城市轨道交通联锁系统的冗余结构分析
2021-09-13杨艳
杨艳
摘 要:文章从城市轨道交通计算机联锁系统的层次结构出发,分别阐述了系统的可靠性与安全性概念,对双机热备、二乘二取二和三取二3种冗余结构从系统组成和功能等方面进行分析和比较,从经济角度和系统性能角度简述了城市轨道交通正线和车辆段/停车场等不同场合适合选择的冗余结构。
关键词:可靠性与安全性;双机热备;二乘二取二;三取二
0 引言
从经济因素、历史背景、联锁系统的控制规模、设备的技术层次等多方面来看,计算机联锁系统具有不同的体系结构。从功能角度来看,计算机联锁系统需要完成现场设备监控、人机会话、联锁逻辑运算等多种任务,而这些任务如果仅由一台计算机来做是很难完成且很费时间的。按执行功能的计算机数量可划分为单模块系统和多模块系统。计算机联锁系统一般采用多模块结构,这种结构的计算机之间联系方式不同,并且每台计算机的功能也有区别。根据功能的繁简程度,将整个计算机联锁系统划分成若干个相对独立的由不同类型的计算机进行处理的子模块。
1 联锁系统的层次结构
层次结构就是按照联锁系统进路的控制层次来描述的结构。计算机联锁系统的层次结构从上层至下层可以分为人机对话层、联锁层和控制层,层次结构分为集中式控制和分散式控制。由同一台计算机来完成系统每一层的功能称为集中式控制结构;各层的功能分别由不同层次的计算机来处理称为分散式控制结构。分散式控制结构的特点是将联锁系统的功能按照结构层次划分成许多独立又有一定联系的功能模块,各功能模塊都由对应的计算机来处理,从而使系统在计算机的配置上形成多种机器的分散式结构[1]。
为了保证系统的可靠和满足故障—安全要求,计算机联锁系统采用一种以通用计算机技术为基础构成的分散式控制结构。然而,对当前的工业控制计算机来说,其质量水平还不能满足联锁系统的高可靠性要求,更不具备故障—安全的要求。因此,从软件和硬件角度出发,采取多重冗余技术组成联锁系统的各层模块,以此确保整个系统的高可靠性和高安全性要求。
2 联锁系统的可靠性与安全性分析
计算机联锁系统采用多重冗余结构的目的是通过增加相同性能的模块来提高系统的可靠性和安全性。虽然从功能角度看,增加的模块是多余的,但是从提高系统运行的角度看,多冗余结构是必需的。
系统或设备在规定的条件和规定的时间内完成规定功能的能力称为可靠性(Reliability),而计算机联锁系统的可靠性冗余结构一般采用双机热备的二重系统,目的是达到可靠性指标或者超过目标值,是一种“或”的结构[2]。
在系统出现故障并且失效的情况下会造成设备以及相关环境的损坏保持在一个可以接受范围的概率称为安全性(Security),而计算机联锁系统的安全性冗余结构一般采用双机并用且频繁比较的二取二二重结构,目的是使系统的安全性指标达到或者超过目标值,是一种“与”的结构。
安全性与可靠性密切相关又有区别,两者之间的区别在于目的性或者功能性不同。可靠性主要是尽量保持系统在长时间的正常运行中能连续使用不发生故障,安全性的主要目的是防止人身伤亡和财产损失。计算机联锁系统既要具备高可靠性又必须具备高安全性,因此经常使用双机热备、二乘二取二和三取二3种冗余结构。
3 联锁系统的冗余结构
3.1 双机热备结构
双机热备结构是由两个具有相同硬件结构的能单独完成同样的规定功能的模块组成。正常工作时,两个模块都上电工作并同时进行数据采集处理,但是只有工作模块的值经切换单元输出。两个模块在工作过程中进行自检,具有故障检测功能。如果工作模块发现自身问题时就给出一个控制信号,驱动切换模块进行切换并停机维修。如果备用模块出现问题就自动停机,并对备用模块进行停机维修[3]。
一般采用比较法对双机热备结构进行故障检测,要求双机运行必须同步,这样才能准确实现比较过程。同步指两台计算机在同一个时间间隔内运行相同的应用程序,运行的结果也要同时到达比较单元。同步的另外一种含义是在主机和备机两者之间建立通信联系,让备机及时了解主机的控制驱动命令及进路等运行状态,便于主机发生故障时可以立即终止输出控制命令,备机能立即发动切换模块接替输出控制命令,可以防止出现突发性关闭信号影响行车作业安全。双机热备结构的系统有TYJL-Ⅱ型、DS6-11型、JD-ⅠA型、MicroLokⅡ型等。
3.2 二乘二取二结构
二乘二取二结构由系统Ⅰ与系统Ⅱ组成,每个系统又由系统A和系统B构成。在系统Ⅰ或系统Ⅱ上集成两套严格同步实时比较的CPU,只有主备机运行一致的情况下才对外输出结果,这种结构称为“二取二”。用两套完全相同的“二取二”子系统构成双机热备结构称为“二乘”。系统Ⅰ与系统Ⅱ中有一个系统正常输出就可以保障整个系统正常工作,因此提高了系统的可靠性。在任意一个由系统A和系统B构成的子系统中,只有A和B两个系统同时正常工作才能有输出,因此提高系统的安全性。每一套子系统内部具备安全性冗余结构,两套子系统具备可靠性冗余结构,“二乘二取二”系统同时提高了系统的可靠性和安全性。
双系热备方式存在主用系和备用系的区别,只有主用系对外的输出才被计算机采纳,备用系只是用来校验双系之间的同步。备用系虽然送出、输出,但是输入/输出计算机不使用它的输出。出现故障的主用系通过切换单元自动地倒向备用系,所以双系之间采用热备工作模式。输入/输出计算机都以并联的方式连接到被驱动的继电器上,他们同时工作同时产生输出,对Ⅰ系和Ⅱ系计算机来说是双系热备,对输入/输出计算机来说均以二重系并联方式运行。
在二乘二取二系统中,主机采用两个各执行一套相同编码的联锁程序的CPU,并对两个CPU的操作进行比较,以此来检测故障。只有当两个CPU同时发生了相同的故障才有可能漏检,但是发生这种可能性的概率很低,所以这种结构也是安全的。二乘二取二结构的系统有TYJL-ADX型、DS6-60型、DS6-K5B型、iLOCK型、EI32-JD型等。
3.3 三取二结构
三取二结构是由计算机、表决器、接口电路和故障检测系统3台构造相同又相互独立的设备组成,只要三套系统中的任何两套的输出是相同的,那么表决器就有正确的输出。对于该结构来讲,如果三套结构中的任意一套结构发生了故障,整个结构仍然能正常工作。该结构相当于屏蔽了一个已经发生故障的系统,使它不影响整个系统的正常工作,是一种利用故障屏蔽技术构成的系统。当经过比较发现结果不一致的时候,要及时确认究竟是哪一台设备出现了故障,需要及时地从系统中移除出现故障的设备。如果不及时地移除故障设备,当两台未出现故障的设备中的一台的故障模式和之前已经出现故障的设备的模式相同时,就有可能将正确的结果当成是错误的,错误的结果表决为正确的。从故障—安全的角度来看,该结构的表决器对三套系统进行两两比较,只有当任何两套系统出现相同的输出信息并发生了一样的故障时,表决器才没有办法检测出这种情况的错误信息。如果这种错误输出信息又恰好是危险侧信息,则会危及行车作业安全,这种故障称为共模故障。
产生共模故障的主要原因是3个模块的硬件和软件在设计上完全相同,而且可能存在共同性的错误就会导致相同错误的输出。避免共模故障的方法有两种:一种是对主机的硬件和软件采用不同的设计方法,这种方法需要更多的设计人员和多种硬件设备,不仅要花费很大的代价用于设计,而且还会给维护和储存备件带来不便。二是采取同样设计但确保不存在设计错误,要能做到消除设计错误,这种方法则是可取的。在三取二结构中,只有两个CPU同时发生了相同的故障才有可能产生危险侧输出,但出现这种情况的概率很低,因此该结构是安全的。三取二结构的系统有TYJL-TR9型等。
对于上述3种冗余结构来讲,双机热备和二乘二取二结构属于动态冗余技术,是一种故障切换结构。当检测到系统内部发生故障時,通过系统内部重组来切除和替换故障部件的技术称为动态冗余技术。三取二结构属于静态冗余技术,是一种故障屏蔽技术。利用冗余资源把故障产生的效应遮盖起来,使系统在故障发生后仍能持续工作的技术称为故障屏蔽技术。故障屏蔽技术和动态冗余技术对待故障处理的方式不同,都属于容错技术。
4 结语
目前,城市轨道交通计算机联锁设备有国产和引进两种进货渠道,国产有TYJL系列、JD系列、DS系列和iLOCK系列等,引进有USS公司、Siemens公司、Thales公司等生产的设备。不管是国产还是引进,冗余结构都是上述所讲的3种结构之一。3种冗余结构各有优缺点,在选用何种制式时,需要从多种角度来看。国产的计算机联锁设备已经不再开发三取二和双机热备这两种冗余结构,现阶段主要开发生产二乘二取二结构,但是双机热备结构的设备还在生产。二乘二取二结构的安全性、可靠性和稳定性要明显高于双机热备结构,但是价格明显高于双机热备型。对于正线而言,一般采取二乘二取二结构。对于车辆段/停车场来说,双机热备结构就能够满足要求。
[参考文献]
[1]林瑜筠.城市轨道交通联锁系统[M].北京:中国铁道出版社,2013.
[2]林瑜筠.城市轨道交通联锁系统及其选用[J].铁路通信信号工程技术,2016(6):48-51.
[3]魏臻.计算机联锁系统二乘二取二结构的可靠性与安全性分析[J].铁道通信信号,2019(12):1-5.
(编辑 王永超)