（计算机应用技术专业论文）基于通用计算机的二取二安全计算平台的研究.pdf

摘要 计算机联锁系统是保证行车安全的信号基础设备，其基本功能是：完成列车 进路建立、锁闭、解锁、道岔控制、信号机控制，完成轨道电路和信号设备状态 的监督，实现城市轨道交通系统特殊的联锁功能，确保列车进路正确和列车运行 的安全。 目前市场上较为成熟的计算机联锁系统有：双机热备系统；三取二系统；时 钟同步二乘二取二系统。但是随着高速铁路的发展，上述系统的缺点开始显现。 以时钟同步二乘二取二系统为例，受到工艺水平等因素的限制，时钟同步二乘二 取二系统的时钟频率不能太快，这样的系统仅能够满足计算机联锁、车站列控中 心等这种低负荷运算量的系统设计要求。同时，现有的计算机联锁系统都需要使 用专用计算机，要为系统设计专用的电路，这样的系统成本是非常高的。 而基于通用计算机的任务同步二乘二取二系统可以有效地解决系统成本、运 算量负荷等问题，所以对基于通用计算机的任务同步二乘二取二系统的研发成为 计算机联锁系统发展的一个重要课题。 本课题是与交大微联公司合作的，目的是研究、设计并实现基于通用计算机 的任务同步二取二安全计算平台。 本文的重点研究内容如下： 1 对现有计算机联锁系统的结构进行了研究和分析，为设计和实现基于通用 计算机的任务同步二取二安全计算平台提供参考； 2 设计并实现基于通用计算机的任务同步二取二安全计算平台。 3 以该平台为模型，对二乘二取二计算机联锁系统的安全性和可靠性进行了 分析，并与双机热备系统和三取二系统进行了对比。 关键词：计算机联锁；二乘二取二；安全性；可靠性；网络通信 a b s t r a c t c o m p u t e ri n t e r l o c k i n gs y s t e mi st h eb a s i cs i g n a le q u i p m e n tw h i c hi st oe n 羽】 t r a f f i cs a f e t y , t h eb a s i cf u n c t i o n si n c l u d et h er e a l i z a t i o no fi n t e r l o c k i n gr m c t i o n a l i w s u c h 鹊r o u t es e l e c t i o n , r o u t el o c k i n ga n dr o u t er e l e a s e ，s w i t c hc o n t r o l ，s i g n a lc o n t r o l l ， t h es u p e r v i s i o no ft r a c kc i r c u i ta n ds i g n a le q u i p m e n t , s p e c i a li n t e r l o c k i n gf u n c t i o no f u r b a nm a s st r a n s i ts y s t e m ，髓h s u l et h ec o r r e c ta p p r o a c ha n d s a f e t yo ft r a i no p e r a t i o n c u r r e n t l yt h em a t u r ec o m p u t e ri n t e r l o c k i n gs y s t e mo nt h em a r k e ti n c l u d ed u a l h o t - b a c k u ps y s t e m , t w oo u to ft h r e es y s t e ma n dc l o c ks y n c h r o n i z a t i o nd o u b l et w oo u t o ft w os y s t e m w i t ht h ed e v e l o p m e n to fl ：l i g h - s p e e d 瑚_ i l w a y t h es h o r t c o m i n g so ft h e a b o v es y s t e mb e g i nt ob ef e l t f o re x a m p l e , r e s t r i c t e db yt h et e c h n o l o g yl e v e la n do t h e r f a c t o r s ，t h ec l o c kf r e q u e n c yo fd o c ks y n c h r o n i z a t i o nd o u b l et w oo u to ft w os y s t e mc a r l n o tb et o of a s t i tc a l lo n l yb ea b l et om e e tt h ed e s i g nr e q u i r e m e n t so fc i , t c ca n ds o o n a tt h es 锄et i m e ，t h ee x i s t i n gc o m p u t e ri n t e r l o c k i n gs y s t e mr e q u i r e st h eu s eo f d e d i c a t e dc o m p u t e rs y s t e m sa n dt od e s i g nad e d i c a t e dc i r c u i t , t h ec o s to fs u c has y s t e m i sv e r yh i g h t h et a s ks y n c h r o n i z a t i o nd o u b l et w oo u to ft w os y s t e mb a s e do nt h ec o m m o n c o m p u t e rc a ne f f e c t i v e l ya d d r e s st h e s ep r o b l e m s ，5 0s t u d yo ft h et a s ks y n c h r o n i z a t i o n d o u b l et w oo u to ft w os y s t e mb e c o m ea ni m p o r t a n tt o p i co ft h ed e v e l o p m e n to f c o m p u t e ri n t e r l o c k i n gs y s t e m t h i si s s u ei sc o o p e r a t i o n 、) i r i 廿lt h eb e i j i n gj i a o d am i c r o u n i o nt e c h c o ，l t d n e p u r p o s ei st or e s e a r c h ，d e s i g na n dr e a l i z et h et a s ks y n c h r o n i z a t i o nd o u b l et w oo u to f t w os y s t e mp l a t f o r m t h i sa r t i c l ef o c u s e s0 1 1t h ef o l l o w i n g ： 1 i tr e s e a r c h e sa n da n a l y z e st h ee x i s t i n gc o m p u t e ri n t e r l o c k i n gs y s t e ms t r u c t u r e , a n dp r o v i d er e f e r e n c ef o rt h et a s k s y n c h r o n i z a t i o nd o u b l et w oo u to ft w os y s t e m p l a t f o r mb a s e do nt h ec o m m o nc o m p u t e 2 i td e s i g n sa n dr e a l i z e st h et a s ks y n c h r o n i z a t i o nd o u b l et w oo u to ft w os y s t e m p l a t f o r mb a s e do nt h ec o m m o nc o m p u t e 3 i ta n a l y s e st h es a f e t ya n dr e l i a b i l i t yo ft h et a s ks y n c h r o n i z a t i o nd o u b l et w oo u to f t w os y s t e mp l a t f o r m ，a n dc o m p a r e sw i t hd u a lh o t - b a c k u ps y s t e ma n dt w oo u to ft h r e e s y s t e m k e y w o r d s ：c o m p u t e ri n t e r l o c k i n g ，d o u b l et w oo u to ft w o ，s a f e t y , r e l i a b i l i t y , n e t w o r kc o m m u n i c a t i o n 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。 同意学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 三 。 舀兹导师签名： 签字日期：跏 年月，g 日 签字日期：二一7 年月分日 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：霉多复 签字日期： 弦7年月，g 日 致谢 本论文的工作是在我的导师罗四维教授的悉心指导下完成的，罗四维教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢三年来 罗老师对我的关心和指导。 黄华老师悉心指导我们完成了实验室的科研工作，在学习上和生活上都给予 了我很大的关心和帮助，在此向黄华老师表示衷心的谢意。 在实验室工作及撰写论文期间，刘博、王玲、祝新玲、蔺源、高瞻、王哲、 黄倩、肖潇等同学对我论文的研究工作给予了热情帮助，在此向他们表达我的感 激之情。 另外也感谢我的父亲、母亲，他们的理解和支持使我能够在学校专心完成我 的学业。 1 绪论 1 1 研究背景 计算机联锁系统是保证行车安全的信号基础设备，其基本功能是：完成列车 进路建立、锁闭、解锁、道岔控制、信号机控制，完成轨道电路和信号设备状态 的监督，实现城市轨道交通系统特殊的联锁功能，确保列车进路正确和列车运行 的安全【。我国对于计算机联锁系统的研究始于2 0 世纪8 0 年代，经过2 0 多年的 发展，我国在这一领域取得了突飞猛进的发展，其中双机热备型计算机联锁系统 已经得到了广泛的应用，技术也基本成熟【昭】。随着我国近几年高速铁路的建设， 对于计算机联锁系统的安全性、可靠性提出了更高的要求。二乘二取二型和三取 二型计算机联锁系统相比双机热备型计算机联锁系统来说有着更高的安全性和可 靠性，但是我国在这两方面的技术还是落后于一些发达国家，现有的二乘二取二 和三取二系统主要是引进国外的技术【3 1 。 计算机联锁系统最为关心的便是安全性、可用性、可靠性以及可维护性，对 于联锁系统的研究，也是基于这四个主要方面进行的【4 】。双机热备系统是两个模块 同时工作，互为备用，如果故障检测发现工作模块发生故障，通过切换装置，切 换到备用模块工作；三取二结构构成的系统是三个模块同时工作，只要两个模块 工作正常，系统就能正常工作，能屏蔽掉一个故障模块。但是这两个系统总是存 在这样或那样的问题，例如：双机热备系统便于维护，但是它的安全性和可靠性 没有三取二结构系统高；反之，三取二结构系统的可维护性没有双机热备好。因 此出于安全性、可用性、可靠性、可维护性等方面的考虑，人们提出了二乘二取 二结构系统【5 i 。 目前基于时钟同步的二乘二取二系统已经得到了应用，在国内外已经有了较 为成熟的设备，但是基于时钟同步的二乘二取二系统也存在着一些无法改变的缺 点，例如：受工艺水平等因素限制，时钟频率不能太快，这大大影响了计算机联 锁系统的处理能力。同时随着计算机性能的不断提升，时钟同步的二乘二取二系 统所使用的专用计算机的性能已经远远落后于现有的通用计算机，并且专用计算 机的成本要比通用计算机高很多。基于通用计算机的任务同步二乘二取二计算机 联锁系统则能够有效的解决运算量、系统成本等问题，所以开发基于通用计算机 的任务同步二乘二取二计算机联锁系统，成为了目前计算机联锁系统发展的趋势。 1 2 研究现状和意义 1 2 1 研究现状 国外计算机联锁系统的应用现状 6 , 7 , 8 1 ： 自从1 9 7 8 年瑞典e i r c s s o n 公司( 现属于a d t r a n s 公司) 研制的第一套微机联锁在 哥德堡站投入运行以来，在世界范围内已有多种微机联锁系统陆续投入运行，其 中具有代表性的是： ( 1 ) s i m i s 和s e l m i s 系统 这两个系统是被批准在德国铁路上使用的计算机联锁系统。其主要的技术特 点是采用。二硬一软一结构( 即二取二结构) 保证故障安全，即用两台同样构造、 彼此独立、节拍同步的计算机组成安全计算机系统，在该计算机系统中运行的程 序是相同的，并行地对数据进行处理，对于计算机输出设有硬件比较器，从而实 现“故障安全一通过硬件冗余可实现较高的可用性，即可扩展为。三取二 系统。 ( 2 ) s i c a s 系统 s i c a s 系统是西门子公司在2 0 世纪9 0 年代初推出的适用于中、小型车站的计算 机联锁系统。s i c a s 系统是一种结构灵活、简单的模块式设计。s i c a s 系统可通过 总线系统( 采用p r o f i b u s 系统) 扩展，最多可接入8 组联锁计算机，扩展以后的 s i c a s 系统可控制的控制单元接近6 0 0 个。但它不适用于控制单元多，而且联锁条 件极为复杂的情况。该系统也采用“三取二 的s i m i s 原则。 ( 3 ) e b i l o c k 系统 e b i l o c k 系统的核心是具有安全性质的中央处理单元，控制中心的操作台及 全景显示器均接在中央处理单元上。中央处理单元是1 6 位计算机。e b i l o c k 的特 点之一是所有的数据传输均采用环形方式，即始于中央处理单元，终于中央处理 单元。万一导线折断，系统仍能正常工作。e b i l o c k 的另一显著特点是采用“一 硬二软”的安全方案。采用具有相同功能的两套完全独立的软件，它们在一个硬 件通道内工作。为提高可用性，中央处理器可以构成冗余。 ( 4 ) s s i 系统 固态电路联锁系统s s i ( s o l i ds t a t ei n t e r l o c k i n g ) 是英国g e c 通用信号公司、西 屋( w e s t i n g h o u s e ) 信号公司开发的计算机联锁系统。s s i 系统的核心是安全性联锁 多重数据处理模块( u l m p m ) 。s s i 的故障安全是依赖于传统的三取二计算机系统 及软件比较。所有三台计算机由软件执行输出比较，储存内容比较以及所选用的 系统数据比较。轨旁模块( t f m 一控制现场设备的计算机模块) 是二取二系统，不设 2 硬件冗余，t f m 的故障仅限于影响局部的使用。 ( 5 ) w e s t r a c e 系统 该系统是由英国和澳大利亚的w e s t i n g h o u s e 公司，美国的s a f e t r a n 公司，西班 牙的d i m e t r o n i e 公司共同研究的第二代电子安全信号技术。其重点是利用飞速发展 的无线通信技术建立列车定位的第二通道。w e s t r a c e 系统的硬件是一些功能模块的 组合，其故障一安全保障是采用“一硬两软一方案，每一模块的数据处理器都带有 自检测功能。为了提高可用性而采用冗余方式，即必须有一套热备用系统，从而 导致系统设备数量翻一倍。 ( 6 ) v p i 系统 v p i 系统是美国g r s 公司开发的，与w e s t r a c e 系统比较接近，已在美国、荷兰、 西班牙、意大利等国投入运行。v p i 系统的核心是一个中央控制中心，所有的联锁 数据均联在该中心上。其他的任务由另一些数据处理单元分担。如果所要求的规 模较大，则可采用多套v p i 系统，彼此之间用串行数据总线相联。在提高可用性方 面，采用双套系统以实现冗余。 ( 7 ) k - 5 型联锁系统 k - 5 型微机联锁系统是由日本京三公司研制的，能适用于规模大小不同的所有 车站，采用故障导向安全的专用计算机，每机双c p u ，双机热备。与现场设备的 接口采用不同继电器的电子终端装置。故障一安全的联锁计算机与电子终端间通过 光缆，采用串行数据传送，提高了抗电气干扰的能力。程序及数据采用把各个车 站共同的逻辑( 计算机联锁用程序) 和各个车站固有的逻辑( 车站数据) 完全分开的 结构( 使r o m 完全分离) ，变更车站联锁时只需变更车站数据，因此，更能适应不 同类型的车站。现已在日本新干线使用超过2 0 0 个车站，运行良好。 国内计算机联锁系统的应用现状【2 ，7 8 】： 在我国，自8 0 年代初就开始了计算机联锁系统的研制工作，但进展比较缓慢。 n g o 年代中后期，进入了快速发展阶段，出现了各种型号的计算机联锁设备。其 中具有代表性的是： ( 1 ) 铁道科学研究院通号所研制的t y j l i i 型和t y j l - t r 9 型； ( 2 ) 北京全路通信信号研究设计院研制的d s 6 2 0 ，d s 6 1 1 和d s 6 k 5 b 系统； ( 3 ) 北京交通大学开发的j d i a 型计算机联锁系统； ( 4 ) 卡斯柯信号有限公司开发的v p i 系统。 在上述的几种型号中，t y j l i i 型、d s 6 1 1 型、j d 队型和v p i 系统均为双机热 各动态冗余结构。它们的操作表示系统和联锁控制系统均为a ，b 双套，用双重冗 余局域网来实现通信线路的冗余设计，驱动输出部分通过切换电路来实现唯一的 输出。各种型号双机热备的系统在总体结构上是一致的，但在联锁机与输入输出 3 的接口、采集驱动电路和切换电路的设计上有所不同。t y j l - i i 型采用的是s t d 总 线，d s 6 - 11 型通过7 1 2 2 接口板来实现信息输入和控制输出，j m l a 型采用的是c r t p 总线方式，而v p i 型由一块输入输出总线接口来完成联锁机与输入输出信息交换。 t y j l - t r 9 型容错计算机联锁系统采用美国t i r c o n e x 公司研制的第九代容错计 算机系统产品t r i c o n ( 简称t r 9 ) 作为系统主控制机。其容错能力是通过系统从输入 模块、主处理器模块到输出模块三大部分的全面三重化结构来实现的，这样保证 了系统中任何部件的单永久性故障或由于各种原因造成的瞬间故障发生时容错联 锁系统仍能无差错、不间断地工作。 d s 6 k 5 b 系统是北京全路通信信号研究设计院与日本京三公司联合开发的新 系统。在操作表示层采用双机热备模式，联锁机由并列两重系组成，联锁机的二 重系具有相同的故障一安全处理器。每系有三套智能通信接口，采用光缆连接。电 子终端为采用故障安全型c p u 构成的智能控制器，系统设置为二重系。在电子终 端之后，采用安全型继电器与场外设备进行转接。 1 2 2 研究意义 二乘二取二结构的计算机联锁系统是今后计算机联锁系统发展的一个趋势， 目前，国外已经有成熟的基于时钟同步的二乘二取二结构的计算机联锁系统，而 国内的较为先进的二乘二取二计算机联锁系统，大部分都是与国外公司合作的， 产品并不具有独立的知识产权【2 1 。所以总体上说，我国的计算机联锁技术比起国外 一些发达国家来说还较为落后，而这样的现状远远不能满足我国高速铁路发展的 需求。 所以无论是对于我国高速铁路的发展，还是为实现控制技术的国产化，二乘 二取二计算机联锁系统的研究都具有重要的意义。 1 3 研究内容及主要工作 本课题是与交大微联公司合作的，主要的研究内容包括： 1 研究并构建实现二取二安全计算的软件平台。在借鉴国外成熟产品和相关 技术资料的基础上，研究二取二系统的设计理念，对设计方案进行可行性分析和 安全计算，提出完整的、详细的设计方案并实现。 2 合理划分安全层和非安全层的功能。明确定义系统的安全部件和非安全部 件的功能范围。所有与安全相关的逻辑计算均应当由a 、b 机完成，尽最大可能简 化c 机的功能和运算逻辑。 4 3 采用安全通信协议、增大码距等手段，对软件安全层进行设计。设计包括 a 、b 机与c 机之间安全通信协议在内的软件安全层。 4 依据相关技术标准，对平台所能达到的安全指标进行理论计算，提出具体 的安全指标。 5 针对系统的安全设计思想，提出对应用层软件开发的安全约束要求，如负 载大小、功能分配原则、调用逻辑关系、可能影响到整个系统安全指标的限制性 条件等等。 6 采用代码封装等技术，构建应用软件开发环境或编译环境。对系统的安全 层驱动等底层软件进行适当的封装和设计优化，减小应用软件开发人员对安全层 的设计负担。 论文的主要工作有： 1 对现有的计算机联锁系统进行研究，提出基于通用计算机的任务同步二取 二安全计算平台的整体设计方案； 2 划分基于通用计算机的任务同步二取二安全计算平台安全层和非安全层， 明确各部分的功能： 3 搭建开发环境，设计通信协议； 4 实现二取二安全计算平台，包括i 0 模块、i 0 数据转发模块、时钟模块、 服务接口模块； 5 针对由该平台所构成的二乘二取二计算机联锁系统进行安全性和可靠性 分析。 1 4 本论文内容安排 论文内容包括5 章，各章具体内容如下： 第l 章简要介绍了研究的背景，目前国内外计算机联锁系统研究的现状，以 及我们所要研究的二乘二取二计算机联锁系统的意义。 第2 章对现有的计算机联锁系统的结构进行了研究，包括双机热备系统、三 取二系统和二取二系统，对二乘二取二系统的结构进行了重点研究，为设计基于 通用计算机的任务同步二取二安全计算平台提供依据。 第3 章设计并实现基于通用计算机的任务同步二取二安全计算平台，其中包 括系统的整体设计以及各部分的详细设计与实现。 第4 章对在实际设计和实现平台的过程中，所遇到的一些关键问题以及所采 取的解决方法进行了说明。 第5 章运用马尔科夫过程对由该平台构成的二乘二取二计算机联锁系统的安 5 全性和可靠性进行了分析，并与双机热备系统和三取二系统的安全性、可靠性进 行了对比。 6 2 二乘二取二安全计算平台的结构研究 设计合理的系统结构，是能够正确实现功能的前提条件。本章分析了现有的 计算机联锁系统的结构，其中重点对二乘二取二系统的结构进行了分析，为基于 通用计算机的任务同步二取二安全计算平台的设计提供依据。 2 1 现有计算机联锁系统的结构分析 ( 一) 双机热备结构系统 ( 1 ) 系统结构 双机热备系统使用单机来保证安全，采用故障切换技术来保障系统的可靠性， 其基本工作原理是两个模块同时工作，互为备用，如果通过故障检测发现工作模 块发生故障，通过切换装置，切换到另备用模块工作。其原理结构图如图2 1 所示 【5 】。 图2 i 双机热备系统原理结构 f i g u r e 2 - 1p r i n c i p l es t r u c t u r eo fd u a lm o d u l eh o ts p a r es y s t e m 双机热备系统的结构可以划分为三个层【9 1 ：监控层；联锁逻辑运算层；设备接 口层。如图2 - 2 所示，其各部分功能为： 监控层包括人机会话、维修管理功能。人机会话机除主机外，还配有备机， 采用双机热备方式。双机同时工作，物理上相互独立，但同一时刻只有一台设备 具有人工操作( 如办理进路) 功能。维修管理机不向联锁机发送任何信息，仅通过 车站控制局域网从人机会话机接受操作员的操作命令、联锁机的命令执行情况以 及站场中各信号设备的表示信息，以便记录值班员操作命令、站场变化信息、系 统错误、与微机监测接口，同时实现记录的存储、打印、再现功能，为维修提供 方便【1 们。 联锁逻辑运算层包括两台互为热备的联锁a 、b 机，负责接收人机会话机下达 的联锁命令，根据从设备接口层采集来的现场实时状态数据进行联锁运算，同时 将运算结果发送到设备接口层和监控层。联锁逻辑运算层是计算机联锁控制系统 的核心，其是否安全可靠将直接决定整个系统是否安全可靠【l o 】。 7 l 操作机a操作机b监控j ll iili lli i 联锁机a联锁机b lll 。 采集驱动驱动采集 接口接口接口接口 ll 双机切换输出 一一一 l 一一一一一一一一 l 一一一一一一一一一一 设备接口 甜各= 溶r 图2 - 2 双机热备系统结构图 f i g u r e 2 - 2s t r u c t u r eo fd u a lm o d u l eh o ts p a r es y s t e m 设备接口层负责执行人机会话机下发的控制命令，同时向人机会话机和维管 机传送现场信号设备的实时状态【l o l 。 ( 2 ) 工作原理 热备的含义指工作机故障，整个系统能自动切换到备用机工作，这包括联锁 机自动切换和监控机自动切换。 联锁系统热备【i l 】：在工作中，两台联锁主机，有三种工作状态脱机、联 机和同步。热备的基础是同步，要实现同步，系统主备机需实时进行通信，检查 两套系统的联锁条件，一旦发现不同，系统将启动安全机制，主机故障将实现切 换，备机故障将实现脱机。 监控机热备【】：目前监控机的热备未全部实现，这里以某设备实现的原理进 行简单说明。监控机本身互相传递的信息是有限的( 一般传递铅封计数器的数值) ， 甚至是不传递信息的。监控机的热备是被动的，是由联锁系统实现的。监控系统 热备的意义不是很大，至少不牵涉到安全，只有在监控系统死机或与联锁通信故 障的情况下才启动，当联锁系统与主控的监控机通信中断，将控制相应继电器的 吸起和落下，改变控制台终端的切换设备接入状态，实现终端的切换。 总之，系统热备是由软件监督的，通过硬件的驱动来执行的。 8 ( 二) 三取二结构系统 ( 1 ) 系统结构 三取二是典型的硬件冗余容错计算机联锁系统，在发生故障或存在软件错误 的情况下仍能继续正确完成指定的任务。系统结构通过增加冗余资源的方法来掩 盖故障造成的影响，使得即使出错或发生故障，系统功能仍不受影响，仍能够正 常执行预定的任务。其原理结构如图2 3 所示【5 j 。 图2 3 三取二系统原理结构 f i g u r e 2 - 3p r i n c i p l es t r u c t u r eo f t w oo u to f t h r e es y s t e m 三取二系统结构如图2 4 所示【1 2 】，其层次划分与双机热备系统相同，也可以 分为：监控层；联锁逻辑运算层；设备接口层。各层次功能与双机热备系统各层 次功能基本相同，只是逻辑联锁运算层的实现方式与双机热备系统的逻辑联锁运 算层实现方式不同。 三取二系统中的联锁逻辑运算层由三个相互独立的联锁机、f o 控制控制部分 构成，其实现功能与双机热备中的联锁逻辑运算层所实现的功能基本相同。 ( 2 ) 工作原理 三取二计算机联锁系统，三台计算机采用并联结构，同步工作，从输入端输 入相同的信息，执行同样的程序，完成同样的任务，得到的结果送入表决器，以 多数的结果( 取二) 作为最后的控制输出。当其中一台计算机发生故障时，自动 降为双机同步工作，故障机自动脱机，两台计算机故障时，系统将停止工作【1 2 j 3 1 。 与双机热备系统相比，三取二系统增加了容错性，使得即使出错或发生故障， 系统功能仍不受影响，仍能够正常执行预定的任务。 9 操作机a操作机b监 ilii illl iii 联锁机a联锁机b联锁机c i o 控制i o 控制 l o 控制 i i 三取二比较输出 l 一一 i - 沿各棒口 i 设各 控层 联 锁 逻 辑 运 算 层 接口层 图2 - 4 三取二系统结构图 f i g u r e 2 - 4s t m c a 鹏o f t w oo u to f t h r e es y s t e m ( 三) 二取二结构系统 ( 1 ) 系统结构 二取二结构也可分为三个层次：监控层；联锁逻辑运算层；设备接e 1 层【1 4 1 。 其结构如图2 5 所示。 二取二系统各层次功能与上面两个系统基本相同，只是在联锁逻辑运算层的 实现方式不同。在二取二系统中每个联锁机中都具有两个独立c p u ，在进行运算 时它们均是单独运算，两个c p u 单元联锁运算结果分别通过信息通道传送给对方 进行比较，当比较结果一致时才将结果输出。在读取数据时两个c p u 也会将所读 取到的数据发送给对方进行比较，只有比较一致时才认为数据是有效的 s j 4 】。 ( 2 ) 工作原理 二取二系统中，两个联锁机独立运行，每台联锁机中有两个独立c p u 。与前 两个系统不同的是，二取二系统在每个周期，每台联锁机的两个c p u 把每个采集、 每个中间运算结果、每次输出结果都进行一致性比较，最后将结果输出。 l o 图2 5 二取二系统结构图 f i g u r e 2 - 5s t r u c t u r eo f t w oo u to f t w os y s t e m 2 2 二乘二取二计算机联锁系统的结构 二乘二取二系统是近些年来计算机联锁系统研究的一个重点，因为它具有高 的安全性与可靠性。二乘二取二系统有时钟同步和任务同步两种，时钟同步主要 是依靠硬件来实现的，而任务同步主要是依靠软件来实现的。目前在国内外基于 时钟同步的二乘二取二系统已经有了较为成熟的产品，然而随着铁路的发展，基 于时钟同步的二乘二取二系统的一些缺点随之显现。而任务同步的二乘二取二系 统可以克服时钟同步的缺点，所以任务同步的二乘二取二系统的研究就显得十分 重要。本章主要介绍二乘二取二的整体结构，以及时钟同步和任务同步的优缺点。 2 2 1 二乘二取二系统的整体研究 从上面介绍的几个系统的结构中可以看出，一般的计算机联锁系统都采用三 层分层结构，这样的结构是由计算机联锁系统较高的功能要求和性能要求所决定 的，因为单层结构是无法满足这些要求的。为了满足要求，二乘二取二系统也将 采用三层分层结构：监控层、联锁逻辑运算层、设备接口层，如图2 6 所示。 三个层次中联锁逻辑运算层是整个联锁系统的核心，该层保证了整个系统中 最为关键的问题安全性。 由于监控层与设备接口层在自动化的计算机联锁系统中已十分成熟，在研究 中我们会把精力主要放在联锁逻辑运算层上。 i 输入设备图形显示器 i - 1 一 i 监控层 i i 联锁逻辑运算层 l i 设备接口层 t l 。 外围设备 图2 - 6 二乘二取二系统层次结构 f i g u r e 2 - 6h i e 敝h i c a ls t r u c m r eo f d o u b l et w oo u to f 脚os y s t e m 具体实现二乘二取二系统的总体结构有多种方式，但是无论哪种方式都具有 相同的原理结构，如图2 7 所示f 5 】。 图2 7 二乘二取二系统原理结构 f i 鲫e 2 7p 血d p l es t r u c t u r eo f d o u b l et w oo u to f t h r e es y s t e i n 以上是从二乘二取二的整体结构上进行的分析，下面从安全的角度对二乘二 取二系统进行一定的分析。 1 2 安全是计算机联锁系统中所要考虑的首要问题，所以我们的二乘二取二系统 要从各个方面来保证系统的安全。按照欧洲铁路e n5 0 1 2 9 的标准，对于安全平台 来说，基本的要求是达到s i l 4 ( 安全集成等级4 级) ，即要求危险侧出现概率 1 0 瓜1 5 1 。从安全角度出发，我们也将系统分为三个层次【1 6 1 ：应用安全层、核心安 全层和硬件安全层。如图2 8 所示。 应用安全层 c p u c p u 核心安全层 硬件安全层 图2 8 二乘二取二系统安全层次结构 f i g u r e 2 8s a f e t yh i e r a r c h i c a ls t r u c t u r eo f d o u b l et w oo u to f t w os y s t e m 可以看出二乘二取二系统的安全层结构其实与其系统层次结构一一对应。其 中应用安全层主要由应用的安全性来保证，这与监控层所对应；硬件安全层通过 采用输入电路检测、输出电路检测等手段来保证安全，这与设备接口层对应。 核心安全层下接硬件安全层，上连应用安全层，是整个二乘二取二系统的核 心，这与联锁逻辑运算层对应。核心安全层要保证系统的安全性，必须在以下方 面进行考虑【1 6 】：( 1 ) 硬件的安全监控。核心安全层必须对硬件进行监控，并充分利 用硬件安全层所提供的手段。核心安全层对硬件的监控包括对输入、输出的监控， 对内存和数据段的监控及对程序运行的监控。( 2 ) 信息编码、存贮和传送的安全。 对于安全信息需采用码距较大的编码，在存储时可实时检查数据是否正确，在安 全通讯时采用安全编码。所有这一切可以保证信息的安全性。( 3 ) 运算的安全。运 算的安全可从逻辑运算和数学运算两个方面进行考虑。对于逻辑运算，可考虑采 用安全编码的方式；对于数学运算，可考虑采用双通道运算的方式来保证安全性。 ( 4 ) 双套算法的安全性。对于二乘二取二系统，有两个c p b 同时工作。也就是说， 两个c p u 需同时进行运算。目前，国外大部分的二乘二取二系统和三取二系统均采 1 3 用相同的算法和程序。这样系统的同步和比较将较为容易。但如能在两个c p u 中 采用不同的程序和算法。2 个c p u 的相异性将大大提高，而且可由完全不同的两组 人员开发相同功能的程序，系统由于共模原因发生安全问题的可能性将大大降低。 这样，如何在二乘二取二系统上实现两套相异的算法成为进一步提高二乘二取二 系统安全性的关键。 由于核心安全层是整个系统的核心，所以我们研究工作的重点也会放在该层 次上。 2 2 2 时钟同步和任务同步二乘二取二系统 实现二乘二取二系统的方式有两种：时钟同步和任务同步。 时钟同步的实现方法是将两套完全一样的c p u 及其核心电路集成在一块电路 板上，以便采用同一个晶振分频电路作为芯片的时钟脉冲，并采用专门设计的比 较器对两个c p u 总线进行比较监督【嘲。 任务同步的实现方法是两个c p u 单独工作，通过c p u 问的高速通道周期性地对 两个c p u 中的各任务进行同步比较，以完成对两个c p u t _ 作一致性的检查【1 6 j 。 两种实现方式的不同在于，时钟同步系统主要采用硬件完成双c p u t 作一致 性的比较，对硬件有较高的要求，并且在每一个时钟周期内，都要对两个c p u 的 内容进行比较，无论是中间结果，还是最终的运算结果；任务同步系统主要采用 软件完成双c p u 工作一致性的比较，对软件有较高的要求，同时也要求采用真正 安全可靠的软件比较算法，它是基于任务的同步，只有在每个任务完成后，对每 个任务的结果进行一致性比较。 目前市场上已有的二乘二取二计算机联锁系统都是的基于时钟同步的二乘二 取二系统，例如和利时公司的h o l l i a sv s l 2 0 0 2 ，日本信号株式会社的e 1 3 2 j d 型 计算机连锁系统和铁道科学研究院通信信号研究所的t y 儿i i i 型计算机联锁系统。 由于受工艺水平等因素限制，时钟同步的二乘二取二系统的时钟频率不能太快， 仅能够满足计算机联锁、车站列控中心等这种低负荷运算量的系统设计要求。而 且时钟同步的二乘二取二系统有两个无法改变的缺点【m 】：一、在无法在两个c p u 中实现两套不同算法的缺点，无法消除软件的共模故障( 共模故障( c o m m o n m o d e f a i l u r e ) 是指由一种外部原因同时引起几种故障影响，也称为共因失效。) ；二、 由于现在的高性能c p u 本身存在封闭缓存的问题，时钟同步的方式对其无能为力， 无法实时的读取处理结果，这样的话二乘二取二平台在更新换代上会受到一定的 限制。 随着铁路信息化的快速发展，包括客运专线等高等级铁路建设需求的扩大， 1 4 对铁路信号设备的运算能力提出了更高的要求。采用通用计算机为基础设备的任 务同步比较的二乘二取二系统，不仅可以满足大存储容量、大运算量的要求，同 时有利于降低设备成本、增强系统的可扩展能力。研究开发任务同步的二乘二取 二系统是计算机联锁系统今后发展的必然趋势。 2 3 小结 本章首先对现有的计算机联锁系统的结构进行了分析和研究，其中重点分析 了二乘二取二的结构及实现方法，为我们进一步设计实现基于通用计算机的任务 同步二取二安全计算平台提供参考。 1 5 3 基于通用计算机的任务同步二取二安全计算平台的设计 二取二安全计算平台是二乘二取二计算机联锁系统的核心，它是联锁逻辑运 算层的基础，也是我们所要重点研究的部分。本章主要介绍二取二安全计算平台 的整体设计、各部分的详细设计与实现。 3 1 二取二安全计算平台的整体设计 3 1 1系统构成 根据交大微联公司所提出的要求，系统的构成如图3 1 所示： 输出输入 图3 - 1 系统构成图 f i g u r e 3 - 1s y s t e mc o m p o n e n t 系统采用三台计算机构成一个二取二安全计算平台：其中a 、b 机独立进行逻 辑运算，负责完成与安全相关的所有计算工作，所有运算程序具体的逻辑由用户 确定。c 负责整个系统的对外输入输出工作，并根据应用逻辑的请求周期性对a 、 b 的中间运算结果( 或输出结果) 按照一定的规则进行评判，并据此决定是否对外输 出控制信号，当a 、b 运算结果不一致、a 、b 机同步时间超过规定容差、系统结 构不完整( 如a 机发生故障) 均导致c 机放弃控制权停止输出( 定义c 机停止输 出为安全侧) ，同时，c 机采用向a 、b 机发送同步时钟脉冲的方式保证a 、b 机 运算同步。对外部系统而言，整个系统表现为单个c 机。系统内部，a 、b 和c 三部分之间的通信由各自独立的数字通道负责传输。 当采用两套完全相同的二取二安全计算平台，在输出端设计输出切换电路， 将两个平台的输出关联起来，便可以实现二乘二取二系统。由于输出切换电路不 1 6 在所研究的范围内，所以这里不进行考虑，在设计和实现时也只是考虑单个的二 取二安全计算平台。 3 1 2 层次结构 在第二章中，我们已经对于二乘二取二系统的结构进行了一定的研究分析。 结合我们的系统本身，将系统划分为三个层析，如图3 2 ： l 兰兰! 竺星l 图3 2 系统的层次结构 f i g u r e 3 - 2h i e r a r c h i c a ls t r u c t u r eo fd o u b l et w oo u to f t w os y s t e m 从层次上来看，整个应用系统由三个相关联的层次构成： 应用逻辑层 安全逻辑层 设备f o 层 应用逻辑层：由用户如何加工处理业务数据的应用逻辑构成，取决于具体的 应用。在处理业务数据的过程中，为保障处理的可靠性，应用逻辑层需要获取安 全逻辑层提供的相关服务。对与本系统来说，应用逻辑层主要是面向于用户而言 的，用户调用安全逻辑层向应用逻辑层所提供的服务以及相关接口，来编写相应 的处理数据的运算程序。 安全逻辑层：为本项目的核心，向上为应用逻辑层提供服务以及相应的接口， 向下通过i o 设备层与外部世界联系。安全逻辑层内部设置有安全策略，用以确定 当前系统的运行状况是否安全并据此决定是否对外输出控制信号，以实现导向安 全。本课题所研究的重点也就是安全逻辑层的内部构成、功能以及其对外的接口。 设备i o 层：负责从外部世界获取信息，获取的信息通过安全逻辑层传递到应 用层，经过业务逻辑处理及安全检验后，处理结果被发送到设备i o 层，反馈给外 部世界。 由于应用逻辑层主要是面向于用户的，这旱不对其作近一步研究，下面针对 1 7 对安全逻辑层和设备加层所需要提供的功能进行说明。 1 安全逻辑层 ( 1 ) 安全逻辑层的构成 所设计的安全逻辑层的构成如图3 3 所示： 图3 - 3 安全逻辑层的构成 f i g u r e 3 3c o m p o n e n to fs a f e t yl o g i cl e v e l 由图可知，安全逻辑层同a 、b 和c 的组成部分均发生联系，因此其各个组 成部分之间需进行信息传递，并且信息传递的可靠性须得到保证。为此需要建立 安全逻辑层内部可靠的信息传递机制，考虑到本系统的实际应用需求和使用效率， 我们是在u d p 通信的基础上增加可靠传输功能，实现系统内部信息的可靠传输。 在保障内部信息可靠传输的基础上，我们进一步考虑安全逻辑层内部应用需 求以及对外提供的服务，并制定内部通信协议。 安全逻辑层由以下主要部分构成： 比较模块( 图中安全逻辑部分，位于c 机) ；