铁路信号计算机联锁系统的分析研发.docx
《铁路信号计算机联锁系统的分析研发.docx》由会员分享,可在线阅读,更多相关《铁路信号计算机联锁系统的分析研发.docx(11页珍藏版)》请在冰豆网上搜索。
铁路信号计算机联锁系统的分析研发
铁路信号计算机联锁系统的研究
一、引言
随着铁路运输朝着高密、重载及高速的方向发展,既有的车站铁路信号联锁装置已无
法适应铁路信号对可靠性与故障——安全性的更高要求。
就技术方面而言,铁路信号系统
已经历了机械联锁、电气联锁(继电联锁)等二个阶段,目前在我国干线铁路或企业自备
铁路上所使用的联锁系统绝大多数仍为继电联锁系统。
70 年代末期新型微处理器的出现以
及容错理论与技术的逐步完善,激励人们以微型计算机为核心构成计算机联锁系统。
矚慫润
厲钐瘗睞枥庑赖。
但是常规的计算机控制系统并不具有故障——安全特性,也即不具有辩别外部输入信
息的正确与否或在系统故障时能将系统导向安全的能力,在应用中受到了极大的限制。
目
前在我国干线铁路上装备的计算机联锁系统大多系国外铁路信号公司的容错计算机信号控
制系统,其价格相当昂贵。
因此近年内国内不少铁路行业科研院所都将研制故障——安全
的铁路信号控制系统作为近期的主要工作。
聞創沟燴鐺險爱氇谴净。
二、铁路信号计算机联锁系统的性能要求分析
1、计算机联锁系统的基本结构
由于计算机联锁系统的综合性能远远超过继电联锁系统,因此车站联锁系统由继电装
置向计算机联锁系统转化已成为一种不可扭转的趋势。
具体来说计算机联锁系统的优势主
要表现在适时性、安全性、可靠性、可维护性及性价比等若干方面。
残骛楼諍锩瀨濟溆塹籟。
计算机联锁系统是利用目前已有的工业控制计算机,研制一套专用的硬件与软件系统
实现信号、进路与道岔间的联锁关系,因此它实质上是一个满足故障——安全信号原则的
联锁逻辑运算系统,计算机在系统中的作用是将操作命令与现场各种输入的表示信息读入
,再根据计算机内部状态等条件进行逻辑运算,判断后输出控制信息至执行机构,实现多
变量数字输入和多变量数字输出这样一个复杂传递函数的变换,图 1 是逻辑运算系统的原
理图。
酽锕极額閉镇桧猪訣锥。
图 1 联锁逻辑运算系统原理图
2、实时性要求
联锁系统必须不失时机地采集到输入变量的变化情况,及时刷新站场各类表示信息,
及时输出道岔和信号的控制命令,而且对涉及安全(危险侧[1])的控制命令必须以具有故
障——安全特征的形式输出。
彈贸摄尔霁毙攬砖卤庑。
3、可靠性与故障——安全性
信号联锁系统是一种实时控制系统,它必须是高可靠的,通常继电联锁系统在采取预
防性维护措施的前提下其 MTBF 可达 1.3×105h[2](约 15 年),采用工业级的控制计算机
与容错技术完全可以达到并超出这一指标。
謀荞抟箧飆鐸怼类蒋薔。
具体来说,对计算机联锁系统而言必须解决二个主要问题。
系统内信息传递的可靠性与安全性:
鉴于工业计算机自身不 具备 故障——安全特性
, 因此系统内传递的信息也不具备 安全性, 受各种干扰、辐射以及各类故障的影响,
信息畸变在所难免, 从而 造成逻辑运算错误而 可能引发危险侧输出。
厦礴恳蹒骈時盡继價骚
。
系统内信息变换及逻辑运算的安全性:
就联锁程序而 言, 无论设计调试方法多么严
密也很难排除所有隐含的缺陷, 这就要求必须引入避错及容错机制使故障形成的危险侧运
算结果输出的概率达到规定的要求。
茕桢广鳓鯡选块网羈泪。
4、结构模块化与标准化
铁路站场的规模与作业需求不尽相同,因而无论是硬件还是软件都必须具有模块化结
构特征,硬件模块化、软件真正实现程序、数据的有效分离。
鹅娅尽損鹌惨歷茏鴛賴。
5、经济性
计算机联锁系统取代继电联锁系统的另外一个重要原因是为了降低系统费用成本,一
般来说系统费用表现在设计、制作、施工、调试以及建筑费用上,因此计算机联锁系统必
须在以上若干方面充分显示其优势。
籟丛妈羥为贍偾蛏练淨。
6、功能扩展
旧有的继电联锁系统只能提供基本联锁功能与操作界面,新型计算机联锁系统除此之
外,还应具有故障诊断与分析、重演、远程通信及其他管理功能。
預頌圣鉉儐歲龈讶骅籴。
三、总体设计方案与关键技术
笔者在认真分析了计算机联锁系统的性能特点以及对故障——安全性的特殊要求基础
上,提出了适合于企业自备铁路使用的系统体系结构并实际运用于扬子石化公司二个自备
铁路站场(道岔总数量约为 80 组,属大型编组站场),该系统被命名为 HJ04A 铁路信号
计算机联锁系统,以下简称 HJ04A 系统。
渗釤呛俨匀谔鱉调硯錦。
1、系统结构与工作原理
从 HJ04A 系统的体系结构来看属于二级集散式控制系统(系统结构详见图 2),突破
了旧有的集中式信号系统模式,具有模块化、层次化等特点。
模块化是指联锁机主模块、
PLC 及信号结合模块等,层次化是指系统具有操作表示层、联锁运算层、复核驱动层、结
合电路层及监控对象层等五个物理层次。
这种结构的优点在于可根据车站规模的大小、作
业需求的不同,在不改变联锁软件的基础上通过修改站场静态数据并增设相应硬件模块,
即可满足系统的扩容要求,先进的控制体系结构结合工艺设计使得系统调试周期与现场施
工、开通周期均大为缩短,具有很好的经济与实用性。
铙誅卧泻噦圣骋贶頂廡。
(1)人机对话层
将来自键盘、鼠标等操作输入,经串口送达联锁计算机,同时在图形显示器上显示站
场表示信息。
在站场规模较大致使联锁计算机负担较重或需要多终端操作的情况下,可设
置操作命令采集机进行操作命令输入的有效性判别并转换成约定格式传送给联锁计算机。
擁締凤袜备訊顎轮烂蔷。
(2)联锁运算层
联锁微机是系统的核心部分,承担着操作输入的判别、联锁信号的调理及分析、逻辑
运算、控制命令生成、故障诊断等任务,其可靠性、安全性对系统的总体故障—安全性能
有较大影响,HJ04A 系统中设置了两台联锁微机,其中一台为冷备机,可进行人工切换。
贓熱俣阃歲匱阊邺镓騷。
(3)复核驱动层
复核驱动层由 PLC 组成,其承担着采集表示信息并将联锁微机下达的操作命令转化为
故障—安全的控制信号的任务,作为系统安全性设计的重要环节之一,PLC 还承担着对联
锁微机形成的操作命令进行复核检查的屏障作用。
坛摶乡囂忏蒌鍥铃氈淚。
(4)结合电路层
结合电路的任务之一是实现现场监控设备 表示信息与 PLC 输出的驱动信号的安全逻
辑转换, 使 PLC 的输入、输出信息均具有故障—安全性能。
任务之二是用专用电路规范
监控设备 的测控过程, 即包括表示信息采集机制与设备 驱动流程。
蜡變黲癟報伥铉锚鈰赘。
(5)监控对象层
监控设备是指联锁系统的现场设备,即道岔、信号机与轨道电路。
2、可靠性及故障—安全设计
目前,国内外进行高可靠系统的容错设计多采用三模静态冗余方案或二模动态冗余方
案。
其中前者完全是靠硬件冗余来提升可靠性的,后者则不仅使用了硬件冗余资源,同时
也使用了故障检测技术与软件冗余资源。
这二种方案的共同特点是对硬件故障具有较强的
屏蔽与纠错能力。
然而这二种方案均存在一定的实现难度与缺陷,三模冗余系统必须实现
三模的同步进程及表决器的高可靠设计,尤其需要解决时钟容错的问题;二模动态冗余系
统则要求冗余管理机构的高效与可靠性。
目前这二类系统的可靠性计算都是在设定表决器
或冗余管理机构的可靠度 R(t)=1 的基础上进行的[3],同时由于设备直接投资成本过高,因
而在非航天、通讯等可靠性要求很高的领域应用不多。
買鲷鴯譖昙膚遙闫撷凄。
在铁路信号领域,由于行车安全被认为是超过效率的重要考虑,因此相应对计算机联
锁系统的可靠性与安全性要求很高,针对这种情况,可以有二种方式供我们在设计中进行
选择。
其一是强化系统的可靠性设计,这是基于可靠性理论包含了系统故障的屏蔽效应,
因而用高可靠性换取系统的低故障率,以此隐含了对安全性的相对提升。
但可靠性技术总
是受一定的条件所限制,如硬件冗余资源使用、采用高可靠器件等,这完全取决于系统的
可靠性要求及财力许可。
其次我们可以基于这样一个思路来考虑问题:
如果计算机联锁系
统在保证一定可靠性要求基础上并结合故障—安全技术来得以实现,实质上也就是说牺牲
少量的效率来避免昂贵的成本并换取系统的高安全性,同样也能满足铁路信号对联锁系统
的性能要求。
綾镝鯛駕櫬鹕踪韦辚糴。
图 2 HJ04A 计算机联锁系统结构
图 2 所示的 HJ04A 计算机联锁系统实质上是一个具有冷备联锁微机的单模(联锁机)
系统,但可以设想:
在系统可维护性较好并能使其平均故障恢复时间 MTTR 尽可能缩短的
情况下(HJ04A 系统结合故障诊断及模块化设计技术,MTTR 通常小于 2 分钟),HJ04A
系统在联锁微机级模块相当于二模动态冗余系统。
驅踬髏彦浃绥譎饴憂锦。
基于以上考虑,HJ04A 系统的关键技术设计中主要融入了以下思想及技术措施。
(1)结构模块化、标准化,便于系统扩展并提高可维护性
HJ04A 系统的硬件结构模块化设计主要体现在联锁机、PLC 及安全信号结合电路的组
合等三种主要设备或部件上。
HJ04A 系统的标准化设计主要体现在联锁软件与结合电路上
。
联锁软件可以适应不同站场规模、不同作业要求;结合电路则可针对室外设备的不同类
型具有通用性与兼容性。
猫虿驢绘燈鮒诛髅貺庑。
(2)系统故障诊断与安全导向
HJ04A 系统采用单模二级复核式容错结构的一个重要实现基础就是系统必须具有强大
的故障诊断功能,只有这样才能保证系统在故障状态下的安全导向与快速维修响应速度。
锹籁饗迳琐筆襖鸥娅薔。
联锁系统的硬件故障通常表现在联锁主机、PLC 与结合电路模块、工作电源等设备上
,软件故障表现为程序跑飞、技术条件错误、通信异常等。
这些故障的表现方式及造成的
结果不尽相同,有些故障可以及时发现,有些则难以识别;有些故障仅影响系统工作但不
至于危及安全,而另外一些故障则可能造成危险侧输出。
因些应当区别对待并采取相应的
处理方式。
構氽頑黉碩饨荠龈话骛。
联锁系统的故障层次可被总结为逻辑层、数据层及系统层等三个层次上,其故障表现
不尽相同但互为交叉,因此需针对不同的故障表现采取不同的故障诊断方法,故障确诊后
再使用相应的故障处理措施以使系统导向安全或及时报警提示。
輒峄陽檉簖疖網儂號泶。
(3)变换联锁信号的逻辑表达形式
在联锁系统中,与安全相关的信息是由具体的硬件设备的状态来表达的,这些硬件设
备一般存在二个逻辑状态(指数字量),其中一个状态代表安全侧信息,另一个状态代表
危险侧信息。
根据故障—安全原则,凡是参与传递、存贮、处理和产生非安全信息的硬件
设备故障时,必须以极大的概率导向安全侧状态,这就必须使电子电路的输出具有故障不
对称性,也即在电路故障时输出安全侧的概率占压倒性优势。
显然常规的电子电路与逻辑
表达方法难以满足需求,其基本原因是“s-a-0”与“s-a-1”二种固定逻辑型故障是基本对称的
。
因此需要变换联锁信号的逻辑表达形式以及相应的电路结构才能实现。
在 HJ04A 系统中
,我们总结并采用了动/静形式结合相位判断的安全逻辑变量表达形式,也即用“脉动电平
逻辑”表达设备的危险侧状态信息,很好地满足了联锁系统对安全逻辑的容错要求。
尧侧閆繭
絳闕绚勵蜆贅。
(4)算法冗余
联锁系统的系统层故障表现为产生了不正确的输出控制命令(包括危险侧控制命令)
,控制命令的错误有二种可能引发的原因。
识饒鎂錕缢灩筧嚌俨淒。
系统中传输、存贮过程中的信息畸变必将体现在逻辑运算变量中, 从而 造成逻辑运
算错误, 这一点已在前面介绍的 2 与 3 条中有过描述并提出了相应的解决方案。
凍鈹鋨劳臘
锴痫婦胫籴。
联锁或 PLC 复核软件出错一方面有可能是由各自的 CPU 或所使用的指 令引发的,
但更多的是被转化为程序的任务、技术条件的错误。
因此, 能够识别技术条件的错误,
也就能预防由此而 引发错误运算结果的输出。
恥諤銪灭萦欢煬鞏鹜錦。
基于“同样一个数据变换调理错误或程序错误(永久性或暂时性)在二套算法不同的程
序中同时出现的概率极小”[4]这样一个基本认识,HJ04A 系统的控制命令生成采用了二级
运算结果的一致判决机制,也就是双份软件判别机制。
鯊腎鑰诎褳鉀沩懼統庫。
表 1 显示在联锁、复核二级程序中所使用的不同技术备件与硬件、软件平台,由于联
锁、复核二级软件不仅所处的物理空间不同、使用的编程语言不同、参予运算的逻辑变量
不同,而且各自所使用的技术条件也完全不同,从而有效地解决了因系统硬件故障或软件
出错而带来的系统安全性问题。
硕癘鄴颃诌攆檸攜驤蔹。
四、总结
由扬子石化公司与合肥工业大学合作研制开发的 HJ04A 铁路信号计算机联锁系统除已
在扬子石化二个编组场成功应用外,目前又在冶金系统内西宁钢厂、鞍钢、包钢等国有大
中型企业进行推广,具有较好的应用前景。
总结起来,在 HJ04A 系统中我们已经建立了一
整套运用于企业自备铁路使用的信号联锁系统技术解决方案并重点解决了以下几个问题。
阌擻輳嬪諫迁择楨秘騖。
1、在单模控制体系结构中,通过对铁路信号的深入分析,较为完整地建立了铁路信号
联锁系统的故障模型并提出了相应的故障诊断与安全导向方案。
氬嚕躑竄贸恳彈瀘颔澩。
表 1 联锁、复核层软件技术特征表
2、在企业自备铁路信号领域内较早采用了二级集散式控制体系结构,即采用联锁、复
核二级检查机制,有效地解决了因 CPU 与编程语言缺陷、算法与编码错误而有可能带来
的系统错误输出问题。
釷鹆資贏車贖孙滅獅赘。
3、采用变换联锁信号的表达形式来解决系统的 I/O 接口安全性问题,研制了一整套故
障—安全的结合电路,有效地防范了“s-a-0”或“s-a-1”固定逻辑型故障对系统整体安全性的
破坏。
怂阐譜鯪迳導嘯畫長凉。
4、联锁、复核二级用户程序均有效实现了程序、数据分离的设计思想。
5、建立了一套量化计算联锁系统可靠性与安全性的评价体系。
但正如在 HJ04A 系统的鉴定意见中专家们的建议那样,HJ04A 系统的设计定位仅仅只
放在了企业自备铁路上,如果真正欲使该系统在应用面与技术水平上更进一步,还需在系
统可靠性设计上进行重新定位;对部分目前少数仍在使用的触点型安全型继电器进行全电
子化设计,我们将在后期的研究中努力予以实现。
谚辞調担鈧谄动禪泻類。
升级会员 