城市軌道交通聯鎖系統的冗余結構分析

楊艷

摘 要：文章從城市軌道交通計算機聯鎖系統的層次結構出發，分別闡述了系統的可靠性與安全性概念，對雙機熱備、二乘二取二和三取二3種冗余結構從系統組成和功能等方面進行分析和比較，從經濟角度和系統性能角度簡述了城市軌道交通正線和車輛段/停車場等不同場合適合選擇的冗余結構。

關鍵詞：可靠性與安全性;雙機熱備;二乘二取二;三取二

0 引言

從經濟因素、歷史背景、聯鎖系統的控制規模、設備的技術層次等多方面來看，計算機聯鎖系統具有不同的體系結構。從功能角度來看，計算機聯鎖系統需要完成現場設備監控、人機會話、聯鎖邏輯運算等多種任務，而這些任務如果僅由一臺計算機來做是很難完成且很費時間的。按執行功能的計算機數量可劃分為單模塊系統和多模塊系統。計算機聯鎖系統一般采用多模塊結構，這種結構的計算機之間聯系方式不同，并且每臺計算機的功能也有區別。根據功能的繁簡程度，將整個計算機聯鎖系統劃分成若干個相對獨立的由不同類型的計算機進行處理的子模塊。

1 聯鎖系統的層次結構

層次結構就是按照聯鎖系統進路的控制層次來描述的結構。計算機聯鎖系統的層次結構從上層至下層可以分為人機對話層、聯鎖層和控制層，層次結構分為集中式控制和分散式控制。由同一臺計算機來完成系統每一層的功能稱為集中式控制結構;各層的功能分別由不同層次的計算機來處理稱為分散式控制結構。分散式控制結構的特點是將聯鎖系統的功能按照結構層次劃分成許多獨立又有一定聯系的功能模塊，各功能模塊都由對應的計算機來處理，從而使系統在計算機的配置上形成多種機器的分散式結構[1]。

為了保證系統的可靠和滿足故障—安全要求，計算機聯鎖系統采用一種以通用計算機技術為基礎構成的分散式控制結構。然而，對當前的工業控制計算機來說，其質量水平還不能滿足聯鎖系統的高可靠性要求，更不具備故障—安全的要求。因此，從軟件和硬件角度出發，采取多重冗余技術組成聯鎖系統的各層模塊，以此確保整個系統的高可靠性和高安全性要求。

2 聯鎖系統的可靠性與安全性分析

計算機聯鎖系統采用多重冗余結構的目的是通過增加相同性能的模塊來提高系統的可靠性和安全性。雖然從功能角度看，增加的模塊是多余的，但是從提高系統運行的角度看，多冗余結構是必需的。

系統或設備在規定的條件和規定的時間內完成規定功能的能力稱為可靠性（Reliability），而計算機聯鎖系統的可靠性冗余結構一般采用雙機熱備的二重系統，目的是達到可靠性指標或者超過目標值，是一種“或”的結構[2]。

在系統出現故障并且失效的情況下會造成設備以及相關環境的損壞保持在一個可以接受范圍的概率稱為安全性（Security），而計算機聯鎖系統的安全性冗余結構一般采用雙機并用且頻繁比較的二取二二重結構，目的是使系統的安全性指標達到或者超過目標值，是一種“與”的結構。

安全性與可靠性密切相關又有區別，兩者之間的區別在于目的性或者功能性不同。可靠性主要是盡量保持系統在長時間的正常運行中能連續使用不發生故障，安全性的主要目的是防止人身傷亡和財產損失。計算機聯鎖系統既要具備高可靠性又必須具備高安全性，因此經常使用雙機熱備、二乘二取二和三取二3種冗余結構。

3 聯鎖系統的冗余結構

3.1 雙機熱備結構

雙機熱備結構是由兩個具有相同硬件結構的能單獨完成同樣的規定功能的模塊組成。正常工作時，兩個模塊都上電工作并同時進行數據采集處理，但是只有工作模塊的值經切換單元輸出。兩個模塊在工作過程中進行自檢，具有故障檢測功能。如果工作模塊發現自身問題時就給出一個控制信號，驅動切換模塊進行切換并停機維修。如果備用模塊出現問題就自動停機，并對備用模塊進行停機維修[3]。

一般采用比較法對雙機熱備結構進行故障檢測，要求雙機運行必須同步，這樣才能準確實現比較過程。同步指兩臺計算機在同一個時間間隔內運行相同的應用程序，運行的結果也要同時到達比較單元。同步的另外一種含義是在主機和備機兩者之間建立通信聯系，讓備機及時了解主機的控制驅動命令及進路等運行狀態，便于主機發生故障時可以立即終止輸出控制命令，備機能立即發動切換模塊接替輸出控制命令，可以防止出現突發性關閉信號影響行車作業安全。雙機熱備結構的系統有TYJL-Ⅱ型、DS6-11型、JD-ⅠA型、MicroLokⅡ型等。

3.2 二乘二取二結構

二乘二取二結構由系統Ⅰ與系統Ⅱ組成，每個系統又由系統A和系統B構成。在系統Ⅰ或系統Ⅱ上集成兩套嚴格同步實時比較的CPU，只有主備機運行一致的情況下才對外輸出結果，這種結構稱為“二取二”。用兩套完全相同的“二取二”子系統構成雙機熱備結構稱為“二乘”。系統Ⅰ與系統Ⅱ中有一個系統正常輸出就可以保障整個系統正常工作，因此提高了系統的可靠性。在任意一個由系統A和系統B構成的子系統中，只有A和B兩個系統同時正常工作才能有輸出，因此提高系統的安全性。每一套子系統內部具備安全性冗余結構，兩套子系統具備可靠性冗余結構，“二乘二取二”系統同時提高了系統的可靠性和安全性。

雙系熱備方式存在主用系和備用系的區別，只有主用系對外的輸出才被計算機采納，備用系只是用來校驗雙系之間的同步。備用系雖然送出、輸出，但是輸入/輸出計算機不使用它的輸出。出現故障的主用系通過切換單元自動地倒向備用系，所以雙系之間采用熱備工作模式。輸入/輸出計算機都以并聯的方式連接到被驅動的繼電器上，他們同時工作同時產生輸出，對Ⅰ系和Ⅱ系計算機來說是雙系熱備，對輸入/輸出計算機來說均以二重系并聯方式運行。

在二乘二取二系統中，主機采用兩個各執行一套相同編碼的聯鎖程序的CPU，并對兩個CPU的操作進行比較，以此來檢測故障。只有當兩個CPU同時發生了相同的故障才有可能漏檢，但是發生這種可能性的概率很低，所以這種結構也是安全的。二乘二取二結構的系統有TYJL-ADX型、DS6-60型、DS6-K5B型、iLOCK型、EI32-JD型等。

3.3 三取二結構

三取二結構是由計算機、表決器、接口電路和故障檢測系統3臺構造相同又相互獨立的設備組成，只要三套系統中的任何兩套的輸出是相同的，那么表決器就有正確的輸出。對于該結構來講，如果三套結構中的任意一套結構發生了故障，整個結構仍然能正常工作。該結構相當于屏蔽了一個已經發生故障的系統，使它不影響整個系統的正常工作，是一種利用故障屏蔽技術構成的系統。當經過比較發現結果不一致的時候，要及時確認究竟是哪一臺設備出現了故障，需要及時地從系統中移除出現故障的設備。如果不及時地移除故障設備，當兩臺未出現故障的設備中的一臺的故障模式和之前已經出現故障的設備的模式相同時，就有可能將正確的結果當成是錯誤的，錯誤的結果表決為正確的。從故障—安全的角度來看，該結構的表決器對三套系統進行兩兩比較，只有當任何兩套系統出現相同的輸出信息并發生了一樣的故障時，表決器才沒有辦法檢測出這種情況的錯誤信息。如果這種錯誤輸出信息又恰好是危險側信息，則會危及行車作業安全，這種故障稱為共模故障。

產生共模故障的主要原因是3個模塊的硬件和軟件在設計上完全相同，而且可能存在共同性的錯誤就會導致相同錯誤的輸出。避免共模故障的方法有兩種：一種是對主機的硬件和軟件采用不同的設計方法，這種方法需要更多的設計人員和多種硬件設備，不僅要花費很大的代價用于設計，而且還會給維護和儲存備件帶來不便。二是采取同樣設計但確保不存在設計錯誤，要能做到消除設計錯誤，這種方法則是可取的。在三取二結構中，只有兩個CPU同時發生了相同的故障才有可能產生危險側輸出，但出現這種情況的概率很低，因此該結構是安全的。三取二結構的系統有TYJL-TR9型等。

對于上述3種冗余結構來講，雙機熱備和二乘二取二結構屬于動態冗余技術，是一種故障切換結構。當檢測到系統內部發生故障時，通過系統內部重組來切除和替換故障部件的技術稱為動態冗余技術。三取二結構屬于靜態冗余技術，是一種故障屏蔽技術。利用冗余資源把故障產生的效應遮蓋起來，使系統在故障發生后仍能持續工作的技術稱為故障屏蔽技術。故障屏蔽技術和動態冗余技術對待故障處理的方式不同，都屬于容錯技術。

4 ? 結語

目前，城市軌道交通計算機聯鎖設備有國產和引進兩種進貨渠道，國產有TYJL系列、JD系列、DS系列和iLOCK系列等，引進有USS公司、Siemens公司、Thales公司等生產的設備。不管是國產還是引進，冗余結構都是上述所講的3種結構之一。3種冗余結構各有優缺點，在選用何種制式時，需要從多種角度來看。國產的計算機聯鎖設備已經不再開發三取二和雙機熱備這兩種冗余結構，現階段主要開發生產二乘二取二結構，但是雙機熱備結構的設備還在生產。二乘二取二結構的安全性、可靠性和穩定性要明顯高于雙機熱備結構，但是價格明顯高于雙機熱備型。對于正線而言，一般采取二乘二取二結構。對于車輛段/停車場來說，雙機熱備結構就能夠滿足要求。

[參考文獻]

[1]林瑜筠.城市軌道交通聯鎖系統[M].北京：中國鐵道出版社，2013.

[2]林瑜筠.城市軌道交通聯鎖系統及其選用[J].鐵路通信信號工程技術，2016（6）：48-51.

[3]魏臻.計算機聯鎖系統二乘二取二結構的可靠性與安全性分析[J].鐵道通信信號，2019（12）：1-5.

（編輯 王永超）