浅谈如何改善和提高计算机联锁系统的可靠性

张俊亭

摘 要：计算机联锁系统是应用在铁路信号控制领域，直接控制车站的道岔、信号机与轨道区段，并且实现三者之间的联锁关系，用以保障行车安全和提高运输效率的控制系统，要求具有极高的安全性和可靠性。本文从计算机联锁系统在铁路交通应用中的基本组成和基本功能着手，根据影响计算机联锁系统安全可靠性的一些关键因素，分析了在计算机联锁系统设备在工程设计中所采用的改善和提高安全可靠性的几种方法，从而提高铁路交通系统的运用质量。

关键词：计算机联锁系统 安全可靠性 硬件 软件

1、概述

隨着我国铁路运输朝着高密、重载及高速的方向发展，既有的车站铁路信号联锁装置已无法适应铁路信号对可靠性与故障——安全性的更高要求。70年代末期新型微处理器的出现以及容错理论与技术的逐步完善，激励人们以微型计算机为核心构成计算机联锁系统。

计算机联锁设备是一种连续工作的实时系统，它必须具有极高的安全性和可靠性才能适应铁路运输和城市轨道交通高效和安全的运营要求。我们把计算机联锁系统的安全性和可靠性结合在一起考虑，并着重从系统的硬件设计、软件设计和数据传输及处理等几个方面采取各种综合技术措施，使计算机联锁系统符合故障—一安全的原则。

2、硬件部分的安全可靠性分析设计

根据计算机联锁系统的结构组成和功能特点，硬件部分的安全可靠性技术从计算机联锁系统的上位机、联锁机和接口电路三个部分进行分析。

2.1 上位机安全可靠性分析设计

上位机主要功能是向联锁机构输入操作信息，接受联锁机构输出的反映设备工作状态和行车作业情况的表示信息。为此上位机可采用经国际安全机构认证的高可靠工业控制计算机，采用的机箱结构具有良好的散热、隔热、防潮、防尘性能，驱动器架采取避震措施，使整个机箱具有可靠的机械强度和很好的抗电磁干扰的能力；采用不问断供电及净化的专用开关电源，抗共模干扰，具有浪涌保护、过载保护、漏电保护的功能，单机设备的平均无故障工作时间可达到100000h。

计算机联锁系统的维修机和上位机的配置是一致的，平常可作为上位机的热备机，在系统故障时能够进行自动无扰切换，切换过程不影响现场设备状态，提高设备可靠性。

上位机的人机接口界面的设计使用先进的工业控制软件。在设计中，根据铁路交通和城市轨道交通信号计算机联锁的特点，可以灵活运用登录口令、操作员权限、安全设定点、设定点口令、安全审计跟踪记录等安全特性，确保联锁系统执行操作的安全可靠。

2.2 联锁机安全可靠性分析设计

联锁机是信号控制系统的核心。在设计中，可选用国际安全机构认证的硬件三重冗余计算机联锁系统，用于实现联锁数据处理过程的故障—安全。所谓三重化冗余系统是指系统共有A、B、c三个相同的主机，每个主机可以把它看成系统中的一个模块。三个模块同时执行一致的操作，其输出送到“表决器”的输入端，然后把表决器的输出作为系统的输出。结果经输出设备三取二表决后进行输出，可以保证输出的安全性。当其中一个联锁处理单元联锁逻辑单元故障时，系统能够转换为二取二工作方式，在不降低安全陛的前提下，使整体系统的可靠性得到提高。

为了保证三重化冗余系统能够通过多数一致表决得到正确的结果和发现出错的模块，这就要求三台微机必须同步工作。否则，整个系统便会出现紊乱状态，多数一致表决无法进行，系统无法保证正常可靠的工作。

计算机联锁系统为保证安全可靠而采取的主要措施是：全面的在线自诊断和专门的安全检查程序。这就要求系统在规定的周期内对计算机的运算器、存储器、接口等元器件用一系列自诊断程序进行全面自诊，而安全检查程序则对联锁程序任务模块的运行状态进行监视，对关键信息代码的合法性进行检查。在自诊断和专门的安全检查中一旦发现故障，立即切断计算机的输出（同时报警）。在设计中必须采取有效的措施来确保：（1）检测过程本身应具有安全性，或采用相应硬件及软件措施来实现安全性；（2）检测要要有足够的频率，使类似或等同故障在二次检测之间不会发生；（3）检测要足够灵敏，能够测出每个安全单元之中的重要故障；（4）检测失败时应及时产生安全保护动作；（5）冗余装置要足够独立，使之不受其他故障的影响。

例如在具体实施中，使输出控制单元经过表决后输出，所有输出进行反馈检查闭环控制；在输出执行环节采用条件电源供电方法，当用实时检测或实时比较技术发现联锁微机内部故障时，即使产生危险侧的错误控制命令，通过强制切断执行环节的条件电源，减少错误的控制命令输出。采用光电隔离技术，接点输入电路要经过光电耦合后力节目接至接口电路输入输出模块，有效的抑制接点输入电路的电磁干扰；采用静态输入或动态输入方式，以便有效的实现故障—安全原则。 在输出接口的设计中，采用代码—动静态和动静态—电平两级变换电路；采用不间断供电及净化的专用电源，电源模块内部设有双重化电压调整器及自诊断电路，可检测电压的输出范围与是否超温并给出相应报警。

2.3 接口电路安全可靠性分析设计

由于一般继电电路采用的安全继电器具有很高的安全性，在我国铁路中运用了几十年。为此计算机联锁系统的接口电路仍然以安全继电器作为计算机联锁机构与室外设备控制电路的接口。在计算机联锁系统中，信号、道岔、轨道电路等监控对象的状态信息依然是用安全型继电器的接点状态来反映的，输人接口的任务就是将这种电平形式的二值逻辑数据安全地采集到联锁机中来。

2.3.1输入接口。通常故障一安全的输入接口电路是采用光电隔离技术，编码输入，表决确定输入信息的。信息的输入采用了光电耦合编器，防止了采用接点输入电路时的电磁干扰和电路中故障的扩散。继电器吸起则将信息编为1111，落下则为0000。计算机对读入的编码进行“与”运算，如果各光电耦合器都正常1-作，结果为1，表明轨道电路空闲；如果某个光电耦合器故障，结果为0，表明轨道电路占用或输入接口电路有故障。采用3个采集电路进行表决输出，当有2个或3个电路的输 是一致时，认为是正确信息，这样就防止了由于采集电路的故障而导致计算机错误判断的现象。endprint

2.3.2输出接口。输出接口普遍采用动态驱动，即计算机输出的驱动信息不是高电平，也不是低电平，而是一个脉冲信号，再经过脉冲一电平转换电路输出一个有足够驱动功率的高电平去动作相应的继电器。如果计算机故障，则计算机输出的不是脉冲信号，而是停留在脉冲的某个高电平或低电平，这个非脉冲电平经过脉冲一电平转换电路后不会产生一个高电平，因此相应的继电器总是落下，实现了故障一安全。

2.4 其他方面的安全可靠性分析设计

基于对计算机联锁系统硬件设备的其他方面的安全可靠性考虑，对包括电源、计算机、数据通讯线路、输人输出接口、机架结构及地线设置等方面采取了电磁兼容设计和防雷设计，如采用UPS不间断稳压电源、机房和机械室采用天网地网等，以保证在规定等级的运用环境中，设备必须正常工作，不产生任何指标下降和功能上非期望值的偏差。

3、软件系统的安全可靠性分析设计

在计算机联锁控制系统里，各种复杂的功能主要依靠软件来实现。嵌入在安全控制系统中的软件，不仅要能完整地实现系统的控制功能，还要能保证实现系统在发生意外时的安全防护即故障—一安全功能。

一般在汁算机联锁控制系统中，普遍采用以下软件技术来提高系统的安全可靠性：

（1）采用信息编码技术，以便出错时能被及时识别。例如，对于涉及行车安全的逻辑变量，用多元代码来表示安全变量的两个值—一安全侧值和危险侧值。这样，当代码在存储或传输过程中，由于存储器硬件故障或者外界干扰而发生畸变，一旦错成非法码时，就可由软件自动检出并导向安全侧。

（2）采用软件冗余技术，保证软件运行的安全性。

软件冗余技术就是用几种不同的软件处理数据，对处理结果进行比较，产生输出。在结构上可按比较的范围分为2种：第1种是把系统按功能划分成小段，各段之间进行比较；第2种是采用几个系统功能相同的软件相比较。这种软件冗余关键在于各个软件的独立性，相互独立的程序即使可能存在故障，也可以通过表决将其屏蔽。如果程序间相互不独立，故障可能同时存在于各个程序，则无法提高系统的可靠性。由于采用了几种不同的相互独立的处理软件，因此防止了某种软件由于设计错误而产生的故障，还可以屏蔽硬件的某些故障，确保了系统安全。最常见的是采用2种不同的软件处理数据，同时结合硬件冗余共同提高系统的可靠性。例如，在二冗余系统中，主机和备机都采用2种软件，平时主机T作，此时2种软件同时对数据进行处理，对结果进行比较。如果一致，则产生输出，否则说明系统故障，立即进行切换，使备机工作，从而提高系统的可靠性。

（3）采用软件检测技术及时发现故障，以进一步采取措施防止危险侧信息的發生和输出。

（4）利用软件对输人数据的合理性进行检查，对输出的控制信息进行反馈重复检查等等。

联锁机和外部设备的输入/输出信息具有两种特性，—是开关性；二是安全性。外部设备向联锁机提供的输入信息具有开关性。同样，联锁机的输出信息也具有开关性，这种开关性可由表示两个状态的器件如继电器来反映。输入/输出信息的安全性是根据信息与行车安全的关系来界定的。一类是与安全无关的信息，称作非安全信息；另一类是与安全有关的信息，称作安全信息。

联锁机和监控对象之间交换的信息属于安全信息，因此必须考虑当输凡输出通道发生故障时，一定要确保传送信息的安全。为此，在通道设计上必须采用安全输凡输出接口。在CPU与输入和输出模块间采用专用总线以保证传送的正确性，对输入电路采用光电隔离电路读取。输入值，以检测“粘连”状态，对各个输出信号在提供给继电器前进行表决，不致因输出模块本身的故障而影响信息安全。一般在具体的系统设计中，可采取如下措施：

（1）安全信息的输入：在计算机输出每种信号设备状态码的第一位后，待输出电平稳定（如20ms），再将每种信号设备状态码的第一位读入储存，并立即输出第二位代码；读入全部代码后，经计算机整理后再传给每个对象的存储模块。

（2）安全信息的存储与更新：计算机联锁中监视现场设备状态的存储单元，在宏观上必须与被监视的对象建立不断的联系，当联系中断时，系统必须立即倒向安全。

（3）安全信息的运算：联锁条件满足时，程序的走向和运算结果都是预知的。为了提高安全性和防止漏检查联锁条件，在每次判断条件成立后，将该条代码进行按位累加，联锁关系全部检查正确时，其累加值应与预期结果相符。

（4）安全信息的输出：计算机的开关量的输出是非故障安全的。为了保证安全，可对输出环节进行连续的监视，如出现不应有的危险侧输出，应快速地在现场设备未动作前予以切断。

（5）安全信息在计算机间的传递：为了符合信号系统的传统做法，遵循故障安全的要求，在计算机联锁的设计时，应采用点对点的循环传送方法，而不采用变化检出、一次传送的方法。

计算机联锁的串行数据在传输过程中，由于干扰而引起误码是难免的，在检查数据位和冗余位之间的关系是否正确时，应着重防止在传输中错误地出现危险侧代码。为了确保信息传输的安全可靠，一方面可以采用冗余度小、检错能力高的循环码（CRC）作为检错码；另一方面就是在软件编程时对传输的信息进行特殊编码，并以反馈重发方式纠错。

根据编码理论，利用n位二值码元可生成一个具有2”种伏态的码字或代码的集合。在这2”种状态的代码组合当中，仅取一种状态代表危险侧码字（例如用危险侧码字10101 010代表对应继电器吸起），再取另一种状态代表安全侧码字（例如用安全侧码字01 010101代表对应继电器落下），其余的均认为是非法码字，则这种代码便具有典型的故障—一安全特性。由于非法码字在正常的联锁运算时也被认做安全侧码字，故而该编码组合仅有1种码字对应危险侧，其余2“—1种状态均对应安全侧。但在实际的运行中要真正能做到故障导向安全，还需对软件编程的安全编码进行科学的分析和认真的考虑。endprint

我们认为编碼中各个码元发生差错的概率是相同的且不同码元发生差错的事件是独立的。假定每一码元发生差错的概率是"，则无差错的概率即为1—p，此时整个代码均无差错的概率为（1—p）“。当选用编码组合中码距最大的一对代码，即码距等于n的—对代码分别作为代表危险侧和安全侧的有效码时，安全侧代码因故畸变成危险侧代码的条件是n个码元同时出错，其出错概率为旷；而安全侧代码出错变为另外一个代码的概率则为1—（1—p），显然这两个概率有着明显的数量的不同，这就造成了编码在故障或受到干扰情况下逻辑出错的不对称性，假定2“种编码中任一个发生畸变、出错变为另外任一个代码的概率相同，均为P（c）；此时，因危险侧代码只有—个，某一代码错为该代码的概率即为户（c）以上数值与目前国内外广泛使用的信号安全型继电器的不对称指数相比显然是可以认可的；同时n取为16，恰好是计算机内存字节的整数，便于进行软件编程。根据铁道部《计算机联锁技术条件》标准，与行车安全有关的信息在计算机内必须以空间冗余的方式存储，在自由状态下其非法码字和合法码字出现的比率或非安全侧码字和安全侧码字出现的比率必须大于255：1，上述规定中所谓空间冗余即意味着必须用多余的信息位表示单一比特的信息，采用不对称码元的方法表示涉安信息即为空间冗余方法之一。此外，自由状态即指任一代码发生畸变而成另一代码相同概率P（c）的假设。该条件给出的具体数值则意味着如采用不对称码元，则所选代码位至少为n：8。基于这些原因，计算机联锁中选用16位代码来表示联锁数据是可取的。经过正确的合理编码，完全可以保证编码的汉明距大于4。

4、结论

计算机联锁系统的安全可靠性是计算机联锁系统的关键，我们必须从系统的硬件设计、软件设计和数据传输及处理等几个方面采取各种综合技术措施，才可使计算机联锁系统符合故障—一安全的原则。

今后，随着计算机通信技术（包括光缆通信和网络通信等技术）的进一步发展，计算机联锁系统本身将不再是一个孤立的车站信号联锁设备，而是综合行车指挥控制系统的一个重要组成部分，是具有多种功能和安全保证的行车指挥系统的一个基础设备。通过各种制式的联锁总线、局域网、广域网实行多层次控制，使控制范围扩大，减少投资，并可与运行图管理系统联网，根据调度计划实现进路程序控制，还可与旅客向导服务系统、车次号跟踪系统联网，构成全方位的计算机综合自动化控制、管理系统。endprint