列控车载计算机安全冗余系统探讨

雒凌峰，刘红燕

（1.中铁一局电务公司，陕西 西安 710054；2.西安通信学院，陕西 西安 710106）

列控车载计算机安全冗余系统探讨

雒凌峰1，刘红燕2

（1.中铁一局电务公司，陕西 西安 710054；2.西安通信学院，陕西 西安 710106）

随着我国铁路建设的跨越式发展，列车运行速度越来越高，而车载计算机是保障列车高速运行的关键设备之一，文章主要对车载计算机的安全冗余系统进行了详细介绍。

车载计算机；容错；3取2

1 概述

工业控制大多数采用计算机控制系统，系统失效有可能向被控设备输出危险的控制信号，从而造成人员伤亡和财产损失。例如，高速运行的列车是靠列车上的车载计算机时刻接收地面列控中心传递来的控制信息来指挥列车的安全运行，一旦系统有输出危险侧控制信号，那将会是一场灾难，因此，车载计算机控制系统不仅要采用高可靠和高可用的容错系统，同时也必须满足故障——安全，即使系统失效也不能输出危险侧信号。

2 提高系统可靠性的主要技术

计算机系统故障、可靠性降低的主要因素有两种：第一种因素是设计错误、环境因素导致；第二种因素是硬件失效、电磁干扰以及软件代码中的隐含错误等。设计错误、环境因素导致的故障是可避免的，可以采用质量控制以及环境防护等避错技术，能尽量减少系统发生故障的概率；硬件失效，电磁干扰以及软件代码中的隐含错误导致的故障是不可避免的，一般采用容错技术加以屏蔽。容错就是当系统中某些指定的硬件发生故障或软件出现错误时，系统仍能正确地执行规定的一组程序或算法。因此，避错和容错技术是提高计算机系统可靠性的两种主要技术手段。尤其是容错技术，它是构造高可靠和高安全计算机系统强有力的直接手段，因此计算机系统应采用故障检测、故障屏蔽及故障恢复等容错技术。

3 列控车载设备构成

图1 单通道系统控制系统框图

3.1 控制系统的一般组成及功能

对于任何一种基于计算机的控制系统，如果不考虑控制的容错特性，可以从功能上将其抽象为图1的单通道系统。

输入单元通常包括数字量、模拟量、脉冲量输入等几种类型。运算处理单元主要完成系统自诊断、各种输入量的采集、控制运算处理、各种输出量的控制、通信处理等功能。一般由CPU、RAM、ROM和控制逻辑部件构成。输出单元通常包括数字量、模拟量输出等几种类型。为了实现控制的故障——安全特性，运算处理单元输出一个表示系统自诊断是否正常的动态信号——自诊断看门狗信号，该信号通过动/静信号变换电路控制输出单元的电源供给。如果系统自诊断不正常，则切断输出单元的电源供给来保证故障——安全控制。通信单元可能是RS-232之类的双工方式，也可能是RS-485、CAN、PROFIBUS之类的半双工方式。

当然，在实现上述计算机控制系统时，输入单元、输出单元、通信单元与运算处理单元之间可以通过计算机扩展总线连接，事实上在工业控制领域，ISA、VME、PCI、CompactPCI等计算机扩展总线广泛使用。其运算处理单元也可以包括多个CPU、RAM、ROM和控制逻辑部件构成的处理器模块，分工处理不同的功能，提高系统的计算性能和通信能力。

3.2 列控车载3取2设备的组成

列车运行控制系统主要由地面设备和车载设备组成。列控车载设备，根据IEC61508标准，选择3取2结构来完成容错、安全的车载运行控制功能。系统具有三路独立的输入、输出、主处理单元，每路的电源也独立设置。

国际电工委员会（IEC）61508标准推荐了5种系统结构，在5种结构中3取2（two out of three）结构是性能最高的两种结构之一。3取2结构又称三模冗余结构（Triple Modular Redundancy，TMR），也称三取二结构。3个模块同时执行一样的操作，以多数相同的输出作为该表决系统的正确输出，这是基于“少数服从多数”的纠错原理，可以屏蔽任意一个通道的故障。向计算机这种非故障-安全的设备，设备故障（包括软、硬件故障）可能有错误输出。对于安全性输出可通过故障-安全输出控制电路和3取2表决器来共同保证其故障-安全特性。

对于车载数字量、模拟量、脉冲量输入信号，采用多重模块结构的输入接口电路，即输入的传感器信号分成3路，直接送入3个通道的信号调整、隔离电路，然后分别通过扩展总线送到3个运算处理单元。

对于车载数字量输出，采用3取2表决器输出方式，当然3个运算处理单元输出的自诊断看门狗信号，分别通过动/静信号变换电路变换后，也进行3取2表决，其输出控制数字量输出表决器的电源供给来保证故障——安全控制，见图2。

图2 3取2结构的输入和数字量输出结构

车载计算机3个运算处理单元之间必须保持同步，才能完成3取2容错处理功能，同步主要有时钟级同步和任务级同步两种。

时钟级同步适用于紧耦合冗余结构，该方式优点是不消耗软件处理资源。但该方式下CPU的时钟、复位信号和控制信号都完全同步，导致硬件复杂，同时发生的共模错误会使两个通道都受到影响，对共模错误抑制能力不高是该方式最大的缺点之一。

任务级同步适用于松散耦合冗余结构。由于3个通道的运算处理单元运行并不绝对同步，而是存在同步容差，共模错误对3个通道的影响很小，对共模错误抑制能力高是该方式最大的优点，目前在容错系统中广泛应用。这种方式下将控制程序分成若干任务，分别在每个任务之后通过通道间通信总线交换同步信息，由软件完成同步功能，为此付出的软件处理资源很大，对通道间通信总线的通信速度要求较高。

由于主处理板的时钟很高，能够保证3个主处理板工作周期非常准确。系统同步校正脉冲来自冗余时钟电路，冗余时钟电路采用3种冗余方式。3个通道的运算处理单元之间一般采用环形全连接方式的系统通信总线结构，连接中任意一个故障也不会影响3个运算处理单元之间的正常通信，既提高了系统的通信吞吐能力，又符合3取2结构的3组独立系统通信总线的要求，提高了系统通信总线的可靠性。

图3 3取2结构的通信输出

整个车载3取2系统的对外通信口是两个独立的通道，在运算处理单元内，对外输出的通信信息已经经过了表决处理，在外部通信单元1，2上还将再次进行通信信息的表决，保证整个系统对外的通信信息输出是可靠的、安全的，而且任意一个外部通信单元故障，系统都能够保证正常运行。

4 结束语

3取2结构的车载设备，由3个独立的通道组成，它们之间通过系统通信总线和外部通信总线连接，由于它们在物理位置上是分开的，从根本上避免了由于局部故障引起整个系统的全面崩溃，属于一种分布式计算机系统，并且实现了容错和故障——安全特性。

[1] 吕永宏.《关于铁路主体化机车信号系统中的安全冗余设计》.甘肃科技.2008.9.

[2] 徐志根.王长林.《三模冗余结构计算机联锁系统的安全度分析》.科技资讯.2009.26.

[3] 袁由光.《容错与避错技术及其应用》.科学出版社，1992.

[4] 胡谋.《计算机容错技》.中国铁道出版社.1995.

The Vehicle Carries the Computer Security Redundant System Discussion

Luo Lingfeng，Liu Hongyan

The leap frog development which constructs along with our country railroad，the train movement speed is getting higher and higher，but the vehicle carries the computer safeguards one of train high speed movement key equipments，this article mainly carried computer’s security redundant system to the vehicle to carry on the detailed introduction.

Vehicle mount computer；fault tolerance；3 for2

U 285

A

1000-8136(2010)32-0145-02