三取二安全計算機(jī)平臺的同步表決體系

杜　鑫，夏宏斌，張　率，苗文俊，雒新宇

(1.承德石油高等專科學(xué)校 信息中心，河北　承德　067000；2.中國聯(lián)合網(wǎng)絡(luò)通信有限公司 承德市分公司，河北　承德　067000；3.承德石油高等專科學(xué)校 資產(chǎn)與后勤管理處，河北　承德　067000)

?

三取二安全計算機(jī)平臺的同步表決體系

杜鑫1，夏宏斌2，張率1，苗文俊1，雒新宇3

(1.承德石油高等?？茖W(xué)校 信息中心，河北承德067000；2.中國聯(lián)合網(wǎng)絡(luò)通信有限公司 承德市分公司，河北承德067000；3.承德石油高等?？茖W(xué)校 資產(chǎn)與后勤管理處，河北承德067000)

三取二安全計算機(jī)平臺是計算機(jī)聯(lián)鎖、車載控制器和區(qū)域控制器的基礎(chǔ)軟硬件平臺。作為列控設(shè)備的核心硬件平臺，其關(guān)鍵技術(shù)和開發(fā)要素則是重中之重。描述了應(yīng)用于安全計算機(jī)平臺的關(guān)鍵技術(shù)，包括：閉環(huán)動態(tài)輸入檢測技術(shù)、動態(tài)輸出表決技術(shù)、時間同步技術(shù)、PCI共享內(nèi)存互斥訪問技術(shù)，并按照標(biāo)準(zhǔn)方法選取計算參數(shù)，模擬出三取二安全計算機(jī)平臺的可靠度和安全度。通過對比，認(rèn)為從可靠度、安全度參數(shù)上該平臺明顯優(yōu)于雙機(jī)熱備系統(tǒng)，為安全計算機(jī)平臺的系統(tǒng)設(shè)計以及后續(xù)子系統(tǒng)的設(shè)計提供重要的理論依據(jù)。

計算機(jī)聯(lián)鎖；車載控制器；區(qū)域控制器；列車自動運行；信號采集與通信板

計算機(jī)系統(tǒng)在鐵路控制系統(tǒng)中的應(yīng)用日益廣泛和深入。在軌道交通領(lǐng)域，列車自動控制(CBTC)系統(tǒng)是整個軌道交通領(lǐng)域信號系統(tǒng)的發(fā)展方向，而作為CBTC系統(tǒng)核心部件的安全計算機(jī)平臺，在CBTC開發(fā)中起著舉足輕重的作用。突出優(yōu)點是可以實現(xiàn)車——地之間的雙向通信，并且傳輸信息量大，傳輸速度快，很容易實現(xiàn)移動自動閉塞系統(tǒng)，大量減少區(qū)間敷設(shè)電纜，減少一次性投資及減少日常維護(hù)工作，可以大幅度提高區(qū)間通過能力，靈活組織雙向運行和單向連續(xù)發(fā)車，容易適應(yīng)不同車速、不同運量、不同類型牽引的列車運行控制等。

三取二安全計算機(jī)是故障——安全計算機(jī)，即在計算機(jī)運行故障時輸出應(yīng)導(dǎo)向安全。將故障——安全技術(shù)和計算機(jī)技術(shù)結(jié)合起來，構(gòu)成安全計算機(jī)。安全計算機(jī)作為鐵路信號控制系統(tǒng)的核心部件，對于整個列車的安全運行至關(guān)重要[1]。三取二安全計算機(jī)作為通用平臺，既可以應(yīng)用于計算機(jī)聯(lián)鎖(Computer Based Interlocking，CBI)，也可以應(yīng)用于車載控制器(Carborne Controller， CC)，還可以應(yīng)用于區(qū)域控制器(Zone Controller，ZC)，不管安全計算機(jī)應(yīng)用于哪一種產(chǎn)品中，均可以采集和控制外部相關(guān)設(shè)備的狀態(tài)，并通過以太網(wǎng)接入數(shù)據(jù)通信系統(tǒng)(Data Communication System，DCS)和列車自動控制系統(tǒng)(CBTC)中的其他子系統(tǒng)進(jìn)行通信[2]。

1　三取二安全計算機(jī)平臺的總體結(jié)構(gòu)

安全計算機(jī)平臺由三取二主處理單元、通信單元、IO單元和供電單元構(gòu)成,見圖1。三取二原則是：在三機(jī)中，只要任意兩機(jī)輸出一致，就能正常輸出，即任意一機(jī)故障，不會影響系統(tǒng)的運行。三個處理單元之間電氣上相互隔離，通過點對點的通訊方式實現(xiàn)數(shù)據(jù)同步，并進(jìn)行獨立的數(shù)據(jù)運算，當(dāng)且僅當(dāng)三個處理單元中有兩個以上的處理單元表決通過時才向外部系統(tǒng)發(fā)送安全控制相關(guān)的指令。系統(tǒng)通過冗余的通信單元實現(xiàn)與外部系統(tǒng)的通訊。

三取二主處理單元的I機(jī)、II機(jī)、III機(jī)之間采用千兆網(wǎng)絡(luò)組成點對點環(huán)網(wǎng)，進(jìn)行高速數(shù)據(jù)交換，三機(jī)之間實現(xiàn)三取二同步和表決。每機(jī)內(nèi)部架設(shè)一條PCI總線，SAC板、CPU板、ATO板都掛在該總線上，實現(xiàn)多塊板卡之間的共享內(nèi)存數(shù)據(jù)交換方案。系內(nèi)ATO與ATO之間通過以太網(wǎng)和RS422實現(xiàn)兩機(jī)之間的數(shù)據(jù)交換。

2　三取二安全計算機(jī)平臺的關(guān)鍵技術(shù)

2.1閉環(huán)動態(tài)輸入檢測技術(shù)

安全開關(guān)量輸入主要采集外部設(shè)備的繼電器節(jié)點，每個節(jié)點具備兩種狀態(tài)，分別是繼電器吸起狀態(tài)和繼電器落下狀態(tài)。通過輸入板，可采集到外部繼電器節(jié)點的這兩種狀態(tài)。安全開關(guān)量采集硬件模型如圖2所示。

2.2動態(tài)輸出表決技術(shù)

對于安全計算機(jī)平臺的每一路安全輸出，均需要硬件三取二表決，三取二表決電路的執(zhí)行邏輯是：OUT=AB+BC+CA=AB+(A+B)×C。設(shè)計中每一路采用動態(tài)輸出方案，輸出模塊的3個通道分別輸出固定頻率的動態(tài)信號，經(jīng)過DES動靜轉(zhuǎn)換電路將動態(tài)脈沖轉(zhuǎn)換為靜態(tài)電壓輸出，靜態(tài)電壓經(jīng)過“與”“或”邏輯對外輸出。動靜轉(zhuǎn)換電路具有以下特征：沒有動態(tài)脈沖時動靜轉(zhuǎn)換電路對外輸出電壓為0V，動靜轉(zhuǎn)換電路內(nèi)部任何一個元器件故障時動靜轉(zhuǎn)換電路對外輸出電壓為0V。

2.3時間同步技術(shù)

時間同步算法是指用于CPU板與CPU板進(jìn)行時間同步的算法，CPU板之間的時間同步工作在的點對點以太網(wǎng)通信之上，可以采用NTP協(xié)議或自定義的簡化協(xié)議。NTP協(xié)議(Network Time Protocol)是一種基于網(wǎng)絡(luò)的計算機(jī)系統(tǒng)之間的時間同步協(xié)議，它廣泛用于Internet的計算機(jī)時間同步。在Internet中，數(shù)據(jù)包交換的延遲時間是可變的，NTP協(xié)議通過建立一個jitter buffer來計算去除可變延遲的影響[3]。

2.4PCI共享內(nèi)存互斥訪問技術(shù)

PCI共享內(nèi)存互斥算法是指CPU、ATO、SAC板卡之間的PCI共享內(nèi)存所采用的互斥算法，用來保證不會因為多塊板卡同時訪問而破壞數(shù)據(jù)的有效性和一致性，采用面包店算法[4-5]。讀寫完成后，根據(jù)面包店算法修改對應(yīng)的面包店數(shù)據(jù)區(qū)中的元素，然后釋放保護(hù)讀寫接口的本地互斥量。

3　性能比較

根據(jù)系統(tǒng)的狀態(tài)圖(見圖3)，狀態(tài)0、1、2、3為可靠工作狀態(tài)，狀態(tài)5為危險狀態(tài)。為了使計算結(jié)果具有普遍意義，各參數(shù)選取如下：計算機(jī)故障率λ=1×10 h，維修率μ=0．1，故障覆蓋率c=0.9，安全失效比例因子α=0.2。雙機(jī)熱備系統(tǒng)β=0.075；二乘二取二系統(tǒng)，2個單元共因失效β2=0.075，3個單元共因失效 β3=0.025。由此計算出兩系統(tǒng)的可靠度和安全度比較曲線如圖4所示，雙機(jī)熱備系統(tǒng)的MTTF為3.5361×10 h，二乘二取二系統(tǒng)的MTTF為2.42.1×10 h，單機(jī)系統(tǒng)的MTTF為1/A =1×10 h。

4　結(jié)束語

本文以系統(tǒng)設(shè)計的角度闡述基于3取2冗余技術(shù)的安全計算機(jī)平臺的四大關(guān)鍵技術(shù)，分別用于采集、輸出、表決、通訊。在軌道交通領(lǐng)域，將故障——安全技術(shù)和計算機(jī)技術(shù)結(jié)合起來，構(gòu)成安全計算機(jī)。安全計算機(jī)作為鐵路信號控制系統(tǒng)的核心部件，對于整個列車的安全運行至關(guān)重要。列車自動控制(CBTC)系統(tǒng)是整個軌道交通領(lǐng)域信號系統(tǒng)的發(fā)展方向，而作為CBTC系統(tǒng)核心部件的安全計算機(jī)平臺，在CBTC開發(fā)中起著舉足輕重的作用，本文所列的四大關(guān)鍵技術(shù)更是安全計算機(jī)平臺的核心。

[1]王瑞峰,劉濤,李瀅.區(qū)域計算機(jī)聯(lián)鎖系統(tǒng)站間安全通信協(xié)議的設(shè)計與分析[J].鐵道學(xué)報，2015(3):59-63.

[2]馬小玲,張友鵬,杜求茂,等.計算機(jī)聯(lián)鎖系統(tǒng)的可靠性和安全性比較[J].鐵路計算機(jī)應(yīng)用，2009(6):46-49.

[3]Oklander B, Sidi M. Jitter Buffer Analysis[J]. Journal of Medicinal Chemistry, 2008, 50(23):1-6.

[4]劉培寧,楊玉華,李連云,等.基于PCI總線的共享內(nèi)存底板網(wǎng)絡(luò)[J].計算機(jī)工程，2006(6):246-247.

[5]陳勇,許芳,袁春,等.cPCI架構(gòu)共享內(nèi)存通信平臺機(jī)制的實現(xiàn)[J].計算機(jī)工程，2008(5):271-273.

Secure Computer Platform Based on 3-vote-2 Fault-Tolerant

DU Xin1, XIA Hong-bin2, ZHANG Shuai1, MIAO Wen-jun1, LUO Xin-yu3

(1.Information Center, Chengde Petroleum College, Chengde 067000, Hebei, China；2.China United Network Communications Corp. Chengde branch, Chengde 067000, Hebei, China；3.Assets and Logistics Administration Section, Chengde Petroleum College, Chengde 067000, Hebei, China)

The secure computer platform based on 3-vote-2 fault-tolerant is the basic software and hardware platform of computer based interlocking, carborne controller and zone controller. As the kernel of the automatic train control, the key technology of the computer platform based on 3-vote-2 fault-tolerant is the most important. The paper describes the key technologies applied to the computer platform, including the closed-loop dynamic testing, dynamic output voting, time synchronization and PCI shared memory mutual exclusion access. This paper provides some important theoretical basis for the design of the secure computer platform and sub systems.

computer based interlocking; carborne controller; zone controller; automatic train operation; signal acquisition and communication board

2016-03-30

杜鑫(1983-)，男，河北承德人，承德石油高等專科學(xué)校信息中心講師，碩士，主要從事嵌入式系統(tǒng)、冗余熱備技術(shù)、信號處理與模式識別的研究。

TP391

A

1008-9446(2016)04-0052-04