計算機聯鎖系統安全可靠性設計淺析

摘要】從計算機聯鎖系統在鐵路交通應用中的基本組成和基本功能著手，根據影響計算機聯鎖系統安全可靠性的一些關鍵因素，分析了在研制開發計算機聯鎖系統設備過程中所采用的改善和提高安全可靠性的幾種方法。

【關鍵詞】計算機聯鎖系統 安全可靠性 硬件 軟件

1 概述

計算機聯鎖系統的安全可靠性是研究、開發、生產計算機聯鎖設備必須遵循的永恒的主題，也是驗證計算機聯鎖系統性能的主要依據。計算機聯鎖設備是一種連續工作的實時系統，它必須具有極高的安全性和可靠性才能適應鐵路運輸和城市軌道交通高效和安全的運營要求。

其實汁算機聯鎖系統的安全性是指聯鎖設備在運行過程中無論發生什么故障都不能產生有可能危及列車安全運行的危險因素，一般著重于在不正常的情況下使系統導向安全，防止產生危險后果；而可靠性是指聯鎖設備在規定的時間和規定的條件下完成規定功能的能力，一般側重于防止或減少系統發生故障。顯然，安全性的實現是以可靠性為基礎，并在提高可靠性的前提下完成的。為了系統地分析問題，我們將把計算機聯鎖系統的安全性和可靠性結合在一起考慮，并著重從系統的硬件設計、軟件設計和數據傳輸及處理等幾個方面采取各種綜合技術措施，使計算機聯鎖系統符合故障—一安全的原則。

2 硬件部分的安全可靠性分析

根據計算機聯鎖系統的結構組成和功能特點，硬件部分的安全可靠性技術從計算機聯鎖系統的上位機、聯鎖機和接口電路三個部分進行分析。

2．1上位機安全可靠性分析

上位機主要功能是向聯鎖機構輸入操作信息，接受聯鎖機構輸出的反映設備工作狀態和行車作業情況的表示信息。為此上位機可采用經國際安全機構認證的高可靠工業控制計算機，摒棄原商用機所采用的大母板結構，把原來的大底版(系統板)功能集中在一塊ALL--IN--ONE插卡上，底板變成無源總線母板，增加了插槽數，便于系統的升級擴展。

采用的機箱結構具有良好的散熱、隔熱、防潮、防塵性能，驅動器架采取避震措施，使整個機箱具有可靠的機械強度和很好的抗電磁干擾的能力；采用不問斷供電及凈化的專用開關電源，抗共模干擾，具有浪涌保護、過載保護、漏電保護的功能，單機設備的平均無故障工作時間可達到100000h。

計算機聯鎖系統的維修機和上位機的配置是一致的，平常可作為上位機的熱備機，在系統故障時能夠進行自動無擾切換，切換過程不影響現場設備狀態，提高設備可靠性。

上位機的人機接口界面的設計使用先進的工業控制軟件，使得系統的監控不僅具有友好的人機交互界面，而且具有豐富的圖形畫面顯示及圖形操作功能，調圖方式靈活，修改參數方便。在設計中，根據鐵路交通和城市軌道交通信號計算機聯鎖的特點，可以靈活運用登錄口令、操作員權限、安全設定點、設定點口令、安全審計跟蹤記錄等安全特性，確保聯鎖系統執行操作的安全可靠。

2．2聯鎖機安全可靠性分析

聯鎖機是信號控制系統的核心。在設計中，可選用國際安全機構認證的硬件三重冗余計算機聯鎖系統，用于實現聯鎖數據處理過程的故障—安全。所謂三重化冗余系統是指系統共有A、B、c三個相同的主機，每個主機可以把它看成系統中的一個模塊。三個模塊同時執行一致的操作，其輸出送到“表決器”的輸入端，然后把表決器的輸出作為系統的輸出。結果經輸出設備三取二表決后進行輸出，可以保證輸出的安全性。當其中一個聯鎖處理單元聯鎖邏輯單元故障時，系統能夠轉換為二取二工作方式，在不降低安全陛的前提下，使整體系統的可靠性得到提高。

采用三取二表決系統原本是為了提高系統的可靠性而采取的一種冗余系統。然而從安全性角度來看，若有兩個主機發生了同樣的故障，即共模故障，系統將輸出錯誤信息，經接口驅動后，有可能危及行車的安全。因此，必須消除軟硬件的設計錯誤，當主機的設計完全正確無誤時，僅由硬件失效和干擾而產生的共模故障的發生概率就很小。為了進—步降低未檢出故障的組合而產生共模故障的可能性，可利用單機自檢技術、主機間互檢技術和雙套不同的軟件，擴大故障檢測范圍，消除因干擾而引起的影響。

為了保證三重化冗余系統能夠通過多數一致表決得到正確的結果和發現出錯的模塊，這就要求三臺微機必須同步工作。否則，整個系統便會出現紊亂狀態，多數一致表決無法進行，系統無法保證正常可靠的工作。

計算機聯鎖系統為保證安全可靠而采取的主要措施是：全面的在線自診斷和專門的安全檢查程序。這就要求系統在規定的周期內對計算機的運算器、存儲器、接口等元器件用一系列自診斷程序進行全面自診，而安全檢查程序則對聯鎖程序任務模塊的運行狀態進行監視，對關鍵信息代碼的合法性進行檢查。在自診斷和專門的安全檢查中一旦發現故障，立即切斷計算機的輸出(同時報警)。在設計中必須采取有效的措施來確保：

(1)檢測過程本身應具有安全性，或采用相應硬件及軟件措施來實現安全性；

(2)檢測要要有足夠的頻率，使類似或等同故障在二次檢測之間不會發生；

(3)檢測要足夠靈敏，能夠測出每個安全單元之中的重要故障；

(4)檢測失敗時應及時產生安全保護動作；

(5)冗余裝置要足夠獨立，使之不受其他故障的影響。

例如在具體實施中，使輸出控制單元經過表決后輸出，所有輸出進行反饋檢查閉環控制；在輸出執行環節采用條件電源供電方法，當用實時檢測或實時比較技術發現聯鎖微機內部故障時，即使產生危險側的錯誤控制命令，通過強制切斷執行環節的條件電源，減少錯誤的控制命令輸出。

采用光電隔離技術，接點輸入電路要經過光電耦合后力節目接至接口電路輸入輸出模塊，有效的抑制接點輸入電路的電磁干擾；采用靜態輸入或動態輸入方式，以便有效的實現故障—安全原則。

在輸出接口的設計中，采用代碼—動靜態和動靜態—電平兩級變換電路；采用不間斷供電及凈化的專用電源，電源模塊內部設有雙重化電壓調整器及自診斷電路，可檢測電壓的輸出范圍與是否超溫并給出相應報警。

2．3 接口電路安全可靠性分析

由于一般繼電電路采用的重力式安全繼電器具有很高的安全性，在我國鐵路中運用了幾十年，為此計算機聯鎖系統的接口電路仍然以安全繼電器作為計算機聯鎖機構與室外設備控制電路的接口。我們知道安全繼電器通過以下技術實現故障—一安全：電氣接點采用特殊材料制作，使接點粘連的可能極小；采用吹弧技術，消除接點拉弧造成熔接；采用重力式設計原理，在繼電器故障時，利用其重力使銜鐵復位，從而保證實現系統的故障——安全的目的。