吳永城

摘? 要：以軌道交通運(yùn)行過程中，計(jì)算機(jī)是保障交通安全性的重要技術(shù)設(shè)備。本文介紹了軌道交通的安全架構(gòu)形式，通過分析關(guān)鍵性指，并在使用的冗余結(jié)構(gòu)的基礎(chǔ)上，提出了優(yōu)化計(jì)算機(jī)體系結(jié)構(gòu)的相關(guān)設(shè)計(jì)。以期為其他軌道交通的計(jì)算機(jī)運(yùn)行全性分析提供參考。

關(guān)鍵詞：軌道交通;安全計(jì)算機(jī);可靠性;分析

中圖分類號(hào)：?? U285.4 文獻(xiàn)標(biāo)識(shí)碼：A

引言

計(jì)算機(jī)系統(tǒng)平臺(tái)是軌道交通信號(hào)控制系統(tǒng)的安全管理平臺(tái)，被廣泛應(yīng)用于公路、鐵路等設(shè)備運(yùn)行控制系統(tǒng)，是軌道交通信號(hào)系統(tǒng)的重要組成。隨著各種交通運(yùn)行速度的不斷加快，交通系統(tǒng)的維護(hù)周期要求越來越短。對(duì)控制命令和系統(tǒng)檢測維護(hù)的總線提出了更高要求。

1 軌道交通安防計(jì)算通訊機(jī)架構(gòu)分析

軌道交通安防計(jì)算機(jī)通訊分為以太網(wǎng)和內(nèi)部總線通訊。通常計(jì)算機(jī)和通信模塊通過以太網(wǎng)完的。為避免信號(hào)響應(yīng)延遲，通信模塊與輸入輸出模塊的數(shù)據(jù)傳輸會(huì)使用總線。在總線設(shè)計(jì)中，通常使用工業(yè)通信總線，或根據(jù)實(shí)際情況按工業(yè)總線自行設(shè)計(jì)。安全計(jì)算機(jī)通信總線有兩種：控制器局域網(wǎng)和多功能車輛總線。 局域網(wǎng)總線最初用于汽車電子系統(tǒng)的控制，后來被廣泛應(yīng)用于成為工業(yè)和航天控制領(lǐng)域的現(xiàn)場總線。多功能車輛總線總線目前多用于城市鐵路和地鐵軌道交通。鑒于這兩種總線的可靠性，在軌道交通領(lǐng)域，其安全計(jì)算機(jī)平臺(tái)常使用這兩種總線形式作為內(nèi)部總線。軌道交通安全計(jì)算機(jī)，不僅要求總線要有極高可靠性，而且還必須具有一定的故障安全功能。在使用現(xiàn)有總線當(dāng)作安全計(jì)算機(jī)的通信線路時(shí)，會(huì)增加一些故障檢測設(shè)計(jì)。主要信息編碼檢測和數(shù)據(jù)同步兩個(gè)方面來評(píng)估。通過信息檢測可以確定網(wǎng)絡(luò)是否正常運(yùn)行。如果一定時(shí)間內(nèi)沒收到報(bào)文，則可直接認(rèn)為網(wǎng)絡(luò)有問題。根據(jù)信息位中的數(shù)字“1”設(shè)置監(jiān)控位。當(dāng)出現(xiàn)奇數(shù)個(gè)“1”時(shí)，會(huì)在控制位中重復(fù)。當(dāng)“1”成對(duì)出現(xiàn)時(shí)，校驗(yàn)位是信息位的反向碼。信息驗(yàn)證被廣泛使用的信息檢測方法。定時(shí)錯(cuò)誤檢測設(shè)計(jì)，是通過設(shè)置通信周期來完成的，以檢查循環(huán)次數(shù)是否一致，設(shè)計(jì)最大困難在于如何設(shè)置信息同步。在二換二架構(gòu)中，其中個(gè)一是主系統(tǒng)，另一個(gè)是備份系統(tǒng)。系統(tǒng)的處理單元中，一個(gè)為主機(jī)，另一個(gè)定期向外發(fā)送同步數(shù)據(jù)，以保持系統(tǒng)同步。主機(jī)也向備用系統(tǒng)發(fā)送數(shù)據(jù)，以保持系統(tǒng)之間的信息同步。對(duì)于三換二架構(gòu)，如果在兩架構(gòu)的基礎(chǔ)上遵循同步原則，則設(shè)計(jì)會(huì)更加復(fù)雜。三臺(tái)主機(jī)要相互進(jìn)行多次數(shù)據(jù)交換。降低了數(shù)據(jù)同步的效率。所以，多數(shù)系統(tǒng)都采用單獨(dú)的同步時(shí)鐘線來實(shí)現(xiàn)信息和相關(guān)數(shù)據(jù)的同步^[1]。

2 安全計(jì)算機(jī)的故障安全實(shí)施

2.1 內(nèi)部式故障安全

內(nèi)部式故障安全，允許單個(gè)元件執(zhí)行安全功能。保證潛在的安全系統(tǒng)漏洞狀態(tài)無效。從根本上說，故障安全是使用組件或子系統(tǒng)安全特性，確保在安全功能故障下的系統(tǒng)安全。大多數(shù)情況下，安全設(shè)備利用相關(guān)元件的固有特性來確保整個(gè)系統(tǒng)的安全運(yùn)行。例如內(nèi)置繼電器利用彈力確保斷電。在計(jì)算機(jī)應(yīng)用于軌道交通信號(hào)領(lǐng)域之前，內(nèi)部式安全是最重要實(shí)現(xiàn)形式。通過信號(hào)繼電器對(duì)固有故障安全進(jìn)行設(shè)計(jì)，保證了信號(hào)系統(tǒng)故障安全架構(gòu)和冗余的正常運(yùn)行。由于其安全性和實(shí)用性高，所以在計(jì)算機(jī)軌道交通信號(hào)領(lǐng)域迅速得到應(yīng)用。內(nèi)部故障安全功能，其實(shí)現(xiàn)取決于機(jī)械結(jié)構(gòu)。為避免設(shè)備老化和過度使用導(dǎo)致的相關(guān)故障，因此需要定期進(jìn)行檢查，增加了相應(yīng)的系統(tǒng)維護(hù)工作量。

2.2組合故障安全

組合故障安全，要求信號(hào)系統(tǒng)中的安全功能，至少兩個(gè)相互獨(dú)立的元件執(zhí)行。只有在指定的項(xiàng)目數(shù)量不變時(shí)，系統(tǒng)才能執(zhí)行安全操作。在故障安全組合模型中，由A、B元件執(zhí)行各自的功能。A、B是安全功能的兩個(gè)項(xiàng)目。通過一個(gè)AND門連接，只有當(dāng)兩個(gè)元素一致時(shí)才允許輸出。A和B進(jìn)行功能故障檢測，可能會(huì)在檢測到故障后拒絕安全功能輸出。同樣，可以基于三種組合架構(gòu)，設(shè)計(jì)一個(gè)故障安全組合模型，包括 A、B 和 C 一起執(zhí)行與安全功能，確保只有在至少兩個(gè)元素一致時(shí)才能生成。所以，在故障檢測中，組合式故障安全，可以有效及時(shí)響應(yīng)單個(gè)故障或多個(gè)故障。并確保系統(tǒng)強(qiáng)制始終保持在安全狀態(tài)。

3 安全計(jì)算平臺(tái)的安全設(shè)計(jì)

3.1 安全計(jì)算平臺(tái)系統(tǒng)架構(gòu)設(shè)計(jì)階段

為實(shí)現(xiàn)安全計(jì)算機(jī)系統(tǒng)的有效運(yùn)行，必須通過采用結(jié)構(gòu)化的方法進(jìn)行架構(gòu)設(shè)計(jì)。首先，采用二取二表決的設(shè)計(jì)方法解決安全問題。必須確定計(jì)算、比較和決定，判定輸入數(shù)據(jù)是否一致。如果一致，則數(shù)據(jù)可被傳輸出來。這里的兩個(gè)通道在邏輯上是相關(guān)的。因此，雙通道架構(gòu)被稱為“二選一”。其架構(gòu)安全設(shè)計(jì)和注意事項(xiàng)包括，①安全系統(tǒng)與不安全系統(tǒng)應(yīng)分離：通信和電源等模塊要與安全輸入和輸出以及處理器相互分離。減少安全模塊和非安全模塊之間的聯(lián)系。②故障安全比較功能基于雙電子結(jié)構(gòu)，采用二換二架構(gòu)進(jìn)行數(shù)據(jù)的輸入、處理和輸出。 ③要基于內(nèi)部式故障安全電子結(jié)構(gòu)，采用重力安全繼電器等故障安全裝置。④要基于故障安全測量的單一電子結(jié)構(gòu)，確定系統(tǒng)進(jìn)行自啟動(dòng)監(jiān)控、自檢以及輸入輸出通道檢查，當(dāng)發(fā)現(xiàn)系統(tǒng)故障時(shí)確保及時(shí)切斷輸出。⑤系統(tǒng)要具故障安全比較功能，要使用不同的器件或電路進(jìn)行異構(gòu)設(shè)計(jì)，以有效減少常見系統(tǒng)故障原因的影響^[2]。

3.2安全計(jì)算平臺(tái)軟硬件實(shí)現(xiàn)階段

在軟硬件實(shí)施階段，必須按照規(guī)定進(jìn)行安全設(shè)計(jì)，以滿足系統(tǒng)安全完整性的等級(jí)要求。其具體實(shí)施階段的安全設(shè)計(jì)措施包括：

1）誤操作保護(hù)：對(duì)登錄命令、防御編程電纜和開關(guān)等進(jìn)行防止誤操作故障保護(hù)設(shè)計(jì)。

2）防止故意操縱故障保護(hù)：利用帳戶密碼、安全通信協(xié)議等方式，防止對(duì)相關(guān)數(shù)據(jù)信息的惡意操縱

3）防止單個(gè)故障：通過 FMEA 分析，識(shí)別所有危險(xiǎn)故障，或被證明具有固有的故障安全性，可使用安全繼電器或增強(qiáng)絕緣要求，以避免系統(tǒng)發(fā)生故障。

4）集成電路器件單一故障保護(hù)：通過檢測所有集成電路的各種故障，以及時(shí)消除危害。確保在發(fā)現(xiàn)兩路時(shí)鐘頻率不一致時(shí)，系統(tǒng)能自動(dòng)錯(cuò)誤復(fù)位^[3]。

5）單點(diǎn)故障檢測：通過FMEA 分析每種故障模式及其影響。采用初始自檢、周期性自檢的方式查找故障，以保證系統(tǒng)的安全運(yùn)行。同時(shí)要求軟件的檢測時(shí)間須在系統(tǒng)安全目標(biāo)范圍內(nèi)。

6）安全狀態(tài)維護(hù)：安全計(jì)算檢測到故障后，要及時(shí)切斷輸出電路的安全電源。 當(dāng)檢測到危險(xiǎn)側(cè)故障后，要確保CPU處于空閑工作狀態(tài)。如果安全通信協(xié)議遇到錯(cuò)誤信息，應(yīng)跳過錯(cuò)誤信息并上報(bào)告警。如果主系統(tǒng)故障，系統(tǒng)要會(huì)自動(dòng)切換到備用系統(tǒng)。如果主、備系統(tǒng)同時(shí)出現(xiàn)故障，系統(tǒng)要進(jìn)入安全側(cè)。

7）系統(tǒng)多點(diǎn)故障：系統(tǒng)檢測和消除多點(diǎn)故障，應(yīng)在安全目標(biāo)范圍內(nèi)。應(yīng)用 FTA 分析系統(tǒng)，確保在發(fā)生未檢測到的故障時(shí)，對(duì)系統(tǒng)運(yùn)行不會(huì)造成危害 。

8）應(yīng)用動(dòng)態(tài)故障檢測：在實(shí)施應(yīng)用階段，可使用動(dòng)態(tài)脈沖編碼，對(duì)系統(tǒng)輸入和輸出通道進(jìn)行實(shí)時(shí)檢測。以及時(shí)恢復(fù)通道故障安全。

9）程序時(shí)序檢測：系統(tǒng)軟件必須監(jiān)控程序時(shí)序和邏輯的運(yùn)行情況，以及時(shí)可以發(fā)現(xiàn)故障時(shí)，能自動(dòng)關(guān)閉故障單元，確保系統(tǒng)的安全^[4]。

結(jié)束語

隨著交通運(yùn)行速度的不斷提高，對(duì)其控制系統(tǒng)的安全性的要求越來越高。軌道交通安全計(jì)算機(jī)，作為交通系統(tǒng)的重要部分，提高了交通系統(tǒng)的實(shí)用和數(shù)據(jù)的傳輸效率，提高了軌道交通系統(tǒng)的運(yùn)行質(zhì)量。通過簡化和優(yōu)化故障安全設(shè)計(jì)框架和檢測功能關(guān)閉過程，提高了安全計(jì)算機(jī)控制性能。并對(duì)軌道交通安全計(jì)算機(jī)的反應(yīng)故障安全進(jìn)行優(yōu)化，提升了安全計(jì)算故障安全系統(tǒng)準(zhǔn)確性。

參考文獻(xiàn)：

[1] 杜思奇. 綜合考慮安全性與可靠性的安全冗余結(jié)構(gòu)改進(jìn)[D].北京交通大學(xué)，2019.

[2] 趙得亮. 基于VxWorks+QNX實(shí)時(shí)系統(tǒng)的異構(gòu)安全計(jì)算機(jī)設(shè)計(jì)[D].北京交通大學(xué)，2019.

[3] 韓佳偉. 帶有第三方監(jiān)控功能的安全平臺(tái)仿真軟件研究與設(shè)計(jì)[D].北京交通大學(xué)，2019.

[4] 高鶯，曹源，孫永奎，馬連川，洪春華，張玉琢.面向車車通信的安全計(jì)算機(jī)時(shí)間約束性分析驗(yàn)證[J].通信學(xué)報(bào)，2018，39（12）：82-90.