第一章_信号基础设备与通讯系统的安全

1、城市轨道交通通信与信号系统 -信号基础设备与通信系统的安全 内容提要1.了解信号与通信系统的基本内容2.掌握故障-安全原理的基本内容3.了解信号安全技术原则通信系统为传输服务、给旅客提供信息、保证车辆与中控中心的视听网络通信系统为传输服务、给旅客提供信息、保证车辆与中控中心的视听网络正常运行，并对各个子系统进行自检和报警。正常运行，并对各个子系统进行自检和报警。第一节、信号与通信系统概述第一节、信号与通信系统概述 一、城市轨道交通通信系统简介 是直接指挥列车运行、进行综合管理的重要手段。二、城市轨道交通信号系统的作用 轨道交通信号系统是以标志物、灯具、音响和仪表灯向行车人员传送机车车辆运行条件

2、、设备状态和行车的有关指示。保证机车车辆的有序行车和进行调车作业。最早使用在英国的轨道列车上。 城轨通信系统与信号系统共同完成行车调度指挥，并为城轨的其他各子系统提供信息传输通道和时标（标准时间）信号。 城轨交通内部公务联络的主要通道，使构成城轨交通内部的各个子系统能够紧密联系，以提高整个系统的运行效率。 发生灾害、事故或恐怖活动的情况下，是进行应急处理、抢险救灾和反恐的主要手段。三、城市轨道交通信号系统的发展 网络化网络化创新化创新化一、安全性和可靠性的相关概念 安全性：在规定的条件下，在规定的时间内，系统不陷入危险状态的性能。 可靠性：系统在给定的条件下，到给定的时刻，不发生故障的概率。反

3、映产品质量的重要指标。 失效：导致错误发生的原因：1、系统或部件不能在规定的限制内执行所要求的功能；2、一个功能单元执行所要求的功能能力的终结；3、程序操作偏离了程序的需求；第二节、故障第二节、故障 - 安全原理安全原理 错误：指系统陷入不正常状态或执行非正常操作。错误可能由硬件失效、软件失效、环境干扰等引起。 故障：由于错误造成系统的部件或软件或系统丧失必要的功能。 永久性故障和瞬时性故障。 （按时间分） 确定值故障和非确定值故障。（按值的类型分） 局部故障和分布式故障。 （按故障影响范围分） 失误：人为的失败和错误。通常指人的错误操作 危害：有可能给人类或财产带来不良影响的事情。 风险：用

4、来表示危及安全的事件发生频度以及事件危害程度的指标。 容错：指一个系统在故障暴露之后仍能提供要求的功能的存活的属性。 安全性评估：采用解析或测试的方法，对系统的安全性能进行估算和分析，从而对系统的安全性能做出定量或定性的评价。（1）安全性完善度：在给定的条件下，到给定的时刻，系统维持所要求安全功能的概率；（2）安全性完善等级：表示系统所能达到的安全性水平等级。较低表示安全性水平低。二、故障-安全原理 “故障 - 安全”是指系统在发生故障的情况下，能够维持安全状态或向安全状态转移。这种与安全相关的系统特性就是“故障-安全” 这种状态在信号系统中常称为故障导向安全原则。又称F-S (Fail-Sa

5、fe) 原则。“故障-安全”技术发展历程信号系统的重要作用之一是保证列车运行的安全。以“系统故障时让列车停止运行”为首要方针。规定系统故障时把信号变为“列车停止运行”的状态作为安全侧故障。规定系统故障时信号仍然显示“列车继续运行”的状态作为危险侧故障。也即是说系统故障表现不明显。在信号设备发生故障时，显示绝对不能“升级”！ 通信系统中的“故障-安全”是一个具有概率特性的概念 可靠度为百分之百的信号设备是不存在的 危险侧故障和安全侧故障 危险侧故障率相对全故障率小到可以忽略的程度时，该设备才是故障-安全的 安全侧故障率也应尽可能的小。 结论：为了实现故障-安全原理，危险侧故障率和安全侧故障率都应

6、该尽可能的小。三、系统输入输出安全要求和对策故障-安全输入接口；1、采用光电隔离技术2、采用编码输入或过程输入方式以便有效的实现故障-安全原则。 故障-安全输出接口；- 在微机化的轨道信号设备中，计算机输出的控制命令最终用信号继电器来执行。从计算机到信号继电器之间需要采用代码动/静以及动/静电平衡输出两级变换电路，满足故障-安全的原则1、硬件系统的可靠性和安全性评估指标对于信号应用微机系统，为了满足运营搞笑和安全的要求，必须具有极高的可靠性和安全性。 系统的可靠性用平均故障时间（MTBF）来衡量；MTBF=Mean time between failures 实际上系统的安全性采用平均危险侧故

7、障时间（MTBFAS）来衡量；MTBFAS= Mea time between failures against safe四、安全性评估 硬件可靠性的评估依据 冗余结构保证一个微机系统发生故障时整个系统仍能正常工作，即不影响系统运行。修复时间T。 为了便于不同冗余结构的系统之间进行比较，假定各系统所用的微型计算机的可靠性指标是相同的。 硬件安全性的评估依据 微机第一次发生故障，使得基本的或冗余的信息中出现了错误信息。 在第一次故障尚未被检出期间又发生了第二次故障 这两个错误的信息构成了两个相同的、错误的有效代码 错误的有效代码是危险侧代码，产生危及行车安全的命令。 只有上述四个条件都存在时才算

8、是出现了危险侧故障 2、软件系统的可靠性和安全性评估指标（1）软件系统的可靠性评估 软件可靠性是指软件在所规定的环境条件下和规定的时间内，一直能按需求规格说 明正确地完成任务的能力。软件可靠性的概率度量称为软件可靠度。 面向用户的软件可靠度 程序在规定的时间内对一组随机选择的输入数据能给出正确输出的概率； 程序在规定的时间和规定的用户环境中，对一组典型的输入数据，给出正确输出的概率。（2）软件系统的安全性评估 确定系统及系统中软件的安全性要求。 将系统安全性说明中的要求在软件设计及编码中实现。 软件需求说明中确定当可能发生安全事故时的系统对策。 对软件的安全关键单元进行分析。 软件安全性评估

9、通过分析、验证，确保软件系统安全性要求的实现，验证不存在有损于安全性的单个或多个失效事件，保证系统的安全性要求不致引起新的危险 编制出的程序不会因为触发危险功能、或阻碍正常功能的执行而使系统处于危险状态。 保证系统中的软件能有效地减少硬件的安全风险 保证对系统进行充分的安全性测试第三节、信号安全技术一、故障-安全计算机系统1、如何构造一个故障-安全计算机系统？（1）故障-安全计算机系统包括三个部分：故障-安全计算机：实现数据处理过程的故障-安全。输入/输出接口：实现数据采集和控制过程的故障-安全。信息传输：实现远距离数据传输过程的故障-安全。（2）故障-安全计算机的构成方法 采用非对称性错误特

10、性的元件的构成方法； 采用通用的对称性错误特性元件的构成方法； 采用通用计算机或处理器的构成方法；第三种为常见方法第三种为常见方法1、软件相异性、软件相异性2、硬件相异性、硬件相异性 软件的相异性（在一台计算机上配置两套相异的软件，借此进行故障诊断和错误检验） 双版本软件 软件自校验 数据的相异性 硬件的相异性（把相同的软件配置在两台计算机上，高频度地对数据进行校验，在出现异常时，把输出保持在安全状态的一种方式） 紧密耦合的总线同步方式； 时差同步式； 程序同步式；2、信号设备微型计算机化的主要特点使用的器件具有非对称性错误特性使用的故障-安全技术设备的功能高速化和智能化设备的抗干扰能力较强二、硬件安全性技术分类三、软件安全性技术分类1、概述 避错技术是采用正确的设计和质量控制方法，尽量避免把故障引入系统。 容错技术则是采用外加资源，是系统出现某些硬件故障或软件错误时，仍能正确执行规定的程序。四、容错技术