二乘二取二硬件安全冗余信號控制平臺關鍵部件的安全設計和可靠性研究

■ 韓安平 段武

二乘二取二硬件安全冗余信號控制平臺關鍵部件的安全設計和可靠性研究

■ 韓安平 段武

AT96DDMR信號安全控制平臺是具有安全硬件冗余結構的二乘二取二信號控制平臺，其結構可分為操作顯示層、邏輯運算層和輸入輸出層3個層次，關鍵的邏輯運算層、輸入輸出層達到安全完整性SIL4級要求。重點對關鍵部件的安全性設計方法、可靠性預計進行描述及計算。

二乘二取二系統平臺；安全設計；可靠性；信號控制

為提高鐵路安全控制系統的安全性和可靠性，具有硬件安全冗余結構的二乘二取二系統將成為我國鐵路信號安全控制系統的主流模式。鐵路信號安全控制系統主要指車站計算機聯鎖、列車運行控制、城市軌道交通基于通信的列車運行控制系統（CBTC）等信號安全控制系統，這些系統都要求在具有二乘二取二冗余結構的信號安全控制平臺上集成而成。AT96DDMR信號安全控制平臺即為專門開發用于這些信號控制系統的一種安全平臺。

1 平臺安全結構

AT96DDMR信號安全控制平臺（簡稱平臺）的結構分為3個層次：操作顯示層、邏輯運算層和輸入輸出層。按照結構層次劃分，平臺由劃分在上述3個結構層的操作顯示子系統（MMI）、維護終端子系統（MT）、邏輯運算子系統（IL）、輸入子系統（FIMI）、輸出子系統（FIMO）和電源子系統（PW）組成，這些子系統共同滿足平臺系統的功能需求。由于信號安全控制平臺集成的系統是安全完整性等級[1-3]要求很高的系統，因此，對平臺也有安全功能需求，結構上要求具有安全冗余結構。AT96DDMR信號安全控制平臺的安全冗余結構見圖1。

在上述子系統中，IL子系統、FIMI子系統和FIMO子系統是關鍵組成部分，它們完成系統的絕大部分安全需求功能，因此對這些子系統的設計采用了安全冗余結構。圖1中的與門邏輯符號指示了平臺中采用安全冗余結構設計的主要部位。

IL子系統是整個平臺的核心層，由具有安全冗余結構的專用計算機組成。通過安全數據通道與輸入輸出層交換信息，通過局域網和操作顯示層交換信息。IL子系統接收來自操作顯示層的操作命令信息和來自FIMI子系統的現場設備狀態信息，據此進行邏輯運算，產生相應的輸出控制，通過FIMO子系統對現場設備進行控制。

圖1 AT96DDMR信號安全控制平臺的安全冗余結構

FIMI子系統和FIMO子系統組成輸入輸出層。輸入輸出子系統通過安全數據通道與IL子系統交換信息。FIMI子系統通過采集接口電路，采集現場設備的狀態信息，發送給IL子系統；FIMO子系統接收來自IL子系統的輸出控制信息，通過驅動接口電路，安全地控制現場信號設備。

2 IL子系統安全設計

IL子系統是平臺最為關鍵的組成部分之一。造成IL子系統錯誤輸出的原因主要有3個方面：自身運算錯誤、采集信息來源的錯誤、輸出信息的發出錯誤。但造成的危險后果只能是通過FIMO子系統的錯誤輸出最終表現出來。

對于自身運算錯誤，主要是解決避免出現由于CPU板硬件原因導致誤碼而出現的危險指令，為了解決該問題，可以采取軟件冗余編碼、數據物理地址異地備份存儲的方式，在單CPU內部采取該方式后，還可采取硬件冗余的安全結構，即國際通用的二取二方式，也就是雙CPU獨立運算比對運算結果的方式。

采集信息的獲取和輸出信息的發出排除執行部分的輸入輸出（I/O）板錯誤外，主要的錯誤原因就是信息傳輸通道的誤碼故障，為能發現該故障除了采用比較常見的通信數據校驗碼校驗外，采用冗余的通信通道，對得到的雙份數據進行校驗比對，該雙份數據可以采用不同的編碼方式，通過一定解析后進行比較。對輸出的信息也通過不同的編碼方式以相異的物理通道發出。該平臺的I/O信息考慮采用正反碼校驗傳輸方式，即主CPU接收或發出正碼信息，從CPU接收或發出反碼信息。

對于輸出命令，若雙CPU輸出結果不一致，假如該命令一旦發出去后，沒有被識別出來就可能會被輸出板執行，導致不安全因素出現；另外假如發生輸出板不可控的情況，即使該錯誤被發現但也不足以能及時防止住錯誤命令的發出，這些錯誤命令一旦被執行，最終可能導致危險的后果。為了解決上述問題，平臺引入了第三方仲裁部件，通過其堵住最末級的錯誤輸出信息發出。

圖2為引入了第三方仲裁部件（比較板）的IL子系統局部結構。引入了第三方仲裁部件的IL子系統主要由CPU板、通信板、比較板組成。

CPU板雙套配置，完成二取二功能，2個CPU之間通過雙口隨機存取存儲器（RAM）進行信息交互，并對各自的安全信息進行相互比較。

通信板雙套配置實現通信數據經過不同物理通道的傳輸，實現IL子系統與輸入輸出子系統間的信息交換，雙通道中傳輸的表示相同信息的數據以不同的編碼結構進行傳輸。

比較板為系統硬件比較器，即第三方仲裁部件，實時檢查比較主從CPU的輸出命令，比較不一致時，或CPU發現輸出板出現不可控的錯誤輸出時，比較板做出安全反應，切斷FIMO子系統的電源。比較板還可以根據用戶程序發來的嚴重故障報警信息執行安全處理反應。

IL子系統在應用中采用了雙套冗余配置，即由結構相同的A系和B系組成。兩系之間通過局域網傳遞系統同步信息，通過安全數據通道交換I/O信息及各系的工作狀態信息，以提高系統的可靠性。

3 輸入輸出子系統安全設計

FIMI子系統和FIMO子系統要和IL子系統交換信息，鑒于IL子系統的安全設計，輸入輸出子系統設計雙CAN現場總線與IL子系統連接。輸入輸出子系統的組成和連接見圖3。為了提高輸入輸出子系統的安全性，輸出板和輸入板也全面采用“取2”安全冗余結構。

3.1 FIMI子系統

FIMI子系統在信息邏輯采集判斷上采用“異或”動態輸入原理實現安全結構功能。

（1）“異或”動態輸入通道：FIMI子系統每個模塊有32路輸入通道，由2個CPU分時復用。輸入通道采用“異或”動態輸入邏輯電路，既實現了動態采集，也實現了輸入通道的實時自檢。

圖2 IL子系統局部結構

圖4中a點為測試控制端，ACPU和BCPU交替進行數據采集，因此ACPU和BCPU交替控制a點測試控制端；c點為輸入通道的采集輸出，ACPU和BCPU在自己進行測試后回讀采集輸出狀態；b點為輸入通道的外部狀態輸入，通常為繼電器的接點狀態。它們三者形成“異或”邏輯關系，c=a⊕b ，邏輯真值表見表1。

（2）通信信道“取2”：通信信道采用雙重冗余CAN總線，一路CAN總線傳送正碼信息，另一路CAN總線傳送反碼信息。IL子系統對收到的正反碼狀態信息進行邏輯“與”操作。

（3）正反碼機“取2”：采集信息處理由2個CPU構成，1個為正碼CPU，1個為反碼CPU。2個CPU獨立采集狀態信息，形成正碼、反碼狀態信息。2個CPU獨立收取兩路CAN總線上IL子系統發出的正碼、反碼信息作為呼叫命令，并對呼叫命令應答正碼、反碼采集狀態信息。

圖3 輸入輸出子系統的組成和連接

圖4 FIMI子系統輸入通道原理

表1 輸入通道“異或”邏輯真值表

3.2 FIMO子系統

（1）輸出通道采用安全措施，構成安全通道，FIMO子系統輸出通道原理見圖5。

①“與”輸出：正碼機CPU-A和反碼機CPU-B各自獨立收到IL子系統主從CPU發來的驅動信息，各自形成有效命令后，分別驅動“與”輸出部分的2個電子開關，只有2個電子開關同時開通，此路才有輸出。

②輸出反饋：2個CPU處理器對“與”輸出部分的2個電子開關的狀態進行反饋回讀，如果反饋狀態與驅動命令比較不一致，則做倒向安全處理。

③快速掃描輸出反饋：2個智能處理部分對輸出反饋進行快速掃描，及時發現安全故障，及時處理安全故障。

（2）安全電源具有如下安全功能：

①逆變電壓：安全電源以逆變電壓作為輸出驅動電壓，保證系統其他電源混入不會導致錯誤輸出。

②動態鑒相控制：只有正反碼機向安全電源的2個控制端提供特定占空比、同頻、反相的兩路驅動脈沖，安全電源才有電壓輸出。

③安全輸出：如果由于某種原因（“與”輸出電路發生安全性故障或CPU失控等）導致CPU停止或不能向2個安全控制端提供特定占空比、同頻、反相的驅動脈沖，安全電源在50 ms內切斷電壓輸出。

4 可靠性預計

4.1 可靠性分配

目前鐵路信號安全控制系統的平均故障間隔時間（MTBF）要求為≥106h，根據這一要求及二乘二取二信號控制平臺的系統整體安全性結構和可靠性結構，考慮輸入輸出板的各自64塊最大配置數量，對該平臺進行可靠性分配，得出單套IL子系統的MTBF應該大于8 760 h，輸入板的FIMI子系統的MTBF應該大于110 000 h，輸出板的FIMO子系統的MTBF應該大于140 000 h。

圖5 FIMO子系統輸出通道原理

4.2 可靠性預計模型

應用GJB/Z 299B[4]推薦的應力分析法和MILHDBK-217標準[5]，對各子系統做可靠性預計。

各單元模塊元器件的工作失效率預計：

式中：πQ為質量系數；πT為溫度系數；πV為電壓應力系數；πE為環境系數；πL為成熟系數；C1、C2、C3為電路復雜度及封裝復雜度。

系統單元模塊元器件及系統組成單元模塊之間相互獨立，并且為一串聯模型，則單元模塊和系統可靠度滿足下面公式：

式中：Ri（ti）為第i個單元模塊或元器件的可靠度。

IL子系統或單元模塊的平均無故障時間為：

IL子系統或單元模塊的故障率為：

各單元模塊或元器件均服從指數分布，則：

利用上述公式及GJB/Z 299B給出的相關元器件的指標值，代入上述公式，得出表2所列單元模塊的失效率。

根據表2，可得出IL子系統的失效率為：

IL子系統的MTBF為：

FIMI子系統的故障率為8．953 588 e-6/h，MTBF為111 687 h，可靠度為0．999 1；FIMO子系統的故障率為5．495 806 e-6/h，MTBF為181 956．944 h，可靠度為0．999 45。IL子系統、FIMI子系統和FIMO子系統的MTBF均大于可靠性分配的對應指標。

5 結束語

安全性設計和可靠性設計是決定系統性能的關鍵環節。AT96DDMR信號安全控制平臺在設計過程中從安全性設計和可靠性設計上都經過了周密考慮，設計流程及采用的設計方法和思路嚴格遵循國際相關標準，其安全完整性等級達到SIL4級，通過可靠性預計，其關鍵部件的可靠性也滿足行業要求。由該平臺集成的TYJL-III型計算機聯鎖系統，目前已在城市軌道交通、大型廠礦專用線車站及國鐵車站得到廣泛應用。

表2 IL子系統各單元模塊的工作失效率

[1] EN 50129：2003 Railway applications-Communication，signalling and processing systems-Safety related electronic systems for signaling[S]．

[2] EN 50128：2011 Railway applications-Communications，signalling and processing systems-Software for railway control and protection systems[S]．

[3] EN 50126：1999 Railway applications-The specification and demonstration of Reliability，Availability，Maintainability and Safety（RAMS）[S]．

[4] GJB/ Z 299B—1998 電子設備可靠性預計手冊[S]．

[5] MIL-HDBK-217F—1991 美國軍用電子設備可靠性預計手冊[S]．

韓安平：中國鐵道科學研究院通信信號研究所，研究員，北京，100081

段 武：中國鐵道科學研究院通信信號研究所，研究員，北京，100081

責任編輯 盧敏

U284

A

167 2-061X（2015）02-0099-04

所獲獎項：2014年度中國鐵道科學研究院科學技術獎一等獎。