鐵路信號分布式計算機聯鎖系統道岔控制模塊安全性分析

張亦秋

（哈爾濱鐵道職業技術學院，黑龍江 哈爾濱 150060）

分布式計算機連鎖系統具有信息處理效率快、數據同步效果好、性價比高等一系列優勢，在鐵路信號系統中應用十分廣泛。安全可靠性是評價分布式計算機連鎖系統性能的核心指標，選擇該系統中的道岔控制模塊開展安全性分析，在此基礎上應用避錯與容錯技術、故障-安全技術，分別從系統的硬件、軟件方面采取相應的優化設計措施，進一步提高道岔控制模塊在識別風險、快速動作、保障安全等方面的價值，確保分布式計算機連鎖系統的穩定運行。

1 道岔控制模塊安全需求分析

1.1 故障樹分析

故障樹分析是一種常用的安全性分析方法，其原理是在危險源與危險事件之間建立映射關系，從而判斷某種故障可能給系統造成最嚴重危害的概率。根據分析方法的不同，又可分為定性分析與定量分析2種，前者是對故障的識別與分析，通過識別所有潛在的故障，找出造成故障的最小割集，從而建立起故障樹。后者是對故障樹做量化處理，可分為2個步驟：第一步是參考相關標準，計算底事件的故障概率；第二步是根據上、下級事件的邏輯關系，求得頂事件的故障概率。假設某故障樹存在k個最小割集，并且其結構函數分別為Φ1{X}，Φ2{X}……Φk{X}，故障概率為x1，x2……xk。假設故障樹頂事件的結構函數Φs{X}存在以下關系：

則頂事件的故障概率Xs可由下式計算得出：

1.2 安全完整性等級

安全完整性等級（SIL）是采取定量方法描述系統某個功能的允許危險率。共分成0-4五個等級，其中等級0表示無安全需求，等級4表示安全要求最高。每個安全完整性等級對應的危險失效概率見表1。

表1 安全完整性等級表

2 道岔控制模塊的硬件設計

2.1 道岔控制模塊硬件組成

該模塊的硬件部分由道岔控制主回路、微處理器及其控制回路等組成。其中，表示信號采集電路的功能是獲取道岔定位、反位等狀態信息；道岔控制主回路用于傳遞、執行道岔定操、反操指令；驅動電路在處理器A和B輸出相同指令后，完成動作并通電使繼電器運行；電流檢測電路用于實時檢測控制主回路中的電流；故障監測電路則用于監測驅動電路、控制主回路的運行狀態，在故障發生后進行報警。

2.2 道岔控制主回路設計

2.2.1 固態繼電器

固態繼電器是道岔控制主回路的核心設備，用于控制主回路的開斷。根據負載電源的不同，又可以分成直流、交流2種類型。除了控制電路的開斷外，固態繼電器還能發揮過載保護、過熱保護等功能。由于采用無觸點電子開關，因此在實際應用中具有靈敏性好、控制功率小等特點，對進一步提高道岔控制主回路的響應速率和保證控制指令的精準動作起到了積極作用。本次設計中選擇工作電壓為220 V、工作頻率為50 Hz的直流型固態繼電器。

2.2.2 安全型板載彈力式繼電器

安全型板載彈力式繼電器的輸入控制端為2臺同型號的繼電器。在繼電器的輸出端共同連接一組常斷型開關，根據輸入信號的不同，控制開關作出相應的動作。當2臺繼電器輸入信號分別為0，0、0，1、1，0三種情況時，常斷型開關均維持在斷開狀態，此時整條線路不通電；當2臺繼電器輸入信號均為1，1時，常斷型開關閉合，起到了保障電路安全的效果。

2.2.3 道岔動作電路設計

動作電路由兩部分構成，分別是控制主回路和電流檢測電路。道岔控制主回路的硬件布置如圖1所示。

圖1 道岔控制主回路的硬件布置圖

如圖1所示，道岔控制主回路中選擇了DCJ、FCJ等多個繼電器控制整個回路的開斷，提高了終端控制的靈活性。為避免電源輸出功率不一致而導致狀態檢測、電流檢測不準確等問題，在硬件設置上只選擇1臺AC220V驅動電源。輸出的直流電首先分別經過D1和D2兩個整流橋，經整流后連接定位操縱（DCJ）和反位操縱（FCJ）繼電器。基于安全性考慮，道岔控制主回路中的DCJ、FCJ、HCJ均選擇安全型板載彈力式繼電器。

2.2.4 安全監督電路

由于道岔動作電路中包含了較多的電器元件，每一個元件發生故障都有可能導致電路出現誤動或拒動，進而影響道岔控制模塊的安全性。因此，為保證道岔動作電路的運行可靠性，必須要設置安全監督電路，其作用是對控制主回路、動作電路中的繼電器運行工況進行實時監督。如果繼電器有異常動作，可以做到同步報警，并暫時將發生故障的繼電器從電路中隔離，保證其他并聯的繼電器正常動作、不受影響。如上文所述，道岔控制主回路中使用到的繼電器有2種類型，因此在設計安全監督電路時，也要針對每一種繼電器分別設計檢測監督電路。以固態繼電器監督電路為例，電路檢測原理如圖2所示。

圖2 固態繼電器檢測電路圖

結合圖2可知，固態繼電器為常開型繼電器，當接收到閉合指令時，BHJ將R1和R2吸起，對220 V分壓。此時光耦元件的輸入端連通，電壓信息轉化為TTL電平并輸入到微處理器中，正常情況下微處理器可同步接收到動態脈沖信號。如果未接受到脈沖信號，或者脈沖信號與正常值不符，則說明BHJ出現異常工況，立即進行報警。

2.3 微控制器選型及其電路設計

微控制器是道岔控制模塊的核心器件，除了要考慮安全性外，還要兼顧經濟性和實用性。AT90 CAN128芯片是一種低功耗、高處理效率、具有豐富外設接口的單片機，本文將其作為道岔控制系統的微控制器。芯片容量方面，具有128 kB的閃存、16 kB的靜態存儲空間和128 kB的外部存儲空間。以微處理器為核心，設計處理器控制電路，電路圖如圖3所示。

圖3 微處理器控制電路示意圖

該控制電路使用2臺冗余電源為整個控制系統供電，配套使用冗余MCU負責指令的接收與傳達。設置冗余電源的目的是避免微控制器在正常工作過程中出現斷電故障，導致道岔控制系統失控。這樣當一臺電源因故障停止供電后，可切換至冗余電源繼續保持供電。每一條動態輸出電路的輸入端，均連接1臺MCU。如果MCUA和MCUB傳達的指令不同，則動態輸出電路不動作，呈斷開狀態。只有2臺MCU傳達相同指令時，動態輸出電路閉合，作出相應動作。這樣就避免了道岔控制出現誤動作，從而提高了微處理器控制電路的安全性。

2.4 雙系熱備切換電路

為了進一步增強道岔控制系統的安全性、可靠性，除了在微控制器電路中采用了冗余電源外，其他模塊也分別使用了雙模塊熱備結構。如圖4所示，模塊A與模塊B均有4條輸出線，依次連接到切換模塊QHB中。QHB中包含4個動態繼電器，每臺動態繼電器分別對應模塊A與模塊B的1條輸出線路。動態繼電器吸起時與模塊A的輸出線路連接，落下時與模塊B的輸出線路連接。假設模塊A為道岔控制系統的常備模塊，系統正常運行是QHB中的動態繼電器保持吸起狀態。若模塊A發生故障，或者因為其他原因導致無法輸出正常的動態脈沖信號，此時QHB中的動態繼電器自動落下，隨機切換至模塊B，從而實現了主備切換。

圖4 熱備切換原理圖

3 道岔控制模塊的軟件設計

3.1 設備初始化模塊

通電之后，自動對MCU、CAN通信通道、繼電器、檢測電路等進行自檢。如無異常情況，執行下一程序；如發現故障，則自動報錯，待故障排除后重新啟動自檢程序，直到不存在異常情況。自檢結束后即完成設備初始化設置。在初始化模塊設計中，編寫初始化程序是關鍵內容，該程序中主要涉及MCU自檢、CAN通信通道自檢、地址碼和異步串口自檢等項目。以MCU自檢為例，其流程圖如圖5所示。

圖5 MCU自檢流程圖

如圖5所示，MCU自檢的基本原理是利用特定的檢測程序，依次對使用到的運算符、數據區進行檢測。每完成1項檢測后，執行1次判斷。如果自檢正常，則順利執行下一步驟。如果自檢發現錯誤，則記錄該故障并且故障次數加1。若故障次數在3次及以下，則認定為“偶然故障”，需要返回程序開頭重新檢測。當累計故障次數大于3，或者全部自檢正常后，結束MCU自檢程序。

3.2 同步信息處理模塊

采用雙微控制器同時執行定操、反操命令，是提高道岔控制模塊安全性、可靠性的關鍵。為了保證定操、反操命令輸出步調的一致性，在軟件設計中增加了同步信息處理模塊。可自定義最大的同步延遲時間（如1 s），如果在1 s以內檢測到對方的輸出信號，則認為握手成功；如果超過1 s仍然不能完成同步握手，則判斷為系統故障，進行報警。同步信息處理模塊由2個子模塊構成，即同步信息的發送模塊和接收模塊。以信息接收模塊為例，具體流程如圖6所示。

圖6 同步信息接收流程圖

結合圖6可知，當同步信息處理模塊運作時，首先由微控制器進行同步數據的讀取。數據準備完畢后，執行一個是否接受操作指令的判斷程序。如果接收到幀頭0xfb時，置數組長度計數器為0。之后所有接收到的數據，均保存到該數據組中，同時數據組中每增加1個新的數據，計數器加1。當長度計數器累加到數組長度后，此時接收到的數據是幀尾0xfc，置同步接收成功標志，否則置同步接收失敗標志。

3.3 CAN通信處理模塊

為保證主機下發的各項操控指令能夠順利、準確傳達至道岔控制系統，以及保證道岔控制系統的執行信息及時反饋給主機，必須要在主機與道岔控制模塊之間建立起穩定的通信通道。基于CAN控制器建立的通信處理模塊，在完成MCU初始化和CAN控制器初始化后，以10 ms/次的頻率刷新，判斷有無需要接收的新數據。如果有數據接收，則調用相應程序。以同樣的方法判斷有無需要發送的數據，如果有數據發送，則調用相應程序。接收與發送程序并行，以保證雙端通信的正常進行。

4 道岔控制模塊安全性分析

開展道岔控制模塊安全性分析時，可以選擇的判斷指標有元器件失效率、動作電路與表示電路安全性等。現選擇“動作電路安全性”指標對道岔控制模塊動作功能故障展開分析。采用前文介紹的故障樹分析法，構建四線制道岔模塊動作電路故障樹，如圖7所示。經計算，實際分析值明顯小于標準值，故本文設計的道岔控制模塊安全性滿足要求。

圖7 四線制道岔模塊動作電路故障樹

5 結束語

保證道岔控制模塊的安全性與可靠性，對發揮分布式計算機連鎖系統的應用優勢有積極幫助。基于故障樹分析法，以及結合“故障-安全”設計原理，選擇固態繼電器、微控制器、道岔動作電路等硬件設備，以及設備初始化和同步信息處理等模塊的設計，進一步提高道岔控制系統的安全性，使元器件基本失效率頂事件故障發生率等安全性指標均控制在要求方位以內，切實保障道岔控制模塊的應用安全。