二乘二取二硬件安全冗余信號(hào)控制平臺(tái)關(guān)鍵部件的安全設(shè)計(jì)和可靠性研究

2015-04-14 09:10:12韓安平段武

鐵路技術(shù)創(chuàng)新 2015年2期

■ 韓安平段武

■ 韓安平段武

AT96DDMR信號(hào)安全控制平臺(tái)是具有安全硬件冗余結(jié)構(gòu)的二乘二取二信號(hào)控制平臺(tái)，其結(jié)構(gòu)可分為操作顯示層、邏輯運(yùn)算層和輸入輸出層3個(gè)層次，關(guān)鍵的邏輯運(yùn)算層、輸入輸出層達(dá)到安全完整性SIL4級(jí)要求。重點(diǎn)對(duì)關(guān)鍵部件的安全性設(shè)計(jì)方法、可靠性預(yù)計(jì)進(jìn)行描述及計(jì)算。

二乘二取二系統(tǒng)平臺(tái)；安全設(shè)計(jì)；可靠性；信號(hào)控制

為提高鐵路安全控制系統(tǒng)的安全性和可靠性，具有硬件安全冗余結(jié)構(gòu)的二乘二取二系統(tǒng)將成為我國(guó)鐵路信號(hào)安全控制系統(tǒng)的主流模式。鐵路信號(hào)安全控制系統(tǒng)主要指車站計(jì)算機(jī)聯(lián)鎖、列車運(yùn)行控制、城市軌道交通基于通信的列車運(yùn)行控制系統(tǒng)（CBTC）等信號(hào)安全控制系統(tǒng)，這些系統(tǒng)都要求在具有二乘二取二冗余結(jié)構(gòu)的信號(hào)安全控制平臺(tái)上集成而成。AT96DDMR信號(hào)安全控制平臺(tái)即為專門開發(fā)用于這些信號(hào)控制系統(tǒng)的一種安全平臺(tái)。

1 平臺(tái)安全結(jié)構(gòu)

AT96DDMR信號(hào)安全控制平臺(tái)（簡(jiǎn)稱平臺(tái)）的結(jié)構(gòu)分為3個(gè)層次：操作顯示層、邏輯運(yùn)算層和輸入輸出層。按照結(jié)構(gòu)層次劃分，平臺(tái)由劃分在上述3個(gè)結(jié)構(gòu)層的操作顯示子系統(tǒng)（MMI）、維護(hù)終端子系統(tǒng)（MT）、邏輯運(yùn)算子系統(tǒng)（IL）、輸入子系統(tǒng)（FIMI）、輸出子系統(tǒng)（FIMO）和電源子系統(tǒng)（PW）組成，這些子系統(tǒng)共同滿足平臺(tái)系統(tǒng)的功能需求。由于信號(hào)安全控制平臺(tái)集成的系統(tǒng)是安全完整性等級(jí)[1-3]要求很高的系統(tǒng)，因此，對(duì)平臺(tái)也有安全功能需求，結(jié)構(gòu)上要求具有安全冗余結(jié)構(gòu)。AT96DDMR信號(hào)安全控制平臺(tái)的安全冗余結(jié)構(gòu)見圖1。

在上述子系統(tǒng)中，IL子系統(tǒng)、FIMI子系統(tǒng)和FIMO子系統(tǒng)是關(guān)鍵組成部分，它們完成系統(tǒng)的絕大部分安全需求功能，因此對(duì)這些子系統(tǒng)的設(shè)計(jì)采用了安全冗余結(jié)構(gòu)。圖1中的與門邏輯符號(hào)指示了平臺(tái)中采用安全冗余結(jié)構(gòu)設(shè)計(jì)的主要部位。

IL子系統(tǒng)是整個(gè)平臺(tái)的核心層，由具有安全冗余結(jié)構(gòu)的專用計(jì)算機(jī)組成。通過(guò)安全數(shù)據(jù)通道與輸入輸出層交換信息，通過(guò)局域網(wǎng)和操作顯示層交換信息。IL子系統(tǒng)接收來(lái)自操作顯示層的操作命令信息和來(lái)自FIMI子系統(tǒng)的現(xiàn)場(chǎng)設(shè)備狀態(tài)信息，據(jù)此進(jìn)行邏輯運(yùn)算，產(chǎn)生相應(yīng)的輸出控制，通過(guò)FIMO子系統(tǒng)對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行控制。

圖1 AT96DDMR信號(hào)安全控制平臺(tái)的安全冗余結(jié)構(gòu)

FIMI子系統(tǒng)和FIMO子系統(tǒng)組成輸入輸出層。輸入輸出子系統(tǒng)通過(guò)安全數(shù)據(jù)通道與IL子系統(tǒng)交換信息。FIMI子系統(tǒng)通過(guò)采集接口電路，采集現(xiàn)場(chǎng)設(shè)備的狀態(tài)信息，發(fā)送給IL子系統(tǒng)；FIMO子系統(tǒng)接收來(lái)自IL子系統(tǒng)的輸出控制信息，通過(guò)驅(qū)動(dòng)接口電路，安全地控制現(xiàn)場(chǎng)信號(hào)設(shè)備。

2 IL子系統(tǒng)安全設(shè)計(jì)

IL子系統(tǒng)是平臺(tái)最為關(guān)鍵的組成部分之一。造成IL子系統(tǒng)錯(cuò)誤輸出的原因主要有3個(gè)方面：自身運(yùn)算錯(cuò)誤、采集信息來(lái)源的錯(cuò)誤、輸出信息的發(fā)出錯(cuò)誤。但造成的危險(xiǎn)后果只能是通過(guò)FIMO子系統(tǒng)的錯(cuò)誤輸出最終表現(xiàn)出來(lái)。

對(duì)于自身運(yùn)算錯(cuò)誤，主要是解決避免出現(xiàn)由于CPU板硬件原因?qū)е抡`碼而出現(xiàn)的危險(xiǎn)指令，為了解決該問(wèn)題，可以采取軟件冗余編碼、數(shù)據(jù)物理地址異地備份存儲(chǔ)的方式，在單CPU內(nèi)部采取該方式后，還可采取硬件冗余的安全結(jié)構(gòu)，即國(guó)際通用的二取二方式，也就是雙CPU獨(dú)立運(yùn)算比對(duì)運(yùn)算結(jié)果的方式。

采集信息的獲取和輸出信息的發(fā)出排除執(zhí)行部分的輸入輸出（I/O）板錯(cuò)誤外，主要的錯(cuò)誤原因就是信息傳輸通道的誤碼故障，為能發(fā)現(xiàn)該故障除了采用比較常見的通信數(shù)據(jù)校驗(yàn)碼校驗(yàn)外，采用冗余的通信通道，對(duì)得到的雙份數(shù)據(jù)進(jìn)行校驗(yàn)比對(duì)，該雙份數(shù)據(jù)可以采用不同的編碼方式，通過(guò)一定解析后進(jìn)行比較。對(duì)輸出的信息也通過(guò)不同的編碼方式以相異的物理通道發(fā)出。該平臺(tái)的I/O信息考慮采用正反碼校驗(yàn)傳輸方式，即主CPU接收或發(fā)出正碼信息，從CPU接收或發(fā)出反碼信息。

對(duì)于輸出命令，若雙CPU輸出結(jié)果不一致，假如該命令一旦發(fā)出去后，沒(méi)有被識(shí)別出來(lái)就可能會(huì)被輸出板執(zhí)行，導(dǎo)致不安全因素出現(xiàn)；另外假如發(fā)生輸出板不可控的情況，即使該錯(cuò)誤被發(fā)現(xiàn)但也不足以能及時(shí)防止住錯(cuò)誤命令的發(fā)出，這些錯(cuò)誤命令一旦被執(zhí)行，最終可能導(dǎo)致危險(xiǎn)的后果。為了解決上述問(wèn)題，平臺(tái)引入了第三方仲裁部件，通過(guò)其堵住最末級(jí)的錯(cuò)誤輸出信息發(fā)出。

圖2為引入了第三方仲裁部件（比較板）的IL子系統(tǒng)局部結(jié)構(gòu)。引入了第三方仲裁部件的IL子系統(tǒng)主要由CPU板、通信板、比較板組成。

CPU板雙套配置，完成二取二功能，2個(gè)CPU之間通過(guò)雙口隨機(jī)存取存儲(chǔ)器（RAM）進(jìn)行信息交互，并對(duì)各自的安全信息進(jìn)行相互比較。

通信板雙套配置實(shí)現(xiàn)通信數(shù)據(jù)經(jīng)過(guò)不同物理通道的傳輸，實(shí)現(xiàn)IL子系統(tǒng)與輸入輸出子系統(tǒng)間的信息交換，雙通道中傳輸?shù)谋硎鞠嗤畔⒌臄?shù)據(jù)以不同的編碼結(jié)構(gòu)進(jìn)行傳輸。

比較板為系統(tǒng)硬件比較器，即第三方仲裁部件，實(shí)時(shí)檢查比較主從CPU的輸出命令，比較不一致時(shí)，或CPU發(fā)現(xiàn)輸出板出現(xiàn)不可控的錯(cuò)誤輸出時(shí)，比較板做出安全反應(yīng)，切斷FIMO子系統(tǒng)的電源。比較板還可以根據(jù)用戶程序發(fā)來(lái)的嚴(yán)重故障報(bào)警信息執(zhí)行安全處理反應(yīng)。

IL子系統(tǒng)在應(yīng)用中采用了雙套冗余配置，即由結(jié)構(gòu)相同的A系和B系組成。兩系之間通過(guò)局域網(wǎng)傳遞系統(tǒng)同步信息，通過(guò)安全數(shù)據(jù)通道交換I/O信息及各系的工作狀態(tài)信息，以提高系統(tǒng)的可靠性。

3 輸入輸出子系統(tǒng)安全設(shè)計(jì)

FIMI子系統(tǒng)和FIMO子系統(tǒng)要和IL子系統(tǒng)交換信息，鑒于IL子系統(tǒng)的安全設(shè)計(jì)，輸入輸出子系統(tǒng)設(shè)計(jì)雙CAN現(xiàn)場(chǎng)總線與IL子系統(tǒng)連接。輸入輸出子系統(tǒng)的組成和連接見圖3。為了提高輸入輸出子系統(tǒng)的安全性，輸出板和輸入板也全面采用“取2”安全冗余結(jié)構(gòu)。

3.1 FIMI子系統(tǒng)

FIMI子系統(tǒng)在信息邏輯采集判斷上采用“異或”動(dòng)態(tài)輸入原理實(shí)現(xiàn)安全結(jié)構(gòu)功能。

（1）“異或”動(dòng)態(tài)輸入通道：FIMI子系統(tǒng)每個(gè)模塊有32路輸入通道，由2個(gè)CPU分時(shí)復(fù)用。輸入通道采用“異或”動(dòng)態(tài)輸入邏輯電路，既實(shí)現(xiàn)了動(dòng)態(tài)采集，也實(shí)現(xiàn)了輸入通道的實(shí)時(shí)自檢。

圖2 IL子系統(tǒng)局部結(jié)構(gòu)

圖4中a點(diǎn)為測(cè)試控制端，ACPU和BCPU交替進(jìn)行數(shù)據(jù)采集，因此ACPU和BCPU交替控制a點(diǎn)測(cè)試控制端；c點(diǎn)為輸入通道的采集輸出，ACPU和BCPU在自己進(jìn)行測(cè)試后回讀采集輸出狀態(tài)；b點(diǎn)為輸入通道的外部狀態(tài)輸入，通常為繼電器的接點(diǎn)狀態(tài)。它們?nèi)咝纬伞爱惢颉边壿嬯P(guān)系，c=a⊕b ，邏輯真值表見表1。

（2）通信信道“取2”：通信信道采用雙重冗余CAN總線，一路CAN總線傳送正碼信息，另一路CAN總線傳送反碼信息。IL子系統(tǒng)對(duì)收到的正反碼狀態(tài)信息進(jìn)行邏輯“與”操作。

（3）正反碼機(jī)“取2”：采集信息處理由2個(gè)CPU構(gòu)成，1個(gè)為正碼CPU，1個(gè)為反碼CPU。2個(gè)CPU獨(dú)立采集狀態(tài)信息，形成正碼、反碼狀態(tài)信息。2個(gè)CPU獨(dú)立收取兩路CAN總線上IL子系統(tǒng)發(fā)出的正碼、反碼信息作為呼叫命令，并對(duì)呼叫命令應(yīng)答正碼、反碼采集狀態(tài)信息。

圖3 輸入輸出子系統(tǒng)的組成和連接

圖4 FIMI子系統(tǒng)輸入通道原理

表1 輸入通道“異或”邏輯真值表

3.2 FIMO子系統(tǒng)

（1）輸出通道采用安全措施，構(gòu)成安全通道，F(xiàn)IMO子系統(tǒng)輸出通道原理見圖5。

①“與”輸出：正碼機(jī)CPU-A和反碼機(jī)CPU-B各自獨(dú)立收到IL子系統(tǒng)主從CPU發(fā)來(lái)的驅(qū)動(dòng)信息，各自形成有效命令后，分別驅(qū)動(dòng)“與”輸出部分的2個(gè)電子開關(guān)，只有2個(gè)電子開關(guān)同時(shí)開通，此路才有輸出。

②輸出反饋：2個(gè)CPU處理器對(duì)“與”輸出部分的2個(gè)電子開關(guān)的狀態(tài)進(jìn)行反饋回讀，如果反饋狀態(tài)與驅(qū)動(dòng)命令比較不一致，則做倒向安全處理。

③快速掃描輸出反饋：2個(gè)智能處理部分對(duì)輸出反饋進(jìn)行快速掃描，及時(shí)發(fā)現(xiàn)安全故障，及時(shí)處理安全故障。

（2）安全電源具有如下安全功能：

①逆變電壓：安全電源以逆變電壓作為輸出驅(qū)動(dòng)電壓，保證系統(tǒng)其他電源混入不會(huì)導(dǎo)致錯(cuò)誤輸出。

②動(dòng)態(tài)鑒相控制：只有正反碼機(jī)向安全電源的2個(gè)控制端提供特定占空比、同頻、反相的兩路驅(qū)動(dòng)脈沖，安全電源才有電壓輸出。

③安全輸出：如果由于某種原因（“與”輸出電路發(fā)生安全性故障或CPU失控等）導(dǎo)致CPU停止或不能向2個(gè)安全控制端提供特定占空比、同頻、反相的驅(qū)動(dòng)脈沖，安全電源在50 ms內(nèi)切斷電壓輸出。

4 可靠性預(yù)計(jì)

4.1 可靠性分配

目前鐵路信號(hào)安全控制系統(tǒng)的平均故障間隔時(shí)間（MTBF）要求為≥106h，根據(jù)這一要求及二乘二取二信號(hào)控制平臺(tái)的系統(tǒng)整體安全性結(jié)構(gòu)和可靠性結(jié)構(gòu)，考慮輸入輸出板的各自64塊最大配置數(shù)量，對(duì)該平臺(tái)進(jìn)行可靠性分配，得出單套IL子系統(tǒng)的MTBF應(yīng)該大于8 760 h，輸入板的FIMI子系統(tǒng)的MTBF應(yīng)該大于110 000 h，輸出板的FIMO子系統(tǒng)的MTBF應(yīng)該大于140 000 h。

圖5 FIMO子系統(tǒng)輸出通道原理

4.2 可靠性預(yù)計(jì)模型

應(yīng)用GJB/Z 299B[4]推薦的應(yīng)力分析法和MILHDBK-217標(biāo)準(zhǔn)[5]，對(duì)各子系統(tǒng)做可靠性預(yù)計(jì)。

各單元模塊元器件的工作失效率預(yù)計(jì)：

式中：πQ為質(zhì)量系數(shù)；πT為溫度系數(shù)；πV為電壓應(yīng)力系數(shù)；πE為環(huán)境系數(shù)；πL為成熟系數(shù)；C1、C2、C3為電路復(fù)雜度及封裝復(fù)雜度。

系統(tǒng)單元模塊元器件及系統(tǒng)組成單元模塊之間相互獨(dú)立，并且為一串聯(lián)模型，則單元模塊和系統(tǒng)可靠度滿足下面公式：

式中：Ri（ti）為第i個(gè)單元模塊或元器件的可靠度。

IL子系統(tǒng)或單元模塊的平均無(wú)故障時(shí)間為：

IL子系統(tǒng)或單元模塊的故障率為：

各單元模塊或元器件均服從指數(shù)分布，則：

利用上述公式及GJB/Z 299B給出的相關(guān)元器件的指標(biāo)值，代入上述公式，得出表2所列單元模塊的失效率。

根據(jù)表2，可得出IL子系統(tǒng)的失效率為：

IL子系統(tǒng)的MTBF為：

FIMI子系統(tǒng)的故障率為8．953 588 e-6/h，MTBF為111 687 h，可靠度為0．999 1；FIMO子系統(tǒng)的故障率為5．495 806 e-6/h，MTBF為181 956．944 h，可靠度為0．999 45。IL子系統(tǒng)、FIMI子系統(tǒng)和FIMO子系統(tǒng)的MTBF均大于可靠性分配的對(duì)應(yīng)指標(biāo)。

5 結(jié)束語(yǔ)

安全性設(shè)計(jì)和可靠性設(shè)計(jì)是決定系統(tǒng)性能的關(guān)鍵環(huán)節(jié)。AT96DDMR信號(hào)安全控制平臺(tái)在設(shè)計(jì)過(guò)程中從安全性設(shè)計(jì)和可靠性設(shè)計(jì)上都經(jīng)過(guò)了周密考慮，設(shè)計(jì)流程及采用的設(shè)計(jì)方法和思路嚴(yán)格遵循國(guó)際相關(guān)標(biāo)準(zhǔn)，其安全完整性等級(jí)達(dá)到SIL4級(jí)，通過(guò)可靠性預(yù)計(jì)，其關(guān)鍵部件的可靠性也滿足行業(yè)要求。由該平臺(tái)集成的TYJL-III型計(jì)算機(jī)聯(lián)鎖系統(tǒng)，目前已在城市軌道交通、大型廠礦專用線車站及國(guó)鐵車站得到廣泛應(yīng)用。

表2 IL子系統(tǒng)各單元模塊的工作失效率

[1] EN 50129：2003 Railway applications-Communication，signalling and processing systems-Safety related electronic systems for signaling[S]．

[2] EN 50128：2011 Railway applications-Communications，signalling and processing systems-Software for railway control and protection systems[S]．

[3] EN 50126：1999 Railway applications-The specification and demonstration of Reliability，Availability，Maintainability and Safety（RAMS）[S]．

[4] GJB/ Z 299B—1998 電子設(shè)備可靠性預(yù)計(jì)手冊(cè)[S]．

[5] MIL-HDBK-217F—1991 美國(guó)軍用電子設(shè)備可靠性預(yù)計(jì)手冊(cè)[S]．

韓安平：中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所，研究員，北京，100081

段武：中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所，研究員，北京，100081

責(zé)任編輯盧敏

U284

167 2-061X（2015）02-0099-04

所獲獎(jiǎng)項(xiàng)：2014年度中國(guó)鐵道科學(xué)研究院科學(xué)技術(shù)獎(jiǎng)一等獎(jiǎng)。