联锁系统介绍-ILOCK.ppt

1、卡斯柯信号有限公司,iLOCK安全型计算机联锁系统介绍,内容纲要,iLOCK计算机联锁系统介绍,iLOCK设计流程简介,iLOCK的系统组成。 iLOCK的系统特点。,iLOCK计算机联锁系统介绍,智能安全型计算机联锁系统iLOCK，是在一般的“2取2”或者“双系热冗余”安全结构的基础上，再增加独立的“故障安全”校验CPU，采用NISAL专利技术，构成的智能安全型计算机联锁系统。 iLOCK系统由以下6个子系统组成 联锁处理子系统（IPS） 人机界面子系统（MMI） 值班员台子系统（GPC） 诊断维护子系统（SDM） 冗余网络子系统（RNET） 电源子系统（PWR）,iLOCK系统组成,iLO

2、CK系统组成,现场设备实例,IPS子系统介绍,IPS子系统硬件介绍 IPS子系统软件介绍,IPS子系统硬件,VLE板,VPS板,I/OBE2板,I/OBUS2板,VIIB板,VOOB板,IPS子系统硬件,安全逻辑运算板（VLE） VLE板是整个联锁处理子系统的核心，包括通过I/O选址读取输入/输出信息、进行联锁运算、与MMI、SDM、其它iLOCK系统通信等。对于大型联锁车站或有光通信的车站，为了缓解VLE板的通信压力，其中的安全通信由CPU/PD1板完成。VLE板通过总线与VPS板、CPU/PD1板通信。,IPS子系统硬件,安全校验板（VPS） VPS板是iLOCK系统的安全型监视机构，独立

3、于VLE板面对系统进行全面的安全检查。它以一定的间隔接收到一组编码检查信息，如经检查这组信息正确，则输出一个安全型数字信号，这个信号通过一个安全型滤波器滤波并用于励磁一个安全型继电器VRD，用以证明系统自检正常。所有通向iLOCK系统的安全型输出的电源都经过该继电器VRD的前接点。当发现系统有错误时， VRD继电器立即失磁，然后这个安全型继电器将会切断iLOCK所有的安全型输出的电源。VRD继电器在VPS经过7个周期连续检查后，证明系统是正常时才能再度激励，以确保系统安全。,IPS子系统硬件,输入输出总线接口板（I/OBUS2） I/OBUS2板是VLE板和输入输出板交换信息的通道，I/OBU

4、S2为输入板的测试数据和输出板的端口校验数据提供存储空间；同时它也包含逻辑和时序电路，以控制输出端口的连续校验。I/OBUS2板能与I/OBE2板交换信息，通过I/OBE2板实现差分驱动，驱动双断输出板。 输入输出总线扩展板（I/OBE2） I/OBUS2板与I/OBE2板交换信息，通过I/OBE2板实现差分驱动，驱动双断输出板。,IPS子系统硬件,双采安全型输入板（VIIB） VIIB板为iLOCK系统的两个CPU分别采集提供相同的接口。每块VIIB板有16个输入端口，每个输入端口对应一个指示灯，当某端口有输入信号时，相应的指示灯点亮。 安全型双断输出板（VOOB） VLE板通过VOOB板产

5、生输出信号，驱动接口设备，并且系统能实时检测VOOB板输出的正确性，输出与实际驱动的一致性。作为双断输出板，VOOB板为“2取2”系统的两个CPU分别提供正负电控制对象。每块VOOB板有8对输出，每对输出设一个正电输出和一个负电输出对应一个有效输出。每对输出端口设一个指示灯，当正电和负电输出同时有效时，相应的指示灯点亮。,IPS子系统硬件,IPS子系统软件,IPS联锁处理子系统软件包括“系统软件”和“应用软件”两部分。 系统软件包含IPS的主任务软件和仿真测试接口、系统诊断等辅助软件。这些软件是IPS的系统软件基础，不随具体应用环境和应用对象而改变，即除非选用不同系列的iLOCK系统，否则每个

6、站的系统软件都是相同的。 应用软件是一套描述具体某个系统实际联锁逻辑功能的软件。应用软件由应用工程师在BOOL-CAD软件包支持下完成，以满足不同联锁车站的数据和联锁规则要求。应用软件必须经CAA软件包编译检查、生成iLOCK系统专用的应用数据（ADS）后才能被系统所接受执行。,系统芯片,系统芯片,应用芯片,应用芯片,MMI子系统,MMI提供了iLOCK系统与用户之间的人机接口。MMI可采用彩色显示器或者控制台等作为计算机联锁系统的人机交互界面，用来供信号员通过鼠标等操作工具办理各种作业。 MMI工作于WIN 2000或更高版本的WINDOWS多任务操作系统，对每个车站，采用N+1热备工作方式

7、，使用高可靠的工业控制计算机，通过高速网口或串口与其它系统（子系统）交换信息。,MMI的功能,操作员发送控制命令和接收现场表示信息 MMI之间、MMI与SDM子系统及仿真测试系统之间通过高速网络交换信息 完成非安全联锁逻辑功能（如选路判断、表示等） 数字式道岔动作电流显示 通过串口或网络提供iLOCK系统与TDCS系统交换信息的接口 用户所要求的其它表示与报警功能,MMI界面实例,MMI界面实例,GPC子系统,较大车站（一般为25组道岔以上车站）根据用户需要设置值班员台（GPC） 。 GPC的显示界面与MMI完全相同，但是没有操作功能。,SDM子系统,SDM与微机监测站机构成二合一的微机监测与

8、诊断维护子系统 ，主要完成系统维护及接口设备监测的功能。 SDM由一台计算机、彩色显示器及激光打印机组成。 SDM的功能如下： “电子向导式”的系统诊断：通过高速网络接收联锁处理子系统的诊断结果信息、输入/输出信息、全站简化参数信息、指定参数追踪信息 。 通过网络接收来自MMI和IPS的操作和表示信息，记录关键操作和表示 。 站场显示、历史回放 。 网络管理 。 通过MODEM实现远程诊断接入 。 通过CAN总线或串口接收微机监测机的监测信息 。 根据需要，SDM可以与不同的中央维修中心接口 。,SDM界面实例,SDM接口示意图,冗余网络子系统（RNET）,iLOCK系统采用基于高速交换机的以

9、太网冗余网络结构，进一步加强了网络系统的可靠性。 通过网络通信的各子系统均安装有两块以太网接口卡，将其接入冗余网络，一条网络故障，各子系统可以自动通过另一条网络通信，并在SDM子系统中给出故障诊断信息，便于及时维护。,电源子系统(PWR),iLOCK系统采用了双UPS热备的冗余供电方式。来自电源屏的单相交流电经过二级电源防雷后输入在线式UPS，UPS输出净化220V交流电，经过电源柜配电端子排供给iLOCK各子系统。 正常情况下，系统由主UPS供电，当主UPS出现故障时，电源切换电路自动切换至备用UPS，当2个UPS均不能正常工作时，电源切换电路自动切换至由电源屏直接供电。2个UPS之间也可通

10、过切换按钮实现人工切换。电源切换不影响系统的正常工作。,电源子系统(PWR),iLOCK系统特点,高安全性 高可靠性 接口电路简单 维护手段全面易懂 系统适用面广,高安全性,一、NISAL专利技术 NISAL技术是卡斯柯公司从ALSTOM引进的通过国际权威机构认证的安全技术。 iLOCK系统的联锁逻辑是由安全型逻辑组成的。它把传统的由继电器实现的联锁逻辑和控制逻辑“写”成一系列逻辑表达式，这些逻辑表达式的正确实施就是通过NISAL技术的联锁安全运算功能来保证的。 NISAL技术是在基本逻辑（即联锁逻辑）以外运行的，提供了一种独立的安全校核。,高安全性,二、iLOCK系统的故障安全设计 欧洲铁路

11、标准EN50129，对铁路安全电子系统推荐了三种故障-安全型设备的体系结构 ： “反应故障-安全”：这种体系是由快速的故障检测和对任何危险失效进行避错来保证它的安全。“反应故障-安全”系统的控制和防护部分是完全独立的两部分硬件，而且这两个部分的硬件功能不同，软硬件也不同。,VLE,VPS,高安全性,“组合故障-安全”： 铁路信号计算机安全系统中常用的组合故障-安全系统结构模式有二取二、三取二等。使用这种技术时，每个安全性相关功能必须至少由两个部件同时执行，每个部件应当独立于其他的部件。只有当大多数部件一致时，才允许进行输出。,“固有故障-安全”：这种技术是在假定单个部件所有可信的失效模式均无危

12、险的情况下，允许一个安全性功能由一个单独部件来执行。 iLOCK系统中的VPS板、VIIB板、VOOB板以及安全输出板中的AOCD元器件，均像安全型继电器一样具有“固有故障-安全”特性。,高安全性,高安全性,iLOCK系统综合运用了“反应故障-安全” 、“组合故障-安全”和“固有故障-安全”技术 。,高安全性,三、结构设计 2取2结构 双驱双采 VPS校验,双通道二取二驱动采集 VLE板采用“2取2”结构，软件采用双CPU独立运算，两个CPU运算采用的数据互不相同。 两个CPU分别进行一个通道的运算，只有运算结果相同时，才允许输出 iLOCK系统的VOOB和VIIB板采用了双驱双采技术。由VL

13、E板中的CPU1和CPU2分别控制VOOB板输出的KZ和KF电源，其中任一出错都将切断输出。VIIB板上的每一路采集，都由CPU1和CPU2独立采集参加运算，任一出错将导致采集失败,高安全性,VPS校验 VPS实际上是IPS的动态安全监视器，它与VLE板一起，构成IPS的安全检查核心。 VPS在精确的周期间隔内接收一组经编码的校验信息。当且仅当校验信息均正确时，VPS才能输出一个安全的数字信号作为“系统安全校验继电器”的励磁电源，这种电源只在每次系统安全校验通过后才能产生，并只能维持50ms，如下一个50ms安全校验周期有任何出错的报警，将立即切断供给各个输出端口的KZ-KF。 系统的这种快速

14、的“反应故障安全”机制，保证了即使输出端口有出错的可能性，VPS也能在该错误产生实际的效果之前，可靠切断IPS的安全输出电源，保证系统输出控制的安全。,高安全性,一、多重冗余技术 iLOCK系统采用N+1热备MMI、双系并行控制的IPS、双网通信、双UPS热备供电，采用逻辑上环网连接。另外，采用模块隔离技术，各子系统内部切换不影响其它子系统正常工作，即任何一个MMI、IPS、网络设备、或UPS不能正常工作，或即使上下相邻两级设备发生交叉故障，系统通过自动重组后，仍可继续正常工作，不会导致其它子系统无故切换。,高可靠性,二、高防雷和高抗干扰能力 iLOCK系统采用多处理器、相互独立的计算机电源保

15、护、防浪涌和双重电源防雷、机箱屏蔽接地、分区滤波等技术，使设备具有较高的防雷和抗干扰能力。iLOCK系统优异的防雷和抗干扰性能，使得在电气化区段使用iLOCK系统时，一般不需要对信号楼进行增设墙体屏蔽的改造，节约了综合投资。,高可靠性,三、采集共享、并行输出 IPSA和IPSB分别采集现场的码位后，通过安全通信将采集的信息传送给对方；IPSA和IPSB的输出采用并行工作方式，即使其中一系的驱动电路故障，也不会影响本系安全输出。,高可靠性,接口电路简单,NISAL专利技术的使用，使得iLOCK系统的输出控制只需采用普通安全型继电器，不需要采用昂贵的动态继电器或动态组合电路。这既确保了输出驱动电路

16、的安全性和可靠性，又简化了接口电路结构，并且大大降低了室内接口电路的工程造价和用户的维修成本。 由于iLOCK系统在任何情况下都不会产生错误输出，在定型的道岔启动电路中不需要再串入轨道继电器条件实现区段锁闭。,维护手段全面易懂,iLOCK系统的自诊断功能完善，故障定位到板级，输入/输出板故障定位到具体位。用户可通过观察指示灯或者在SDM上点击“诊断维护电子向导”等多种方式进行故障处理。同时，系统配有远程诊断接口，可接至卡斯柯公司进行远程故障诊断。,系统适用面广,iLOCK系统支持单点和多点安全型串行通信，有与国外多种ATP系统实现安全通信的经验。系统组态灵活，能很方便地构成车站或区域计算机联锁

17、，并能与TDCS、DSS/CTC、微机监测及地铁ATP、ATS等系统接口，同时具有优化硬件配置的特点，有利于减少系统的综合投资。 iLOCK与地铁ATC系统的结合应用在国内也有非常成熟的工程经验，上海地铁1号线北延伸、上海明珠线（3、4号线），均通过安全通信与ALSTOM提供的ATC系统实现安全可靠的结合。 上海明珠线（3、4号线）采用基于FSFB2的安全通信与ALSTOM提供的ATC系统结合，实现异地车站的发车权控制和SUBROUTE控制。 上海地铁1号线北延伸线采用数字安全通信方式与ALSTOM提供的ATP系统结合，实现相邻车站授受权、运行方向控制和ATP编码信息传递。 正在实施的北京5号线采用数字安全通信方式，实现相邻车站授受权、运行方向控制和ATP编码信息传递。,iL