞典Adtranz公司研制的EBILOCK 750 850 950系统 态冗余方式提高可靠性 每个联锁主机运行双套软件比较方式 比较 一致才能使执行元件执行控制命令 以实现故障 安全 采用三取二表决系统 英国Westinghouse公司研制的SSI系统 TMR 的模式 德国西门子公司研制的SIMIS系统(适用于控制范围较大 联锁条件较 复杂的铁路车站) SICAS系统(适用于联锁条件较为简单的城市轨道交 1 上海交通大学工程硕士研究生学位论文 通) 为三取二冗余结构 法国Alcate SEL公司研制的SELMIST系统 京三公司 日信公司合作开发 日本在1980年由铁路综合技术研究所 生产了由三重冗余微计算机组成的计算机联锁装置 1985年实际投入 使用的JR东日本的南古谷车库的计算机联锁装置是日本第一台计算机 联锁装置 现在日本的联锁系统多采用二乘二取二体系结构 如日本 京三公司的K5系列联锁系统 日本信号株式会社的EI32联锁系统等 7 美国GRS公司研制的VPI系统与US&S公司的MICROLOCK电子联锁系 统 均为双机热备系统 为三取二冗 意大利安萨尔多ANSALDO公司的ACC计算机联锁系统 余系统 西班牙的以英国 Westinghouse 为主 联合美国的 Safetran 公司 Dimetroni 公司共同研制的 Westrace 系统 如日本 英国制定 90 年代起很多国家已开始大面积推广计算机联锁系统 技术政策 不再发展继电联锁 而由计算机联锁取代 计 经过 20 多年的发展 算机联锁技术在发达国家已发展成为完善成熟的技术 计算机联锁由面向工程 技术研究转向以面向服务为中心 其应用现状总体上可归纳为以下几方面 通过软件 硬件容错 (1)计算机联锁制式主要由三取二和二乘二取二两种 技术提高计算机联锁系统的可靠性 安全性 可维护性 双机热备系统已经淘 汰 比如 快速计算能力 高速率数据交 (2)计算机联锁系统的性能逐渐提高 换的通信能力 以适应高速铁路和综合化信号控制系统的要求 采用计算机软 硬件技术 开发功能非常完善和强大 (3)面向工程和服务 并从制度和设备上建立完善的维修体系和仿真检测体系 的 CAD 系统 推广使用全电子模块化的计算机联锁系统 使计算机联锁系 (4)积极发展 统具有开放式结构 并且更加小型化 智能化 采用先进的计算机通信技术 成功发展分布式 (5)以旅客营业系统为中心 分层处理的综合信号控制系统和运营管理系统 计算机联锁不仅仅是一个特定 的车站的控制系统 而逐渐演变成综合行车指挥系统的一个重要的基础设备 实现集中联锁分散控制的区域计算机联 (6)通过分布式结构扩大控制范围 锁系统 使计算机联锁系统网络化 实现信号机 道岔 轨道电路联锁关系 (7)计算机联锁系统功能逐渐扩大 而直接控制信号设备是计算机联锁系统的基本功能 通过系统集成 将车站和 区间设备一体化 由计算机联锁系统代替继电器节点逻辑控制方式提供丰富的 列车控制信息 在车站由计算机联锁系统完成对电码化控制信息的逻辑处理 通过计算机联锁系统实现站内进路电码化 由这两种方式组合而成的联锁 列 控一体化综合系统 在日本 德国 法国等国家均得到成功应用 比如 于 2002 年 12 月开通的日本东北新干线盛岗-八户段数字 ATC 地面设备 包括列控联锁 一体化系统局域网(SAINT-LAN) 列控联锁一体化系统逻辑部(SAINT) 1.2.2 计算机联锁系统在国内的应用和研究状况 国内对计算机联锁系统的研究开始于 20 世纪 80 年代 进入 90 年代后 随着与发达国家在计算机联锁技术上的交流增多和计算机技术的发展 计算机 联锁进入快速发展阶段 铁科院通号所 通号公司设计院 北京交大微联公司 2 上海交通大学工程硕士研究生学位论文 卡斯柯信号有限公司等单位相继开发出具有不同特点的单机 双机热备 采用 国外硬件的三取二和二乘二取二等计算机联锁系统 其中具有代表性的是 铁道部科学研究院通号所的 TYJL-II 双击热备型与 TYJL-TR9 与 TYJL-TR2000 三取二型计算机联锁系统 6,7,8 通号公司研究设计院计算机所的 DS6-11 双机热备型 DS6-20 三取二 型 DS6-K5B 二乘二取二型计算机联锁系统 北京交大微联公司的 JD-1A 双机热备型与 EI32-JD 型计算机联锁系 统 卡斯柯公司的 VPI 安全型计算机联锁系统 至目前 全国铁路共装备了计算机联锁系统七百余车站(场) 在铁道部 十 五 科技发展技术政策中明确规定要积极发展计算机联锁 在此期间 车站计 算机联锁系统获得了更快的发展 计算机联锁可靠性 安全性进一步提高 进 入了以技术为依托 面向市场和服务 从实现功能到完善拓展功能 从单站联 5 锁到一体化 电码化等扩大应用的新的发展阶段 国内应用现状总体上可归 纳为以下几方面 铁路相关人员和单位对计算机联 (1)随着计算机联锁系统大面积推广使用 锁的认识逐渐深入 计算机联锁系统已经被广为接受 为计算机联锁系统的发 展奠定了扎实的市场基础 安全性 可维护性 可用性等越来越高 (2)计算机联锁系统本身可靠性 性能逐渐增强 功能逐渐完善 目前已能完全满足中国铁路各种站场规模和运 输作业的需要 在路内上道使用的计算机联锁系统 (3)计算机联锁系统向多制式方向发展 有双机热备 三取二 二乘二取二等制式 能满足不同线路 不同工程和不同 用户的需要 远程诊断系统 为 (4)各种型号的计算机联锁系统均配备有微机监测系统 计算机联锁正常稳定运行提供保障 特点的基础上 研究铁路信号控制新 (5)在继承现有计算机联锁系统优点 技术 积极开发新一代计算机联锁系统 努力拓展计算机联锁系统的功能 以 适应铁路信号控制现代化 铁路管理信息化建设 铁路跨越式发展的需要 比 如 具有区域控制能力的计算机联锁系统的研究 联锁 列控一体化安全控制 系统的研究 车站进路电码化计算机控制系统的研究 与 CTC 系统结合的现代 化行车调度指挥系统的研究 高速铁路计算机联锁系统的研究等 铁道部电务局在原上海铁道大学建立 (6)建立了计算机联锁系统检测制度 了计算机联锁检验站 以技术手段加强对计算机联锁系统软件安全的检测 除 此之外 对要投入使用的所有计算机联锁产品的联锁软件 在出厂前均要经过 详细完备的功能测试 通过制式测试和出厂测试 有效地保证了计算机联锁产 品的质量 1.3 选的意义和论文研究内容 1.3.1 论文研究的背景与意义 随着计算机联锁技术的发展和管理的逐步 目前国内双机热备型的计 算机联锁已得到广泛使用 技术也基本成熟 但近年来随着高速铁路建设逐步 提上议事日程 特别是提速 客运专线 大型客运站 重点车站 重载线路的 3 上海交通大学工程硕士研究生学位论文 建设和改造 对计算机联锁的安全性 可靠性提出了更高的要求 需要计算机 联锁技术在双机热备的基础上有一个大的提高 以适应我国铁路跨越式发展的 形势 提升计算机联锁技术水平的最直接方法是采用由三机或四机冗余构成的联 锁系统 国内目前的研究成果主要是采用 国内软件国外硬件 的三取二冗余 系统 例如铁科院通号所的 TYJL-TR9 型与通号设计院的 DS6-20 型联锁系统在 并已有数十余站的上道应用 但由于国内有现 90 年代末即通过了铁道部鉴定 场脱机模拟联锁测试的需求 造成三取二系统不适用于这种模式 因而有其发 展的局限性 国外目前研发应用更多的是采用二乘二取二体系结构的计算机联 锁系统 利用专用计算 该系统的基本应用模式是采用专用故障-安全型计算机 机作为计算机联锁主机 该专用计算机多自身即为二取二模式 即在一块电路 通过时钟同步的总线比较实现总线级的同步和总线级的 板上制作双 CPU 系统 互校 达到极高的安全性 因此 实现计算机联锁在双机热备上的突破 向多 采用二乘二取二模式是一个必然趋势 重冗余/校核方向发展 目前在中国二乘二取二计算机联锁系统成熟的产品有北京通号设计院的 但这两种型号的计算机联锁 DS6-K5B 型与北京交大微联公司的 EI32 JD 型 均是在日本京三公司与日本信号公司对应的联锁机硬件基础上开发自己的联锁 软件集成而成 为了保证 但由于战争与国际关系复杂多变等不可预知的原因 我国铁路的运输安全与供货及时等原因 铁路科研单位研发具有自己软硬件知 识产权的新一代二乘二取二计算机联锁系统就成为当务之急 此外 在铁路比较发达的国家 计算机联锁系统不再是孤立的信号控制系 统 而是信号安全综合控制监测系统和综合运营管理系统的一个子系统 计算 机联锁系统的功能不断得到拓展 已远远超出车站信号安全控制设备的概念范 畴 在我国 铁路要积极发展新一代调度集中系统 列车控制系统和计算机联 锁系统 在较高起点上 在较短时间内 以高速铁路 客运专线的建设等为重 点 计算 建立和发展我国的铁路信号安全综合控制监测系统和运营管理系统 机联锁系统面临前所未有的发展机会 当然计算机联锁也需要解决来自安全可 靠 功能 效率 服务等方面的新的关键课题 以适应建设信息化 智能化 高科技现代化铁路的需要 本人单位是铁道部指定的计算机联锁系统四家生产工厂之一 本人是单位 计算机联锁项目组的项目经理 参加了多种计算机联锁系统在工厂的联合试制 与大规模生产开通工作 具有丰富的与多家联锁研发单位联合设计生产多种计 算机联锁系统与现场调试经验 在本系统的开发过程中 主要参与系统硬件的 联合设计与负责在工厂产业化过程中的二次设计及生产开通工作 1.3.2 论文研究的内容 本课题研究的是一套完整的计算机联锁系统 目前国内采用故障切换技术的 双机热备动态冗余计算机联锁系统与采用故障屏蔽技术的三取二计算机联锁系 统已经非常成熟 前者具有非常好的可维护性 后者具有高可靠性与安全性 所以我们期望综合两种系统的优点 开发国产的新一代计算机联锁系统――二 乘二取二计算机联锁系统 本论文研究的主要内容如下 新一代计算机联锁系统的体系结构研究 主要对三种常用的计算机联 锁系统体系结构 双机热备系统 三取二系统和二乘二取二系统 与 4 上海交通大学工程硕士研究生学位论文 可靠性进行比较 分析他们的优缺点 从而确定适合新一代计算机联 锁系统的体系结构 即二乘二取二计算机联锁系统结构 二乘二取二计算机联锁系统的具体实现 主要讨论二取二联锁机与二 取二输入输出电路的硬件设计 通信模式的实现 软件上研究联锁软 件的总体结构及冗余技术在软件实现中的应用 讨论新一代计算机联锁系统与调度集中 CTC 的关系及其在区域性计算 机联锁系统的应用 计算机联锁系统是行车指挥调度集中系统 CTC 的实现基础 区域计算机联锁系统是以计算机联锁为基本模块构成的 用于控制成段多个车站 或区域内多个车场 信号联锁及站间闭塞 场 间联系 的信号系统 在枢纽地区和有需求的区段均应采用区域性计 算机联锁系统 5 上海交通大学工程硕士研究生学位论文 第 2 章 计算机联锁系统的体系结构分析研究 控制系统体系结构的合理性是决定整个系统性能优劣的关键因素 只有在 结构合理的基础上 研究技术实现的细节才有意义 本章我们将首先通过对国 内外常用的三种计算机联锁系统体系结构进行比较分析 从而确定新一代计算 机联锁系统应采取的最合理的系统结构 2.1 计算机联锁系统体系结构综述 计算机联锁系统的体系结构从大的方面来说有两种 单模块体系结构与多 模块体系结构[2] 2.1.1 单模块体系结构 单模块体系结构是将人机会话 联锁运算与 IO 接口三层功能集中到单一联 锁主机中实现整个系统 此外单模块结构需要具有一个或几个串行数据接口 以便与其它系统 如调度集中 微机监测 相联系 这种体系结构只能适用于 控制简单的小站 单模块体系结构见图 2 1 控制台 与其他系统 联系 联 锁 机 控制继电器 室内 室外 监控对象 图 2 1 单模块体系结构 Fig2-1 Unimodule architecture 2.1.2 多模块体系结构 多模块结构是将整个计算机联锁系统划分成多个层次 对应多个模块 各 个模块承担不同的功能 并且可以通过冗余技术提高相应模块的可靠性 从而 实现整个系统的高可靠性 就进路控制的层次而论 多模块结构可分为三个层 次 人机会话层 联锁控制层 与室外设备接口层 对应这三个层次有 人机 会话计算机 联锁控制计算机 此 IO 接口和室外设备接口来承担各层的任务 外辅助系统有维护终端计算机 下面是对各模 多模块体系结构框图见图 2 2 块功能的简介 2.1.2.1 多模块体系结构中各模块功能介绍 其功能是接受并处理值班员的操作命令 使其成为有 1)人机会话计算机 6 上海交通大学工程硕士研究生学位论文 效的操作信息并将信息发送给联锁机 作为联锁运算的基本数据 同时它实时 地接收联锁机发出的反映现场设备工作状态和行车作业情况的表示信息 并通 过显示设备给出正确显示和相关报警提示 人机会话计算机所处理的信息不涉 及行车安全 但它必须十分可靠才能 所以不要求该计算机具有故障-安全功能 保证联锁系统正常工作 为此 一般采用故障动态切换的双机热备计算机结构 来提高它的可靠性 操作输入设备 图形显示器 与其他辅助 人机会话计算机 系统联系 联锁控制计算机 与室外设备的接口 室内 室外 监控对象 图 2 2 多模块体系结构 Fig2-1 Multimodule architecture 它是计算机联锁系统的核心部分 包括两部分 联锁主机与输 2)联锁机 入输出接口 它的功能是接受人机 联锁机必须具有高可靠性与故障-安全性能 会话层的操作信息和采集现场设备状态信息 并以此作为基础数据进行联锁运 算产生正确的输出命令信息动作执行电路 对于联锁机来说 不仅需采取冗余技术以提高它的可靠性 而且还要以冗 [8,9] 余技术提高它的故障 安全性 就提高可靠性而论 在具体的系统中有的采 取静态冗余技术 有的采取动态冗余技术 以后将称前者为静态冗余联锁饥 称后者为动态冗余联锁机 当采取动态冗余技术时 需采取自动切换方式 这 是因为若不及时将备用联锁机顶替上去 有可能使已开放的信号机突然关闭 引起列车紧急制动 造成危险后果 就提高故障 安全性而论 主要硬件措施 防止涉及安全的信息在接 一是采用动态编码的故障-安全的输入输出接口电路 口电路的流通过程中因故障而导向危险侧 二是用各种故障检测技术 当发现 故障时强制联锁机的输出导向发全侧 但这其中有一个问题 采用专门的故障 安全接口电路只能保证涉及安全的信息经由接口电路时 不致因接口电路故 障而错误地产生危险侧信息 但接口电路不能判断经由它的信息本身是正确的 还是错误的 如果在计算机的主机内部由于某种故障而产生了危险侧输出信息 该信息仍能通过接口电路而传送出去 这是十分危险的 因此 防止联锁主机 产生错误的危险侧信息 或者产生了危险侧信息而使它不致传输出去是极其重 联锁机采取的不同冗余技 要的,这也是在联锁机一级采取冗余技术的重要原因 术组成了不同的体系结构 主要有三种 双机热备联锁机 三取二联锁机 二 7 上海交通大学工程硕士研究生学位论文 乘二取二联锁机 联锁机的不同冗余结构是我们以后研究的重点 因此目前我国的计算 3)室外设备接口层 该部分必须具有故障-安全性能 机联锁系统的执行电路基本上采用的是已经成熟的道岔控制电路 信号控制电 路 轨道电路等 该层因为因为 它们都是具有故障-安全性能的继电逻辑电路 都是已经成熟多年的技术 在本论文中不作讨论 它是计算机联锁系统的辅助设备 通常包括维修机 打印机 4)维护终端 调度监督接口和远程诊断接口等 其功能是存储一定时期内的系统信息 当系 统出现故障时 确定故障原 随时查看实时信息或历史信息以及相关报警信息 因 及时排除故障 使系统恢复正常 同时 它也通过预留的标准通信接口或 网络模板为其它系统提供系统信息和站场数据 2.1.2.2 集中式与分布式多模块体系结构 从多模块结构的输入输出接口组成来看 将多模块结构分为两类 集中式 与分布式 分别见图 2 3 与图 2 4 人机会话计算机 A 人机会话计算机 B 人机会话层 双重冗余网络 联锁机 B 联锁机 A I/O 接口 I/O 接口 联锁机 室外接口 室外设备接口部分 图 2 3 集中式体系结构 Fig2-3 Centralized architecture 人机会话计算机 A 人机会话计算机 B 双重冗余网络 联锁机 B 联锁机 A 联锁总线 联锁总线 I/O 处理模块 I/O 处理模块 联锁机 室外接口 室外设备接口部分 图 2,4 分布式体系? 构 Fig2-4 Distributed architecture 8 上海交通大学工程硕士研究生学位论文 集中式结构是把联锁主机和输入输出接口模块放在一起构成一个整体 而 分布式结构把联锁主机与输入输出处理模块分开 输入输出处理模块有独立的 CPU 与输入输出接口电路 联锁主机通过联锁总线与输入输出处理模块的 CPU 通信 从而执行采集与驱动任务 集中式结构与分布式结构的主要区别是 分布式采用了联锁总线来实现联 锁主机与输入输出处理模块的数据交换 而且易于实现区域控制 集中式采用 内部总线方式来代替联锁总线 有速度高 实时性好的优点 就可靠度来说 分布式结构的可靠度大于集中结构的可靠度 2.2 计算机联锁系统常用的三种体系结构介绍 目前我国铁路上常用的是多模块体系结构 主要有三种 双机热备计算机 联锁系统 三取二计算机联锁系统 二乘二取二计算机联锁系统等 下面我们 将介绍常用的三种多模块体系结构 并期望通过比较三者之间的优缺点 来确 [2,10] 定新一代计算机联锁应该采用的体系结构 2.2.1 双机热备计算机联锁系统体系结构 双机热备体系架构的计算机联锁系统是目前国内采用最多的体系架构 采 用了故障切换动态冗余技术 在我国铁道部颁布的 计算机联锁暂行技术条件 文件中把这种结构定为基本形式 典型的代表型号有 铁道部科学研究院通号 所的 TYJL-II 型 通号设计院计算机所的 DS6-11 型 北京交大微联公司的 JD-1A 由 型等 双机热备结构的典型体系结构框图举例 DS6-11 型 见图 2 5 所示 图可见 双机热备系统可以分为以下六个子系统 控制台子系统 联锁主机子 系统 输入输出子系统 室外设备接口子系统 通信子系统 监测子系统 双机热备结构的基本设计思想是 单机保证安全 双机提高可靠性 特点 是具有较高的可靠性与安全性 此外还有很好的灵活性与可维护型 工作机与 备用机是相互独立的 它们各自运行相同的程序 执行相同的任务 定期同步 在工作过程中 但只 工作机和备机通过各自的输入接口采集需要的各种信息 [10] 有工作主机才能执行输出驱动室外设备 双机热备结构的关键技术是不断地检测计算机内部是否发生了故障 其目 的有三 一是在发生故障时不能产生危险侧输出 二是在工作机发生故障后及 时驱动切换开关动作 将备用机的输出作为联锁机的输出 三是无论工作机还 是备用机发生故障后及时报警 通知维修人员进行修理 为了保证计算机不会 因故障而产生危险侧输出 在计算机内部不同的空间内存放双份数据(静念的和 在顺序地执行这两套程序的过程中分阶段地将中间运 动态的)和双份联锁程序 算结果进行比较 如果发现结果不一致 通过程序卷回(再重复执行 二次)的 方法 消取瞬时故障造成不一致的后果 如果经过卷回处理 比较结果仍然不 一致 则认为出现了不可克服的故障 就不形成或不输出控制信息 与此同时 产生一个故障报警信号用以控制切换开关动作 使完好的备用机投入使用 这 样既达到了故障-安全的目的 又提高了系统的可靠性 为了扩大对计算机故障的检测能力和范围 除了采用上述双软件比较法外 还应采用自检程序 检测数据出错 程序出错 死循环以及停机等等故障 以 便及时发现故障 实现双机切换 总之 这种双机结构主要是借助软件来检测 故障 因此 需占用主机的存储空间和运行时间 这要求主机有较大的存储容 量和运行速度 而现代的计算机技术是能够满足这些要求的 9 上海交通大学工程硕士研究生学位论文 这种方式的主要技术难点是双机同步与故障切换技术的实现 另外单机故 障自诊断主要依靠软件实现 这样导致软件比较大 故障切换的时间较长 彩色 显示器 监测子系统 控制台子系统 鼠标 大屏幕图 键盘 形显示器 远程监视接口 行车控制台 打印机监测 分机 鼠标 备 机 控制台 模拟量采 分 机 集接口 双重冗余局域网络 联锁机 联锁机 联锁子系统 A B 输入输出接口 采集 驱动 驱动 采集 接口 接口 接口 接口 热备用输出 动态编码输入 动态编码输入 ATP接口电路 继电器接口电路 图 2,5 DS6-11 型? 算机? ? 体系? 构 Fig2-5 DS6-11 CIS architecture 2.2.2 三取二计算机联锁系统体系结构 同双机热备系统一样 采用三模冗余技术的三取二计算机联锁系统也具有 六个子系统 国内开发的三取二计算机联锁系统主要有 铁道部科学研究院通 号所的 TYJL-TR9 型 通号设计院的 DS6-20 型 典型体系结构框图举例 TYJL- TR9 型 见图 2 6 该系统中的三模冗余联锁机是利用三取二的静态屏蔽技术构成的联锁机 一般简称三模冗众联锁机[11,12] 每个主 三模冗余联锁机共有三个主机 CPU 板 机是联锁机的 个子模块 只要三个模块中的任意两个的输出是一致的 则把 这个一致性的输出作为主机的输出 且认为联锁机的主机在可靠的工作 而不 管第三个主机是否发生了故障 三模冗余联锁机的典型电原理图见图 2 7 然而从安全性来看 若有两个主机发生了同样的故障 即共模故障 那么 这种共模故障必然使得两个主机产生同样的输出信息 表决器是无法检出这种 信息的 如果由共模故障产生的输出信息是危险侧信息 则联锁机的输出也就 是危险的了 因此在三模冗余联锁机中 避免主机发生共模故障是至关重要的 产生共模故障的主要原因之一是二个子模块的硬件和软件在设计上完全相同 10 上海交通大学工程硕士研究生学位论文 而且存在设计错误 这种共同性的错误就导致相同的错误输出 为了避免这种 危险 一种办法是对各主机的硬件和软件采用不同的设计方法 另一种办法是 采取同样设计 鼠标 数字化仪 操作室 远端 控制台 远程诊断 容 微 错 机 联 监 锁 测 主 监控机A 监控机B 电务维修机 机 UPS 机房 调度监督 电源屏 继电组合 机械室 现场 图 2,6 TYJL-TR9 型? 算机? ? 系? 体系? 构 Fig2-6 TYJL-TR9 CIS architecture 热备 热备 输出 输入 I/O 总线 主 电路 电路 处理器 A A TriBus A TriBus 主 输入 输出 处理器 表决 I/O 总线 电路 电路 B B B 输出 输入 端子 端子 主 TriBus 处理器 I/O 总线 输入 输出 C 电路 电路 C C 图 2-7 TYJL-TR9 型计算机联锁系统容错联锁机原理图 Fig2-7 The interlocking computer schematic diagram of TYJL-TR9 CIS 但确保不存在设计错误 前一种办法需要更多的设计人员和多种硬件 这不仅 在设计上要花费很大代价 而且为维护和储存备件都带来不便 后一种办法 消除设计错误 则是可取的 而且也是可能做到的 第 硬件设计无错是容 11 上海交通大学工程硕士研究生学位论文 易验证的 第二 联锁软件也是可以验验证的 为此铁道部专门成立了第三方 的联锁软件专业验证单位 当主机的设计完全正确无误时 仅由硬件失效和干 扰而产生共模故障的概率就很小了 为了进一步降低共模故障的发生 在主机 中采用自检程序也是必要的 利用自检程序扩大故障检测范围 从而减少了由 于未检出的故障组合而产生共模故障的可能性 有的系统还采取了主机间相互 交换数据和互检技术 既纠正了因干扰而出现的错误数据 又扩大了故障检测 范围 总之 采取措施防止主机发生共模故障 是保证三模冗余联锁机具有故 此外当三个主机的硬件和软件相同时 也为同步工作 障-安全性能的重要途径 提供了条件 三取二系统的特点是具有很高的可靠性与安全性 但其灵活性稍差 2.2.3 二乘二取二计算机联锁系统体系结构 目前国内的二乘二取二计算机联锁系统均是在日本公司开发的联锁系统硬 件基础上叠加国内开发的联锁软件构成的 主要有两种型号 通号设计院与日 本京三株式会社合作的 DS6-K5B 型 北京交大微联公司与日本信号株式会社合 作开发的 EI32-JD 型 电务维修网 人机对话层 B 系操作表示 电务维修机 A 系操作表示 A 系二取二联锁机 B 系二取二联锁机 联锁运算层 微机室 VME A 系二取二驱采机 B 系二取二驱采机 总线 执行层 采集电路 采集电路 驱动电路 驱动电路 微机室 接口 线缆 接口配线 执行层 机械室组合架继电器 机械室 图 2,8 EI32-JD 型? 算机? ? 系? 体系? 构 Fig2-8 EI32-JD CIS architecture 二乘二取二计算机联锁系统其实是四机冗余系统 它的典型体系结构框图 举例 EI32-JD 型联锁系统 见图 2 8 所示 联锁机中 CPU 板是二取二结构 两块 12 上海交通大学工程硕士研究生学位论文 二取二 CPU 主机板构成双系热备结构 其中由 A 系 CPU 板的主机 μ-CPU-A 和 μ-CPU-B 组成联锁机的在线工作机 由 B 系 CPU 板的 μ-CPU-C 和 μ-CPU-D 组 成联锁机的备用机 在正常情况下,工作机的输出经由切换开关作为联锁机的输 出 而备用机的输出被切换开关所阻断 备用机的输出虽然被阻断 但备用机 仍需像工作机一样处于工作状态 以便在工作机发生故障时它能及时地顶替工 作机而保持联锁机的可靠工作 称这种经常处于工作状态的备用机为热备方式 二取二 CPU 板的原理框图见图 2 9 二乘二取二计算机系统中无论是工作机还是备用机都必须是故障 安全 的 系统采用动态冗余结构 其保证安全的技术措施主要是采取双机输出比较 法 这与静态冗余系统中的双机输出比较是一样的 在三种联锁系统的体系结构中 二乘二取二计算机联锁系统即包含了双机 热备系统的故障动态切换技术 又包含了三取二计算机联锁系统中故障屏蔽技 术 兼具有两者的优点 所以二乘二取二计算机联锁系统即具有很高的可靠性 安全性 又具有很好的灵活性与可维护性 是目前计算机联锁系统发展的方向 下面一节我们将对此三种体系结构进行可靠性与安全性分析 以期定量评 估比较其性能优劣 - - 正常 电源 正常继电器 继电器 输出部 比较回路 - 图 2,9 二取二 CPU 板的原理框图 Fig2-9 The schematic diagram of 2-vote-2 CPU board 2.3 三种计算机联锁系统可靠性和安全性比较分析 可靠性和安全性是评价一套联锁系统性能优劣的重要指标 关于计算机联 锁各种体系结构的可靠性与安全性分析课题已经发表了很多论文阐述[13~27] 本 文借鉴前人的经验采用马尔柯夫 方法作分析比较 计算机联锁控制 Markov 系统是可修复系统 较好的维护策略能够在实际应用中提供更好的可靠性和安 全性 简单的可靠性网络建模技术不能直接反映维修时间的影响 因此 要综 合反映计算机联锁系统的各个特点 用两个简单符号(状态和转移弧线)的 Markov 模型是最合适的分析方法 13 上海交通大学工程硕士研究生学位论文 2.3.1 系统性能的度量指标及参数介绍 2.3.1.1 系统的几个度量指标 应用马尔柯夫过程的条件也就是用状态空间法来分析工程系统可靠性的条 件 这主要是由一种状态转移到另一种状态的概率与系统先前的历史无关 即 无记忆性 每个状态定义为一个或多个系统内部组件失效的组合 这样通过把 系统的行为划分为一系列的状态 确定各状态之间的转移概率 根据状态的初 始概率分布 可以由矩阵微分方程计算各个状态任意时刻的概率分布 如果进 一步区分哪些状态是工作状态和哪些状态是失效状态 就可以通过对相应的状 态概率求和得到系统的可靠度和安全度等技术指标 对于铁路信号控制系统来说 系统的状态可以划分为4类 系统完全正常状态W 部分故障-工作状态FW 故障-安全状态FS 故障-危险状态FD W, FW, FS, FD分别代表上述各个类型的符号 设系统的状态表示为s(t), 则当系统处于正常工作状态时有 s，t ， W , FW而当系统处于故障一安全状态 , 或故障一危险状态时 由此 系统的可靠度 可表示为 s，t ， FS , s，t ， FD 安全度可表示如下 1)可靠度 R，t ， 定义为系统在规定的时间内和规定的条件下 完成规定功能的概率 系统 在时刻t的可靠度可表示为 (2,1) R，t ， , P,s，t ， ，W , FW ， s，0， W , 2)安全度 S ，t ， 定义为系统在规定的时间内和规定的条件下 处于可靠工作状态和故障失 效后没有导致危险结果出现的概率 系统在时刻 t的安全度可表示为 (2,2) S ，t ， , P,s，t ， FD s，0， W , 2.3.1.2 故障平均间隔时间 MTBF Mean Time Between Failures 在一个可修复系统中 当一个元件发生故障时 可能利用另外的储备元件 替换故障元件 然后通过修理使故障元件恢复功能 尽管在某一时刻 整个系 统处于故障状态的概率很小 但是系统处在故障状态仍是可能的 把整个系统 的故障状态叫做吸收状态 也就是一旦进入状态Si就不能转移出去 就称Si为 吸收状态 在该状态的停留概率为1,向其他状态转移的概率则等于零 故障平均间隔时间MTBF定义为 对于完全可修复系统 从工作状态转移到 失效状态所需的平均时间 也就是其工作的数学期望 根据定义 系统的故障平均间隔时间MTBF 14 上海交通大学工程硕士研究生学位论文 ， (2,3) MTBF , ， R，t ，dt 0 2.3.1.3 影响系统性能的几个重要参数的定义 1)失效率 ，，t ， ，，t ，的直观意义是每个个体在单位时间内发生的故障失效次数 其单位是 时间单位的倒数 常用的单位是1/h 对于铁路信号控制系统来说 系统的失效 分 布一般服从指数分布即 F ，t ， , 1 e ，t , ，t , 0， ，t ， , ，e ，t , ，t , 0， 则失效密度为 f 其中, ， , 0 ，e ，t f ，t ， 从而 ，，t ， , , , ， (2,4) e ，t 1 ， Ft ， 因此 一般视 ，，t ，为一个常数 即 ，，t ， , ， 2)维修率 ,，t ， 首先引入维修密度m(t) 是指单位时间内完成维修的概率 维修度函数一 即 M ，t ， , 1 e ,t , , 为在单位时间里完成修理的瞬时概率(修 般服从指数分布 复率) 其倒数1 , 为平均修理时间 则维修密度为 m，t ， , ,e ,t m，t ， ,e ,t 从而 ,，t ， , , , , (2,5) e ,t 1 M ，t ， 因此 在维修度函数服从指数分布的情况下维修率是一个常数 这也是最 常用的情况 3)故障检测覆盖率 c 为提高系统的可靠性 在系统的设计过程中都要充分考虑到故障诊断技术 故障诊断包括两部分 一是故障检测技术 是为了确定系统有无故障 二是故 障定位技术 是为了确定故障的位置及故障的类别 故障检测的有效程度用故 障检测覆盖率来衡量 故障检测覆盖率是指系统中任一故障被检测出来的概率 采用故障诊断技术可以大大提高系统的可靠性和减小系统工作在降级状态下的 时间 对于可修系统来说 可以显著缩减维修时间 故障诊断技术一般分为两 [8,27] 类 一类是通过与一个预定的参考源进行比较来实现 称为参考检测法 另一类是通过与一个相同的完全正常的工作单元进行比较来实现 称为比较检 [23 24] 测法 一般认为覆盖率处于93% 95%之间 总的失效率为 ， 故障检测覆盖率定义为 则 设被检测出的失效率为 ，det 15 上海交通大学工程硕士研究生学位论文 ，det 有 c , (2,6) ， 在计算机联锁控制系统的设计中 常用的参考检测方法有 Watchdog定时器方法 存储器校验 通过计算 检验和 来实现 输出回读方法 可实现对关键输出电路的检测 输入电路的脉冲动态测试方法 软件自诊断方法 包括静态诊断和动态诊断 比较检测方法有 两个单元之间的比较 三取二 表决逻辑实现失效检测 上述的参考检测法和比较检测法可以应用在元件级 模块级 也可用在单 元 级和系统级 另外两类方法如结合使用 则效果更好 下面我们对常用的三种计算机联锁系统体系结构的可靠性和安全性进行比 较分析 其目的是定量地评估系统 2.3.2 马尔柯夫方法介绍 2.3.2.1 Markov 过程的一般数学模型 一个随机过程由条件概率定义为: , P ,X n , x n ， X 1 , x1 ， ， ... ， ， X n 1 , x n 1 ，, F Xn X 1 X 2 ... X n 1 如果集合 ，t1 , t 2 ,..., n t ，中的时刻按次序 t1 , t 2 , ... , t n 排列 在条件 X ，t i ， , xi ; i , 1,2,.., n 1 下 X ，t n ， , xn 的分布函数恰好等于在 X ，t n 1 ， , xn 1 条件下 X ，t n ， , xn 即 的分布函数 (2,7) , F Xn F Xn ... X X X 1 X n 1 n 1 2 具有这种性质的过程称为马尔柯夫过程 在马尔柯夫过程中 在时间 t n 的 随机变量的概率与 t n 1 时随机变量的取值有关 而与 t n 以前的过程的历史无关 这种性质称为 无记忆性 或 无后效性 一般 马尔柯夫过程的参数和状态空间可以是离散的或连续的 具有离散 参数和离散状态空间的马尔柯夫过程称为马尔柯夫链 一般的随机过程具有连续时间参数和离散状态空间 设随机过程 ,X ，t ，, t , 0,是连续时间和离散状态空间S={0, 1, 2,. n}的齐次马尔柯夫过程 即 16 上海交通大学工程硕士研究生学位论文 P,X ，t ， h ， , j ， X ，t ， , i ，, , P,X ，h ， , j X ，0 ， , i, , p ij ，h ， (2,8) 这些条件概率也称为转移概率 其中 i, j S , h , 0 pij 与t无关,而只与时 间差值h有关 下面定义转移密度 qij 和 qi pij ， t ， i , j 9) (2,qij , lim t 0 t 1 pii ， t ， 10) (2,qi , lim t 0 t 在齐次马尔柯夫过程 转移密度是常数 转移概率具有以下性质 1 i, j , 1,2,..., n pij ， t ， , 0, 2 i , 1,2,..., n pij ， t ， , 1 pii ， t ，, j ,i 记为 转移概率 pij 可形成矩阵 11 ， t ， p12 ， t ，, 1n ， t ，， , pp , ， p ， tp 22 ， ，,t p 2 n ， t ，,, P， t ， , , 21 (2,11) ,,, , , , , p n1 ， t ， p n 2 ， t ，, pnn ， t ，， 每行元素之和为1 P， t ，称为转移概率矩阵 它是具有非负元素的方阵 定义转移密度矩阵A如下: , q1 q12, 1n ， q , q q 2, q 2n ,, A , , 21 (2,12) , , , ,, , , q n 2, q n ， q n1 矩阵A和 P， t ，的关系为 P， t ， I A , lim (2,13) t 0 t 式中I是单位矩阵 可写为 ,1, 0， , , 1 , I , , , , , , , , 0 1， 17 上海交通大学工程硕士研究生学位论文 2.3.2.2 应用马尔柯夫过程求系统状态概率的方法 根据全概率公式可将 如果时间上 h 等于 h1 与 h2 之和 即 h , h1 ， h2 ,那么 两个相邻时间间隔 h1和 h2 的转移概率组合成对间隔 h , h1 ， h2 的一个单一转移概 率 即: (2,14) pij ，h， , pik ，h1 ， p kj ，h2 ， k 上式称卡普曼-哥莫柯洛夫方程 若时刻t的状态概率已知 记 p,X ，t , i，, , pi ，t ， i ，t ， t ， 那么时刻 t ， t 时 p 可按下式求得: (2,15) pi ，t ， t ， , pi ，t ， pii ， t ， ， p j ，t ， p ji ， t ， j ,i 因为 ， P,X ，t , t ， , j X ，t ， , i, , pij ， t ， , qij t , ,P,X ，t , t ， , i X ，t ， , i, , pii ， t ， , 1 qi t 则 (2,16) pi ，t ， t ， , pi ，t ，，1 qi t ， ， p j ，t ，qij t j ,i 变形取极限得 pi ，t ， ，t pi ，t ， d lim , (2,17) pi ，t ， t 0 dt t 整理得 d (2,18) pi ，t ， , pi ，t ，qi ， p j q ji dt j ,i 写成矩阵形式为 d P，t ， , P，t ，A (2,19) dt 其中 P，t ， , , p1 ，t ， p 2 ，t ，, pn ，t ，,是行向量 对于上式微分矩阵方程式 目前广泛采用的方法是应用数学计算工具如 可以快速得到方程的解 MATLAB来进行求解 2.3.2.3 计算机联锁系统的状态划分与简化 1) 系统的状态划分 由上一节分析可知 对于铁路信号控制系统来说 系统的状态总体上可以 划分为四类 系统完全正常状态W 部分故障-工作状态FW 故障-安全状态FS和 故障-危险状态FD 对于二乘二取二计算机联锁系统 系统的W状态就是四个单 元全部完好的状态 主系坚持工作 备系的任何一个单元或二个单元出现故障 18 上海交通大学工程硕士研究生学位论文 时 系统都处于FW 状态 当主系的一个单元或二个单元出现可测故障无法进行 工作 而系统无备用单元或不能正常切换时 系统处于FS状态 除了上述的状 态外的其他状态都为FD状态 现有的计算机联锁系统都采用了冗余结构 只靠 这四个状态很难准确分析出系统的具体指标 计算机联锁体系的结构并不是非 常复杂 系统的状态是完全可列的 因此 在分析过程中必须一般先列出所有 的工作状态 再根据状态的可聚集性或可合并性把状态进行合并化简 2) 吸收状态 在一个可修复系统中 当一个元件发生故障时 可能利用另外的储备元件 替换故障元件 然后通过修理使故障元件恢复功能 尽管在某一时刻 整个系 统处于故障状态的概率很小 但是系统处在故障状态仍是可能的 把整个系统 的故障状态叫做吸收状态 也就是一旦进入状态Si就不能转移出去 就称Si为 吸收状态 在该状态的停留概率为1 向其他状态转移的概率则等于零 对于一 11 个工作周期来说 上述的FS和FD都属于吸收状态 3) 状态的合并 为了使状态空间模型的平稳状态概率的求解简化 把某些给定的状态合并 将一些状态合并后 产生了新的过程 它有几 为一个单一的状态(合并状态) 个新 j ，ij ，ji ，iJ ，Ji i J i J 图2 10 状态组j合并为J Fig2-10 The combination of group j to J 的状态和新的转移 在一般情况下 可合并的条件可归纳如下 如果一组状态 中的每一个状态到其他任一状态或状态组的转移概率都相同 那么这组状态组 [13] 可合并 . 研究图2-10许多状态j合并的状态J 设合并后的状态 p J 的概率可由 p j 相 加得到 即 p J , p j j J 这里定义一个合并的等价原则 从状态i转移到合并状态J的频率等于从状 态i转移到状态J内所有状态的频率之和 同时 从状态J转移到状态i的频率等 于从J内所有状态转移到状态i的频率之和 由等价原则得以下两式 (2,20) ，iJ , ，ij j J 19 上海交通大学工程硕士研究生学位论文 p j ， ij j J (2,21) ， Ji , p j j J 在系统的建模过程中 常常用到以上两式来简化模型 加快系统的性能分 析 2.3.3 二乘二取二计算机联锁系统的 Markov 方法分析 马尔柯夫模型的建立采用的是状态空间法 也就是把系统的各个工作状态 罗列出来 再根据各个状态间的关系 建立一个状态转移关系图 标出各个状 态之间的转移概率 然后根据模型来列出系统的状态方程进行求解 模型的建 立是进行定性分析的基础 所以必须准确而有效地来分析系统的状态 下面将 重点讨论系统空间的划分与马尔柯夫模型的建立过程 1)模型建立的前提条件 通过结构和方案设计 可知二乘二取二系统中的每个模块有相同的结构 并且每个模块失效是独立的 由于在单位时间内两个或两个以上模块失效的概 率远远小于单个模块失效的概率 因此 任意时刻两个或两个以上模块同时失 效的概率可以忽略不计 所以 各个模块具有相同的失效率 同样 单位时间 内只考虑一个模块修复的可能性 通过故障诊断及定位技术使该系统是可以修 复的 由于系统在设计上采用了从软件到硬件的全套冗余设计方案 而且也采 用了大量的检测手段 因此 系统有很高的故障检测覆盖率 系统在建模以前 先作如下假设 系统开始工作时处于完好状态 即两个联锁系均正常工作 在不考虑共模故障时 某一时刻只有一个单元发生失效 模型中考虑维修率 只有一个维修员 一次只能修复一台联锁机 系统各个模块具有相同的失效率和维修率 2)马尔柯夫模型的建模方法 马尔柯夫模型的建立采用三步递进建模的方法 具体方法如下 建立系统的马尔柯夫全状态转换图 此过程可同时引入维修率来建模 通过状态的合并 简化可修复系统的马尔柯夫状态转换图 引入故障检测覆盖率 并在简化马尔柯夫模型的基础上建立完备的马 尔柯夫状态转换图 2.3.3.1 二乘二取二系统的 Markov 模型 系统开始工作时 处于完好 设每个模块的失效率为常数 ， 维修率为 , 的状态 即四个模块均正常工作 图2-11所示为不考虑故障覆盖率的前提下建 立的二乘二取二系统的马尔柯夫模型状态转换图 20 上海交通大学工程硕士研究生学位论文 1100 1110 0011 1000 A1 A2 B1 B2 1101 1010 0100 1111 0000 1011 1001 0010 0111 0110 0001 0101 图2-11 可修复系统的马尔柯夫状态转换图 Fig2-11 The Markov status convert diagram of repairable system 顺序进行 并用 1 和 0 代替各模块状态 编码方式为" A1 A2 B1 B2 其中"1 代表工作状态 "0 代表故障或失效工作状态 例如 1011 表示系 统中 A2 故障 B1 和 B2 处于正常工作状态 由于采用了故障诊断及定位技 A1 术 可知该状态下子系统 处于主机工作状态 而子系统 处于 B1 B2 A1 A2 单机热备状态 虚框部分为子模块不能进行二取二表决而倒向安全侧 即处于 故障-安全状态 而在 t ， t 失效的概率为 p , 1 e ， t . 对于很小 某模块在时刻 t 正常工作 同理 若故障模块被检测到且切除后 该式可简化为 p , 1 e ， t , ， t 的 t 经维修又转换为正常工作模块 对图 2-11 的状态转换图 则其转换概率为 , t 进行合并和化简得到图 2-12 所示的简化马尔柯夫微分模型 图 2-12 的马尔柯夫状态可描述为 状态0表示系统的完好状态 状态1表示有一个模块故障 并被检A(定位且切除 但系统工作正常 单 模块热备 状态2表示一套子系统内的两个模块均故障 并被检测到且切除 但系统 工作正常 状态3表示两个子系统各有一个模块故障 被检测到且切除 系统不能实 现二取二表决输出 倒向安全状态 状态4表示有三个模块故障 被检测到且切除 系统工作只有单模块工作 无法进行二取二表决输出 系统倒向安全侧 状态5表示系统失效 停机状态 21 上海交通大学工程硕士研究生学位论文 1?-4 ?t 1-3 ?t- ?t 1-2 ?t- ?t 1- ?t- t 1.0 4 ?t ?t ?t 2 ?t 0 1 2 4 5 ??t ?t t ?t 2 ?t 2 ?t 3 1-2 ?t- ?t 图2-12 可修复系统的简化马尔柯夫微分模型 Fig2-12 The simple Markov differential coefficient model of repairable system 引入故障检测覆盖率为 c 经化简得到图 2-13 所示的可维修二乘二取二系 统的简化 Markov 模型 图 2-13 的马尔柯夫状态可描述为 表示主 备机子系统均处于完好状态 状态 0 表示有一个模块故障 并被检测定位且切除 子系统处于单模 状态 1 块热备 表示一套子系统失效 停机状态 另一套子系统正常工作 状态 2 表示两套子系统各有一模块故障 系统无输出 处于故障 安 状态 3 全状态 表示只有一套子系统的单模块正常工作 其它模块故障 状态 4 表示主机中一模块故障 但未被检测到 系统工作在伪二取 状态 M0 二状态 表示主机中一模块故障 但未被检测到 备机中一模块故障被 状态 Ml 检侧到并切除 表示备机停机 主机中一模块故障 但未被检测到 状态 M2 表示备机中一模块故障 但未被检测到 状态 S0 表示主机正常 备机中两模块均故障 一个被检测到并切除 状态 S1 另一个未被检测到 处于伪工作状态 状态 FU 表示系统在伪工作状态时存在危除输出的状态 系统 状态 FS 表示系统在备机处于伪工作状态时 出现不可测故障时 导向安全侧 22 上海交通大学工程硕士研究生学位论文 4 (1-c) t FS 3 (1-c) t 1-(3 + ) t 1.0 2 c t c t S0 S1 1-4 t 3 1.0 t c t 2 c t 2 c t c t (1-c) t c t 2 (1-c) t 1.0 1-(2 + ) t 4 1-(3 + ) t 2 c t 4 c t 2 c t 1-4 t 1 0 2 (1-c) t t 2 c t t c t 2 c t 2 (1-c) t 2 (1-c) t c t 2 c t c t 1-(2 + ) t M0 M1 M2 1-4 t t t 1.0 1-(3 + ) t (1-c) t 3 (1-c) t FU 4 (1-c) t 图 2 13 二乘二取二计算机联锁系统的 Markov 状态转换图 Fig2-13 The Markov status convert diagram of DDMR CIS 2.3.3.2 二乘二取二系统的可靠性安全性分析 根据图 2-13 可写出以下的转移密度矩阵 A 0 0 0 0 0 0 0 4，c 2，，1 c， 2，，1 c， , 4， , 0 0 0 0 0 3， , 2，c ，c , , 2，，1 c， ，，1 c， , , , 2， , 0 0 0 0 2，c 0 0 2，，1 c， , 0 , , 0 0 0 0 0 00 00 0, 0 , , 0 0 0 0 0 0 0 0 0 0 0 , 0 0 0 0 0 ，c 4， 2，c ，c ，1 c， 4，0 A , ,, , 0 0 0 0 0 2，c , 3， , ，c 0 3，，1 c， , , 0 0 0 0 , 2， , 0 0 2，c 2，，1 c， , 0 0 0 0 0 2，c 0 4， ，c ，c 0 , 0 4，，1 c，, , 0 0 0 2，c , 3， , 0 0 ，c 0, 0 3，，1 c，, , , 0 0 0 0 0 0 0 0 0 0 , 0 , 0 0 0 0 0 0 0 0 0 0 , 0 ， 将矩阵 A 代入下列转移矩阵微分方程式 P,，t ， , P，t ，A 可列出如下微分方程组 23 上海交通大学工程硕士研究生学位论文 ， p,0 ，t ， , 4，p0 ，t ， ， ,p1 ，t ， , ，pt ， , 4， ，cpt ， ，3， ， ， ,p ，t ， ， , t，p ， ， ， cpM ， 0t ， ， ， cpS ，0t ， 0 1 2 , 1 , p,2 ，t ， , cp，1 ，t ， ，2， ， , ， p 2 ，t ， ， cp， S1 ，t ， , , p,3 ，t ， , 2，cp1 ，t ， ， 2，cp M 1 ，t ， ， 2，cp S1 ，t ， , p ，t ， , 2，cp ，t ， ， 2，cp M ，2t ， 2 , 4 , p,M 0 ，t ， , 2，，1 c， p0 ，t ， 4，p M 0 ，t ， ， ,p M 1 ，t ， , , p,M 1 ，t ， , 2，，1 c， p1 ，t ， ， 2，cp M 0 ，t ， ，3， ， , ， p M 1 ，t ， ， ,p M 2 ，t ， ， 2，cp S 0 ，t ， , p,M 2 ，t ， , 2，，1 c， p 2 ，t ， ， ，cp M 1 ，t ， ，2， ， , ， p M 2 ，t ， , , p,S 0 ，t ， , 2，，1 c， p0 ，t ， 4，p S 0 ，t ， ， ,p S1 ，t ， , p ，t ， , ，1 ，c， p ，t ， ， cp M， ，t ， 0 ， cp S ，， t0 ， ， 3， ， ， p S ，,t1 ， 1 , S1 , p,FU ，t ， , 4，，1 c， p M 0 ，t ， ， 3，，1 c， p M 1 ，t ， ， 2，，1 c， p M 2 ，t ， , p FS ，t ， , 4，，1 c， p S 0 ，t ， ， 3，，1 c， p S1 ，t ， , , 各模块均完好 其初始条件为 t=0 时 故有 P(0)=[1,0,0,0,0,0,0,0,0,0,0] 可 求 解 微 分 矩 阵 方 程 式 (2) 的 解 P，t， , P, p0 ，t，, p1，t，, p2 ，t，, p3 ，t，, p4 ，t，, pM 0 ，t，, pM 1，t，, p M 2 ，t ，, p S 0 ，t ，, p S1 ，t ，, p FU ，t ，, p FS ，t ，, ,于是可得二乘二取二联锁系统的可靠度 R2,2 ，t ， 为 (2,22) R2,2 ，t ， , p0 ，t ， ， p1 ，t ， ， p2 ，t ， ， p S 0 ，t ， ， p S1 ，t ， 二乘二取二联锁系统的安全度 S 2,2 ，t ，为 (2,23) S 2,2 ，t ， , 1 p FU ，t ， 二乘二取二联锁系统的故障平均间隔时间 MTBF2,2 ， (2,24) MTBF2,2 , ， R2,2 ，t ，dt 0 与二乘二取二系统的 Markov 建模及分析方法相同 我们下面对双机热备与 三取二系统也进行 Markov 建模与可靠性安全性分析 2.3.4 双机热备计算机联锁系统的 Markov 方法分析 我们可用状态空间法建立如图 2-14 所示的简化微分 Markov 模型 其马尔柯夫状态过程可描述为 两个单元均正常工作 状态 0 某一单元发生可测故障 系统处于单机工作状态 状态 1 两单元均发生可测故障 系统失效停机 状态 2 备用单元发生不可测故障 系统处于安全工作状态 状态 3 状态 4 工作单元发生不可测故障 备用单元正常 系统处于危险状态 单机状态下 工作单元发生不可测故障 系统处于危险状态 状态 5 两单元均发生不可测故障 系统处于危险状态 状态 6 24 上海交通大学工程硕士研究生学位论文 1-(1+c) t 3 c t (1-c) t (1-c) t 1-( + ) t 1-2 c t 2c t c t 1-2 t 1 0 2 6 1 t (1-c) t (1-c) t c t c t c t 2c t c t 4 5 (1-c) t t 1-(1+c) t 1-( c+ ) t 图 2 14 双机热备联锁系统的计算机 Markov 状态转换图 Fig2-14 The Markov status convert diagram of 2MR CIS 根据图 2-14 所示的状态图 得到转移密度矩阵 A 0 0 2，c ， ，1 c ， ， ，1 c ， , 2， 0 ， , ， , 0 0 ，c 0 , , ， ，1 c ， , , 0 0 0 , 0 0 0 , 0 , , ，c 0 ， ，c 0 ，c A , , 0 , 0 ，c 0 0 ， ，c ，c , , 0 0 ，c , ，c , 0 , 0 , 0 0 0 0 2，c , 0 2，c ,， P,，t ， , P，t ，A 将矩阵 A 代入下列转移矩阵微分方程式 可列出如下微分方程组 ， p,0 ，t ， , 2，p0 ，t ， ， ,p1 ，t ， , p, ，t ， , 2，cp ，t ， ，， ， , ， p ，t ， ， ，cp ，t ， ， ，cp ，t ， 0 1 3 4 , 1 , p,2 ，t ， , ，cp1 ，t ， ， ，cp5 ，t ， , , p,3 ，t ， , ，，1 c， p0 ，t ， ，1 ， c，，p3 ，t ， , p, ，t ， , ，，1 c， p ，t ， ，1 ， c，，p ，t ， ， ,p ，t ， 0 4 5 , 4 , p,5 ，t ， , ，，1 c， p1 ，t ， ， ，cp3 ，t ， ， ，cp4 ，t ， ，，c ， , ， p5 ，t ， ， 2，cp6 ，t ， , , p,6 ，t ， , ，，1 c， p3 ，t ， ， ，，1 c， p 4 ，t ， 2，cp6 ，t ， 代入初始条件 P(0)=[1,0,0,0,0,0,0] 可得解 P，t ， , P, p0 ，t ，, p1 ，t ，, p 2 ，t ，, p3 ，t ，, p 4 ，t ，, p5 ，t ，, p6 ，t ，, 可得双机热备系统可靠度 R2 MR ，t ， 为 (2,25) R2 MR ，t ， , p0 ，t ， ， p1 ，t ， ， p3 ，t ， 25 上海交通大学工程硕士研究生学位论文 双机热备系统的安全度 S 2 MR ，t ，为 (2,26) S 2 MR ，t ， , 1 p 4 ，t ， p5 ，t ， p6 ，t ， 双机热备系统的故障平均间隔时间 MTBF2 MR 为 ， (2,27) MTBF2 MR , ， R2 MR ，t ，dt 0 2.3.5 三取二计算机联锁系统的 Markov 方法分析 首先用状态空间法建立三取二系统的马尔柯夫模型 图 2-15 所示为可维修 三取二系统的简化微分 Markov 模型 1-2 t- t 1.0 1-3 t 3c t 2c t 0 1 2 t 2 (1-c) t c t 3 (1-c) t 1.0 1-( + ) t 1-2 t 2c t (1-c) t FU M0 M1 t 2 (1-c) t 图 2 15 三取二计算机联锁系统的 Markov 状态转换图 Fig2-15 The Markov status convert diagram of 3MR CIS 其马尔柯夫状态过程可描述为 表示系统处于完好工作状态 状态 0 表示系统中有一个模块故障 被检测到并切除 系统工作在二取二 状态 1 表决状态 工作正常 表示系统中有两个模块故障 被检测到并切除 系统单模块坚持 状态 2 不能进行三取二表决输出 由于不能确定坚持的单模块是否存在未被检测 到的故障 则在此状态下 系统己不能正常工作 从系统的安全性考虑 则将此状态定义为吸收态 表示系统中有一个模块故障 但没有被检测出来 系统处于伪三 状态 M0 取二工作状态 按三取二原则 系统处于可靠工作状态 表示系统中有两个模块故障 一个模块被检测到并切除 另一个 状态 M1 模块没有被检测到 系统通过二取二表决不能正常输出 处于故障 安全 状态 状态 FU 表示系统处于危险状态 根据图 2-15 所示的状态图 得到转移密度矩阵 A 26 上海交通大学工程硕士研究生学位论文 3，，1 c， 3，c 0 0, 3， , , , 2， , 0 2，c 2，，1 c， , , 0 0 0 0 , 0 A , , 0 0 2，c 2， 2，，1 c，, , 0 0 ，c , ， , , 0 , 0 0 0 0 ， , 0 将矩阵 A 代入下列转移矩阵微分方程式 P,，t ， , P，t ，A 可列出如下微分方程组 ， p,0 ，t ， , 3，p0 ，t ， ， ,p1 ，t ， , p, ，t ， , 3，cp ，t ， 2，p ，t ， ,p ，t ， 0 1 1 , 1 2 ，t ， , 2，cp1 ，t ， ， ，cp M 1 ，t ， ,, p, , , p,M 0 ，t ， , 3，，1 c， p0 ，t ， 2，p M 0 ，t ， ， ,p M 1 ，t ， , p,M 1 ，t ， , 2，，1 c， p1 ，t ， ， 2，cp M 0 ，t ， ，， ， , ， p M 1 ，t ， , ,, p,FU ，t ， , 2，，1 c， p M 0 ， ，，1 c， p M 1 ，t ， 代入初始条件 P(0)=[1,0,0,0,0,0] 可得解 P，t ， , P, p0 ，t ，, p1 ，t ，, p 2 ，t ，, p M 0 ，t ，, p M 1 ，t ，, p FU ，t ，, , 于是可得三取二联锁系统的可靠度 R2,3 ，t ，为 (2,28) R2,3 ，t ， , p0 ，t ， ， p1 ，t ， ， p M 0 ，t ， 三取二联锁系统的安全度 S 2,3 ，t ，为 (2,29) S 2,3 ，t ， , 1 p FU ，t ， 三取二联锁系统的故障平均间隔时间 MTBF2,3 ，t ，为 ， (2,30) R2,3 ，t ，dt MTBF2,3 ，t ， , ， 0 2.3.6 三种体系结构性能的仿真比较分析 我们采用数学计算工具 MATLAB 来分别求解三种体系结构的微分矩阵方程 式 进而求得各自的可靠度 R(t)和安全度 S(t) 可以得到如图 2-16 和图 2-17 所示的可靠度关系图与安全度关系图 故障检 这里设系统的维修率为 μ 0.9 测覆盖率为 c=0.95 失效率为常数 ， , 0.0001 h 仿真时间 T , 1.0 ,10 4 ，h， 说明系统的可靠度 由图 2-16 可以看出 当 t<104(h)时 R2 MR > R2,2 > R2,3 随着系统的复杂度增加而降低 二乘二取二系统的可靠度又略高于三取二系统 的可靠度 二乘二取二系统的安全度略 由图 2-17 可以看出 S 2 MR < S 2,3 <= S 2,2 27 R(t) R(t) 上海交通大学工程硕士研究生学位论文 高于三取二系统的安全度 它们的安全度又均高于双机热备系统的安全度 说 明随着系统的复杂度增加系统的安全度增强 1 1.005 0.99 1 0.98 S 2 2 0.995 0.97 S 2 3 0.99 0.96 R 2MR 0.985 0.95 S(t) 0.98 0.94 R 2 0.975 2 S 2MR 0.93 0.97 0.92 0.91 0.996 R 2 3 0.9 0.96 0 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 0 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 t (h) t (h) 图 2 16 三种结构的可靠度曲线 图 2 17 三种的安全度曲线 Fig2-16 The reliability curve of Three Fig2-17 The security curve of Three 以上两图中 R2 MR , S 2 MR 为双机热备结构的可靠度与安全度指标曲线 R2,3 , S 2,3 为三取二结构的可靠度与安全度指标曲线 R2,2 , S 2,2 为二乘二取二结构的可靠度与安全度指标曲线 其它指标不变 把仿真时间延时至 T , 1.0 ,10 5 ，h， 得到图 2-18 所示的可 靠度曲线 由图中可以看出 当 t,3.3 ,10 4 时 R2 MR < R2,2 < R2,3 1 0.9 0.8 R 2 3 0.7 R 2 2 0.6 0.5 R 2MR 0.4 0.3 0 2 3 1 4 5 7 10 6 8 9 t (h) T , 1.0 ,10 5 h 图 2 18 三种结构的可靠度曲线 Fig2-18 The reliability curve of three structure( T , 1.0 ,10 h ) 5 28 上海交通大学工程硕士研究生学位论文 分别计算三种系统结构的故障平均间隔时间 MTBF 得 MTBF2 MR , 9.724 ,10 4 ，h， MTBF2,3 , 4.2 ,10 5 ，h， MTBF2,2 , 2.88 ,10 5 ，h， 可以看出 其中二乘二取二系统和三取二 MTBF2,3> MTBF2,2 > MTBF2 MR 系统的故障平均间隔时间是在同一个数量级上的 比双机热备系统的故障平均 间隔时间提高了一个数量级 2.4 新一代计算机联锁系统的体系结构选择 对于国产新一代计算机联锁系统体系结构的选择 根据前几节的分析比较 我们选取了二乘二取二体系结构 这主要有以下两个原因 在国内 铁道部要求上道的计算机联锁系统设备要具有现场脱机模拟 1 联锁测试的功能 现场脱机联锁测试的要求决定了我们只能采用双机热备体系 结构 这样才能在工作机正常工作时 备用机脱机进行现场联锁试验 这种现 因为三取二系 场脱机模拟联锁测试的要求造成三取二系统不适用于这种模式 统没有备用机柜 再进入模 要进行现场测试必须停止整个联锁机的正常工作 拟测试程序才可以进行 这在工作繁忙的铁路车站是不可能的 此外随着高速 铁路的迅速发展 对车站计算机联锁系统的可靠性与安全性提出了更高要求 为了实现机联锁在双机热备系统 目前成熟的双击热备系统已经有些力不从心 上的突破 采用二乘二取二模式是一个必然 向多重冗余/校核方向发展 从安全度看 二乘二取二系统的安全度略高于三取二系统的安全度 它 2 们的安全度又均高于双机热备系统的安全度 从可靠度看 二乘二取二系统的 安全度略低于三取二系统的可靠度 在同一个数量级 但均高于双机热备系统 的可靠度 所以说二乘二取二体系系统即具有三取二系统的高可靠性与高安全 性 又具有双击热备系统良好的灵活性与可维护性 是一种非常优秀的体系结 构 由以上两个因素可见 在高速铁路蓬勃发展的现代中国 发展二乘二取二 计算机联锁系统是必然的趋势 也是我们的必然选择 下面我们将对新型国产 二乘二取二计算机联锁系统体系结构的各个层次做详细分析 从而得出优化的 适合要求的二乘二取二体系结构 2.5 本章着重介绍了计算机联锁系统的体系架构类型 对三种常用的计算机联 锁系统体系结构 双击热备系统 三取二系统与二乘二取二系统进行了比较 并且用马尔柯夫方法对他们的可靠性与安全性进行了分析比较 最后提出了现 代计算机联锁系统发展的方向 即二乘二取二计算机联锁系统架构是新一代计 算机联锁系统的最佳选择 29 上海交通大学工程硕士研究生学位论文 第 3 章 新一代计算机联锁系统设计与实现 我们已经知道车站信号计算机联锁控制系统是车站信号的基础设备 它是 以微型计算机为主要技术手段实现车站联锁的实时控制系统 同时它又是一个 有着高可靠性 安全性 实时性的安全关键系统 安全性在系统中起着至关重 要的作用 保证系统安全性的一个重要方法是在系统中采用容错技术 容错技术应用于计算机联锁系统 旨在满足这种高可靠性 安全性需求 软件冗余和时间冗余对于检测永久性故障和恢复瞬时性故障极为有用 但它不 支持对硬件故障的恢复 同时难以满足联锁系统对实时性的要求 要使系统具 有足够高的可靠性就必须实现硬件冗余 为了满足计算机联锁系统实时性的要 求 必须在启动恢复机制以前屏蔽掉故障模块的影响 N模冗余(NMR)的多数 28 表决结构就能够提供支持 这一点也已经在可靠安全的N模冗余飞控计算机 几十年的应用中得到证明 上一章我们比较分析了三种常用的计算机联锁系统的多模冗余体系结构 最终我们选择了二乘二取二冗余体系结构做为新一代计算机联锁系统的体系结 构 新一代二乘二取二冗余计算机联锁系统具有对实时任务的容错计算功能 同时实现了系统上电重构功能 系统采用任务级松散同步 故障的检测 屏蔽 恢复及系统的重构等功能均由软件来实现 本章将从系统的硬件结构和软件结 构两方面来分析系统的构成及特性 3.1 二乘二取二系统的硬件结构研究 新型二乘二取二计算机联锁系统按照层次结构设计 它的总体结构可分为 四个层次 操作表示层 联锁逻辑控制层 采集驱动层与外部设备接口 下面 我们就从这四个层次入手探讨新一代二乘二取二联锁系统的体系结构设计 3.1.1 操作表示层的结构设计 操作表示层由人机接口 维修终端和通讯终端三部分组成 负责系统的操 作 显示 维护及与车站其他系统间的通信 该层的结构设计如图3-1所示 人机接口部分 1 人机会话计算机在整个计算机联锁系统中处于上位机的地位 完成车务人 员操作命令的输入 站场状态表示信息的输出和操作提示(包括文字与语音) 等 功能 并且还可以与上级系统联网 构成更高一级的测控系统 如调度集中系 由于人机会话计算机不涉及具体的室外 统(CTC)或调度信息管理系统(DMIS) 设备的输入输控制 在整个系统中属于非安全区域 人机接口部分的设计主要 从可靠性和可用性两个方面来考虑 目前该部分的设计技术比较成熟 一般采 用双机热备动态切换的工作方式来满足可靠性要求 人机接口由三部分组成 两台人机会话计算机 双机切换 由图3 1可见 装置 操作输入和显示输出设备 人机会话计算机是整个人机会话层的核心设 备 两套人机会话计算机设备同时工作 物理上相互独立 但同一时刻只有一 它通过车站控制局域网向逻辑控制层 台设备具有人工操作(如办理进路)功能 并接收来自联锁逻辑控制单元的命令执 中的联锁逻辑控制单元发送操作命令 行情况以及站场中各信号设备的表示信息 以完成值班员的各种执行任务 并 30 上海交通大学工程硕士研究生学位论文 把联锁逻辑控制单元的执行结果实时显示在控制台上 双机切换装置提供操作 输入的接口和显示的输出接口 向下与两台人机会话计算机相连 向上与操作 输入设备和显示输出设备相连 同时监测两台人机会话机的工作状态 一旦工 作的主机发生故障 无法进行正常的作业时 切换装置自动将输入输出接口转 换到另一台人机会话机上 从而保证作业的连续性和系统的可靠工作 操作输 入设备一般采用鼠标 数字化仪或光电笔等 图形显示器一般采用大屏幕的 CRT 液晶显示器或更大屏幕的等离子显示设备 人机会话层与联锁逻辑控制层通过冗余环形网相连 我们将采用ARCNET 冗余环形网络,以提高系统的可靠性 操作输入设备 图形显示器 音箱 控制台 双机切换装置 以太网 人机会话计算机 A 人机会话计算机 B 维护终端 ARCNET 冗余环形网 图 3 1 操作表示层结构 Fig3-1 The structure of operation and representation layer 2 维修终端(即电务维修机) 维修终端即电务维修机 它不向联锁逻辑控制层发送任何信息 仅通过车 站控制局域网从逻辑控制层中的逻辑控制单元接收上位机的操作命令 逻辑控 制单元的命令执行情况以及站场中各信号设备的表示信息 以便记录值班员操 作命令 站场变化信息 系统错误 与微机监测接口 同时实现记录的存储 打印 再现等功能 为电务维修提供方便 通信终端 3 通信终端提供与车站综合局域网 广域网的通信接口 连接CTC系统 DMIS 系统 车次号输入系统 旅客向导系统等辅助行车系统 此外 还包括联锁测 试及其他与联锁相关功能的通信接口 以后在系 通信终端在图3 1中未标出 统总体体系结构框图中标出 3.1.2 联锁逻辑控制层的结构设计 二乘二取二计算机联锁系统的联锁逻辑控制层 负责接收上位机下达的联 锁命令 根据从采集驱动层采集来的现场实时状态 进行联锁运算 同时将运 算结果发送到采集驱动层和操作表示层 逻辑控制层是计算机联锁控制系统的 核心 其是否安全可靠将直接决定整个系统是否安全可靠 31 上海交通大学工程硕士研究生学位论文 我们知道二乘二取二冗余体系结构有两个联锁系 每个联锁系有两个联锁 主机 构成二取二结构 完成联锁逻辑的运算 单系联锁机中二取二 CPU板 结构设计的关键点就是要考虑处理器的两个同步问题 时钟同步和任务同步 时钟同步往往要求两个处理器采用同一个时钟 按同一节拍进行工作 而任务 同步只要求在任务的处理过程和结果等关键点处进行比较 实现同步运行 相 对于时钟同步要求来说是一种松散的同步方式 数据交换的方式有两 每单系内的两个CPU处理器之间间要进行数据交换 种 一种是采用内部总线方式 即对同一个存储区进行读写操作 这种交换数 据的方式适合两种同步模式 另一种是采用现代的通信网 两处理器间通过通 信网交换数据 这就要求通信网必须有足够快的通信速率和可靠的通信质量 才能完成任务的同步 此种方式适合任务级同步模式 我们单系内两CPU选用 内部AT96总线数据交换方式 两系之间选用ARCNET冗余环形网松散式任务级 同步方式 此外 联锁计算机还要与人机会话计算机进行通信 并控制和调度I/O处理 任务 因此 该层的设计不仅要考虑实时性 还要考虑各种任务的协调与调度 实现的灵活性 综合以上分析 提出如图3-2的联锁逻辑控制层结构设计方案 ARCNET 冗余环形网 联锁 A 系 联锁 B 系 通信模块 通信模块 AT96 总线 AT96 总线 A 系 CPU1 A 系 CPU2 B 系 CPU1 B 系 CPU2 CAN 通信 CAN 通信 CAN 通信 CAN 通信 模块 模块 模块 模块 联锁安全总线 联锁安全总线 注 联锁安全总线为CAN总线 CAN总线介绍在3.1.5节 图3 2 联锁逻辑控制层结构 Fig3-2 The structure of interlocking logical control layer 联锁逻辑控制层由两个联锁系组成 两系具有相同的结构 联 在图3-2中 向下通过 锁逻辑控制层向上通过ARCNET冗余环形通信网与上位操作机相连 CAN联锁总线与I/O控制部分相连 通过ARCNET冗余环形网络将设备的状态及 提示信息传递给人机会话上位机 并把上位机的操作命令传递给两个联锁CPU 同一系内的两个联锁CPU板通过AT96内部总线来相互连接 通过AT96总线两 系交换数据实现主备两系之间的同步及故障检测 此外两个联锁CPU经过二取 32 上海交通大学工程硕士研究生学位论文 二表决后 工作机通过通信板上的CAN通信模块控制智能化二取二采集或驱动 模块 在具体实现时 我们选用AT96总线母板标准机箱方式 每个单系联锁CPU 机箱中插有两块APCI5093主机板与两块APCI5656通信板来实现 二取二 结构 下面是两种模板的性能参数介绍 1 APCI5093 主机板 APCI5093 是以 Intel 公司的 80386EX 为 CPU 的 AT96 总线高性能 CPU 模板 AT96 总线是由西门子公司提出的总线标准 后来得到国际电工委员会的批准 成为 IEEE996 国际标准 AT96 总线在电气上采用 ISA 总线标准 具有 16 位数 据线 24 位地址线 总线连接器采用 96 芯欧式针孔连接器 与边缘金手指连 接方式相比 在抗冲击 抗震动方面具有更高的可靠性 模板机械尺寸为欧式 标准 6U 结构 功能描述 总线为 AT96 总线 CPU 采用 Intel80386EX 主频为 25MHz CPU 套片选用了 Radisys 公司专门为支持 Intel386EX 芯片而设计的 R300EX 采用表面贴装技术 内存为 4M DRAM 实时时钟采用 DS12C887 并利用其 RAM 保存 CMOS 设置 具备写保护功能 128K 数据存储空间 程序为就地执行方式 具备写保护功能 128K/256K 程序固化空间 8K 双口 RAM 可通过用户接口 BUS2 被另一块 CPU 板访问 具备写保护功能 8K 字节铁氧体存储器 FRAM 现场总现 ARCNET 两级看门狗 两个可供用户使用的定时器 标准 IDE 硬盘接口 标准 RS232 串口 COM2 三线串口 COM1 支持模拟终端工作方式 四级外中断 包括 IRQ5 IRQ6 IRQ7 IRQ9 八个 I/O 控制的 LED 指示灯 八路开关量输入接口 +5V 电源指示灯 2 APCI5656通信板 APCI5656 是一块集成了 CAN 和 ARCNET 两种现场总线形式的双网它的 卡 ARCNET 部分和 CAN 部分分别采用 SMSC 公司的 板上 U6 和 PHILIPS COM20022 公司的 SJA1000(板上 U21)作为主控制芯片 3.1.3 采集驱动层的结构设计 采集驱动层的功能是把联锁运算后形成的输出命令由数字信号转化为模拟 信号来驱动相应的外部设备或外部设备接口部件 同时把外部设备的状态信息 转化为数字量传递给联锁机 前面章节中指出 计算机联锁系统多模块体系结构分为集中式和分布式两 种 这里所说的集中式与分布式主要是指联锁运算计算机与I/O处理模块的连接 33 上海交通大学工程硕士研究生学位论文 方式 集中式一般采用内部I/O总线方式来实现联锁机与I/O处理部分的连接及 控制 而分布式一般采用联锁总线方式来实现 I/O部分一般不必再增加处理器 采集驱动层必须有自己的处理器来处理从 联锁机与I/0处理部分的连接及控制 联锁运算机接收到的控制命令并转化为模拟量输出 分布式结构的可靠度要比 集中式稍高 因此我们选用分布式结构 如图3-3所示 该方案采用CAN联锁总 线与联锁计算机相连 二取二采集或驱动智能模块由双CPU处理器和I/O控制电 路组成 处理器完成与联锁总线的连接 并与联锁计算机交换数据 同时对采 集的信息和输出命令进行预处理 联锁安全总线 联锁安全总线 联锁 A 联锁 A 联锁 B 联锁 B 系二取 系二取 系二取 系二取 二采集 二驱动 二采集 二驱动 智能模 智能模 智能模 智能模 块 块 块 块 继电器组合 信号机 转辙机 轨道区段 图3 3 分布式采集驱动层结构图 Fig3-3 The structure of distributed collection and drive layer 采集驱动层由智能采集模块和智能驱动模块组成 完成对现场信号设备数 据的数据采集和驱动功能 具有完 智能采集模块和智能驱动模块均采用“二取二”带备份的容错结构 善的自检功能 容错功能 动态冗余功能 当处于工作状态的模板发生故障时 能自动切换到备用板上 提高了系统的可靠性 设计时考虑到防雷需要 电路 上采用大功率的瞬间放电管 提高模块的安全性能 34 上海交通大学工程硕士研究生学位论文 1 检查 A 采集 输入 B 采集 防雷元件 0 检查 图 3 4 采集电路示意图 Fig3-4 The sketch map of collection circuit 智能采集模块 每个模块上有两个独立的CPU(A B)组成 其中A和B完成 实际的采集功能 有自检 同步 交换数据 总线通信等功能 “二取二”表决 通过以上结构可以看出 对于采集功能来说 采用“二取二”方式 当出现A或B 故障时 此外 智能采集模块具有完善的自检功能 能 采集信息导向安全侧0 够检测到采集电路的任何故障 采集自检时能够向采集输入线上注入自检信号 “0”或“1” 检查采集电路各元器件工作状态(如图3 4所示) 智能驱动模块 每个模块由两个独立的CPU(A B)组成 其中A和B完成实 际的驱动功能 有自检 接收联锁输出命令 交换数据 “二取二”比较等功能 联锁命令经过2条独立的联锁总线 送到智能输出模块各自的CPU处理器 经过 表决后 执行输出命令 对于驱动和回读功能来说采用“二取二”方式 当出现A 或B故障时 输出导向安全侧0 A路输出和B路输出来用串联式输出 当A或B 只有两路的输出一致时才 中任何一个有故障或停止输出将导致输出为安全侧0 能驱动继电器 当出现输出短路和外混线情况时回读电路会立即检测出来 切 断输出板的供电电源 输出导向安全侧(如图3 5所示) 故障安全电源 A 机驱动 A 机回读 B 机驱动 B 机回读 驱动继电器 图 3 5 驱动模块驱动电路 Fig3-5 The drive circuit of drive module 3.1.4 外部设备接口的研究 外部设备接口实现联锁系统与外部设备的连接 联锁系统的输入信息通过 35 上海交通大学工程硕士研究生学位论文 采集外部设备接口的节点而获得 联锁系统的输出先驱动外部设备接口部件 再通过接口部件把低压或低电流信号转化为大电流信号来驱动现场设备(信号机 目前 国内广泛采用的接口部件为安全型继电器 安全型继电器依据 和道岔) 重力原理设计 当继电器故障时靠重力作用 继电器落下烤通后节点 从而切 断前节点的输出 实现了故障 安全 该方案是继承了原来电气集中联锁设备 的控制输出单元 而用计算机联锁系统来实现联锁逻辑的运算 除了采用安全型继电器以外 现在具有故障 安全性能的电子接口设备也 正在研制中 并有些产品已开始在车站现场进行实验 电子化接口部件为国外 车站广泛采用 并且取得很好的效果 电子化接口设备直接实现了把联锁系统 的控制命令转化为大电流信号来驱动现场设备 由于信号机和道岔对控制电流 强度的要求不一致 因此 电子化接口往往针对信号机 道岔和轨道区段开发 专门的控制电路 电子化接口部件的故障 安全是通过容错技术来实现的 目 前广泛采用的是二取二技术来保证输出的安全性 这里需要说明的一点是 电 子化接口方案中是把I/O控制层与外部设备接口层合二为一进行设计的 3.1.5 系统通信网络 新型二乘二取二联锁系统的通信网络包括三种 车站局域网 ARCNET环 形冗余网和联锁安全总线 采用以太网作为物理层 1)车站局域网 使用标准的NETBIOS通信协议 连接人机会话计算机和维护终端等 通过该局域网 维护终端与人机会话计算 机通信 实时记录存储一定时期内的系统信息 当系统出现故障时 随时查看 实时信息或历史信息以及相关报警信息 确定故障原因 及时排除故障 使系 统恢复正常 同时 它也通过预留的标准通信接口或网络模板为其它系统提供 系统信息和站场数据 连接操作表示层与联锁逻辑控制层 将人机接口 2)ARCNET环形冗余网 传递过来的联锁操作命令传送到逻辑控制层 并将逻辑控制层命令执行情况以 及采集驱动层传来的表示信息发送到操作表示层 采用ARCNET环形冗余网提 高了可靠性 并且远程通信模块也可以挂在该网络上 以实现远程控制 构成 区域计算机联锁系统 ARCNET网络的技术特点为 支持星型与总线型的连接协议 支持同轴电缆 双绞线互联或光纤接口 支持网络动态重组 如增加或减少节点 网络最大节点数为 255 个 网间最大通信距离为 6400 米 使用有源 HUB 网络采用 802.4 令牌传送 Token Passing 协议 响应时间相对确定 连接逻辑控制层和采集驱动层 采用双重冗余总线结构 3)联锁安全总线 以确保总线的可靠性 总线采用了可靠性高 稳定性好 抗干扰能力强 通信 27 28 CAN总线是一种串行数据通信协议 它是一种多主总 速度快的CAN总线 线 通信介质可采用双绞线 同轴电缆或光纤 CAN总线将采集驱动层中采集单 元采集到的现场信息实时 准确地传送到联锁逻辑控制单元 同时将联锁逻辑 控制单元发出的控制命令送往驱动单元 以完成对现场信号设备的控制 同时 使用经过编码的安全数据 以保证总线的故障安全性 36 上海交通大学工程硕士研究生学位论文 3.1.6 二乘二取二系统的总体体系结构 综合以上各层的结构分析 我们可以组成以下分布式二乘二取二计算机联 锁系统的系统结构 系统由操作表示层 联锁逻辑控制层 采集 如图3-6所示 驱动层和外部设备接口组成 整个系统分为安全区域和非安全区域 其中操作表示 由图3 6可以看出 层为非安全区域 而逻辑控制层 采集驱动层及外部设备接口属于安全区域 确保计算机联锁系统的故障安全性 新型计算机联锁系统硬件结构中 对安全 关键部分(安全区域)均采取冗余结构 如联锁逻辑控制单元采取了“二取二”容错 结构 采集 驱动单元采取了“二取二”带备份式结构 联锁安全总线CAN采用 了双重冗余结构 与安全关键部分相关的上位机和冗余环形网也采用了双重冗 余结构 从而保证了系统核心控制部分(联锁逻辑控制)对单点故障的屏蔽功能 及系统的不间断运行功能 确保了联锁系统硬件上的安全可靠 26 29 人机会话层省略了双机切换装置与操作输入输出设备 但增 在图3 6中 维护中心与微机监测的相互连接图 在实际组成系统 加了与CTC 列控中心 时 双机切换装置与操作输入输出设备仍然是需要的 可以参见图3 1 37 上海交通大学工程硕士研究生学位论文 CTC 列控中心 DMIS 维修中心 以太网 微机监测 人机会话计算机 A 人机会话计算机 B 维护终端 ARCNET 冗余环形网 联锁 A 系 联锁 B 系 通信模块 通信模块 AT96 总线 AT96 总线 A 系 CPU1 A 系 CPU2 B 系 CPU1 B 系 CPU2 CAN 通信 CAN 通信 CAN 通信 CAN 通信 模块 模块 模块 模块 联锁安全总线 联锁安全总线 联锁 A 联锁 A 联锁 B 联锁 B 系二取 系二取 系二取 系二取 二采集 二驱动 二采集 二驱动 智能模 智能模 智能模 智能模 块 块 块 块 继电器组合 信号机 转辙机 轨道区段 图3 6 分布式二乘二取二系统体系结构 Fig3-6 The system architecture of distributed DDMR CIS 联锁逻辑控制层与采集驱动层通过CAN联锁总线相连 通过CAN联锁总线 可以方便实现控制系统的扩展 根据站场的规模或是实现区域联锁的集中运算 控制要求 可以通过增加采集与驱动智能模块来进行扩展 系统的结构特点是 它具有对实时任务的容错计算功能 不同模块间采用 各自的通信及数据交换方式 有自已的专用处理器 响应速度快 每个通信周 38 上海交通大学工程硕士研究生学位论文 期时间短 且易于实现系统扩展 多路连通式通信模式能够方便实现系统的重 组 提高系统的可靠性 系统采用任务级松散同步 故障的检测 屏蔽 恢复 及系统的重构等功能均由软件来实现 3.2 二乘二取二联锁系统软件研究 为了保证行车安全 信号 道岔和进路必须按照一定程序并满足一定条件 才能动作和建立的这种约束称为联锁 计算机联锁系统采用软件来实现各种联 锁逻辑运算 并把联锁运算的结果形成控制命令来驱动相应的电子电路设备 从而实现对站场设备的操作和进路的各种操作 联锁系统的设计原则是故障-安 全 因此 联锁软件的设计必须从这个原则出发 除了完成相应的联锁功能 还要采用冗余技术及相应的辅助软件来保证软件运行的可靠性 3.2.1 联锁软件的总体结构设计 联锁系统分为操作表示层 联锁逻辑控制运算层和采集驱动层 对应每层 结构都有相应的控制软件 因此 系统必须包括控显软件 联锁运算软件和采 集驱动软件 同时各个软件模块间要相互交换数据 就要有通信软件 软件开 发的过程中必须辅以调试和仿真手段来检验各功能模块的正确与否 所以用以 调试的仿真软件也是必不可少的 在现场的实际应用过程中 为了提高设备的 可用性 系统必须具有较高的可维护性 而作为计算机联锁系统的相应辅助工 具就是电务维修监测软件 同时软件的设计要考虑到容错及故障一安全 因此 在联锁软件必须具有相应的校验及检测软件来提高软件的安全性 从结构上来 讲检验与检测软件可以算是联锁运算软件的一部分 但考虑到它在设计上的独 立性和在系统中的地位 可以认为是一套具有独特功能的软件模块 2 一套完好的软件必须符合层次化 结构化 模块化和标准化的特点 在对 系 统总体功能分析的基础上 首先搭建系统的软件总体结构 如图3-7所示 控显软件模块 电 联 调 务 锁 试 维 运 仿 护 算 真 联锁机与上位机通信子模块 通 辅 软 软 信 助 联锁机间通信子模块 件 件 模 软 模 模 块 联锁机与 I/O 层通信子模块 件 块 块 模 块 采集驱动模块 故障检测软件模块 图3 7 软件系统的总体结构 Fig3-7 The total structure of software system 由上面的分析可知一套完整的软件系统应包含以下几个部分 控显软件模 块 联锁运算软件模块 采集驱动软件模块 调试仿真软件模块 校验与检测 39 上海交通大学工程硕士研究生学位论文 软件模块 通信软件模块和电务维护辅助软件模块 各个模块功能不同 相应 的软件的安全性级别也是不同的 控显软件 调试仿真软件和电务维护辅助软 件的安全性要求较低 而联锁运算软件 采集驱动软件和故障检测软件是直接 用于实现逻辑判断和设备控制的 属安全软件 必须具有很高的安全性和可靠 性 所以 整个软件系统的设计重点和难点是安全软件 3.2.2 联锁软件的冗余设计 系统的软件包含很多模块 但各个模块对软件的安全性要求并不一致 上 位机控显软件 电务维护辅助软件都是对安全性要求不高的软件 因此 在设 计中重点要研究功能的实现及运行的效率 同时考虑结构的模块化和功能的可 扩展性 计算机联锁系统的联锁层的软件要求具有极高的安全性 在软件的设 计上不仅要求结构化 模块化和标准化 而且要求必须有相应的故障-安全手段 来保障系统的安全性 常用的方法是采用软件的冗余技术来屏蔽或避免错误 我们研究的是二乘二取二计算机联锁系统 由系统的结构可知 可在三个 结构层次上采用冗余技术 即输入信息的冗余 输出信息的冗余和联锁核心运 算的冗余 下面重点分析联锁运算软件的冗余方案 我们的联锁运算软件的冗余方案是双套软件方案 即采用二个程序编制组 来分别独立开发出两套功能完全一致的联锁软件 两套软件在同一个联锁计算 机内运行 并在运算的过程中进行比较 程序分为多个进程执行 只有两套程 序达到任务级同步后 才可进入下一个进程 从而实现软件逻辑运算的二取二 双套软件方案要求两套软件必须都是正确的 而且在结构的设计上是一致的 我们采用的双套联锁软件已经在双机热备系统上得到多年的成功应用 实践证 明可靠安全 在这里我们仅是略加修改的移植 因此 本系统联锁软件的冗余方案是 对输入输出控制软件采用二取二表 决方法来提高安全性 对于联锁运算软件是双套软件方案 而且同一系内的两 个联锁机间进行二取二比较来进一步提高系统的安全性 下面我们主要分析联 锁运算软件的设计 3.2.3 联锁运算软件的功能模块分析 联锁运算软件是用来实现进路与信号 道岔 区段等设备之间的联锁关系 并建立安全可靠的进路以完成车站的接 发车及调车等方面的作业 这套软件 以铁道部 计算机联锁技术条件 为依据 并满足6502电气集中能完成的所有 联锁关系 3.2.3.1 联锁运算软件的模块划分 联锁运算软件的各种操处理的最终服务对象是进路 它的功能就是实现进 路的处理 按照进路建立的过程和信息的流向 及各种功能的关联关系及耦合 程度来划分软件的功能模块 从总体上可以分为三大部分 第一部分是与基本 进路的建立直接相关的功能处理 第二部分是为实现进路的建立而又具有一定 独立性的设备及场间联系的功能处理 如道岔的操作和闭塞的办理等 第三部 分是基本进路不能办理而必须采用的其它进路作业的处理 如引导接车 非进 路调车 溜放作业等 综合考虑以上因素 把联锁运算软件的功能划分为十一个模块 信息采集处理模块 把采集的现场设备信息转化为联锁运算能够识别 40 上海交通大学工程硕士研究生学位论文 的数据 按钮处理模块 把接收到的调度员操作按钮类型和匹配法则来确定进 路或设备操作命令 如果操作有效则把控制命令送到相应的功能模块 单独道岔操作控制模块 完成道岔的定 反位 单独锁闭 单解 封锁 封解等任务处理 锁闭并开放信号和 进路处理模块 完成进路的搜索 选排一致检查 正常解锁的处理 是整个联锁逻辑的核心模块 引导进路处理模块 在正常接车作业无法进行时 采用引导方式把列 车接入车站 包括引导总锁和一般引导接车两种方式 非进路调车处理模块 为实现方便及灵活调车 在站场的某一线路上 开放全部信号 用手信号来指挥调车作业 闭塞处理模块 实现两个车站间的接 发车作业的区间闭塞任务的办 理 连续溜放处理模块 在站场内为实现编组作业而进行的平面溜放作业 设备驱动命令处理 把联锁运算形成的控制命令转化为对设备驱动信 号来驱动1/0接口电路模块 向上位机传递信息处理模块 把站场的状态及操作提示信息转化为上位 机可识别的信息码 并压缩为一个数据包 上位机信息发送模块 属通信功能模块 把压缩好的数据包发送出去 以上十一个模块是以标准化站场为目标而设计的 但是站场产建设往往要 根据各自的地型或作业需要而有很大的不同 但是附加的功能往往具有一定的 独立性 因此 根据的不同的站场类型可以增 减相应的功能模块 3.2.3.2 各模块间信息流与关系图 信息采集与操作命令的接收模块 数据区 进路处理模块 按 钮 单独道岔操作控制模块 处 理 引导进路处理模块 模 非进路调车处理模块 块 闭塞处理模块 分 连续溜放处理模块 配 向上位机传递信息处理模块 设备驱动命令处理 上位机信息发送模块 图3 8 联锁软件模块关系图 Fig3-8 The relation diagram of interlocking software module 41 上海交通大学工程硕士研究生学位论文 上面所设计的十一个功能模块之间并不是完全独立的 各功能模块间的信 采集到的信息首先要送到数据存储区 而接收的操作命 息及关系如图3-8所示 令送给按钮处理模块 按钮处理模块根据按钮类型把形成的有效操作命令分配 给相应的模块 各个功能模块从数据区提取运算所需的数据 并把运算后的结 果送数据区 驱动与通信模块根据数据区的控制标识把形成驱动输出和通信数 据包并送给相应的设备 3.2.4 联锁运算软件的分层结构及特点 为了 二乘二取二系统主要采用软件来实现容错[31] (采取任务级松散同步) 降低系统定义和设计的复杂性 系统 同时为使系统的容错功能保持“透明性” 中对联锁运算应用软件采取分层结构进行定义 联锁运算应用软件分成上 下 两层 上层软件负责实现容错功能 下层软件负责系统的任务处理—联锁运算 功能 3.2.4.1 联锁运算应用程序上层定义 联锁运算应用程序的上层执行容错功能 主要负责系统执行的控制和管理 任务调度 机间通信和同步 机间动作表决以及故障状态下的系统重构等功能 环形冗余网 CPU-B CPU-A 初始化 初始化 读、存数据 读、存数据 分布数据 表决数据 表决数据 分布数据 任务处理 任务处理 分布数据 表决数据 分布数据 表决数据 输出结果 输出结果 联锁安全总线 图3 9 联锁运算应用程序上层定义 Petri网模型 Fig3-9 The upper layer definition of interlocking operation application software Petri net module 42 上海交通大学工程硕士研究生学位论文 联锁运算应用程序上层的定义 用Petri网模型表示 如图3 9所示 2个逻 彼此之间通过内部总线 辑控制单元(CPU—A CPU—B)并行执行不同的程序 来交换数据和状态信息以保持任务级上的同步 开始 下面以逻辑控制单元CPU—A为例分析系统的容错功能 系统上电后 系统初始化 系统初始化负责系统硬件复位 初始化堆栈区 网络初始化 系 统同步 任务调度和故障处理等功能 为联锁程序的运行建立一个必要的环境 当系统初始化成功后将进入系统运行阶段 系统运行阶段循环执行一序列操作 读 存数据 分布数据 表决数据 分布结果 表决 任务处理(联锁运算) 结果 输出结果 读 存数据 判定数据是 负责从操作表示层(上位机)接收命令数据包 否正确 保存数据 从采集驱动层接收采集 驱动信息 判定数据是 否正确 保存数据 分布数据 表决数据 通过内部总线将接收到的数据传输到CPU—B 同时接收从CPU—B传输过来的数据 当CPU—B的数据到达后进行“二 取二”表决 表决通过后继续向下执行 任务处理 针对已表决通过的数据(包括来自上位机的命令和来自采集 驱动模块的现场数据) 进行任务处理(联锁运算) 分布数据 表决数据 将任务处理(联锁运算)的结果传输到CPU—B 并对来自CPU—B的结果数据进行“二取二”表决 输出结果 将表决一致后的任务处理结果向上发送到操作表示层 向 下发送到驱动模块 以便驱动室外信号设备动作 同时接收驱动模块 的反馈信息以便判断驱动模块是否正确接收到信息 系统中对运算的输入数 由上面系统运行过程可看出其“二取二”容错功能 据采取了“二取二”表决 确保了两个联锁主机中(相同任务)的输入数据一致 任 务处理(联锁运算)在两个联锁主机中同步进行 同步任务(联锁运算)的处理结果 在两个联锁主机进行“二取二”表决 确保了输出结果的一致性 由上面系统运行过程还可看出 整个流程中任务处理(即联锁运算)与系统 同步 比较 容错功能(数据分布 表决等)相互分离 确保了容错功能的“透明 有利于联锁机应用软件上 下层之间的独立开发 调试和集成 性” 3.2.4.2 联锁运算抽象定义 应用程序的下层为联锁运算 负责对来自上位机的操作命令 根据采集驱 动层传来的现场信号设备表示信息进行联锁运算 运算完毕向采集驱动层发送 执行命令 同时向上位机反馈联锁执行情况 联锁运算 实际上是对操作员下达的各种操作命令 依据现场信号设备的 实际状态进行联锁逻辑处理 命令正确则向采集驱动层下达命令的具体实施 不正确则退出该命令的执行并向操作表示层报告 其命令处理部分的软件基本 系统中对各 结构如图3 10所示(图中的每一条命令对应于上层中的一个任务) 条命令并行执行 实际执行时将从上位机接收的命令依据接收到的先后顺序置 于命令列表 为防止并行操作带来的不确定性 对命令列表中各条命令在一个 因 循环周期内顺序执行(如图3 11) 由于整个联锁运算循环执行(见图3 9) 而无需保证一条命令执行完成后(由于联锁系统的实时性要求 一些命令在一个 当一条命令不符合联锁逻辑要求 循环内也不可能执行完成)才执行下一条命令 则从命令列表中清除该命令 以 (如对进路上的道岔单操)或其确实执行完成 43 上海交通大学工程硕士研究生学位论文 保证命令列表不因命令过多而溢出 选路 选路 人解 总定 人解 总定 图3 10 命令处理 图3 11 命令的实际执行 Fig3-10 Command processing Fig3-11 The actual execution of command 由于命令处理是对现场信号设备的处理 而各种信号设备之间存在着相互 制约的复杂联锁关系 这给系统的定义和设计增加了复杂性和难度 为降低系 统定义和设计的复杂性 同时保证系统的安全性能 在系统定义阶段采用了下 面几个步骤和技术 如 分层模型化 面向对象方法 EURIS安全定义语言 图3 12所示 进路对象 (a)分层模型化 信号对象 道岔对象 轨道对象 采集 驱动 进路 信号 道岔 轨道区段 采集板 驱动板 (b)面向对象方法 信号对象 道岔对象 轨道对象 采集 驱动 进路 信号 道岔 轨道区段 EURIS (c)对象定义语言 语言 采集板 驱动板 注 带箭头的虚线表示数据流向 12 联锁运算软件的定义过程 图3 Fig3-12 The definition process of interlocking operation software 44 上海交通大学工程硕士研究生学位论文 分层模型化 可将联锁系统抽象为 依据6502电气集中电路中的联锁规则 上 下两层 上层为进路层 负责处理与进路有关的一系列操作(如进路建立 下层为信号设备层 进路解锁等) 负责处理与单个信号设备有关的操作(如道 岔单操 同时为上层提供服务 区段故障解锁等) 如图3 12所示(图中带箭头 图中包括了采集 驱动层且 的虚线表示数据流向——为了便于表示数据流向 分开表示) 面向对象方法 依据上面的分层模型 抽象出参与联锁逻辑的各种对象(如 进路对象 信号对象 对具体对象 依据联锁规则 抽象出其 道岔对象等等) 各自的属性和操作(图3 10中的各种命令处理 就是图3 12中的各种对象的具 体操作或其集成) 安全定义语言 由于计算机联锁系统是安全 关键系统 为了保证联锁逻 辑的安全性 采用 对各具体对象(属性和操作)以及对象之间的联锁逻辑关系 了面向对象的模块化安全逻辑定义语言EURIS(European Railway Interlocking 保证了联锁逻辑定义的安全性 Specification)来进行定义 图3 13是EURIS语 言的一个简单事例 那么 首先流 如果从串口(port)接收到电报(Teiegram)T1 (flow)测试变量X(输入)的值 若X为1则流安排变量Y的值给Z然后通过串口b发 送电报T2 若X值为0则安排变量Y的值为1 X Y 1 (Z:Y) b T2 T1 a 0 1 图3 13 EURIS简单事例 Fig3-13 The simple instance of EURIS 当上 下层定义好 验证通过后 编码 即可进入具体的开发阶段(设计 测试和集成) 由于上 下层之间功能相互独立 因而各自独立地进行编码测试 测试通过后即可进行联锁机的软件集成 联锁机软件集成完成后 与上位机和 采集 完成整个系统的集成 测试 驱动(或环境仿真器)相连 3.3 小结 本章首先从详细分析了新一代二乘二取二计算机联锁的四个层次 操作表 示层 联锁逻辑控制层 采集驱动层与外部设备接口 最后得出了新型国产计 算机联锁系统的硬件体系结构图 随后阐述了联锁软件的总体结构设计与冗余 设计 其中主要讨论了联锁运算软件的功能模块设计与分层结构设计及特点 45 上海交通大学工程硕士研究生学位论文 第 4 章 新一代计算机联锁系统与其他系统的结合 随着中国经济的高速发展 我国高速铁路也发展迅速 铁道部提出了 8000 公里高速客运专线的建设 全国铁路到目前为止已经进行了五次大提速 这一切都推动着国内计算机联锁系统设备的快速发展 新一代计算机联锁系统 正是在这种背景下开始研发 由于现代铁路运输现代化管理的需要 计算机联 锁系统还需要为其他系统提供信息 调度集中 包括调度运行管理系统 DMIS CTC 列控系统与微机监测等 同时为了降低成本与集中控制对新一代计算机联 锁系统能够扩展为区域计算机联锁系统及分散自律调度集中系统提出了要求 下面我们就分别对新一代计算机联锁系统与区域计算机联锁系统及分散自律调 度集中 CTC 系统的关系做以阐述 4.1 新一代计算机联锁系统与区域计算机联锁 区域计算机联锁系统是以计算机联锁为基本模块构成的 用于控制成段多 个车站 或区域内多个车场 信号联锁及站间闭塞 场间联系 的信号系统 见图 4 新一代计算机联锁系统可以非常容易的扩展为区域计算机联锁系统 1 CTC 列控中心 DMIS 维修中心 以太网 微机监测 监控机 A 监控机 B 维护终端 安全冗余网 ? 程通信? 元 A 系二取二 I/O 接口 ? 程通信? 元 联锁机 CAN 总线 安全采集驱动模块 DDMR 相临车站室外设备 本车站室外设备 图 4 1 区域计算机联锁结构图 Fig4-1 The structure map of field CIS 46 上海交通大学工程硕士研究生学位论文 4.1.1 区域计算机联锁的基本功能与特点 由图 4 1 可见 区域计算机联锁系统由设置在控制中心的双系二取二联锁 以及连接它们的远程通信单元与 机和设置在各站的二取二采集/驱动智能模块 光缆构成 区域计算机联锁在功能上 用一套计算机联锁设备完成了调度控制 车站联锁和站间闭塞三大功能 实现了功能一体化 在技术上 集成了信号控 制 实现了技术一体化 现代通信和计算机三大技术 1)基本功能 控制中心集中控制区域内各车站的进路操作和联锁关系 控制中心只设一 套联锁主机 各车站仅设电子终端和辅助操作盘 正常时控制中心集中控制 必要时各车站可辅助操作 在控制区域内不需另设站间闭塞系统 实现车站联 锁和站间闭塞一体化 2)区域计算机联锁的特点 区域计算机联锁系统是通过在某一作业较多的车站由车务人员集中控制周 它既具有调度集中的宏观管 边一定范围内所有车站的信号联锁设备而构成的 理 远程控制的功能 又满足车站各种复杂作业的需要 而车站计算机联锁的 广泛应用和通信技术的发展 为区域计算机联锁奠定了良好基础 区域计算机 联锁的优势日益突出 区域计算机联锁的集中控制模式使车务人员能在较高的层次上管理本区域 内的列车运行情况 对车站和区间资源进行合理使用 从而提高线路的整体通 过能力 对于电务维修人员 可在控制中心集中监督各被控车站信号设备的状 态 作到全面 及时掌握辖区内各种设备的运行情况 有利于 状态修 的实 现 区域联锁中心控制车站设车务 电务值班人员 被控车站可不设或少设车 务 电务值班员 从而 降低了运营成本 达到减员增效的目的 区域计算机联锁系统将一定范围内的列车运行信息 信号设备状态 操作 控制命令等信息集中管理 因此 可作为列车运行指挥系统 车次跟踪系统 列控系统等一系列控制管理系统的子系统 可以说 区域计算机联锁系统在较 高层次的信息管理系统和基层单位信息之间起到了承上启下的作用 4.1.2 技术优势与工程实施 新一代二乘二取二计算机联锁系统作为区域联锁基础设备的优势与工程实 施如下 系统结构简单 设备连接便捷可靠 系统的双重冗余结构使系统的可靠性 成倍提高 系统硬件安全 可靠 无论是联锁机还是采集驱动模块本身均具有故障安 全性能 系统远程采用光缆作为信息传输通道 可靠性高 抗干扰能力强 传输距 离远 使区域联锁控制很容易实现 系统软件功能强大 安全可靠 模块化设计 适合各种规模和作业的站场 使用 采集驱动模块的可扩展性使系统应用更灵活方便 尤其适合作为区域联锁 系统中被控车站的 执行部 使用 系统设备具有抗电磁干扰性能 完全符合国家电磁兼容标准和防雷标准 47 上海交通大学工程硕士研究生学位论文 基于以上的技术特点 新一代计算机联锁系统在区域联锁控制中有着明显 的优势 该系统本身的系统结构使其在区域联锁控制中发挥了更大的优势 4.2 新一代计算机联锁系统与分散自律调度集中的结合 根据铁道部提出的铁路跨越式发展的战略 采用分散自律调度集中系统将 是一段时期内我国铁路信息化发展的重要内容 分散自律调度集中系统是综合 了计算机技术 网络技术和现代控制技术 采用智能化分散自律设计原则 以 列车运行调整计划控制为中心 兼顾列车预调车作业高度自动化的指挥系统 分散自律调度集中系统的技术条件 暂行 已通过铁道部审查 其中对于 控制模式 系统功能 列车作业 调车作业 系统及网络结构都作了较详细的 规定 下面我们探讨一下自律机与计算机联锁设备的结合 站间广域网 路由器 路由器 ? 站自律机 ? ? ? 端 ? ? ? 端 ? ? ? 端 ? ? ? 端 ? 站自律机 ? ? 控制台 ? ? 控制台 分散自律模式 非常站控模式 调度集中系统 鼠标 切? ? 置 ? ? 控制台 联锁系统 联锁系统 ? ? ? 算机 图 4 2 车站设备配置 Fig4-2 The device configuration of railway station 我们的方案是通过人机会话计算机将调度集中系统所需的联锁信息传至调 度集中自律机 将联锁系统需纳入的操作信息收集后传给联锁机 形成对操作 的干预 图 4 2 所示为车站上设备的配置 主要包括车站自律机 车务终端 联锁设备 包括控制台 以及维护终端等 新一代计算机联锁机与调度集中自律机通讯接口设计有以下两个方案 见 48 上海交通大学工程硕士研究生学位论文 下图 4 3 方案一 采用串行通讯协议 该方案采用串行接口实现车站自律机和人机 会话计算机的通讯 车站自律机和人机会话计算机之间点对点建立通讯连接 车站自律机和联锁操作机需要安装一块多串口卡 方案一特点如下 建议采用带光电隔离的 RS485 或 RS422 接口 1通讯速率在 1Mbps 以上 以减少通讯时延 串行网络采用点对点通讯方式 其中仍一台计算机需要在软件中分别与 2 两台计算机单独通讯 对系统资源占用较大 串行网络不宜于实现冗余设计 3 自律主机 自律? 机 自律主机 自律? 机 人机会话 人机会 人机会话 人机会 主机 话备机 主机 话备机 ? ? 主机 ? ? ? 机 ? ? 主机 ? ? ? 机 方案 2 方案 1 图 4 3 两种通讯接口设计方案 Fig4-3 The design scheme of two communication interface 方案二 实现网络冗余 该方案 车站自律机和联锁操作机采用 LAN 连结 自律机和联锁操作机采用 CAN 网或 LAN 网进行通讯 联锁操作机与自律机中 用电缆将每个计算机串联在网络中 方案二特 安装一块双口 CAN 卡或双网卡 点如下 每个节点均采用广播方式发送信息 其余各节点均可接收到信息 发 1 送数据对每个节点的系统资源占用较少 网络结构简单 维护方便 2 49 上海交通大学工程硕士研究生学位论文 网络中只要主干网络正常均可保证整个网络的双网冗余结构 与节点 3 的好坏无关 4.3 小结 本章主要介绍了新一代计算机联锁系统可以扩展为区域计算机联锁系统的 方式与结构框图 然后介绍了新一代计算机联锁系统与分散自律调度集中系统 相结合的两种方案 50 上海交通大学工程硕士研究生学位论文 第 5 章 结束语与展望 目前 随着电子信息技术和网络技术的发展 计算机联锁系统在铁路信号 控制方面的优势越来越明显 而且 电子产品的集成度 可靠性和功能都得到 了大大增强 各类型芯片及制造技术也越来越成熟 使得电子产品的价格大大 降低 因此 采用冗余方案来提高系统的可靠性 安全性和可用性成为可能 随着控制的站场规模的增加 计算机联锁系统相对于电气集中联锁系统的成本 优势也得到体现 所以 研究本课题具有深刻的理论意义与现实意义 本文深入研究了二乘二取二计算机联锁系统可靠性与安全性性能指标和实 现方法 主要进行了以下研究工作 通过对现有计算机联锁系统的体系结构研究和分析比较 确定了分布 式二乘二取二冗余方式为新一代计算机联锁系统的体系结构 采用马尔柯夫模型方法分析了二乘二取二系统的安全性和可靠性 并 与双机热备系统和三取二系统进行的仿真比较 针对本文提出的分布式结构对各个层次进行了硬件设计 研究了系统实现的软件结构 进行了模块划分 着重讨论了联锁运算 软件的结构与特点 通过研究表明 二乘二取二系统的安全性是很高的 其可靠性略低于三取 二系统 但其良好的可用性和可维护性远高于三取二系统 本课题的理论研究 为二乘二取二计算机联锁控制系统在铁路信号方面的应用提供了一定的理论依 据 现代通信技术与网络技术的发展为实现计算机联锁系统的分布式结构和远 程控制提供了技术支持 分布式结构不仅可以减少由联锁机到与外部设备接口 的配线数量 也易于实现故障重组和提高系统的冗余度 而且理论也表明 分 布式结构系统的可靠度要高于集中式的可靠度 对于防止共同模式故障也有很 好的效果 因此 分布式结构将成为计算机联锁系统的未来主要结构模式 结 合己开发成功的双机热备与三模冗余计算机联锁系统的成熟技术 给出了二乘 二取二系统的设计与实现方案 为实现该系统的开发和产品化奠定了技术基础 本文对二乘二取二系统的实现方法进行了研究 但是一个系统的构建和定 型还是需要大量的实验和测试工作 系统在开发和研制的过程中必然还存在很 大的提高和改进的空间 为进一步研究指出一个方向 铁路信号控制的原则是故障一安全 但随着车列运行速度的不断提高和运 输密度的不断增加 保证行车安全和整个铁路线路运输的正常运行就显得尤为 重要 如果因为某一车站控制系统的故障而导致运输作业无法正常进行 那么 整个铁路运输线路都将受到影响 其所带来的损失也是十分巨大的 因此 在 保证行车安全的前提下 如何提高铁路运输的作业效率和提高铁路信号控制系 统的可靠性就更加重要了 系统发生故障是不可避免的 在故障发生后保证系 统还能够正常工作 除了要采用容错技术外 还要提高故障模块的可维修率 使系统尽快恢复到良好状态 所以系统的可用度和可维护性也是一个重要的研 究方向 二乘二取二系统把故障屏蔽技术与故障切换技术结合起来 在满足系 统的可靠性要求的前提下 进一步提高了系统的安全性和可维护性 是集合了 双机热备系统和三模冗余系统的优点的新的联锁系统 必然具有良好的应用前 景 51 上海交通大学工程硕士研究生学位论文 参考文献 [1] 赵志熙.车站信号控制系统.北京:中国铁道出版社,1995. [2] 赵志熙.计算机联锁系统技术.北京:中国铁道出版社,1994:93 203. [3] 张福祥,徐建国.车站计算机联锁.北京:中国铁道出版社,2002:1 9. [4] 郭进.微机联锁系统实时性研究.铁道学报,1998,20(3),76 82. [5]谢宝峰.车站计算机联锁系统的现状与发展.交通运输系统工程与信息,2004, 4(4):86 90. [6] 吴汶麒.国外铁路信号新技术.北京:中国铁道出版社,2000:61 20. [7] 邹振民.日本新干线采用的计算机联锁系统.铁道通信信号,2000, 36(4):35 36. [8] 胡谋.计算机容错技术.北京:中国铁道出版社,1995. [9] 员欣春.铁路信号容错技术.北京:中国铁道出版社,1997:67 97. [10] 铁科院通号所.TYJL-II 计算机联锁控制系统研究报告.北京:铁道科学研究 院,1997. [11] 铁科院通号所.TYJL-TR9 容错汁算机联锁控制系统研究报告.北京:铁道科 学研究院,1997. [12] 铁科院通号所.TYJL-TR2000国产容错计算机联锁控制系统研究报告.北京: 铁道科学研究院,2000. [13] 郭永基.可靠性工程原理.北京:清华大学出版社,2002. [14] 韩炜,臧红伟,谢克嘉.四余度容错计算机系统结构及其可靠性分析.计算机 工程与科学,2003,25 1 ,98 100. [15] 高继祥,郑俊杰.双机热备计算机联锁系统可靠性与安全性指标分析.北方交 通大学学报,1998,22(5):73 77. [16] 阎剑平 ,汪希时 .两种方式双机热备结构的可靠性和安全性分析 .铁道学 报,2000, 22(3):124 127. [17] 郭进,董显.微机联锁系统可靠性计算.兰州铁道学院学报,1997, 16(l):51 57. [18] 徐志根,王长林.三模冗余结构微机联锁系统的安全度分析.西南交通大学学 报,1999,34(6):713 717. [19] 王丽华,徐志根.可维修三模冗余结构系统的可靠度与安全度分析.西南交通 大学学报,2002,37(l):103 107. [20] 岳强 . 二取二乘二计算机联锁系统的研究 .北京交通大学硕士学位论 文,2004. [21] 章国栋.系统可靠性与维修性的分析与设计.北京:北京航空航天大学出版 社,1990. [22] 惠永琴 .两种不同结构可修的 ATP 系统可靠性分析和比较 .铁道学报 , 1995:41 47. [23] Goble W M. High Availability Systems for Safety and Performance-The Coverage Factor.Proceedings of the ISA89 Conference and Exhibit, Research Triangle, NC:ISA, 1989. [24] Harris D E. Built-in Test for Fail-Safe Design. Proceedings of the Annual Reliability and Maintainability Symposium, New York:IEEE, 1986. 52 上海交通大学工程硕士研究生学位论文 [25] Bukowski J V, Goble W M. Common Cause-Avoiding Contorl System Failures.Proceedings of ICS94 Conference, Research Triangle Park, NC:ISA, 1994. [26] Rutledge P J. Dependent-Failures in Spacecraft: Root Cause, Coupling Factors,Defenses, and Design Implications. Proceedings of the Annual Reliability and Maintainablility Symposium, New York: IEEE, 1995, 337 342. [27]Goble W M. Control Systems Safety Evaluation and Reliability (Second Edition).ISA Press,1998. [28]单冬,燕水田.计算机联锁控制系统安全保障体系的一种模型.铁道学报,1998, 22(5):83 86. :北京航空航天大学出版 [29] 邬宽明 .CAN 总线原理和应用系统设计 .北京 社,1996. [30] 沈洁,CAN 总线技术及其在微机联锁系统中的应用,铁道学报,1998,20(3), 85 91. [31] 杨扬,潘明,卢佩玲等.TYJL-TR2000 型容错计算机联锁控制系统设计和实 现.铁道学报,2002,24(1),50 54. 53