三取二安全計算機平臺的同步表決體系

杜　鑫，夏宏斌，張　率，苗文俊，雒新宇

(1.承德石油高等專科學校 信息中心，河北　承德　067000；2.中國聯合網絡通信有限公司 承德市分公司，河北　承德　067000；3.承德石油高等?？茖W校 資產與后勤管理處，河北　承德　067000)

?

三取二安全計算機平臺的同步表決體系

杜鑫1，夏宏斌2，張率1，苗文俊1，雒新宇3

(1.承德石油高等?？茖W校 信息中心，河北承德067000；2.中國聯合網絡通信有限公司 承德市分公司，河北承德067000；3.承德石油高等專科學校 資產與后勤管理處，河北承德067000)

三取二安全計算機平臺是計算機聯鎖、車載控制器和區域控制器的基礎軟硬件平臺。作為列控設備的核心硬件平臺，其關鍵技術和開發要素則是重中之重。描述了應用于安全計算機平臺的關鍵技術，包括：閉環動態輸入檢測技術、動態輸出表決技術、時間同步技術、PCI共享內存互斥訪問技術，并按照標準方法選取計算參數，模擬出三取二安全計算機平臺的可靠度和安全度。通過對比，認為從可靠度、安全度參數上該平臺明顯優于雙機熱備系統，為安全計算機平臺的系統設計以及后續子系統的設計提供重要的理論依據。

計算機聯鎖；車載控制器；區域控制器；列車自動運行；信號采集與通信板

計算機系統在鐵路控制系統中的應用日益廣泛和深入。在軌道交通領域，列車自動控制(CBTC)系統是整個軌道交通領域信號系統的發展方向，而作為CBTC系統核心部件的安全計算機平臺，在CBTC開發中起著舉足輕重的作用。突出優點是可以實現車——地之間的雙向通信，并且傳輸信息量大，傳輸速度快，很容易實現移動自動閉塞系統，大量減少區間敷設電纜，減少一次性投資及減少日常維護工作，可以大幅度提高區間通過能力，靈活組織雙向運行和單向連續發車，容易適應不同車速、不同運量、不同類型牽引的列車運行控制等。

三取二安全計算機是故障——安全計算機，即在計算機運行故障時輸出應導向安全。將故障——安全技術和計算機技術結合起來，構成安全計算機。安全計算機作為鐵路信號控制系統的核心部件，對于整個列車的安全運行至關重要[1]。三取二安全計算機作為通用平臺，既可以應用于計算機聯鎖(Computer Based Interlocking，CBI)，也可以應用于車載控制器(Carborne Controller， CC)，還可以應用于區域控制器(Zone Controller，ZC)，不管安全計算機應用于哪一種產品中，均可以采集和控制外部相關設備的狀態，并通過以太網接入數據通信系統(Data Communication System，DCS)和列車自動控制系統(CBTC)中的其他子系統進行通信[2]。

1　三取二安全計算機平臺的總體結構

安全計算機平臺由三取二主處理單元、通信單元、IO單元和供電單元構成,見圖1。三取二原則是：在三機中，只要任意兩機輸出一致，就能正常輸出，即任意一機故障，不會影響系統的運行。三個處理單元之間電氣上相互隔離，通過點對點的通訊方式實現數據同步，并進行獨立的數據運算，當且僅當三個處理單元中有兩個以上的處理單元表決通過時才向外部系統發送安全控制相關的指令。系統通過冗余的通信單元實現與外部系統的通訊。

三取二主處理單元的I機、II機、III機之間采用千兆網絡組成點對點環網，進行高速數據交換，三機之間實現三取二同步和表決。每機內部架設一條PCI總線，SAC板、CPU板、ATO板都掛在該總線上，實現多塊板卡之間的共享內存數據交換方案。系內ATO與ATO之間通過以太網和RS422實現兩機之間的數據交換。

2　三取二安全計算機平臺的關鍵技術

2.1閉環動態輸入檢測技術

安全開關量輸入主要采集外部設備的繼電器節點，每個節點具備兩種狀態，分別是繼電器吸起狀態和繼電器落下狀態。通過輸入板，可采集到外部繼電器節點的這兩種狀態。安全開關量采集硬件模型如圖2所示。

2.2動態輸出表決技術

對于安全計算機平臺的每一路安全輸出，均需要硬件三取二表決，三取二表決電路的執行邏輯是：OUT=AB+BC+CA=AB+(A+B)×C。設計中每一路采用動態輸出方案，輸出模塊的3個通道分別輸出固定頻率的動態信號，經過DES動靜轉換電路將動態脈沖轉換為靜態電壓輸出，靜態電壓經過“與”“或”邏輯對外輸出。動靜轉換電路具有以下特征：沒有動態脈沖時動靜轉換電路對外輸出電壓為0V，動靜轉換電路內部任何一個元器件故障時動靜轉換電路對外輸出電壓為0V。

2.3時間同步技術

時間同步算法是指用于CPU板與CPU板進行時間同步的算法，CPU板之間的時間同步工作在的點對點以太網通信之上，可以采用NTP協議或自定義的簡化協議。NTP協議(Network Time Protocol)是一種基于網絡的計算機系統之間的時間同步協議，它廣泛用于Internet的計算機時間同步。在Internet中，數據包交換的延遲時間是可變的，NTP協議通過建立一個jitter buffer來計算去除可變延遲的影響[3]。

2.4PCI共享內存互斥訪問技術

PCI共享內存互斥算法是指CPU、ATO、SAC板卡之間的PCI共享內存所采用的互斥算法，用來保證不會因為多塊板卡同時訪問而破壞數據的有效性和一致性，采用面包店算法[4-5]。讀寫完成后，根據面包店算法修改對應的面包店數據區中的元素，然后釋放保護讀寫接口的本地互斥量。

3　性能比較

根據系統的狀態圖(見圖3)，狀態0、1、2、3為可靠工作狀態，狀態5為危險狀態。為了使計算結果具有普遍意義，各參數選取如下：計算機故障率λ=1×10 h，維修率μ=0．1，故障覆蓋率c=0.9，安全失效比例因子α=0.2。雙機熱備系統β=0.075；二乘二取二系統，2個單元共因失效β2=0.075，3個單元共因失效 β3=0.025。由此計算出兩系統的可靠度和安全度比較曲線如圖4所示，雙機熱備系統的MTTF為3.5361×10 h，二乘二取二系統的MTTF為2.42.1×10 h，單機系統的MTTF為1/A =1×10 h。

4　結束語

本文以系統設計的角度闡述基于3取2冗余技術的安全計算機平臺的四大關鍵技術，分別用于采集、輸出、表決、通訊。在軌道交通領域，將故障——安全技術和計算機技術結合起來，構成安全計算機。安全計算機作為鐵路信號控制系統的核心部件，對于整個列車的安全運行至關重要。列車自動控制(CBTC)系統是整個軌道交通領域信號系統的發展方向，而作為CBTC系統核心部件的安全計算機平臺，在CBTC開發中起著舉足輕重的作用，本文所列的四大關鍵技術更是安全計算機平臺的核心。

[1]王瑞峰,劉濤,李瀅.區域計算機聯鎖系統站間安全通信協議的設計與分析[J].鐵道學報，2015(3):59-63.

[2]馬小玲,張友鵬,杜求茂,等.計算機聯鎖系統的可靠性和安全性比較[J].鐵路計算機應用，2009(6):46-49.

[3]Oklander B, Sidi M. Jitter Buffer Analysis[J]. Journal of Medicinal Chemistry, 2008, 50(23):1-6.

[4]劉培寧,楊玉華,李連云,等.基于PCI總線的共享內存底板網絡[J].計算機工程，2006(6):246-247.

[5]陳勇,許芳,袁春,等.cPCI架構共享內存通信平臺機制的實現[J].計算機工程，2008(5):271-273.

Secure Computer Platform Based on 3-vote-2 Fault-Tolerant

DU Xin1, XIA Hong-bin2, ZHANG Shuai1, MIAO Wen-jun1, LUO Xin-yu3

(1.Information Center, Chengde Petroleum College, Chengde 067000, Hebei, China；2.China United Network Communications Corp. Chengde branch, Chengde 067000, Hebei, China；3.Assets and Logistics Administration Section, Chengde Petroleum College, Chengde 067000, Hebei, China)

The secure computer platform based on 3-vote-2 fault-tolerant is the basic software and hardware platform of computer based interlocking, carborne controller and zone controller. As the kernel of the automatic train control, the key technology of the computer platform based on 3-vote-2 fault-tolerant is the most important. The paper describes the key technologies applied to the computer platform, including the closed-loop dynamic testing, dynamic output voting, time synchronization and PCI shared memory mutual exclusion access. This paper provides some important theoretical basis for the design of the secure computer platform and sub systems.

computer based interlocking; carborne controller; zone controller; automatic train operation; signal acquisition and communication board

2016-03-30

杜鑫(1983-)，男，河北承德人，承德石油高等?？茖W校信息中心講師，碩士，主要從事嵌入式系統、冗余熱備技術、信號處理與模式識別的研究。

TP391

A

1008-9446(2016)04-0052-04