鐵路信號分布式計算機聯(lián)鎖系統(tǒng)道岔控制模塊安全性分析

張亦秋

（哈爾濱鐵道職業(yè)技術學院，黑龍江 哈爾濱 150060）

分布式計算機連鎖系統(tǒng)具有信息處理效率快、數(shù)據同步效果好、性價比高等一系列優(yōu)勢，在鐵路信號系統(tǒng)中應用十分廣泛。安全可靠性是評價分布式計算機連鎖系統(tǒng)性能的核心指標，選擇該系統(tǒng)中的道岔控制模塊開展安全性分析，在此基礎上應用避錯與容錯技術、故障-安全技術，分別從系統(tǒng)的硬件、軟件方面采取相應的優(yōu)化設計措施，進一步提高道岔控制模塊在識別風險、快速動作、保障安全等方面的價值，確保分布式計算機連鎖系統(tǒng)的穩(wěn)定運行。

1 道岔控制模塊安全需求分析

1.1 故障樹分析

故障樹分析是一種常用的安全性分析方法，其原理是在危險源與危險事件之間建立映射關系，從而判斷某種故障可能給系統(tǒng)造成最嚴重危害的概率。根據分析方法的不同，又可分為定性分析與定量分析2種，前者是對故障的識別與分析，通過識別所有潛在的故障，找出造成故障的最小割集，從而建立起故障樹。后者是對故障樹做量化處理，可分為2個步驟：第一步是參考相關標準，計算底事件的故障概率；第二步是根據上、下級事件的邏輯關系，求得頂事件的故障概率。假設某故障樹存在k個最小割集，并且其結構函數(shù)分別為Φ1{X}，Φ2{X}……Φk{X}，故障概率為x1，x2……xk。假設故障樹頂事件的結構函數(shù)Φs{X}存在以下關系：

則頂事件的故障概率Xs可由下式計算得出：

1.2 安全完整性等級

安全完整性等級（SIL）是采取定量方法描述系統(tǒng)某個功能的允許危險率。共分成0-4五個等級，其中等級0表示無安全需求，等級4表示安全要求最高。每個安全完整性等級對應的危險失效概率見表1。

表1 安全完整性等級表

2 道岔控制模塊的硬件設計

2.1 道岔控制模塊硬件組成

該模塊的硬件部分由道岔控制主回路、微處理器及其控制回路等組成。其中，表示信號采集電路的功能是獲取道岔定位、反位等狀態(tài)信息；道岔控制主回路用于傳遞、執(zhí)行道岔定操、反操指令；驅動電路在處理器A和B輸出相同指令后，完成動作并通電使繼電器運行；電流檢測電路用于實時檢測控制主回路中的電流；故障監(jiān)測電路則用于監(jiān)測驅動電路、控制主回路的運行狀態(tài)，在故障發(fā)生后進行報警。

2.2 道岔控制主回路設計

2.2.1 固態(tài)繼電器

固態(tài)繼電器是道岔控制主回路的核心設備，用于控制主回路的開斷。根據負載電源的不同，又可以分成直流、交流2種類型。除了控制電路的開斷外，固態(tài)繼電器還能發(fā)揮過載保護、過熱保護等功能。由于采用無觸點電子開關，因此在實際應用中具有靈敏性好、控制功率小等特點，對進一步提高道岔控制主回路的響應速率和保證控制指令的精準動作起到了積極作用。本次設計中選擇工作電壓為220 V、工作頻率為50 Hz的直流型固態(tài)繼電器。

2.2.2 安全型板載彈力式繼電器

安全型板載彈力式繼電器的輸入控制端為2臺同型號的繼電器。在繼電器的輸出端共同連接一組常斷型開關，根據輸入信號的不同，控制開關作出相應的動作。當2臺繼電器輸入信號分別為0，0、0，1、1，0三種情況時，常斷型開關均維持在斷開狀態(tài)，此時整條線路不通電；當2臺繼電器輸入信號均為1，1時，常斷型開關閉合，起到了保障電路安全的效果。

2.2.3 道岔動作電路設計

動作電路由兩部分構成，分別是控制主回路和電流檢測電路。道岔控制主回路的硬件布置如圖1所示。

圖1 道岔控制主回路的硬件布置圖

如圖1所示，道岔控制主回路中選擇了DCJ、FCJ等多個繼電器控制整個回路的開斷，提高了終端控制的靈活性。為避免電源輸出功率不一致而導致狀態(tài)檢測、電流檢測不準確等問題，在硬件設置上只選擇1臺AC220V驅動電源。輸出的直流電首先分別經過D1和D2兩個整流橋，經整流后連接定位操縱（DCJ）和反位操縱（FCJ）繼電器?；诎踩钥紤]，道岔控制主回路中的DCJ、FCJ、HCJ均選擇安全型板載彈力式繼電器。

2.2.4 安全監(jiān)督電路

由于道岔動作電路中包含了較多的電器元件，每一個元件發(fā)生故障都有可能導致電路出現(xiàn)誤動或拒動，進而影響道岔控制模塊的安全性。因此，為保證道岔動作電路的運行可靠性，必須要設置安全監(jiān)督電路，其作用是對控制主回路、動作電路中的繼電器運行工況進行實時監(jiān)督。如果繼電器有異常動作，可以做到同步報警，并暫時將發(fā)生故障的繼電器從電路中隔離，保證其他并聯(lián)的繼電器正常動作、不受影響。如上文所述，道岔控制主回路中使用到的繼電器有2種類型，因此在設計安全監(jiān)督電路時，也要針對每一種繼電器分別設計檢測監(jiān)督電路。以固態(tài)繼電器監(jiān)督電路為例，電路檢測原理如圖2所示。

圖2 固態(tài)繼電器檢測電路圖

結合圖2可知，固態(tài)繼電器為常開型繼電器，當接收到閉合指令時，BHJ將R1和R2吸起，對220 V分壓。此時光耦元件的輸入端連通，電壓信息轉化為TTL電平并輸入到微處理器中，正常情況下微處理器可同步接收到動態(tài)脈沖信號。如果未接受到脈沖信號，或者脈沖信號與正常值不符，則說明BHJ出現(xiàn)異常工況，立即進行報警。

2.3 微控制器選型及其電路設計

微控制器是道岔控制模塊的核心器件，除了要考慮安全性外，還要兼顧經濟性和實用性。AT90 CAN128芯片是一種低功耗、高處理效率、具有豐富外設接口的單片機，本文將其作為道岔控制系統(tǒng)的微控制器。芯片容量方面，具有128 kB的閃存、16 kB的靜態(tài)存儲空間和128 kB的外部存儲空間。以微處理器為核心，設計處理器控制電路，電路圖如圖3所示。

圖3 微處理器控制電路示意圖

該控制電路使用2臺冗余電源為整個控制系統(tǒng)供電，配套使用冗余MCU負責指令的接收與傳達。設置冗余電源的目的是避免微控制器在正常工作過程中出現(xiàn)斷電故障，導致道岔控制系統(tǒng)失控。這樣當一臺電源因故障停止供電后，可切換至冗余電源繼續(xù)保持供電。每一條動態(tài)輸出電路的輸入端，均連接1臺MCU。如果MCUA和MCUB傳達的指令不同，則動態(tài)輸出電路不動作，呈斷開狀態(tài)。只有2臺MCU傳達相同指令時，動態(tài)輸出電路閉合，作出相應動作。這樣就避免了道岔控制出現(xiàn)誤動作，從而提高了微處理器控制電路的安全性。

2.4 雙系熱備切換電路

為了進一步增強道岔控制系統(tǒng)的安全性、可靠性，除了在微控制器電路中采用了冗余電源外，其他模塊也分別使用了雙模塊熱備結構。如圖4所示，模塊A與模塊B均有4條輸出線，依次連接到切換模塊QHB中。QHB中包含4個動態(tài)繼電器，每臺動態(tài)繼電器分別對應模塊A與模塊B的1條輸出線路。動態(tài)繼電器吸起時與模塊A的輸出線路連接，落下時與模塊B的輸出線路連接。假設模塊A為道岔控制系統(tǒng)的常備模塊，系統(tǒng)正常運行是QHB中的動態(tài)繼電器保持吸起狀態(tài)。若模塊A發(fā)生故障，或者因為其他原因導致無法輸出正常的動態(tài)脈沖信號，此時QHB中的動態(tài)繼電器自動落下，隨機切換至模塊B，從而實現(xiàn)了主備切換。

圖4 熱備切換原理圖

3 道岔控制模塊的軟件設計

3.1 設備初始化模塊

通電之后，自動對MCU、CAN通信通道、繼電器、檢測電路等進行自檢。如無異常情況，執(zhí)行下一程序；如發(fā)現(xiàn)故障，則自動報錯，待故障排除后重新啟動自檢程序，直到不存在異常情況。自檢結束后即完成設備初始化設置。在初始化模塊設計中，編寫初始化程序是關鍵內容，該程序中主要涉及MCU自檢、CAN通信通道自檢、地址碼和異步串口自檢等項目。以MCU自檢為例，其流程圖如圖5所示。

圖5 MCU自檢流程圖

如圖5所示，MCU自檢的基本原理是利用特定的檢測程序，依次對使用到的運算符、數(shù)據區(qū)進行檢測。每完成1項檢測后，執(zhí)行1次判斷。如果自檢正常，則順利執(zhí)行下一步驟。如果自檢發(fā)現(xiàn)錯誤，則記錄該故障并且故障次數(shù)加1。若故障次數(shù)在3次及以下，則認定為“偶然故障”，需要返回程序開頭重新檢測。當累計故障次數(shù)大于3，或者全部自檢正常后，結束MCU自檢程序。

3.2 同步信息處理模塊

采用雙微控制器同時執(zhí)行定操、反操命令，是提高道岔控制模塊安全性、可靠性的關鍵。為了保證定操、反操命令輸出步調的一致性，在軟件設計中增加了同步信息處理模塊。可自定義最大的同步延遲時間（如1 s），如果在1 s以內檢測到對方的輸出信號，則認為握手成功；如果超過1 s仍然不能完成同步握手，則判斷為系統(tǒng)故障，進行報警。同步信息處理模塊由2個子模塊構成，即同步信息的發(fā)送模塊和接收模塊。以信息接收模塊為例，具體流程如圖6所示。

圖6 同步信息接收流程圖

結合圖6可知，當同步信息處理模塊運作時，首先由微控制器進行同步數(shù)據的讀取。數(shù)據準備完畢后，執(zhí)行一個是否接受操作指令的判斷程序。如果接收到幀頭0xfb時，置數(shù)組長度計數(shù)器為0。之后所有接收到的數(shù)據，均保存到該數(shù)據組中，同時數(shù)據組中每增加1個新的數(shù)據，計數(shù)器加1。當長度計數(shù)器累加到數(shù)組長度后，此時接收到的數(shù)據是幀尾0xfc，置同步接收成功標志，否則置同步接收失敗標志。

3.3 CAN通信處理模塊

為保證主機下發(fā)的各項操控指令能夠順利、準確傳達至道岔控制系統(tǒng)，以及保證道岔控制系統(tǒng)的執(zhí)行信息及時反饋給主機，必須要在主機與道岔控制模塊之間建立起穩(wěn)定的通信通道?；贑AN控制器建立的通信處理模塊，在完成MCU初始化和CAN控制器初始化后，以10 ms/次的頻率刷新，判斷有無需要接收的新數(shù)據。如果有數(shù)據接收，則調用相應程序。以同樣的方法判斷有無需要發(fā)送的數(shù)據，如果有數(shù)據發(fā)送，則調用相應程序。接收與發(fā)送程序并行，以保證雙端通信的正常進行。

4 道岔控制模塊安全性分析

開展道岔控制模塊安全性分析時，可以選擇的判斷指標有元器件失效率、動作電路與表示電路安全性等?，F(xiàn)選擇“動作電路安全性”指標對道岔控制模塊動作功能故障展開分析。采用前文介紹的故障樹分析法，構建四線制道岔模塊動作電路故障樹，如圖7所示。經計算，實際分析值明顯小于標準值，故本文設計的道岔控制模塊安全性滿足要求。

圖7 四線制道岔模塊動作電路故障樹

5 結束語

保證道岔控制模塊的安全性與可靠性，對發(fā)揮分布式計算機連鎖系統(tǒng)的應用優(yōu)勢有積極幫助?；诠收蠘浞治龇ǎ约敖Y合“故障-安全”設計原理，選擇固態(tài)繼電器、微控制器、道岔動作電路等硬件設備，以及設備初始化和同步信息處理等模塊的設計，進一步提高道岔控制系統(tǒng)的安全性，使元器件基本失效率頂事件故障發(fā)生率等安全性指標均控制在要求方位以內，切實保障道岔控制模塊的應用安全。