APP下载

牵引供电系统安全控制平台研制

2019-06-27吕顺凯

科技创新与应用 2019年8期

吕顺凯

摘  要:随着我国电气化铁路的快速发展,牵引供电系统的可靠性、可用性、可维护性和安全性亟需提升到更高的技术水平。作为高性能牵引供电系统的核心,安全控制平台的应用需求尤为迫切。基于公司承担的国家重点研发计划项目以及在信号安全控制领域的技术优势,研制了一款具有完全自主知识产权的高性能牵引供电系统安全控制平台,采用可靠性和安全性综合指标更优的二乘二取二冗余架构方案,通过安全状态机控制逻辑和多种故障-安全机制实现对随机失效的安全保证,同时设计了支持带电热插拔的各类型插件,保证控制平台的高可维护性和高可用性。经全面测试,安全控制平台通过了国际独立安全审核机构认证,符合最高安全等级——SIL4标准。牵引供电项目现场应用情况表明,控制平台运行稳定、可靠,能够显著提高牵引供电系统安全性和可靠性,缩短年平均故障时间,提升铁路运能。

关键词:牵引供电系统;安全控制平台;RAMS;安全完整性等级;二乘二取二;冗余架构

中图分类号:U223.8        文献标志码:A           文章编号:2095-2945(2019)08-0027-05

Abstract: With the rapid development of China's electrified railways, the reliability, availability, maintainability and safety of traction power supply system need to be upgraded to a higher level. As the core of the high-performance traction power supply system, the application requirement of safety control platform is particularly urgent. Based on the national key R&D project undertaken by the company and the technical advantages in the field of signaling security control, a safety control platform with completely independent intellectual property rights for the high-performance traction power supply system was developed. It adopted double 2-vote-2 redundant architecture that has better reliability and safety comprehensive indicators, ensured security against random failures through secure state machine control logic and multiple fault-safe mechanisms. Meanwhile, various types of plug-ins that support live plug were designed to ensure high availability and maintainability of the control platform. After thorough test, the safety control platform has passed the certification of the international independent safety auditing organization and meets the highest safety level - SIL4 standard. The on-site application results of traction power supply projects showed that the control platform is stable and reliable, significantly improve the safety and reliability of the traction power supply system, shorten the annual average failure time, and enhance transportation capacity of the railway.

Keywords: traction power supply system; safety control platform; RAMS; safety integrity level; double 2-vote-2; redundant architecture

引言

隨着我国电气化铁路的快速发展,牵引供电系统的可靠性、可用性、可维护性和安全性(RAMS)越来越受到人们的重视[1],而作为牵引供电系统核心的控制系统,如何在保证高可靠性、高可用性、高可维护性的前提下,同时实现故障导向安全,尤为值得深入研究。

基于公司承担的国家重点研发计划项目《高性能牵引供电系统技术》及在信号安全控制领域的技术优势,项目组自主研制了一款满足国际最高安全完整性等级(SIL4)认证标准[2-6]的高性能牵引供电系统安全控制通用平台。通过对安全控制系统原理的比较分析,控制平台选择了可靠性和安全性综合指标更优的二乘二取二冗余架构设计方案,采用了安全状态机控制逻辑以保证双系输出的唯一性和无缝切换,通过组合式故障-安全、反应式故障-安全和固有故障-安全三种安全机制实现对随机失效的安全保证,同时设计了支持带电热插拔的插件,保证系统的高维护性和高可用性。经单元测试、机箱测试、平台测试及现场测试,安全控制平台现已通过国际独立安全审核机构认证,并在公司多个牵引供电项目全面应用。

1 控制平台架构

为满足系统安全性和可靠性的要求,安全控制平台需采用冗余架构,可选方案主要包括双机热备、三取二,以及二乘二取二架构等[7-8]。

1.1 双机热备架构

双机热备架构采用单机保证安全,双机提高可靠性的设计理念,发生故障时进行整机切换,存在的主要技术难题是双机的同步与比较,当双机比较不一致时,如何实现切换及故障自诊断。热备系统故障发生之后,故障定位及切换时间较长。

1.2 三取二架构

三取二架构采用三个独立支路进行三取二表决,在单路故障的情况下降级工作,保证系统安全,不存在双机热备系统的整机切换问题, 但存在三机同步以及故障定位难题,故障一经发现必须在规定的时间间隔内予以修复,否则当出现双支路故障时,系统将整体退出。

1.3 二乘二取二架构

二乘二取二架构采用两系完全相同的二取二系统。二乘即两系以互为热备方式并行,之间通过并行接口建立的高速通道交换信息,实现两系的同步和切换。二取二即为在一套系统上集成严格同步的双CPU运算及处理单元,实时比较,只有双机运行一致时才对外输出或传输运算结果,保证输出安全。

经上述分析,二乘二取二架构相比双机热备、三取二等冗余架构在可靠性和安全性综合指标上具有明显的优势。因此,本项目选择二乘二取二架构作为实施方案。安全控制平台采用具有完全相同硬件结构的两个控制机箱,分别命名为Ⅰ系和Ⅱ系,Ⅰ系为主系工作,Ⅱ系处于热备冗余状态,双系同时独立工作。两系均正常时,控制平台输出为Ⅰ系的输出。如果Ⅰ系发生故障,则无缝切换至Ⅱ系为主系工作系统,控制平台输出为Ⅱ系的输出,Ⅰ系报告故障或者自动重启。

2 安全控制方案

对于采用二乘二取二架构的安全控制平台,双系数据同步和无缝切换是需要重点研究的两个问题[9]。

2.1 双系数据同步

为保障双系数据安全同步,项目采用了高带宽、高实时性、高可靠性、高灵活性、容错性能优的FlexRay总线,作为双系之间信息交互通道。数据传递过程中,主要采用了以下技术方案:

(1)使用序列号来保证收发时序。

(2)使用安全循环冗余校验算法保证数据的一致性和安全性。

(3)采用本地时间与远程时间计算网络传输延时,避免网络异常引起时效性问题。

(4)采用数据包压缩和解压技术传递安全数据,减少网络流量和延时。

(5)每个运算周期进行时间和数据同步,保证主用系和备用系数据的一致性。

(6)同步确认技术,即主用系同步给备用系的数据,需要备用系发送同步确认信息后,主用系才能继续运算和对外输出,防止双系切换后对外控制信息不一致导向风险。

2.2 双系无缝切换

为保证双系输出的唯一性和无缝切换,采用了安全状态机设计方案。单系控制机箱包含以下五种状态:(1)未工作状态;(2)初始化状态;(3)主用状态;(4)备用状态;(5)故障状态,主要状态切换工况包括:

(1)双系正常上电,进行初始化配置,配置为主用系的控制机箱为主用系,另一系转为备用系。

(2)主用系出现故障,转为故障状态;备用系检测到主用退出,满足主用条件,转为主用状态。

(3)故障状态满足初始化条件,经未工作状态进行初始化配置。

3 安全插件设计

经需求分析,安全控制计算机的输入主要包含模拟量和数字量等,输出主要为数字量,同时基于单板功能独立和模块化设计理念,项目组研制了安全电源插件、安全主控插件、安全模拟量输入插件、安全数字量输入插件、安全数字量输出插件、安全通信插件等不同类型的安全插件,可根据现场应用需求,对各系控制机箱灵活配置。

主控插件、安全模拟量输入插件、安全数字量输入插件、安全数字量输出插件等通过组合式故障-安全、反应式故障-安全和固有故障-安全三种安全机制实现对随机失效的安全保证,在故障状态下停止对外输出,在人工确认故障排除前不能自动恢复,以保证插件保持在安全状态。各插件安全完整性达到IEC 62425标准规定的SIL4级;插件的软件安全完整性达到IEC 62279标准规定的SIL4 级。同时,各插件具备热插拔功能,在系统不断开电源的情况下,允许进行插件的插入或者拔出操作。通过软硬件结合的加密方式,各插件還可实现安全加密功能。

3.1 安全电源插件

安全电源插件采用DC110V电压输入,转换为2路DC24V直流电源输出,为牵引供电系统安全控制平台其余各插件提供电源。

电源插件采用模块化设计,主要由6个部件组成:输入滤波、过流保护、电源储能、输入过压保护、DC/DC转换、输出滤波等。DC110V电源输入滤波之后,通过2个DC/DC转换模块,获得双路DC24V电源。

电源插件具备完善保护措施,包含输入反接保护、防冲击保护、输入过压保护、输入欠压保护、输出过压保护、输出过流保护、超温保护等,支持热插拔。

3.2 安全主控插件

主控插件完成安全控制平台的设备管理,通过安全通信协议获取安全控制平台内部插件输入数据或状态,通过通信协议获取安全控制平台外部设备输入数据,将数据或状态校验后通过应用开发软件接口传送至应用软件,并将应用软件运算得出的控制命令或状态经表决后输出至安全控制平台内部插件或外部设备。同时,主控插件实时监测各模块的工作状态、软硬件信息(包含版本、故障等信息),并通过软件接口提供至二次开发用户,通过对外通信接口发送至外部设备。

主控插件主要由A机系统、B机系统、C机通信系统(简称A、B、C机)等构成。A机、B机组成2取2的安全结构,A、B机负责安全计算和比较,C机负责与其他插件间的通信,将安全数据经FlexRay发送至输出插件和/或外部设备,并通过以太网等方式与外部设备通信。

主控插件运行模式分为上电自检模式、正常运行模式和故障停机模式,依据各种模式进行状态管理。上电自检模式时,插件处于上电自检过程,不能进行安全表决和计算。自检通过后进入正常运行模式,正常运行模式为主控插件可用模式,可进行逻辑运算、安全表决和输出。自检出现故障时,插件进入故障停机模式。故障停机模式时,插件不能提供原定功能,保持在安全状态。在上电初始化过程中,主控插件检查配置数据的完整性及配置数据与实际配置的一致性;并在正常运行过程中定期进行配置数据与实际配置的一致性检查。如果检查失败,则导向安全状态。

3.3 安全模拟量输入插件

安全模拟量输入插件通过电压互感器和电流互感器,周期性地进行模拟量的采集。插件采用2取2的“故障-安全”架构,即在本插件中有A机和B机两套处理器系统,A机和B机将采集到外部模拟量信息通过双通道CPU运算、比较后,形成安全模拟量值后将结果通过CAN通信发送给C机,C机再将结果传输到FlexRay总线,符合组合故障-安全策略。

安全模拟量输入插件A机、B机各自具有8个电流采集电路,8个电压采集电路,并为电流型传感器提供24V工作电源,为电压型传感器提供15V工作电源。同时,A机8个电流采集电路、A机8个电压采集电路、B机8个电流采集电路、B机8个电压采集电路之间采取电气隔离,隔离电压为AC1000V。

安全模拟量输入插件运行模式分为上电自检模式、正常运行模式和故障停机模式,依据各种模式进行状态管理。上电自检模式时插件处于上电自检过程,不能进行模拟量输入信息的采集和表决。自检通过后进入正常运行模式,正常运行模式为安全模拟量输入插件可用模式,插件可进行模拟量输入信号的采集。自检出现故障时,插件进入故障停机模式。故障停机模式时,插件不能提供原定功能,保持在安全状态。插件在上电和运行中进行关键故障检测,检测到重要模块故障时,插件保持在安全状态。

3.4 安全数字量输入插件

安全数字量输入插件中安全开关信号输入通道是对安全继电器一组状态接点的(常开接点和常闭接点)导通状态同时采集,分别由两个不同的CPU 进行处理。通过这两个CPU 对采集结果的比较判断得出安全继电器当前所处状态或者在连线中的出现混线、断线和接地等故障。

安全数字量输入插件分别由CPUA、CPUB、CPUC和安全输入通道四个主要的功能模块组成(分别简称为A机、B机、C机和安全输入通道)。插件采用2取2的“故障-安全”架构,即在本插件中有A机和B机两套处理器系统, A机和B机将采集到外部继电器一组触点状态信息(即一常开触点和一常闭触点)通过内部CAN通信交互后分别进行处理和表决,并将结果通过CAN通信发送给C机,C机再将结果传输到FlexRay总线,符合组合故障-安全策略。安全输入通道共有16路,每路分A通道和B通道,A通道采集常开触点形式的开关量输入信号,B通道采集常闭触点形式的开关量输入信号。

安全数字量输入插件运行模式分为上电自检模式、正常运行模式和故障停机模式,依据各种模式进行状态管理。上电自检模式时插件处于上电自检过程,不能进行开关量输入信息的采集和表决。自检通过后进入正常运行模式,正常运行模式为安全数字量输入插件可用模式,插件可进行开关量输入信号的采集。自检出现故障时,插件进入故障停机模式。故障停机模式时,插件不能提供原定功能,保持在安全状态。插件在上电和运行中进行关键故障检测,检测到关键模块(包括输入通道电源、内部通信总线、输入通道、同步)故障时,插件保持在安全状态。

3.5 安全数字量输出插件

安全数字量输出插件包含CPUA、CPUB、CPUC和安全输出通道四个主要的功能模块(分别简称为A机、B机、C机和安全输出通道)。安全数字量输出插件采用2取2的“故障-安全”架构,A机和B机均从C机通过CAN总线获取数字量输出命令,分别将获取的数字输出命令信息进行处理后,形成各自的输出命令,输出命令通过输出通道执行输出,符合组合故障-安全策略。C机负责对外通信,将从FlexRay总线接收到的安全数字量输出命令通过内部CAN通信发送给A机和B机。安全输出通道共有16路,每路分A通道和B通道,A通道和B通道采用串联方式输出,提高安全性。同时,安全数字量输出通道采用安全继电器触点输出,并通过安全继电器的触点状态反馈实现状态监督。

安全数字量输出插件运行模式分为上电自检模式、正常运行模式和故障停机模式,依据各种模式进行状态管理。上电自检模式时,插件处于上电自检过程,不能进行安全表决和输出。自检通过后进入正常运行模式,正常运行模式为安全数字量输出插件可用模式,可进行安全表决和输出。自检出现故障时,插件进入故障停机模式。故障停机模式时,插件不能提供原定功能,保持在安全状态。插件在上电和运行中进行关键故障检测,检测到关键模块(包括输出通道电源、内部通信总线、输出通道、同步)故障时,插件保持在安全状态。

4 结束语

安全控制平台经过高低温、振动、盐雾、电磁兼容等全面测试,通过了国际独立安全审核机构认证,满足国际最高安全等级(SIL4)标准要求,采用的二乘二取二冗余架构方案、安全状态机控制逻辑、故障-安全机制、安全插件有效提高了控制系统的可靠性、可用性、可维护性和安全性,同时保证了故障导向安全。在多个牵引供电项目现场应用情况表明,控制平台运行安全、稳定、可靠,能够显著缩短牵引供电系统年平均故障时间,提高铁路运能。下一步,项目组将对安全控制平台的技术指标进一步优化,满足更高技术性能应用需求。

参考文献:

[1]杨媛.高速铁路供电系统RAMS评估的研究[D].北京:北京交通大学,2011.

[2]IEC 61508:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems[S].

[3]IEC 62061:2005 Safety of machinery-Functional safety of safety-related electrical, electronic and programmable electronic control systems[S].

[4]EN 50126:2017 Railway application-The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) [S].

[5]EN 50128:2011 Railway applications-Communications, signalling and processing systems - Software for railway control and protection systems[S].

[6]EN 50129:2003 Railway applications-Communication, signalling and processing systems-Safety related electronic systems for signalling[S].

[7]郭慶.一种新型二乘二取二安全计算机的设计和实现[D].杭州:浙江大学,2012.

[8]刘芳,王海峰.二乘二取二与双机热备计算机联锁系统性能比较[J].铁道通信信号,2008,44(02):26-29.

[9]蔡煊,王长林.车载列车自动防护的二乘二取二安全计算机平台同步机制[J].计算机工程,2015,41(8):301-305.