铁路信号计算机联锁系统的研究精品.doc

铁路信号计算机联锁系统的研究一、 引言随肴铁路运输朝看高密、重载及高速的方向发展，既有的车站铁路信号联锁装置己无法 适应铁路信号对可靠性与故障——安全性的更高要求就技术方im而言，铁路信号系统匚经 历了机械联锁、电气联锁（继电联锁）等二个阶段，目前在我国干线铁路或企业自备铁路上 所使用的联锁系统绝大多数仍为继电联锁系统70年代末期新型微处理器的出现以及容错 理论与技术的逐步完善，激励人们以微型计算机为核心构成计算机联锁系统但是常规的计算机控制系统并不具有故障——安全特性，也即不具有辩别外部输入信息 的正确与否或在系统故障时能将系统导向安全的能力，在应用中受到了极大的限制目前在 我国干线铁路上装备的计算机联锁系统大多系国外铁路信才公司的容错计算机信号控制系 统，其价格相当昂贵因此近年内国内不少铁路行业科研院所都将研制故障——安全的铁路 信号控制系统作为近期的主要工作二、 铁路信号计算机联锁系统的性能要求分析1、计算机联锁系统的基本结构由于计算机联锁系统的综合性能远远超过继电联锁系统，因此车站联锁系统由继电装置 向计算机联锁系统转化成为一种不可扭转的趋势具体来说计算机联锁系统的优势主要表 现在适时性、安全性、可靠性、可维护性及性价比等若干方面。

计算机联锁系统是利用H前己有的工业控制计算机，研制一套专用的硬件与软件系统实 现信号、进路与道岔间的联锁关系，因此它实质上是一个满足故障——安全信号原则的联锁 逻辑运算系统，计算机在系统中的作用是将操作命令与现场各种输入的表示信息读入，再根 据计算机内部状态等条件进行逻辑运算，判断后输出控制信息至执行机构，实现多变量数字 输入和多变量数字输出这样一个夏杂传递函数的变换，图1是逻辑运算系统的原理图图1联锁逻辑运算系统原理图2、 实时性要求联锁系统必须不失时机地采集到输入变量的变化情况，及时刷新站场各类表示信息，及 时输出道岔和信号的控制命令，而且对涉及安全（危险侧［1］）的控制命令必须以具有故障 ——安全特征的形式输出3、 可靠性与故障——安全性信号联锁系统是一种实时控制系统，它必须是高可靠的，通常继电联锁系统在采取预防 性维护措施的前提下其MTBF可达1.3x105h［2］（约15年）,采用工业级的控制计算机与 容错技术完全可以达到并超出这一指标具体来说，对计算机联锁系统而有必须解决二个主要问题系统内信息传递的诃靠性与安全性：鉴于工业计算机自身不具备故障——安全特性， 因此系统内传递的信息也不具备安全性，受各种干扰、辐射以及各类故障的影响，信息畸变在所难免，从而造成逻辑运算错误而可能引发危险侧输出。

系统内信息变换及逻辑运算的安全性：就联锁程序而言，无论设计调试方法关么严密 也很难排除所有隐含的缺陷，这就要求必须引入避错及容错机制使故障形成的危险侧运算 结果输出的概率达到规定的要求4、 结构模块化与标准化铁路站场的规模与作业需求不尽相同，因而无论是硬件还是软件都必须具有模块化结构 特征，硬件模块化、软件真正实现程序、数据的有效分离5、 经济性计算机联锁系统取代继电联锁系统的另外一个重要原因是为了降低系统费用成木，一般 来说系统费用表现在设计、制作、施工、调试以及建筑费用上，因此计算机联俄系统必须在 以上若干方面充分显示其优势6、 功能扩展旧有的继电联锁系统只能提供基木联锁功能与操作界面，新型计算机联锁系统除此之 外，还应具有故障诊断与分析、重演、远程通信及其他管理功能三、总体设计方案与关键技术笔者在认真分析了计算机联锁系统的性能特点以及对故障一安全性的特殊要求基础 上，提出了适合于企业||备铁路使用的系统体系结构并实际运用于扬了石化公司二个自备铁 路站场（道岔总数量约为80组，属大型编组站场），该系统被命名为HJ04A铁路信号计 算机联锁系统，以下简称HJ04A系统1、系统结构与工作原理从HJ04A系统的体系结构来看属于二级集散式控制系统（系统结构详见图2）,突破了 旧有的集中式信号系统模式，具有模块化、层次化等特点。

模块化是指联锁机主模块、PLC及信号•结合模块等，层次化是指系统具有操作表示层、联锁运算层、殳核驱动层、结合电 路层及监控对象层等君个物理层次这种结构的优点在于可根据车站规模的大小、作业需求 的不同，在不改变联锁软件的基础上通过修改站场静态数据并增设相应硬件模块，即可满足 系统的扩容要求，先进的控制体系结构结合工艺设计使得系统调试周期与现场施工、开通周 期均大为缩短，具有很好的经济与实用性1) 人机对话层将来日键盘、鼠标等操作输入，经串口送达联锁计算机，同时在图形显示器上显示站场 表示信息在站场规模较大致使联锁计算机负担较重或需要多终端操作的情况下，可设置操 作命令采集机进行操作命令输入的有效性判别并转换成约定格式传送给联锁计算机2) 联锁运算层联锁微机是系统的核心部分，承担者操作输入的判别、联锁信号的调理及分析、逻辑运 算、控制命令生成、故障诊断等任务，其可靠性、安全性对系统的总体故障一安全性能有较 大影响，HJ04A系统中设置了两台联锁微机，其中一台为冷备机，可进行人工切换3) 复核驱动层复核驱动层由PLC组成，其承担着采集表不信息并将联锁微机下达的操作命令转化为 故障一安全的控制信号的任务，作为系统安全性设计的重要环节之一，PLC还承担着对联 锁微机形成的操作命令进行复核检查的屏障作用。

4) 结合电路层结合电路的任务之一是实现现场监控设备表示信息与PLC输出的驱动信号的安全逻辑 转换，使PLC的输入、输出信息均具有故障一安全性能任务之二是用专用电路规范监控 设备的测控过程，即包括表示信息采集机制与设备驰动流程5) 监控对象层监控设备是指联锁系统的现场设备，即道岔、信"机与轨道电路2、可靠性及故障一安全设计目前，国内外进行高可靠系统的容错设计多采用三模静态冗余方案或二模动态冗余方 案其中前者完全是靠硬件冗余来提升E靠性的，后者则不仅使用了硬件冗余资源，同时也 使用了故障检测技术与软件冗余资源这二种方案的共同特点是对硬件故障具有较强的屏蔽 与纠错能力然而这二种方案均存在一定的实现难度与缺陷，三模冗余系统必须实现三模的 同步进程及表决器的高可靠设计，尤其需要解决时钟容错的问题；二模动态冗余系统则要求 冗余管理机构的高效与可靠性目前这二类系统的可靠性计算都是在设定表决器或冗余管理 机构的E靠度R(t)=1的基础上进行的[3],同时由于设备直接投资成本过高，因而在非航天、 通讯等可靠性要求很高的领域应用不多在铁路信号领域，由于行车安全被认为是超过效率的重要考虑，因此相应对计算机联锁 系统的可靠性与安全性要求很高，针对这种情况,E以有二种方式供我们在设计中进行选择。

其一是强化系统的可靠性设计，这是基于可靠性理论包含了系统故障的屏蔽效应，因而用高 可靠性换取系统的低故障率，以此隐含了对安全性的相对提升但可靠性技术总是受一定的 条件所限制，如硬件冗余资源使用、采用高可靠器件等，这完全取决于系统的可靠性要求及 财力许可其次我们可以基于这样- •个思路来考虑问题：如果计算机联锁系统在保证一-定可 靠性要求基础上并结合故障一安全技术来得以实现，实质上也就是说牺牲少量的效率来避免 昂贵的成木并换取系统的高安全性，同样也能满足铁路信"对联锁系统的性能要求图2 HJ04A计算机联俄系统结构图2所示的HJ04A计算机联锁系统实质上是一个具有冷备联锁微机的单模（联锁机）系统，但可以设想：在系统E维护性较好并能使其平均故障恢复时间MTTR尽E能缩短的 情况下（HJ04A系统结合故障诊断及模块化设计技术，MTTR通常小于2分钟），HJ04A 系统在联锁微机级模块相当于二模动态冗余系统基于以上考虑，HJ04A系统的关键技术设计中主要融入了以下思想及技术措施1）结构模块化、标准化，便于系统扩展并提高可维护性HJ04A系统的硬件结构模块化设计主要体现在联锁机、PLC及安全信号结合电路的组合等三种主要设备或部件上。

HJ04A系统的标准化设计主要体现在联锁软件与结介电路上 联锁软件可以适应不同站场规模、不同作业要求；结合电路则可针对室外设备的不同类型具 有通用性与兼容性2) 系统故障诊断与安全导向HJ04A系统采用单模二级复核式容错结构的一个重要实现基础就是系统必须具有强大 的故障诊断功能，只有这样才能保证系统在故障状态下的安全导向与快速维修响应速度联锁系统的硬件故障通常表现在联锁主机、PLC与结合电路模块、工作电源等设备上， 软件故障表现为程序跑飞、技术条件错误、通信异常等这些故障的表现方式及造成的结果 不尽相同，有些故障可以及时发现，有些则难以识别；有些故障仅影响系统工作但不至于危 及安全，而另外一些故障则可能造成危险侧输出因些应当区别对待并采取相应的处理方式联锁系统的故障层次可被总结为逻辑层、数据层及系统层等三个层次上，其故障表现不 尽相同但互为交叉，因此需针对不同的故障表现采取不同的故障诊断方法，故障确诊后再使 用相应的故障处理措施以使系统导向安全或及时报警提示3) 变换联锁信号的逻辑表达形式在联锁系统中，与安全相关的信息是由具体的硬件设备的状态来表达的，这些硬件设备 —•般存在二个逻辑状态(指数字量)，其中一个状态代表安全侧信息，另一个状态代表危险 侧信息。

根据故障一安全原则，凡是参与传递、存贮、处理和产生非安全信息的硬件设备故 障时，必须以极大的概率导向安全侧状态，这就必须使电了电路的输出具有故障不对称性, 也即在电路故障时输出安全侧的概率占压倒性优势显然常规的电子电路与逻辑表达方法难 以满足需求，其基木原因是“s-a-O”与二种固定逻辑型故障是基木对称的因此需要变 换联锁信号的逻辑表达形式以及相应的电路结构才能实现在HJ04A系统中，我们总结并 采用了动/静形式结合相位判断的安全逻辑变量表达形式，也即用“脉动电平逻辑”表达设备的 危险侧状态信息，很好地满足了联锁系统对安全逻辑的容错要求4）算法冗余联锁系统的系统层故障表现为产生了不正确的输出控制命令（包括危险侧控制命令）， 控制命令的错误有二神可能引发的原因系统中传输、存贮过程中的信息畸变必将体现在逻辑运算变量中，从而造成逻辑运算 错误，这一点己在前面介绍的2与3条中有过描述并提出了相应的解决方案联锁或PLC复核软件出错一方面有可能是由各||的CPU或所使用的指令引发的，但 更多的是被转化为程序的任务、技术条件的错误因此，能够识别技术条件的错误，也就 能预防由此而引发错误运算结果的输出。

基于“同样一个数据变换调理错误或程序错误（永久性或暂时性）在二套算法不同的程序 中同时出现的概率极小”[4]这样一个基本认识，HJ04A系统的控制命令生成采用了二级运算 结果的一致判决机制，也就是双份软件判别机制表1显示在联锁、岌核二级程序中所使用的不同技术备件与硬件、软件平台，由于联锁、 复核二级软件不仅所处的物理空间不同、使用的编程语言不同、参予运算的逻辑变景不同， 而且各Il所使用的技术条件也完全不同，从而有效地解决了因系统硬件故障或软件出错而带 来的系统安全性问题四、总结由扬了石化公司与合肥工业大学合作研制开发的HJ04A铁路信号计算机联锁系统除已 在扬了石化二个编组场成功应用外，目前又在冶金系统内西宁钢厂、鞍钢、包钢等国有大中 型企业进行推广，具有较好的应用前景总结起来，在HJ04A系统中我们已经建立了一整 套运用于企业自备铁路使用的信号联锁系统技术解决方案并重点解决了以下几个问题1、在单模控制体系结构中，通过对铁路信号的深入分析，较为完整地建立了铁路信号联锁系统的故障模型并提出了相应的故障诊断与安全导仙方案层次械术特料、联像运蚊层复核驱动层。