国产化列车网络控制系统安全完整性技术应用

2011-08-08 02:31常振臣王金田于苏横
铁道机车车辆 2011年6期
关键词:控制流列车安全性

赵 强,常振臣,王金田,于苏横

(长春轨道客车股份有限公司,吉林长春130062)

列车网络控制系统作为对全车关键设备发送控制命令、监测状态信息及故障诊断的核心设备,其安全性在列车运行中尤为重要,保证列车网络控制系统具有较高的安全性、完整性等级是列车安全运行的前提条件。

目前国内开发的列车网络控制系统并没有全面系统的安全性要求,这表明,TCMS故障监测诊断系统处于不完备状态,即TCMS不能完全保证自身满足安全性要求的情况下去监控其他子系统的安全状态。因此,更高安全要求的TCMS是必须要考虑的。长春轨道客车股份有限公司针对北京地铁项目旨在使用现货供应的部件来开发具有安全完整性等级2级(SIL2)的列车网络控制系统。论文描述了应当满足这些目标的列车网络控制系统的基本架构及主要硬件和软件特性,包括建议的错误检测技术和相关故障处理措施。

1 SIL2要求

对于SIL2级的TCMS,意味着其安全容忍率要达到10-7≤T HR<10-6(故障数/h)[1]。北京地铁项目TCSM的硬件和软件的设计和开发的一个重要挑战是使用现货供应部件和简化的系统架构降低由安全要求所引入的成本,以达到SIL2的要求。更高安全完整性等级的TCMS的开发实际上由更为冗余的架构及更为严密的开发过程予以保证。

开发满足SIL2级TCMS的要求包括硬件[1]及软件[2]两方面。完整的TCMS硬件和软件应在满足要求的基础上进行开发设计,并保证得以实施。

1.1 硬件要求

EN 50129标准要求保证严重的单一故障的安全性,对其失效后的安全保证可以通过组合的、反应性的或者固有的安全技术予以达到。

组合的故障。安全意味着单一硬件每一安全相关功能至少由两个独立项予以执行,并且只要必要的失效项一致,非约束性活动就予以允许。依据TCMS设计的初始目标,特别是考虑到降低系统中硬件部件的数量的要求,这一替代方案不予选择。

反应性故障。安全通过发生在单一硬件中危险故障的适当检测和否定来保证安全运行。但是,为了避免共因故障,故障检测功能被视为将是独立的第二个项,其独立性可能会由于实际内、外影响,或者功能内、外影响而丧失。

如果单个硬件的所有不可忽略故障模式都是非危险性的,则其固有的安全功能予以考虑,固有失效安全可用于特定功能(例如,强制关闭)。

此外,EN 50129标准建议了SIL2级的硬件架构相关技术:“带有自测试和监督的单独电子结构”和“基于反应性失效安全的单独电子结构”是有效的替代方案;通过在线动态测试来检验安全相关系统是否正确运行及通过程序顺序的时间或者逻辑监控向操作员提供故障指示等安全保护措施予以高度建议实施。

1.2 软件要求

开发满足SIL2要求的软件,必须严格贯彻执行软件生存期所有软件质量活动。通过危害分析,明确软件安全要求;依据安全要求,实施软件代码、模块及系统集成的安全性设计;根据软件开发阶段,进行验证与测试,确认及评估软件安全性、完整性。

此外,在保证软件严密开发过程要求的基础上,EN 50128标准建议了一套在架构设计阶段执行的技术和措施,见表1。在SIL2级情况中,这些技术应予以实施来满足安全性要求。

2 系统概述

北京地铁项目列车采用6辆编组(4动2拖),列车网络控制系统按照IEC 61375-1标准规定的列车通信网络组建,系统总线采用绞线式列车总线(WTB)+多功能车辆总线(MVB)的形式,列车级总线(WTB)采用双绞线进行数据的传输,MVB的电气接口为电气中距离(EMD)介质,见图1。

表1 故障检测和处理的建议技术

图1 北京地铁项目网络拓扑结构

以故障导向安全设计为原则,网络拓补的设计更多的考虑了自愈环网的设计理念,列车总线及车辆总线均冗余结构设计,实现了信息传输中单点故障情况下的线路自动倒换;关键性硬件的主备配置,从根本上确保网络对整车的安全控制。此外,整车网络控制为主硬线控制为辅设计,更进一步全面保证了列车运行安全性。

2.1 硬件架构

TCMS硬件主要由中央控制单元(CCU)、诊断控制单元(DCCU)、TCN网关、人机接口单元、中继器等10部分组成。

为保证TCMS系统整体设计上能够满足SIL2要求,在系统硬件架构设计采用通用的冗余配置基础上,硬件自身的设计通过故障模式影响分析对安全性隐患进行了全面的控制。对于现货供应的硬件产品,以其可靠性指标平均无故障间隔时间作为系统安全设计的保证。

CCU作为TCMS的核心硬件,其板卡是符合ROHS认证的嵌入板,主要由一个中间层CPU模块及一个PC/104-Plus结构的承载板组成,其100 MHz高速缓存处理保证了信息处理的及时性;其内置看门狗定时独立保护系统,保证了系统出现故障时,在可选的定时周期内(2~255 s)立即切换到备份/冗余系统。DCCU内部硬件配置与CCU具有完全一致的结构,关键区别在于软件的配置。DCCU在整个系统的架构上依然以冗余设计为基础,其内置Intel处理器、芯片集及双备份的故障信息存储机制充分保证了监控信息的可靠性。

作为控制WTB和MVB间的信息传输的UIC网关依照TCN标准设计,从MVB角度来看,它是一个通常作为仲裁者的设备;从WTB角度来看,它是一个可以配置为主节点或者从节点。其功能和能量消耗可以通过外部16个数字量输入来控制,并且可以通过4个数字量输出来控制车辆的其他设备。TCN-GW01可以用计算机软件通过RS232线缆来配置,为了提高可靠性,TCN-GW01系统完全冗余,意味着所有的功能是双份,进一步提高了TCMS系统整体的安全性。

人机接口单元X86成熟的硬件构架,显示器的数据强大处理能力使其在RS485高速通讯的情况下能够保持画面的正常显示以及数据的正确处理。数字量输入、输出模块、中继器及电源模块等的成熟设计都在提高硬件可靠性的基础上,保证了TCMS运行安全性。

由于TCMS硬件整体结构从降低成本角度考虑保持了简单可靠的设计原则,而由此带来的硬件冗余度的缺乏导致软件结构的较大复杂性,更为全面的安全性要求只能通过软件机制来完成。

2.2 软件架构

对于TCMS的软件架构,通过定义一系列"模块"予以说明,如系统软件模块、底层支持软件模块及应用软件模块等。系统软件为底层的支持软件装载于主控CCU单元内,主控CCU基于32位X86构架,增加了Vxworks实时操作系统和IEC 61131的图形化编程功能,提升了整个控制系统软件的实时性、可靠性和用户开放性。底层支持软件模块主要包括与硬件相关接口驱动软件、网络配置组件及与TCN协议栈通讯功能等相关的接口软件。应用软件模块采用图形化编程软件,采用符合IEC 61131国际标准的OPENPCS软件。OpenPCS的软件开发平台支持IEC 61131-3标准所规定的5种编程方式IL,ST,LD,FBD,SFC。通过采用IEC 61131的图形化编程功能可以将应用软件的功能控制部分进行图形化设计和编写,保证了软件的开发、验证及确认安全性活动的有效实施。

全局监测组态关键是TCMS主软件,它起到一个执行监测器、一个软件看门狗、一个日志管理器和一个诊断管理器的作用。它充当一个全局调度程序,处理人机接口单元上执行的所有操作,实施调度规则,并允许和停止每个操作的执行。它可识别引起HMI运行模式更改的条件,并在模式改变(例如实施一个测试策略、执行一个操作、挂起或重新开始一个线程)时执行配置系统所必需的操作。在运行模式更改情况下,全局监测激活了模式更改程序。它同时包含一组静态表格(这些表格支持停止进程、用于启动的新进程和必要的存储器指针),其中有关于模块失效和激活的规则。此外,检验系统配置的全局监测通常在当前操作模式中所预先予以设定,其检验与测试程序模块起到执行检验和测试操作的作用。测试模块包含测试设备所需要的所有算法,并提供设置测试策略的服务;检验模块则执行数据接受机制、可靠性校验和多种计算的对比,并且它定期执行校验。从安全机制角度考虑,在软件设计中控制流程监测机制和软件看门狗都采用。

北京地铁项目TCMS软件除在设计中对安全性要求予以充分贯彻外,软件开发流程控制也严格遵守EN 50128中SIL2标准要求,形成了软件代码设计、测试、模块设计、测试及系统集成设计、测试标准化开发体系,并且对生命周期各阶段软件开发活动进行了验证,最终通过确认软件开发SIL2的要求得以满足。

3 故障监测机制及支持性技术

根据安全性设计中的故障—安全导向原则,有效的故障检测起到一个决定性作用。当一种故障被监测到,由此产生的风险必须导致安全的状态,这种故障处理方式保证了通过正确重试机制或通过故障停止行为检测故障情况下的TCMS运行安全性,而对于未检测到的故障则促进了风险的增加。

3.1 应用的故障监测技术

根据安全性标准EN 50129可知,系统故障(尤其是软件设计故障)的潜在风险主要通过相应于SIL2的质量和安全管理对开发期间故障进行防止和消除。通过故障检测可检测出永久故障和暂时故障两种随机故障。

永久硬件故障通过具有高故障覆盖率的有效试验程序进行检测,包括以下4种测试方式:

⑴RAM和闪存通过marsh试验算法[3]进行测试;

⑵CPU通过一个试验软件套件校验以检测寄存器、内部总线、算法和逻辑单元以及指令译码中的故障;

⑶基于校验验证的ROM测试;

⑷ 外设(键盘、LCD灯、音频设备)的测试通过人工实际操作得以验证。

硬件永久故障和随机暂时故障的监测主要取决于软件执行的检测作用的最终影响结果。考虑到安全标准的推荐,我们把防错性程序设计技术分成如下3类:(1)“防错性程序设计”技术用于检测反常数据流或数据值,如“故障断言程序”、“安全包”、“译码”属于数据接受、可靠性校验的分类,因为这种技术关注于程序中间故障及输出结果。(2)而“防错性程序设计”技术用于检测异常控制流,如“程序数组监控”和“存储执行的路径”则属于控制流程监测范围的分类,因为它们只致力于影响计算控制流的故障。(3)区别于以上两类故障检测技术,多种计算与对比是在数据和控制都有关的故障情况下一种高效率的通用技术,它的特点在于能够结合多样程序对软件设计的故障进行检测。

数据接受、可靠性校验在数据处理功能情况下不失为一种有效方式,但只有在能分配接受准则给中间或输出数据时结果正确性才能得到保证。控制流监测在控制相关功能中更为有效,但其覆盖范围是有限的,因为,即使控制流本身是正确的计算结果也可能不正确。此外,数据接受校验还能检测程序是否受到控制流误差的影响。多种计算与对比在时间和存储费用上来说是昂贵的,因此它们只能在其他技术不能满足时才使用。根据这些观察和TCMS系统不同特性的分析,选择表2中列出的故障检测技术予以实施。

表2 分配给TCMS功能的误差检测技术

3.2 工具支持

数据接受、可靠性校验作为规定应用的故障检测技术应在相应模块设计阶段提出。而控制流监测作为对所校验模块实际功能的检测可以独立应用的一种检测机制予以采用:参考的控制流能从模块的源代码提取,并且一个可再次使用的校验器元件(通常所谓的一个看门狗程序,WP)能检验运行控制流是否对应于参考数据流。为了便于对比,压缩标志符分配给不同的程序状态,并且这些识别标志的运行结果被转换到WP。WP检验识别标志是否能定期地收到,并表现为参考控制流所允许的一个有效的控制流。识别标志按在处理(检验结果和时序安排)、功能运行(检验函数调用分类)或声明(依据句法结构检验允许的转换)的等级进行有效分配。

用于识别标志的操作说明能够通过手动或通过一个源代码预处理程序插入到程序源中。预处理程序执行一个输入编程语言的句法分析程序,分配识别标志给程序状态(取决于选定的等级水平),并最终产生测试化的原始资料和用于WP的参考信息。北京地铁项目TCMS的设计过程中,用一个看门狗程序处理器在源程序中插入标志数据符实现故障的有效检测。

4 结束语

针对目前国内铁路运营系统设备的安全要求状况,TCMS是一个没有完整安全要求定义的系统。但是,对于列车运行控制的安全性以及运营服务的安全任务保证性,对TCMS是完全必要的。

以北京地铁项目为例详述了一个基于SIL2要求的列车网络控制系统的整体设计。系统构建难点在于简化的硬件结构及低开发成本。在软件模块化设计中TCMS已经满足功能性和安全性的要求;TCMS更多的软件逻辑编程的控制及硬线冗余设计都使列车运行安全性得以充分保证,最终确保列车网络控制系统安全完整性等级达到2级水平。

[1]CENELEC.EN50129-铁路应用-通信、信号发送与处理系统-用于信号发送的安全相关的电子系统[S].2003.

[2]CENELEC.EN50128-铁路应用-通信、信号发送与处理系统-用于铁路控制与保护系统的软件[S].2001.

[3]A.J.van de Goor.半导体存储器测试:理论与实践[M].John Wiley&Sons,Inc.,纽约,NY,美国,1991.

猜你喜欢
控制流列车安全性
两款输液泵的输血安全性评估
新染料可提高电动汽车安全性
登上末日列车
关爱向列车下延伸
抵御控制流分析的Python 程序混淆算法
某既有隔震建筑检测与安全性鉴定
抵御控制流分析的程序混淆算法
基于控制流的盒图动态建模与测试
穿越时空的列车
基于Petri网数据流约束下的业务流程变化域分析