容錯技術在鐵路信號計算機聯鎖全電子模塊設計中的應用

李興宏 龍煤集團雙鴨山分公司

鐵路信號領域屬于涉及安全的領域，所用設備必須具備高安全性和高可靠性，并且具備故障-安全能力，即在設備故障情況下自動引導列車安全運行或停車。現用信號控制系統中執行層電路均采用重力型安全繼電器組合驅動室外設備。重力型安全繼電器在系統故障情況下，依靠重力落下，自動導向安全側。隨著機車運行速度和行車密度的不斷提高，此種制式的控制電路已難以滿足鐵路發展的要求。作為鐵路信號控制系統的發展方向，執行層電路已經向電子化、智能化、網絡化方向邁進。但是，電子器件自身不具備類似重力型安全繼電器所具有的安全屬性，即器件故障后沒有固定的輸出狀態，無法通過器件自身屬性實現故障-安全。隨著安全性理論的不斷完善，通過容錯和避錯手段確保系統運行的安全性和可靠性已成為可能。本文從安全技術的應用角度，論述計算機聯鎖全電子模塊硬件的安全性、可靠性措施。

1 安全技術概述

鐵路信號控制系統當中使用的安全技術主要指避錯技術和容錯技術。避錯技術是通過采用高可靠性的器件、質量控制手段以及環境保護措施，防止和減少故障的發生，并延長系統的使用壽命。但是這種方式不能保證系統絕對的可靠, 因為器件的可靠性是有限度的, 需要使用容錯技術進一步提高系統的可靠性。

容錯即容許錯誤，承認故障是不可避免的事實，從而通過資源冗余的方式消除故障影響。當設備中一個或多個關鍵部分發生故障時，系統通過實時檢測與診斷及時發現故障點，并采取相應的措施，使設備維持其規定功能，或通過犧牲性能的方式保證設備在可接受的范圍內繼續工作。容錯的方法有四種：硬件冗余、軟件冗余、信息冗余和時間冗余。

常規的冗余結構有以下幾種：

（1）安全性冗余結構（見圖1）

圖1 安全性冗余結構圖

（2）可靠性冗余結構（見圖2）

圖2 可靠性冗余結構圖

（3）系統的可靠性與安全性冗余結構（圖3）

圖3 可靠性與安全性冗余結構圖

2 全電子模塊硬件冗錯設計

2.1 全電子模塊電路結構容錯方法

電路分為執行電路、邏輯防護電路和監測電路三大部分。執行電路和監測電路之間按照電氣隔離處理，采用隔離光耦組合編碼交換數據。執行電路整體結構按照“二取二”冗余配置，處理器、電子開關、測量反饋通道均按照安全性冗余結構；在執行電路設置前級條件電源防護繼電器，選用安全型彈力繼電器，用于避免器件共模故障，實現模塊故障時切斷條件電源；設置獨立于執行電路的純硬件邏輯保護單元，實現對處理器健康狀態的實時監控。結構如圖4 所示。

圖4 電路結構圖

按照獨立性原則，電路以單個處理器為核心，通過冗余配置通信通道、電子開關、采集通道和反饋通道，實現了獨立的閉環控制結構。兩個控制環作為功能相同的整體，通過器件串聯的方式構成安全邏輯結構中的邏輯“與”表決器，僅在兩個模塊的輸出一致時，輸出內容有效，確保動作的安全性。

安全設計中需要注意的一個原則：對于單個故障，系統必須及時檢測并強制導向安全側；對復合故障的檢測和恢復，需要滿足系統設計規定的發生概率要求，概率越低越好。

因此，需要最大程度的縮短第一次故障的檢測及導向安全側時間，以減少第二次故障發生的概率。鑒此，對于參加表決的雙套電路來說，需要具備各自的快速故障檢測機制和強制性的安全側導向機制。

2.2 器件容錯方法

電子模塊中用到的電子器件主要有：無源元件、有源元件、模擬集成電路、數字電路和電源。

每種電子器件故障后其表現形式各異，但共同點是其故障狀態不固定，自身不具備固有的故障-安全屬性。因此，對于重要的檢測信息，不能以器件的固定狀態為判據，則應以動態脈沖的形式作為反饋方式，使獨立的硬件原子功能模塊具備故障-安全屬性。必須做到當組成電路功能單元的關鍵器件處于任何故障狀態下時，該功能單元輸出為故障狀態，使整個模塊進行故障-安全轉換。

智能處理器的故障-安全處理主要針對處理器的異常運行工作狀態檢查，以及處理器故障后I/O 腳輸出不確定電平信號等問題的處理。對于運行工作狀態的檢查只能通過看門狗電路進行恢復。但是現有的看門狗芯片故障監測時間過長，因此除了使用看門狗芯片之外，還需要設置第三方獨立的快速故障復位處理功能。

目前在邏輯防護單元中設置了此項功能，實時監控處理器的工作健康狀態，監測到異常后復位執行處理器，并向監測報告該故障。

對于處理器故障后I/O 腳電平輸出不確定的問題，采用動態信號輸出的方法規避故障信號和有效信號的判斷二義性，把有無脈沖作為處理器故障自身固有的安全屬性，無脈沖即可認為是安全側，此時，模塊強制進入安全側。

并非所有的信號輸出均要采用動態脈沖輸出的方法。主要對涉及安全控制以及看門狗監測電路等部分電路功能進行動靜轉換。

圖5 為5 V 電平的動靜轉化電路，將1 kHz 的脈沖信號轉化成5 V 電平輸出。

圖5 5 V 電平信號

2.3 反饋信號容錯方法

處理器對接收到的硬件反饋信號需要進行三個周期的容錯處理，以避免干擾信號造成的誤動作。在直接控制防護繼電器動作的邏輯防護單元內部，對接收到的反饋信號同樣進行硬件反饋信號的防抖動處理，避免干擾信號導致的模塊誤動作，提高可靠性。對于某些緊急故障反饋信號，通過硬件級反饋直接送到邏輯防護單元，先于處理器進行故障-安全處理。

2.4 電流、電壓可信測量容錯方法

模塊中對參與聯鎖判斷的信息測量均采用動態脈沖的判斷形式。旨在解決因電子器件固定輸出時造成的有效信號判斷和故障信號判斷的二義性問題。

全電子模塊的功能實現都基于采集到的電信號，確保所采集或反饋的信號真實可信是最基本也是最重要的前提，從而杜絕了因器件故障造成的狀態誤判斷、誤動作和誤保護，確保安全性和可靠性。

對于可信測量模塊，在選擇器件時需要著重考慮器件在具體應用環境下自身固有的安全屬性。對于電流測量，選擇電流傳感器時，應選擇無源電流互感器。當線路沒有電流時，互感器不會有電信號輸出，因為互感器為電磁感應原理；當線路有電流信號時，除非互感器線圈有斷線情況，否則互感器不可能產生沒有電信號輸出的現象，但互感器斷線情況在電路板調試過程中完全可以排除。當互感器輸出電流信號之后，需要對該信號進行調理和放大，此時應該將電流信號調理成動態脈沖信號，建立電流強度和脈沖之間的變換關系。信號調理電路模塊需要做到在有器件故障的情況下產生固定的電信號輸出，作為故障判斷依據。

對于電壓測量而言，其關鍵采樣器件是采樣電阻。電阻存在斷路、短路、因器件老化和溫度引起的阻值變化問題。對于不同的應用環境，需要針對以上問題采取有效的失效模式分析并提出預防措施。采樣電阻本身不具備固有的安全屬性，在選擇采樣電阻時，應盡量選擇專用的性能良好的采樣電阻。信號調理電路模塊同樣需要做到在有器件故障的情況下產生固定的電信號輸出，作為故障判斷依據。

另外，對于需要確切知道電壓值和電流值的場合，采樣電路除了提供脈沖信號之外，還需要提供AD 值。只有在脈沖信號和AD 值同時有效的情況下，AD采樣值有效，否則視為無效，有必要時強制導向安全側。

可信測量原理圖如圖6 所示。

圖6 可信測量原理圖

3 結論

電子器件自身不具備故障-安全屬性，通過容錯技術的應用，使鐵路信號全電子模塊具備了高安全性，在符合故障-安全的前提下到達了技術升級的目的，有效降低了電務維護人員的工作難度，達到了“傻瓜”式維護的效果。