于俊波

(中铁七局电务公司，河南郑州450002)

0 引言

IPS是整个iLock系统的核心，它由两套“2取2组合故障安全”加“NISAL反应故障安全”的专用联锁机(IPSA和IPSB)组成，根据需要可以分中央逻辑控制(CLC)和区域逻辑控制(ZLC)的分层结构。

1 IPS包括下列几种印制电路板

安全逻辑运算板(VLE)，安全校验板(VPS)输入输出总线接口板(I/OBUS2)，输入输出总线扩展板(I/OBE2)，双采安全型输入板(VIIB)，安全型双断输出板(VOOB)，安全数据处理板(CPU/PD1)，母板(MB)

1)VLE板是整个联锁处理子系统的核心。包括通过I/O选址读取输入/输出信息、进行联锁运算、与MMI、SDM、其他iLock系统通信等。对于大型联锁车站或有光通信的车站，为了缓解VLE板的通信压力，其中的安全通信由CPU/PD1板完成。VLE板通过总线与VPS板、CPU/PD1板通信。

2)VPS板是iLock系统的安全型监视机构，独立于VLE板，面对系统进行全面的安全检查。它以一定的间隔接收到一组编码检查信息，如经检查这组信息正确，则输出一个安全型数字信号，这个信号通过一个安全型滤波器滤波并用于励磁一个安全型继电器VRD，用以证明系统自检正常。所有通向iL-ock系统的安全型输出的电源都经过该继电器VRD的前接点。当发现系统有错误时，VRD继电器立即失磁，然后这个安全型继电器将会切断iLock所有的安全型输出的电源。VRD继电器在VPS经过7个周期连续检查后，证明系统是正常时才能再度激励，以确保系统安全。

3)I/OBUS2板是VLE板和输入输出板交换信息的通道，I/OBUS2为输入板的测试数据和输出板的端口校验数据提供存储空间;同时它也包含逻辑和时序电路，以控制输出端口的连续校验。I/OBUS2板能与I/OBE2板交换信息，通过I/OBE2板实现差分驱动，驱动双断输出板。VIIB板为iLock系统的两个CPU分别采集提供相同的接口。每块VIIB板有16个输入端口，每个输入端口对应一个指示灯，当某端口有输入信号时，相应的指示灯点亮。

4)VLE板通过VOOB板产生输出信号，驱动接口设备，并且系统能时时检测VOOB板输出的正确性，输出与实际驱动的一致性。作为双断输出板，VOOB板为“2取2”系统的两个CPU分别提供正负电控制对象。每块VOOB板有8对输出，每对输出设一个正电输出和一个负电输出对应一个有效输出。每对输出端口设一个指示灯，当正电和负电输出同时有效时，相应的指示灯点亮。母板是iLock联锁处理子系统中各印制电路板之间连接的桥梁，通过母板VLE板可以进行I/O选址，可以与VPS板交换信息，对于配置安全通信板的联锁车站还可以与CPU/PD1板交换信息，通过母板、I/OB板可以与输入、输出板交换数据，从而达到了整个联锁处理子系统之间的信息互通。母板有浪涌保护设计，采用CLC和ZLC分层逻辑结构时，联锁运算和输入输出板的逻辑控制交由两组VLE板来完成。CLC进行联锁逻辑运算，ZLC则接收CLC的控制命令，实施采集和驱动的控制，同时，也可以在CLC与ZLC之间通信中断时，实现基本联锁(如基本列车进路、引导进路)的自律控制。IPS的这种工作方式，对区域计算机联锁区段进行站场改造非常方便。

2 NISAL反应故障安全的专用联锁机两大方面系统

1)NISAL技术是卡斯柯公司从ALSTOM引进的通过国际权威机构认证的安全技术。iLock系统的联锁逻辑是由安全型逻辑组成的。它把传统的由继电器实现的联锁逻辑和控制逻辑“写”成一系列逻辑表达式，这些逻辑表达式的正确实施就是通过NISAL技术的联锁安全运算功能来保证的。NISAL技术是在基本逻辑(即联锁逻辑)以外运行的，提供了一种独立的安全校核。“2取2”技术和NISAL技术的综合运用，使得iLock系统比一般的“2取2”更加安全。

2)带独立故障安全校验的“2取2”结构在“2×2取2”系统中，单系的VLE板采用“2取2”结构，软件采用双CPU独立运算，两个CPU运算采用的数据互不相同，这些数据包括安全采集数据、安全输出数据、安全通信数据和中间数据，它们都是通过冗余编码选择而得。两个CPU分别进行一个通道的运算，两个CPU之间具有数据比较、同步比较、结果比较等联系，只有运算结果相同时，才允许输出。两个CPU内都不会存储有关安全性的任何真值，安全采集数据是通过每个主周期采集得到，安全输出数据由布尔表达式运算得到，所有的安全数据在本周期内使用完毕后就会被清除。

3)VPS校验VPS实际上是IPS的动态安全监视器，它与VLE板一起，构成IPS的安全检查核心。也可以说VPS是独立于“2取2”的VLE板以外的，本身具有故障安全特性的安全校验模块。这使得iLock系统比通常的2取2系统具有更高的安全性。VPS在精确的周期间隔内接收一组经编码的，分别代表系统采集正常、系统CPU1/CPU2运行正常、内存刷新正常、安全通信正常、各输出板状态正常的校验信息。当校验信息均正确时，VPS才能输出一个安全的信号，该信号通过安全型的谐波检查后，作为“系统安全校验继电器”的励磁电源。更为重要的是，这种电源只在每次系统安全校验通过后才能产生，并只能维持50ms，如下一个50ms安全校验周期有任何出错的报警，则立即切断该电源，此时，也就意味着给各个输出端口供电的KZ－KF同时被切断。系统的这种快速“反应故障安全”机制，保证了即使输出端口有出错的可能性，VPS也能在该错误产生实际效果之前，可靠切断IPS的安全输出电源，保证系统输出控制的安全。双断并行驱动IPS的2×2结构，包括采集电路和驱动电路，因而有极高的冗余度，A、B系的输出采用并行工作方式，硬件电路可以保证即使另一系的驱动电路故障，也不会影响本系安全输出。

3 IPS联锁处理子系统软件包括“系统软件”和“应用软件”两部分

1)系统软件包含IPS的主任务软件和仿真测试接口、系统诊断等辅助软件。这些软件是在IPS的系统软件基础上，不随具体应用环境和应用对象而改变的，即除非选用不同系列的iLock系统，否则每个站的系统软件都是相同的。

2)应用软件是一套描述具体某个系统实际联锁逻辑功能的软件。应用软件由应用工程师在BOOL－CAD软件包支持下完成，以满足不同联锁车站的数据和联锁规则要求。应用软件必须经CAA软件包编译检查，生成iLock系统专用的应用数据(ADS)后，才能被系统所接受执行。应用软件中还包括仿真测试数据安全切出、切入设计。系统软件和应用软件放在不同的、能避免在线擦除或更改的存储媒介中，有利于系统软件和应用软件的管理。

［1］李翔．基于FPGA的二乘二取二安全系统的设计与实现［D］．北京:北京交通大学，2009．