合肥工大鐵路信號計算機聯鎖系統的研究與設計解決方案
摘要:本文介紹了適用于企業自備鐵路的信號計算機聯鎖系統的控制需求與設計方案,重點闡述了故障——安全原理在鐵路信號系統中的應用與實現。
關鍵詞:鐵路信號 故障——安全 冗余技術 結合電路
Abstract : This paper introduces the control requirement and design plan of MLS which can be the same with the enterprise抯 railway provided for itself ,how to apply and implement the fail-safe theory in the Railway Signal System is my paper抯 emphases.
Keywords : railway signal fail--safe redundancy bbbb circuit
1. 引 言
隨著鐵路運輸朝著高密、重載及高速的方向發展,既有的車站鐵路信號聯鎖裝置已無法適應鐵路信號對可靠性與故障——安全性的更高要求。就技術方面而言,鐵路信號系統已經歷了機械聯鎖、電氣聯鎖(繼電聯鎖)等二個階段,目前在我國干線鐵路或企業自備鐵路上所使用的聯鎖系統絕大多數仍為繼電聯鎖系統。70年代末期新型微處理器的出現以及容錯理論與技術的逐步完善,激勵人們以微型計算機為核心構成計算機聯鎖系統。
但是常規的計算機控制系統并不具有故障——安全特性,也即不具有辯別外部輸入信息的正確與否或在系統故障時能將系統導向安全的能力,在應用中受到了極大的限制。目前在我國干線鐵路上裝備的計算機聯鎖系統大多系國外鐵路信號公司的容錯計算機信號控制系統,其價格相當昂貴。因此近年內國內不少鐵路行業科研院所都將研制故障——安全的鐵路信號控制系統作為近期的主要工作。
2. 鐵路信號計算機聯鎖系統的性能要求分析
2.1. 計算機聯鎖系統的基本結構
由于計算機聯鎖系統的綜合性能遠遠超過繼電聯鎖系統,因此車站聯鎖系統由繼電裝置向計算機聯鎖系統轉化已成為一種不可扭轉的趨勢。具體來說計算機聯鎖系統的優勢主要表現在適時性、安全性、可靠性、可維護性及性價比等若干方面。
計算機聯鎖系統是利用目前已有的工業控制計算機,研制一套專用的硬件與軟件系統實現信號、進路與道岔間的聯鎖關系,因此它實質上是一個滿足故障——安全信號原則的聯鎖邏輯運算系統,計算機在系統中的作用是將操作命令與現場各種輸入的表示信息讀入,再根據計算機內部狀態等條件進行邏輯運算,判斷后輸出控制信息至執行機構,實現多變量數字輸入和多變量數字輸出這樣一個復雜傳遞函數的變換,圖1是邏輯運算系統的原理圖。
圖1 聯鎖邏輯運算系統原理圖
2.2. 實時性要求
聯鎖系統必須不失時機地采集到輸入變量的變化情況,及時刷新站場各類表示信息,及時輸出道岔和信號的控制命令,而且對涉及安全(危險側[1])的控制命令必須以具有故障——安全特征的形式輸出。
2.3. 可靠性與故障——安全性
信號聯鎖系統是一種實時控制系統,它必須是高可靠的,通常繼電聯鎖系統在采取預防性維護措施的前提下其MTBF可達1.3×105h[2](約15年),采用工業級的控制計算機與容錯技術完全可以達到并超出這一指標。
具體來說,對計算機聯鎖系統而言必須解決兩個主要問題。
系統內信息傳遞的可靠性與安全性:鑒于工業計算機自身不具備故障——安全特性,因此系統內傳遞的信息也不具備安全性,受各種干擾、輻射以及各類故障的影響, 信息畸變在所難免,從而造成邏輯運算錯誤而可能引發危險側輸出。
系統內信息變換及邏輯運算的安全性:就聯鎖程序而言,無論設計調試方法多么嚴密也很難排除所有隱含的缺陷,這就要求必須引入避錯及容錯機制使故障形成的危險側運算結果輸出的概率達到規定的要求。
2.4. 結構模塊化與標2.5. 準化
鐵路站場的規模與作業需求不盡相同,因而無論是硬件還是軟件都必須具有模塊化結構特征,硬件模塊化、軟件真正實現程序、數據的有效分離。
2.5. 經濟性
計算機聯鎖系統取代繼電聯鎖系統的另外一個重要原因是為了降低系統費用成本,一般來說系統費用表現在設計、制作、施工、調試以及建筑費用上,因此計算機聯鎖系統必須在以上若干方面充分顯示其優勢。
2.6. 功能擴展
舊有的繼電聯鎖系統只能提供基本聯鎖功能與操作界面,新型計算機聯鎖系統除此之外,還應具有故障診斷與分析、重演、遠程通信及其他管理功能。
3. 總體設計方案與關鍵技術
筆者在認真分析了計算機聯鎖系統的性能特點以及對故障——安全性的特殊要求基礎上,提出了適合于企業自備鐵路使用的系統體系結構并實際運用于揚子石化公司二個自備鐵路站場(道岔總數量約為80組,屬大型編組站場),該系統被命名為HJ04A鐵路信號計算機聯鎖系統,以下簡稱HJ04A系統。
3.1. 系統結構與工作原理
從HJ04A系統的體系結構來看屬于二級集散式控制系統(系統結構詳見圖2),突破了舊有的集中式信號系統模式,具有模塊化、層次化等特點。模塊化是指聯鎖機主模塊、PLC及信號結合模塊等,層次化是指系統具有操作表示層、聯鎖運算層、復核驅動層、結合電路層及監控對象層等五個物理層次。這種結構的優點在于可根據車站規模的大小、作業需求的不同,在不改變聯鎖軟件的基礎上通過修改站場靜態數據并增設相應硬件模塊,即可滿足系統的擴容要求,先進的控制體系結構結合工藝設計使得系統調試周期與現場施工、開通周期均大為縮短,具有很好的經濟與實用性。
3.1.1. 人機對話層
將來自鍵盤、鼠標等操作輸入,經串口送達聯鎖計算機,同時在圖形顯示器上顯示站場表示信息。在站場規模較大致使聯鎖計算機負擔較重或需要多終端操作的情況下,可設置操作命令采集機進行操作命令輸入的有效性判別并轉換成約定格式傳送給聯鎖計算機。
3.1.2. 聯鎖運算層
聯鎖微機是系統的核心部分,承擔著操作輸入的判別、聯鎖信號的調理及分析、邏輯運算、控制命令生成、故障診斷等任務,其可靠性、安全性對系統的總體故障—安全性能有較大影響,HJ04A系統中設置了兩臺聯鎖微機,其中一臺為冷備機,可進行人工切換。
3.1.3. 復核驅動層
復核驅動層由PLC組成,其承擔著采集表示信息并將聯鎖微機下達的操作命令轉化為故障—安全的控制信號的任務,作為系統安全性設計的重要環節之一,PLC還承擔著對聯鎖微機形成的操作命令進行復核檢查的屏障作用。
3.1.4. 結合電路層
結合電路的任務之一是實現現場監控設備 表示信息與PLC輸出的驅動信號的安全邏輯轉換,使PLC的輸入、輸出信息均具有故障—安全性能。
任務之二是用專用電路規范監控設備的測控過程,即包括表示信息采集機制與設備驅動流程。
3.1.5. 監控對象層
監控設備是指聯鎖系統的現場設備,即道岔、信號機與軌道電路。
3.2. 可靠性及故障—安全設計
目前,國內外進行高可靠系統的容錯設計多采用三模靜態冗余方案或二模動態冗余方案。其中前者完全是靠硬件冗余來提升可靠性的,后者則不僅使用了硬件冗余資源,同時也使用了故障檢測技術與軟件冗余資源。這二種方案的共同特點是對硬件故障具有較強的屏蔽與糾錯能力。然而這二種方案均存在一定的實現難度與缺陷,三模冗余系統必須實現三模的同步進程及表決器的高可靠設計,尤其需要解決時鐘容錯的問題;二模動態冗余系統則要求冗余管理機構的高效與可靠性。目前這二類系統的可靠性計算都是在設定表決器或冗余管理機構的可靠度R(t)=1的基礎上進行的[3],同時由于設備直接投資成本過高,因而在非航天、通訊等可靠性要求很高的領域應用不多。
在鐵路信號領域,由于行車安全被認為是超過效率的重要考慮,因此相應對計算機聯鎖系統的可靠性與安全性要求很高,針對這種情況,可以有二種方式供我們在設計中進行選擇。其一是強化系統的可靠性設計,這是基于可靠性理論包含了系統故障的屏蔽效應,因而用高可靠性換取系統的低故障率,以此隱含了對安全性的相對提升。但可靠性技術總是受一定的條件所限制,如硬件冗余資源使用、采用高可靠器件等,這完全取決于系統的可靠性要求及財力許可。其次我們可以基于這樣一個思路來考慮問題:如果計算機聯鎖系統在保證一定可靠性要求基礎上并結合故障—安全技術來得以實現,實質上也就是說犧牲少量的效率來避免昂貴的成本并換取系統的高安全性,同樣也能滿足鐵路信號對聯鎖系統的性能要求。
圖2 HJ04A計算機聯鎖系統結構
圖2所示的HJ04A計算機聯鎖系統實質上是一個具有冷備聯鎖微機的單模(聯鎖機)系統,但可以設想:在系統可維護性較好并能使其平均故障恢復時間MTTR盡可能縮短的情況下(HJ04A系統結合故障診斷及模塊化設計技術,MTTR通常小于2分鐘),HJ04A系統在聯鎖微機級模塊相當于二模動態冗余系統。
基于以上考慮,HJ04A系統的關鍵技術設計中主要融入了以下思想及技術措施。
3.2.1. 結構模塊化、標準化,便于系統擴展并提高可維護性
HJ04A系統的硬件結構模塊化設計主要體現在聯鎖機、PLC及安全信號結合電路的組合等三種主要設備或部件上。
HJ04A系統的標準化設計主要體現在聯鎖軟件與結合電路上。聯鎖軟件可以適應不同站場規模、不同作業要求;結合電路則可針對室外設備的不同類型具有通用性與兼容性。
3.2.2. 系統故障診斷與安全導向
HJ04A系統采用單模二級復核式容錯結構的一個重要實現基礎就是系統必須具有強大的故障診斷功能,只有這樣才能保證系統在故障狀態下的安全導向與快速維修響應速度。
聯鎖系統的硬件故障通常表現在聯鎖主機、PLC與結合電路模塊、工作電源等設備上,軟件故障表現為程序跑飛、技術條件錯誤、通信異常等。這些故障的表現方式及造成的結果不盡相同,有些故障可以及時發現,有些則難以識別;有些故障僅影響系統工作但不至于危及安全,而另外一些故障則可能造成危險側輸出。因些應當區別對待并采取相應的處理方式。
聯鎖系統的故障層次可被總結為邏輯層、數據層及系統層等三個層次上,其故障表現不盡相同但互為交叉,因此需針對不同的故障表現采取不同的故障診斷方法,故障確診后再使用相應的故障處理措施以使系統導向安全或及時報警提示。
3.2.3. 變換聯鎖信號的邏輯表達形式
在聯鎖系統中,與安全相關的信息是由具體的硬件設備的狀態來表達的,這些硬件設備一般存在二個邏輯狀態(指數字量),其中一個狀態代表安全側信息,另一個狀態代表危險側信息。根據故障—安全原則,凡是參與傳遞、存貯、處理和產生非安全信息的硬件設備故障時,必須以極大的概率導向安全側狀態,這就必須使電子電路的輸出具有故障不對稱性,也即在電路故障時輸出安全側的概率占壓倒性優勢。顯然常規的電子電路與邏輯表達方法難以滿足需求,其基本原因是“s-a-0”與“s-a-1”二種固定邏輯型故障是基本對稱的。因此需要變換聯鎖信號的邏輯表達形式以及相應的電路結構才能實現。在HJ04A系統中,我們總結并采用了動/靜形式結合相位判斷的安全邏輯變量表達形式,也即用“脈動電平邏輯”表達設備的危險側狀態信息,很好地滿足了聯鎖系統對安全邏輯的容錯要求。
3.2.4. 算法冗余
聯鎖系統的系統層故障表現為產生了不正確的輸出控制命令(包括危險側控制命令),控制命令的錯誤有二種可能引發的原因。
系統中傳輸、存貯過程中的信息畸變必將體現在邏輯運算變量中, 從而 造成邏輯運算錯誤, 這一點已在前面介紹的3.2.2與3.2.3條中有過描述并提出了相應的解決方案。
聯鎖或PLC復 核軟件出錯一方面有可能是由各自的CPU或所使用的指 令引發的, 但更多的是被轉化為程序的任務、技術條件的錯誤。因此, 能夠識別技術條件的錯誤, 也就能預防由此而 引發錯誤運算結果的輸出。
基于“同樣一個數據變換調理錯誤或程序錯誤(永久性或暫時性)在二套算法不同的程序中同時出現的概率極小”[4]這樣一個基本認識,HJ04A系統的控制命令生成采用了二級運算結果的一致判決機制,也就是雙份軟件判別機制。
表1顯示在聯鎖、復核二級程序中所使用的不同技術備件與硬件、軟件平臺,由于聯鎖、復核二級軟件不僅所處的物理空間不同、使用的編程語言不同、參予運算的邏輯變量不同,而且各自所使用的技術條件也完全不同,從而有效地解決了因系統硬件故障或軟件出錯而帶來的系統安全性問題。
4. 總 結
由揚子石化公司與合肥工業大學合作研制開發的HJ04A鐵路信號計算機聯鎖系統除已在揚子石化二個編組場成功應用外,目前又在冶金系統內西寧鋼廠、鞍鋼、包鋼等國有大中型企業進行推廣,具有較好的應用前景。總結起來,在HJ04A系統中我們已經建立了一整套運用于企業自備鐵路使用的信號聯鎖系統技術解決方案并重點解決了以下幾個問題。
4.1 在單模控制體系結構中,通過對鐵路信號的深入分析,較為完整地建立了鐵路信號聯鎖系統的故障模型并提出了相應的故障診斷與安全導向方案。
4.2 在企業自備鐵路信號領域內較早采用了二級集散式控制體系結構,即采用聯鎖、復核二級檢查機制,有效地解決了因CPU與編程語言缺陷、算法與編碼錯誤而有可能帶來的系統錯誤輸出問題。
4.3 采用變換聯鎖信號的表達形式來解決系統的I/O接口安全性問題,研制了一整套故障—安全的結合電路,有效地防范了“s-a-0”或“s-a-1”固定邏輯型故障對系統整體安全性的破壞。
4.4 聯鎖、復核二級用戶程序均有效實現了程序、數據分離的設計思想。
4.5 建立了一套量化計算聯鎖系統可靠性與安全性的評價體系。
但正如在HJ04A系統的鑒定意見中專家們的建議那樣,HJ04A系統的設計定位僅僅只放在了企業自備鐵路上,如果真正欲使該系統在應用面與技術水平上更進一步,還需在系統可靠性設計上進行重新定位;對部分目前少數仍在使用的觸點型安全型繼電器進行全電子化設計,我們將在后期的研究中努力予以實現。
參考資料
[1] 何文卿,6502電氣集中電路,中國鐵道出版社,1990,P33~35
[2] 趙志熙,微機聯鎖技術,中國鐵道出版社,1995,P77~79
[3] [美] P.K.拉.拉,容錯與故障可測性系統設計,中國鐵道出版社,1989,P92~114
[4] [英] 保羅.魯克,軟件可靠性手冊,航空工業出版社,1996,P73~82
關鍵詞:鐵路信號 故障——安全 冗余技術 結合電路
Abstract : This paper introduces the control requirement and design plan of MLS which can be the same with the enterprise抯 railway provided for itself ,how to apply and implement the fail-safe theory in the Railway Signal System is my paper抯 emphases.
Keywords : railway signal fail--safe redundancy bbbb circuit
1. 引 言
隨著鐵路運輸朝著高密、重載及高速的方向發展,既有的車站鐵路信號聯鎖裝置已無法適應鐵路信號對可靠性與故障——安全性的更高要求。就技術方面而言,鐵路信號系統已經歷了機械聯鎖、電氣聯鎖(繼電聯鎖)等二個階段,目前在我國干線鐵路或企業自備鐵路上所使用的聯鎖系統絕大多數仍為繼電聯鎖系統。70年代末期新型微處理器的出現以及容錯理論與技術的逐步完善,激勵人們以微型計算機為核心構成計算機聯鎖系統。
但是常規的計算機控制系統并不具有故障——安全特性,也即不具有辯別外部輸入信息的正確與否或在系統故障時能將系統導向安全的能力,在應用中受到了極大的限制。目前在我國干線鐵路上裝備的計算機聯鎖系統大多系國外鐵路信號公司的容錯計算機信號控制系統,其價格相當昂貴。因此近年內國內不少鐵路行業科研院所都將研制故障——安全的鐵路信號控制系統作為近期的主要工作。
2. 鐵路信號計算機聯鎖系統的性能要求分析
2.1. 計算機聯鎖系統的基本結構
由于計算機聯鎖系統的綜合性能遠遠超過繼電聯鎖系統,因此車站聯鎖系統由繼電裝置向計算機聯鎖系統轉化已成為一種不可扭轉的趨勢。具體來說計算機聯鎖系統的優勢主要表現在適時性、安全性、可靠性、可維護性及性價比等若干方面。
計算機聯鎖系統是利用目前已有的工業控制計算機,研制一套專用的硬件與軟件系統實現信號、進路與道岔間的聯鎖關系,因此它實質上是一個滿足故障——安全信號原則的聯鎖邏輯運算系統,計算機在系統中的作用是將操作命令與現場各種輸入的表示信息讀入,再根據計算機內部狀態等條件進行邏輯運算,判斷后輸出控制信息至執行機構,實現多變量數字輸入和多變量數字輸出這樣一個復雜傳遞函數的變換,圖1是邏輯運算系統的原理圖。
圖1 聯鎖邏輯運算系統原理圖
2.2. 實時性要求
聯鎖系統必須不失時機地采集到輸入變量的變化情況,及時刷新站場各類表示信息,及時輸出道岔和信號的控制命令,而且對涉及安全(危險側[1])的控制命令必須以具有故障——安全特征的形式輸出。
2.3. 可靠性與故障——安全性
信號聯鎖系統是一種實時控制系統,它必須是高可靠的,通常繼電聯鎖系統在采取預防性維護措施的前提下其MTBF可達1.3×105h[2](約15年),采用工業級的控制計算機與容錯技術完全可以達到并超出這一指標。
具體來說,對計算機聯鎖系統而言必須解決兩個主要問題。
系統內信息傳遞的可靠性與安全性:鑒于工業計算機自身不具備故障——安全特性,因此系統內傳遞的信息也不具備安全性,受各種干擾、輻射以及各類故障的影響, 信息畸變在所難免,從而造成邏輯運算錯誤而可能引發危險側輸出。
系統內信息變換及邏輯運算的安全性:就聯鎖程序而言,無論設計調試方法多么嚴密也很難排除所有隱含的缺陷,這就要求必須引入避錯及容錯機制使故障形成的危險側運算結果輸出的概率達到規定的要求。
2.4. 結構模塊化與標2.5. 準化
鐵路站場的規模與作業需求不盡相同,因而無論是硬件還是軟件都必須具有模塊化結構特征,硬件模塊化、軟件真正實現程序、數據的有效分離。
2.5. 經濟性
計算機聯鎖系統取代繼電聯鎖系統的另外一個重要原因是為了降低系統費用成本,一般來說系統費用表現在設計、制作、施工、調試以及建筑費用上,因此計算機聯鎖系統必須在以上若干方面充分顯示其優勢。
2.6. 功能擴展
舊有的繼電聯鎖系統只能提供基本聯鎖功能與操作界面,新型計算機聯鎖系統除此之外,還應具有故障診斷與分析、重演、遠程通信及其他管理功能。
3. 總體設計方案與關鍵技術
筆者在認真分析了計算機聯鎖系統的性能特點以及對故障——安全性的特殊要求基礎上,提出了適合于企業自備鐵路使用的系統體系結構并實際運用于揚子石化公司二個自備鐵路站場(道岔總數量約為80組,屬大型編組站場),該系統被命名為HJ04A鐵路信號計算機聯鎖系統,以下簡稱HJ04A系統。
3.1. 系統結構與工作原理
從HJ04A系統的體系結構來看屬于二級集散式控制系統(系統結構詳見圖2),突破了舊有的集中式信號系統模式,具有模塊化、層次化等特點。模塊化是指聯鎖機主模塊、PLC及信號結合模塊等,層次化是指系統具有操作表示層、聯鎖運算層、復核驅動層、結合電路層及監控對象層等五個物理層次。這種結構的優點在于可根據車站規模的大小、作業需求的不同,在不改變聯鎖軟件的基礎上通過修改站場靜態數據并增設相應硬件模塊,即可滿足系統的擴容要求,先進的控制體系結構結合工藝設計使得系統調試周期與現場施工、開通周期均大為縮短,具有很好的經濟與實用性。
3.1.1. 人機對話層
將來自鍵盤、鼠標等操作輸入,經串口送達聯鎖計算機,同時在圖形顯示器上顯示站場表示信息。在站場規模較大致使聯鎖計算機負擔較重或需要多終端操作的情況下,可設置操作命令采集機進行操作命令輸入的有效性判別并轉換成約定格式傳送給聯鎖計算機。
3.1.2. 聯鎖運算層
聯鎖微機是系統的核心部分,承擔著操作輸入的判別、聯鎖信號的調理及分析、邏輯運算、控制命令生成、故障診斷等任務,其可靠性、安全性對系統的總體故障—安全性能有較大影響,HJ04A系統中設置了兩臺聯鎖微機,其中一臺為冷備機,可進行人工切換。
3.1.3. 復核驅動層
復核驅動層由PLC組成,其承擔著采集表示信息并將聯鎖微機下達的操作命令轉化為故障—安全的控制信號的任務,作為系統安全性設計的重要環節之一,PLC還承擔著對聯鎖微機形成的操作命令進行復核檢查的屏障作用。
3.1.4. 結合電路層
結合電路的任務之一是實現現場監控設備 表示信息與PLC輸出的驅動信號的安全邏輯轉換,使PLC的輸入、輸出信息均具有故障—安全性能。
任務之二是用專用電路規范監控設備的測控過程,即包括表示信息采集機制與設備驅動流程。
3.1.5. 監控對象層
監控設備是指聯鎖系統的現場設備,即道岔、信號機與軌道電路。
3.2. 可靠性及故障—安全設計
目前,國內外進行高可靠系統的容錯設計多采用三模靜態冗余方案或二模動態冗余方案。其中前者完全是靠硬件冗余來提升可靠性的,后者則不僅使用了硬件冗余資源,同時也使用了故障檢測技術與軟件冗余資源。這二種方案的共同特點是對硬件故障具有較強的屏蔽與糾錯能力。然而這二種方案均存在一定的實現難度與缺陷,三模冗余系統必須實現三模的同步進程及表決器的高可靠設計,尤其需要解決時鐘容錯的問題;二模動態冗余系統則要求冗余管理機構的高效與可靠性。目前這二類系統的可靠性計算都是在設定表決器或冗余管理機構的可靠度R(t)=1的基礎上進行的[3],同時由于設備直接投資成本過高,因而在非航天、通訊等可靠性要求很高的領域應用不多。
在鐵路信號領域,由于行車安全被認為是超過效率的重要考慮,因此相應對計算機聯鎖系統的可靠性與安全性要求很高,針對這種情況,可以有二種方式供我們在設計中進行選擇。其一是強化系統的可靠性設計,這是基于可靠性理論包含了系統故障的屏蔽效應,因而用高可靠性換取系統的低故障率,以此隱含了對安全性的相對提升。但可靠性技術總是受一定的條件所限制,如硬件冗余資源使用、采用高可靠器件等,這完全取決于系統的可靠性要求及財力許可。其次我們可以基于這樣一個思路來考慮問題:如果計算機聯鎖系統在保證一定可靠性要求基礎上并結合故障—安全技術來得以實現,實質上也就是說犧牲少量的效率來避免昂貴的成本并換取系統的高安全性,同樣也能滿足鐵路信號對聯鎖系統的性能要求。
圖2 HJ04A計算機聯鎖系統結構
圖2所示的HJ04A計算機聯鎖系統實質上是一個具有冷備聯鎖微機的單模(聯鎖機)系統,但可以設想:在系統可維護性較好并能使其平均故障恢復時間MTTR盡可能縮短的情況下(HJ04A系統結合故障診斷及模塊化設計技術,MTTR通常小于2分鐘),HJ04A系統在聯鎖微機級模塊相當于二模動態冗余系統。
基于以上考慮,HJ04A系統的關鍵技術設計中主要融入了以下思想及技術措施。
3.2.1. 結構模塊化、標準化,便于系統擴展并提高可維護性
HJ04A系統的硬件結構模塊化設計主要體現在聯鎖機、PLC及安全信號結合電路的組合等三種主要設備或部件上。
HJ04A系統的標準化設計主要體現在聯鎖軟件與結合電路上。聯鎖軟件可以適應不同站場規模、不同作業要求;結合電路則可針對室外設備的不同類型具有通用性與兼容性。
3.2.2. 系統故障診斷與安全導向
HJ04A系統采用單模二級復核式容錯結構的一個重要實現基礎就是系統必須具有強大的故障診斷功能,只有這樣才能保證系統在故障狀態下的安全導向與快速維修響應速度。
聯鎖系統的硬件故障通常表現在聯鎖主機、PLC與結合電路模塊、工作電源等設備上,軟件故障表現為程序跑飛、技術條件錯誤、通信異常等。這些故障的表現方式及造成的結果不盡相同,有些故障可以及時發現,有些則難以識別;有些故障僅影響系統工作但不至于危及安全,而另外一些故障則可能造成危險側輸出。因些應當區別對待并采取相應的處理方式。
聯鎖系統的故障層次可被總結為邏輯層、數據層及系統層等三個層次上,其故障表現不盡相同但互為交叉,因此需針對不同的故障表現采取不同的故障診斷方法,故障確診后再使用相應的故障處理措施以使系統導向安全或及時報警提示。
3.2.3. 變換聯鎖信號的邏輯表達形式
在聯鎖系統中,與安全相關的信息是由具體的硬件設備的狀態來表達的,這些硬件設備一般存在二個邏輯狀態(指數字量),其中一個狀態代表安全側信息,另一個狀態代表危險側信息。根據故障—安全原則,凡是參與傳遞、存貯、處理和產生非安全信息的硬件設備故障時,必須以極大的概率導向安全側狀態,這就必須使電子電路的輸出具有故障不對稱性,也即在電路故障時輸出安全側的概率占壓倒性優勢。顯然常規的電子電路與邏輯表達方法難以滿足需求,其基本原因是“s-a-0”與“s-a-1”二種固定邏輯型故障是基本對稱的。因此需要變換聯鎖信號的邏輯表達形式以及相應的電路結構才能實現。在HJ04A系統中,我們總結并采用了動/靜形式結合相位判斷的安全邏輯變量表達形式,也即用“脈動電平邏輯”表達設備的危險側狀態信息,很好地滿足了聯鎖系統對安全邏輯的容錯要求。
3.2.4. 算法冗余
聯鎖系統的系統層故障表現為產生了不正確的輸出控制命令(包括危險側控制命令),控制命令的錯誤有二種可能引發的原因。
系統中傳輸、存貯過程中的信息畸變必將體現在邏輯運算變量中, 從而 造成邏輯運算錯誤, 這一點已在前面介紹的3.2.2與3.2.3條中有過描述并提出了相應的解決方案。
聯鎖或PLC復 核軟件出錯一方面有可能是由各自的CPU或所使用的指 令引發的, 但更多的是被轉化為程序的任務、技術條件的錯誤。因此, 能夠識別技術條件的錯誤, 也就能預防由此而 引發錯誤運算結果的輸出。
基于“同樣一個數據變換調理錯誤或程序錯誤(永久性或暫時性)在二套算法不同的程序中同時出現的概率極小”[4]這樣一個基本認識,HJ04A系統的控制命令生成采用了二級運算結果的一致判決機制,也就是雙份軟件判別機制。
表1顯示在聯鎖、復核二級程序中所使用的不同技術備件與硬件、軟件平臺,由于聯鎖、復核二級軟件不僅所處的物理空間不同、使用的編程語言不同、參予運算的邏輯變量不同,而且各自所使用的技術條件也完全不同,從而有效地解決了因系統硬件故障或軟件出錯而帶來的系統安全性問題。
4. 總 結
由揚子石化公司與合肥工業大學合作研制開發的HJ04A鐵路信號計算機聯鎖系統除已在揚子石化二個編組場成功應用外,目前又在冶金系統內西寧鋼廠、鞍鋼、包鋼等國有大中型企業進行推廣,具有較好的應用前景。總結起來,在HJ04A系統中我們已經建立了一整套運用于企業自備鐵路使用的信號聯鎖系統技術解決方案并重點解決了以下幾個問題。
4.1 在單模控制體系結構中,通過對鐵路信號的深入分析,較為完整地建立了鐵路信號聯鎖系統的故障模型并提出了相應的故障診斷與安全導向方案。
4.2 在企業自備鐵路信號領域內較早采用了二級集散式控制體系結構,即采用聯鎖、復核二級檢查機制,有效地解決了因CPU與編程語言缺陷、算法與編碼錯誤而有可能帶來的系統錯誤輸出問題。
4.3 采用變換聯鎖信號的表達形式來解決系統的I/O接口安全性問題,研制了一整套故障—安全的結合電路,有效地防范了“s-a-0”或“s-a-1”固定邏輯型故障對系統整體安全性的破壞。
4.4 聯鎖、復核二級用戶程序均有效實現了程序、數據分離的設計思想。
4.5 建立了一套量化計算聯鎖系統可靠性與安全性的評價體系。
但正如在HJ04A系統的鑒定意見中專家們的建議那樣,HJ04A系統的設計定位僅僅只放在了企業自備鐵路上,如果真正欲使該系統在應用面與技術水平上更進一步,還需在系統可靠性設計上進行重新定位;對部分目前少數仍在使用的觸點型安全型繼電器進行全電子化設計,我們將在后期的研究中努力予以實現。
參考資料
[1] 何文卿,6502電氣集中電路,中國鐵道出版社,1990,P33~35
[2] 趙志熙,微機聯鎖技術,中國鐵道出版社,1995,P77~79
[3] [美] P.K.拉.拉,容錯與故障可測性系統設計,中國鐵道出版社,1989,P92~114
[4] [英] 保羅.魯克,軟件可靠性手冊,航空工業出版社,1996,P73~82
本文標簽:合肥工大鐵路信號計算機聯鎖系統的研究與設計解決方案
* 由于無法獲得聯系方式等原因,本網使用的文字及圖片的作品報酬未能及時支付,在此深表歉意,請《合肥工大鐵路信號計算機聯鎖系統的研究與設計解決方案》相關權利人與機電之家網取得聯系。
關于“合肥工大鐵路信號計算機聯鎖系統的研究與設計解決方案”的更多資訊
:鞏經理
:13915946763
:南京塞姆泵業有限公司
