（交通信息工程及控制专业论文）二取二乘二计算机联锁系统的研究.pdf

y5 8 6 3 6 6 摘要 摘要 计算机联锁系统是应用在铁路信号控制领域，用以 保障行车安全和提高运 输效率的控制系统，要求具有极高的安全性和可靠性。目 前，国内计算机联锁 技术的研究重点是在消化吸收国外先进技术的基础上，研制符合中国国情的具 有高安全性、高可靠性和高可用性新设备。 本文设计了一种结构全新的二取二乘二计算机联锁系统，深入研究了系统 安全性、可靠性和可用性，并给出了系统的实现方法及详细的软硬件解决方案。 论文重点研究了以下内容: 1 .分析了现有计算机联锁控制系统的结构特点，深入研究了二取二乘二计 算机联锁系统的体系结构，提出了两种二取二乘二计算机联锁系统的结构方案 ( 集中式与分布式)，并对两种系统的可靠性进行了对比分析，结果表明分布 式结构系统具有更高的可靠性; z .建立了系统状态转换的ma r k o v 模型， 并结合实际应用中的经验， 对模型 进行了改进;研究了失效率、故障检测覆盖率、维修系数、共因失效因子和故 障可用率等参数对二取二乘二系统的安全性、可靠性和可用性的影响，并与双 机热备系统和三模冗余系统进行了对比研究，证明其具有更高的安全性和可用 性; 3 .研究了系统的二取二及二乘二技术的软硬件实现方法， 提出了 联锁软件 的 二取二和三取二实现方案，另外还研究了 系统内 各个模块间的通信模式并给 出了实现方法; 最后， 在以往科研工作的基础上， 设计了 联锁软件的总体结构， 给出了联锁 软件的结构流程与调度方案，并设计了一套有利于提高联锁软件安全性的 安全 检测软件。 【 关键词】计算机联锁，二取二乘二，可靠性，安全性，可用度 ab s t r e c t ab s t r a c t t h e c o m p u t e r - b a s e d i n t e r l o c k i n g s y s t e m ( c i s ) i s u s e d i n t h e r a i l w a y s i g n a l f i e l d t o e n s u r e t h e t r a v e l l i n g s a f e t y a n d i m p r o v e t h e t r a n s p o rt a t i o n e f f ic i e n c y . t h e s e c u r i t y a n d r e l i a b i l i t y o f t h e c i s i s v i t a l . a b s o r b i n g th e a d v a n c e d o v e r s e a s t e c h n o l o g y , t h e r e s e a r c h e m p h as i s o f c i s i s t o d e v e l o p a n e w t y p e o f e q u i p m e n t a d a p t i n g t o t h e c h i n e s e s i t u a t i o n w i t h h i g h s e c u r i t y , r e l i a b i l it y a n d a v a i l a b i l i ty p r e s e n t l y . i n t h e t h e s i s , a 2 o u t o f 2 m u l t i p l y i n g 2 ( 2 0 0 2 m2 ) c i s w it h n e w s t r u c t u r e i s d e s i g n e d . t h e s y s t e m s e c u r it y , r e l i a b i l i t y , a v a i l a b i l i t y a n d t h e s y s t e m r e a l i z a t i o n m e t h o d s a r e s t u d i e d d e e p l y , a n d t h e s k e t c h o f h a r d w a r e a n d s o ft w a r e i s g i v e n i n d e t a i l . i n t h e t h e s i s , r e s e a r c h i s f o c u s e d o n t h e f o l l o w i n g s : 1 . s t r u c t u r e c h a r a c t e r i s t i c s o f c u r r e n t c i s a r e a n a ly z e d , a n d s y s t e m s t r u c t u r e o f 2 0 0 2 m2 i s s t u d i e d d e e p l y . d i s t r i b u t e d s t ruc t u r e o f t h e s y s t e m a n d c e n t r a l i z e d s t ru c t u r e o f t h e s y s t e m a r e r a i s e d . r e l i a b i l i ty a n a ly s i s o f t h e t w o d e m o n s t r a t e s t h e h i g h r e l i a b i l i t y o f d i s t r i b u t e d s t r u c t u r e . 2 . b as e d o n ma r k o v p r o c e s s , ma r k o v m o d e l o f t h e c i s s t a t e c o n v e r s i o n i s e s t a b l i s h e d a n d i m p r o v e d a c c o r d i n g t o p r a c t i c a l e x p e r i e n c e s . t h e e f f e c t o n s e c u r i t y , r e li a b i l i t y , a n d a v a i l a b i l i t y o f 2 0 0 2 m2 w it h d i f f e r e n t f a i l u r e r a t e , f a i l u r e d e t e c t i o n c o v e r a g e r a t e , m a i n t e n a n c e r a t e , c o m m o n c a u s e f a i l u r e f a c t o r a n d f a i l u r e u s a b i l i t y a r e d i s c u s s e d , a n d c o m p a r i s o n a m o n g p r o p o s e d s y s t e m , d u a l m o d u l e h o t s p a r e a r c h i t e c t u r e a n d t r i p l e - m o d u l e r e d u n d a n c y a r c h i t e c t u r e p r o v e s t h e h i g h s e c u r i t y a n d r e l i a b i l i t y o f 2 0 0 2 m2 c i s . 3 . h a r d w a r e a n d s o ft w a r e r e a l i z a t i o n m e t h o d s o f 2 o u t o f 2 t e c h n o l o g y a n d 2 m u l t i p l y i n g 2 t e c h n o l o g y a r e s t u d i e d , a n d s o ft w a r e r e a l i z a t i o n . m e t h o d s o f 2 o u t o f 2 t e c h n o l o g y a n d 2 o u t o f 3 t e c h n o l o g y a r e b r o u g h t f o r w a r d . mo r e o v e r , c o m m u n i c a t i o n m o d e a m o n g a l l t h e m o d u l e s i s d i s c u s s e d , a n d i t s r e a l i z a t i o n m e t h o d s a r e g i v e n . a t t h e c o n c l u s i o n o f t h e t h e s i s , b a s e d o n t h e f o r m e r w o r k , t h e d e s i g n o f t o t a l s o f t w a r e , i t s fl o w c h a rt a n d d i s t r i b u t i o n m e t h o d a r e g i v e n . s a f e t y - c h e c k o u t s o ft w a r e i s d e s i g n e d t o e n s u r e t h e s e c u r i t y o f t h e s o ft w a r e . k e y wo r d s : c o m p u t e r - b as e d i n t e r l o c k in g , r e l i a b il it y , a v a i l a b i l i t y 2 o u t o f 2 m u l 卯l y i n g 2 , s e c u r i t y , 来 经作 者、 导 帅 同 扭 勿全文公布 绪论 第1 章绪论 ， . ，选题的背景和意义 车 站 信号 联 锁 系 统 是 用 来 控 制 车 站内 的 道岔 、 进 路 和 信 号 机 并实 现 它们 之间 联锁的系统。该系统是保证站内行车安全，提高铁路运输效率，改善行车人员 劳动条件的重要技术装备。微机联锁始于2 0 世纪7 0 年代后期。近2 0 多年来， 随着电子技术的飞速发展，以计算机为核心的计算机联锁技术也日趋成熟。计 算机联锁具有控制范围大，易于与列车速度控制系统及列车指挥系统接口，灵 活机动性强等优点，正在取代继电 器联锁而成为铁路交通与城市轨道交通的首 选方案。 到目前为止， 我国计算机联锁系统的研制和开发取得了重要成果。 其中， 基 于双机热备动态冗余技术的计算机联锁技术己基本成熟，而基于三模冗余技术 的计 算机联锁技术也 发展迅速n ,2 1 ， 各种成型 产品已 经开始 在 铁路上使用。 但计 算机联锁技术在我国的发展起步较晚，应用还是很少， 目 前， 我国 有 6 0 0 0多 个车 站， 主要 采用的 信号 控制系统是电 气集中 联锁 系统12 1 ， 而 采用计算 机联锁系 统的比 例还不到2 0 %， 所以， 计算机联锁系统在我国的 应用前景是十分广阔的。 与一些发达国家的计算机联锁技术相比，我国的计算机联锁技术还是落后的， 现有的三取二和二取二系统主 要是引 进国 外技术 13 1 要提高计算机联锁技术在信号控制系统领域的应用水平，就必须进一步研 究具有更高安全性、可靠性、可维护性和可用性的计算机联锁技术及其控制系 统。 双机热备系统是用单机来保证安全， 采用故障切换技术来提高系统的可靠 性。而三取二系统是采用故障屏蔽技术来保证系统的安全和提高系统的可靠性。 在满足安全性和可靠性的前提下，用户更关心的是系统的可维护性和可用性。 双机热备系统具有较好的可维护性，而且双机完全独立，有较好的抗共模干扰 能力，而三取二系统具有较高的安全性和可靠性。因此，把故障切换技术与故 障屏蔽技术结合起来，提出一套能够实现高安全性、可靠性、可维护性和可用 性的计算机联锁系统设计方案，对其安全性和可靠性进行理论研究并就其技术 北京交通大学工学硕士学位论文 问 题进行深入研究是本课题研究的目 的。 本课题是对我国 计算机联锁新技术的 一个探索，具有深刻的现实意义;并且对二取二乘二系统的安全性和可靠性分 析也将为计算机联锁技术的深入研究提供一定理论依据。 目 前，存在着多种型号和制式的计算机联锁控制系统，而且各有所长，也各 有所短。现有的容错计算机联锁控制系统的硬件系统多还是引进国外的技术为 主。因此，当前铁路信号控制系统面临的课题，一方面是要实现控制技术的国 产化研究，另一方面是要加强通用性和标准化的研究。 网络化和智能化是铁路运输未来的主要发展方向，计算机联锁控制系统必 然要与各种调度和管理系统相连，构成一个集成化的运输控制网，不仅在提高 运 输效率方向 ， 而且 在节约 运输 成本 上都 会有 一 个 很好的 效 果。 因 此， 计 算 机 联锁控制系统井入到调度集中系统中，并实现智能化控制将是计算机联锁技术 进一步研究和发展的方向。 ， .s计算机联锁系统发展现状 ( 一 ) 国 外 计 算 机 联 锁 系 统 的 应 用 现 状 1 - 5 1 自 从1 9 7 8 年瑞典e ri c s s o n 公司 ( 现属于a d tr a n s 公司 ) 研制的 第一 套微机联锁 在哥德堡站投入运行以来，在世界范围内已有多种微机联锁系统陆续投入运行， 其中具有代表性的是: ( 1 )德国 西门子公司 研制的s i m i s 系统( 适用于控制范围 较大， 联锁条件较 复杂的铁路车站)、 s i c a s 系统 ( 适用于联锁条件较为简单的城市轨道 交通); ( 2 )法国a l c a t e s e l 公司研制的s e l m i s t 系统; ( 3 ) 瑞典a d t r a n z 公司 研制的e b i l o c k系统; ( 4 ) 英国w e s t i n g h o u s e 公司 研制的s s i 系 统; ( 5 )以英国 w e s t i n g h o u s e为主，联合美国的 s a f e t r a n公司，西班牙的 d i m e t r o n i 。 公司共同 研制的w e s t r a c e 系统; ( 6 ) g r s 公司研制的v p i 系统; ( 7 )日 本京三公司的k 5 型联锁系统。 s i me s及 s e l mi s系统 绪论 巴巴巴巴巴巴巴巴巴二二二巴巴巴二 这两个系统是被批准在德国铁路上使用的计算机联锁系统。其主要的技术 特点是采用 “ 二硬一软”结构 ( 即二取二结构)保证故障安全，即用两台同样 构造、彼此独立、节拍同步的计算机组成安全计算机系统，在该计算机系统中 运行的程序是相同的，并行地对数据进行处理，对于计算机输出设有硬件比较 器，从而实现 “ 故障一一安全” 。通过硬件冗余可实现较高的可用性，即可扩展 为 “ 三取二 尹 系统。 s i c a s 系统 ( s i e m e n s c o m p u t e r a i d e d s i g n a l l i n g ) s i c a s系统是西门子公司在2 0 世纪9 0年代初推出的适用于中、小型车站 的计算机联锁系统。s i c a s系统是一种结构灵活、简单的模块式系统。s i c a s 系统可通过总线系统 ( 采用p r o f i b u s 系统) 扩展， 最多可接入8 组联锁计算 机， 扩展以 后的s i c a s 系统可控制的 控制单元接近6 0 0 个。 但它不适用于控制 单元多， 而且联锁条件极为复杂的情况。 该系统也采用 “ 三取二”的s i m i s原 则。 e b i l o c k系统 e b i l o c k系统的 核心是具有安全性质的中央处理单元， 控制中 心的操作台 及全景显示器均接在中 央处理单元上。 中 央处理单元是1 6 位计算机。 e b i l o c k 的 特点之一是所有的 数据传输均采用环形方式，即 始于中 央处理单元， 终于中 央处理单元 。 万一导线折断， 系统仍能正常工作。 e b i l o c k的另一显著特点 是采用 “ 一硬二软”的安全方案。 采用具有相同功能的两套完全独立的软件， 它们在一个硬件通道内工作。为 提高 可用性，中央处理器可以构成冗余。 s s i 系统 固 态电 路联锁系 统s s i ( s o l i d s t a t e i n t e r l o c k i n g ) 是 英国g e c 通用信号 公司、 西屋 ( we s t i n g h o u s e ) 信号公司开发的计算机联锁系统。 s s i 系统的核心是安全 性联锁多重数据处理模块 ( u l m p m )。s s i的故障安全是依赖于传统的三取二 计算机系统及软件比 较。 所 有三台 计算机由 软 件执行输出比 较， 储存内 容比 较 以 及所 选用的 系 统 数 据比 较。 轨旁 模 块( t f m 一 控 制现 场设 备的 计 算机 模块 ) 是二 取二系统，不设硬件冗余， t f m的故障仅限于影响局部的使用。 we s t r a c e 计算机联锁系统 该系统是由 英国 和澳大利亚的we s t i n g h o u s e 公司， 美国的s a f e t r a n 公司， 西班牙的d im e t r o n i c公司共同 研究的第二代电 子安全信号技术。 其重点是利用 飞速发展的无线通信技术建立列车定位的第二通道。 w e s tr a c e 系统的硬件是一些 北京交通大学工学硕士学位论文 功能模块的组合， 其故障一一安全保障是采用 “ 一硬两软” 方案，每一模块的 数据处理器都带有自 检测功能。为了提高可用性而采用冗余方式，即必须有一 套热备用系统，从而导致系统设备数量翻一倍。 v p i ( v it a l p r o c e s s o r i n t e r l o c k i n g ) 计算 机 联 锁系 统 v p i 系统是美国g r s 公司开发的，与we s t r a c e 系统比 较接近，已在美国、 荷兰、 西班牙、 意大利等国投入运行。 v p i 系统的核心是一个中央控制中心， 所 有的联锁数据均联在该中心上。其他的任务由另一些数据处理单元分担。如果 所要求的规模较大，则可采用多套 v p i 系统，彼此之间用串 行数据总线相联。 在提高可用性方面，采用双套系统以实现冗余。 k 5 型 联锁 系 统 16 1 k - 5 型微机联锁系统是由日 本京三公司 研制的， 能适用于规模大小不同的 所 有车站，采用故障导向安全的专用计算机，每机双 c p u ，双机热备。与现场设 备的 接口 采用不同继电器的电子终端装置。故障一 安全的联锁计算机与电 子终端 间通过光缆，采用串行数据传送，提高了抗电气千扰的能力。程序及数据采用 把各个车站共同的逻辑 ( 计算机联锁用程序) 和各个车站固有的逻辑 ( 车站数 据) 完全分开的结构( 使r o m完全分离) ， 变更车站联锁时只需变更车站数据， 因此，更能适应不同类型的车站。 现已在日本新干线使用超过 2 0 0个车站，运 行良好。 ( 二) 国内计算机联锁系统的 应用现状12 ,5 1 在我国，自8 0 年代初就开始了 计算机联锁系统的研制工作， 但进展比 较缓 慢。到9 0 年代中后期，进入了快速发展阶段，出现了各种型号的计算机联锁设 备。其中具有代表性的是; ( i ) 铁道科学 研究院 通号所 研制的t y j l - i i 型和t y j l - t r 9 型; ( 2 )北京全路通信信号研究设计院研制的d s 6 - 2 0 , d s 6 - 1 1 和d s 6 - k 5 b 系统: ( 3 )北方交通大学开发的j d - 1 a型计算机联锁系统; ( 4 )卡斯柯信号有限公司开发的v p i 系统。 在上述的几种型号中，t y j l - i i 型，d s 6 - i i 型、j d - i a型和v p i 系统均为双 机热备动态冗余结构。 它们的操作表示系统和联锁控制系统均为a , b 双套， 用 双重冗余局域网来实现通信线路的冗余设计， 驱动输出部分通过切换电 路来实 现唯一的输出。各种型号双机热备的系统在总体结构上是一致的，但在联锁机 绪论 与输入输出的接口 、 采集驱动电 路和切换电路的设计上有所不同。 t y j l - i i 型采 用的是s t d总线， d s 6 - 1 1 型通过7 1 2 2 接口 板来实现信息输入和控制输出， j d -1 a型采用的是c r t p 总 线方式， 而v p i 型由 一块输入 / 输出 总线接口 来完成联 锁机与输入输出信息交换。 t y j l - t r 9 型容错计算机联锁系统采用美国t ri c o n e x 公司研制的第九代容错 计算机系统产品t r ic o n( 简称t r 9 )作为系统主控制机。 其容错能力是通过系统从输入模块、 主处理器模块到 输出模块三大部分的全 面三重化结构来实现的，这样保证了系统中任何部件的 单永久性故障或由于各 种原因造成的瞬间 故障发生时 容错联锁系统仍能无差错、 不间断地工作。 d s 6 - k 5 b系统是北京全路通信信号研究设计院与日 本京三公司联合开发的 新系统。 在操作表示层采用双机热备模式， 联锁机由 并列两重系组成， 联锁机 的二重系具有相同的故障一 安全处理器。每系有三套智能通信接口，采用光缆连 接。电子终端为采用故障安全型c p u构成的智能控制器，系统设置为二重系。 在电子终端之后，采用安全型继电器与场外设备进行转接。 ( 三) 计算机联锁系统理论的研究现状 文献 4 ,7 中 给出了 双机热备系统和三取二系统可靠性和安全性一般意义上 的估算方法。 文献 8 ,9 分析了 单机系统与双机热备系统的 模式， 建立了 相应的故 障安全模型并分析了故障检a覆盖率对双机热备计算机联锁系统的可靠性与安 全性的影响。 文献 1 0 给出 单机系统、 双机热备冗余系统和三取二冗余系 统的可 靠 性 计 算方 法 并 给出 了 计 算 公 式 及计 算实 例。 文 献 1 1 , 1 2 采 用马 尔可 夫 模型， 在 考虑故障覆盖率的情况下，对三模冗余结构计算机联锁系统的安全度和可靠性 进行了详细的推导，得出了该系统安全度的定量表达式，给出了求解系统可靠 度及安全度的微分方程组， 并用ma t l a b仿真分析了故障覆盖率和维修率对系 统安全度及可靠度的影响。 文献 1 3 研究了 联锁系统的 可靠性、 可用性、 可维护 性和安全性的细节，通过对系统各部件的失效模式及对应失效率按关键性进行 分类， 给出了安全失效和危险失效模式的ma r k o v 模型并进行了分析，阐述了冗 余系统的共因失效的主要数学模型， 基于ma r k o v 链， 给出了综合考虑失效模式、 失效检测和共因失效等细节的系统分析的一般过程。 文献 1 4 , 1 5 还进一步研究了 基于铁路信号的列车防护系统的安全性可靠性及容错与故障检测的设计方法。 文 献 1 6 研究了 软 件的 安 全测 试方 法及其在铁路 信号控 制 领域的 实现。 另 外， 在 北京交通大学工学硕士学位论文 一些文献中还提到了可靠性系统的故障一安全设计方法，故障检测技术及诊断 方法及共因失效对系统的 影响及失效因子的评估方法7 ,1 7 - 2 1 1 1 . 3论文的研究基础及研究内容 本课题研究的是一套完整的计算机联锁系统， 但是对该课题的研究并不是从 零开始的。本室是专门从事交通与工业控制系统研究开发的科研及教学单位， 拥有先进的设备、强的科研能力及丰富的工程经验， 是我国最早研究车站信号 计算机联锁控制技术的单位之一，并于 1 9 9 9年研制出了 “ j d - l a ”型计算机联 锁系统。经铁道部专家组鉴定，其系统性能达到国际先进水平， 是铁道部批准 上路使用的几种型号之一。 本 人 参 加了 多 个关 于 计 算 机 联 锁 系 统的 课 题 和 科 研 项目 ， 充 分 了 解了 系 统 的 结构和工作原理，并参与开发了 计算机联锁软件( 其中 包括上位机软件、电务维 修机软件和联锁软件) ， 负责完成了 一套双机热备结构的 计算机联锁系统原理样 机的研制工作。本室对系统的操作显示机和电务维修机的软硬件设计均比较成 熟， 动态输入输出 接口 电 路 、 输入输出 接口 的 控制软 件及系统的 联锁逻辑运算 软件均己开发成功。并且掌握了双机热备模式的切换机制和电路原理，有现场 的调试经验。 因此，本课题的重点研究内容主要集中以下几个方面: 一分析现有计算机联锁系统结构的优缺点，结合故障切换技术与故障屏 蔽技术设计一套二取二乘二计算机联锁系统的体系结构。 二. 基于提出的体系结构，分析系统在不同的维修率、故障覆盖率等因素 下的安全度、 可靠度、可维护度等性能指标。并研究了 在共同 模式故 障、定期检修方案及综合利用率等不同因素下系统的安全性、可靠性 的分析方法。 三. 从硬件和软件两个方面研究了系统的实现方法。硬件上重点研究了二 取二电路、切换电路及多机通信模式的实现方法;软件上研究了软件 的总体结构及冗余技术在软件实现中的应用。 第z 章二取二乘二计算机联锁系统的 体系结构研究 第2 章 二取二乘二计算机联锁系统的体系结构研究 控制系统结构的合理性是判断系统性能优劣的关键因素， 只有在结构合理的 基础上，研究技术实现的细节才更有意义。本章首先分析了 现有计算机联锁系 统的结构特点，提出了两种二取二乘二系统的体系结构方案，然后对系统结构 进行了分析比较， 从而确立出一套更合理的系统结构。 2 . ，现有计算机联锁系统的体系统结构分析 ( 一) 双机热备计算机联锁系统 ( 1 )系统的结构 现有的双机热备模式的计算机联锁系统存在着两种结构:集中式和分布式， 分别如图2 - 1 和图2 - 2 所示n ,2 , 7 1 。无论是集中 式结构， 还是分布式结构，双机热 备系统的结构都可以划分为三层结构:监控层、联锁控制层、室外设备接口层。 ! 操 作 表 示 机 ai i 操 作 表 二 机 h 双重冗余局域网 联锁控制层 联锁机a 联锁机 b 采集 接 口 驱动 接口 驱动 褛 口 采集 接 口 双机切换输出 室外设备接口部分 图2 - 1 集中式双机热备系统结构 监控层由两个操作表示机组成， 两机互相热备。 主要完成操作的输入和显示 的输出，完成人机对话的任务。同时随着信息技术和网络技术的发展，在这一 第2 章- - - - l i t 2 乘二计算机联锁系统的体系结构研究 第2 章二取二乘二计算机联锁系统的体系结构研究 控制系统结构的合理性是判断系统性能优劣的关键因素，只有在结构合理的 基础上，研究技术实现的细节才更有意义。本章首先分析了现有计算机联锁系 统的结构特点，提出了两种二取二乘二系统的体系结构方案，然后对系统结构 进行了分析比较，从而确立出一套更合理的系统结构。 2 1 现有计算机联锁系统的体系统结构分析 ( 一) 双机热各计算机联锁系统 ( 1 ) 系统的结构 现有的双机热备模式的计算机联锁系统存在着两种结构：集中式和分布式， 分别如图2 1 和图2 - 2 所示眦，7 1 。无论是集中式结构，还是分布式结构，双机热 备系统的结构都可以划分为三层结构：监控层、联锁控制层、室外设备接口层。 二了 一一 上 一 上 一 t二 li 一 双重冗泉局域网 一il 7 i 碡锁机a 最锁机- b 跌 囟电每亩茎 l 双机切换输出i 室外设备接1 2 1 部分 图2 - 1集中式双机热各系统结构 监控层由两个操作表示机组成，两机互相热备。主要完成操作的输入和显示 的输出，完成人机对话的任务。同时随着信息技术和网络技术的发展，在这 北京交通丈学工学硕士学位论文 层上往往预留了扩展接口，如c t c 、c t s 或a t c 等。 联锁控制层主要完成联锁逻辑的运算，并形成输出命令，同时采集现场设备 的状态。集中式结构把联锁运算机和i o 接口模块放在一起构成一个整体。面分 布式结构把联锁运算机与i o 处理模块( 含执表机和i o 接口) 分开，联锁运算机 与执表机通过联锁总线相连，执表机接收联锁机的输出命令并转化为输出信号， 同时把采集到的现场设备状态信息通过联锁总线传递给联锁机。 采用双机热备结构的联锁系统，其工作机和备用机是相互独立的。主、备机 各自独立地运行相同的程序，执行相同的任务，实行定期同步。工作过程中， 工作机和备机机通过各自的输入接口采集需要的各种输入信息。但是只有工作 机才可能通过输出接口向外部输出驱动命令。 操作表示机a操作表示帆b 7 重冗* 月域目一ii鼍上上上上 毛虹 ：岸! l u 耋 申白。商呻 鍪 ji 硼剿j 一 室外设备接口部分 图2 2 分布式双机热备联锁系统 ( 2 ) 工作原理 目前，我国大量推广的联锁制式是双机热备型联锁系统，其基本思想是“单 机保证安全，双机提高可靠性”。双机热备的单机安全性，主要通过硬件与软 件相结合的方式来实现。硬件方面除c p u 是单系统外，其输入输出系统均不是 简单意义上的“单机”，例如输出系统的“回读”及输入系统的“板内动态” 均作了特殊设计，不是一般工业控制所具备的。实际上，其输出系统由一套输 第2 章二取二乘二计算机联锁系统的体系结构研究 出系统附加套输入系统( 回读) 构成：其输入系统由一套输入系统附加一套输出 系统( 板内动态) 构成；通过这种硬件冗余方式加上一套应用软件的管理，来实现 其输入输出系统的安作性。而对单c p u 的安全陛措施是采用“双软件和编码技 术”来实现，但由于单c p u 内部各部件的关联性，因此要实现系统的安全性， 对系统软件的自诊断能力，以及应用软件的故障一安全设计要求十分严格。以 上这些原因给联锁应用软件的设计编制带来复杂化，因而也要求软件设计人员 必须具备丰富的设计经验，以及对系统各部件的透彻了解，对故障安全原则 作充分分析研究，才能满足单机系统的安全性。 双机热备联锁系统的可靠性主要通过双机方式实现，发生故障时则进行整机 切换。这种方式的主要技术难题是双机的同步和比较，在比较不一致时，如何 进行切换和如何实现自诊断以确定故障所在。另外单机系统的故障诊断主要靠 软件实现，这咱方式是在会出宝贵时间代价基础上建立起来的。因此从故障发 生、软件诊断，到切换成功之间的时间间隔较长。 ( 二) 三模冗余结构的计算机联锁系统 ( 1 ) 系统结构 与双机热备结构相似，三模冗余系统的结构也有两种：集中式和分布式，分 另u 如图2 - 3 年口2 - 4 所示。 儿一l i i 胃怍引剖li “。控制ll “。控制li 一，。控制ii b1 1 年 l 培 三取二比较输出 j _ 室外设备接口部分 图2 - 3 集中式三取二系统结构 集中式结构与分布式结构的主要区别是，分布式采用了联锁总线来实现联锁 运算机与输入输出控制单元的数据交换，而且易于实现区域控制。集中式采用 内部总线方式来代替联锁总线，有速度高，实时性好的优点。无论是哪种结构 北京交通大学工学硕士学位论文 方式，系统的层次都可以划分为三层结构：监控层、联锁控制层、室外设备接 口部分。 操怍震示机ai 操作表示机b i1 i“8 2 m 重r 女目域：一l it it i 磊训 锕壶锁。心 ：二车二甲 上1 ! fi r 联锁总蛾： i释i嚼鍪 ：j ：三重化袖入：u f 三正亿辅 i堑 ：输出单元 ： q 辘出单元瑟 一一千一。1 1 掣 室外设备接口部分室外设备接口部分 图2 - 4 分布式三取二系统结构 三模冗余系统的监控层与双机热备的结构类似，一般也采用双机热备的结 构。它完成人机对话的任务，并为功能扩展预留接口，属于菲安全控制区域。 联锁控制层由三重化的联锁机、l t o 控制部分构成。完成联锁运算及控制命 令的安全输出与信息的采集功能。分布式结构把该层又分为联锁运算层、联锁 安全总线和现场控制层，根据控制的需要，可以将现场控制部分分别设于现场 设备附近，也易于实现区域控制。 ( 2 ) 工作原理 在三取二结构的联锁系统中，三个c p u 同时工作，对运算结果两两进行比 较，只要有两个c p u 的运算结果致，就认为联锁系统处于安全可靠的运行。 三取二容错结构的联锁系统的原理图如图2 5 所示。 三路输入通过i 0 总线分别传递给三个c p u ，三个c p u 通过内部数据总线 交换数据，再按三取= 原则对输入信息进行表决，从而实现了信息的可靠输入。 三个处理器对联锁运算的结果通过i 0 总线交换信息，进行三取二表决之后送到 输出电路，输出电路通过三取二表决器把输出命令送室外设备。 第2 章二取二乘二计算机联锁系统的体系结构研究 图2 - 5t y 儿t r 9 型容错计算机联锁系统容错联锁机原理图 ( 三) 二取二结构的计算机联锁系统 ( 1 ) 系统结构 系统分四层：显示层、联锁层、电子终端和继电接口。 f - 一 一一 l l l l k - - 一 控 显 层 联 锁 层 电 子 终 端 砸一 电 接 口 图2 - 6d s 6 一k 5 b 计算机联锁系统构成框图 显示层由两套互为热备的控显机和一套监测机构成，完成人机会话和电务维 修监测功能。 北京交通大学工学硕士学位论文 联锁层由并列的两重系组成， 每系为具有故障一安全性能的 双c p u系统。 两系通过交换同步定时信号，实现周期同步运行。当一系因故障停止输出时， 另一系自 动接替工作。完成联锁逻辑运算和联锁系统软件和硬件管理。 电子终端也为二重系结构。 每一系分别和联锁机的二重系通过光缆连接。电 子终端的输出电路按故障倒向安全的原则设计，驱动采用静态方式 ， 直接驱动 安全型继电器。 ( 2 )工作原理 目 前， 采用二取二技术的联锁系统有两种方式: 一是 “ 两硬一软” 结构，即 用两台同样构造、彼此独立、节拍同步的计算机组成安全计算机系统，在该计 算机系统中运行的程序是相同的，并行地对数据进行处理，对于计算机输出设 有硬件比较器，从而实现 “ 故障一安全”;二是采用 “ 一硬二软”的安全方案。 采用具有相同功能的两套完全独立的软件，它们在一个硬件通道内工作，这两 套独立的软件必须由两个程序组来编制。 2 . 2二取二乘二计算机联锁系统的体系结构 计算机联锁系统的功能要求与性能要求均比 较高， 所以只采用单层结构难以 全面完成各项技术要求，这时需要采用上下两层乃至多层的分层结构。计算机 联锁系统要求具有友好而准确的人机界面，同时要具有高可靠性与高安全性。 由前面的分析可总结出:计算机联锁系统的总体结构可分为三个层次:人机会 话层、联锁控制层、与室外设备接口，如图2 - 7 所示。 采用人机会话层计算机可 以加快人机会话的响应速度，对操作台的操作命令进行预处理，还可以与上级 系 统 联网， 构 成 更高 一 级的 测控 系 统， 如调 度 集中 系i e ( c t c ) 或 调度 信息 管 理 系 统( d m i s ) 。 而联锁控制层可以 集中其全部能力来实现高可靠性与高安全性的联 锁测控制功能。 第2 章二取二乘二计算机联锁系 统的体系结构研究 操作输入设备图形显示器 人机会话计算机 联锁控制计算机体系 与现场设备适配的接 口 图2 - 7 计算机联锁系统的层次结构 联锁系统的设计是以联锁控制层为重点的。该层不仅要完成联锁逻辑的运 算， 更重要地是要保证系统的故障一 安全。 在保证故障一 安全的前提下， 从可 用 性出 发， 要考虑 系 统 工 作的 可 靠 性 和可维 护 性。由 前 一 节的 分析 可 知，目 前 系统从总体结构上来分有两种:集中式结构与分布式结构。无论哪种结构都具 有相同的原理结构图，可简化为如图2 - 8 所示。 图2 - 8二取二乘二联锁系统原理结构 一套二取二乘二联锁系统包含两个子系统:联锁子系统a和联锁子系统b ，为 了与子系统内的联锁机区分开来，以后均简称为联锁系。 2 . 2 . 1操作表示层的 结构研究 人机会话层要求完成以下功能: 车务人员操作命令的输入、 站场状态表示信 息的输出 和操作提示 ( 包括文字与语音) 。 人机会话层的技术与方案比较成熟。由于该层属于非安全区域，因此， 该层 北京交通大学工学硕士学位论文 的设计主要从可靠性和可用性两个方面来考虑，同时，从技术的发展和应用角 度来设计，要进一步考虑功能的扩展和信息化管理的可能。 这一层的上位操作 机一般采用双机热备的工作方式来完全满足该层的可靠性要求。该层的结构设 计如图2 - 9 所示。 操 作 输 入 设 备i图形 显 示 器i 音 箱 双 机 切 换 装 置 人 机 会 话 计 算 机 a 人 机 会 话 计 算 机 b -幸_双路冗余通信网 图 2 - 9上 位 操 作 机 结 构 图 该层由三部分组成: 两台人机会话计算机， 双机切换装置、 操作输入和显示 输出设备。人机会话计算机是整个人机会话层的核心设备，完成所有的操作运 算及图形处理任务，同时向下位联锁机发送操作按钮信息和接收下位机传递来 的站场状态数据，并将数据转化为图形状态显示输出。双机切换装置提供操作 输 入的 接口 和显 示的 输出 接口 ， 向 下与 两台 人 机 会 话 计算 机 相连，向 上 与 操作 输入设备和显示输出设备相连，同时监测两台人机会话机的工作状态，一旦工 作的主机发生故障， 无法进行正常的作业时，切换装置自 动将输入输出接口 转 换到另一台人机会话机上，从而保证作业的连续性和系统的可靠工作。 操作输 入设备一般采用鼠 标、 数字化仪或光电笔等。 图形显示器一般采用大屏幕的c r t 或液晶显示器，随着电子及等离子技术的发展，现在更大屏幕的等离子显示设 备也被采用，但相对于c r t 显示器来说价格要贵得多。 人机会话层与联锁控制层通过双路冗余的通信网相连， 采用两路通信网是为 了提高系统的可靠性。目 前，网络技术不断进步，网络的通信速度和通信容量 都得到了进一步的提高。当前广泛采用的是串行通信总线如r s 4 4 2或r s 4 8 5 , 现场总线如c a n总线、 p r o f i b u s总线或l o n wo r k s总线等， 工业以太网也 逐渐得到采用。 第z 章二取二乘二计算机联锁系统的体系结构研究 2 . 2 .2联锁运算层的结构研究 联锁运算层是计算机联锁系统的核心层， 完成联锁逻辑的运算， 并调度协调 各项任务。 二取二乘二计算机联锁系统的联锁运算计算机要求有 4个处理器， 两个为一系，构成二取二结构。二取二结构设计的关键点就是要考虑处理器的 同步问题，同步分为时钟同步和任务同步。时钟同步往往要求两个处理器采用 同一个时钟，按同一节拍进行工作，而任务同步只要求在任务的处理过程和结 果等关键点处进行比较，实现同步运行，相对于时钟同步要求来说是一种松散 的同步方式。 同一系内的处理器间要进行数据交换， 数据交换的方式有两种， 一种是采用 内部总线方式，即对同一个存储区进行读写操作， 这种交换数据的方式适合两 种同 步 模式; 另 一种是 采用现代的 通信网， 两处理器间 通过 通 信网交换数 据， 这就要求通信网必须有足够快的通信速率和可靠的通信质量，才能完成任务的 同 步， 此 种 方 式 适 合 任 务 级同 步 模 式。 除了 上 述 操 作 ， 联 锁 运 算 计 算 机 还 要 与 上位操作表示计算机进行通信， 并控制和调度1 / o处理任务， 因此， 该层的设计 不仅要考虑实时性，还要考虑各种任务的协调与调度实现的灵活性。综合以上 分析， 提出两种设计方案。 方案一:基于内部总线同步的结构，如图2 - 1 0 所示。 至 v 0荃 1 / 0至 1 / 0 至 1 / 0 图2 - 1 0 基于内部总线同 步的联锁运算层结构 由图2 - 1 0 可以 看出， 联锁运算层由 两个联锁系组成， 两系具有相同的结构。 联锁运算层向上通过通信网与上位操作机相连， 向下与1 / o控制部分相连。 每一 系由三部分构成:两台联锁运算计算机和数据链路与通信模块。同一系内的两 个联锁计算机通过内部总线来相互连接，在两台联锁计算机之间增加了一个数 据链路处理模块，数据链路处理模块接收两台联锁计算机的设备状态数据和联 北京交通大学工学硕士学位论文 锁运算的关键中间变量，并把数据在两台联锁计算机之间进行转发。同时，数 据链路模块与通信模块相连，把设备的状态及提示信息通过网络传递给上位操 作机，并把上位操作机的操作命令传递给两台联锁计算机。通信模块主要是完 成与上位操作机之间，以及两联锁系之间的通信任务，通过两系之间交换数据 来实现主备两系之间的同步及故障检测。 方案二:基于通信网同步的结构，如图2 - 1 1 所示。 双 璐 冗 余 通 信 网 联 锁 系 人 n 联 锁 系b 数 据 链 路 数 据 链 路 b 联 锁机 al 联 锁 机 az一 厂毓 真 . j. , hi . 11. b - - - 一 亨 - - - - - - - - - - - - 一 亨 - - 一 至 i / 0至 1 / o 一 一一-一， 至 至1 / o 图2 - 1 1 基于通 信网 同 步的 联锁运算层结构 该方案与方案一的不同点就是两个联锁系之间、系内