城市軌道交通信號系統冗余技術分析

甘 勇

（中鐵第四勘察設計院（集團）有限公司通號處，430063，武漢∥助理工程師）

城市軌道交通信號系統具有極高的安全可靠要求，不僅要采用高可靠的元件、器件和軟件，而且還要具有故障導向安全的特性。冗余技術是計算機系統可靠性設計中常采用的一種技術，是提高信號系統可靠性的最有效方法之一。通常會在控制系統的設計和應用中采用冗余技術。即重復配置系統的一些部件，當系統發生故障時，冗余配置的部件介入并承擔故障部件的工作，由此減少系統的故障時間，從而提高系統的安全可靠性。

在GB／T12758—2004《城市軌道交通信號系統通用技術條件》［1］中，規定了城市軌道交通信號系統的總則、系統，以及基本功能、技術要求和環境條件。主要有：①信號系統及其產品應進行可靠性描述，要求采用必要的冗余技術。②信號系統的平均無故障間隔時間（MTBF）根據系統構成的冗余度確定。③信號系統應進行可用性描述，要求重要設備應有冗余措施，系統數據傳輸網絡應具有冗余措施，行車指揮中心及車站主要設備應采用有效的冗余技術，主備系統宜實現無擾切換。④裝備列車自動防護系統的列車，其實際車速的表示應由列車自動防護系統的車載設備驅動，采用車輪轉速測定列車速度時，應具有輪徑磨耗補償，根據需要可有車輪空轉打滑的檢測能力，測速裝置宜采用冗余技術。⑤聯鎖設備必須符合故障－安全的原則，應采用必要的冗余和安全技術并具有故障診斷和報警能力。⑥電源系統主要功能單元，宜采用模塊化積木式結構，系統應采用冗余措施，具有較高的可靠性，保證信號系統供電可靠。因此合理的冗余設計將大大提高信號系統的可靠性和安全性。以下就信號系統的冗余方式進行分析。

1 軟硬件冗余設計方案

1.1 軟件冗余設計方案

軟件冗余方案示意圖見圖1。輸入數據經2套輸入電路讀入。在1臺主機內有2套獨立程序：程序A和B同時按照獨立的格式依次對輸入數據處理。在正常情況下，2套獨立程序處理的結果是相同的。經過比較器電路進行結果比較，在結果一致時，經2套輸出電路輸出，圖中接點A、B吸起，接通控制電路。在發生故障時，由于程序A、B的獨立性，致使處理結果不一致。該結果導致比較器電路輸出為零，圖中接點A、B落下，切斷控制電路的供電。由于聯鎖邏輯是遵循故障－安全準則，所以控制電路失電必然導向安全的結果。

圖1 帶比較結果的“一硬二軟”軟件冗余方案示意圖

在軟件冗余方式中，存儲器、CPU等都是共用，則程序編制必須嚴格獨立。至少應該由2人分別獨立編制，以防止一個硬件上的故障使2套程序產生同樣的結果。從理論上說，2套程序的絕對獨立是不可能的。通常認為，每一項硬件故障使2套程序產生同樣錯誤的概率為10－3，則采用“一硬二軟”的軟件冗余方案時2次危險結果之間的間隔時間為tg＝ MTBF×103，其中MTBF為計算機的平均故障間隔時間（h）。但該類“一硬二軟”軟件冗余方案所占內存空間較大，處理時間較長，輸入電路有一些共用部分（如電源），二次電路不是完全獨立的，孿生性故障隱患仍然存在。

1.2 硬件冗余設計方案

1.2.1 “二取二”硬件冗余系統原理

圖2為帶有結果比較的雙機并行處理的原理圖，稱“二取二”系統。在正常情況下，2臺相同計算機A、B對輸入數據處理結果相同；該處理結果經比較確認后，就使同步器的控制脈沖命令得以通過比較器，輸出電路給出控制命令。發生故障時，雙機處理結果不相同，比較器電路通過同步器切斷計算機的處理過程，鎖住控制命令的發出，且通過輸出信號轉換電路切斷控制電流，給出故障報警。

2套比較器電路A、B彼此獨立，逐位檢查2臺計算機處理的一致性。比較器在每收到一次監視脈沖后開始工作。計算機在每一步節拍之前先給出一個監視脈沖，然后檢測一下比較器通道是否暢通。如果上一步節拍2臺計算機處理結果是一致的，則比較器通道暢通。同時，比較器給同步器一個無故障回執，同步器收到回執之后才給出下一步節拍脈沖。用該方式實現每一步節拍后校準雙機的一致性。倘若出現不一致，比較器阻塞，不給出無故障回執，于是同步器也不給出下一步節拍脈沖，計算機停止處理信息，給出故障報警，切斷控制電路的電源。此并行計算機硬件冗余系統是符合故障－安全準則的。“二取二”硬件冗余系統有如下特點：①計算機本身并不具有故障－安全特性，但圖2所示的帶結果比較的雙機并行系統具有故障－安全特性；②2套計算機在空間上分開，可以用相同程序，即“一軟二硬”硬件冗余；③由于是并行處理，則在處理時間上是最優的；④如上所述，個別故障不會出現危險，設出現雙重故障的概率為W（與前述相同，取10－3），則2次危險結果之間的間隔時間為tg＝ MTBF2／（2W）＝ MTBF2×103／22；⑤隨著硬件價格的逐步降低，該方式在價格上的優勢因其節省一套軟件而日趨明顯。

圖2 “二取二”硬件冗余方案示意圖

1.2.2 “三取二”硬件冗余系統原理及特點

“二取二”硬件冗余系統很容易擴展為安全性、適用性更高的三機并行系統，即所謂“三取二”系統。圖3為“三取二”硬件冗余系統原理圖。每臺計算機帶2個硬件比較器，當3臺計算機全部正常工作時，6個比較器電路均獲得一致的結果，控制命令能正常執行。一旦有一臺計算機故障，例如計算機Ⅱ故障，于是比較器12、21、23、32因輸入信號不一致而阻斷控制命令，但比較器13及31仍能保證控制電流通過。同時，比較器21和23同時阻斷，經與門使計算機Ⅱ的同步器不給出下一節拍脈沖，計算機Ⅱ停止工作，此時整個系統稱為完整的雙機并聯運行系統。在一臺計算機故障時，系統從“三取二”過渡到“二取二”，并不影響信號系統的使用。

2 各種冗余技術的分析與應用

圖3 “三取二”硬件冗余方案示意圖

隨著計算機系統的不斷發展和應用范圍逐步擴大，其硬件冗余技術也經歷了從雙機冷備、雙機準熱備到雙機熱備，以及二乘二取二、三取二等過程。雙機冷備設2套主機，主機運行，備機關機，人工進行切換；主機故障時報警，人工按壓切換按鈕。雙機準熱備，主機進行運算，備機采集主機狀態，準備切換；主機故障時需要系統間切換，備機轉為工作機時有“黑屏”、打滅信號等現象。雙機熱備，2套主機，2臺主機進行獨立運算，主機輸出驅動，備機不輸出，監測主機狀態，準備切換；主機故障時需要在系統間進行切換，為可靠的冗余結構，但需解決輸出電路的隔離問題。二乘二取二，4套主機，4臺主機運行，兩系進行獨立運算，主系輸出驅動，備系不輸出，監測主系狀態，準備切換；主系故障時需要在系統間進行切換，為可靠的冗余結構，但需解決兩系輸出驅動電路的隔離及切換問題，有較完善的同步機制、容錯性能，但無重構技術。三取二系統，3臺主機同時進行運算，系統對3個輸出結果判別，2個以上結果相同輸出驅動，無需進行系統切換；故障時系統降級成為二取二，沒有黑屏現象和信號閃爍的隱患，有較完善的同步和故障機數據重構性能，具備帶電拔插功能，方便維修。在城市軌道交通信號系統中，主要行車設備或子系統的計算機系統必須采用二乘二取二或三取二計算機冗余技術；每列車應配置三取二或二乘二取二冗余結構的車載設備，車載設備如采用二取二模式，兩端ATP設備應該做到互為冗余備用。聯鎖、ATP（列車自動防護）子系統等安全設備的計算機系統應采用三取二或二取二的安全型冗余結構。電源系統結構應采用模塊式結構，采用“1＋1”或“N＋M”在線熱備冗余工作技術，并可熱插拔更換模塊。信號系統軟件應有冗余、容錯及糾錯性能，不允許因故障造成系統失控，故障應導向安全。為提高信號系統的可靠性，系統數據傳輸網絡采用雙網結構；ATS（列車自動監控）子系統的主要設備如各類型的服務器、網絡交換機、數據傳輸設備等應冗余配置，工作站應能互為備用。

下面以URBALISTM系統（ALSTOM 用于大客運量軌道交通解決方案的標準信號系統產品）為例進行冗余分析。URBALISTM系統或設備采用安全冗余結構，按照故障－安全原則設計，其冗余原則基于設備冗余和通信冗余。設備冗余中，子系統采用熱備冗余制式：ZC（軌旁ATP／ATO控制器（區域控制功能））和LC（軌旁ATP／ATO控制器（線路控制功能））采用“三取二”平臺技術。CC（車載控制器）是基于單編碼處理器技術和三取二技術的車載系統。每列車首尾各設有一套完整的CC系統，首尾熱備冗余，其中輸入輸出模塊采用三取二結構。CBI（計算機聯鎖）采用二乘二取二冗余結構，這樣單個設備故障不會影響到整個系統的運行。臨時或應急控制中心ATS采取冗余配置的服務器，各調度工作站互為備用，確保當熱備冗余的主機故障時主備切換具備連續的顯示及控制功能。所有設備集中站采用冗余的LATS服務器及現地操作工作站。通信級冗余中，通信和基礎設施冗余采用以下原理：雙重通信網絡（“紅”和“藍”），各子系統復制它們的輸出信息，每一個信息都通過紅色和藍色網絡兩條路徑傳送，核心SDH（同步數字傳輸系統）網絡具有足夠的帶寬支持雙重信息。網絡接入設備：兩臺光交換機作為子系統連接SDH節點的網絡接入設備，一個連到紅網，另一個連到藍網；核心SDH網絡由SDH節點（多路復用器，相關板卡采用熱備冗余配置）和光纖組成，光纖以此方式連接創建一個環路。這種網絡結構可以防止普通模式故障，并且對特殊光纖或設備的物理損壞具有防護功能。若光纖發生物理損壞，該環在50ms內會自動重新配置確保通信質量不受影響。

由上述分析得出，在城市軌道交通信號系統的冗余設計中，合理選用冗余技術方案對城市軌道交通信號系統的安全性、可靠性、可維護性產生巨大影響。

［1］GB／T 12758—2004城市軌道交通信號系統通用技術條件［S］.

［2］吳汶麒.軌道交通運行控制與管理［M］.上海：同濟大學出版社，2004.