DS6—60計算機聯鎖技術中的信息安全技術

馬衛

摘 要

信號安全技術是系統故障時，自動導向安全側的技術。根據DS6-60計算機聯鎖技術中風險和安全設計分析，研究、分析了DS6-60計算機聯鎖中實現故障—安全側的方法措施，證明DS6-60計算機聯鎖技術是具有很廣闊的發展前景的。

【關鍵詞】DS6-60 計算機聯鎖 信號安全技術 研究與探討

1 概述

DS6-60計算機聯鎖采用二乘二取二冗余結構設計，是設計院DS6系列的最新產品，DS6-60是設計院依托DS6-11，DS6-20，DS6-K5bstract多年的應用經驗，以EN系列標準為參考研發的新一代用于鐵路信號控制的安全平臺，其可靠度指標：平均故障間隔時間大于或等于106h，安全指標：平均危險側輸出間隔時間大于或等于1011h。

2 計算機聯鎖的信號安全技術原則

DS6-60計算機聯鎖的信號安全技術主要體現在：

（1）系統工作時能完成正常的功能，保證正常安全輸出；

（2）系統發生故障時，保證系統輸出自動倒向安全側。

3 風險分析與安全性設計

DS6-60安全性設計方法： DS6-60計算機聯鎖按照安全等級為SIL4級的要求進行設計的，通過對實現各功能中遇見的故障錯誤進行風險分析，其思路是在DS6-11，DS6-20，DS6-K5bstract多年的應用經驗基礎上的完整、準確的功能設計。DS6-60設計中采用定性的危害識別方法識別出系統中所存在的所有風險，對風險進行分類處理，分析原因和結果，對風險級別高的采取措施降低風險，使風險降低到可以接受的合理范圍內。目前，DS6-60系統降低風險因素的手段就是靠設計、及檢測、冗余的方法。正確設計實現安全需求，保證系統功能安全。系統風險的規避措施主要采用以下幾個方面：

3.1 設備組合安全

當對一個器件產生的結果不確定時，就增加至兩個或多個器件來各自運行，并對輸出的數據數值等加以對比，如果結果相同意味著是安全輸出，認可該結果，同時，也要選擇檢測性技術，利用硬件、軟件的相異性，控制共模錯誤的發生。

3.2 處理功能時能安全反應

如果選擇某個器件來操作，則可以借助檢驗方法、反復運算等方式來運行，以此來確保其功能與作用安全、穩定地發揮。

3.3 器件的固有安全

在安全關鍵部位采用固有安全特性器件，當安全器件存在斷線、短路、或不符合的電流參數時，器件不予執行，就沒有輸出，這就是器件的固有安全。

4 DS6-60計算機聯鎖實現故障導向安全的方法措施

計算機聯鎖系統要實現故障—安全設計，首先要對系統的整體結構進行故障—安全的設計；其次實現系統設備各功能單元的信息傳輸安全。第三，是發生共模錯誤的處理。針對這三個問題分析處理結果如下。

（1）解決計算機系統層面的故障—安全主要從兩個方面進行處理一方面是避錯技術，另一方面是容錯技術。

避錯技術是對系統硬件的選擇，系統的硬件是否高可靠性的芯片，DS6-60系統采用高可靠性配置。但硬件的高可靠性是有局限性的，這就讓我們提出了容錯技術，當故障不可避免的出現時，我們接受，并采取其他措施導向安全側。容錯技術為我們解決了這一問題。

容錯技術的主要實現方法就是故障檢測和冗余技術。一般聯鎖計算機中都建立了設備監測系統，方便了故障檢測。故障檢測可以在系統故障時檢查出故障，并進行報警，呈現在監測系統上，系統根據故障情況做出反應，并給出安全輸出。冗余技術就是對必須的硬件、軟件、時間等進行余量的設計，完成技術的自動轉換。 DS6-60系統采用二乘二取二冗余結構設計，并設有系統監測機；系統聯鎖邏輯部為二乘二取二結構，分為Ⅰ系和Ⅱ系，各系內部為二取二結構，任何一系都可以獨立工作，雙系采用主從方式運行，任一系檢測到嚴重故障都會主動切換；系統內部一切關系到安全的問題，都可以采用故障安全的思路來實行雙重結構設計，這樣其中某個單點故障也具有相對獨立性，也不能對系統構成威脅，這樣才能達到鐵路車站信息安全控制的目標。

（2）信息傳輸的安全技術目前都基于通信系統的安全系統。系統的對外接口就是通信系統提供一個通信通道，將傳送的信息在通信軟件的應用層進行安全編碼和保護，不存在軟件上的故障-安全要求。DS6-60通信系統也通過建立2系實現故障-安全要求，計算機聯鎖通信部分（包括各單元之間）都是按照EN50159要求設計，系統內網絡采用雙網結構，互為冗余備份，保證當一個網絡失效時，另一個網絡能夠繼續承擔子系統之間的通信任務。

（3）共模錯誤的分析和處理。當系統遭遇瞬間干擾時，如電磁干擾、EMI干擾等，可能會對系統的2套設備造成破壞，或瞬間運算錯誤。這種瞬間運算錯誤，可能是由于CPU在讀取信息時，地址碼加錯或鎖存信息有誤，對于這類干擾引起的共模錯誤，風險解決的措施就是硬件相異性、軟件相異性、及程序時間相異性。再一個共模錯誤就是由軟件設計錯誤，由于軟件檢測錯誤的局限性和編譯錯誤都可導致共模錯誤的發生，軟件相異性、工具相異性是避免共模的發生。DS6-60計算機聯鎖中聯鎖雙系中每系均包括兩個獨立的CPU單元，兩個CPU單元實現二取二比較，僅當兩個中央處理器達到相同的運算結果，再向外輸出數據，系統內部的各個CPU單元軟件都應該選擇各自不同的編譯器進行編譯，以此來控制錯誤的呈現，維護系統的安全。

（4）另外，DS6-60計算機聯鎖中。

1）輸入采集單元采用動態采集方式，由輸入采集機籠內的兩個獨立CPU單元分別進行采集，由聯鎖邏輯部對采集結果進行比較，比較一致認為采集數據有效，否則采集數據無效，構成二取二故障-安全采集。

2）輸出單元采用雙斷控制，動態和靜態兩路驅動串聯輸出，靜態和動態輸出分別由輸出機籠內的兩個獨立的CPU單元控制，當一路輸出無效時，總輸出則為無效，構成硬件相異的二取二故障-安全輸出。這兩項功能的實現都遵循容錯技術和組合安全、反應安全的故障—安全原則，保證系統的安全可靠。

5 安全的全面性

DS6-60系統按照EN鐵路執行的安全指標，實際設計操作中要重點強化對風險的預測，創建風險日志，對安全需求進行全過程的動態跟蹤，立足于安全需求來進行設計、生產與檢驗，達到對不同環節的閉環控制，維護系統安全，確保其功能的發揮。

DS6-60系統很好的應用于天津地鐵3號線車輛段項目，發生故障率低，維護方便，并可與其他系統很好的接口，完成轉換任務。

6 結束語

實踐證明，DS6-60計算機聯鎖技術具有廣闊的應用前景，是我國鐵路發展的重要方向。

參考文獻

[1]中國鐵路通信信號集團公司，DS6-60計算機聯鎖系統介紹、維護手冊.

[2]DS6-60計算機聯鎖系統設計分析[J].鐵道通信信號，2012（08）.

作者單位

中鐵建大橋工程局集團電氣化工程有限公司 天津市 300000