（交通信息工程及控制专业论文）高速磁浮列车安全计算机平台设计与实现.pdf

摘要 摘要：高速磁浮列车利用磁力使车体悬浮于轨道上，并采用直线电机推进高速运 行，是现代交通技术发展的一条新途径。运行控制系统是高速磁浮列车系统的重 要组成部分，是实现磁浮列车“运行指挥，安全防护 功能的安全苛求计算机控 制系统。安全计算机是该系统的核心技术设备，通过增加多个运算单元作为参考， 屏蔽或纠正单个运算单元出错而引起的系统故障，提高了可靠性和安全性，从根 本保证了对道岔等安全苛求设备及车辆控制等安全相关操作的防护。 目前，安全计算机技术被少数发达国家所垄断，国内的研究还处于初级阶段， 传统的安全计算机属于专用计算机，针对专用系统及用户定制硬软件，可靠性、 安全性很难在实践中得到验证，兼容性、通用性比较差。本文针对目前安全计算 机存在的弊端，以德国高速磁浮列车为应用背景，分析了高速磁浮列车运行控制 系统及其对安全计算机功能的需求，提出了一种分布式安全计算机系统的总体设 计方案，研制了系统的硬件和基础软件，搭建了三取二安全计算机平台，并完成 了系统调试。 论文主要研究了以下内容： 第一，研究了高速磁浮列车运行控制系统结构，分析了运行控制系统各子系 统及对安全计算机的基本功能、可靠性及安全性的需求，并对可靠性、安全性进 行量化分析。 第二，基于需求分析，并针对传统安全计算机的弊端，提出了一种分布式安 全计算机系统的总体设计方案，划分了功能层次结构，从保证可靠性、安全性的 角度详细设计了各个功能子模块。 第三，设计了安全计算机硬件的总体结构，划分并设计了独立的功能电路单 元，基于先进高性能微处理器p o w e r p c ，研制了具有丰富通信接口的主控计算机 以及具有故障安全特性的开关量输入输出单元电路等硬件设备。 第四，完成了软件系统的功能分解，开发了基于嵌入式实时操作系统v x w o r k s 的板级支持包( b s p ) ，重点完成了系统底层初始化程序及c a n 驱动程序编制。 最后，搭建了分布式三取二安全计算机系统硬件平台，提出一种基于本平台 的同步及表决的软件参考方案，设计了测试方案，并编制测试代码，然后完成了 系统调试。 关键词：高速磁浮列车；运行控制系统；安全计算机；板级支持包( b s p ) ；研制 分类号：u 2 9 2 9 1 7 a b s t r a c t a b s t r a c t ：t h eh i g h s p e e dm a g l e vt r a i nw h i c hl e v i t a t e sf o r mt r a c kb ym a g n e t i c f o r c ea n dm o v e sb yl i n e a rm o t o r si san e ww a yf o rm o d e mt r a n s p o r tt e c h n o l o g y t h e o p e r a t i o nc o n t r o ls y s t e m ( o c s ) i sas i g n i f i c a n tp a r to fh i g h s p e e dm a g l e vs y s t e m i t i sas a f e t yc r i t i c a lc o m p u t e r - c o n t r o l l e ds y s t e mt h a ti m p l e m e n t st h ef u n c t i o n so ft r a i n o p e r a t i o nc o m m a n d i n ga n ds a f e t yp r o t e c t i o n s a f e t yc o m p u t e ri st h ec e n t r a lt e c h n o l o g y w i t hh i g hr e l i a b i l i t ya n ds e c u r i t yb yu s i n gm u l t i p r o c e s s i n gu n i t st os h i e l do rc o r r e c ta s i n g l eu n i t se r r o r t h u s ，i tc a np r o t e c tc r i t i c a le q u i p m e n ts u c ha ss w i t c ha n ds a f e t y o p e r a t i o ns u c h 弱v e h i c l ec o n t r o lr a d i c a l l y a tp r e s e n t , t h es a f e t yc o m p u t e rt e c h n o l o g yi ss t i l lm o n o p o l i z e db yf e wd e v e l o p e d c o u n t r i e sa n dt h ed o m e s t i cr e s e a r c hi si no r i g i n a ls t a t e t r a d i t i o n a ls a f e t yc o m p u t e ri sa d e d i c a t e dc o m p u t e r i t sh a r d w a r ea n ds o f t w a r ei sm a d et oo r d e rf o rs i n g l es y s t e ma n d u s e r t h u s ，r e l i a b i l i t y 、s e c u r i t yc o u l dn o tb ev a l i d a t e di np r a c t i c ea n dc o m p a t i b i l i t y 、 v e r s a t i l i t yi sp o o r a i m i n ga tt h i sf a u l t i n e s s ，t h eo c sa n di t sf u n c t i o nr e q u i r e m e n to f s a f e t yc o m p u t e rb a s e do nt h ea p p l i c a t i o no ft h eg e r m a n yh i g h - s p e e dm a g l e vw a s a n a l y z e d ad i s t r i b u t e ds y s t e mf r a m ew a sp r o p o s e d t h eh a r d w a r ea n db a s i cs o f t w a r e w e r ed e v e l o p e d t h e nt h e2o u to f3s a f e t yc o m p u t e rp l a t f o r mw a se s t a b l i s h e da n dt h e s y s t e mw a sd e b u g g e d t h er e s e a r c hi sf o c u s e do nt h ef o l l o w i n g s ： f i r s t l y , t h eh i g h - s p e e dm a g l e vo c sw a ss t u d i e d i t ss u b s y s t e m sa n dt h e i rb a s i c f u n c t i o n 、r e l i a b i l i t y 、s e c u r i t yr e q u i r e m e n to fs a f e t yc o m p u t e rw a sa n a l y z e d r e l i a b i l i t y a n d s e c u r i t yw e r ec o m p u t e d s e c o n d l y , ad i s t r i b u t e ds f f u c t u r eo fs a f e t yc o m p u t e rw a sg i v e nb a s e do nf u n c t i o n r e q u i r e m e n ta n df a u l t i n e s so ft r a d i t i o n a ls a f e t yc o m p u t e r f u n c t i o nh i e r a r c h ya n d s u b a l t e r ns y s t e m sb a s eo nr e l i a b i l i t ya n ds e c u r i t yr e q u i r e m e n tw e r ed e s i g n e di nd e t a i l t h i r d l y , t h ef r a m eo fh a r d w a r es y s t e ma n di t su n a t t a c h e df u n c t i o nc i r c u i tu n i t sw e r e d e s i g n e d t h em a i nc o n t r o lc o m p u t e rt h a tw i t ha b u n d a n tc o m m u n i c a t i o ni n t e r f a c e s b a s e do nt h ea d v a n c e dp r o c e s s o rp o w e r p ca n di n t e r r e l a t e ds w i t c hi ob l o c kc i r c u i tw i t h f a u l t s a f ec h a r a c t e r i s t i cw e r ed e v e l o p e d f o u r t h l y , s o f t w a r ef u n c t i o nw a sd e c o m p o s e d b s pt h a tf o c u s e do ni n i t i a l i z e r sa n d d r i v e r sb a s e do ne m b e d d e dr e a lt i m eo p e r a t i o ns y s t e mv x w o r k sw a sd e v e l o p e d a tl a s t ，t h ed i s t r i b u t e d2o u to f3s a f e t yc o m p u t e r sp l a t f o r mw a sb u i l tu p a r e f e r e n c eo fs y n c h r o n i z a t i o na n dv o t ew a sp r o p o s e d t e s t i n gs c h e m ea n dc o d e sw e r e g i v e n t h e nt h es y s t e mw a sd e b u g g e d k e y w o r d s - h i g h - s p e e dm a g l e v ；o p e r a t i o nc o n t r o ls y s t e m ；s a f e t yc o m p u t e r ； b o a r ds u p p o r tp a c k a g e ( b s p ) ；r e s e a r c ha n dr e a l i z a t i o n c l a s s n 0 ：u 2 9 2 9 1 7 v 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：4 - 言 签字同期：d g 年6 月6 日 导师签名： ，3 约，盘) 彳 l 签字日期：如字年占月易e l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果。除 了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或撰写过的研究成果，也 不包含为获得北京交通人学或其他教育机构的学位或证： s 而使用过的材料。与我一同上作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名：夕奎它 签字日期：蝴年 占月 占日 学位论文作者签名：奢毛 签字日期：蝴年 月 占日 5 1 致谢 本论文的工作是在我的导师徐洪泽教授的悉心指导下完成的，徐洪泽教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢徐老师 对我的关心和指导。 郑伟、刘湘黔、岳强、仲维锋和杨光老师对于我的科研工作和论文都提出了 许多的宝贵意见，在此表示衷心的感谢。 在实验室工作及撰写论文期间，周鹏等师兄，吴梦嫒等同学，郭荣等师妹师 弟对我论文中的一些基础研究工作及我的日常生活给予了热情帮助，在此向他们 表达我的感激之情。 另外也感谢我的家人以及所有关心我的朋友们，他们的理解和支持使我能够 在学校专心完成我的学业。 1 绪论 1 1 高速磁浮列车及其运行控制系统 整个人类客运交通发展的历史是速度不断提高的历史n 1 。磁浮列车的出现是 2 0 世纪后期的一项重大进展。高速磁浮列车利用磁力抵消地球引力，使车体脱离 轨道而悬浮，并利用直线电机进行推进。无机械接触，无摩擦和无磨损的特点可 使高速磁浮列车时速可以达到5 5 0 公里d , 时，它是填补火车和飞机之间速度空档 的第六种交通运输系统。正是因为磁悬浮铁路存在上述这些优势，它极有可能成 为一种比较理想的交通工具，从而为现代交通技术发展开辟一条新途径乜1 。 l 高速磁浮列车 高速磁浮列车技术的研究源于德国。1 9 2 2 年德国工程师赫尔曼肯佩尔提出了 电磁悬浮原理，1 9 3 4 年他申请了专利，1 9 5 3 年完成科学报告电子悬浮导向的电 力驱动铁路机车车辆。2 0 世纪7 0 年代以后，世界工业化国家为提高交通运输能 力以适应经济发展的需要，德国、日本、美国、加拿大、法国、英国等发达国家 相继开始对磁悬浮系统进行开发，并取得令人瞩目的进展1 。其中以德国和日本的 技术最为发达，我国也在2 0 世纪7 0 年代开始了磁浮列车的研究，于2 0 0 1 年与德 国合作建设了上海高速磁浮列车示范运营线，并于2 0 0 3 年投入使用。在进一步消 化、吸收国外技术的基础上，我国的高速磁浮技术取得了长足的进步h 1 。 列车磁浮技术从悬浮机理上可划分为电磁铁电磁式悬浮、永磁铁电动式悬浮 与永磁电磁混合式悬浮和永磁铁式磁性轨道3 种。也可以从磁浮列车的牵引电机 结构上划分为长定子直线同步电机，短定子直线感应电机两种，前者应用于高速 磁浮系统，后者主要应用于中低速磁浮系统。对于高速磁浮列车，德国的电磁悬 浮t r a n s r a p i d 型常导磁浮列车和日本的电动悬浮m l u 型磁浮列车是高速磁浮发展 的趋势，技术已经比较成熟。美国的m a g p l a n e 方案也引起广泛的关注，但目前还 处于设计阶段巧6 1 。 磁悬浮列车受电磁力或电动力的作用，可以产生升力使车体与轨道脱离机械 接触，即车体悬浮于轨道上。德国t r a n s r a p i d 型列车利用悬浮架两侧的可控直流电 磁铁与导轨间的吸力来提升车体，再由长定子直线同步电机产生牵引力，推动列 车前行。日本m l u 型系列磁悬浮列车采用侧壁零磁通悬浮，当列车运行达到一定 速度时，车载磁体切割轨道的磁场线产生悬浮力提升车体，其牵引方式同于前者订】。 磁浮系统一般都由线路、车辆、供电和运行控制等四个主要的子系统组成呻】。 1 ) 线路：引导列车前进方向，同时承受列车荷载并将之传至地基； 2 ) 车辆：完成列车悬浮脱离轨道的机械接触； 3 ) 供电：通过地面长定子线圈供电提供列车运行所需的电能； 4 ) 运行控制：控制列车行进的正常，确保列车运行的安全，提高运输组织的 效率，实现列车运行的自动化。它由车载、分区及中央三个子控制系统组成。 整个磁浮系统结构如图1 - 1 所示。 ；电l供电2供电3 ! 制系统l 谢 分区控制系统3分区控制系统2 7 7 钉 7 、 ：中央控制系统 备注： 图卜l 磁浮系统结构 f i g u r e l 一1m a g l e vs y s t e ms t r u c t u r e 2 高速磁浮运行控制系统 运行控制系统完成列车运行管理与运营调度等功能，并对列车运行的安全防 护和自动控制的起着核心作用，是高速磁浮列车正常运行的根本保障陋f9 1 。它通过计 算机控制、计算机网络、通信及信息处理等先进技术与磁浮交通系统的车辆、牵 引、线路及道岔等设备或系统相连，完成对列车运行的控制、安全防护、自动运 行及调度管理等任务嘲。它在磁浮系统中的地位与作用如图1 - 2 所示。 图卜2 运行控制系统在磁浮系统中的地位与作用 f i g u r e l 一2s t a t u sa n df u n c t i o no f o p e r a t i o nc o n t r o ls y s t e mi nm a g l e vs y s t e m 2 高速磁浮列车的工作机理不同，因此磁浮列车的运行控制系统的体系结构、 功能分解以及设计思想有较大的差异。以上海磁浮运营示范线的德国t r a n s r a p i d 高 速磁浮运行控制系统为例，运行控制系统主要由中央控制、分区控制、车载运行 控制和通信四个子系统组成，各个子系统要完成以下的工作内容0 1 。 1 ) 中央控制系统完成整个磁浮系统线路及列车运行状态的显示，实现中央系 统对整个线路列车运行的控制功能，汇总并显示运行控制系统各功能组件的在线 诊断信息； 2 ) 分区控制系统完成列车运行管理，以及进路防护、道岔防护、列车防护、 道岔控制、列车速度曲线监控及牵引切断等安全防护； 3 ) 车载运行控制系统完成列车运行控制、监控、以及列车悬浮、涡流制动等 安全防护。 运行控制系统作为个安全控制和防护系统，其最主要的一个功能就是要实 现列车运行的高可靠性和安全性，所以在设计、制造、使用和维护过程中均遵循 有关安全性原则和有关国际或国家标准。运行控制系统必须要有较高可靠性，特 别是要遵循一个最基本的安全性原则，即“故障一安全原则，它要求系统在正 常寿命内可靠运行，并保证在正确的运行操作规范和维护规范的指导下，即使出 于系统故障也不会引起列车运行的灾害性后果。要实现系统高可靠、安全的运行， 系统必须满足以下的要求： 1 ) 硬件系统，即要采用安全计算机系统； 2 ) 系统软件，即系统软件的设计方法和过程遵循工业安全防护系统的标准， 通过第三方安全评估机构的评估； 3 ) 数据传输，即系统中的传输网络均采用双通道冗余方式。 三者当中又以硬件系统的安全性最为重要，只有高可靠性、可安全性的安全 计算机硬件平台，才能从根本上真正的提高整个系统的性能，保证列车安全运行， 避免由于系统故障引起的灾害性后果。 1 2 安全计算机研究及应用现状 磁浮列车运行控制系统对安全性要求苛刻，才能保证列车的运行指挥、安全 防护。所以运行控制系统必须要有高可靠性、可用性、可维修性、安全性指标的 电子计算机的支持，安全计算机在运行控制系统中起着核心的神经枢纽的作用， 是磁浮列车运行控制系统中的关键核心部件。 目前，安全计算机技术被广泛的应用于各种安全苛求的控制系统中。以铁路 信号控制系统为例，德国s i e m e n s 公司s i m i s 计算机联锁系统中模块化的s i m i se c c 信号安全计算机，它采用了三取二结构；又如a l c a t e l 公司s e l t r a c e 列车运行控制 系统的车载控制器( v o b c ) 和轨旁区域控制器( z c ) 均采用了三取二的安全计 算机 j s e 在国内的铁路信号控制系统中也广泛的使用安全计算机，如铁道科学研 究院的t y j lt r 9 型计算机联锁系统中的核心就是三取二的安全计算机，通信信 号总公司研究设计院的d s 6k s b 型计算机联锁系统的核心是二取二乘二的安全计 算机，和利时系统工程股份有限公司的l k d lh 2 型车站列控中心系统的核心是二 乖二取二的安全计算机。 但是安全计算机的核心技术还是被少数的发达国家所垄断，如上海磁浮运营 示范线的德国t r a n s r a p i d 高速磁浮运行控制系统所使用的就是德国s i e m e n s 公司 s i m i s 3 1 1 6 三取二安全计算机哺1 。在国内，对安全计算机的研究还不是很成熟，安 全计算机系统的发民展受到多模冗余技术瓶颈约制，特别是自身的硬件核心技术 受到制约，就如前面所提到的用于列车信号控制系统的安全计算机，其核心技术 都是从外国引进的，如t y 儿t r 9 型计算机联锁系统核心部件来自美国，d s 6k 5 b 型计算机联锁系统的核心部件来自日本等。安全计算机的研究还仅仅处于起步的 阶段，受到外国技术的制约。特别是对适用于磁浮的安全计算机的研究还十分的 不成熟，还仅仅处于样机试验阶段。 传统的安全计算机都属于专用机计算，专门针对专用系统，并且往往只有一 个用户，大多数软件也都是用户定制的。因此这种系统的兼容性、通用性及可移 植性比较差，这种开发方法仅适用于简单的系统。随着应用变得越来越复杂，系 统开发周期、开发成本将显著增长，而且经不起长时间用户的考验，系统的可靠 性、安全性很难在实践中得到验证，从而难以保证所开发的产品的质量。 随着信息技术的飞速发展，安全控制相关系统的研制和开发出现了新的趋势， 即采用现货供应商品( c o m m e r c i a lo f f - t h e - s h e l f , c o t s ) 实现安全苛求系统，这 是本文所设计的安全计算机平台的技术基础1 。对于c o t s 技术的原理，我们可 以把c o t s 组件看作是七巧板中的一个板块，我们可以随意使用这些板块拼接出 最后我们想要的形状。c o t s 组件不单纯是为某一个产品或系统设计的，而是为某 一类产品或系统设计的，所以c o t s 组件在一个相对宽松的环境里具有较好的兼 容性、通用性和可移植性。从而极大地缩短了开发周期，降低了成本及提高了产 品质量。越来越多的安全苛求系统应用了c o t s 产品，通过c o t s 技术可以采用 成熟的商用软硬件组件，开发满足军事、航空航天、交通及工业过程控制等领域 需要的安全苛求系统。c o t s 研制和开发的安全计算机符合开放的技术标准，兼容 性好、技术支持良好、可以直接商业采购n 毛协1 。在对安全要求苛刻设备或系统中 使用c o t s 技术也十分的成熟了，例如美国国家航天局( n a s a ) 将商用v x w o r k s 嵌入式实时操作系统( r 1 o s ) 应用于航天飞机和火星探测器，美国空军的先进战 4 斗机上也使用了v x w o r k s 实时操作系统及商用p o w e r p c 处理器，我国的空间技术 研究院也将v x w o r k s 应用在了载人航天飞船上。 磁浮列车运行控制系统中的很多计算机都要求实时性高、接口丰富、适应恶 劣环境条件、具备“故障安全特性。采用普通c o t s 技术的商用现货产品无法 满足上面的要求，所以需要研制专用的安全计算机来实现系统的特定功能，保障 列车运行安全与效率。这也是本文研究的重点，也就是采用相关的方法使基于 c o t s 技术的计算机有较高的可靠性，且具有“故障安全”特性，即计算机系统 不能正常工作时不会向设备输出导致危险的控制信号。 目前国内外已对以冗余方式实现安全计算机系统的方式都比较认可。研究运 用高性能的微处理器来实现多模冗余系统结构的安全计算机具有实际的技术意义 和良好的应用前景。本文就是在高速磁浮运行控制系统的研究背景下，以多模冗 余技术为讨论重点，研制适合高速磁浮列车的安全计算机平台。 1 3 论文的主要工作 运行控制系统是整个磁浮控制系统的核心。是大量计算机控制技术的高度集 成，要实现其运行指挥和安全防护的作用，必须要有安全苛刻的安全计算机的支 持，所以本文将以运行控制系统为研究背景，重点做好以下工作： 第一，研究运行控制系统及各个子系统，分析支持系统运转的安全计算机平 台的基本功能、可靠性和安全性需求； 第二，基于功能需求分析，提出一种具有分布式特点的安全计算机总体结构 框架，同时基于可靠性和安全性的需求，对各个子模块进行了详细的设计； 第三，提出硬件结构的总体设计方案，研制基于高性能微处理器的主控计算 机及相关的故障安全硬件设备； 第四，基于嵌入式实时操作系统进行底层基础软件的开发： 第五，搭建安全计算机系统平台，并分析了冗余安全计算机的运行原理，完 成系统的调试。 5 2 安全计算机平台总体方案设计 2 1 高速磁浮列车系统中的安全计算机 运行控制系统的任务是指挥磁浮列车的运行，确保列车运行和线路的安全， 提高运输组织的效率，实现列车运行的自动化。即就是“运行指挥 和“安全防 护 两个重点，是高速磁浮列车安全运行的根本运行保障。它要保证磁浮列车高 速、安全的运行，并能根据运行中车辆、线路的状况随时调整运行计划，迅速处 理运行中的各种突发事件，以确保列车的安全。运行控制系统的基本功能如下： 操作与显示、运行管理、迸路防护、道岔防护、列车防护、牵引切断、定位功能 及速度监控。其中前两个功能实现的是“运行指挥”，而其余功能实现的是“安全 防护”，可见实现整个系统的安全保障是十分的重要，是整个运行控制系统的核心， 所以运行控制系统需要功能强大的安全计算机支持。论文从分解运行控制系统各 子系统出发分析安全计算机平台的功能需求。 1 分区运行控制系统中的安全计算机 分区控制系统位于牵引变电站或道岔房，与牵引区段对应，分区控制系统接 收来自中央控制系统的各种运行指令、并对运行指令进行分配或者执行，从而实 现对线路、牵引、列车的管理、控制及防护。其控制对象与安全密切相关，主要 由安全计算机组成，实现控制的“故障一安全 ，保证列车的安全运行。 根据分区运行控制系统的功能，我们将其功能做以下的分解哺。5 1 。 1 ) 运行指挥相关功能：操作控制准备功能、运行准备、控制列车运行、检查 和转发中央控制系统报文、控制轨道、控制列车、控制牵引系统、列车管理、安 全操作与显示； 2 ) 数据操作相关功能：数据传输、数据管理； 3 ) 安全防护相关功能；轨道防护、列车防护、道岔控制、道岔防护，牵引切 断、速度曲线监控、安全定位。 对于安全防护相关功能，是分区运行控制系统的核心，对于每一个功能模块 都要求进行独立控制，所以采取分散控制方式，对影响安全且相对独立的设备进 行单独控制。那么安全防护功能又可以详细的分为以下三个部分： 1 ) 轨道防护轨道保护、列车防护、牵引切断、速度曲线监控及安全定位； 2 ) 道岔进行安全防护，防止意外激活道岔； 6 3 ) 在需要切断牵引系统时，确保在任何运行状态下牵引或制动电流都不会流 入牵引系统的轨旁电缆。 由上面分析，可以得到分区子系统的计算机系统组成，即使用分区控制计算 机( d c c ) 完成运行指挥功能，使用分区安全计算机( d s c ) 、分区道岔模块( d s m ) 和分区牵引切断( d p s ) 完成安全防护功能，使用分区传输计算机( d t c ) 完成数 传输及管理，系统结构如图2 1 所示。 _ ，j 广一。- 1 结点f l - t l i l 檀硅咀 果磊器p ll 一f 鬻蚪d c c s c j j j 囊1 j 联锁总线 il ，ll ，1 ；1 衙鬻d t cr 分区道岔模分区牵引切 j ； 块计算机断计算机 -d s m f d p s 图2 1 分区运行控制系统结构 f i g u r e 2 1s t r u c t u r eo fd e c e n t r a l i z e do p e r a t i o ns y s t e m 从系统结构中可以清晰的看到由五台计算机搭建起来的分区运行控制系统的 详细结构。具体分析每一套计算机的功能如下： 分区控制计算机( d c c ) ：完成列车控制、牵引控制、轨道控制、中央报文转 发和系统状态管理等信息处理。和中央控制系统( c c s ) 和分区安全计算机( d s c ) 通过双冗余通信接口连接。它无安全相关功能，不属于安全计算机； 分区安全计算机( d s c ) ：完成轨道防护、列车管理和牵引切断等信息处理。 和分区传输计算机( d t c ) 、分区道岔模块( d s m ) 、分区牵引切断模块( d p s ) 及其他分区安全计算机( d s c ) 通过双冗余通信接口连接。它处理与安全相关的 信息，属于安全计算机； 分区传输计算机( d t c ) ：完成车载控制系统和分区控制系统间数据传输和管 理。和分区安全计算机( d s c ) 、分区道岔模块( d s m ) 、分区牵引切断模块( d p s ) 和分区无线电单元( d r c u ) 通过双冗余通信接口连接。它无安全相关功能，不属 于安全计算机； 分区道岔模块( d s m ) ：控制、防护道岔动作，完成对安全相关设备的开关量 i o 操作。和分区传输计算机( d t c ) 、分区安全计算机( d s c ) 和分区牵引切断 7 模块( d p s ) 通过双冗余通信接口连接。它处理与安全相关的信息，属于安全计算 机； 分区牵引切断模块( d p s ) ：完成基本的牵引防护信息处理，以及对安全相关 设备的开关量f o 操作。和分区传输计算机( d t c ) 、分区安全计算机( d s c ) 、分 区道岔模块( d s m ) 和牵引供电系统通过双冗余通信接口连接。它处理与安全相 关的信息，属于安全计算机。 所涉及的无安全功能的计算机并非不用考虑可靠性及安全性，以分区控制计 算机( d d c ) 为例，旦分区控制计算机故障，就会对整个运行控制系统运行指 挥产生影响，因此要求采用双机热备的冗余方式来提高此类计算机的可靠性。 2 车载运行控制系统中的安全计算机 车载运行控制系统与其他相关控制部件一起协同工作，保证列车安全操作。 接收来自分区控制系统、或者驾驶员控制台的控制指令，控制并管理磁浮列车的 安全运行，同时接收磁浮列车的速度和位置信息，以及列车的各种状态信息，并 把这些信息传递给分区控制系统。具体功能包括：系统启动与初始化、定位系统 测试、涡流制动测试、插入运行、运行模式转换、列车悬浮降落控制、列车停止 状态监视、列车安全定位、车门安全控制、停车点步进控制、安全制动曲线监控、 列车运行方向监控等功能。 ， 车载运行控制系统由两套计算机系统组成，即完成数据管理与传输的车载传 输计算机( v t c ) 和保证列车安全操作的车载安全计算机( v s c ) 组成，系统结 构如图2 2 所示。 图2 - 2 车载运行控制系统结构 f i g u r e 2 - 2s t r u c t u r eo fv e h i c l eo p e r a t i o nc o n t r o ls y s t e m 8 车载传输计算机( v r c ) ：完成车载控制系统和分区控制系统间的数据传输和 管理。和车载无线电单元( m r c u ) 及车载安全计算机l ( v s c l ) 通过双冗余通 信接口连接。它无安全相关功能，不属于安全计算机。但要采用双机热备的方式 来提高其可靠性； 车载安全计算机( v s c ) ：完成列车运行管理、悬浮、制动和监督等信息处理。 和车载传输计算机( v t c ) 、列车操作计算机和列车诊断计算机通过双冗余通信接 口连接，同时要完成多个安全相关设备的开关量i o 操作。它处理与安全相关的信 息，属于安全计算机。 2 2 基本功能需求分析 在上节中，对整个系统进行了分析，从整体到局部，从大至t j d , ，从简入详。 一个清晰的运行控制系统框架已经展现了出来，可以清楚的看到安全计算机在整 个系统中的位置与作用，以及组成运行控制系统的安全计算机如何紧密结合在一 起的。运行控制系统是一个有机的整体，那么必定要求系统内部的安全计算机都 必须是同一种制式的，同一个规格的，要有很好的兼容性、通用性，并且具备很 好的可移植性。那么我们从功能实现的角度初步归纳文章所要设计的安全计算机 所应具备的基本功能，为后文的设计做好准备。 1 ) 强大的信息处理能力，磁浮运行控制系统是一个复杂的网络结构，需要处 理大量的通信数据，进行数据的主机间同步及表决等复杂任务。同时它本身也必 须完成磁浮列车类似于速度曲线计算、运行任务管理等复杂数据的实时管理及运 算，这就要求有一个高效率，高性能的处理器和实时的操作系统来支持； 2 ) 强大的网络通信能力，可以无缝的将整系统连接起来，即保证安全计算机 系统中各子系统连接，又能保证安全计算机系统间的通信，还要保证运行控制系 统中各子系统的连接，以及运行控制和其它外部系统的可靠连接，从而使大批量 数据能够实时传输，这就要求安全计算机必须有十分丰富的通信接口； 3 ) 可以对外部设备进行开关量的操作，在运行控制系统中，要完成对一些 i 0 设备如道岔，供电牵引等的操作。同时安全计算机的i 0 数要充足且可以裁剪， 可以通过i 0 数的配置来兼容控制所有的i 0 设备； 4 ) 要求同一制式安全计算机，具有很好的通用性、兼容性和可移植性，适合 于运行控制系统的每一个子系统； 5 ) 运行控制系统的功能结构是模块化的，有较强的独立性。所以安全计算机 设计中也应该考虑分布式结构，使得安全计算机系统无论在硬件，还是软件上都 9 可以进行裁剪，有很好的适应性，可用于任意系统中。例如可以变换安全计算机 的制式，通过硬件的裁剪及软件的修改就可以由三模制式转换成双模制式，或者 可以直接单机运行； 6 ) 安全计算机要求在地面和列车都可以使用，所以要求有很高的抗震性，对 计算机的电气、机械等物理特性的设计也提出很高的要求： 7 ) 在软件方面，要选择嵌入式实时操作系统。有完备、优化的基础软件设计 策略； 8 ) 所设计的安全计算机必须符号国内外相关的标准。 2 3 可靠性安全性需求分析 安全计算机平台一个重要的需求凸显在“安全两个字上，它是有别于普通 控制计算机的最根本的特点，也是我们论文的一个理论核心。分析安全计算机的 可靠性和安全性是安全计算机平台功能需求分析的重点。 目前市场上采用c o t s 技术的控制计算机大多数都不具备故障安全特性。而 对于磁浮交通运行控制领域，一旦计算机系统不能正常工作，就有可能向被控设 备输出危险的控制信号，从而造成重大的人员伤亡和财产损失。对于分区运行控 制系统和车载运行控制系统，直接或间接控制道岔、制动牵引供电等现场设备， 处理进路、速度、防护等大量与安全直接相关的信息，很多信息处理与传输的实 时性要求也相当高。所以系统要求的是一种高可靠性、高安全性的故障安全计算 机控制系统，同时需要较高的性能和丰富的通信接口。下面在安全计算机基本功 能的基础上分析安全计算机的可靠性、安全性的需求l i e 1 7 。 l 可靠性需求分析 系统的可靠性是指在规定的条件下，规定的时间内，系统完成规定功能的概 率。任何设备、装置的故障是不可避免的，但是对于可靠要求很高的高速磁浮安 全计算机来说，任何的故障的都可能导致行车的不安全。因此就要求对系统设备 的可靠性进行研究，尽可能防止可预知的故障发生，将不可预知的故障减少到最 低程度，使故障造成的损失降低到最小，最大限度的提高磁浮安全计算机系统的 可靠性。 对于磁浮列车安全计算机，从系统分析的角度，我们将安全计算机分为系统 级、设备级和通道级三个层次。 1 ) 系统级：安全计算机系统的可靠性指标必须是最高的，要提高可靠性指标， 则要求安全计算机采用冗余结构，即增加数据运算单元的个数，以多个运算单元 作为参考，屏蔽单个运算单元出错而引起的系统故障。目前广泛使用和研究的冗 l o 余结构主要有三模静态冗余结构，双机热备动态冗余结构。对于三模静态冗余结 构，系统不能工作到无限期，即存在一个时刻，使得此时刻之前的三模冗余系统 的可靠度高于单模系统。双机热备动态冗余结构由两个模块组成，其中只有一个 输出有效，系统不断地进行故障检测和故障定位，将运行中发生故障的模块用备用 模块去代替，实现系统重组恢复，从而达到提高系统可靠性的作用。 2 ) 设备级：安全计算机也必须保障系统的硬件、软件的可靠性达到最优。那 就要求在设计硬件时要求：提高元器件本身的可靠性为基础，在抗机械环境设 计、电子器件选型，电路的电磁兼容性设计等具体方面十分注意；要采用故障 检测、故障屏蔽技术，采用元件冗余、数据自检、互检的方式提高可靠性。在进 行软件设计时要求：开展软件工程，加强软件可靠性管理；优化程序设计， 采用容错、恢复块、程序失控捕捉等技术：强化程序验证。这要求我们在设计 安全计算机的底层软件的时候要遵守相关的设计规范，并且软件要有一个安全、 优化的运行策略。 3 ) 通道级容错：磁浮运行控制系统中网络复杂，网络将各个子系统连接起来， 可靠性要求都十分高。这就要求安全计算机中的通道要通过冗余的方式来实现， 采用如网络拓扑冗余、网络节点冗余、通信协议冗余，或者数据链路差错控制和 数字通道抗干扰设计等方法。 2 安全性需求分析 安全性与可靠性紧密相关，但两者又有区别，可靠性以维护系统的功能正常 执行为目的，安全性以防止人身伤亡和财产损失为目的。安全性则着重于设备故 障之后的后果，故障安全特性是建立在设备的高可靠性基础之上的。 “故障安全定义：即在故障时，设备应导向安全状态。因为设备或系统发 生故障是不可避免的，故障安全是指在任何部分发生故障及系统处于任何可能的 外界环境中时系统的输出均处于安全状态。这是磁浮运行控制系统中的一条基本 原则，所以我们所设计的安全计算机系统也必须具备这种特性n 8 1 。 安全侧分配方法是实现铁路信号故障安全的重要方法，该方法就是要给信号 器件或设备分配安全侧，然后采用故障安全技术使设备发生故障时倒向安全侧。 例如，轮轨列车的信号机有开放和关闭两个状态，称与停车相对应的状态为安全 状态或安全侧，其它的状态为危险状态或危险侧。磁浮安全计算机会控制例如道 岔电机、牵引供电等安全要求苛刻的设备，如果一旦出现安全计算机不可预知的 故障，那么驱动以上安全设备的输出必须是导向安全侧的。从以下四个层次分析 安全计算机的故障安全需求。 1 ) 在系统级层次：对于安全计算机来说，系统的输出必须是在满足一系列安 全条件后才能被输出，如果系统故障，输出量也必须是导向安全侧的。必须采用 有效的方法保证计算机系统具有“故障安全”特性，其基本原理就是得一套独立的 软件或硬件作为控制系统的参考监督，使得单机单软件故障出现后及时得到屏蔽 或纠正，这就要安全计算机要采用相关方法实现故障安全。目前，在系统层面实 现安全计算机故障安全的方法主要有3 种：基于单机闭环自诊断的方法，该方 法的核心是依靠自诊断程序实现计算机的故障安全特性；基于单机采取软件冗 余方法，由于所采用的两个版本程序的独立性，致使处理结果不一致，则切断控 制电路的供电，从而保障系统的故障一安全性；基于多机采取硬件冗余的故障安 全计算机构造方法，由于在极短的时间间隔内，两台计算机同时出错并且错误呈 现同一模式的概率几乎为零，所以，基于多机硬件冗余的故障安全计算机系统越 来越受到关注。目前，应用比较普遍的是三模及四模冗余系统。 2 ) 设备级层次：故障一安全性保障需从四个方面进行考虑，信息采集、信息输 出、信息存储和信息处理。这就要求我们对信息的采集及输出信息进行表决，要 采用不对称编码、数据完整性检验、多重信息处理检验等技术保证信息存储和信 息处理的完整与安全。 3 ) i o 通道级层次：磁浮安全计算机要安完成对道岔、供电等设备的状态采 集和控制，故障安全保障技术也十分重要。必须在软件和硬件两个方面采取相应 措施，使该接口电路及其前端逻辑电路出现任何故障时，均不能使计算机读入错 误的危险侧信息，或者输出危险侧驱动信号，通常使用的方法是动态输入输出实 现故障安全。 4 ) 信息传输级层次：磁浮运行控制系统本身是一个复杂的分布式网络结构， 安全的信息传输才能把复杂的安全计算机系统以及运行控制系统无缝紧密的连接 到一起。要求我们要采取软件和硬件容错技术措施，确保在传输设备故障或传输 通路的噪声使传输的信息发生错误的情况下，确保通信信息的安全性啪2 2 1 。 3 可靠性安全性量化分析 提高安全计算机的可靠性和安全有很多的方法，在系统级层面就要采用多模 冗余技术。在此只讨论系统层面的可靠性、安全性问题，对于其它层次的讨论将 会放在后文中的设计中。国际电工委员会颁布的i e c6 1 5 0 8 国际标准推荐了5 种安 全系统结构：l o o l ( 一取一) 、l 0 0 2 ( 二取一) 、2 0 0 2 ( 二取二) 、l 0 0 2 d ( 带故障 诊断的二取一) 、2 0 0 3 ( 三取二) 。该标准使用马尔可夫模型计算了各结构的可靠 性、可用性和安全性等指标，在5 种结构中l 0 0 2 d 和2 0 0 3 结构的可靠性和安全性 是最高的两个。在国内，常见的安全计算机系统结构冗余方式，如三取二表决 ( 2 0 0 3 ) 、二取二表决( 2 0 0 2 ) 、二取二乘二( 2 0 0 2 2 ) 等，可靠性安全性量化分析 就是要选择一个可靠性和安全性参数最适合安全计算机的模式。 目前经常被用来分析安全性和可靠性的主要技术有：故障树( f t a ) 、动态故障 1 2 树、可靠性框图和m a r k o v 方法。在上述的定量分析方法中，m a r k o v 模型具有最 强大的功能，可以完全反映实际对系统测试和维修所产生的影响。另外可实时反 映系统可能具有的时