卡斯柯VPI系统手册V1[1].0.doc

安全型计算机联锁（安全型计算机联锁（VPIVPI）系统）系统 系统手册系统手册 卡斯柯信号有限公司卡斯柯信号有限公司 CASCO SIGNAL LTD. 卡斯柯信号有限公司卡斯柯信号有限公司 公司网址： 总部总部 中国 上海市天目中路 428 号凯旋门大厦 27 层 C/D 座 邮编：200070 电话：86 21 63543654 传真：86 21 63542837 上海分部上海分部 中国 上海市西藏北路 489 号 邮编：200071 电话：86 21 56637080 路电：041 35775、35785 传真：86 21 56639223 卡斯柯售后服务中心卡斯柯售后服务中心（晏子峰） 中国 上海市西藏北路 489 号 邮编：200071 电话：86 21 56637080 路电：041 35765、35775 传真：86 21 56639223 电子邮件： VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 1 - 目目 录录 第一章第一章 概概 述述2 第二章第二章 安全型计算机联锁（安全型计算机联锁（VPIVPI）系统结构）系统结构4 第三章第三章 联锁处理子系统联锁处理子系统9 第四章第四章 人机界面子系统人机界面子系统18 第五章第五章 系统维护子系统系统维护子系统22 第六章第六章 环境、接地、电源和机柜结构环境、接地、电源和机柜结构25 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 2 - 第一章第一章概概 述述 安全型计算机联锁（VPI）系统是一种“故障-安全”的、以微处理器为基础的车 站联锁信号控制系统。该系统是中法合资卡斯柯信号有限公司从阿尔斯通信号（美国） 公司引进，结合中国铁路运营技术条件，经过二次开发而成的一种安全型计算机联锁产 品。系统早在 1991 年 11 月 19 日就使用于中国广州铁路局广深线红海站，使得红海站 成为中国铁路干线上第一个计算机联锁站。1991 年 12 月 27 日，中国铁道部为红海站 计算机联锁开通使用发布了“嘉奖令” 。 “嘉奖令”指出：“广深线红海站计算机联锁开 通投入使用，开创了微机控制技术在干线车站上运用的先例。 ” “对保障铁路运输安全， 提高铁路运输指挥自动化水平，对推动全路科技进步具有十分重要的意义。 ” 安全型计算机联锁系统的逻辑电路是由安全型逻辑组成的。能把传统的由继电器 实现的联锁逻辑和控制逻辑“写”成一系列逻辑表达式（即布尔表达式） ，这些逻辑表 达式的正确实施是通过一个设计过程和原则来得到保证的。这个设计过程和原则被称之 为“数字集成安全保证逻辑(NISALNumerically Integrated Safety Assurance Logic)” ，这个“数字集成安全保证逻辑”确保联锁逻辑按要求实现，并使系统具有 “故障-安全”特性。因此，安全型计算机联锁是从“有接点”到“无接点”的飞跃。 1993 年 4 月 10 日安全型计算机联锁（VPI）系统通过了中国铁路通信信号总公司 的技术鉴定，被授于“科学技术成果鉴定证书（93铁通技鉴字 01 号） ” 。 1998 年 12 月，卡斯柯公司的安全型计算机联锁软件通过了铁道部计算机联锁软 件测试中心的测试。 铁道部对卡斯柯公司引进、消化、吸收国外先进的信号技术一直非常重视，提出 了严格的要求，并给予大力的支持。1999 年 8 月，安全型计算机联锁（VPI）系统通 过了铁道部评审，成为铁道部指定的四家计算机联锁研制生产单位之一。 2000 年 5 月，安全型计算机联锁（VPI）通过了铁道部产品质量监督检测中心关 于防雷和电磁兼容的检测。其中，雷电防护性能达到 A 级，电磁兼容的各项检测指标 全部合格。 2000 年 8 月 3 日，安全型计算机联锁（VPI）系统在上海通过了铁道部技术鉴定， 并颁发了“科学技术成果鉴定证书” （铁道部技鉴字2000第 033 号） 。鉴定意见见附 录。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 3 - 2002 年 6 月, 安全型计算机联锁（VPI）系统标准站联锁软件通过了“铁道部铁 路车站计算机联锁检测站”的制式测试。 2002 年 8 月 12 日，安全型计算机联锁（VPI）系统获得铁道部颁布的“铁路车站 计算机联锁设备制造特许证” 。 安全型计算机联锁（VPI）是阿尔斯通信号（美国）公司的定型产品。从 1986 年 起首先将 VPI 系统安装在美国芝加哥等车站，至今已安装的 VPI 分布于美国、英国（伦 敦地铁） 、荷兰、中国（含台湾省） 、印度尼西亚、澳大利亚、韩国和西班牙等 12 个国 家和地区。至 1997 年底，在世界各地共设计、安装了 954 个 VPI 系统（最大的 VPI 工 程计有 32 个车站） ，总运行时间达 16933080,000,000 小时。安全型计算机联锁 （VPI）的市场占有率达到 50%左右。 经过二次开发和硬件国产化，安全型计算机联锁（VPI）系统，实现了集联锁控制、 微机监测、调度监督接口、DMIS 入网接口、网络管理等模块为一体的目标。在这基础 上，卡斯柯公司继续全力做好 VPI 系统的工程实施和售后服务工作，为推进我国铁路信 号设备网络化、数字化、综合化而努力。 VPI 系统在国内的业绩见附录。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 4 - 第二章第二章安全型计算机联锁（安全型计算机联锁（VPIVPI）系统结构）系统结构 2.1 概述概述 随着信号技术向数字化、综合化和网络化方向发展，卡斯柯信号有限公司提供的计 算机联锁系统，采用从 ALSTOM 引进的通过国际认证的核心安全技术，在网络结构上 作了重大改进，在功能上进行了全面的适合中国铁路运输要求的国产化开发，将系统功 能合理分配到基于“安全通信和非安全通信”网络的人机接口(MMI)、联锁处理、系统 维护等节点上，由每个功能节点来完成一种或多种功能，而每个功能节点就是一个完整 的计算机系统，彼此通过冗余网络交换信息并协调运行。由于系统按模块化方案设计, 通用的硬件就能实现任何一种类型的联锁车站的配置。这种模块化的设计给系统扩展和 升级带来了极大的方便。 计算机联锁系统通常采用大屏幕彩色显示器作为计算机联锁系统的人机界面的显示 屏，操作员通过鼠标（或轨迹球）办理各种作业。彩色显示器显示站场图形，给出信号 机、道岔及轨道电路等设备的状态。在操作中，系统还会给出明确的语音提示，方便车 站值班员有关作业情况和操作命令发布状态，减小误操作发生的概率。 VPI 系统实现了软件标准化，硬件模块化，采用开放的系统结构，能与调度集中系 统（CTC） 、超速防护系统(ATP)、数字轨道电路等信号系统接口，并能与其它信息管理 系统交换数据。 VPI 系统联锁逻辑满足铁道部部颁标准 TB1774-86继电式电气集中联锁技术条件 和 TB/T3027-2002计算机联锁技术条件的技术要求。 为了保证系统在各种恶劣的环境下能够长时间稳定可靠地工作，公司对系统设计、 生产、测试、出厂等各个环节都有严格的要求，并且实施全程质量控制以确保系统的质 量。同时卡斯柯公司有着良好的售后服务，让您在选择本公司的产品时无后顾之忧。 VPI 系统具有很高的可靠性，从人机界面（MMI） 、网络系统、电源系统到联锁机 等设备均按冗余设计，在主机发生故障的情况下，将自动无缝切换到备机工作。 VPI 联锁机具有全面的自诊断功能。电务维修人员可以通过系统维护台查询错误信 息，更换发生故障的模块或插件，在短时间内修复故障。同时，联锁机柜中的各种印制 电路板上都设有表示灯，以便及时了解各印制板工作状态。 VPI 的系统维护台用户界面友好，在线诊断直观，故障回放便捷，查询联锁运算参 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 5 - 数方便，操作简单易学，以便具有中等文化水平的人员经短期培训后胜任 VPI 系统的日 常维护工作。 2.2 系统结构系统结构 VPI 系统分成五个部分： 1. 联锁处理子系统； 2. 人机界面子系统； 3. 网络及电源子系统； 4. 系统维护子系统； 5. 室内接口电路子系统。 VPI 系统结构框图如下： M M I BM M I A 微机监测采集机 打印机 微机监测与 系统维护终端 安全通信 接口电路 VPI AVPI B 远程诊断 M O D EM M O D EM 2.2.1联锁处理子系统联锁处理子系统 联锁处理子系统是整个系统的核心部分，它由两套“反应故障安全”专用联锁机组 成。联锁机采用双系热备的配置，包括双套 VPI 系统及其切换电路。每套 VPI 系统包括 负责安全联锁运算的 VLE 板、负责系统安全校验的 VPS 板、负责联锁机与输入/输出板 接口的 I/OBUS1 板和 I/OBE 板、以及安全型输入/输出板。主系统和备用系统间的切换 电路可在不中断 VPI 工作的情况下进行自动或手动切换。另外，在系统正常工作的情况 下，建议系统每周切换一次，这样，有利于备系印制板带载工作，延长印制板的使用寿 命。双系切换不影响系统正常工作。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 6 - 2.2.2 人机界面人机界面子系统子系统 人机界面子系统是 VPI 与用户之间的人机接口模块。通常情况下，MMI 采用彩色显 示器作为计算机联锁系统的人机交互界面，用来供信号员通过鼠标（轨迹球）办理各种 作业，显示站场信号设备，给予明了的语音提示。运输人员的行车指挥命令通过 VLE 板 的网口传递到 VPI 系统；现场轨道电路和道岔等信号设备的状态，通过安全型输入/输 出板与 VPI 的 VLE 板接口，VPI 系统接收到命令并采集到全站的信号设备状态信息后， 进行联锁运算处理，处理后的相应结果，如信号机的开放或关闭、轨道电路的占用或出 清、道岔区段的解锁或锁闭等均在 MMI 上显示出来。 MMI 工作于 WIN 2000 或更高版本的 WINDOWS 多任务操作系统，对每个车场，采用 N+1 热备工作方式，使用高可靠的工业控制计算机，通过高速网口与其它子系统交换信 息。 2.2.3 网络及电源子系统网络及电源子系统 VPI 系统采用基于高速交换机的以太网冗余网络结构，进一步加强了网络系统的可 靠性。各通过网络通信的子系统均安装有两块以太网接口卡，将其接入冗余网络，一条 网络故障，各子系统可以自动通过另一条网络通信，并在 SDM 子系统中提出故障诊断 信息，便于及时维护。 为了保证联锁系统安全稳定工作，各子系统的电源均由不间断电源 UPS 供电。VPI 系统采用双 UPS 热备的冗余供电方式。来自电源屏的单相交流电经过二级单元防雷输 入在线式 UPS，UPS 输出净化 220V 交流电，经过电源柜配电端子排供给 VPI 各子系统。 正常情况下，整个系统由 UPSA 供电，当 UPSA 不能正常工作时，电源切换电路自 动切换至 UPSB 供电，当 2 个 UPS 均不能正常工作时，电源切换电路自动切换至由电 源屏直接供电。当一个或两个 UPS 发生故障时，将同时在 MMI 和 SDM 上给出报警提 示，并且 UPS 的工作状态，如电池供电还是外电源供电、电池工作是否正常等，能在 SDM 上方便查看。 电源切换不影响系统正常工作。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 7 - 2.2.4 系统维护系统维护子系统子系统 系统维护（SDM）模块作为计算机联锁的子系统，主要为计算机联锁完成系统维 护及接口设备监测的功能。本模块包括一台工业控制计算机、一台彩色显示器、一台激 光打印机、鼠标、键盘。作为联锁计算机系统的模块，它实现对 VPI 设备和接口设备的 在线监视和记录，同时也可打印设备操作信息、日期和时间记录。根据顾客的要求，电 务维护终端可以与信号维护支持网络联网，具有远程诊断功能。 2.2.5 室内接口电路子系统室内接口电路子系统 本系统可与室外信号设备、区间闭塞设备、场间联系电路等设备接口。联锁机通 过驱动普通安全型继电器和采集安全型继电器接点与继电电路接口，实现计算机联锁设 备与现场设备的电路衔接和安全隔离。采集的信息为道岔位置、轨道电路状态、信号机 灯丝状态、场间联系条件等。由于 VPI 系统采用 NISAL 专利技术，计算机输出控制只 需采用普通安全型继电器，不需要采用昂贵的动态继电器或动态组合电路，大大降低了 室内接口电路的工程造价，也简化了接口电路结构，确保了输出驱动电路的安全性和可 靠性，也降低了用户的维修成本。 2.3 与其它系统的接口与其它系统的接口 2.3.1 与买方设备的结合与买方设备的结合 计算机联锁系统能与买方提供的室外信号设备结合。这些室外设备包括：色灯信号 机、电动转辙机、轨道电路、电缆等。 2.3.2 与调度监督系统的结合与调度监督系统的结合 计算机联锁与调度监督的联系参照 TB/T 2307 中 6.2 的规定和现场需要进行设计。 计算机联锁系统通过局域网直接与调度监督系统网络结合，其间采用“联网安全隔 离器”进行网间的安全隔离。计算机联锁系统包括与调度监督系统车站终端的软、硬件 接口。 调度监督系统网络、车站终端设备及调度监督的其它终端设备故障，不会影响计算 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 8 - 机联锁系统的正常工作；调度监督系统如果和办公自动化系统、物流系统等联网接口， 这些网络万一发生异常，也不会影响联锁系统的正常工作，更不会影响联锁机的安全运 行。 2.3.3 与微机监测系统的结合与微机监测系统的结合 计算机联锁系统通过局域网直接与微机监测车站终端设备相结合，并与计算机联锁 系统维护台构成二合一综合平台。计算机联锁系统包括与微机监测车站终端的软、硬件 接口。 2.3.4 与道口信号结合与道口信号结合 计算机联锁系统设备能够实现与道口的结合，站内道口技术条件符合 GB10493-89 的规定。计算机联锁系统将根据信号平面图布置情况给站内平交道口发出调车接近报警 通知条件，给站内平交道口发出调车接近报警信号条件。 有两条以上线路的道口，调车接近通知将区别出调车所经线路和方向。 2.3.5与其他系统的接口与其他系统的接口 VPI 系统还可以预留与其他系统的接口，如 ATS 系统、DMIS 系统等。可根据用户的 需求决定系统的接口功能。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 9 - VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 10 - 第三章第三章联锁处理子系统联锁处理子系统 3.1 概述概述 联锁处理子系统是 VPI 系统的核心。联锁处理子系统是由一个或多个机柜组成的双 系热备系统，A 系和 B 系无论是否同时启动，经过一定时间后能自动同步，当工作子系 统发生故障，系统都可以自动切换至备用子系统；也可以通过机柜上的切换开关手动在 双系之间进行切换；当系统正常工作时，一定周期后（由应用工程师在应用软件中定义） 系统会自动切换一次。双系切换不影响系统正常工作。 3.2 联锁处理子系统硬件联锁处理子系统硬件 3.2.1 概述概述 VPI 联锁处理子系统硬件由一个或多个机柜组成，机柜中有一定数量的印制电路板、 连接它们的线路，以及与其它设备交换信息的接口，印制电路板与软件结合完成联锁处 理功能。 3.2.2 系统机箱系统机箱 VPI 系统包含一个以上的机箱。系统所能处理的扩展机箱最大数值取决于有多少安 全型输入输出口及需要求解的方程式数量，系统的扩展是通过增设另一个机箱，将接口 电路板和所需增加的输入/输出板插入该扩展的机箱、并用纽绞线将它与主机箱连接起 来。VPI 系统机箱高度为 9U，扩展机箱高度为 6U，也可兼容 8U 的机箱，宽 19 英寸， 每层机箱有 14 个槽道，灵活及可扩展性好。 3.2.3 中央处理单元（中央处理单元（VLE） VLE 板具有强大的功能，是整个联锁系统的安全核心之一。它执行各种与联锁相关 的逻辑操作，包括输入输出地址，方程式求解和输出状态预校验；完成联锁处理子系统 的安全型通信，与其余子系统的网络通信；将系统启动的信息及故障信息传送给系统维 护子系统等。 每块 VLE 板上有四个网络口，联锁处理子系统通过这四个网络口接入冗余网络，实 现与 MMI 子系统、GPC 子系统和 SDM 子系统的信息交换。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 11 - VLE 板上有四个高速安全通信口、及其它普通 422 串口、232 串口和 CAN 口。对于 每个口都有相应的指示灯，通过这些指示灯的状态可以初步判断他们的工作状态。联锁 处理子系统 A、B 机之间的安全型数据的通信由高速通信口完成。SDM 子系统可通过串 口读取联锁处理子系统 CPU 启动过程中的自检关键点信息，从而判断系统是否正常。系 统正常工作时，不需要 SDM 的查询，联锁处理子系统自动把这些信息发送至 SDM，当与 SDM 通信中断或 SDM 故障时，联锁处理子系统可以记录至少一天的系统报警和错误信息。 VLE 板上的并行口是用来插软件检查块（俗称软件狗）的。进行仿真测试时，必须 在 VLE 板上安装上述的软件检查块后，VPI 系统才能与仿真测试系统通信，确保联锁机 的工作状态和仿真测试状态的身份鉴别正确。 VLE 板上的芯片分为系统芯片和应用芯片。系统芯片中写入的是系统软件，系统软 件包含 VPI 的操作系统、执行软件、仿真测试接口和诊断软件等。应用芯片中写入的是 应用软件，应用软件是一套描述系统所应用的联锁逻辑功能的经过编码的应用数据结构 （ADS） ，数据由 CAA 软件包生成。应用软件可以被应用工程师在规定的语法规则下任意 编写，以满足不同联锁车站数据和联锁规则的要求。每个车站的应用软件是互不相同的， 只要修改应用数据，就可以达到每个车站的联锁修改目的。每个车站的系统软件是不变 的。 3.2.4 安全校验板（安全校验板（VPS） VPS 实际上是 VPI 系统动态的安全监视器，它与 VLE 板一起，构成 VPI 的安全检查 核心。VPS 在精确的周期间隔内接收一组经编码的校验信息，当且仅当校验信息正确， VPS 输出一个安全的数字信号，该信号通过一个安全型的调谐波器，并用于驱动一个安 全型继电器，在任何出错的条件下（硬件错误、噪声干扰等等）安全继电器均可靠切断 VPI 的安全电源输出。 VPS 板产生能够动作一个 100 欧姆安全型继电器的输出电源，以满足联锁系统对 VPI 安全、高速切换的要求，VPS 当且仅当由主处理系统送来的 “主校验字”的数据确 实正确的情况下，VPS 才能支持下一主周期的操作；另外，主处理系统根据系统全部的 输出状态，每 50MS 产生一组证明各输出端口状态的再校验字，它们每 50MS 被送到 VPS 板一次，如果这些再校验字中的任一个不是完全的正确，VPS 输出会关掉，使故障的 VPI 切出工作状态，自动转换到另一套 VPI 控制，保证外部继电器不会因原来控制输出 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 12 - 的 VPI 故障而失磁落下。 3.2.5 输入输出总线接口板（输入输出总线接口板（I/OBUS1） I/OBUS1 板是 VLE 板和输入输出板交换信息的通道，I/OBUS1 板为输入板的测试 数据和输出板的端口校验数据提供存储空间；同时它也包含逻辑和时序电路，以控制输 出端口的连续校验。I/OBUS1 板功能如下： 采集输入板的状态； 控制输出板的输出； 传送输出口状态校验信息。 每块 I/OBUS1 板可以带 2 个输入输出机箱，每个 VPI 系统能配置 6 块 I/OBUS1 板。 3.2.6 输入输出总线接口缓冲板（输入输出总线接口缓冲板（I/OBE） 输入输出总线接口板（I/OBUS1）板采用差分驱动的方式与输入输出总线接口缓冲 板（I/OBE）配合工作。I/OBE 板主要实现差分接受及缓冲的功能。它与 I/OBUS1 板共 同完成系统对输入输出的控制。每个输入输出机箱设置 1 块 I/OBE 板，每个 I/O 机箱可 以放置 13 块 I/O 板。 3.2.7 安全型输入板（安全型输入板（VIB） VIB 板又称安全输入板。每个安全输入板包含有 16 个安全输入口，安全输入板的 电路使 VPI 系统能安全地检测每一个输入的状态。 16 路输入每路输入均有一个 LED 指示灯，在输入接通时，指示灯亮。 每块输入板通过“签名”与数据总线相连。这个“签名”是通过在板上的插座插入 一个编程插头生成的。当构成系统时,每个输入插口槽都分配到一个专用 的“签名“。如 果一块输入板改变了，在该插槽新板上必须插入新的“签名” 。该槽的正确“签名”列 在模块的盖板上。 输入电路提供了一种能在输入的现场终端安全地读取直流电压并将它转换成一种主 处理系统可以使用的形式。当且仅当电源加到输入时，这个输入电路才允许它的“真” 或“接通”状态报告给主处理器(通过一个 32 位码字)。在这种方案中，所有电路的故 障结果都被理解成“关”或“错” ，这是一种较限制的条件。一块直流输入板的所有 16 位输入信息被一起采集进来，但在采集过程中，应用了特殊的防电磁干扰和防抖动设计 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 13 - 方案，以保证采集电路的故障安全。另外，每一个采集端口都有其独特的编码，因此， 当输入接通时，结果得到的字，对于这个输入来说，所能采集到的码字是独一无二的。 对一个关闭的输入口来说，读回的字全为零。 整个过程在主处理系统的通道 2，使用一个不同的串行位流重复进行。 这个操作完成时，只有那些测得电流的输入才在两个通道里产生一个正确的 32 位 字，被 CPU 用以求解方程。 每个输入和输出端口的间距，在印制电路板设计时都经过了详细的计算和测试，以 确保满足 AAR 的抗干扰指标要求。 瞬时峰值电压小于 2000V 能量小于 3.6 瓦秒功率的瞬时电压不会损坏有瞬态保护的 输入。 3.2.8 安全型输出板（安全型输出板（VOB） 每块 VOB8 安全输出板包含 8 个安全输出口，VOB16 安全输出板包含 16 个输出口， 安全输出板的电路允许 VPI 系统能安全地确定每一个输出状态都符合联锁的当前逻辑条 件。 每块输出板上都与输出端口对应地设置有指示灯。因为输出用在安全应用中，那么 供电必须来自一个可以安全地切断的电源，这就是由安全校验板 VPS 控制的系统输出安 全电源。每一块输出板被分配一块 EPROM，其中包括板上各个输出口的独特数据，这些 数据都同板的选址情况紧密相连并用来证明没有选址故障。它们也被安全校核电路用来 验证输出状态。 3.33.3 联锁处理子系统软件联锁处理子系统软件 3.3.1 概述概述 VPI 联锁处理子系统软件包括“系统软件”和“应用软件”。 3.3.2 系统软件系统软件 系统软件包含 VPI 的操作系统、执行软件、仿真测试接口和诊断软件等。这些软件 构成了本系统的系统安全基础，不随具体应用环境而改变，即除非选用不同系列的 VPI VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 14 - 系统，否则每个站的系统软件都是相同的。 3.3.3 应用软件应用软件 应用软件是一套描述系统所应用的联锁逻辑功能的经过编码的应用数据结构 （ADS），数据由 CAA 软件包生成。应用软件可以被应用工程师在规定的语法规则下任 意编写，以满足不同联锁车站数据和联锁规则的要求。每个车站的应用软件是互不相同 的。 应用软件还应包括仿真测试数据安全切出、切入设计。 系统软件和应用软件原则上应该放在不同的、能避免在线擦除或更改的存储媒介中， 以利于系统软件和应用软件的管理。 应用软件的 ADS 版本应在 CAA 生成时产生版本标识，以便应用系统的软件版本校核。 3.43.4 联锁处理子系统的安全性和可靠性联锁处理子系统的安全性和可靠性 3.4.1 故障安全设计故障安全设计 众所周知，当使用微处理器去执行与全继电器联锁相同的安全逻辑时，这些微处理 器系统必须采用特殊措施，使这些微处理器产品具有“故障-安全”特性。VPI 系统的专 用安全技术，符合 EN50126 、EN50128、EN50129 等相关的国际安全标准。 VPI 系统使用两个微处理器的方式来达到故障安全设计。两个微处理器并不是执行 同一任务来实现故障安全的照查，而是采用反应故障安全技术进行一步安全检查， 这样的设计，有其避免相同微处理器之间共模故障的特殊考虑。 联锁系统使用处理器有以下几个优点：联锁系统使用处理器有以下几个优点： 计算机能力计算机能力处理器有在极短时间里完成成千上万次计算的能力。同时，它所要 执行的任务容易随软件程序变化而变化的，而且对于硬件构造和接线的影响极小。 存储器容量存储器容量一可很容易地扩展存储器。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 15 - 体积小体积小计算机联锁比全继电器联锁占据的空间要小，这就可能大大降低为联锁 系统设备提供房子或继电器室的成本。 软件变化软件变化能使用一种高水平、用户较为亲切的语言来改变软件。VPI 的用户无 需是一个计算机程序员，当然使用者必须熟悉与联锁相关的正确逻辑即联锁技术条件。 可用性冗余可用性冗余当一个联锁越变越大时，使用一个处理器系统相对一个继电器的 系统来说就有更大的成本优势，这不仅是从继电器室成本角度来看，而且包括每个单位 I/O 处理器系统成本的优势，因为处理器系统硬件核心不随 I/O 的变化而成比例地增加， 这就使得考虑使用备用处理器硬件来改进系统可用性成为可能，使之超过现有的全继电 器型系统。一个全继电器型系统冗余成本是令人望而却步的。 3.4.2 热备工作原理热备工作原理 由于模块化设计，VPI 系统有完整冗余系统的构造，它有两套独立的系统板和输入 /输出板，和以之为基础的转换逻辑电路，并保证系统在切换时不丢失信息。当修改或 扩展系统时，主系统仍然在工作，而备用系统被用来测试。在这里，需要说明的是，由 于系统按动态冗余的原则设计，系统的主用和备用只是表明系统的工作状态，与设备的 物理概念无关。主系统和备用系统分别执行同一工作，并经同步检查，确保主备系统同 步工作，实现真正的热备冗余。安全输入的连接与同一接口继电器并行连接，安全输出 参数（信号开放参数等）在系统切换时主备系统进行内部互相参照检查。安全输出与每 个接口继电器两线圈中的一个线圈相连接。但是只有主用系统能驱动接口继电器，而备 用系统不能使接口继电器通电。 主备联锁机通过高速网络口与 MMI 系统连接，使得两个 VPI 系统都能接收到来自 的控制命令。在一般情况下，MMI 分别呼叫主备联锁机，如果此时，主备联锁 机均正常工作，主备联锁机的 VLE 板能收到控制命令，命令在输入联锁机之前，进行 表决，如果两个控制命令一致，则分别送入安全处理系统；如果不一致，则以主用联锁 机所接收的命令为准；假如双机的同步表决通道通信中断，则以各自所接收的控制命令 为准。在接收的控制命令的同时，主备联锁机将各自的表示送往，但 将来自备用设备的表示信息过滤掉，只显示主用设备的状态，只有在必要时，才 能由人工选看备用设备状态。 只有当安全型、非安全型通信正常、手动切换程序、安全系统正常工作时，系统输 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 16 - 出“联机正常”的继电器。 上面所述的“联机正常”，使联锁机的 VRD 接点构成双机切换的电路。双机切换 逻辑由联锁机完成，当任何一个联锁机检查到 VLE 板、联锁机、手动切换没有启动， 联锁机输出一个联锁机工作正常的继电器，表示系统已联机；当其中任何一个条件不满 足，此继电器落下，表示联锁机脱机。转换电路是手动或自动完成切换。一旦一个系统 被关闭(VPS 断电)，备用系统自动接管联锁控制。备用系统也被构造成优先于自动操作 的手动操作。由于备用系统是与主系统一致工作的，所以所有逻辑参数存储在两个系统 里，并同时更新，这样在转换时数据就不会丢失了。 3.4.3 联锁机的安全体系结构联锁机的安全体系结构 按照欧洲铁路标准 EN50129，对铁路安全电子系统推荐了三种故障-安全型设备的体 系结构，简述如下： “反应故障反应故障-安全安全”：这种体系的前提是由快速的故障检测和对任何危险失效进行避：这种体系的前提是由快速的故障检测和对任何危险失效进行避 错来保证它的安全操作（例如通过编码、多版软件比较、或通过连续的测试）错来保证它的安全操作（例如通过编码、多版软件比较、或通过连续的测试） 。也。也 就是说它的就是说它的控制和防护部分是完全独立。见下图：控制和防护部分是完全独立。见下图： 使使使使 使使使使 “组合故障组合故障-安全安全”： 组合故障组合故障-安全系统有二取二、三取二等。使用这种技术时，每安全系统有二取二、三取二等。使用这种技术时，每 个安全性相关功能必须至少由两个部件执行，每个部件应当独立于其他的部件。只个安全性相关功能必须至少由两个部件执行，每个部件应当独立于其他的部件。只 有当大多数部件一致时，才允许进行非限制性行动。见下图：有当大多数部件一致时，才允许进行非限制性行动。见下图： 使使1 使使2 “固有故障固有故障-安全安全”：这种技术是在假定单个部件所有可信的失效模式均无危险的情：这种技术是在假定单个部件所有可信的失效模式均无危险的情 况下，允许一个安全性功能由一个单独部件来执行。固有故障况下，允许一个安全性功能由一个单独部件来执行。固有故障-安全也可用在组合和安全也可用在组合和 反应故障反应故障-安全系统的某些功能中，例如，用来确保部件之间的独立性或如果检测到安全系统的某些功能中，例如，用来确保部件之间的独立性或如果检测到 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 17 - 一个危险侧失效时来强制停止运转。一个危险侧失效时来强制停止运转。 VPI 是 ALSTOM 美国公司（原 GRS 公司）设计的专用于铁路信号联锁控制的专利 产品，采用了多重故障-安全技术，获得了国际上的安全认证。 根据 EN50129 标准（在此之前为 ORE A155 建议）的定义，VPI 综合运用了“反 应故障-安全” 、 “组合故障-安全”和“固有故障-安全”技术。 使使1 使使2 使使使使使 使使使使 使使使使 使使使使使使使 使使使使 使使使使使使 联锁机从硬件上分通道 1 和通道 2 二部分进行联锁运算。对同一信号设备，在通道 1 和通道 2 中采用了独立相异的二组编码来表示，运行各自独立的软件，使联锁机 从硬件到软件均构成二取二的“组合故障-安全”体系结构。 在联锁运算采用二取二模式的基础上，通道 1 和通道 2 每执行一行程序，均分别构 成校核字的一部分被实时的送到以 VPS 板为核心的独立的安全防护（校验）部分进 行校核，以监督系统完好，且每行程序均得到正确执行。VPS 板还对各安全型输出 端口进行实时动态校核（校核周期为 50ms） ，确保防护电路能在系统可能发生错误 输出之前即切断输出通道的电流，以实现故障-安全目的。在这里，VPI 系统应用了 “反应故障-安全”技术。 VPI 系统中的 VPS 板、安全型输入、输出板以及安全型输出板中的 AOCD 元器件， 均象安全型继电器一样具有“固有故障-安全”特性。 3.4.4 联锁机的冗余结构联锁机的冗余结构 VPI 系统有基于模块化设计的完整的冗余系统的构造，它由两套独立的系统板和输 入/输出板和以之为基础的转换逻辑电路构成，保证系统在切换时不丢失信息。由于系 统按动态冗余的原则设计，系统的主用和备用只是表明系统的工作状态，与设备的物理 概念无关。主系统和备用系统分别执行同一工作，经同步检查，确保主备系统同步工作， VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 18 - 实现真正的热备冗余。 参照 EN50129 标准，VPI 是具有部分“固有故障-安全”电路，既采用了二取二的 “组合故障-安全”技术，又采用了“反应故障-安全”技术的综合安全系统。在此基础 上，卡斯柯公司提供的 VPI 系统是双套冗余热备的，这既满足了铁道部的技术要求， 又提高了系统的可靠性和可用性。 VPI 系统被设计成所有有源元器件加罩与外界隔离屏蔽，而设备又能永远通电，在 固定的动态环境中，VPI 系统可以在-20C +60C 情况下工作。 安全型输入板由放浪涌保护电路提供瞬时保护。这个电路可以处理 3.6 瓦的瞬态电 压，峰值电流为 30A。改电路能为输出板端口在瞬态提供一条通路以使电路板上的其它 部分免受损坏。 系统的安全性和可靠性满足下列指标： 双通道不可检出错误概率：5.43X10-20 系统不可检出危险间隔：5.8X1010年； 平均故障间隔时间（MTBF）15，000，000 小时； 平均故障维护时间（MTTR）10 分钟； 系统可用度1,000,000 小时/（1,000,000 小时10 分钟）99.99998% VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 19 - 第四章第四章人机界面子系统人机界面子系统 4.14.1 概述概述 本系统的人机界面模块亦称 MMI 子系统, 它采用高分辨率的彩色显示器作为系统 的表示设备，车站值班员用鼠标进行操作，系统给与简洁明了的表示和语音提示。系统 软件具有较强的稳固性，对用户的各种正常和非正常的操作有较强的识别能力，不会导 致系统死机或表示混乱，对于非正常操作给予提示。 MMI 完成以下功能： 操作员发送控制命令和接收现场表示信息的接口； 主 MMI 与其它热备 MMI、SDM 子系统、仿真测试系统等通过高速网络交换 信息；MMI 与仿真测试系统通信需要安插软件检查块，否则不能进入仿真测 试状态。 完成非安全联锁逻辑功能（如选路判断、表示等） ； 对联锁电路进行脱机模拟试验。 MMI 工作于 WIN 2000 或更高版本的 WINDOWS 多任务操作系统，采用 N+1 热备 工作方式，使用高可靠的工业控制计算机，通过高速网口与其它子系统交换信息。 4.24.2 MMIMMI 界面描述界面描述 MMI 界面由站场图、输入操作窗口、系统设备状态窗口、信息提示窗口、时钟窗口 等部分组成。系统向用户提供完善的汉字功能，在系统的画面显示、报警信息、操作提 示、报警打印等方面均实现汉字输出，这更适合于国内用户的应用。主要内容如下： a.信号设备布置模型; b.主要操作表示; c.信号机的状态表示; d.道岔位置表示; e.列车和调车进路的锁闭状态表示; f.轨道及道岔区段的占用表示; VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 20 - g.反映进路控制过程的其它必要表示; h.区间闭塞状态的表示; i.非进路调车、局部控制、平面溜放调车以及与其它系统联系的相应表示; j.主要设备的报警; k.其它必要的表示和报警。 .1 站场图窗口站场图窗口 显示一幅完整的车站信号平面图，背景建议为黑色。 1 信号机及信号名称 信号机主要分为进站信号机、出发信号机和调车信号机等，除了进站信号机 有两个灯位外，其余均只有一个灯位。 在正常情况下，进站信号机显示红灯；正线通过时，进站信号机显示绿灯； 办理正线停车时，进站信号机显示单黄灯；办理侧线停车时，进站信号机显 示双黄灯；办理引导时，进站信号机显示白灯和红灯。 在正常情况下，出发兼调车信号机显示灰色；开放列车信号显示绿灯；开放 调车信号显示白灯。 在正常情况下，调车信号机显示灰色；开放时显示白灯。 信号机灯丝断丝时，闪光告警显示：进站信号机一灯丝断丝时显示“红闪”， 二灯丝断丝时显示“红稳蓝闪”；出发兼调车信号机断丝时显示“蓝闪”； 调车信号机断丝时显示“蓝闪”。 2 道岔及道岔号 在定位时道岔名称为绿色，反位时道岔名称为黄色。 道岔的定位位置应与信号平面图上的开向一致，到道岔由定位转到反位后， 开向应作相应改变。 道岔在四开位置时，岔尖处无显示，如果超过规定时间无表示，则认为该道 岔挤岔，发出语音报警；道岔修复后，道岔显示正常开向，岔尖变为常态， 该道岔恢复使用。 当道岔单锁时，该道岔号码显示红色，当道岔解锁时，该道岔号码显示黄色 或绿色。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 21 - 当办理咽喉道岔引导总锁时，全咽喉道岔锁闭，道岔号码显示红色；办理咽 喉引导总锁恢复，全咽喉道岔解锁，其号码恢复绿色或者黄色。 3 轨道电路 在缺省状态下，轨道电路显示绿色光带，道岔区段光带显示道岔的开向。 一般来说，当区段占用时，轨道电路无条件显示红色光带；若无车占用，区 段锁闭时，区段显示白色光带；当区段解锁时出现故障，显示绿光带。区段 占用表示的等级优先于区段锁闭表示。 4 站间/场间联系表示 对于区间为自动闭塞的车站，在站场显示上对应于每个发车方向有接车方向 表示（绿色箭头表示）和发车方向表示（绿色箭头表示），表示信息来自 VPI。 对于区间为半自动闭塞的车站，在站场图上对应于每个发车方向有接车方向 表示（箭头表示）和发车方向表示（箭头表示）。箭头的颜色有红色、绿色 和黄色。正常情况下，进站信号机附近无接发车表示。 5 其他表示 在站场显示图上还有【3 分】、【30 秒】延时表示灯，上下咽喉 3 分、30 秒延时 计时框等。咽喉两头分别有【X 排路】和【S 排路】表示灯； 显示主副电源的工作状态； 显示主备 MMI 的工作状态； 对于值班员所办理的每一个操作，MMI 给出相应的显示以确认操作的有效性； 显示在进路建立但进路未锁闭状态下的有关信息； 显示进路延时解锁的有关信息； 显示 VPI 和 SDM 的运行状态； 显示联锁处理机的运行状态； 在车站入口处和股道上有车次窗显示。 .2 输入操作窗口输入操作窗口 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 22 - 输入操作窗口包含下列位图按钮。鼠标按压功能按钮后，可办理各种作业；一旦鼠 标发生故障，操作人员可以通过数字化仪进行有关操作。位图按钮有以下种类： 排列进路 取消进路 信号重开 引导 引导总锁 总人工解锁 道岔总定 道岔总反 道岔单锁 道岔解锁 封锁按钮 其它用户所要求的有关操作 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 23 - 第五章第五章系统维护子系统系统维护子系统 5.15.1 概述概述 系统维护台可与微机监测站机构成了二合一的子系统（微机监测与系统维护子系统） ，以提高整个系统的综合化水平。这样的设计，充分发挥了计算机的处理能力，提高了 微机监测对事件记录的实时性，减少了用户对硬件配置和维护。本章主要描述该子系统 的系统维护台功能。 系统维护（SDM）模块作为计算机联锁的子系统，主要为计算机联锁完成系统维 护及接口设备监测的功能。本模块包括一台工业控制计算机、一台彩色显示器、一台激 光打印机、鼠标、键盘。作为联锁计算机系统的模块，它实现对 VPI 设备和接口设备的 在线监视和记录，同时也可打印设备操作信息、日期和时间记录。根据顾客的要求，电 务维护终端可以与信号维护支持网络联网，具有远程诊断功能。 SDM 完成以下功能： 联锁处理子系统的系统维护。通过高速网口接收联锁处理子系统的诊断结果信 息、输入/输出信息、全站简化参数信息、指定参数详细信息。系统正常工作 时，不需要查询，SDM 自动接收联锁处理子系统的信息，当 SDM 故障修复后、 或与联锁处理子系统通信恢复后，SDM 能立即开始接收联锁处理子系统记录 的一天内的系统报警和错误信息。 读取联锁处理子系统 CPU 启动过程中的自检关键点信息； 通过网络接收来自 MMI 的操作和表示，并记录关键操作和表示； 站场显示、历史回放； 网络管理； 通过 MODEM 实现远程诊断接入； 通过 CAN 总线接收微机监测机的监测信息； 通过以太网为其它管理系统与 VPI 系统通信提供接口。 根据需要，SDM 可以与不同的中央维修中心接口。 VPI 型计算机联锁系统手册 卡斯柯信号有限公司 - 24 - 5.25.2 系统功能系统功能 5.2.1 记录车站值班员的操作和列车运行情况，对记录信息保存时间不低于30天，可以 随时打印和再现记录信息。 5.2.2 在线检测网络系统运行状态，有效诊断网络系统运行故障，为维护人员提供有效 的运行状态信息。 5.2.3 全天候连续对联锁设备和接口设备进行在线自动测试和记录，并对测试结果进行 记录，测试结果可以随时再现及打印，数据测试结果保留时间不少于30天。 5.2.4 系统具有良好的实时性和可靠性，系统本身必须连续稳定工作，本身具有自检功 能，可以及时发现监测设备本身故障并给出报警和提示。 5.2.5 系统维护设