容错技术在铁路信号计算机联锁全电子模块设计中的应用

李兴宏 龙煤集团双鸭山分公司

铁路信号领域属于涉及安全的领域，所用设备必须具备高安全性和高可靠性，并且具备故障-安全能力，即在设备故障情况下自动引导列车安全运行或停车。现用信号控制系统中执行层电路均采用重力型安全继电器组合驱动室外设备。重力型安全继电器在系统故障情况下，依靠重力落下，自动导向安全侧。随着机车运行速度和行车密度的不断提高，此种制式的控制电路已难以满足铁路发展的要求。作为铁路信号控制系统的发展方向，执行层电路已经向电子化、智能化、网络化方向迈进。但是，电子器件自身不具备类似重力型安全继电器所具有的安全属性，即器件故障后没有固定的输出状态，无法通过器件自身属性实现故障-安全。随着安全性理论的不断完善，通过容错和避错手段确保系统运行的安全性和可靠性已成为可能。本文从安全技术的应用角度，论述计算机联锁全电子模块硬件的安全性、可靠性措施。

1 安全技术概述

铁路信号控制系统当中使用的安全技术主要指避错技术和容错技术。避错技术是通过采用高可靠性的器件、质量控制手段以及环境保护措施，防止和减少故障的发生，并延长系统的使用寿命。但是这种方式不能保证系统绝对的可靠, 因为器件的可靠性是有限度的, 需要使用容错技术进一步提高系统的可靠性。

容错即容许错误，承认故障是不可避免的事实，从而通过资源冗余的方式消除故障影响。当设备中一个或多个关键部分发生故障时，系统通过实时检测与诊断及时发现故障点，并采取相应的措施，使设备维持其规定功能，或通过牺牲性能的方式保证设备在可接受的范围内继续工作。容错的方法有四种：硬件冗余、软件冗余、信息冗余和时间冗余。

常规的冗余结构有以下几种：

（1）安全性冗余结构（见图1）

图1 安全性冗余结构图

（2）可靠性冗余结构（见图2）

图2 可靠性冗余结构图

（3）系统的可靠性与安全性冗余结构（图3）

图3 可靠性与安全性冗余结构图

2 全电子模块硬件冗错设计

2.1 全电子模块电路结构容错方法

电路分为执行电路、逻辑防护电路和监测电路三大部分。执行电路和监测电路之间按照电气隔离处理，采用隔离光耦组合编码交换数据。执行电路整体结构按照“二取二”冗余配置，处理器、电子开关、测量反馈通道均按照安全性冗余结构；在执行电路设置前级条件电源防护继电器，选用安全型弹力继电器，用于避免器件共模故障，实现模块故障时切断条件电源；设置独立于执行电路的纯硬件逻辑保护单元，实现对处理器健康状态的实时监控。结构如图4 所示。

图4 电路结构图

按照独立性原则，电路以单个处理器为核心，通过冗余配置通信通道、电子开关、采集通道和反馈通道，实现了独立的闭环控制结构。两个控制环作为功能相同的整体，通过器件串联的方式构成安全逻辑结构中的逻辑“与”表决器，仅在两个模块的输出一致时，输出内容有效，确保动作的安全性。

安全设计中需要注意的一个原则：对于单个故障，系统必须及时检测并强制导向安全侧；对复合故障的检测和恢复，需要满足系统设计规定的发生概率要求，概率越低越好。

因此，需要最大程度的缩短第一次故障的检测及导向安全侧时间，以减少第二次故障发生的概率。鉴此，对于参加表决的双套电路来说，需要具备各自的快速故障检测机制和强制性的安全侧导向机制。

2.2 器件容错方法

电子模块中用到的电子器件主要有：无源元件、有源元件、模拟集成电路、数字电路和电源。

每种电子器件故障后其表现形式各异，但共同点是其故障状态不固定，自身不具备固有的故障-安全属性。因此，对于重要的检测信息，不能以器件的固定状态为判据，则应以动态脉冲的形式作为反馈方式，使独立的硬件原子功能模块具备故障-安全属性。必须做到当组成电路功能单元的关键器件处于任何故障状态下时，该功能单元输出为故障状态，使整个模块进行故障-安全转换。

智能处理器的故障-安全处理主要针对处理器的异常运行工作状态检查，以及处理器故障后I/O 脚输出不确定电平信号等问题的处理。对于运行工作状态的检查只能通过看门狗电路进行恢复。但是现有的看门狗芯片故障监测时间过长，因此除了使用看门狗芯片之外，还需要设置第三方独立的快速故障复位处理功能。

目前在逻辑防护单元中设置了此项功能，实时监控处理器的工作健康状态，监测到异常后复位执行处理器，并向监测报告该故障。

对于处理器故障后I/O 脚电平输出不确定的问题，采用动态信号输出的方法规避故障信号和有效信号的判断二义性，把有无脉冲作为处理器故障自身固有的安全属性，无脉冲即可认为是安全侧，此时，模块强制进入安全侧。

并非所有的信号输出均要采用动态脉冲输出的方法。主要对涉及安全控制以及看门狗监测电路等部分电路功能进行动静转换。

图5 为5 V 电平的动静转化电路，将1 kHz 的脉冲信号转化成5 V 电平输出。

图5 5 V 电平信号

2.3 反馈信号容错方法

处理器对接收到的硬件反馈信号需要进行三个周期的容错处理，以避免干扰信号造成的误动作。在直接控制防护继电器动作的逻辑防护单元内部，对接收到的反馈信号同样进行硬件反馈信号的防抖动处理，避免干扰信号导致的模块误动作，提高可靠性。对于某些紧急故障反馈信号，通过硬件级反馈直接送到逻辑防护单元，先于处理器进行故障-安全处理。

2.4 电流、电压可信测量容错方法

模块中对参与联锁判断的信息测量均采用动态脉冲的判断形式。旨在解决因电子器件固定输出时造成的有效信号判断和故障信号判断的二义性问题。

全电子模块的功能实现都基于采集到的电信号，确保所采集或反馈的信号真实可信是最基本也是最重要的前提，从而杜绝了因器件故障造成的状态误判断、误动作和误保护，确保安全性和可靠性。

对于可信测量模块，在选择器件时需要着重考虑器件在具体应用环境下自身固有的安全属性。对于电流测量，选择电流传感器时，应选择无源电流互感器。当线路没有电流时，互感器不会有电信号输出，因为互感器为电磁感应原理；当线路有电流信号时，除非互感器线圈有断线情况，否则互感器不可能产生没有电信号输出的现象，但互感器断线情况在电路板调试过程中完全可以排除。当互感器输出电流信号之后，需要对该信号进行调理和放大，此时应该将电流信号调理成动态脉冲信号，建立电流强度和脉冲之间的变换关系。信号调理电路模块需要做到在有器件故障的情况下产生固定的电信号输出，作为故障判断依据。

对于电压测量而言，其关键采样器件是采样电阻。电阻存在断路、短路、因器件老化和温度引起的阻值变化问题。对于不同的应用环境，需要针对以上问题采取有效的失效模式分析并提出预防措施。采样电阻本身不具备固有的安全属性，在选择采样电阻时，应尽量选择专用的性能良好的采样电阻。信号调理电路模块同样需要做到在有器件故障的情况下产生固定的电信号输出，作为故障判断依据。

另外，对于需要确切知道电压值和电流值的场合，采样电路除了提供脉冲信号之外，还需要提供AD 值。只有在脉冲信号和AD 值同时有效的情况下，AD采样值有效，否则视为无效，有必要时强制导向安全侧。

可信测量原理图如图6 所示。

图6 可信测量原理图

3 结论

电子器件自身不具备故障-安全属性，通过容错技术的应用，使铁路信号全电子模块具备了高安全性，在符合故障-安全的前提下到达了技术升级的目的，有效降低了电务维护人员的工作难度，达到了“傻瓜”式维护的效果。