董高云 楊 輝 孫軍峰

目前在國內(nèi)地鐵市場上應(yīng)用的軌旁安全計(jì)算機(jī)平臺大多為國外進(jìn)口，全自主開發(fā)的軌旁安全計(jì)算機(jī)平臺種類少，且在架構(gòu)上多采用商用服務(wù)器或工控機(jī)作為運(yùn)算單元，系統(tǒng)的安全性和可用性受限，難以進(jìn)行二次開發(fā)。而全部采用自主開發(fā)板卡的安全計(jì)算機(jī)平臺，其技術(shù)難度高，自研板卡的可靠性和RAM指標(biāo)等難以保證，采用單一組合故障－安全技術(shù)，存在安全性保障較為復(fù)雜的弱點(diǎn)。卡斯柯信號有限公司最新研發(fā)的全自主化軌旁安全平臺iBase22－TSP，克服了上述國內(nèi)已有的軌旁安全計(jì)算機(jī)平臺的技術(shù)缺陷，采用2乘2取2系統(tǒng)架構(gòu)，以及基于cPCI總線的商用嵌入式高主頻計(jì)算板卡和相異的COTS操作系統(tǒng)設(shè)計(jì)，并自研通信表決板卡和安全切斷裝置，實(shí)現(xiàn)了在線BIT檢測技術(shù)，具有高可靠性、高安全性、擴(kuò)展性好等優(yōu)點(diǎn)。該安全計(jì)算機(jī)平臺已于2013年獲得德國TUV萊茵頒發(fā)的SIL4級歐標(biāo)安全認(rèn)證證書，并基于該安全計(jì)算機(jī)平臺實(shí)現(xiàn)了ZC/LC產(chǎn)品的應(yīng)用。該安全計(jì)算機(jī)平臺已成為卡斯柯公司全自主研發(fā)CBTC系統(tǒng)的重要組成部分。

1 總體架構(gòu)

iBase22－TSP系統(tǒng)的總體架構(gòu)如圖1所示。

整個(gè)系統(tǒng)由MPS、SDMS、GGW、RNET冗余網(wǎng)絡(luò)、PWR電源等子系統(tǒng)組成。MPS是TSP的核心子系統(tǒng)，實(shí)現(xiàn)安全通信數(shù)據(jù)的收發(fā)及數(shù)據(jù)安全處理；MPS中的APP，就是指ZC/LC等不同的安全應(yīng)用，這些應(yīng)用只需要采用相同的接口與平臺相連，就可以實(shí)現(xiàn)其不同的安全應(yīng)用功能；MPS子系統(tǒng)由雙機(jī)熱備的2個(gè)主備MPS組成。SDMS子系統(tǒng)通過與MPS軟件的網(wǎng)絡(luò)通信來記錄MPS的運(yùn)行狀態(tài)，并處理故障報(bào)警信息。GGW子系統(tǒng)負(fù)責(zé)內(nèi)外網(wǎng)通信數(shù)據(jù)的轉(zhuǎn)發(fā)。冗余網(wǎng)絡(luò)子系統(tǒng)實(shí)現(xiàn)內(nèi)網(wǎng)冗余通信，MPS、SDMS、GGW等子系統(tǒng)分別與冗余網(wǎng)絡(luò)RNET相連接，電源子系統(tǒng)負(fù)責(zé)對所有其他子系統(tǒng)的供電。

圖1 iBase22－TSP系統(tǒng)的總體架構(gòu)

MPS與GGW子系統(tǒng)相連接，GGW將輸入的外部系統(tǒng)數(shù)據(jù)傳輸給MPS，MPS對其進(jìn)行處理后進(jìn)行安全校驗(yàn)，并判斷校驗(yàn)是否通過；若未通過，MPS控制GGW與冗余網(wǎng)絡(luò)斷開連接；若通過校驗(yàn)，MPS將處理結(jié)果發(fā)給GGW，再由GGW最終輸出給外部系統(tǒng)。冗余網(wǎng)絡(luò)和外部的GGW通用網(wǎng)關(guān)之間分別接有一個(gè)MOS交換機(jī)，MPS可以通過安全繼電器控制該交換機(jī)的電源 （圖1中的虛線）。在該交換機(jī)的輸出被切斷后，MPS經(jīng)過冗余網(wǎng)絡(luò)與GGW的連接通道被切斷，可以阻止危險(xiǎn)信息通過網(wǎng)絡(luò)向外界輸出，使整個(gè)系統(tǒng)導(dǎo)向安全。系統(tǒng)特點(diǎn)如下。

1.采用基于COTS商用計(jì)算板卡的2乘2取2架構(gòu)，且雙通道獨(dú)立供電的2取2商用板卡上采用相異操作系統(tǒng)，兼顧系統(tǒng)的可靠性和開發(fā)周期及開發(fā)成本。

2.采用一塊專用的通信＋仲裁板對雙通道結(jié)果進(jìn)行2取2表決仲裁，并將仲裁結(jié)果發(fā)送給一塊具備固有故障－安全的安全校驗(yàn)板進(jìn)行校驗(yàn)，校驗(yàn)的結(jié)果能夠控制繼電器以切斷本系統(tǒng)對外的輸出，從而保證系統(tǒng)的安全。以上操作在2取2組合故障安全之外，還綜合運(yùn)用了反應(yīng)故障－安全和固有故障－安全的原理。

3.采用在線內(nèi)嵌式檢測BIT技術(shù)，實(shí)現(xiàn)了系統(tǒng)的實(shí)時(shí)在線自檢，以保證系統(tǒng)的安全性。

4.具有良好的可擴(kuò)展性，僅需在配置上進(jìn)行修改，即可通用于地鐵和國鐵信號領(lǐng)域的不同軌旁設(shè)備，滿足不同軌旁設(shè)備的需求。

2 安全原理

2.1 核心邏輯架構(gòu)及2取2安全表決

iBase22－TSP的核心邏輯架構(gòu)如圖2所示。

圖2 iBase22－TSP的核心邏輯結(jié)構(gòu)

系統(tǒng)的核心主處理子系統(tǒng) MPS采用2乘2取2的雙機(jī)熱備冗余架構(gòu)，由2個(gè)熱備冗余MPS組成。主備MPS均由2塊主運(yùn)算MPU板和1塊表決通信MCU板組成。2塊MPU板負(fù)責(zé)雙通道的運(yùn)算，采用硬件完全相同的COTS貨架型成熟商用計(jì)算板卡。表決通信板MCU接收外部的網(wǎng)絡(luò)輸入信息，并轉(zhuǎn)發(fā)給MPU1和MPU2進(jìn)行信息處理和運(yùn)算后，再將雙通道運(yùn)算結(jié)果發(fā)回MCU板進(jìn)行2取2表決，表決通過后，再由MCU板通過MOS交換機(jī)發(fā)出。同時(shí)，MCU板還會根據(jù)2取2表決結(jié)果生成相應(yīng)的CRC校核字發(fā)往安全校驗(yàn)板VPS進(jìn)行校驗(yàn)，在校驗(yàn)結(jié)果失敗后，會使控制MOS交換機(jī)的安全繼電器斷開，阻止MPS的輸出信息對外輸出，使整個(gè)系統(tǒng)導(dǎo)向安全。

MPS的雙通道MPU計(jì)算板卡采用相異操作系統(tǒng)，在軟件設(shè)計(jì)上也采用了相異性設(shè)計(jì)，從而保證雙通道具有足夠的相異性。此外，雙通道的電源也做到完全的獨(dú)立，這種雙通道異構(gòu)的獨(dú)立性設(shè)計(jì)滿足EN50129標(biāo)準(zhǔn)所要求的物理獨(dú)立性和功能獨(dú)立性要求，消減了共因失效的影響，使整個(gè)系統(tǒng)能夠達(dá)到SIL4的安全度指標(biāo)。

2.2 安全切斷

iBase 22－TSP的安全切斷裝置由安全校驗(yàn)板VPS控制VRD繼電器切斷MOS交換機(jī)電源來完成。該切斷邏輯借鑒了iLOCK和VPI聯(lián)鎖系統(tǒng)的切斷裝置設(shè)計(jì)思路，綜合采用了反應(yīng)故障－安全和固有故障－安全原理。VPS板是硬件固有故障－安全的板卡，每個(gè)周期接收MCU板傳送過來的由多個(gè)主校核字信息所組成的 “校核字集”，這些主校核字信息反應(yīng)了MPS系統(tǒng)多個(gè)板卡的安全運(yùn)行狀態(tài)，VPS板會根據(jù)這個(gè) “校核字集”產(chǎn)生一個(gè)由一組校核字支配的定型波形和頻率動態(tài)信號。這個(gè)動態(tài)信號通過一個(gè)安全型數(shù)據(jù)濾波器，當(dāng)并且僅當(dāng)波形和頻率均正確時(shí)，該濾波器才能安全地產(chǎn)生一個(gè)輸出驅(qū)動電壓，使安全型監(jiān)督繼電器 （VRD）勵(lì)磁吸起。錯(cuò)誤的校核字會導(dǎo)致VPS板無法對VRD正常勵(lì)磁，導(dǎo)致VRD落下而切斷MOS板的電壓，最終切斷對外網(wǎng)絡(luò)輸出。

2.3 BIT自檢

BIT （Build－In－Test）內(nèi)嵌式檢測，是根據(jù)EN50129：2003附錄B中考慮故障影響下的架構(gòu)設(shè)計(jì)的要求而進(jìn)行的在線動態(tài)自檢。實(shí)時(shí)的動態(tài)檢查安全相關(guān)系統(tǒng)的運(yùn)行狀態(tài)，并且在異常時(shí)能夠自動關(guān)閉故障部件、子系統(tǒng)和系統(tǒng)，或者阻塞其安全相關(guān)功能。

在正常運(yùn)行的過程中，iBase22－TSP需要對MPS子系統(tǒng)中每塊板卡 （MPU1，MPU2，MCU板）進(jìn)行周期性的檢測，以防止系統(tǒng)中永久性失效和部分瞬間失效對系統(tǒng)產(chǎn)生負(fù)面影響。針對各板卡的在線檢測分為CPU檢測和RAM二大類。

CPU檢測范圍包括用戶寄存器測試和用戶指令測試。寄存器測試采用EN50129標(biāo)準(zhǔn)所規(guī)定的一組標(biāo)準(zhǔn)測試數(shù)據(jù)，對用戶寄存器進(jìn)行先寫入、再讀出的操作，比較讀寫操作值的一致性；指令測試將一組高診斷覆蓋率的數(shù)據(jù)作為輸入源，進(jìn)行運(yùn)算、邏輯操作、移位、跳轉(zhuǎn)等若干類指令運(yùn)算，比較運(yùn)算結(jié)果與預(yù)期結(jié)果的一致性。

內(nèi)存檢測分為可變內(nèi)存和不可變內(nèi)存檢測二部分?？勺儍?nèi)存測試采用優(yōu)化后的高診斷覆蓋率的Abraham算法實(shí)現(xiàn)，該算法是IEC61508標(biāo)準(zhǔn)的推薦算法。不可變內(nèi)存測試通過比較計(jì)算冗余CRC校驗(yàn)碼與預(yù)期結(jié)果的一致性來完成。若BIT在線自檢未通過，則系統(tǒng)將進(jìn)入一個(gè)死循環(huán)并保持一個(gè)“失效－安全”狀態(tài)。同時(shí)系統(tǒng)將失效信息記錄到錯(cuò)誤日志中，并進(jìn)行顯式報(bào)警。

3 關(guān)鍵技術(shù)

3.1 MPS雙機(jī)時(shí)鐘同步

TSP的MPS子系統(tǒng)雙機(jī)同步機(jī)制采用雙機(jī)MCU板上的串口互發(fā)時(shí)鐘同步消息，并進(jìn)行校驗(yàn)來實(shí)現(xiàn)。原理如圖3所示。

圖3 主備機(jī)時(shí)鐘同步機(jī)制原理圖

MPS的A，B雙機(jī)MCU板通過串口互發(fā)時(shí)鐘同步消息，記錄收到對方時(shí)鐘同步消息的時(shí)間和本機(jī)發(fā)送時(shí)鐘同步消息的時(shí)間。如果串口通信本身的時(shí)延為Δt，本系比對系快Δt′，則兩系的時(shí)間差為Δt＋Δt′。因此，在進(jìn)行雙機(jī)同步算法設(shè)計(jì)時(shí)，綜合考慮時(shí)延因素，可以設(shè)定兩系時(shí)鐘同步的時(shí)差范圍為大于Δt－Δt′，小于Δt＋Δt′。在此范圍之內(nèi)，可認(rèn)為時(shí)鐘同步，否則時(shí)鐘不同步。在時(shí)鐘不同步的情況下，給出時(shí)鐘調(diào)整的策略 （延長/縮短本系時(shí)鐘）。

3.2 熱備冗余切換

圖4 iBase22－TSP系統(tǒng)切機(jī)狀態(tài)轉(zhuǎn)移

圖4是TSP系統(tǒng)的切機(jī)狀態(tài)轉(zhuǎn)移圖。每個(gè)單機(jī)有初始化、宕機(jī)、主機(jī)、備機(jī)、離線5種狀態(tài)。在雙機(jī)同步狀態(tài)下，能對外輸出的為主機(jī)，不對外輸出的為備機(jī)，備機(jī)在切機(jī)后可立即升為主機(jī)?！半x線”狀態(tài)指的是該機(jī)尚未與對機(jī)實(shí)現(xiàn)同步，不對外輸出，收到切機(jī)命令也無法成為主機(jī)。操作人員可以通過撥動TSP的主備切換開關(guān)使A機(jī)或B機(jī)強(qiáng)制成為主機(jī)，正常運(yùn)行狀態(tài)下該開關(guān)打在自動擋。

各個(gè)狀態(tài)之間的連線代表狀態(tài)的相互轉(zhuǎn)變。連線上的文字表示切機(jī)條件?！皬?qiáng)主”指的是切換開關(guān)撥動到本機(jī)為主，“強(qiáng)對主”指切換開關(guān)撥動到對機(jī)為主。未標(biāo)出的切換開關(guān)均為自動擋。從圖4可以看出，切換狀態(tài)轉(zhuǎn)換的條件除了與切換開關(guān)的狀態(tài)和雙機(jī)同步狀態(tài)相關(guān)之外，還與對機(jī)狀態(tài)有關(guān)。正常運(yùn)行狀態(tài)下，雙機(jī)同步時(shí)離線狀態(tài)可升為備機(jī)狀態(tài)，此時(shí)若主機(jī)宕機(jī)則備機(jī)可升主；雙機(jī)不同步時(shí)備機(jī)降為離線。通過撥動切換開關(guān)，可以強(qiáng)制備機(jī)升主，也可以強(qiáng)制主機(jī)變?yōu)殡x線。而在A，B機(jī)初始化時(shí)，設(shè)定A機(jī)可以優(yōu)先升主。

3.3 SDMS維護(hù)子系統(tǒng)

iBase22－TSP的維護(hù)子系統(tǒng)SDMS由1臺lU的上架式工控機(jī) （使用 WIN7操作系統(tǒng)）組成，主要用于監(jiān)控并記錄TSP的運(yùn)行狀態(tài)及故障報(bào)警信息。通過網(wǎng)絡(luò)同時(shí)與主備MPS子系統(tǒng)相連，并實(shí)時(shí)記錄主備MPS的工作狀態(tài)、GGW子系統(tǒng)的狀態(tài)、與外部系統(tǒng)的連接狀態(tài)、與外部系統(tǒng)的通信數(shù)據(jù)、故障報(bào)警信息等重要數(shù)據(jù)，還可以監(jiān)測TSP的風(fēng)扇和電源等信息。SDMS子系統(tǒng)是TSP的人機(jī)界面，使用者通過維護(hù)終端能實(shí)時(shí)獲得TSP的運(yùn)行狀態(tài)和網(wǎng)絡(luò)連接狀態(tài)等信息，同時(shí)能夠?qū)SP在近30天之內(nèi)的工作狀態(tài)進(jìn)行監(jiān)控，并為故障的排查與分析提供幫助。

4 應(yīng)用情況

ZC/LC軟件以應(yīng)用函數(shù)調(diào)用的方式裝載于TSP平臺的雙通道MPU板上。TSP的平臺軟件和ZC/LC軟件可獨(dú)立分開編譯，工程應(yīng)用時(shí)，再分別獲取TSP和ZC/LC的軟件進(jìn)行鏈接后，生成最終的可執(zhí)行文件。此外，TSP平臺和ZC/LC應(yīng)用之間通過定義統(tǒng)一的輸入輸出接口消息格式來傳遞接口數(shù)據(jù)。每個(gè)主周期，TSP平臺的MPU1和MPU2分別進(jìn)行雙通道的輸入信息處理，把最終的處理結(jié)果按接口消息格式傳給ZC/LC的應(yīng)用，應(yīng)用獲取規(guī)定格式的消息后，進(jìn)行應(yīng)用邏輯運(yùn)算處理，處理后的結(jié)果再生成約定格式的輸出消息，通過輸出接口傳給TSP平臺，進(jìn)一步進(jìn)行加工打包后，最終通過MCU板卡和GGW子系統(tǒng)對外發(fā)出。圖5為基于iBase22－TSP的ZC/LC應(yīng)用外部接口圖。

圖5 基于iBase22－TSP的ZC/LC外部接口

ZC/LC的外部接口包括CBTC系統(tǒng)中聯(lián)鎖、車載ATP、監(jiān)測子系統(tǒng)、NTP服務(wù)器、ATS子系統(tǒng)等多個(gè)子系統(tǒng)。ZC/LC同這些子系統(tǒng)均采用網(wǎng)絡(luò)接口，但不同的子系統(tǒng)網(wǎng)絡(luò)接口協(xié)議和安全要求不一樣，目前的TSP平臺能夠支持ZC/LC外部接口要求的全部安全/非安全通信協(xié)議，完全滿足ZC/LC的用戶需求。

由于iBase22－TSP安全計(jì)算機(jī)平臺具有通用的2乘2取2平臺架構(gòu)，支持多種不同的安全通信協(xié)議，具備良好的通用性和可擴(kuò)展性，除了現(xiàn)階段用于地鐵的ZC/LC系統(tǒng)之外，后續(xù)可以進(jìn)一步擴(kuò)展到其他的SIL4級的軌旁安全產(chǎn)品應(yīng)用中，如國鐵列控中心系統(tǒng)的無線閉塞中心RBC，TSRS臨時(shí)限速服務(wù)器等，未來在增加網(wǎng)絡(luò)化的輸入輸出I/O處理單元后，還可以考慮進(jìn)一步擴(kuò)展應(yīng)用至聯(lián)鎖系統(tǒng)、國鐵車站列控中心等系統(tǒng)。

目前該平臺已成功應(yīng)用于城軌CBTC系統(tǒng)中的ZC/LC子系統(tǒng)。

［1］ 郭志良.基于時(shí)間自動機(jī)模型的CBTC系統(tǒng)安全計(jì)算機(jī)平臺的形式化驗(yàn)證［D］北京交通大學(xué)碩士論文，2010，11.

［2］ 陳慧琍，黃鴻，李衛(wèi)娟，周文龍.VPI型計(jì)算機(jī)聯(lián)鎖系統(tǒng)［J］.鐵道通信信號，2001（9）：.

［3］ 姜堅(jiān)華.iLOCK的安全模型和安全性分析［J］.鐵道通信信號，2010（7）：