淺談如何改善和提高計算機聯鎖系統的可靠性

張俊亭

摘 要：計算機聯鎖系統是應用在鐵路信號控制領域，直接控制車站的道岔、信號機與軌道區段，并且實現三者之間的聯鎖關系，用以保障行車安全和提高運輸效率的控制系統，要求具有極高的安全性和可靠性。本文從計算機聯鎖系統在鐵路交通應用中的基本組成和基本功能著手，根據影響計算機聯鎖系統安全可靠性的一些關鍵因素，分析了在計算機聯鎖系統設備在工程設計中所采用的改善和提高安全可靠性的幾種方法，從而提高鐵路交通系統的運用質量。

關鍵詞：計算機聯鎖系統 安全可靠性 硬件 軟件

1、概述

隨著我國鐵路運輸朝著高密、重載及高速的方向發展，既有的車站鐵路信號聯鎖裝置已無法適應鐵路信號對可靠性與故障——安全性的更高要求。70年代末期新型微處理器的出現以及容錯理論與技術的逐步完善，激勵人們以微型計算機為核心構成計算機聯鎖系統。

計算機聯鎖設備是一種連續工作的實時系統，它必須具有極高的安全性和可靠性才能適應鐵路運輸和城市軌道交通高效和安全的運營要求。我們把計算機聯鎖系統的安全性和可靠性結合在一起考慮，并著重從系統的硬件設計、軟件設計和數據傳輸及處理等幾個方面采取各種綜合技術措施，使計算機聯鎖系統符合故障—一安全的原則。

2、硬件部分的安全可靠性分析設計

根據計算機聯鎖系統的結構組成和功能特點，硬件部分的安全可靠性技術從計算機聯鎖系統的上位機、聯鎖機和接口電路三個部分進行分析。

2.1 上位機安全可靠性分析設計

上位機主要功能是向聯鎖機構輸入操作信息，接受聯鎖機構輸出的反映設備工作狀態和行車作業情況的表示信息。為此上位機可采用經國際安全機構認證的高可靠工業控制計算機，采用的機箱結構具有良好的散熱、隔熱、防潮、防塵性能，驅動器架采取避震措施，使整個機箱具有可靠的機械強度和很好的抗電磁干擾的能力；采用不問斷供電及凈化的專用開關電源，抗共模干擾，具有浪涌保護、過載保護、漏電保護的功能，單機設備的平均無故障工作時間可達到100000h。

計算機聯鎖系統的維修機和上位機的配置是一致的，平常可作為上位機的熱備機，在系統故障時能夠進行自動無擾切換，切換過程不影響現場設備狀態，提高設備可靠性。

上位機的人機接口界面的設計使用先進的工業控制軟件。在設計中，根據鐵路交通和城市軌道交通信號計算機聯鎖的特點，可以靈活運用登錄口令、操作員權限、安全設定點、設定點口令、安全審計跟蹤記錄等安全特性，確保聯鎖系統執行操作的安全可靠。

2.2 聯鎖機安全可靠性分析設計

聯鎖機是信號控制系統的核心。在設計中，可選用國際安全機構認證的硬件三重冗余計算機聯鎖系統，用于實現聯鎖數據處理過程的故障—安全。所謂三重化冗余系統是指系統共有A、B、c三個相同的主機，每個主機可以把它看成系統中的一個模塊。三個模塊同時執行一致的操作，其輸出送到“表決器”的輸入端，然后把表決器的輸出作為系統的輸出。結果經輸出設備三取二表決后進行輸出，可以保證輸出的安全性。當其中一個聯鎖處理單元聯鎖邏輯單元故障時，系統能夠轉換為二取二工作方式，在不降低安全陛的前提下，使整體系統的可靠性得到提高。

為了保證三重化冗余系統能夠通過多數一致表決得到正確的結果和發現出錯的模塊，這就要求三臺微機必須同步工作。否則，整個系統便會出現紊亂狀態，多數一致表決無法進行，系統無法保證正常可靠的工作。

計算機聯鎖系統為保證安全可靠而采取的主要措施是：全面的在線自診斷和專門的安全檢查程序。這就要求系統在規定的周期內對計算機的運算器、存儲器、接口等元器件用一系列自診斷程序進行全面自診，而安全檢查程序則對聯鎖程序任務模塊的運行狀態進行監視，對關鍵信息代碼的合法性進行檢查。在自診斷和專門的安全檢查中一旦發現故障，立即切斷計算機的輸出（同時報警）。在設計中必須采取有效的措施來確保：（1）檢測過程本身應具有安全性，或采用相應硬件及軟件措施來實現安全性；（2）檢測要要有足夠的頻率，使類似或等同故障在二次檢測之間不會發生；（3）檢測要足夠靈敏，能夠測出每個安全單元之中的重要故障；（4）檢測失敗時應及時產生安全保護動作；（5）冗余裝置要足夠獨立，使之不受其他故障的影響。

例如在具體實施中，使輸出控制單元經過表決后輸出，所有輸出進行反饋檢查閉環控制；在輸出執行環節采用條件電源供電方法，當用實時檢測或實時比較技術發現聯鎖微機內部故障時，即使產生危險側的錯誤控制命令，通過強制切斷執行環節的條件電源，減少錯誤的控制命令輸出。采用光電隔離技術，接點輸入電路要經過光電耦合后力節目接至接口電路輸入輸出模塊，有效的抑制接點輸入電路的電磁干擾；采用靜態輸入或動態輸入方式，以便有效的實現故障—安全原則。 在輸出接口的設計中，采用代碼—動靜態和動靜態—電平兩級變換電路；采用不間斷供電及凈化的專用電源，電源模塊內部設有雙重化電壓調整器及自診斷電路，可檢測電壓的輸出范圍與是否超溫并給出相應報警。

2.3 接口電路安全可靠性分析設計

由于一般繼電電路采用的安全繼電器具有很高的安全性，在我國鐵路中運用了幾十年。為此計算機聯鎖系統的接口電路仍然以安全繼電器作為計算機聯鎖機構與室外設備控制電路的接口。在計算機聯鎖系統中，信號、道岔、軌道電路等監控對象的狀態信息依然是用安全型繼電器的接點狀態來反映的，輸人接口的任務就是將這種電平形式的二值邏輯數據安全地采集到聯鎖機中來。

2.3.1輸入接口。通常故障一安全的輸入接口電路是采用光電隔離技術，編碼輸入，表決確定輸入信息的。信息的輸入采用了光電耦合編器，防止了采用接點輸入電路時的電磁干擾和電路中故障的擴散。繼電器吸起則將信息編為1111，落下則為0000。計算機對讀入的編碼進行“與”運算，如果各光電耦合器都正常1-作，結果為1，表明軌道電路空閑；如果某個光電耦合器故障，結果為0，表明軌道電路占用或輸入接口電路有故障。采用3個采集電路進行表決輸出，當有2個或3個電路的輸 是一致時，認為是正確信息，這樣就防止了由于采集電路的故障而導致計算機錯誤判斷的現象。endprint

2.3.2輸出接口。輸出接口普遍采用動態驅動，即計算機輸出的驅動信息不是高電平，也不是低電平，而是一個脈沖信號，再經過脈沖一電平轉換電路輸出一個有足夠驅動功率的高電平去動作相應的繼電器。如果計算機故障，則計算機輸出的不是脈沖信號，而是停留在脈沖的某個高電平或低電平，這個非脈沖電平經過脈沖一電平轉換電路后不會產生一個高電平，因此相應的繼電器總是落下，實現了故障一安全。

2.4 其他方面的安全可靠性分析設計

基于對計算機聯鎖系統硬件設備的其他方面的安全可靠性考慮，對包括電源、計算機、數據通訊線路、輸人輸出接口、機架結構及地線設置等方面采取了電磁兼容設計和防雷設計，如采用UPS不間斷穩壓電源、機房和機械室采用天網地網等，以保證在規定等級的運用環境中，設備必須正常工作，不產生任何指標下降和功能上非期望值的偏差。

3、軟件系統的安全可靠性分析設計

在計算機聯鎖控制系統里，各種復雜的功能主要依靠軟件來實現。嵌入在安全控制系統中的軟件，不僅要能完整地實現系統的控制功能，還要能保證實現系統在發生意外時的安全防護即故障—一安全功能。

一般在汁算機聯鎖控制系統中，普遍采用以下軟件技術來提高系統的安全可靠性：

（1）采用信息編碼技術，以便出錯時能被及時識別。例如，對于涉及行車安全的邏輯變量，用多元代碼來表示安全變量的兩個值—一安全側值和危險側值。這樣，當代碼在存儲或傳輸過程中，由于存儲器硬件故障或者外界干擾而發生畸變，一旦錯成非法碼時，就可由軟件自動檢出并導向安全側。

（2）采用軟件冗余技術，保證軟件運行的安全性。

軟件冗余技術就是用幾種不同的軟件處理數據，對處理結果進行比較，產生輸出。在結構上可按比較的范圍分為2種：第1種是把系統按功能劃分成小段，各段之間進行比較；第2種是采用幾個系統功能相同的軟件相比較。這種軟件冗余關鍵在于各個軟件的獨立性，相互獨立的程序即使可能存在故障，也可以通過表決將其屏蔽。如果程序間相互不獨立，故障可能同時存在于各個程序，則無法提高系統的可靠性。由于采用了幾種不同的相互獨立的處理軟件，因此防止了某種軟件由于設計錯誤而產生的故障，還可以屏蔽硬件的某些故障，確保了系統安全。最常見的是采用2種不同的軟件處理數據，同時結合硬件冗余共同提高系統的可靠性。例如，在二冗余系統中，主機和備機都采用2種軟件，平時主機T作，此時2種軟件同時對數據進行處理，對結果進行比較。如果一致，則產生輸出，否則說明系統故障，立即進行切換，使備機工作，從而提高系統的可靠性。

（3）采用軟件檢測技術及時發現故障，以進一步采取措施防止危險側信息的發生和輸出。

（4）利用軟件對輸人數據的合理性進行檢查，對輸出的控制信息進行反饋重復檢查等等。

聯鎖機和外部設備的輸入/輸出信息具有兩種特性，—是開關性；二是安全性。外部設備向聯鎖機提供的輸入信息具有開關性。同樣，聯鎖機的輸出信息也具有開關性，這種開關性可由表示兩個狀態的器件如繼電器來反映。輸入/輸出信息的安全性是根據信息與行車安全的關系來界定的。一類是與安全無關的信息，稱作非安全信息；另一類是與安全有關的信息，稱作安全信息。

聯鎖機和監控對象之間交換的信息屬于安全信息，因此必須考慮當輸凡輸出通道發生故障時，一定要確保傳送信息的安全。為此，在通道設計上必須采用安全輸凡輸出接口。在CPU與輸入和輸出模塊間采用專用總線以保證傳送的正確性，對輸入電路采用光電隔離電路讀取。輸入值，以檢測“粘連”狀態，對各個輸出信號在提供給繼電器前進行表決，不致因輸出模塊本身的故障而影響信息安全。一般在具體的系統設計中，可采取如下措施：

（1）安全信息的輸入：在計算機輸出每種信號設備狀態碼的第一位后，待輸出電平穩定（如20ms），再將每種信號設備狀態碼的第一位讀入儲存，并立即輸出第二位代碼；讀入全部代碼后，經計算機整理后再傳給每個對象的存儲模塊。

（2）安全信息的存儲與更新：計算機聯鎖中監視現場設備狀態的存儲單元，在宏觀上必須與被監視的對象建立不斷的聯系，當聯系中斷時，系統必須立即倒向安全。

（3）安全信息的運算：聯鎖條件滿足時，程序的走向和運算結果都是預知的。為了提高安全性和防止漏檢查聯鎖條件，在每次判斷條件成立后，將該條代碼進行按位累加，聯鎖關系全部檢查正確時，其累加值應與預期結果相符。

（4）安全信息的輸出：計算機的開關量的輸出是非故障安全的。為了保證安全，可對輸出環節進行連續的監視，如出現不應有的危險側輸出，應快速地在現場設備未動作前予以切斷。

（5）安全信息在計算機間的傳遞：為了符合信號系統的傳統做法，遵循故障安全的要求，在計算機聯鎖的設計時，應采用點對點的循環傳送方法，而不采用變化檢出、一次傳送的方法。

計算機聯鎖的串行數據在傳輸過程中，由于干擾而引起誤碼是難免的，在檢查數據位和冗余位之間的關系是否正確時，應著重防止在傳輸中錯誤地出現危險側代碼。為了確保信息傳輸的安全可靠，一方面可以采用冗余度小、檢錯能力高的循環碼（CRC）作為檢錯碼；另一方面就是在軟件編程時對傳輸的信息進行特殊編碼，并以反饋重發方式糾錯。

根據編碼理論，利用n位二值碼元可生成一個具有2”種伏態的碼字或代碼的集合。在這2”種狀態的代碼組合當中，僅取一種狀態代表危險側碼字（例如用危險側碼字10101 010代表對應繼電器吸起），再取另一種狀態代表安全側碼字（例如用安全側碼字01 010101代表對應繼電器落下），其余的均認為是非法碼字，則這種代碼便具有典型的故障—一安全特性。由于非法碼字在正常的聯鎖運算時也被認做安全側碼字，故而該編碼組合僅有1種碼字對應危險側，其余2“—1種狀態均對應安全側。但在實際的運行中要真正能做到故障導向安全，還需對軟件編程的安全編碼進行科學的分析和認真的考慮。endprint

我們認為編碼中各個碼元發生差錯的概率是相同的且不同碼元發生差錯的事件是獨立的。假定每一碼元發生差錯的概率是"，則無差錯的概率即為1—p，此時整個代碼均無差錯的概率為（1—p）“。當選用編碼組合中碼距最大的一對代碼，即碼距等于n的—對代碼分別作為代表危險側和安全側的有效碼時，安全側代碼因故畸變成危險側代碼的條件是n個碼元同時出錯，其出錯概率為曠；而安全側代碼出錯變為另外一個代碼的概率則為1—（1—p），顯然這兩個概率有著明顯的數量的不同，這就造成了編碼在故障或受到干擾情況下邏輯出錯的不對稱性，假定2“種編碼中任一個發生畸變、出錯變為另外任一個代碼的概率相同，均為P（c）；此時，因危險側代碼只有—個，某一代碼錯為該代碼的概率即為戶（c）以上數值與目前國內外廣泛使用的信號安全型繼電器的不對稱指數相比顯然是可以認可的；同時n取為16，恰好是計算機內存字節的整數，便于進行軟件編程。根據鐵道部《計算機聯鎖技術條件》標準，與行車安全有關的信息在計算機內必須以空間冗余的方式存儲，在自由狀態下其非法碼字和合法碼字出現的比率或非安全側碼字和安全側碼字出現的比率必須大于255：1，上述規定中所謂空間冗余即意味著必須用多余的信息位表示單一比特的信息，采用不對稱碼元的方法表示涉安信息即為空間冗余方法之一。此外，自由狀態即指任一代碼發生畸變而成另一代碼相同概率P（c）的假設。該條件給出的具體數值則意味著如采用不對稱碼元，則所選代碼位至少為n：8。基于這些原因，計算機聯鎖中選用16位代碼來表示聯鎖數據是可取的。經過正確的合理編碼，完全可以保證編碼的漢明距大于4。

4、結論

計算機聯鎖系統的安全可靠性是計算機聯鎖系統的關鍵，我們必須從系統的硬件設計、軟件設計和數據傳輸及處理等幾個方面采取各種綜合技術措施，才可使計算機聯鎖系統符合故障—一安全的原則。

今后，隨著計算機通信技術（包括光纜通信和網絡通信等技術）的進一步發展，計算機聯鎖系統本身將不再是一個孤立的車站信號聯鎖設備，而是綜合行車指揮控制系統的一個重要組成部分，是具有多種功能和安全保證的行車指揮系統的一個基礎設備。通過各種制式的聯鎖總線、局域網、廣域網實行多層次控制，使控制范圍擴大，減少投資，并可與運行圖管理系統聯網，根據調度計劃實現進路程序控制，還可與旅客向導服務系統、車次號跟蹤系統聯網，構成全方位的計算機綜合自動化控制、管理系統。endprint