城市軌道交通聯(lián)鎖系統(tǒng)的冗余結構分析

楊艷

摘 要：文章從城市軌道交通計算機聯(lián)鎖系統(tǒng)的層次結構出發(fā)，分別闡述了系統(tǒng)的可靠性與安全性概念，對雙機熱備、二乘二取二和三取二3種冗余結構從系統(tǒng)組成和功能等方面進行分析和比較，從經(jīng)濟角度和系統(tǒng)性能角度簡述了城市軌道交通正線和車輛段/停車場等不同場合適合選擇的冗余結構。

關鍵詞：可靠性與安全性;雙機熱備;二乘二取二;三取二

0 引言

從經(jīng)濟因素、歷史背景、聯(lián)鎖系統(tǒng)的控制規(guī)模、設備的技術層次等多方面來看，計算機聯(lián)鎖系統(tǒng)具有不同的體系結構。從功能角度來看，計算機聯(lián)鎖系統(tǒng)需要完成現(xiàn)場設備監(jiān)控、人機會話、聯(lián)鎖邏輯運算等多種任務，而這些任務如果僅由一臺計算機來做是很難完成且很費時間的。按執(zhí)行功能的計算機數(shù)量可劃分為單模塊系統(tǒng)和多模塊系統(tǒng)。計算機聯(lián)鎖系統(tǒng)一般采用多模塊結構，這種結構的計算機之間聯(lián)系方式不同，并且每臺計算機的功能也有區(qū)別。根據(jù)功能的繁簡程度，將整個計算機聯(lián)鎖系統(tǒng)劃分成若干個相對獨立的由不同類型的計算機進行處理的子模塊。

1 聯(lián)鎖系統(tǒng)的層次結構

層次結構就是按照聯(lián)鎖系統(tǒng)進路的控制層次來描述的結構。計算機聯(lián)鎖系統(tǒng)的層次結構從上層至下層可以分為人機對話層、聯(lián)鎖層和控制層，層次結構分為集中式控制和分散式控制。由同一臺計算機來完成系統(tǒng)每一層的功能稱為集中式控制結構;各層的功能分別由不同層次的計算機來處理稱為分散式控制結構。分散式控制結構的特點是將聯(lián)鎖系統(tǒng)的功能按照結構層次劃分成許多獨立又有一定聯(lián)系的功能模塊，各功能模塊都由對應的計算機來處理，從而使系統(tǒng)在計算機的配置上形成多種機器的分散式結構[1]。

為了保證系統(tǒng)的可靠和滿足故障—安全要求，計算機聯(lián)鎖系統(tǒng)采用一種以通用計算機技術為基礎構成的分散式控制結構。然而，對當前的工業(yè)控制計算機來說，其質量水平還不能滿足聯(lián)鎖系統(tǒng)的高可靠性要求，更不具備故障—安全的要求。因此，從軟件和硬件角度出發(fā)，采取多重冗余技術組成聯(lián)鎖系統(tǒng)的各層模塊，以此確保整個系統(tǒng)的高可靠性和高安全性要求。

2 聯(lián)鎖系統(tǒng)的可靠性與安全性分析

計算機聯(lián)鎖系統(tǒng)采用多重冗余結構的目的是通過增加相同性能的模塊來提高系統(tǒng)的可靠性和安全性。雖然從功能角度看，增加的模塊是多余的，但是從提高系統(tǒng)運行的角度看，多冗余結構是必需的。

系統(tǒng)或設備在規(guī)定的條件和規(guī)定的時間內完成規(guī)定功能的能力稱為可靠性（Reliability），而計算機聯(lián)鎖系統(tǒng)的可靠性冗余結構一般采用雙機熱備的二重系統(tǒng)，目的是達到可靠性指標或者超過目標值，是一種“或”的結構[2]。

在系統(tǒng)出現(xiàn)故障并且失效的情況下會造成設備以及相關環(huán)境的損壞保持在一個可以接受范圍的概率稱為安全性（Security），而計算機聯(lián)鎖系統(tǒng)的安全性冗余結構一般采用雙機并用且頻繁比較的二取二二重結構，目的是使系統(tǒng)的安全性指標達到或者超過目標值，是一種“與”的結構。

安全性與可靠性密切相關又有區(qū)別，兩者之間的區(qū)別在于目的性或者功能性不同?？煽啃灾饕潜M量保持系統(tǒng)在長時間的正常運行中能連續(xù)使用不發(fā)生故障，安全性的主要目的是防止人身傷亡和財產損失。計算機聯(lián)鎖系統(tǒng)既要具備高可靠性又必須具備高安全性，因此經(jīng)常使用雙機熱備、二乘二取二和三取二3種冗余結構。

3 聯(lián)鎖系統(tǒng)的冗余結構

3.1 雙機熱備結構

雙機熱備結構是由兩個具有相同硬件結構的能單獨完成同樣的規(guī)定功能的模塊組成。正常工作時，兩個模塊都上電工作并同時進行數(shù)據(jù)采集處理，但是只有工作模塊的值經(jīng)切換單元輸出。兩個模塊在工作過程中進行自檢，具有故障檢測功能。如果工作模塊發(fā)現(xiàn)自身問題時就給出一個控制信號，驅動切換模塊進行切換并停機維修。如果備用模塊出現(xiàn)問題就自動停機，并對備用模塊進行停機維修[3]。

一般采用比較法對雙機熱備結構進行故障檢測，要求雙機運行必須同步，這樣才能準確實現(xiàn)比較過程。同步指兩臺計算機在同一個時間間隔內運行相同的應用程序，運行的結果也要同時到達比較單元。同步的另外一種含義是在主機和備機兩者之間建立通信聯(lián)系，讓備機及時了解主機的控制驅動命令及進路等運行狀態(tài)，便于主機發(fā)生故障時可以立即終止輸出控制命令，備機能立即發(fā)動切換模塊接替輸出控制命令，可以防止出現(xiàn)突發(fā)性關閉信號影響行車作業(yè)安全。雙機熱備結構的系統(tǒng)有TYJL-Ⅱ型、DS6-11型、JD-ⅠA型、MicroLokⅡ型等。

3.2 二乘二取二結構

二乘二取二結構由系統(tǒng)Ⅰ與系統(tǒng)Ⅱ組成，每個系統(tǒng)又由系統(tǒng)A和系統(tǒng)B構成。在系統(tǒng)Ⅰ或系統(tǒng)Ⅱ上集成兩套嚴格同步實時比較的CPU，只有主備機運行一致的情況下才對外輸出結果，這種結構稱為“二取二”。用兩套完全相同的“二取二”子系統(tǒng)構成雙機熱備結構稱為“二乘”。系統(tǒng)Ⅰ與系統(tǒng)Ⅱ中有一個系統(tǒng)正常輸出就可以保障整個系統(tǒng)正常工作，因此提高了系統(tǒng)的可靠性。在任意一個由系統(tǒng)A和系統(tǒng)B構成的子系統(tǒng)中，只有A和B兩個系統(tǒng)同時正常工作才能有輸出，因此提高系統(tǒng)的安全性。每一套子系統(tǒng)內部具備安全性冗余結構，兩套子系統(tǒng)具備可靠性冗余結構，“二乘二取二”系統(tǒng)同時提高了系統(tǒng)的可靠性和安全性。

雙系熱備方式存在主用系和備用系的區(qū)別，只有主用系對外的輸出才被計算機采納，備用系只是用來校驗雙系之間的同步。備用系雖然送出、輸出，但是輸入/輸出計算機不使用它的輸出。出現(xiàn)故障的主用系通過切換單元自動地倒向備用系，所以雙系之間采用熱備工作模式。輸入/輸出計算機都以并聯(lián)的方式連接到被驅動的繼電器上，他們同時工作同時產生輸出，對Ⅰ系和Ⅱ系計算機來說是雙系熱備，對輸入/輸出計算機來說均以二重系并聯(lián)方式運行。

在二乘二取二系統(tǒng)中，主機采用兩個各執(zhí)行一套相同編碼的聯(lián)鎖程序的CPU，并對兩個CPU的操作進行比較，以此來檢測故障。只有當兩個CPU同時發(fā)生了相同的故障才有可能漏檢，但是發(fā)生這種可能性的概率很低，所以這種結構也是安全的。二乘二取二結構的系統(tǒng)有TYJL-ADX型、DS6-60型、DS6-K5B型、iLOCK型、EI32-JD型等。

3.3 三取二結構

三取二結構是由計算機、表決器、接口電路和故障檢測系統(tǒng)3臺構造相同又相互獨立的設備組成，只要三套系統(tǒng)中的任何兩套的輸出是相同的，那么表決器就有正確的輸出。對于該結構來講，如果三套結構中的任意一套結構發(fā)生了故障，整個結構仍然能正常工作。該結構相當于屏蔽了一個已經(jīng)發(fā)生故障的系統(tǒng)，使它不影響整個系統(tǒng)的正常工作，是一種利用故障屏蔽技術構成的系統(tǒng)。當經(jīng)過比較發(fā)現(xiàn)結果不一致的時候，要及時確認究竟是哪一臺設備出現(xiàn)了故障，需要及時地從系統(tǒng)中移除出現(xiàn)故障的設備。如果不及時地移除故障設備，當兩臺未出現(xiàn)故障的設備中的一臺的故障模式和之前已經(jīng)出現(xiàn)故障的設備的模式相同時，就有可能將正確的結果當成是錯誤的，錯誤的結果表決為正確的。從故障—安全的角度來看，該結構的表決器對三套系統(tǒng)進行兩兩比較，只有當任何兩套系統(tǒng)出現(xiàn)相同的輸出信息并發(fā)生了一樣的故障時，表決器才沒有辦法檢測出這種情況的錯誤信息。如果這種錯誤輸出信息又恰好是危險側信息，則會危及行車作業(yè)安全，這種故障稱為共模故障。

產生共模故障的主要原因是3個模塊的硬件和軟件在設計上完全相同，而且可能存在共同性的錯誤就會導致相同錯誤的輸出。避免共模故障的方法有兩種：一種是對主機的硬件和軟件采用不同的設計方法，這種方法需要更多的設計人員和多種硬件設備，不僅要花費很大的代價用于設計，而且還會給維護和儲存?zhèn)浼聿槐?。二是采取同樣設計但確保不存在設計錯誤，要能做到消除設計錯誤，這種方法則是可取的。在三取二結構中，只有兩個CPU同時發(fā)生了相同的故障才有可能產生危險側輸出，但出現(xiàn)這種情況的概率很低，因此該結構是安全的。三取二結構的系統(tǒng)有TYJL-TR9型等。

對于上述3種冗余結構來講，雙機熱備和二乘二取二結構屬于動態(tài)冗余技術，是一種故障切換結構。當檢測到系統(tǒng)內部發(fā)生故障時，通過系統(tǒng)內部重組來切除和替換故障部件的技術稱為動態(tài)冗余技術。三取二結構屬于靜態(tài)冗余技術，是一種故障屏蔽技術。利用冗余資源把故障產生的效應遮蓋起來，使系統(tǒng)在故障發(fā)生后仍能持續(xù)工作的技術稱為故障屏蔽技術。故障屏蔽技術和動態(tài)冗余技術對待故障處理的方式不同，都屬于容錯技術。

4 ? 結語

目前，城市軌道交通計算機聯(lián)鎖設備有國產和引進兩種進貨渠道，國產有TYJL系列、JD系列、DS系列和iLOCK系列等，引進有USS公司、Siemens公司、Thales公司等生產的設備。不管是國產還是引進，冗余結構都是上述所講的3種結構之一。3種冗余結構各有優(yōu)缺點，在選用何種制式時，需要從多種角度來看。國產的計算機聯(lián)鎖設備已經(jīng)不再開發(fā)三取二和雙機熱備這兩種冗余結構，現(xiàn)階段主要開發(fā)生產二乘二取二結構，但是雙機熱備結構的設備還在生產。二乘二取二結構的安全性、可靠性和穩(wěn)定性要明顯高于雙機熱備結構，但是價格明顯高于雙機熱備型。對于正線而言，一般采取二乘二取二結構。對于車輛段/停車場來說，雙機熱備結構就能夠滿足要求。

[參考文獻]

[1]林瑜筠.城市軌道交通聯(lián)鎖系統(tǒng)[M].北京：中國鐵道出版社，2013.

[2]林瑜筠.城市軌道交通聯(lián)鎖系統(tǒng)及其選用[J].鐵路通信信號工程技術，2016（6）：48-51.

[3]魏臻.計算機聯(lián)鎖系統(tǒng)二乘二取二結構的可靠性與安全性分析[J].鐵道通信信號，2019（12）：1-5.

（編輯 王永超）