周 青

（北京全路通信信号研究设计院集团有限公司，北京 100073）

组合式故障-安全架构设计的应用探讨

周 青

（北京全路通信信号研究设计院集团有限公司，北京 100073）

组合式故障-安全架构设计在铁路信号领域应用广泛，但由于缺乏理论的系统研究做指导，实际应用时较为简单，不能完全符合欧标EN50129的要求，这与目前铁路信号涉安产品需要通过符合欧标的安全认证相冲突。为提高组合式故障-安全设计水平，通过对欧标深入学习，并结合实际应用，归纳该架构设计的关键技术。

故障-安全；组合式故障-安全；2取2；关键技术

1 概述

故障-安全原则是铁路信号领域国内外均共同遵守的重要原则，它要求当信号设备发生可能导致危险的故障时应导向安全状态。

为实现故障-安全，一般通过以下一种或多种组合来实现，即组合式故障-安全、反应式故障-安全和固有式故障-安全3种方式。3种方式的要求及应用场合各有特点，对于电子设备普遍使用前两种方式，对于输出端的开环控制可以使用分立模拟器件组成的固有式故障-安全方式来保证安全。本文仅就组合式故障-安全架构进行探讨。

组合式故障-安全架构由多通道组成。目前，铁路信号领域的电子设备广泛使用“2取2”、“3取2”的组合式故障-安全架构设计，以保证单点故障发生时系统不会导向危险侧。但实际应用时较为简单，不能完全符合欧标EN50129的要求，有的忽略了多个单元的独立性要求，有的忽略了安全态的保持，这与目前铁路信号涉安产品需要通过符合欧标的安全认证相冲突。为避免上述问题，提高组合式故障-安全设计水平，通过对欧标理论学习并结合实际应用，对组合式故障-安全设计的关键技术进行探讨及总结。

2 组合式故障-安全原理

组合式故障-安全原理：一个安全功能由至少两个通道执行，只有当必要数量的通道达成一致时，才提供对外输出许可；否则，应停止对外输出，使系统进入并保持在安全态。

同时，当一个通道发生导向危险的故障时，应在足够短的时间内检测并进入且保持在安全态，降低安全影响，以避免第二个通道发生相同故障即故障累积时系统导向危险状态。由于 “2取2”的组合式故障-安全架构设计应用较广，本文仅以此为例进行说明，其他的“N取M”系统原理类似，其组合式故障-安全原理示意如图1所示。

对“2取2”组合式故障-安全原理示意图解析如下：

图1中， 某个安全功能由通道A和通道B分别独立执行。

图1 组合式故障-安全原理示意图

通道A、B分别将与安全功能相关的重要信息（如输出数据、中间状态变量、输入信息）输入表决器（图1中所示），由表决器来判断双通道是否判断一致。若一致，则提供输出允许，若不一致，则认为通道A、B中至少一个发生故障，不允许输出。

当通道A、B的故障检测电路之一检测到导向危险的故障时，则“拒绝”电路（图1中所示拒绝输出，使系统进入并保持在安全态。

3 组合式故障-安全关键技术

组合式故障-安全架构设计时，为真正发挥该架构设计的故障-安全作用，需重点考虑以下关键技术。

3.1 通道间独立性

通道间应保持独立性，这是该架构设计的强制性先决条件。当一个通道由于内部故障或外部系统干扰工作错误，产生了错误的结果，第二个通道若工作正常，则结果必然不同。如果通道间缺乏独立性，则第二个通道由于相同原因（内部故障或外部系统干扰）发生相同错误，并产生相同错误结果，则通过“取2”比较无法发现通道的故障，系统可能产生错误的导向危险侧输出。因此通道间的独立性是该设计的前提条件。

通道间应在以下3个方面保持充分的独立性：物理上、功能上、流程上。物理独立性，即采取一些措施，防止因物理连接而造成的共因失效。物理独立性是最基本，也是最重要的，需要考虑到内外部的影响，内部考虑电气连接及电磁耦合等，外部包括环境如电磁辐射、外部供电的影响，一般均要求增加隔离、绝缘措施，具体的推荐措施详见文后参考文献［1］。功能独立性，即不会由于系统失效或随机失效造成不同通道的功能同时失效。流程独立性，主要用于防止系统性失效，降低共因失效的影响。为满足流程独立性，可通过设计的异构即差异化来实现，包括硬件差异化、软件差异化。

硬件差异化一般考虑，通过原理设计或关键器件差异化引入部分的硬件差异化；同理，对两个通道使用不同的输出管脚设计也可以加强安全性。在实际可行时，推荐两通道采用不同的芯片进行设计。软件差异化一般考虑，通过不同的编程人员或不同算法来实现差异化，采用不同的编译器也是常用的措施之一。

3.2 故障检测及安全态的保持

各通道应设计故障检测功能，各通道可共用一个故障检测电路，也可以分别设计各自的检测电路。当一个通道发生导向危险的故障时，应在足够短的时间内检测并进入安全态。当后续其他通道发生相同故障时，仍然保持该安全态不被破坏。

图2中，通道A在t1时刻发生故障，通道A故障检测电路在t2时刻检测到该故障，并开始进行安全处理，到t3时刻控制系统输出使系统进入安全态，t4时刻通道B发生相同故障。则故障检测及消除时间tsf=t3-t1，两通道连续发生相同故障的时间差△t=t4-t1，约束关系如下：

图2 组合式故障-安全故障检测及消除时间关系图

式中，对于“2取2”系统，K=1；对于“3取2”系统，K=0.5。

如上所述，组合式故障-安全架构设计的基本前提是任何一个通道都可以独立、正确地完成预设的安全功能，尤其是使本通道停止对外输出、进入并保持在安全态的能力。

当检测到第一个故障时应进入安全态，且后续故障不能使系统退出安全态。仅在人工干预作为纠错过程的一部分时，才能允许退出安全态。

在第一个故障发生后允许的修复时间内如果发生其他故障，系统应保持在安全态。为实现规定的安全目标，允许的修复时间应足够短。

安全态的保持一般有如下实现方式：自动地关闭故障的设备或系统，如宕机；阻止故障设备或系统的所有安全相关功能，允许其他非安全相关功能的继续运行。

3.3 “2取2”比较策略及实现

“2取2”即通道A和通道B进行一致性比较，只有比较一致时，才允许进行后续的操作，如安全的输出。所谓的“一致”，对于模拟量而言，即在一定的误差容忍范围内则可；对于“数字量”或“开关量”而言，则为相同。

图3中，每个虚线框代表一个逻辑功能，顶部文字说明其功能。从“外部输入”至输出控制“外部对象”的整个过程，为了及时检测各点的故障、及时导向安全态，避免故障传递到后续过程，按信号流向进行分级比较，“2取2”比较主要涉及输入取2比较、中间数据取2比较、输出取2比较。

图3 “2取2”比较安全逻辑示意图

“输入预处理”，对于模拟量而言，一般涉及取样、限幅、隔离、滤波、模数转换等处理；对于数字量而言，为避免采样不同步造成的差异，一般需进行“5取3”、“3取2”等处理，即从连续几个采样周期选取典型的采样值，作为后续“输入取2比较”的输入。

“输入取2比较”，主要是用于及时检查输入预处理通道的单点故障。当“输入取2比较”失败，即不一致时，推荐的安全处理方式是宕机，即将所有输入输出数据导向安全侧，停止执行所有设定功能，等待人工干预才能重新工作。当“输入取2比较”成功时，对于模拟量，即在一定的误差容忍范围内，但不完全相同时，推荐进行统一化处理，即处理后输出一个相同的结果给两通道，以保证后续的“中间数据取2比较”的输入相同。如A通道模拟量输入预处理后为a，B通道模拟量输入预处理后为b，a和b进行“输入取2比较”成功后，推荐将a、b取平均值，即将分别送入两通道进行后续的逻辑处理，保证了“中间数据取2比较”的输入一致，其逻辑处理后输出不一致，则仅反映“中间数据取2比较”过程的故障。

“中间数据取2比较”，主要是考虑到一些中间数据的错误并不一定体现在输出的错误，如果仅仅检查输出的错误，可能会遗漏一些故障或错误。中间数据一般包括关键变量、关键数据、关键硬件检查状态等关键信息的比较，通过这些可以检测系统软件、关键硬件器件的工作状态及关键数据的变化状态。当“中间数据取2比较”失败时，常用的安全处理方式是宕机处理，即将所有输入输出数据导向安全侧，停止执行所有设定功能，等待人工干预才能重新工作。

“输出取2比较”，主要用于及时检查通道A、B中处理器等核心处理单元的单点故障及软件的运行异常（针对异构软件）。当“输出取2比较”成功时，认为双通道均工作正常，结果为正确、可信，可以输出。当“输出取2比较”失败时，认为双通道至少一路工作故障，其结果不可信，但由于不能确定哪个结果不可信，因此2个结果均不输出，但须触发安全反应。当“输出取2比较”失败时，常用的安全处理方式是将输出导向安全侧，停止执行所有设定功能，等待人工干预才能重新工作。

“输出控制”要实现安全输出控制，根据输出类型宜采取不同的设计。对于IO输出，建议采用固有式故障-安全设计或带有可靠自检、控制的电路，如自检发现输出异常时，一方面切断输出电路的输入信息，另一方面，切断输出电路的电源；对于通信输出，建议采用双通道数据组合发送来实现，如通道A发送纯数据，通道B发送数据计算的CRC码。

“取2”的实现有多种方式。可以通过软件实现，也可以通过硬件实现。其中软件实现则要求双通道进行周期通信，及时交互数据、状态并进行“取2”比较。硬件实现方式，可以使用固有式故障-安全设计的模拟电路，也可以是第三个CPU等微处理器组成的电路。通常，“输入取2比较”、 “中间数据取2比较”通过软件实现，“输出取2比较”可通过软件或硬件实现。

4 结束语

本文对组合式故障-安全架构设计进行系统的理论学习，并结合实际应用对关键技术进行了归纳。组合式故障-安全架构设计可以及时发现和控制系统中可能导向危险侧的单点故障，是故障-安全实现的重要方式，但要组合式故障-安全架构设计真正地发挥作用，必须解决上述通道间独立性、故障检测及安全态的保持、多数表决策略问题。通道间的同步将是组合式故障-安全架构设计后续研究内容。

［1］ CENELEC.EN50129-2003 Railway applications-Communication，signaling and processing systems-Safety related electronic systems for signaling［S］.2003.

［2］中国人民解放军总装备部.GJB/Z 299C-2006 电子设备可靠性预计手册［S］.北京：总装备部军标出版，2007.

［3］中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 28809-2012/IEC 62425：2007 轨道交通 通信、信号和处理系统信号用安全相关电子系统［S］.北京：中国标准出版社，2013.

Though the composite fail-safe architecture has been widely used in railway signal designs， its actual application is so simple that it can't fully meet the requirements of EN50129 standard due to lack of corresponding theory guidance， which confl icts with the requirement that safety related products should be verifi ed and certifi ed according to European standards. In order to improve the design level of composite fail-safe architecture， the paper sums up the key techniques of the architecture design by the deep study on European standards in combination with practical application.

fail-safe； composite fail-safe； 2 out of 2 architecture； key techniques

10.3969/j.issn.1673-4440.2015.06.027

2015-01-09）