联锁机倒机逻辑(培训).doc

联锁机倒机逻辑2006/3/17一、 术语双机热备、22取2、双系热备。主用（机）、备机。联机、脱机、热备。危险性故障、非危险性故障。重启计算机执行一个软复位的中断调用指令，使计算机重新启动；停机计算机程序进入一个死循环。在该死循环中，看门狗仍然被定时触发，以保证计算机不会重启。摘机计算机维持运行，但停止驱动JJ。此时计算机已不成为备机，如果此时主机停机，则备机不可能以热备方式升为主机。如果此时主机强制停机或意外停机，则备机会以上电锁闭方式投入工作，成为主机。二、 基础1 概念什么是倒机，为什么倒机2 倒机的硬件实现JJ、QJ、DJ的作用。三、 倒机的基本原则1 基本要求当双机均正常工作时，如果主用机发生故障，则立即倒机，主用机停机，备机升为主机。2 无主原理A、B机没有主、备之分。上电时按竞争机制确定主、备。一旦备机升为主机后，故障机修复重新上电后，除非自身发生故障，不会自动倒回。3 自律机制只有计算机自身检查出有故障之后才发起倒机，任一机无权强制邻机停机，自己升为主机。4 屏蔽瞬间故障（多圈判断）原则联锁机发现硬件故障后，并非立即采取措施，而是适当多圈运行证明故障确实存在时才采取措施。5 自动重启策略为提高计算机联锁可用性，对于有些故障，计算机停机（包括主、备机）后令其自动重新启动，以屏蔽瞬时故障。6 人工死机策略无论主机或备机如果持续查出存在危险侧故障，其次数达到5次（约0.3S），即立即停机不自动重启，待人工确认修复。7 单机维持工作机理若系统已处于单机工作状态，此时如果检出了非危险性故障，则联锁机维持工作（带病工作）。一旦备机重启，进入热备状态后，维持工作（带病工作）的联锁机立即停机重启，倒向备机，刚刚投入的备机升为主机。8 双机倒机时间错开原则如果双机同时发生故障（不一定是相同故障），对于非危险性故障，为避免双机同时停机导致系统停用，应使A、B机的停机时间有所差异。通常令备机动作快于主机。当双机同时发生故障时，备机先于主机停机。主机立即进入单机运行状态，按单机维持工作机理该机暂不倒机。如果停机的备机确是非危险性故障且为瞬间故障，则停机重启后即可重新投入使用。联机后，主机按单机维持工作机理也停机重启。这就是为什么有时有故障时会发生双机交替倒机后系统即恢复正常的原因。特别是在出现联锁运算错误时特别明显。时间错开原则是通过联锁机检出故障后经不同延时才启动倒机实现的。通常备机延时5圈（约0.3S）向维修机报故障后重启，主机延时5圈（约0.3S）后先向维修机报故障，再延时至20圈（约1.1S），确认故障确实存在而此时存在备机时重启。9 报故障原则在联锁机检出故障需停机时，对于非危险性故障，将持续超过2秒钟维持与维修机的通讯，以确保能够向维修机报出故障，然后再重启；对危险性故障，则在程序进入一个死循环前，持续超过2秒钟维持与维修机的通讯，以确保能够向维修机报出故障。按照上述原则，如果不是人工复位、断电或程序因干扰跑飞等原因，联锁机停机必定能够向维修机报出某种故障原因。10 备机上电自检原则备机上电时要自检（包括通讯）通过后才能联机。案例（报故障与时间错开）：双机时：备机如持续有非危险侧故障，其次数达到5圈（近0.3秒），向电务机报故障后备机重启；主机如持续有非危险侧故障，其次数达到5圈（近0.3秒）时，向电务机报故障，持续故障次数达到20圈（约1.1秒）时，主机重启。（主备机同时出现非危险侧故障时，主备机能错开，防止主备机同时重启）。单机时：如持续有危险侧故障，其次数达到5圈（近0.3秒），向电务机报故障后死机；如持续有非危险侧故障，其次数达到5圈（近0.3秒）向电务机报故障，其次数达到20圈（近1.1秒）时，置该机为维持运行状态。四、 联锁机能够检测出的故障及倒机策略1 硬件危险性故障定义：联锁机自检出硬件电路板出现了故障，如果不停机，可能会导致危险。策略：无条件停机，不自动重启延时：主备机均为0.3S报故障延时：主备机均为0.3S内容：a. 机箱控制板地址译码错误（绝对地址与机箱号不同）怀疑对机箱控制板的控制地址有错误。b. I/O板地址译码错怀疑对I/O板的控制地址有错误。c. 总线控制板的机箱地址译码错怀疑对总线控制板的控制地址有错误。d. 驱动有回读无输出（室内混线）联锁程序未向输出板发出控制命令，但却从检测板读到了有电压的信息。怀疑驱动板堵截二极管内侧电路混线或检测板故障。这种故障除输出板发生故障，如内部相邻通道信号短路外，也有可能是检测板发生了故障。案例：拔下I/O匹配板、总线匹配板-可能产生“I/O地址译码错误”故障2 采集监督继电器状态错误定义：本机无故障，应驱动JJ，但多功能板未采集到JJ的信息。归为危险性故障。策略：无条件停机，不自动重启延时：主机延时为0.5秒，备机延时为3秒。报故障延时：同上3 硬件非危险性故障（含部分非危险性外部混线）定义：联锁机自检出硬件电路板出现了故障（含部分非危险性外部混线），检出故障后，软件可对其做故障-安全处理，不会导致危险。策略：邻机热备时倒机，自动重启。单机时维持运行。延时：主机1.1S，备机0.3S。报故障延时：主备机均为0.3S，包括单机运行时。内容：a. 采集通道位测试错I/O程序判断对采集电路板具体位的操作有错误。b. 多功能采集通道位测试错I/O程序判断多功能板某采集位的操作有错误。c. 采集内部数据错I/O程序检查采集缓冲区wInBuf的数据有异常。d. 采集双通道不一致俗称单口断，即该板无采集而相同信息的邻板有采集。这种故障一般不怀疑配线，多为电路板自身故障。e. 采集前后接点混线故障对于GJ、DGJ、ZCJ等采集前后接点的继电器，联锁机同时采集到了前接点和后接点。此种情况正常时不应出现，如果出现，则认为发生了混线。该故障在联锁程序中可做故障-安全处理，在单机运行情况下，如果发生了前后接点混线，则在联锁内部认为该继电器落下。f. 道岔表示混线（既有定表也有反表）。g. 采集电源关断期间采集错误JD-A型的采集是动态采集，即由多功能板以“开-关-开-”方式向继电器电路输出采集电源动态方波信号（周期110mS）。在采集电源打开期间，闭合的继电器接点应采集到输入；在采集电源关断期间不应采集到输入。如果在采集电源关断期间采集到了输入，则一般认为电路板发生了故障。h. 输出内部数据错在I/O程序对外输出期间检测到内部数据（wOutBuf）发生了错误。i. 输出A/B联锁控制命令数据不一致程序检测出联锁A、B套程序对外的驱动命令不一致。j. 输出通道位测试错I/O程序检测出输出电路板发生了硬件错误。k. 多功能板输出通道位测试错I/O程序在对多功能板进行输出操作时检出了硬件错误。l. 机箱控制板（UIOC）脱板联锁机认为电路板未安装在机架上。此种故障除电路板确实未插在机箱上之外，很有可能是电路板自身存在故障。m. I/O板缺板联锁机认为某I/O电路板（采集、输出、检测）未安装在机架上。此种故障除电路板确实未插在机箱上之外，很有可能是电路板自身存在故障。n. 驱动回读数据错有输出无回读。向输出板发出了继电器吸起。命令，但未能从检测板读到有电压的证明。这种故障除输出板发生故障外，也有检测板故障的可能。4 双口断故障（非危险）定义：在双机运行时，邻机采集到某信息，而本机未采到，即本机两块采集板均未采到同一继电器接点闭合信息。此故障多为继电器组合架配线问题。注1：只有双机运行时才有双口断故障概念。注2：主机在持续运行过程中始终进行此项检查；备机仅在同步后还未热备上之前检查，进入热备状态之后即放弃此检查。注3：如果产生双口断的采集位是由计算机驱动的，但本机当时并未驱动，即使邻机有采集，本机无采集也不判定为双口断。注4：采集前后接点的继电器（如轨道继电器），采集不一致时不判定为双口断。策略：停机重启。延时：2S。报故障延时：2S。5 外部混线故障定义：俗称室外混线故障。对于由计算机驱动的继电器，如果有采集而没有对应的控制输出，则判定为外部混线故障。策略：倒机重启。延时：主机6S，备机8S。报故障延时：主机6S，备机8S。注1：主机查出混线后延时6S倒机，备机升为主机后立即清除延时标记重新计时。如果属电路板内部短路故障造成的其他继电器误动，则主机停机后误动的继电器将落下，从而备机升为主机后不会停机；而外部短路，则备机升为主机后会继续错误带动该继电器，按主机逻辑判断6S后也会停机，即双机停机。因此，若外部混线，则主机延时6S、倒机后备机再延时67S停机。注2：该故障在单机时不具有单机维持功能，即如发生该故障单机也会重启。案例（碾子山04.2.27）：驱动板插针处（S4LXJ和S4DXJ）相邻端子短接导致驱动通道短路，通过防雷板并联同时影响双机。6 防雷管击穿定义：防雷报警电路动作。策略：停机，不自动重启。延时：2S。7 双机不同步定义：备机与主机向操作机传送的屏幕站场表示信息表不一致。注：只有备机检查与主机是否同步。策略：当备机发现与主机有不一致时即开始计时，持续4秒后如果不能恢复，则备机将摘机。不一致时间持续15秒后，备机报出该故障并重启。延时：4S摘机、15S倒机。报故障延时：15S8 联锁运算错误定义：联锁程序判定内部运算发生了错误。出现这种情况多是因为联锁程序编制不当造成的。目前基本联锁程序已几乎不会发生联锁运算错误，早期版本软件或按质量计划特殊编程的软件较易发生。例如A、B程序判定条件有差异，联锁条件不具备的出口标志不一致等等。发生这种故障一般应由软件编制者完善联锁软件。发生联锁运算错误后联锁软件内部均会进行故障-安全处理，不会导致危险，但可能会对联锁功能产生一些影响，例如某些进路无法排出，某些区段无法解锁等，会对行车造成影响，必须予以解决。策略：邻机热备时倒机，自动重启。单机时维持运行。延时：备机3周期，主机200周期（200ms）。9 通讯中断定义：联锁机失去与双操作机的通讯联系。策略：延时：备机15秒；主机20秒。五、 上电策略1 主机上电条件在满足下列条件时，主机可单机上电运行：l 检测到仿真开关；l 没有硬件危险性故障；l 没有外部混线；l 没有防雷管击