列控車載計算機安全冗余系統探討

雒凌峰，劉紅燕

（1.中鐵一局電務公司，陜西 西安 710054；2.西安通信學院，陜西 西安 710106）

列控車載計算機安全冗余系統探討

雒凌峰1，劉紅燕2

（1.中鐵一局電務公司，陜西 西安 710054；2.西安通信學院，陜西 西安 710106）

隨著我國鐵路建設的跨越式發展，列車運行速度越來越高，而車載計算機是保障列車高速運行的關鍵設備之一，文章主要對車載計算機的安全冗余系統進行了詳細介紹。

車載計算機；容錯；3取2

1 概述

工業控制大多數采用計算機控制系統，系統失效有可能向被控設備輸出危險的控制信號，從而造成人員傷亡和財產損失。例如，高速運行的列車是靠列車上的車載計算機時刻接收地面列控中心傳遞來的控制信息來指揮列車的安全運行，一旦系統有輸出危險側控制信號，那將會是一場災難，因此，車載計算機控制系統不僅要采用高可靠和高可用的容錯系統，同時也必須滿足故障——安全，即使系統失效也不能輸出危險側信號。

2 提高系統可靠性的主要技術

計算機系統故障、可靠性降低的主要因素有兩種：第一種因素是設計錯誤、環境因素導致；第二種因素是硬件失效、電磁干擾以及軟件代碼中的隱含錯誤等。設計錯誤、環境因素導致的故障是可避免的，可以采用質量控制以及環境防護等避錯技術，能盡量減少系統發生故障的概率；硬件失效，電磁干擾以及軟件代碼中的隱含錯誤導致的故障是不可避免的，一般采用容錯技術加以屏蔽。容錯就是當系統中某些指定的硬件發生故障或軟件出現錯誤時，系統仍能正確地執行規定的一組程序或算法。因此，避錯和容錯技術是提高計算機系統可靠性的兩種主要技術手段。尤其是容錯技術，它是構造高可靠和高安全計算機系統強有力的直接手段，因此計算機系統應采用故障檢測、故障屏蔽及故障恢復等容錯技術。

3 列控車載設備構成

圖1 單通道系統控制系統框圖

3.1 控制系統的一般組成及功能

對于任何一種基于計算機的控制系統，如果不考慮控制的容錯特性，可以從功能上將其抽象為圖1的單通道系統。

輸入單元通常包括數字量、模擬量、脈沖量輸入等幾種類型。運算處理單元主要完成系統自診斷、各種輸入量的采集、控制運算處理、各種輸出量的控制、通信處理等功能。一般由CPU、RAM、ROM和控制邏輯部件構成。輸出單元通常包括數字量、模擬量輸出等幾種類型。為了實現控制的故障——安全特性，運算處理單元輸出一個表示系統自診斷是否正常的動態信號——自診斷看門狗信號，該信號通過動/靜信號變換電路控制輸出單元的電源供給。如果系統自診斷不正常，則切斷輸出單元的電源供給來保證故障——安全控制。通信單元可能是RS-232之類的雙工方式，也可能是RS-485、CAN、PROFIBUS之類的半雙工方式。

當然，在實現上述計算機控制系統時，輸入單元、輸出單元、通信單元與運算處理單元之間可以通過計算機擴展總線連接，事實上在工業控制領域，ISA、VME、PCI、CompactPCI等計算機擴展總線廣泛使用。其運算處理單元也可以包括多個CPU、RAM、ROM和控制邏輯部件構成的處理器模塊，分工處理不同的功能，提高系統的計算性能和通信能力。

3.2 列控車載3取2設備的組成

列車運行控制系統主要由地面設備和車載設備組成。列控車載設備，根據IEC61508標準，選擇3取2結構來完成容錯、安全的車載運行控制功能。系統具有三路獨立的輸入、輸出、主處理單元，每路的電源也獨立設置。

國際電工委員會（IEC）61508標準推薦了5種系統結構，在5種結構中3取2（two out of three）結構是性能最高的兩種結構之一。3取2結構又稱三模冗余結構（Triple Modular Redundancy，TMR），也稱三取二結構。3個模塊同時執行一樣的操作，以多數相同的輸出作為該表決系統的正確輸出，這是基于“少數服從多數”的糾錯原理，可以屏蔽任意一個通道的故障。向計算機這種非故障-安全的設備，設備故障（包括軟、硬件故障）可能有錯誤輸出。對于安全性輸出可通過故障-安全輸出控制電路和3取2表決器來共同保證其故障-安全特性。

對于車載數字量、模擬量、脈沖量輸入信號，采用多重模塊結構的輸入接口電路，即輸入的傳感器信號分成3路，直接送入3個通道的信號調整、隔離電路，然后分別通過擴展總線送到3個運算處理單元。

對于車載數字量輸出，采用3取2表決器輸出方式，當然3個運算處理單元輸出的自診斷看門狗信號，分別通過動/靜信號變換電路變換后，也進行3取2表決，其輸出控制數字量輸出表決器的電源供給來保證故障——安全控制，見圖2。

圖2 3取2結構的輸入和數字量輸出結構

車載計算機3個運算處理單元之間必須保持同步，才能完成3取2容錯處理功能，同步主要有時鐘級同步和任務級同步兩種。

時鐘級同步適用于緊耦合冗余結構，該方式優點是不消耗軟件處理資源。但該方式下CPU的時鐘、復位信號和控制信號都完全同步，導致硬件復雜，同時發生的共模錯誤會使兩個通道都受到影響，對共模錯誤抑制能力不高是該方式最大的缺點之一。

任務級同步適用于松散耦合冗余結構。由于3個通道的運算處理單元運行并不絕對同步，而是存在同步容差，共模錯誤對3個通道的影響很小，對共模錯誤抑制能力高是該方式最大的優點，目前在容錯系統中廣泛應用。這種方式下將控制程序分成若干任務，分別在每個任務之后通過通道間通信總線交換同步信息，由軟件完成同步功能，為此付出的軟件處理資源很大，對通道間通信總線的通信速度要求較高。

由于主處理板的時鐘很高，能夠保證3個主處理板工作周期非常準確。系統同步校正脈沖來自冗余時鐘電路，冗余時鐘電路采用3種冗余方式。3個通道的運算處理單元之間一般采用環形全連接方式的系統通信總線結構，連接中任意一個故障也不會影響3個運算處理單元之間的正常通信，既提高了系統的通信吞吐能力，又符合3取2結構的3組獨立系統通信總線的要求，提高了系統通信總線的可靠性。

圖3 3取2結構的通信輸出

整個車載3取2系統的對外通信口是兩個獨立的通道，在運算處理單元內，對外輸出的通信信息已經經過了表決處理，在外部通信單元1，2上還將再次進行通信信息的表決，保證整個系統對外的通信信息輸出是可靠的、安全的，而且任意一個外部通信單元故障，系統都能夠保證正常運行。

4 結束語

3取2結構的車載設備，由3個獨立的通道組成，它們之間通過系統通信總線和外部通信總線連接，由于它們在物理位置上是分開的，從根本上避免了由于局部故障引起整個系統的全面崩潰，屬于一種分布式計算機系統，并且實現了容錯和故障——安全特性。

[1] 呂永宏.《關于鐵路主體化機車信號系統中的安全冗余設計》.甘肅科技.2008.9.

[2] 徐志根.王長林.《三模冗余結構計算機聯鎖系統的安全度分析》.科技資訊.2009.26.

[3] 袁由光.《容錯與避錯技術及其應用》.科學出版社，1992.

[4] 胡謀.《計算機容錯技》.中國鐵道出版社.1995.

The Vehicle Carries the Computer Security Redundant System Discussion

Luo Lingfeng，Liu Hongyan

The leap frog development which constructs along with our country railroad，the train movement speed is getting higher and higher，but the vehicle carries the computer safeguards one of train high speed movement key equipments，this article mainly carried computer’s security redundant system to the vehicle to carry on the detailed introduction.

Vehicle mount computer；fault tolerance；3 for2

U 285

A

1000-8136(2010)32-0145-02