1、轨道交通安全计算机轨道交通的安全计算机轨道交通运行控制系统大多是实时、多任务和安全苛求的计算机控制系统,美国Wind River公司的VxWorks是微内核结构的多任务嵌入式实时操作系统(RTOS),相当符合这种控制系统的要求。VxWorks采用了中断驱动和基于优先级的抢占式任务调度方式,包括丰富的任务间通信与同步机制,例如共享内存、互斥、信号量、消息队列、信号和管道等,它还提供了先进的内存保护机制和容错管理框架。VxWorks的可靠性和实时性在许多领域都得到了验证,是目前优秀的多任务嵌入式实时操作系统之一。为了进一步提高列车运行速度和线路运营效率,基于通讯的列车控制系统(Communicat
2、ion Based Train Control system ,CBTC)成为城市轨道交通的主要发展趋势。在CBTC系统中,车载控制器、区域控制器和计算机联锁控制器是系统的核心组成部分,对整个CBTC的安全可靠运行具有重要影响。而作为这些系统载体的安全计算机,其安全性、可靠性、可用性和可维护性等性能指标也成为影响整个CBTC系统安全可靠性的重要因素。本文针对轨道交通领域对安全计算机在安全性能方面的苛刻要求,提出了一种基于三取二表决结构的安全计算机系统的设计方法。1.1选题背景、目的和意义 当今中国社会进步迅速、城市规模迅速扩大、城市人口过度密集以及基础设施建设未及时跟上,造成城市交通拥堵问题已
3、经成为制约诸多大中城市发展的一道障碍。城市轨道交通(包括城市轻轨和地下铁)具有运能大、快捷方便、安全舒适以及相对与公路交通污染小、排放少、节能环保等优点,正在被越来越多的城市作为解决交通拥堵问题的主要解决途径,并加以积极发展建设。 随着电子信息技术的发展,在轨道交通领域,传统的继电器联锁方式轨道交通信号系统正在逐渐被以计算机联锁为代表的安全计算机信号系统所代替。人们对城市轨道交通的要求越来越高,如何保证列车的安全、可靠、稳定、快速以及高效的运行是城市轨道交通信号系统函待满足的根本需求。如果系统不能够保证长期稳定、安全、可靠地运行,将可能出现不可预料的严重后果。系统的失效或者故障往往可能导致重大
4、的生命财产损失,包括人员的伤亡、设备的损坏、环境的破坏和财产损失等严重后果,因此系统的安全可靠运行能力是轨道交通信号系统的一项重要指标。安全计算机作为城市轨道交通信号系统的核心,在保证行车安全、增强旅客乘坐舒适度、提高运营效率、提高列车运行精确度等方面觉有决定性作用。保证安全计算机系统的安全可靠运行是安全计算机系统设计制造过程中的一项基本要求。目前轨道交通信号系统正朝着自动化、智能化、系统化、网络化和信息化的方向发展,基于通信的列车控制系统(CBTC)是目前全球轨道交通行业内公认的最先进的列车运行控制技术,是当今世界范围内轨道交通信号技术的发展趋势fl。它的特点是用无线通信媒体来实现列车和地面
5、的双向通信,用以代替轨道电路作为媒体来实现列车运行控制。CBTC的突出优点是实现了车一地双向通信,而且数据吞吐量大,传输速度快,减少区间铺设电缆数量,减少一次性投资及日常维护工作,可以大幅提高轨道交通运营效率。我国的CBTC技术相比国外虽然起步较晚,但正处于迅速发展阶段。到目前为止,北京、上海、广州、深圳等城市轨道部分线路己经正在使用CBTC系统,而大部分的在建线路以及一些老线路都准备应用CBTC系统或者进行CBTC改造。国内目前在做CBTC国产化的企业和研究机构主要有:北京交大微联、上海卡斯科、上海阿尔卡特、浙大网新众合轨道、北京和利时等,在目前国家大力发展城市轨道交通,增加基础设施建设力度
6、的大环境下,只要把握住时机和机遇,国产化CBTC系统将大有所为。CBTC系统主要由车载子系统、区域控制子系统、ATS/ATC子系统、数据通讯子系统、联锁子系统构成f2l。其中车载子系统、区域控制子系统以及联锁子系统作为CBTC系统的重要组成部分,分别完成对列车运行的ATP/ATO控制、区域内列车的移动授权、列车运行的移动闭塞、轨道信号系统的联锁逻辑运算等功能,其安全性和可靠性与列车运行安全息息相关,为了保证操作人员和旅客的人身安全,系统的可靠性和安全性必须得到更好的保证。因此在这些子系统中应用的计算机系统通常为基于多模冗余容错技术的安全计算机系统,本文在对常用安全计算机的安全性和可靠性进行分析
7、比较的基础上,提出了一种新型三取二安全计算机系统的设计方法。安全计算机。由于计算机和网络技术的长足发展,工业、交通、国防、日常生活都离不开计算机网络技术。计算机网络技术对于轨道信号的发展是革命性的。逐渐产生微机联锁系统、车地实施通信等高端技术使轨道运输自动化程度大大提高。计算机控制系统可以降低成本,提供便利,增强系统功能,最大限度减少人为出错率。但是有利必有弊,计算机信号系统也有其弊端。一是计算机系统的杂性,软件硬件都是一个不小的问题,尤其是软件,简单的软件程序也有数以千计的执行路径,这对于保证系统安全性能带来不小挑战,发生事故时,寻找失误之处也变得比较困难。但是毕竟计算机信号系统是未来发展的
8、趋势,人们于是把故障安全技术和计算机网络技术结合起来,形成了一些新的技术和方法。一般说来有故障检测与诊断技术、计算机容错技术,前者一般目的在于尽快发现故障,能够投入备份或者及时修复,后者主要通过冗余屏蔽错误的影响或是利用重构使系统缓慢降级。本题目研究的目的为开发一种新型的具有更高的安全性、可靠性的安全计算机系统,采用嵌入式操作系统和三取二冗余表决形式,实现在系统发生任一单点故障的情况下,系统的不间断正常运行,保证整个系统的可靠性和安全性。 首先对安全计算机多种结构的可靠性和安全性进行了比较,最后选取了三取二冗余表决结构作为安全计算机的最终实现形式。详细描述了安全计算机的运行原理和容错功能的实现
9、机制,并对系统的软硬件总体组成结构进行了论述。 从硬件方面详细说明了系统的硬件总体结构,采用模块化设计方法,对系统硬件进行了模块化戈分,并对每个功能子模块的内部结构和组成进行了描述说明。讨论了在硬件模块电路中采用的故障一安全措施,以及这些措施的工作原理。 从软件方面研究安全计算机系统的实现方式,运用模块化的方法对系统软件进行了功能模块划分。研究的重点是安全计算机三冗余模块之间的同步、冗余数据的三取二表决、对外数据通讯的管理、系统故障的检测与识别等内容。1.2.1安全计算机研究及发展现状 安全计算机系统是指在发生故障的情况下,能够实现系统的故障导向安全,即系统的输出在故障状态下导向安全侧,从而避
10、免造成重大的生命财产损失。安全计算机在航空航天、军事军工、化工能源、轨道交通等安全苛求领域具有广泛的应用,要求计算机系统具有长时间稳定可靠运行的能力,和避免发生重大灾害的故障处理能力。 由于当前的电子元器件计算机本身并不具有固有的“故障一安全”特性,从而导致由其组成的计算机系统在发生故障时的输出结果无法预料,因此必须通过采用特殊的容错结构和专用的操作系统使系统在计算机故障时处于安全状态3。设备故障是不可避免的,要使系统在设备故障时不出现危险的后果,必须采用合适的系统结构和设计方法,而实现安全计算机的“故障一安全”特性最常用的技术就是容错技术。 容错技术的基本出发点是承认系统故障的不可避免性,它
11、的本质是容忍故障存在,进而采取措施解除故障影响的技术。容错技术最重要的思想是冗余和重组,其对故障的处理主要有以下几种措施4 1) .故障限制:限制故障的影响范围,一般采取隔离、模块化等技术措施。 2) .故障检测:实现对故障的检测和定位,方便维修和维护。可采用联机检测和脱机 自检的方法一 1).重试:在某些环境因素(如电磁干扰)的影响下,系统出现瞬态故障。这种情况下可采用对操作进行重试,即可消除故障的影响。 2).恢复重组:即当检测到故障后,就启用冗余设备,进行重组,屏蔽故障的影响。 3).重启:当故障无法消除,计算机系统失效时,可以进行设备重启,消除故障。但是设备重启一般需要一定的时间,所以
12、最好能够配合冗余和重组技术构建热备冗余系统。重启分为软重启和硬重启。 4).对故障部件进行修理使之复原。修复工作可以脱机进行,也可以联机进行。要进行脱机修复,要求系统硬件最好能够支持热插拔技术。 5).重构:将修复的设备重新装回系统,成为备用部件。 随着轨道交通对列车运行速度和运能要求的提高,保证行车的安全性和可靠性成为越来越为重要的研究课题。轨道交通信号系统以及列车运行控制系统作为CBTC系统中的重要组成部分,普遍采用了安全计算机作为系统运行平台,其运行的安全性和可靠性是业内非常重视的关键问题。 早在1978年,瑞典的Ericesson公司(现属于Adtrans公司)就研制出一台安全计算机作
13、为城市地铁的联锁控制器在瑞典哥德堡站(Geteborg)投入运行。由于安全计算机相比以往的轨道继电器电路在性能和扩展性、维护性方面的诸多优势,安全计算机系统在轨道交通上的应用越来越为广泛,各家公司纷纷研制了自己的安全计算机系统。 在国外,其中最具代表性的安全计算机系统主要有: (1).德国西门子公司研制的SIMIS系统。该安全计算机采用二取二结构,即采用的两台完全相同的计算机组构成热备冗余结构,在系统的输出设有硬件比较器,从而实现系统的“故障一安全”。 (2).德国西门子公司研制的SICAS系统。该安全计算机采用的是三取二结构,即采用的三台完全相同的计算机组构成三模冗余结构。这套系统的特点是结
14、构简单、配置灵活,但不适用于控制单元多、联锁逻辑较为复杂的情况。 (3).瑞典Adtranz公司研制的EBILOCK系统。该安全计算机也是采用采用二取二双机热备冗余结构方式来提高可靠性和安全性。 (4).Alcatel公司研制的SelTra。系统5。该系统应用于基于无线通信的列车控制系统,作为系统中的区域控制器来实现列车运行的移动闭塞技术。该安全计算机采用的一是三取二结构,通过对输出的三取二表决来实现系统的容错能力。 (5).Bombardier公司的Flexiblok(现改名CITYFLO ) CBTC系统中的轨旁ATP(区域控制器)、联锁控制器和车载ATP(车载控制器)等皆为基于二乘二取二
15、结构的安全计算机系统。(6).USSI公司(已被Ansaldo收购)的MicroLock计算机联锁系统,采用的是热备冗余结构的安全计算机系统。(7).GRS公司(己被Alstom收购)研制的VPI系统,采用的也是双模冗余技术来提高系统的可靠性国内的公司和研究机构自80年代初就开始了轨道交通安全计算机的研制工作,但进展比较缓慢。到90年代中后期,进入了快速发展阶段,安全计算机首先被应用于实现轨道交通信号系统的联锁功能,即计算机联锁系统。其中具有代表性的是: 1、铁道部科学研究院通号所的TYJL-II双机热备型、TY儿一TR9与TYJL-TR2000三取二型计算机联锁系统f-8102、通号公司研究
16、设计院计算机所的DS6-11双机热备、DS6-20三取二型、DS6-KSB二乘二取二型计算机联锁系统90 3、北京交大微联公司的JD-1 A双机热备型与EI32-JD型计算机联锁系统1 .0 4、卡斯科公司的iLock二乘二取二计算机联锁系统W0除此之外,国内还有诸如北京和利时、华为技术有限公司、浙大网新众合轨道、兰州大成等其他公司亦在研发自己的安全计算机系统。12 安全计算机理论研究及现状 安全计算机系统最主要的功能是保证列车运行安全,降低事故发生可能性、提高列车运营效率,安全性、可靠性、可用性和可维护性是评价安全计算机系统优劣的重要指标。在对安全计算机系统不同结构的安全性、可靠性、可用性和
17、可维护性进行量化分析方面,前人已经做过很多理论研究工作,有很多已经被证明为正确有效的方法。 Markov模型是分析安全计算机可靠性最为有效的方法之一。Markov过程认为系统在时刻to所处的状态和时刻to之前所处的状态无关,且将来时刻t的状态与现在的状态有关,而与过去状态无关,这一特点被称为“无后效性”或者“无记忆性”或“马氏性”(121。系统中故障的出现和修复都是随机,而与以前的状态无关,因此这种过程属于Markov过程。Markov模型可以综合反映多种失效模式对系统性能指标的影响,对Markov模型进行定量分析,可以提供对系统的可靠性、安全性及可用性设计方案的比较和评价130故障树分析(F
18、ault Tree Analysis, FTA)技术是美国贝尔电报公司的电话实验室于1962年开发的,在可靠性工程分析领域得到了广泛的应用【14。故障树分析采用逻辑表示的方法,形象地对系统故障进行,具有直观明朗、思路清晰、逻辑性强的特点,可以对系统的可靠性做定性分析,也可以用来做定量分析。定性分折的主要目的是寻找导致与系统有关的不希望事件发生的原因和原因的组合,即寻找导致顶事件发生的所有故障模式。定量分析的主要目的是当给定所有底事件发生的概率时,求出顶事件发生的概率及其他定量指标。在系统设计阶段,故障树分析可帮助判明潜在的故障以便改进设计,包括维修性设计。在系统使用维修阶段,可帮助故障诊断改进
19、使用维修方案。 失效模式分析(Failure mode and effects analysis, FMEA)是一种系统化的Z程设计辅助工具,主要是利用表格方式协助工程师进行工程分析y s a FMEA在1960年被应用于航空工业中奢名的阿波罗计划(Apollo),并于80年代美国军方确认为军方规范。不同于FTA的自上而下的分析方法,FMEA采用的是自下而上的分析方法,其目的在于改善产品和制造的可靠性,在产品设计或生产工艺真正实现之前发现产品的弱点,可在原型样机阶段或在大批量生产之前确定产品缺陷。,从而提升产品质量,降低成本损失。 此外在安全计算机的设计制造过程中被广泛应用的可靠性分析方法还有
20、诸如故障模式、影响及关键性分析(Failure mode, effects, and criticality analysis,FMEAC)6,隐患日志(Hazard Log)1等其他安全性和可靠性分析以及保证技术方法。运用这些成熟可靠的技术方法可以更好的保证在安全计算机的设计、制造、安装以及维护过程中的系统整体的安全性和可靠性。第二章安全计算机系统原理与需求分析2.1安全计算机系统原理2.1.1双机热备安全计算机双机热备安全计算机系统的逻辑运算层一般由两个独立的单元组成,每个逻辑运算单元具有相同的硬件结构,运行相同的软件程序,都能独立完成规定的同样的功能。双机热备结构安全计算机可以根据现场应
21、用的具体情况采用2种完全不同的工作方式:纯热备工作方式和二取二工作方式。 采用纯热备工作方式时两个单元都上电工作,同时采集输入数据,进行数据逻辑运算和处理。但只有主工作单元的输出有效,通过切换单元选通使能实现输出。两个单元均有故障检测功能,在系统运行过程中实时进行自检。当主工作单元发现自身出现故障时,就给出控制信号并释放控制权限,驱动切换单元进行切换,然后给出报警信息等待维修。若是备机出现故障的情况下,则自动下机给出报警信息,等待维修人员进行维修或者更换。双机热备联锁系统在纯热备工作方式下的原理结构如下图所示:图2.1纯热备工作方式原理结构框图双模冗余安全计算机的另一个工作方式为二取二模式。在
22、这种工作模式下,系统的两个逻辑运算单元都上电工作,同时采集输入数据,进行数据逻辑运算和处理,并同时进行输出。与纯热备工作方式不同的是,二取二模式下安全计算机并不存在主从差异,不需要一个主从切换控制单元,而代之为一个二取二表决单元,该单元同时接收两个逻辑运算单元的数据结果并对其进行二取二表决。二取二表决执行的逻辑为:当且仅当两路输出数据皆为有效的危险侧输出时,方才输出危险侧信号。与纯热备模式的另外一个区别是两个单元也都分别有故障检测模块,但是当任一模块检测的故障时,系统输出导向安全,故障模块告警并等待维修。双机热备联锁系统在二取二工作方式下的原理结构 二乘二取二安全计算机设计的关键是实现主备两系
23、4个冗余逻辑运算单元的同步、主备系的故障检测以及主备切换功能。为了保证二乘二取二安全计算机的逻辑运算单元能够同时采集输入,同时进行数据处理和逻辑运算,并同时给出数据结果向输出级输出,二乘二取二安全计算机的4个逻辑运算单元必须在运行的过程中保持数据运算和执行度的一致性,即必须进行同步。二乘二取二安全计算机的同步不仅包括主备两系之间的同步,同时包括系内两个逻辑运算单元之间的同步,同步的方式通常有时钟级同步、固定周期同步和任务级同步等几种,实现的方式又可分为硬件同步和软件同步。当今安全计算机所采用的同步方式多为任务级同步,由软件来实现。二乘二取二安全计算机的每一个独立的计算机系为二取二表决系,正常工
24、作时主系获得输出控制权,当主系数据输出存在表决不一致的情况时,说明系内某一个数据处理/运算通道存在故障,则与备系的两个数据结果进行比对来识别故障单元,主系给出告警信息并发出主备切换指令控制切换单元进行主备切换。当备系在热备状态时的自检测发现输出表决的不一致时,亦与主系的表决结果进行对比,由此发现故障单元,给出告警信息并下机等待维修。2.2.2安全计算机结构选择安全计算机的体系结构 常见的安全计算机系统结构冗余方式,如双机热备、三取二表决、二取二表决、二取二乘二等,它们的安全性和可靠性指标已有很多文献从理论上进行了论证,并且已经应用在多种轨道交通信号设备上,如车站计算机联锁系统和列车自动运行系统
25、等。目前,采用双机热备形式的安全计算机应用比较广泛,在双机热备的技术基础上可以构建二取二乘二的结构,而两者相比,后者明显具有更高的安全性和可靠性。IEC61508标准中推荐在安全相关领域的电子设备/系统采用以下S种容错结构:1、.loo I ( one out of one )结构。这种架构只有一个独立模块,为非冗余结构,但是电路内部具有故障一安全特性,任一故障的产生会被导向安全侧输出。其结构框图如下图所示:2 ( one out of two)结构,即热备冗余结构。这种结构具有两个功能相同的冗余模块,当任一模块输出有效信号时,输出有效。3.2002 ( two out of two)结构,即
26、二取二结构。这种结构具有两个功能相同的冗余模块,当且仅当两个模块都输出危险侧信号时,系统才输出危险侧信号。.1 oo2D (one out of two with diagnostic)结构。这种结构在1002结构的基础上增加了2个故障检测模块,在检测模块检测到本模块的故障时,输出由另外一个工作正常的模块决定;当两个模块都为故障状态时,输出回路切断。本结构的原理框图如下图所示:.2003 ( two out of three)结构,即三取二结构。这种结构由3个功能相同的冗余模块构成,并具有一个对输出进行多数表决的三取二表决模块,任一模块的故障输出不会影响系统的正常工作。三取二的结构原理框图如下
27、图所示: 图2.7 2003原理结构框图 ICE61508对这五种结构的安全性、可靠性、可用性和可维护性进行了详细的比较,在这五种结构中,loo2D结构和200结构的性能最好。在对2003结构进行改进的情况下,即当三取二中的单一模块故障时降级为二取二工作方式,2003这种结构就比之1 oo2D结构觉有更高的安全性、可靠性和可用性了。因此本文选用三取二结构作为安全计算机系统的总体结构,在此基础上设计安全计算机的硬件系统和软件系统。第五章测试与结果 目前该三取二安全计算机的系统样机己设计完成,并在实验室完成了各项功能和性能测试,如图5.1所示。CPU模块之间的CPUbus总线经测试可以达到最高20
28、Mbps的通讯速率,通过CPUbus总线进行的同步功能达到了系统要求的同步精度和响应速度。通过软件表决家现的表决功能具有很好的执行效果,在人为植入故障的情况下正确的修正错误结果;IO模块和通讯模块可以在主工作模块故障的情况下,快速无缝地切换至备用模块继续工作。测试结果表明,所设计平台达到可靠性、安全性和可维护性的要求。 根据前期的安全计算机硬件系统设计,本课题完成了硬件各个子模块电路的设计,并对硬件的具体功能进行了调试验证,证明了前期设计的正确性。2、基本思路和框架对安全计算机的软件系统进行层次化划分,描述平台软件的实现。对平台软件的两个重要组成部分平台控制软件和通讯控制软件进行模块化设计,仔
29、细了解其结构组成和实现流程。同时,对各软件子模块的实现原理和工作流程进行全面的描述。3、具体方案基于差异性原则的结构设计异性结构设计原则,例如个基于架构使用语言实现,另个基于可编程逻辑器件,例如使用硬件描述语言,例如实现。外部设备管理单元由组共个构成,每个构成系取结构,两系构成热备(乘)取冗余结构或并行取冗余结构。每一系的个的选择也应符合差异性结构设计原则,例如个基于架构,另个基于架构,同时选择不同的操作系统、不同的编译器或不同的编程语言。在节的地面信号系统优化方案中,将地面信号系统分为核心主机部分和远程外设部分,核心主机部分和远程外设部分均基于通用安全计算机平台搭建。核心主机放置于信号机械室
30、内,主要实现、等的信号逻辑功能,需要高安全性、高可靠性和强大的逻辑处理能力以及安全稳定的对外输入输出能力;远程部分尽量靠近现场控制对象,和现象控制对象的硬件连线尽可能短,主要实现、轨道电路、等输入输出功能,需要安全稳定的输入输出能力。车载信号系统只需要一个基于通用安全计算机平台的主机部分,不需要靠近现场的远程外设部分。根据上述信号系统的功能需求,通用安全计算机平台可以配置成核心主机型配置、远程外设型配置两种形式。典型的核心主机型配置包括逻辑处理单元、外部设备管理单元、容错和安全管理单元三个部分以及安全通信内网(如图所示,可以适用于地面信号系统的核心主机部分和车载信号系统。典型的远程外设型配置包
31、括外部设备管理单元、容错和安全管理单元两个部分以及安全通信内网,如图所示,可以适用于地面信号系统的远程外设部分。逻辑处理单元外部设备管理单元逻辑处理单元提供符合乘取机制的高安全、高可靠和高性能运算处理能力,以支持多个轨道交通信号逻辑功能。外部设备管理单元提供:通用数字量、模拟量、脉冲量的输入或通用数字量、模拟量的输出能力;针对轨道电路、等特殊应用的、需要基于或实现的智能输入或智能输出能力;各种外部通信能力(包括无线通信能力)。容错和安全管理单元与逻辑处理单元相互配合完成乘取机制,与外部设备管理单元相互配合完成热备(乘)取冗余机制或并行取冗余机制。其中,逻辑处理单元由组共个构成,每个构成系取结构
32、,两系构成乘结构。每一系的个应符合差异性结构设计原则,例如个基于架构,另个基于架构,同时选择不同的操作系统、不同的编译器、不同的编程语言。容错和安全管理单元由个或多个构成,在满足安全性的前提下,优先选择个的方案,即取结构的方案,个的也应符合差所以,我们在设计改进的安全计算机平台时,为了降低共因失效率,应遵循差异性结构设计原则,保证在各通道、模块之间或系统功能之间存在以下方面的改进的安全计算机平台中,针对目前安全计算机平台设计普遍釆用的相同硬件架构和相同操作系统、编译器或编程语言,为了降低安全计算机平台的共因失效率,所以釆用硬件软件差异性设计原则。通过硬件上选择不同处理器架构例如架构、架构、架构等,同时选择不同的操作系统、不同的编译器、不同的编程语言及其开发环境。改进的安全计算机硬件结构设计目前常用的安全计算机系统结构有热备结构、取结构、取结构、乘取结构。现代轨道交通中广泛使用的安全计算机主要为取结构和乘取结构。双机热备结构的安全计算机系统的主体由两个硬件结构完全相同的计算机组成,根据一定逻辑关系定出主机和备机,只有主机输出结果。当主机工作单元检测出自身故障,切换单元进行切换,使备机
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1