列控車載計算機安全冗余系統(tǒng)探討

雒凌峰，劉紅燕

（1.中鐵一局電務(wù)公司，陜西 西安 710054；2.西安通信學(xué)院，陜西 西安 710106）

列控車載計算機安全冗余系統(tǒng)探討

雒凌峰1，劉紅燕2

（1.中鐵一局電務(wù)公司，陜西 西安 710054；2.西安通信學(xué)院，陜西 西安 710106）

隨著我國鐵路建設(shè)的跨越式發(fā)展，列車運行速度越來越高，而車載計算機是保障列車高速運行的關(guān)鍵設(shè)備之一，文章主要對車載計算機的安全冗余系統(tǒng)進行了詳細介紹。

車載計算機；容錯；3取2

1 概述

工業(yè)控制大多數(shù)采用計算機控制系統(tǒng)，系統(tǒng)失效有可能向被控設(shè)備輸出危險的控制信號，從而造成人員傷亡和財產(chǎn)損失。例如，高速運行的列車是靠列車上的車載計算機時刻接收地面列控中心傳遞來的控制信息來指揮列車的安全運行，一旦系統(tǒng)有輸出危險側(cè)控制信號，那將會是一場災(zāi)難，因此，車載計算機控制系統(tǒng)不僅要采用高可靠和高可用的容錯系統(tǒng)，同時也必須滿足故障——安全，即使系統(tǒng)失效也不能輸出危險側(cè)信號。

2 提高系統(tǒng)可靠性的主要技術(shù)

計算機系統(tǒng)故障、可靠性降低的主要因素有兩種：第一種因素是設(shè)計錯誤、環(huán)境因素導(dǎo)致；第二種因素是硬件失效、電磁干擾以及軟件代碼中的隱含錯誤等。設(shè)計錯誤、環(huán)境因素導(dǎo)致的故障是可避免的，可以采用質(zhì)量控制以及環(huán)境防護等避錯技術(shù)，能盡量減少系統(tǒng)發(fā)生故障的概率；硬件失效，電磁干擾以及軟件代碼中的隱含錯誤導(dǎo)致的故障是不可避免的，一般采用容錯技術(shù)加以屏蔽。容錯就是當(dāng)系統(tǒng)中某些指定的硬件發(fā)生故障或軟件出現(xiàn)錯誤時，系統(tǒng)仍能正確地執(zhí)行規(guī)定的一組程序或算法。因此，避錯和容錯技術(shù)是提高計算機系統(tǒng)可靠性的兩種主要技術(shù)手段。尤其是容錯技術(shù)，它是構(gòu)造高可靠和高安全計算機系統(tǒng)強有力的直接手段，因此計算機系統(tǒng)應(yīng)采用故障檢測、故障屏蔽及故障恢復(fù)等容錯技術(shù)。

3 列控車載設(shè)備構(gòu)成

圖1 單通道系統(tǒng)控制系統(tǒng)框圖

3.1 控制系統(tǒng)的一般組成及功能

對于任何一種基于計算機的控制系統(tǒng)，如果不考慮控制的容錯特性，可以從功能上將其抽象為圖1的單通道系統(tǒng)。

輸入單元通常包括數(shù)字量、模擬量、脈沖量輸入等幾種類型。運算處理單元主要完成系統(tǒng)自診斷、各種輸入量的采集、控制運算處理、各種輸出量的控制、通信處理等功能。一般由CPU、RAM、ROM和控制邏輯部件構(gòu)成。輸出單元通常包括數(shù)字量、模擬量輸出等幾種類型。為了實現(xiàn)控制的故障——安全特性，運算處理單元輸出一個表示系統(tǒng)自診斷是否正常的動態(tài)信號——自診斷看門狗信號，該信號通過動/靜信號變換電路控制輸出單元的電源供給。如果系統(tǒng)自診斷不正常，則切斷輸出單元的電源供給來保證故障——安全控制。通信單元可能是RS-232之類的雙工方式，也可能是RS-485、CAN、PROFIBUS之類的半雙工方式。

當(dāng)然，在實現(xiàn)上述計算機控制系統(tǒng)時，輸入單元、輸出單元、通信單元與運算處理單元之間可以通過計算機擴展總線連接，事實上在工業(yè)控制領(lǐng)域，ISA、VME、PCI、CompactPCI等計算機擴展總線廣泛使用。其運算處理單元也可以包括多個CPU、RAM、ROM和控制邏輯部件構(gòu)成的處理器模塊，分工處理不同的功能，提高系統(tǒng)的計算性能和通信能力。

3.2 列控車載3取2設(shè)備的組成

列車運行控制系統(tǒng)主要由地面設(shè)備和車載設(shè)備組成。列控車載設(shè)備，根據(jù)IEC61508標準，選擇3取2結(jié)構(gòu)來完成容錯、安全的車載運行控制功能。系統(tǒng)具有三路獨立的輸入、輸出、主處理單元，每路的電源也獨立設(shè)置。

國際電工委員會（IEC）61508標準推薦了5種系統(tǒng)結(jié)構(gòu)，在5種結(jié)構(gòu)中3取2（two out of three）結(jié)構(gòu)是性能最高的兩種結(jié)構(gòu)之一。3取2結(jié)構(gòu)又稱三模冗余結(jié)構(gòu)（Triple Modular Redundancy，TMR），也稱三取二結(jié)構(gòu)。3個模塊同時執(zhí)行一樣的操作，以多數(shù)相同的輸出作為該表決系統(tǒng)的正確輸出，這是基于“少數(shù)服從多數(shù)”的糾錯原理，可以屏蔽任意一個通道的故障。向計算機這種非故障-安全的設(shè)備，設(shè)備故障（包括軟、硬件故障）可能有錯誤輸出。對于安全性輸出可通過故障-安全輸出控制電路和3取2表決器來共同保證其故障-安全特性。

對于車載數(shù)字量、模擬量、脈沖量輸入信號，采用多重模塊結(jié)構(gòu)的輸入接口電路，即輸入的傳感器信號分成3路，直接送入3個通道的信號調(diào)整、隔離電路，然后分別通過擴展總線送到3個運算處理單元。

對于車載數(shù)字量輸出，采用3取2表決器輸出方式，當(dāng)然3個運算處理單元輸出的自診斷看門狗信號，分別通過動/靜信號變換電路變換后，也進行3取2表決，其輸出控制數(shù)字量輸出表決器的電源供給來保證故障——安全控制，見圖2。

圖2 3取2結(jié)構(gòu)的輸入和數(shù)字量輸出結(jié)構(gòu)

車載計算機3個運算處理單元之間必須保持同步，才能完成3取2容錯處理功能，同步主要有時鐘級同步和任務(wù)級同步兩種。

時鐘級同步適用于緊耦合冗余結(jié)構(gòu)，該方式優(yōu)點是不消耗軟件處理資源。但該方式下CPU的時鐘、復(fù)位信號和控制信號都完全同步，導(dǎo)致硬件復(fù)雜，同時發(fā)生的共模錯誤會使兩個通道都受到影響，對共模錯誤抑制能力不高是該方式最大的缺點之一。

任務(wù)級同步適用于松散耦合冗余結(jié)構(gòu)。由于3個通道的運算處理單元運行并不絕對同步，而是存在同步容差，共模錯誤對3個通道的影響很小，對共模錯誤抑制能力高是該方式最大的優(yōu)點，目前在容錯系統(tǒng)中廣泛應(yīng)用。這種方式下將控制程序分成若干任務(wù)，分別在每個任務(wù)之后通過通道間通信總線交換同步信息，由軟件完成同步功能，為此付出的軟件處理資源很大，對通道間通信總線的通信速度要求較高。

由于主處理板的時鐘很高，能夠保證3個主處理板工作周期非常準確。系統(tǒng)同步校正脈沖來自冗余時鐘電路，冗余時鐘電路采用3種冗余方式。3個通道的運算處理單元之間一般采用環(huán)形全連接方式的系統(tǒng)通信總線結(jié)構(gòu)，連接中任意一個故障也不會影響3個運算處理單元之間的正常通信，既提高了系統(tǒng)的通信吞吐能力，又符合3取2結(jié)構(gòu)的3組獨立系統(tǒng)通信總線的要求，提高了系統(tǒng)通信總線的可靠性。

圖3 3取2結(jié)構(gòu)的通信輸出

整個車載3取2系統(tǒng)的對外通信口是兩個獨立的通道，在運算處理單元內(nèi)，對外輸出的通信信息已經(jīng)經(jīng)過了表決處理，在外部通信單元1，2上還將再次進行通信信息的表決，保證整個系統(tǒng)對外的通信信息輸出是可靠的、安全的，而且任意一個外部通信單元故障，系統(tǒng)都能夠保證正常運行。

4 結(jié)束語

3取2結(jié)構(gòu)的車載設(shè)備，由3個獨立的通道組成，它們之間通過系統(tǒng)通信總線和外部通信總線連接，由于它們在物理位置上是分開的，從根本上避免了由于局部故障引起整個系統(tǒng)的全面崩潰，屬于一種分布式計算機系統(tǒng)，并且實現(xiàn)了容錯和故障——安全特性。

[1] 呂永宏.《關(guān)于鐵路主體化機車信號系統(tǒng)中的安全冗余設(shè)計》.甘肅科技.2008.9.

[2] 徐志根.王長林.《三模冗余結(jié)構(gòu)計算機聯(lián)鎖系統(tǒng)的安全度分析》.科技資訊.2009.26.

[3] 袁由光.《容錯與避錯技術(shù)及其應(yīng)用》.科學(xué)出版社，1992.

[4] 胡謀.《計算機容錯技》.中國鐵道出版社.1995.

The Vehicle Carries the Computer Security Redundant System Discussion

Luo Lingfeng，Liu Hongyan

The leap frog development which constructs along with our country railroad，the train movement speed is getting higher and higher，but the vehicle carries the computer safeguards one of train high speed movement key equipments，this article mainly carried computer’s security redundant system to the vehicle to carry on the detailed introduction.

Vehicle mount computer；fault tolerance；3 for2

U 285

A

1000-8136(2010)32-0145-02