淺析iLOCK聯鎖應用及故障處理

匡前良

摘要：隨著我國鐵路事業的迅速發展，高鐵、客運專線等一系列新技術相繼開始投入使用，鐵路信號傳輸量大大增加，這對鐵路信號設備的可靠性和安全性提出了更高的要求。計算機聯鎖系統控制信號燈、道岔和軌道電路，實現它們之間的聯鎖關系，是鐵路信號設備的核心部分。為保證可靠性和安全性，國內iLOCK計算機聯鎖系統廣泛采用二乘二取二結構。

關鍵詞：iLOCK；聯鎖應用；故障處理

1引言

計算機聯鎖相較于傳統的繼電聯鎖系統在占用空間、維修量、信號傳輸速率、人機會話界面和功能擴展能力等方面具有很大優勢，特別是隨著大規模集成電路的價格下降，其在價格上的優勢也日益凸顯。國內車站的聯鎖控制經歷了機械聯鎖控制、電氣集中聯鎖控制、計算機聯鎖加繼電器執行控制三個大的發展階段。20世紀70年代基本完成由機械聯鎖發展到6502電氣集中聯鎖，從80年代后期開始研究計算機聯鎖加繼電器執行的系統，9 0年代進行試驗并逐漸開始上道使用。在計算機聯鎖系統發展的早期，曾采用過存在極大可靠性和安全性隱患的單機結構，現已經被淘汰。目前車站所用的計算機聯鎖系統主要分為雙機熱備、三取二和二乘二取二三種結構。雙機熱備結構由兩個運算模塊執行一套功能相同的聯鎖以及相應的故障檢測程序，來提高系統的可靠性。雙機熱備結構雖然具有良好的可靠性，但是存在很大的安全性隱患，不適合對安全性要求很高的計算機聯鎖系統使用。

2 iLOCK聯鎖應用及故障

2.1二取二安全原理

二乘二取二計算機聯鎖系統主要依靠單板內的二取二結構來保證安全性，系統的聯鎖主機、通信模塊和接口模塊的單板均設計成二取二結構，其基本安全原理是一樣的。將繼電器失電定義為安全狀態，繼電器上電定義為危險狀態。

2.2故障檢測和故障—安全特性

（1）電源。當出現電源欠壓時，看門狗電路自帶欠壓檢測，防止CPU工作在欠壓狀態；當出現電源過壓時，保險絲會熔斷，切斷CPU供電，防止CPU損壞。如果單個運算通道的電源出現故障，對應的看門狗電路可以控制動靜轉換電路，切斷本系的輸出，實現故障—安全特性。

（2）時鐘。兩個CPU之間通過隔離SPI交互數據，設CPU1工作在SPI主機模式下，CPU2工作在SPI從機模式下，CPU2可以檢測SPI的SCK線，從而得到CPU1的頻率；另外CPU2通過光耦向CPU1發送脈沖信號，CPU1可以檢測CPU2的頻率。兩者之間互相比較頻率。如果單個運算通道的時鐘出現故障，通過比較可以判斷出兩個運算通道的時鐘不一致，對應的看門狗電路可以控制動靜轉換電路，切斷本系的輸出，實現故障—安全特性。

當兩個CPU的時鐘均出現問題時：聯鎖主機與通信模塊、通信模塊與接口模塊之間用CAN總線通信，CAN總線設有固定的波特率，當上下位機中出現了過大的頻率偏移，系統檢測到CAN總線通信出現問題，控制動靜轉換電路，切斷本系的輸出，實現故障—安全特性。

（3）復位。對每個CPU設計獨立的復位電路，系統啟動時，復位電路自動將CPU復位，兩個CPU通過SPI總線通信，如果通信同步則認為復位成功，若不同步則復位失敗。如果CPU未能復位成功，對應的看門狗電路可以控制動靜轉換電路，切斷本系的輸出，實現故障—安全特性。

（4）SPI。當SPI通信出現故障時，認為繼電器吸合，系統處于危險狀態。CPU發送命令控制動靜轉換電路，切斷本系的輸出，實現故障—安全特性。

（5）動靜轉換電路。如果動靜轉換電路出現故障，繼電器J0非正常吸合。CPU1、2通過自檢繼電器J0狀態得知系統處于危險狀態，CPU1通過P1引腳強制控制光耦通斷，CPU2通過P2引腳強制控制脈沖信號，中斷高頻變壓器工作，確保繼電器J0失電，實現故障—安全特性。

（6）寄存器。對寄存器做采用兩種方式檢測：1.每啟動了一個初始化寄存器（如中斷控制寄存器）后，檢測是否初始化成功；2.在每個診斷周期中，應用EN系列標準中規定的數據位組合對其他非初始化寄存器進行測試。

（7） ROM。對ROM的檢測分為兩種方案：1.將ROM按一定字節長度分為若干段，每段設置專門的CRC校驗區，系統周期檢測每個CRC校驗區是否正確；2.將ROM里面的數據復制成兩份，存在不同的地址，系統周期比較兩個地址的數據是否一致。

（8）RAM。在每個系統周期都進行RAM自檢，先將RAM中某一單元的數據讀出來并保存，在向該單元寫入EN系列標準中規定的數據位組合，再對該單元執行讀操作，看能否讀出正確的數據位組合，如果讀出正確數據則代表該RAM單元正常，將原數據再寫入該單元；如果讀出錯誤數據則代表該RAM單元出現故障。對于EN系列標準中規定的數據位組合應循環使用，保證每種組合都被檢測過。

3二乘二取二計算機聯鎖系統運行模式

完整結構是指可靠性和安全性分析時對導致系統失效中每個因素（包括切換器和比較器失效）都進行考慮，并基于完整結構分析了二乘二取二計算機聯鎖系統運行中各種失效發生后會出現的情況。假設，當前工作在主系狀態下的為A系，B系熱備。

A系內的兩個運算模塊的任一模塊出現了可測失效，A系被劃歸為故障系并停機，如果B系正常工作，調用切換器切換系統輸出至B系。B系內的兩個運算模塊的任一模塊出現了可測失效，B系被劃歸為故障系并停機。如果A、B兩系都被劃歸為故障系并停機，則系統導向故障-安全輸出。切換器一旦失效，則系統無法正常切換輸出至B系，所以B系運算模塊失效和比較器B失效將不再考慮。如果此時A系出現可測失效，或者出現不可測失效但比較器A正常，則A系被劃歸為故障系并停機，系統導向故障-安全輸出。

A系內的兩個運算模塊的任一模塊出現了不可測失效，如果比較器A正常工作判斷出兩個模塊輸出不一致，則A系被劃歸為故障系并停機，如果B系正常工作，調用切換器切換系統輸出至B系；如果比較器A失效，無法判斷出兩個運算模塊輸出不一致，則系統輸出仍調用A系輸出，系統處于危險側輸出。B系內的兩個運算模塊的任一模塊出現了不可測失效，如果比較器B正常工作判斷出兩個模塊輸出不一致，則B系被劃歸為故障系并停機；如果比較器B失效，無法判斷出兩個運算模塊輸出不一致，如果此時A系出現失效，系統將處于危險側輸出。

4結束語

總而言之，國內投入使用的計算機聯鎖系統大部分是從繼電電氣集中發展起來的，是一種計算機聯鎖加繼電器執行的系統。進入21世紀以后，全電子計算機聯鎖的概念逐漸被業內廣泛接受，許多科研單位開始研制基于全電子執行單元的計算機聯鎖系統。

參考文獻：

[1]宋保平.新型鐵路車站計算機聯鎖系統的設計與實現[D].碩士學位論文，黑龍江大學，2009.

[2]李翔.基于FPGA的二乘二取二安全系統的設計與實現[D].碩士學位論文，北京交通大學，2009.

（作者單位：成都地鐵運營有限公司維保分公司）