李 夏，丁 歡，任喜國(guó)，王巨漢，曹 源

（1. 北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；2. 北京交通大學(xué) 電子信息工程學(xué)院，北京 100044；3. 北京交通大學(xué) 軌道交通運(yùn)行控制系統(tǒng)國(guó)家工程研究中心，北京 100044）

安全計(jì)算機(jī)的核心功能是：系統(tǒng)在運(yùn)行過(guò)程中，一旦發(fā)生故障，則自動(dòng)轉(zhuǎn)向安全狀態(tài)，從而避免故障升級(jí)導(dǎo)致事故發(fā)生。安全計(jì)算機(jī)的核心思想是：承認(rèn)系統(tǒng)運(yùn)行過(guò)程中故障不可避免；使用特殊設(shè)計(jì)來(lái)保證系統(tǒng)能夠屏蔽故障并且解除故障影響。

安全計(jì)算機(jī)因其 “故障- 安全” 特性而在軌道交通領(lǐng)域得到廣泛應(yīng)用[1]。我國(guó)鐵路信號(hào)領(lǐng)域安全計(jì)算機(jī)多采用三取二或二乘二取二結(jié)構(gòu)，通過(guò)冗余實(shí)現(xiàn)容錯(cuò)、檢錯(cuò)、避錯(cuò)的能力[2]。文獻(xiàn)[1]介紹了安全計(jì)算機(jī)的通用架構(gòu)及其在LKJ-15 型列車監(jiān)控系統(tǒng)中的應(yīng)用。文獻(xiàn)[2]介紹了一種基于三取二架構(gòu)和VxWorks 操作系統(tǒng)的安全計(jì)算機(jī)的設(shè)計(jì)以及實(shí)現(xiàn)。文獻(xiàn)[3]介紹了用于鐵路車載控制設(shè)備的三取二安全計(jì)算機(jī)系統(tǒng)。文獻(xiàn)[4]介紹了滿足安全苛求標(biāo)準(zhǔn)的嵌入式系統(tǒng)設(shè)計(jì)。文獻(xiàn)[5]介紹了一種面向城市軌道交通的安全計(jì)算機(jī)總體設(shè)計(jì)思路。作為保證安全的核心元件，安全計(jì)算機(jī)一直收到人們的重視。本文重點(diǎn)介紹安全計(jì)算機(jī)在鐵路信號(hào)領(lǐng)域的應(yīng)用情況及其研究熱點(diǎn)。

1 安全計(jì)算機(jī)相關(guān)標(biāo)準(zhǔn)

1.1 鐵路領(lǐng)域安全計(jì)算機(jī)相關(guān)標(biāo)準(zhǔn)

比較基本和核心的國(guó)際標(biāo)準(zhǔn)為IEC 61508，它沒(méi)有指定具體的應(yīng)用領(lǐng)域，而是以通用性見(jiàn)長(zhǎng)。

具體到鐵路領(lǐng)域， 歐洲電氣標(biāo)準(zhǔn)化委員會(huì)（CENECLEC）制定了以計(jì)算機(jī)控制的信號(hào)系統(tǒng)為對(duì)象的鐵路標(biāo)準(zhǔn)， 即EN50126、EN50128、EN50129和EN50159。其中：

EN50126 為有關(guān)鐵路應(yīng)用中可靠性、可用性、可維護(hù)性、安全性（即RAMS）的規(guī)范和說(shuō)明；

EN50128 為鐵路控制與防護(hù)系統(tǒng)的軟件要求與規(guī)范；

EN50129 為鐵路應(yīng)用中安全相關(guān)的電子系統(tǒng)，主要是通信、信號(hào)和處理設(shè)備；

EN50159 主要為鐵路安全通信相關(guān)標(biāo)準(zhǔn)。

1.2 安全相關(guān)定義

IEC 61508 中有2 個(gè)重要概念：（1）安全生命周期，通過(guò)定義安全生命周期的各階段安全性目標(biāo)和必須達(dá)到的要求，對(duì)系統(tǒng)設(shè)計(jì)把關(guān)，進(jìn)而實(shí)現(xiàn)系統(tǒng)安全；（2）安全完整性等級(jí)（SIL），是指在規(guī)定的時(shí)間周期內(nèi)、規(guī)定的條件下安全相關(guān)系統(tǒng)成功完成其安全功能的能力。IEC 61508 中將安全完整性等級(jí)劃分為4 級(jí)，其中，SIL4 級(jí)最高。

安全完整性可劃分為系統(tǒng)安全完整性和隨機(jī)硬件安全完整性2 類，設(shè)備需要同時(shí)滿足這2 類安全完整性的要求方可達(dá)到某個(gè)SIL 等級(jí)。（1）系統(tǒng)安全完整性無(wú)法量化，它代表的是系統(tǒng)、子系統(tǒng)和設(shè)備在安全功能生命周期內(nèi)人為錯(cuò)誤導(dǎo)致的規(guī)范錯(cuò)誤、設(shè)計(jì)錯(cuò)誤、安裝錯(cuò)誤等；（2）隨機(jī)硬件安全完整性可以量化，根據(jù)系統(tǒng)的不同，分為要求的危險(xiǎn)失效概率（PDF，Probability of Dangerous Failure On Demand）和每小時(shí)危險(xiǎn)失效頻率（PFH，Average Frequency of Dangerous Failure Per Hour），分別用于低要求模式、高要求模式以及連續(xù)模式。

2 鐵路信號(hào)領(lǐng)域安全計(jì)算機(jī)的相關(guān)應(yīng)用

鐵路信號(hào)系統(tǒng)的計(jì)算機(jī)聯(lián)鎖、無(wú)線閉塞中心、車載列車自動(dòng)防護(hù)系統(tǒng)等均基于安全計(jì)算機(jī)平臺(tái)搭建。為了保證鐵路信號(hào)系統(tǒng)的高可靠性和高安全性，安全計(jì)算機(jī)平臺(tái)的設(shè)計(jì)與開(kāi)發(fā)直接關(guān)系到信號(hào)系統(tǒng)的可靠性，進(jìn)而影響鐵路系統(tǒng)的安全運(yùn)行。

目前，鐵路安全計(jì)算機(jī)平臺(tái)普遍采用通用硬件結(jié)構(gòu)、通用操作系統(tǒng)以及面向任務(wù)的特殊應(yīng)用軟件。其架構(gòu)如圖1 所示[3]。

圖1 安全計(jì)算機(jī)平臺(tái)通用架構(gòu)

2.1 安全計(jì)算機(jī)在車站聯(lián)鎖系統(tǒng)中的應(yīng)用

聯(lián)鎖指的是車站內(nèi)信號(hào)設(shè)備（信號(hào)機(jī)、道岔、軌道電路）之間的互鎖關(guān)系。車站聯(lián)鎖系統(tǒng)作為保證列車在車站內(nèi)高效運(yùn)行的控制核心，先后經(jīng)歷了機(jī)械聯(lián)鎖、電氣集中聯(lián)鎖、計(jì)算機(jī)聯(lián)鎖等幾個(gè)發(fā)展階段，現(xiàn)在以電氣集中聯(lián)鎖和計(jì)算機(jī)聯(lián)鎖為主，以計(jì)算機(jī)聯(lián)鎖為發(fā)展方向。

計(jì)算機(jī)聯(lián)鎖通常采用專用或通用的安全計(jì)算機(jī)平臺(tái)、運(yùn)行專門的聯(lián)鎖軟件用于實(shí)現(xiàn)車站的信號(hào)機(jī)、軌道電路、道岔之間固定的互鎖關(guān)系。

實(shí)際應(yīng)用中，鐵路信號(hào)領(lǐng)域安全計(jì)算機(jī)硬件多采用三取二、二乘二取二結(jié)構(gòu)或雙機(jī)熱備結(jié)構(gòu)。最早的計(jì)算機(jī)聯(lián)鎖曾使用單機(jī)結(jié)構(gòu)、之后出現(xiàn)了雙機(jī)熱備結(jié)構(gòu)，使用1 臺(tái)主機(jī)1 臺(tái)備機(jī)完成相同功能。鑒于雙機(jī)熱備結(jié)構(gòu)存在切換失敗可能產(chǎn)生危險(xiǎn)后果等問(wèn)題，三取二結(jié)構(gòu)和二乘二取二結(jié)構(gòu)得以應(yīng)用。三取二結(jié)構(gòu)中，3 套邏輯單元兩兩比較，能夠屏蔽錯(cuò)誤，但是存在無(wú)法停機(jī)檢修的不足。二乘二取二結(jié)構(gòu)則采用兩套二取二結(jié)構(gòu)，主機(jī)中2 套CPU 互相比較，如果無(wú)法達(dá)成一致則切換至備機(jī)，由后者的2 套CPU進(jìn)行處理，在保證安全功能的同時(shí)降低了維修難度。目前，國(guó)內(nèi)外比較有代表性的安全計(jì)算機(jī)及其冗余結(jié)構(gòu)如表1 所示[6-10]。

表1 常見(jiàn)安全計(jì)算機(jī)系統(tǒng)及其結(jié)構(gòu)

對(duì)比幾種冗余結(jié)構(gòu)，雙機(jī)熱備冗余方式成本最低，對(duì)同步的要求較低，但是對(duì)于系統(tǒng)自檢的要求很高，如果自檢無(wú)效則有可能出現(xiàn)危險(xiǎn)輸出。三取二和二乘二取二的性能相近，但是三取二只能屏蔽單系故障，對(duì)于多系故障無(wú)能為力。二乘二取二具備了雙機(jī)熱備的高可用性、可維護(hù)性，同時(shí)還具有高可靠性和高安全性。

2.2 安全計(jì)算機(jī)在鐵路無(wú)線閉塞中心中的應(yīng)用

無(wú)線閉塞中心（RBC）根據(jù)聯(lián)鎖、臨時(shí)限速服務(wù)器、相鄰RBC、調(diào)度集中（CTC）、車載設(shè)備等信息生成行車許可，之后通過(guò)無(wú)線通信方式傳遞給車載設(shè)備，用以保證自己管轄范圍內(nèi)列車的平穩(wěn)、高效、安全運(yùn)行，如圖2 所示。

圖2 無(wú)線閉塞中心（RBC）結(jié)構(gòu)

RBC 由主機(jī)、接口單元、無(wú)線通信單元和維護(hù)單元組成。其中，主機(jī)單元和接口單元通常采用通用安全計(jì)算機(jī)平臺(tái)，前者一般采用三取二結(jié)構(gòu)或者二乘二取二結(jié)構(gòu)，實(shí)現(xiàn)RBC 的安全相關(guān)邏輯與控制（如列車的注冊(cè)和注銷、行車許可的計(jì)算和發(fā)送、RBC移交等）；后者主要采用硬件冗余結(jié)構(gòu)，實(shí)現(xiàn)RBC與外界設(shè)備的數(shù)據(jù)交換。

2.3 安全計(jì)算機(jī)在鐵路車載系統(tǒng)中的應(yīng)用

列車車載設(shè)備包括車載安全計(jì)算機(jī)、軌道信息接收單元、應(yīng)答器信息接收單元、人機(jī)界面、測(cè)速測(cè)距模塊、制動(dòng)接口單元、記錄單元、軌道信息接收天線等部分，其中，車載安全計(jì)算機(jī)是列控系統(tǒng)車載設(shè)備的核心。

車載安全計(jì)算機(jī)負(fù)責(zé)接收其它車載設(shè)備提供的信息（如來(lái)自測(cè)速模塊的列車速度數(shù)據(jù)、來(lái)自軌道電路或無(wú)線通信天線的地面信息等），同時(shí)，根據(jù)列車參數(shù)、線路參數(shù)、行車許可、臨時(shí)限速等信息生成目標(biāo)- 距離模式曲線，采集列車速度信息并與目標(biāo)- 距離模式曲線進(jìn)行對(duì)比，在必要時(shí)輸出制動(dòng)命令，保證列車的安全運(yùn)行。

國(guó)內(nèi)工程實(shí)踐中，車載安全計(jì)算機(jī)普遍采用二乘二取二或三取二結(jié)構(gòu)。

3 鐵路信號(hào)領(lǐng)域安全計(jì)算機(jī)的研究方向

3.1 表決策略

實(shí)際應(yīng)用中，安全計(jì)算機(jī)普遍采用冗余設(shè)計(jì)，以計(jì)算機(jī)聯(lián)鎖系統(tǒng)為例，設(shè)置多個(gè)通道對(duì)數(shù)據(jù)進(jìn)行采集處理，同時(shí)，設(shè)置軟件冗余，使用多種程序編寫(xiě)方案，并使用多種編程語(yǔ)言實(shí)現(xiàn)其設(shè)計(jì)功能。為了實(shí)現(xiàn)可靠性、可用性、可維護(hù)性和安全性（RAMS）要求，除了硬件冗余（使用多個(gè)傳感、處理等設(shè)備）、軟件冗余（使用多種編程語(yǔ)言，多種設(shè)計(jì)方案）之外，還有時(shí)間冗余（重復(fù)執(zhí)行程序來(lái)檢測(cè)故障或者令系統(tǒng)從故障中恢復(fù)）、信息冗余（通信過(guò)程中附加信息來(lái)增加數(shù)據(jù)傳輸?shù)目煽啃裕┑热哂喾椒ā?/p>

文獻(xiàn)[11]中設(shè)計(jì)了一種新的二乘二取二結(jié)構(gòu)安全計(jì)算機(jī)，其創(chuàng)新之處在于新的表決策略。文章中包含2 種表決方案：（1）針對(duì)數(shù)據(jù)及狀態(tài)信息的表決；（2）針對(duì)系統(tǒng)輸出的表決。

針對(duì)數(shù)據(jù)及狀態(tài)信息的表決由第三方調(diào)配，其中，安全等級(jí)不高的表決任務(wù)只設(shè)置系內(nèi)表決，安全等級(jí)較高的表決任務(wù)需要將表決結(jié)果和被表決的數(shù)據(jù)同時(shí)輸出來(lái)進(jìn)行系間再次表決。

針對(duì)系統(tǒng)輸出的表決和傳統(tǒng)安全計(jì)算機(jī)采用邏輯電路進(jìn)行硬件表決的方法不同，設(shè)置了二乘二取二、三取二和二取二表決模式。

系統(tǒng)工作正常時(shí)，施行二乘二取二表決：系統(tǒng)A、B 兩系共4 個(gè)冗余模塊中某個(gè)單元出現(xiàn)故障時(shí)，其余3 個(gè)模塊施行三取二表決；系統(tǒng)4 個(gè)冗余模塊中某2個(gè)單元故障時(shí)，剩余2 個(gè)模塊施行二取二表決。其表決模式及安全性如表2 所示。

表2 新的二乘二取二安全計(jì)算機(jī)工作模式表

3.2 通信方式

安全計(jì)算機(jī)中，通常包含串口通信、CAN 總線通信和以太網(wǎng)通信3 大類通信協(xié)議。如文獻(xiàn)[5]中，二乘二取二的系內(nèi)通信采用外設(shè)部件互聯(lián)（PCI）接口的千兆以太網(wǎng)，邏輯部分和安全輸入、輸出之間的通信采用控制器局域網(wǎng)（CAN）總線。文獻(xiàn)[12]中采用包括RS232 和RS485 在內(nèi)的串口通信、CAN總線通信和以太網(wǎng)通信3 種方式。其中，串口通信作為傳感器接口、CAN 總線作為CPU 與I/O 板卡間通信、以太網(wǎng)通信負(fù)責(zé)整個(gè)安全計(jì)算機(jī)與外部設(shè)備的通信。

文獻(xiàn)[11]中針對(duì)系內(nèi)通信和系間通信采用不同的方式：系內(nèi)通信采用串口；系間通信采用CAN 總線。在通信安全防護(hù)方面，針對(duì)不同故障情況設(shè)置了不同的解決方案：針對(duì)數(shù)據(jù)重復(fù)的情況設(shè)置了周期數(shù)用于輔助表決；針對(duì)數(shù)據(jù)損壞導(dǎo)致危險(xiǎn)的故障情況，系內(nèi)通信由幀頭和幀尾擔(dān)保，系間CAN 通信由其自帶的循環(huán)冗余校驗(yàn)（CRC）解決；針對(duì)數(shù)據(jù)延遲，時(shí)限內(nèi)延遲不影響系統(tǒng)工作，時(shí)限外延遲首先從軟件商修復(fù)偏差，不能修復(fù)者作為不同步處理，系統(tǒng)降級(jí)運(yùn)行。

3.3 同步方式

現(xiàn)有安全計(jì)算機(jī)的同步方式主要包括時(shí)鐘同步和任務(wù)同步。其中，時(shí)鐘同步完全依靠硬件時(shí)鐘提供同步基準(zhǔn)，兩路CPU 單元使用同一個(gè)時(shí)鐘，通過(guò)系統(tǒng)時(shí)鐘實(shí)現(xiàn)內(nèi)部運(yùn)算單元同步工作以及總線數(shù)據(jù)比較；任務(wù)同步則完全依靠軟件實(shí)現(xiàn)同步功能，在軟件開(kāi)發(fā)時(shí)預(yù)先設(shè)置一系列時(shí)間點(diǎn)，軟件通過(guò)硬件進(jìn)行信息交換，確定自己的時(shí)間，從而實(shí)現(xiàn)整體同步。

時(shí)鐘同步完全依賴系統(tǒng)時(shí)鐘提供同步信息，其對(duì)于共模故障的抑制能力較差[13]。但是，同一個(gè)時(shí)鐘源并不能保證系統(tǒng)的完全同步。任務(wù)同步由于并不是完全同步，各個(gè)設(shè)備間存在同步時(shí)間差，因此對(duì)共模故障的抑制能力較強(qiáng)，但是同步偏差大，系統(tǒng)效率不高。

文獻(xiàn)[14]中提出了應(yīng)用于二乘二取二計(jì)算機(jī)的新的同步機(jī)制。新的同步機(jī)制包括硬件同步控制器、軟件同步時(shí)間點(diǎn)和總線硬件比較，分為系內(nèi)同步和系間同步2 部分。其中，系內(nèi)同步部分設(shè)置有多級(jí)時(shí)間同步窗口，當(dāng)系統(tǒng)內(nèi)同步控制邏輯電路認(rèn)為系內(nèi)兩路CPU 進(jìn)入同一時(shí)間同步窗口時(shí)，立刻發(fā)出同步中斷給CPU，實(shí)現(xiàn)兩路運(yùn)算單元的任務(wù)點(diǎn)同步。在兩路CPU 開(kāi)始數(shù)據(jù)比較時(shí)，啟動(dòng)總線輸出時(shí)鐘電路，兩路總線數(shù)據(jù)位對(duì)齊。

在實(shí)際應(yīng)用中，計(jì)算機(jī)聯(lián)鎖設(shè)備同步工作順序如下：（1）某系CPU 確定本系工作模式并確認(rèn)是否需要同步；（2）將同步后的數(shù)據(jù)信息傳輸至應(yīng)用軟件；（3）后者接受同步后的數(shù)據(jù)信息，讀取現(xiàn)場(chǎng)執(zhí)行單元狀態(tài)和監(jiān)控機(jī)指令并進(jìn)行計(jì)算；（4）當(dāng)運(yùn)算輸出單元的輸出進(jìn)行同步后，在硬件表決通過(guò)的前提下輸出至執(zhí)行單元進(jìn)行操作。

對(duì)于不同的設(shè)備，計(jì)算機(jī)聯(lián)鎖系統(tǒng)設(shè)置了不同的同步控制和處理機(jī)制。如主用系向非主用系同步數(shù)據(jù)時(shí)，主用系內(nèi)部?jī)陕稢PU 首先進(jìn)行同步及數(shù)據(jù)比較，一致后方可向備用系輸出；聯(lián)鎖主機(jī)在收到操作命令后，確認(rèn)主用系兩臺(tái)CPU 接收的同步命令相同時(shí)方能認(rèn)為該命令有效等。

文獻(xiàn)[5]中，面向地鐵的安全計(jì)算機(jī)在設(shè)計(jì)過(guò)程中，為了保證其安全性能，才用了時(shí)間同步、相位同步等幾種安全措施。其中，時(shí)間同步方面采用的是網(wǎng)絡(luò)時(shí)間協(xié)議的RFC5905 標(biāo)準(zhǔn)。相位同步方面，每個(gè)時(shí)鐘周期被分為9 個(gè)階段：輸入獲取，輸入數(shù)據(jù)同步，輸入數(shù)據(jù)表決，故障診斷，數(shù)據(jù)處理，輸出數(shù)據(jù)同步，輸出數(shù)據(jù)表決，故障診斷，輸出驅(qū)動(dòng)。其中，每個(gè)周期均包含兩個(gè)包含同步的表決階段，保證系統(tǒng)數(shù)據(jù)的同步性。

3.4 安全性評(píng)估

傳統(tǒng)的安全性評(píng)估方法是一種綜合的、結(jié)構(gòu)化的、邏輯性強(qiáng)的方法，包括但不限于故障樹(shù)分析法（FTA），故障模式與影響分析法（FMEA）和事件樹(shù)分析法等。

在采用這些方法分析之前，均需對(duì)被分析對(duì)象進(jìn)行一系列假設(shè)：（1）只關(guān)注系統(tǒng)的技術(shù)部分；（2）單一化系統(tǒng)運(yùn)行狀態(tài)；（3）系統(tǒng)單元的統(tǒng)計(jì)獨(dú)立性；（4）系統(tǒng)單元僅有兩個(gè)狀態(tài)（故障/ 非故障）；（5）系統(tǒng)不可修復(fù)；（6）系統(tǒng)故障數(shù)據(jù)可以獲得。但在情況復(fù)雜的實(shí)際應(yīng)用過(guò)程中，這些假設(shè)條件未必成立。為此，對(duì)傳統(tǒng)的安全評(píng)估方法進(jìn)行了諸多改進(jìn)，如在故障樹(shù)分析法的基礎(chǔ)上產(chǎn)生了動(dòng)態(tài)故障樹(shù)分析/ 時(shí)間故障樹(shù)分析；同時(shí)，新的方法得到應(yīng)用，包括Markov 模型分析[15-16]、仿真法（蒙特卡羅仿真）、Petri 網(wǎng)分析法和Bayesian 網(wǎng)分析法[17-18]等。

Markov 模型分析法主要側(cè)重于指數(shù)分布，對(duì)于復(fù)雜系統(tǒng)建模來(lái)講，使用要求較高，存在狀態(tài)空間爆炸的問(wèn)題。

仿真法可用于指數(shù)分布/ 非指數(shù)分布系統(tǒng)，但是，仿真法需要較大的存儲(chǔ)空間，運(yùn)行時(shí)間長(zhǎng)。

傳統(tǒng)Bayesian 網(wǎng)分析法適用于靜態(tài)領(lǐng)域的系統(tǒng)建模，不考慮系統(tǒng)的時(shí)間行為。而傳統(tǒng)Bayesian 網(wǎng)分析法與時(shí)間變量結(jié)合之后產(chǎn)生了新的方法，如動(dòng)態(tài)Bayesian 網(wǎng)分析法、時(shí)間Bayesian 網(wǎng)分析法、面向?qū)ο蟮膭?dòng)態(tài)Bayesian 網(wǎng)分析法等。

通常，Bayesian 網(wǎng)分析法的某個(gè)節(jié)點(diǎn)只代表離散或連續(xù)變量，但是混合Bayesian 網(wǎng)分析法在一個(gè)模型中可能同時(shí)含有離散和連續(xù)時(shí)間變量。

傳統(tǒng)Petri 網(wǎng)分析法分析難度低，但是，對(duì)于復(fù)雜系統(tǒng)的分析同樣存在狀態(tài)空間爆炸的問(wèn)題，另外，它不適合對(duì)系統(tǒng)中與時(shí)間相關(guān)的動(dòng)作進(jìn)行分析。

隨機(jī)Petri 網(wǎng)分析法[20-21]考慮了服從指數(shù)分布的轉(zhuǎn)換延遲，在其基礎(chǔ)上發(fā)展的通用隨機(jī)Petri 網(wǎng)分析法允許同一模型中立刻變遷和演示變遷同時(shí)存在。其中，立即變遷通常由黑色方形表示；延時(shí)變遷由白色方形表示，且立即變遷的優(yōu)先級(jí)高于延時(shí)變遷。

3.5 COTS部件和FPGA部件的使用

3.5.1 商用現(xiàn)成品和技術(shù)（COTS）部件的使用

文獻(xiàn)[22]提出了用于安全計(jì)算機(jī)的商用現(xiàn)成品和技術(shù)（COTS）部件安全性分析方法，使用危險(xiǎn)和可操作性（HAZOP）分析法對(duì)COTS 部件的危險(xiǎn)源進(jìn)行分析，包括基于結(jié)構(gòu)參考模型的HAZOP 分析法、基于功能分層模型的HAZOP 分析法兩種。

COTS 部件具有 “更好、更快、更低廉” 的特點(diǎn)，屬于一種通用的、標(biāo)準(zhǔn)化設(shè)計(jì)，但是，COTS 部件的使用給通用安全計(jì)算機(jī)平臺(tái)帶來(lái)2 個(gè)問(wèn)題：（1）使用COTS 部件設(shè)計(jì)通用安全計(jì)算機(jī)平臺(tái)時(shí)，后者的冗余部件很可能采用相同的硬件或軟件，隨之而來(lái)的是共因失效頻率的上升，如何在控制成本并滿足通用化的基礎(chǔ)上降低共因失效帶來(lái)的風(fēng)險(xiǎn)成為一個(gè)研究重點(diǎn)。（2）現(xiàn)有的COTS 部件本身無(wú)法滿足通用安全計(jì)算機(jī)對(duì)可靠性和安全性的苛刻要求，關(guān)于如何對(duì)COTS 部件進(jìn)行安全評(píng)估以及利用COTS 部件實(shí)現(xiàn)安全功能成為研究的重點(diǎn)。

3.5.2 基于現(xiàn)場(chǎng)可編程門陣列（FPGA）的使用

文獻(xiàn)[12]中，基于現(xiàn)場(chǎng)可編程門陣列（FPGA）的硬件平臺(tái)設(shè)計(jì)了應(yīng)答器報(bào)文系統(tǒng)。FPGA 技術(shù)正日益成熟，從只能作為中央處理器變?yōu)槟塥?dú)立承擔(dān)很多系統(tǒng)的控制任務(wù)。由于FPGA 具備高度靈活性，可以作為安全計(jì)算機(jī)的邏輯控制核心，方便地設(shè)置硬件冗余結(jié)構(gòu)，從而降低整套系統(tǒng)的研發(fā)時(shí)間和研發(fā)成本，更好地適應(yīng)現(xiàn)場(chǎng)需求。

4 結(jié)束語(yǔ)

安全計(jì)算機(jī)是保證列車安全運(yùn)行的核心組件。文章介紹了鐵路領(lǐng)域安全計(jì)算機(jī)的相關(guān)標(biāo)準(zhǔn)及安全計(jì)算機(jī)平臺(tái)通用架構(gòu)，從計(jì)算機(jī)聯(lián)鎖、車載系統(tǒng)、無(wú)線閉塞中心等方面總結(jié)了安全計(jì)算機(jī)在鐵路信號(hào)領(lǐng)域的應(yīng)用，從表決算法、同步方式、通信方式、安全性計(jì)算等方面研究了安全計(jì)算機(jī)的發(fā)展情況。研究表明，鐵路信號(hào)領(lǐng)域安全計(jì)算機(jī)的研究熱點(diǎn)主要集中在表決與同步的設(shè)計(jì)與實(shí)現(xiàn)、安全通信設(shè)計(jì)、安全評(píng)估算法、利用COTS 部件和FPGA 實(shí)現(xiàn)安全需求等方面。