計算機(jī)聯(lián)鎖系統(tǒng)安全可靠性設(shè)計淺析

為此在計算機(jī)聯(lián)鎖系統(tǒng)中，信號、道岔、軌道電路等監(jiān)控對象的狀態(tài)信息依然是用安全型繼電器的接點(diǎn)狀態(tài)來反映的，輸人接口的任務(wù)就是將這種電平形式的二值邏輯數(shù)據(jù)安全地采集到聯(lián)鎖機(jī)中來。

2．4 其他方面的安全可靠性分析

考慮計算機(jī)聯(lián)鎖系統(tǒng)硬件設(shè)備的其他方面的安全可靠性，對包括電源、計算機(jī)、數(shù)據(jù)通訊線路、輸人輸出接口、機(jī)架結(jié)構(gòu)及地線設(shè)置等方面采取了電磁兼容設(shè)計和防雷設(shè)計，以保證在規(guī)定等級的運(yùn)用環(huán)境中，設(shè)備必須正常工作，不產(chǎn)生任何指標(biāo)下降和功能上非期望值的偏差。

3 軟件系統(tǒng)的安全可靠性分析

在計算機(jī)聯(lián)鎖控制系統(tǒng)里，各種復(fù)雜的功能主要依靠軟件來實(shí)現(xiàn)。嵌入在安全控制系統(tǒng)中的軟件，不僅要能完整地實(shí)現(xiàn)系統(tǒng)的控制功能，還要能保證實(shí)現(xiàn)系統(tǒng)在發(fā)生意外時的安全防護(hù)即故障—一安全功能。

一般在汁算機(jī)聯(lián)鎖控制系統(tǒng)中，普遍采用以下軟件技術(shù)來提高系統(tǒng)的安全可靠性：

(1)采用信息編碼技術(shù)，以便出錯時能被及時識別。例如，對于涉及行車安全的邏輯變量，用多元代碼來表示安全變量的兩個值—一安全側(cè)值和危險側(cè)值。這樣，當(dāng)代碼在存儲或傳輸過程中，由于存儲器硬件故障或者外界干擾而發(fā)生畸變，一旦錯成非法碼時，就可由軟件自動檢出并導(dǎo)向安全側(cè)。

(2)采用軟件冗余技術(shù)，保證軟件運(yùn)行的安全性。

(3)采用軟件檢測技術(shù)及時發(fā)現(xiàn)故障，以進(jìn)一步采取措施防止危險側(cè)信息的發(fā)生和輸出。

(4)利用軟件對輸人數(shù)據(jù)的合理性進(jìn)行檢查，劉輸出的控制信息進(jìn)行反饋重復(fù)檢查等等。

圖1 計算機(jī)聯(lián)鎖系統(tǒng)數(shù)據(jù)處理模型框圖

圖1是一個從安全角度去考慮的計算機(jī)聯(lián)鎖系統(tǒng)的框圖，實(shí)際上也是計算機(jī)聯(lián)鎖系統(tǒng)的一個安全性模型，只是僅從保障安全的角度把計算機(jī)聯(lián)鎖系統(tǒng)描述成為一個典型的數(shù)據(jù)處理系統(tǒng)。對于計算機(jī)聯(lián)鎖系統(tǒng)來說，保障安全就是保障框圖中的數(shù)據(jù)流和控制流這兩種信息處理的安全；退一步講，即便信息處理發(fā)生錯誤也不會導(dǎo)致危險的后果。。

聯(lián)鎖機(jī)和外部設(shè)備的輸入/輸出信息具有兩種特性，—是開關(guān)性；二是安全性。外部設(shè)備向聯(lián)鎖機(jī)提供的輸入信息具有開關(guān)性。同樣，聯(lián)鎖機(jī)的輸出信息也具有開關(guān)性，這種開關(guān)性可由表示兩個狀態(tài)的器件如繼電器來反映。輸入/輸出信息的安全性是根據(jù)信息與行車安全的關(guān)系來界定的。一類是與安全無關(guān)的信息，稱作非安全信息；另一類是與安全有關(guān)的信息，稱作安全信息。

聯(lián)鎖機(jī)和監(jiān)控對象之間交換的信息屬于安全信息，因此必須考慮當(dāng)輸凡輸出通道發(fā)生故障時，一定要確保傳送信息的安全。為此，在通道設(shè)計上必須采用安全輸凡輸出接口。在CPU與輸入和輸出模塊間采用專用總線以保證傳送的正確性，對輸入電路采用光電隔離電路讀取。輸入值，以檢測“粘連”狀態(tài)，對各個輸出信號在提供給繼電器前進(jìn)行表決，不致因輸出模塊本身的故障而影響信息安全。一般在具體的系統(tǒng)設(shè)計中，可采取如下措施：

(1)安全信息的輸入：在計算機(jī)輸出每種信號設(shè)備狀態(tài)碼的第一位后，待輸出電平穩(wěn)定(如20ms)，再將每種信號設(shè)備狀態(tài)碼的第一位讀入儲存，并立即輸出第二位代碼；讀入全部代碼后，經(jīng)計算機(jī)整理后再傳給每個對象的存儲模塊。

(2)安全信息的存儲與更新：計算機(jī)聯(lián)鎖中監(jiān)視現(xiàn)場設(shè)備狀態(tài)的存儲單元，在宏觀上必須與被監(jiān)視的對象建立不斷的聯(lián)系，當(dāng)聯(lián)系中斷時，系統(tǒng)必須立即倒向安全。

(3)安全信息的運(yùn)算：聯(lián)鎖條件滿足時，程序的走向和運(yùn)算結(jié)果都是預(yù)知的。為了提高安全性和防止漏檢查聯(lián)鎖條件，在每次判斷條件成立后，將該條代碼進(jìn)行按位累加，聯(lián)鎖關(guān)系全部檢查正確時，其累加值應(yīng)與預(yù)期結(jié)果相符。

(4)安全信息的輸出：計算機(jī)的開關(guān)量的輸出是非故障安全的。為了保證安全，可對輸出環(huán)節(jié)進(jìn)行連續(xù)的監(jiān)視，如出現(xiàn)不應(yīng)有的危險側(cè)輸出，應(yīng)快速地在現(xiàn)場設(shè)備未動作前予以切斷。

(5)安全信息在計算機(jī)間的傳遞：為了符合信號系統(tǒng)的傳統(tǒng)做法，遵循故障安全的要求，在計算機(jī)聯(lián)鎖的設(shè)計時，應(yīng)采用點(diǎn)對點(diǎn)的循環(huán)傳送方法，而不采用變化檢出、一次傳送的方法。

計算機(jī)聯(lián)鎖的串行數(shù)據(jù)在傳輸過程中，由于干擾而引起誤碼是難免的，在檢查數(shù)據(jù)位和冗余位之間的關(guān)系是否正確時，應(yīng)著重防止在傳輸中錯誤地出現(xiàn)危險側(cè)代碼。為了確保信息傳輸?shù)陌踩煽浚环矫婵梢圆捎萌哂喽刃　z錯能力高的循環(huán)碼(CRC)作為檢錯碼；另一方面就是在軟件編程時對傳輸?shù)男畔⑦M(jìn)行特殊編碼，并以反饋重發(fā)方式糾錯。

根據(jù)編碼理論，利用n位二值碼元可生成一個具有2”種伏態(tài)的碼字或代碼的集合。在這2”種狀態(tài)的代碼組合當(dāng)中，僅取一種狀態(tài)代表危險側(cè)碼字(例如用危險側(cè)碼字10101 010代表對應(yīng)繼電器吸起)，再取另一種狀態(tài)代表安全側(cè)碼字(例如用安全側(cè)碼字01 010101代表對應(yīng)繼電器落下)，其余的均認(rèn)為是非法碼字，則這種代碼便具有典型的故障—一安全特性。由于非法碼字在正常的聯(lián)鎖運(yùn)算時也被認(rèn)做安全側(cè)碼字，故而該編碼組合僅有1種碼字對應(yīng)危險側(cè)，其余2“—1種狀態(tài)均對應(yīng)安全側(cè)。但在實(shí)際的運(yùn)行中要真正能做到故障導(dǎo)向安全，還需對軟件編程的安全編碼進(jìn)行科學(xué)的分析和認(rèn)真的考慮。

我們認(rèn)為編碼中各個碼元發(fā)生差錯的概率是相同的且不同碼元發(fā)生差錯的事件是獨(dú)立的。假定每一碼元發(fā)生差錯的概率是，則無差錯的概率即為1—p，此時整個代碼均無差錯的概率為(1—p)“。當(dāng)選用編碼組合中碼距最大的一對代碼，即碼距等于n的—對代碼分別作為代表危險側(cè)和安全側(cè)的有效碼時，安全側(cè)代碼因故畸變成危險側(cè)代碼的條件是n個碼元同時出錯，其出錯概率為曠；而安全側(cè)代碼出錯變?yōu)榱硗庖粋€代碼的概率則為1—(1—p)，顯然這兩個概率有著明顯的數(shù)量的不同，這就造成了編碼在故障或受到干擾情況下邏輯出錯的不對稱性，假定2“種編碼中任一個發(fā)生畸變、出錯變?yōu)榱硗馊我粋€代碼的概率相同，均為P(c)；此時，因危險側(cè)代碼只有—個，某一代碼錯為該代碼的概率即為戶(c)以上數(shù)值與目前國內(nèi)外廣泛使用的信號安全型繼電器的不對稱指數(shù)相比顯然是可以認(rèn)可的；同時n取為16，恰好是計算機(jī)內(nèi)存字節(jié)的整數(shù)，便于進(jìn)行軟件編程。根據(jù)鐵道部《計算機(jī)聯(lián)鎖技術(shù)條件》標(biāo)準(zhǔn)，與行車安全有關(guān)的信息在計算機(jī)內(nèi)必須以空間冗余的方式存儲，在自由狀態(tài)下其非法碼字和合法碼字出現(xiàn)的比率或非安全側(cè)碼字和安全側(cè)碼字出現(xiàn)的比率必須大于255：1，上述規(guī)定中所謂空間冗余即意味著必須用多余的信息位表示單一比特的信息，采用不對稱碼元的方法表示涉安信息即為空間冗余方法之一。