軌道交通安全計算機.docx

軌道交通的安全計算機軌道交通運行控制系統(tǒng)大多是實時、多任務(wù)和安全苛求的計算機控制系統(tǒng)，美國Wind River公司的VxWorks是微內(nèi)核結(jié)構(gòu)的多任務(wù)嵌入式實時操作系統(tǒng)(RTOS)，相當(dāng)符合這種控制系統(tǒng)的要求。VxWorks采用了中斷驅(qū)動和基于優(yōu)先級的搶占式任務(wù)調(diào)度方式，包括豐富的任務(wù)間通信與同步機制，例如共享內(nèi)存、互斥、信號量、消息隊列、信號和管道等，它還提供了先進的內(nèi)存保護機制和容錯管理框架。VxWorks的可靠性和實時性在許多領(lǐng)域都得到了驗證，是目前優(yōu)秀的多任務(wù)嵌入式實時操作系統(tǒng)之一。為了進一步提高列車運行速度和線路運營效率，基于通訊的列車控制系統(tǒng)(Communication Based Train Control system ,CBTC)成為城市軌道交通的主要發(fā)展趨勢。在CBTC系統(tǒng)中，車載控制器、區(qū)域控制器和計算機聯(lián)鎖控制器是系統(tǒng)的核心組成部分，對整個CBTC的安全可靠運行具有重要影響。而作為這些系統(tǒng)載體的安全計算機，其安全性、可靠性、可用性和可維護性等性能指標(biāo)也成為影響整個CBTC系統(tǒng)安全可靠性的重要因素。本文針對軌道交通領(lǐng)域?qū)Π踩嬎銠C在安全性能方面的苛刻要求，提出了一種基于三取二表決結(jié)構(gòu)的安全計算機系統(tǒng)的設(shè)計方法。1.1選題背景、目的和意義 當(dāng)今中國社會進步迅速、城市規(guī)模迅速擴大、城市人口過度密集以及基礎(chǔ)設(shè)施建設(shè)未及時跟上，造成城市交通擁堵問題已經(jīng)成為制約諸多大中城市發(fā)展的一道障礙。城市軌道交通(包括城市輕軌和地下鐵)具有運能大、快捷方便、安全舒適以及相對與公路交通污染小、排放少、節(jié)能環(huán)保等優(yōu)點，正在被越來越多的城市作為解決交通擁堵問題的主要解決途徑，并加以積極發(fā)展建設(shè)。 隨著電子信息技術(shù)的發(fā)展，在軌道交通領(lǐng)域，傳統(tǒng)的繼電器聯(lián)鎖方式軌道交通信號系統(tǒng)正在逐漸被以計算機聯(lián)鎖為代表的安全計算機信號系統(tǒng)所代替。人們對城市軌道交通的要求越來越高，如何保證列車的安全、可靠、穩(wěn)定、快速以及高效的運行是城市軌道交通信號系統(tǒng)函待滿足的根本需求。如果系統(tǒng)不能夠保證長期穩(wěn)定、安全、可靠地運行，將可能出現(xiàn)不可預(yù)料的嚴重后果。系統(tǒng)的失效或者故障往往可能導(dǎo)致重大的生命財產(chǎn)損失，包括人員的傷亡、設(shè)備的損壞、環(huán)境的破壞和財產(chǎn)損失等嚴重后果，因此系統(tǒng)的安全可靠運行能力是軌道交通信號系統(tǒng)的一項重要指標(biāo)。安全計算機作為城市軌道交通信號系統(tǒng)的核心，在保證行車安全、增強旅客乘坐舒適度、提高運營效率、提高列車運行精確度等方面覺有決定性作用。保證安全計算機系統(tǒng)的安全可靠運行是安全計算機系統(tǒng)設(shè)計制造過程中的一項基本要求。目前軌道交通信號系統(tǒng)正朝著自動化、智能化、系統(tǒng)化、網(wǎng)絡(luò)化和信息化的方向發(fā)展，基于通信的列車控制系統(tǒng)(CBTC)是目前全球軌道交通行業(yè)內(nèi)公認的最先進的列車運行控制技術(shù)，是當(dāng)今世界范圍內(nèi)軌道交通信號技術(shù)的發(fā)展趨勢fl。它的特點是用無線通信媒體來實現(xiàn)列車和地面的雙向通信，用以代替軌道電路作為媒體來實現(xiàn)列車運行控制。CBTC的突出優(yōu)點是實現(xiàn)了車一地雙向通信，而且數(shù)據(jù)吞吐量大，傳輸速度快，減少區(qū)間鋪設(shè)電纜數(shù)量，減少一次性投資及日常維護工作，可以大幅提高軌道交通運營效率。我國的CBTC技術(shù)相比國外雖然起步較晚，但正處于迅速發(fā)展階段。到目前為止，北京、上海、廣州、深圳等城市軌道部分線路己經(jīng)正在使用CBTC系統(tǒng)，而大部分的在建線路以及一些老線路都準(zhǔn)備應(yīng)用CBTC系統(tǒng)或者進行CBTC改造。國內(nèi)目前在做CBTC國產(chǎn)化的企業(yè)和研究機構(gòu)主要有:北京交大微聯(lián)、上海卡斯科、上海阿爾卡特、浙大網(wǎng)新眾合軌道、北京和利時等，在目前國家大力發(fā)展城市軌道交通，增加基礎(chǔ)設(shè)施建設(shè)力度的大環(huán)境下，只要把握住時機和機遇，國產(chǎn)化CBTC系統(tǒng)將大有所為。CBTC系統(tǒng)主要由車載子系統(tǒng)、區(qū)域控制子系統(tǒng)、ATS/ATC子系統(tǒng)、數(shù)據(jù)通訊子系統(tǒng)、聯(lián)鎖子系統(tǒng)構(gòu)成f2l。其中車載子系統(tǒng)、區(qū)域控制子系統(tǒng)以及聯(lián)鎖子系統(tǒng)作為CBTC系統(tǒng)的重要組成部分，分別完成對列車運行的ATP/ATO控制、區(qū)域內(nèi)列車的移動授權(quán)、列車運行的移動閉塞、軌道信號系統(tǒng)的聯(lián)鎖邏輯運算等功能，其安全性和可靠性與列車運行安全息息相關(guān)，為了保證操作人員和旅客的人身安全，系統(tǒng)的可靠性和安全性必須得到更好的保證。因此在這些子系統(tǒng)中應(yīng)用的計算機系統(tǒng)通常為基于多模冗余容錯技術(shù)的安全計算機系統(tǒng)，本文在對常用安全計算機的安全性和可靠性進行分析比較的基礎(chǔ)上，提出了一種新型三取二安全計算機系統(tǒng)的設(shè)計方法。安全計算機。由于計算機和網(wǎng)絡(luò)技術(shù)的長足發(fā)展，工業(yè)、交通、國防、日常生活都離不開計算機網(wǎng)絡(luò)技術(shù)。計算機網(wǎng)絡(luò)技術(shù)對于軌道信號的發(fā)展是革命性的。逐漸產(chǎn)生微機聯(lián)鎖系統(tǒng)、車地實施通信等高端技術(shù)使軌道運輸自動化程度大大提高。計算機控制系統(tǒng)可以降低成本，提供便利，增強系統(tǒng)功能，最大限度減少人為出錯率。但是有利必有弊，計算機信號系統(tǒng)也有其弊端。一是計算機系統(tǒng)的雜性，軟件硬件都是一個不小的問題，尤其是軟件，簡單的軟件程序也有數(shù)以千計的執(zhí)行路徑，這對于保證系統(tǒng)安全性能帶來不小挑戰(zhàn)，發(fā)生事故時，尋找失誤之處也變得比較困難。但是畢竟計算機信號系統(tǒng)是未來發(fā)展的趨勢，人們于是把故障安全技術(shù)和計算機網(wǎng)絡(luò)技術(shù)結(jié)合起來，形成了一些新的技術(shù)和方法。一般說來有故障檢測與診斷技術(shù)、計算機容錯技術(shù)，前者一般目的在于盡快發(fā)現(xiàn)故障，能夠投入備份或者及時修復(fù)，后者主要通過冗余屏蔽錯誤的影響或是利用重構(gòu)使系統(tǒng)緩慢降級。本題目研究的目的為開發(fā)一種新型的具有更高的安全性、可靠性的安全計算機系統(tǒng)，采用嵌入式操作系統(tǒng)和三取二冗余表決形式，實現(xiàn)在系統(tǒng)發(fā)生任一單點故障的情況下，系統(tǒng)的不間斷正常運行，保證整個系統(tǒng)的可靠性和安全性。 首先對安全計算機多種結(jié)構(gòu)的可靠性和安全性進行了比較，最后選取了三取二冗余表決結(jié)構(gòu)作為安全計算機的最終實現(xiàn)形式。詳細描述了安全計算機的運行原理和容錯功能的實現(xiàn)機制，并對系統(tǒng)的軟硬件總體組成結(jié)構(gòu)進行了論述。 從硬件方面詳細說明了系統(tǒng)的硬件總體結(jié)構(gòu)，采用模塊化設(shè)計方法，對系統(tǒng)硬件進行了模塊化戈分，并對每個功能子模塊的內(nèi)部結(jié)構(gòu)和組成進行了描述說明。討論了在硬件模塊電路中采用的故障一安全措施，以及這些措施的工作原理。 從軟件方面研究安全計算機系統(tǒng)的實現(xiàn)方式，運用模塊化的方法對系統(tǒng)軟件進行了功能模塊劃分。研究的重點是安全計算機三冗余模塊之間的同步、冗余數(shù)據(jù)的三取二表決、對外數(shù)據(jù)通訊的管理、系統(tǒng)故障的檢測與識別等內(nèi)容。1.2.1安全計算機研究及發(fā)展現(xiàn)狀 安全計算機系統(tǒng)是指在發(fā)生故障的情況下，能夠?qū)崿F(xiàn)系統(tǒng)的故障導(dǎo)向安全，即系統(tǒng)的輸出在故障狀態(tài)下導(dǎo)向安全側(cè)，從而避免造成重大的生命財產(chǎn)損失。安全計算機在航空航天、軍事軍工、化工能源、軌道交通等安全苛求領(lǐng)域具有廣泛的應(yīng)用，要求計算機系統(tǒng)具有長時間穩(wěn)定可靠運行的能力，和避免發(fā)生重大災(zāi)害的故障處理能力。 由于當(dāng)前的電子元器件計算機本身并不具有固有的“故障一安全”特性，從而導(dǎo)致由其組成的計算機系統(tǒng)在發(fā)生故障時的輸出結(jié)果無法預(yù)料，因此必須通過采用特殊的容錯結(jié)構(gòu)和專用的操作系統(tǒng)使系統(tǒng)在計算機故障時處于安全狀態(tài)3。設(shè)備故障是不可避免的，要使系統(tǒng)在設(shè)備故障時不出現(xiàn)危險的后果，必須采用合適的系統(tǒng)結(jié)構(gòu)和設(shè)計方法，而實現(xiàn)安全計算機的“故障一安全”特性最常用的技術(shù)就是容錯技術(shù)。 容錯技術(shù)的基本出發(fā)點是承認系統(tǒng)故障的不可避免性，它的本質(zhì)是容忍故障存在，進而采取措施解除故障影響的技術(shù)。容錯技術(shù)最重要的思想是冗余和重組，其對故障的處理主要有以下幾種措施4 1） .故障限制:限制故障的影響范圍，一般采取隔離、模塊化等技術(shù)措施。 2） .故障檢測:實現(xiàn)對故障的檢測和定位，方便維修和維護。可采用聯(lián)機檢測和脫機 自檢的方法一 1）.重試:在某些環(huán)境因素(如電磁干擾)的影響下，系統(tǒng)出現(xiàn)瞬態(tài)故障。這種情況下可采用對操作進行重試，即可消除故障的影響。 2）.恢復(fù)重組:即當(dāng)檢測到故障后，就啟用冗余設(shè)備，進行重組，屏蔽故障的影響。 3）.重啟:當(dāng)故障無法消除，計算機系統(tǒng)失效時，可以進行設(shè)備重啟，消除故障。但是設(shè)備重啟一般需要一定的時間，所以最好能夠配合冗余和重組技術(shù)構(gòu)建熱備冗余系統(tǒng)。重啟分為軟重啟和硬重啟。 4）.對故障部件進行修理使之復(fù)原。修復(fù)工作可以脫機進行，也可以聯(lián)機進行。要進行脫機修復(fù)，要求系統(tǒng)硬件最好能夠支持熱插拔技術(shù)。 5）.重構(gòu):將修復(fù)的設(shè)備重新裝回系統(tǒng)，成為備用部件。 隨著軌道交通對列車運行速度和運能要求的提高，保證行車的安全性和可靠性成為越來越為重要的研究課題。軌道交通信號系統(tǒng)以及列車運行控制系統(tǒng)作為CBTC系統(tǒng)中的重要組成部分，普遍采用了安全計算機作為系統(tǒng)運行平臺，其運行的安全性和可靠性是業(yè)內(nèi)非常重視的關(guān)鍵問題。 早在1978年，瑞典的Ericesson公司(現(xiàn)屬于Adtrans公司)就研制出一臺安全計算機作為城市地鐵的聯(lián)鎖控制器在瑞典哥德堡站(Geteborg)投入運行。由于安全計算機相比以往的軌道繼電器電路在性能和擴展性、維護性方面的諸多優(yōu)勢，安全計算機系統(tǒng)在軌道交通上的應(yīng)用越來越為廣泛，各家公司紛紛研制了自己的安全計算機系統(tǒng)。 在國外，其中最具代表性的安全計算機系統(tǒng)主要有: （1）.德國西門子公司研制的SIMIS系統(tǒng)。該安全計算機采用二取二結(jié)構(gòu)，即采用的兩臺完全相同的計算機組構(gòu)成熱備冗余結(jié)構(gòu)，在系統(tǒng)的輸出設(shè)有硬件比較器，從而實現(xiàn)系統(tǒng)的“故障一安全”。 （2）.德國西門子公司研制的SICAS系統(tǒng)。該安全計算機采用的是三取二結(jié)構(gòu)，即采用的三臺完全相同的計算機組構(gòu)成三模冗余結(jié)構(gòu)。這套系統(tǒng)的特點是結(jié)構(gòu)簡單、配置靈活，但不適用于控制單元多、聯(lián)鎖邏輯較為復(fù)雜的情況。 （3）.瑞典Adtranz公司研制的EBILOCK系統(tǒng)。該安全計算機也是采用采用二取二雙機熱備冗余結(jié)構(gòu)方式來提高可靠性和安全性。 （4）.Alcatel公司研制的SelTra。系統(tǒng)5。該系統(tǒng)應(yīng)用于基于無線通信的列車控制系統(tǒng)，作為系統(tǒng)中的區(qū)域控制器來實現(xiàn)列車運行的移動閉塞技術(shù)。該安全計算機采用的一是三取二結(jié)構(gòu)，通過對輸出的三取二表決來實現(xiàn)系統(tǒng)的容錯能力。 （5）.Bombardier公司的Flexiblok(現(xiàn)改名CITYFLO ) CBTC系統(tǒng)中的軌旁ATP(區(qū)域控制器)、聯(lián)鎖控制器和車載ATP(車載控制器)等皆為基于二乘二取二結(jié)構(gòu)的安全計算機系統(tǒng)。（6）.USSI公司(已被Ansaldo收購)的MicroLock計算機聯(lián)鎖系統(tǒng)，采用的是熱備冗余結(jié)構(gòu)的安全計算機系統(tǒng)。（7）.GRS公司(己被Alstom收購)研制的VPI系統(tǒng)，采用的也是雙模冗余技術(shù)來提高系統(tǒng)的可靠性國內(nèi)的公司和研究機構(gòu)自80年代初就開始了軌道交通安全計算機的研制工作，但進展比較緩慢。到90年代中后期，進入了快速發(fā)展階段，安全計算機首先被應(yīng)用于實現(xiàn)軌道交通信號系統(tǒng)的聯(lián)鎖功能，即計算機聯(lián)鎖系統(tǒng)。其中具有代表性的是: 1、鐵道部科學(xué)研究院通號所的TYJL-II雙機熱備型、TY兒一TR9與TYJL-TR2000三取二型計算機聯(lián)鎖系統(tǒng)f-8102、通號公司研究設(shè)計院計算機所的DS6-11雙機熱備、DS6-20三取二型、DS6-KSB二乘二取二型計算機聯(lián)鎖系統(tǒng)90 3、北京交大微聯(lián)公司的JD-1 A雙機熱備型與EI32-JD型計算機聯(lián)鎖系統(tǒng)1 .0 4、卡斯科公司的iLock二乘二取二計算機聯(lián)鎖系統(tǒng)W0除此之外，國內(nèi)還有諸如北京和利時、華為技術(shù)有限公司、浙大網(wǎng)新眾合軌道、蘭州大成等其他公司亦在研發(fā)自己的安全計算機系統(tǒng)。12 安全計算機理論研究及現(xiàn)狀 安全計算機系統(tǒng)最主要的功能是保證列車運行安全，降低事故發(fā)生可能性、提高列車運營效率，安全性、可靠性、可用性和可維護性是評價安全計算機系統(tǒng)優(yōu)劣的重要指標(biāo)。在對安全計算機系統(tǒng)不同結(jié)構(gòu)的安全性、可靠性、可用性和可維護性進行量化分析方面，前人已經(jīng)做過很多理論研究工作，有很多已經(jīng)被證明為正確有效的方法。 Markov模型是分析安全計算機可靠性最為有效的方法之一。Markov過程認為系統(tǒng)在時刻to所處的狀態(tài)和時刻to之前所處的狀態(tài)無關(guān)，且將來時刻t的狀態(tài)與現(xiàn)在的狀態(tài)有關(guān)，而與過去狀態(tài)無關(guān)，這一特點被稱為“無后效性”或者“無記憶性”或“馬氏性”(121。系統(tǒng)中故障的出現(xiàn)和修復(fù)都是隨機，而與以前的狀態(tài)無關(guān)，因此這種過程屬于Markov過程。Markov模型可以綜合反映多種失效模式對系統(tǒng)性能指標(biāo)的影響，對Markov模型進行定量分析，可以提供對系統(tǒng)的可靠性、安全性及可用性設(shè)計方案的比較和評價130故障樹分析(Fault Tree Analysis, FTA)技術(shù)是美國貝爾電報公司的電話實驗室于1962年開發(fā)的，在可靠性工程分析領(lǐng)域得到了廣泛的應(yīng)用【14。故障樹分析采用邏輯表示的方法，形象地對系統(tǒng)故障進行，具有直觀明朗、思路清晰、邏輯性強的特點，可以對系統(tǒng)的可靠性做定性分析，也可以用來做定量分析。定性分折的主要目的是尋找導(dǎo)致與系統(tǒng)有關(guān)的不希望事件發(fā)生的原因和原因的組合，即尋找導(dǎo)致頂事件發(fā)生的所有故障模式。定量分析的主要目的是當(dāng)給定所有底事件發(fā)生的概率時，求出頂事件發(fā)生的概率及其他定量指標(biāo)。在系統(tǒng)設(shè)計階段，故障樹分析可幫助判明潛在的故障以便改進設(shè)計，包括維修性設(shè)計。在系統(tǒng)使用維修階段，可幫助故障診斷改進使用維修方案。 失效模式分析(Failure mode and effects analysis, FMEA)是一種系統(tǒng)化的Z程設(shè)計輔助工具，主要是利用表格方式協(xié)助工程師進行工程分析y s a FMEA在1960年被應(yīng)用于航空工業(yè)中奢名的阿波羅計劃(Apollo)，并于80年代美國軍方確認為軍方規(guī)范。不同于FTA的自上而下的分析方法，F(xiàn)MEA采用的是自下而上的分析方法，其目的在于改善產(chǎn)品和制造的可靠性，在產(chǎn)品設(shè)計或生產(chǎn)工藝真正實現(xiàn)之前發(fā)現(xiàn)產(chǎn)品的弱點，可在原型樣機階段或在大批量生產(chǎn)之前確定產(chǎn)品缺陷。，從而提升產(chǎn)品質(zhì)量，降低成本損失。 此外在安全計算機的設(shè)計制造過程中被廣泛應(yīng)用的可靠性分析方法還有諸如故障模式、影響及關(guān)鍵性分析(Failure mode, effects, and criticality analysis,FMEAC)6,隱患日志(Hazard Log)1等其他安全性和可靠性分析以及保證技術(shù)方法。運用這些成熟可靠的技術(shù)方法可以更好的保證在安全計算機的設(shè)計、制造、安裝以及維護過程中的系統(tǒng)整體的安全性和可靠性。第二章安全計算機系統(tǒng)原理與需求分析2.1安全計算機系統(tǒng)原理2.1.1雙機熱備安全計算機雙機熱備安全計算機系統(tǒng)的邏輯運算層一般由兩個獨立的單元組成，每個邏輯運算單元具有相同的硬件結(jié)構(gòu)，運行相同的軟件程序，都能獨立完成規(guī)定的同樣的功能。雙機熱備結(jié)構(gòu)安全計算機可以根據(jù)現(xiàn)場應(yīng)用的具體情況采用2種完全不同的工作方式:純熱備工作方式和二取二工作方式。 采用純熱備工作方式時兩個單元都上電工作，同時采集輸入數(shù)據(jù)，進行數(shù)據(jù)邏輯運算和處理。但只有主工作單元的輸出有效，通過切換單元選通使能實現(xiàn)輸出。兩個單元均有故障檢測功能，在系統(tǒng)運行過程中實時進行自檢。當(dāng)主工作單元發(fā)現(xiàn)自身出現(xiàn)故障時，就給出控制信號并釋放控制權(quán)限，驅(qū)動切換單元進行切換，然后給出報警信息等待維修。若是備機出現(xiàn)故障的情況下，則自動下機給出報警信息，等待維修人員進行維修或者更換。雙機熱備聯(lián)鎖系統(tǒng)在純熱備工作方式下的原理結(jié)構(gòu)如下圖所示:圖2.1純熱備工作方式原理結(jié)構(gòu)框圖雙模冗余安全計算機的另一個工作方式為二取二模式。在這種工作模式下，系統(tǒng)的兩個邏輯運算單元都上電工作，同時采集輸入數(shù)據(jù)，進行數(shù)據(jù)邏輯運算和處理，并同時進行輸出。與純熱備工作方式不同的是，二取二模式下安全計算機并不存在主從差異，不需要一個主從切換控制單元，而代之為一個二取二表決單元，該單元同時接收兩個邏輯運算單元的數(shù)據(jù)結(jié)果并對其進行二取二表決。二取二表決執(zhí)行的邏輯為:當(dāng)且僅當(dāng)兩路輸出數(shù)據(jù)皆為有效的危險側(cè)輸出時，方才輸出危險側(cè)信號。與純熱備模式的另外一個區(qū)別是兩個單元也都分別有故障檢測模塊，但是當(dāng)任一模塊檢測的故障時，系統(tǒng)輸出導(dǎo)向安全，故障模塊告警并等待維修。雙機熱備聯(lián)鎖系統(tǒng)在二取二工作方式下的原理結(jié)構(gòu) 二乘二取二安全計算機設(shè)計的關(guān)鍵是實現(xiàn)主備兩系4個冗余邏輯運算單元的同步、主備系的故障檢測以及主備切換功能。為了保證二乘二取二安全計算機的邏輯運算單元能夠同時采集輸入，同時進行數(shù)據(jù)處理和邏輯運算，并同時給出數(shù)據(jù)結(jié)果向輸出級輸出，二乘二取二安全計算機的4個邏輯運算單元必須在運行的過程中保持數(shù)據(jù)運算和執(zhí)行度的一致性，即必須進行同步。二乘二取二安全計算機的同步不僅包括主備兩系之間的同步，同時包括系內(nèi)兩個邏輯運算單元之間的同步，同步的方式通常有時鐘級同步、固定周期同步和任務(wù)級同步等幾種，實現(xiàn)的方式又可分為硬件同步和軟件同步。當(dāng)今安全計算機所采用的同步方式多為任務(wù)級同步，由軟件來實現(xiàn)。二乘二取二安全計算機的每一個獨立的計算機系為二取二表決系，正常工作時主系獲得輸出控制權(quán)，當(dāng)主系數(shù)據(jù)輸出存在表決不一致的情況時，說明系內(nèi)某一個數(shù)據(jù)處理/運算通道存在故障，則與備系的兩個數(shù)據(jù)結(jié)果進行比對來識別故障單元，主系給出告警信息并發(fā)出主備切換指令控制切換單元進行主備切換。當(dāng)備系在熱備狀態(tài)時的自檢測發(fā)現(xiàn)輸出表決的不一致時，亦與主系的表決結(jié)果進行對比，由此發(fā)現(xiàn)故障單元，給出告警信息并下機等待維修。2.2.2安全計算機結(jié)構(gòu)選擇安全計算機的體系結(jié)構(gòu) 常見的安全計算機系統(tǒng)結(jié)構(gòu)冗余方式，如雙機熱備、三取二表決、二取二表決、二取二乘二等，它們的安全性和可靠性指標(biāo)已有很多文獻從理論上進行了論證，并且已經(jīng)應(yīng)用在多種軌道交通信號設(shè)備上，如車站計算機聯(lián)鎖系統(tǒng)和列車自動運行系統(tǒng)等。目前，采用雙機熱備形式的安全計算機應(yīng)用比較廣泛，在雙機熱備的技術(shù)基礎(chǔ)上可以構(gòu)建二取二乘二的結(jié)構(gòu)，而兩者相比，后者明顯具有更高的安全性和可靠性。IEC61508標(biāo)準(zhǔn)中推薦在安全相關(guān)領(lǐng)域的電子設(shè)備/系統(tǒng)采用以下S種容錯結(jié)構(gòu):1、.loo I ( one out of one )結(jié)構(gòu)。這種架構(gòu)只有一個獨立模塊，為非冗余結(jié)構(gòu)，但是電路內(nèi)部具有故障一安全特性，任一故障的產(chǎn)生會被導(dǎo)向安全側(cè)輸出。其結(jié)構(gòu)框圖如下圖所示:2 ( one out of two)結(jié)構(gòu)，即熱備冗余結(jié)構(gòu)。這種結(jié)構(gòu)具有兩個功能相同的冗余模塊，當(dāng)任一模塊輸出有效信號時，輸出有效。3.2002 ( two out of two)結(jié)構(gòu)，即二取二結(jié)構(gòu)。這種結(jié)構(gòu)具有兩個功能相同的冗余模塊，當(dāng)且僅當(dāng)兩個模塊都輸出危險側(cè)信號時，系統(tǒng)才輸出危險側(cè)信號。.1 oo2D (one out of two with diagnostic)結(jié)構(gòu)。這種結(jié)構(gòu)在1002結(jié)構(gòu)的基礎(chǔ)上增加了2個故障檢測模塊，在檢測模塊檢測到本模塊的故障時，輸出由另外一個工作正常的模塊決定;當(dāng)兩個模塊都為故障狀態(tài)時，輸出回路切斷。本結(jié)構(gòu)的原理框圖如下圖所示:.2003 ( two out of three)結(jié)構(gòu)，即三取二結(jié)構(gòu)。這種結(jié)構(gòu)由3個功能相同的冗余模塊構(gòu)成，并具有一個對輸出進行多數(shù)表決的三取二表決模塊，任一模塊的故障輸出不會影響系統(tǒng)的正常工作。三取二的結(jié)構(gòu)原理框圖如下圖所示: 圖2.7 2003原理結(jié)構(gòu)框圖 ICE61508對這五種結(jié)構(gòu)的安全性、可靠性、可用性和可維護性進行了詳細的比較，在這五種結(jié)構(gòu)中，loo2D結(jié)構(gòu)和200結(jié)構(gòu)的性能最好。在對2003結(jié)構(gòu)進行改進的情況下，即當(dāng)三取二中的單一模塊故障時降級為二取二工作方式，2003這種結(jié)構(gòu)就比之1 oo2D結(jié)構(gòu)覺有更高的安全性、可靠性和可用性了。因此本文選用三取二結(jié)構(gòu)作為安全計算機系統(tǒng)的總體結(jié)構(gòu)，在此基礎(chǔ)上設(shè)計安全計算機的硬件系統(tǒng)和軟件系統(tǒng)。第五章測試與結(jié)果 目前該三取二安全計算機的系統(tǒng)樣機己設(shè)計完成，并在實驗室完成了各項功能和性能測試，如圖5.1所示。CPU模塊之間的CPUbus總線經(jīng)測試可以達到最高20Mbps的通訊速率，通過CPUbus總線進行的同步功能達到了系統(tǒng)要求的同步精度和響應(yīng)速度。通過軟件表決家現(xiàn)的表決功能具有很好的執(zhí)行效果，在人為植入故障的情況下正確的修正錯誤結(jié)果;IO模塊和通訊模塊可以在主工作模塊故障的情況下，快速無縫地切換至備用模塊繼續(xù)工作。測試結(jié)果表明，所設(shè)計平臺達到可靠性、安全性和可維護性的要求。 根據(jù)前期的安全計算機硬件系統(tǒng)設(shè)計，本課題完成了硬件各個子模塊電路的設(shè)計，并對硬件的具體功能進行了調(diào)試驗證，證明了前期設(shè)計的正確性。2、基本思路和框架對安全計算機的軟件系統(tǒng)進行層次化劃分，描述平臺軟件的實現(xiàn)。對平臺軟件的兩個重要組成部分平臺控制軟件和通訊控制軟件進行模塊化設(shè)計，仔細了解其結(jié)構(gòu)組成和實現(xiàn)流程。同時，對各軟件子模塊的實現(xiàn)原理和工作流程進行全面的描述。3、具體方案基于差異性原則的結(jié)構(gòu)設(shè)計異性結(jié)構(gòu)設(shè)計原則，例如個基于架構(gòu)使用語言實現(xiàn)，另個基于可編程邏輯器件，例如使用硬件描述語言，例如實現(xiàn)。外部設(shè)備管理單元由組共個構(gòu)成，每個構(gòu)成系取結(jié)構(gòu)，兩系構(gòu)成熱備（乘）取冗余結(jié)構(gòu)或并行取冗余結(jié)構(gòu)。每一系的個的選擇也應(yīng)符合差異性結(jié)構(gòu)設(shè)計原則，例如個基于架構(gòu)，另個基于架構(gòu)，同時選擇不同的操作系統(tǒng)、不同的編譯器或不同的編程語言。在節(jié)的地面信號系統(tǒng)優(yōu)化方案中，將地面信號系統(tǒng)分為核心主機部分和遠程外設(shè)部分，核心主機部分和遠程外設(shè)部分均基于通用安全計算機平臺搭建。核心主機放置于信號機械室內(nèi)，主要實現(xiàn)、等的信號邏輯功能，需要高安全性、高可靠性和強大的邏輯處理能力以及安全穩(wěn)定的對外輸入輸出能力；遠程部分盡量靠近現(xiàn)場控制對象，和現(xiàn)象控制對象的硬件連線盡可能短，主要實現(xiàn)、軌道電路、等輸入輸出功能，需要安全穩(wěn)定的輸入輸出能力。車載信號系統(tǒng)只需要一個基于通用安全計算機平臺的主機部分，不需要靠近現(xiàn)場的遠程外設(shè)部分。根據(jù)上述信號系統(tǒng)的功能需求，通用安全計算機平臺可以配置成核心主機型配置、遠程外設(shè)型配置兩種形式。典型的核心主機型配置包括邏輯處理單元、外部設(shè)備管理單元、容錯和安全管理單元三個部分以及安全通信內(nèi)網(wǎng)（如圖所示，可以適用于地面信號系統(tǒng)的核心主機部分和車載信號系統(tǒng)。典型的遠程外設(shè)型配置包括外部設(shè)備管理單元、容錯和安全管理單元兩個部分以及安全通信內(nèi)網(wǎng)，如圖所示，可以適用于地面信號系統(tǒng)的遠程外設(shè)部分。邏輯處理單元外部設(shè)備管理單元邏輯處理單元提供符合乘取機制的高安全、高可靠和高性能運算處理能力，以支持多個軌道交通信號邏輯功能。外部設(shè)備管理單元提供：通用數(shù)字量、模擬量、脈沖量的輸入或通用數(shù)字量、模擬量的輸出能力；針對軌道電路、等特殊應(yīng)用的、需要基于或?qū)崿F(xiàn)的智能輸入或智能輸出能力；各種外部通信能力（包括無線通信能力）。容錯和安全管理單元與邏輯處理單元相互配合完成乘取機制，與外部設(shè)備管理單元相互配合完成熱備（乘）取冗余機制或并行取冗余機制。其中，邏輯處理單元由組共個構(gòu)成，每個構(gòu)成系取結(jié)構(gòu)，兩系構(gòu)成乘結(jié)構(gòu)。每一系的個應(yīng)符合差異性結(jié)構(gòu)設(shè)計原則，例如個基于架構(gòu)，另個基于架構(gòu)，同時選擇不同的操作系統(tǒng)、不同的編譯器、不同的編程語言。容錯和安全管理單元由個或多個構(gòu)成，在滿足安全性的前提下，優(yōu)先選擇個的方案，即取結(jié)構(gòu)的方案，個的也應(yīng)符合差所以，我們在設(shè)計改進的安全計算機平臺時，為了降低共因失效率，應(yīng)遵循差異性結(jié)構(gòu)設(shè)計原則，保證在各通道、模塊之間或系統(tǒng)功能之間存在以下方面的改進的安全計算機平臺中，針對目前安全計算機平臺設(shè)計普遍釆用的相同硬件架構(gòu)和相同操作系統(tǒng)、編譯器或編程語言，為了降低安全計算機平臺的共因失效率，所以釆用硬件軟件差異性設(shè)計原則。通過硬件上選擇不同處理器架構(gòu)例如架構(gòu)、架構(gòu)、架構(gòu)等，同時選擇不同的操作系統(tǒng)、不同的編譯器、不同的編程語言及其開發(fā)環(huán)境。改進的安全計算機硬件結(jié)構(gòu)設(shè)計目前常用的安全計算機系統(tǒng)結(jié)構(gòu)有熱備結(jié)構(gòu)、取結(jié)構(gòu)、取結(jié)構(gòu)、乘取結(jié)構(gòu)?，F(xiàn)代軌道交通中廣泛使用的安全計算機主要為取結(jié)構(gòu)和乘取結(jié)構(gòu)。雙機熱備結(jié)構(gòu)的安全計算機系統(tǒng)的主體由兩個硬件結(jié)構(gòu)完全相同的計算機組成，根據(jù)一定邏輯關(guān)系定出主機和備機，只有主機輸出結(jié)果。當(dāng)主機工作單元檢測出自身故障，切換單元進行切換，使備機成主工作狀態(tài)。雙模冗余安全計算機結(jié)構(gòu)的另一種方式是取結(jié)構(gòu)。與熱備結(jié)構(gòu)工作方式不同的是，取模式下的安全計算機不存在主、從關(guān)系，表決單元同時接收兩個邏輯運算單元的結(jié)果輸出，并對其進行取表決。取表決的邏輯為：當(dāng)且僅當(dāng)兩路數(shù)據(jù)皆為有效的危險輸出時，才輸出危險信號。取結(jié)構(gòu)安全計算機系統(tǒng)由三個硬件結(jié)構(gòu)完全相同的計算機和一個多數(shù)表決器組成，三個通道的計算機接收相同的數(shù)據(jù)，邏輯處理單元進過運算處理輸出結(jié)果，然后將三個結(jié)果送至多數(shù)表決器；若只有一個模塊出現(xiàn)故障，表決器會跟據(jù)多數(shù)原則選取正確的多數(shù)數(shù)據(jù)輸出而將故障輸出屏蔽。乘取結(jié)構(gòu)的安全計算機可看成是雙機熱備和二取二結(jié)構(gòu)結(jié)合的一種安全計算機結(jié)構(gòu)，具有雙機熱備結(jié)構(gòu)的強持續(xù)運行能力、良好維護性，以及取結(jié)構(gòu)的全的優(yōu)點。乘取結(jié)構(gòu)由兩個通道組成，兩通道之間構(gòu)成熱備關(guān)系，通過切換控制單元控制兩者之間的主從切換，提高系統(tǒng)的可用性。單通道內(nèi)部是取的關(guān)系，兩臺安全計算機構(gòu)成取的安全結(jié)構(gòu)，確保系統(tǒng)的安全性。改進的軌道信號安全計算機的具體設(shè)基于差異性原則的結(jié)構(gòu)設(shè)計目前市場上采用技術(shù)的控制計算機大多數(shù)都不具備故障安全”特性。而對于軌道交通信號控制領(lǐng)域，一旦計算機系統(tǒng)不能正常工作，就有可能向被控設(shè)備輸出危險的控制信號，從而造成重大的人員傷亡和財產(chǎn)損失。所以要求信號控制系統(tǒng)是一種高可靠性、高安全性的系統(tǒng)。針對信號系統(tǒng)這樣的安全荀求系統(tǒng)，提高可靠性和安全性最直接辦法就是釆用硬件冗余結(jié)構(gòu)。而使用冗余結(jié)構(gòu)卻會加大共因失效的概率，共因失效是由于空間環(huán)境設(shè)計以及人因等方面的共