吴永城

摘  要：以軌道交通运行过程中，计算机是保障交通安全性的重要技术设备。本文介绍了轨道交通的安全架构形式，通过分析关键性指，并在使用的冗余结构的基础上，提出了优化计算机体系结构的相关设计。以期为其他轨道交通的计算机运行全性分析提供参考。

关键词：轨道交通;安全计算机;可靠性;分析

中图分类号：   U285.4 文献标识码：A

引言

计算机系统平台是轨道交通信号控制系统的安全管理平台，被广泛应用于公路、铁路等设备运行控制系统，是轨道交通信号系统的重要组成。随着各种交通运行速度的不断加快，交通系统的维护周期要求越来越短。对控制命令和系统检测维护的总线提出了更高要求。

1 轨道交通安防计算通讯机架构分析

轨道交通安防计算机通讯分为以太网和内部总线通讯。通常计算机和通信模块通过以太网完的。为避免信号响应延迟，通信模块与输入输出模块的数据传输会使用总线。在总线设计中，通常使用工业通信总线，或根据实际情况按工业总线自行设计。安全计算机通信总线有两种：控制器局域网和多功能车辆总线。 局域网总线最初用于汽车电子系统的控制，后来被广泛应用于成为工业和航天控制领域的现场总线。多功能车辆总线总线目前多用于城市铁路和地铁轨道交通。鉴于这两种总线的可靠性，在轨道交通领域，其安全计算机平台常使用这两种总线形式作为内部总线。轨道交通安全计算机，不仅要求总线要有极高可靠性，而且还必须具有一定的故障安全功能。在使用现有总线当作安全计算机的通信线路时，会增加一些故障检测设计。主要信息编码检测和数据同步两个方面来评估。通过信息检测可以确定网络是否正常运行。如果一定时间内没收到报文，则可直接认为网络有问题。根据信息位中的数字“1”设置监控位。当出现奇数个“1”时，会在控制位中重复。当“1”成对出现时，校验位是信息位的反向码。信息验证被广泛使用的信息检测方法。定时错误检测设计，是通过设置通信周期来完成的，以检查循环次数是否一致，设计最大困难在于如何设置信息同步。在二换二架构中，其中个一是主系统，另一个是备份系统。系统的处理单元中，一个为主机，另一个定期向外发送同步数据，以保持系统同步。主机也向备用系统发送数据，以保持系统之间的信息同步。对于三换二架构，如果在两架构的基础上遵循同步原则，则设计会更加复杂。三台主机要相互进行多次数据交换。降低了数据同步的效率。所以，多数系统都采用单独的同步时钟线来实现信息和相关数据的同步^[1]。

2 安全计算机的故障安全实施

2.1 内部式故障安全

内部式故障安全，允许单个元件执行安全功能。保证潜在的安全系统漏洞状态无效。从根本上说，故障安全是使用组件或子系统安全特性，确保在安全功能故障下的系统安全。大多数情况下，安全设备利用相关元件的固有特性来确保整个系统的安全运行。例如内置继电器利用弹力确保断电。在计算机应用于轨道交通信号领域之前，内部式安全是最重要实现形式。通过信号继电器对固有故障安全进行设计，保证了信号系统故障安全架构和冗余的正常运行。由于其安全性和实用性高，所以在计算机轨道交通信号领域迅速得到应用。内部故障安全功能，其实现取决于机械结构。为避免设备老化和过度使用导致的相关故障，因此需要定期进行检查，增加了相应的系统维护工作量。

2.2组合故障安全

组合故障安全，要求信号系统中的安全功能，至少两个相互独立的元件执行。只有在指定的项目数量不变时，系统才能执行安全操作。在故障安全组合模型中，由A、B元件执行各自的功能。A、B是安全功能的两个项目。通过一个AND门连接，只有当两个元素一致时才允许输出。A和B进行功能故障检测，可能会在检测到故障后拒绝安全功能输出。同样，可以基于三种组合架构，设计一个故障安全组合模型，包括 A、B 和 C 一起执行与安全功能，确保只有在至少两个元素一致时才能生成。所以，在故障检测中，组合式故障安全，可以有效及时响应单个故障或多个故障。并确保系统强制始终保持在安全状态。

3 安全计算平台的安全设计

3.1 安全计算平台系统架构设计阶段

为实现安全计算机系统的有效运行，必须通过采用结构化的方法进行架构设计。首先，采用二取二表决的设计方法解决安全问题。必须确定计算、比较和决定，判定输入数据是否一致。如果一致，则数据可被传输出来。这里的两个通道在逻辑上是相关的。因此，双通道架构被称为“二选一”。其架构安全设计和注意事项包括，①安全系统与不安全系统应分离：通信和电源等模块要与安全输入和输出以及处理器相互分离。减少安全模块和非安全模块之间的联系。②故障安全比较功能基于双电子结构，采用二换二架构进行数据的输入、处理和输出。 ③要基于内部式故障安全电子结构，采用重力安全继电器等故障安全装置。④要基于故障安全测量的单一电子结构，确定系统进行自启动监控、自检以及输入输出通道检查，当发现系统故障时确保及时切断输出。⑤系统要具故障安全比较功能，要使用不同的器件或电路进行异构设计，以有效减少常见系统故障原因的影响^[2]。

3.2安全计算平台软硬件实现阶段

在软硬件实施阶段，必须按照规定进行安全设计，以满足系统安全完整性的等级要求。其具体实施阶段的安全设计措施包括：

1）误操作保护：对登录命令、防御编程电缆和开关等进行防止误操作故障保护设计。

2）防止故意操纵故障保护：利用帐户密码、安全通信协议等方式，防止对相关数据信息的恶意操纵

3）防止单个故障：通过 FMEA 分析，识别所有危险故障，或被证明具有固有的故障安全性，可使用安全继电器或增强绝缘要求，以避免系统发生故障。

4）集成电路器件单一故障保护：通过检测所有集成电路的各种故障，以及时消除危害。确保在发现两路时钟频率不一致时，系统能自动错误复位^[3]。

5）单点故障检测：通过FMEA 分析每种故障模式及其影响。采用初始自检、周期性自检的方式查找故障，以保证系统的安全运行。同时要求软件的检测时间须在系统安全目标范围内。

6）安全状态维护：安全计算检测到故障后，要及时切断输出电路的安全电源。 当检测到危险侧故障后，要确保CPU处于空闲工作状态。如果安全通信协议遇到错误信息，应跳过错误信息并上报告警。如果主系统故障，系统要会自动切换到备用系统。如果主、备系统同时出现故障，系统要进入安全侧。

7）系统多点故障：系统检测和消除多点故障，应在安全目标范围内。应用 FTA 分析系统，确保在发生未检测到的故障时，对系统运行不会造成危害 。

8）应用动态故障检测：在实施应用阶段，可使用动态脉冲编码，对系统输入和输出通道进行实时检测。以及时恢复通道故障安全。

9）程序时序检测：系统软件必须监控程序时序和逻辑的运行情况，以及时可以发现故障时，能自动关闭故障单元，确保系统的安全^[4]。

结束语

随着交通运行速度的不断提高，对其控制系统的安全性的要求越来越高。轨道交通安全计算机，作为交通系统的重要部分，提高了交通系统的实用和数据的传输效率，提高了轨道交通系统的运行质量。通过简化和优化故障安全設计框架和检测功能关闭过程，提高了安全计算机控制性能。并对轨道交通安全计算机的反应故障安全进行优化，提升了安全计算故障安全系统准确性。

参考文献：

[1] 杜思奇. 综合考虑安全性与可靠性的安全冗余结构改进[D].北京交通大学，2019.

[2] 赵得亮. 基于VxWorks+QNX实时系统的异构安全计算机设计[D].北京交通大学，2019.

[3] 韩佳伟. 带有第三方监控功能的安全平台仿真软件研究与设计[D].北京交通大学，2019.

[4] 高莺，曹源，孙永奎，马连川，洪春华，张玉琢.面向车车通信的安全计算机时间约束性分析验证[J].通信学报，2018，39（12）：82-90.