基于RM48的双机热备ATO设计

2013-11-26 07:10李坤妃于振宇
铁路计算机应用 2013年6期
关键词:热备双机可靠性

马 龙,李坤妃,于振宇,步 兵

(北京交通大学 电子信息工程学院,北京 100044)

在城市轨道交通中,列车驾驶的自动化水平已经从最初的完全由司机手动驾驶发展到了车载设备自动驾驶。基于通信的列车运行控制(CBTC)系统(CBTC)作为一项成熟的先进技术广泛应用在城市轨道交通行业中。近几年来,具备GoA4等级的全自动无人驾驶技术已在巴黎14号线、北京机场线、上海10号线等应用。 全自动无人驾驶(FAO)系统的显著特点是车载设备自动完成列车的驾驶和管理。相比于CBTC系统,FAO系统的冗余度、可靠性以及健壮性更高,控制管理更加集中,能有效地控制安全风险,提高运营效率,降低运营成本,确保地铁的安全运行。

1 GoA4等级和ATO功能需求

1.1 GoA4等级

ATO的自动化等级[1](Grade of Automation,GoA),从司机手动操作模式的GoA0到全自动驾驶模式的GoA4。具体分为5级,其中GoA4所具备的功能如下:在GoA4中,列车上不再需要运营人员(包括司机),这并不意味着FAO系统完全取代了司机或巡视人员,而是将他们的部分职责转移到了OCC运营人员和维护人员。列车的正线运营以及在车辆段内的作业都可以自动完成。系统具备检测、管理危险情况和紧急状况的功能,但是一些危险情况或紧急状况需要工作人员的参与,例如烟火报警。

1.2 ATO的功能需求

FAO系统达到了GoA4等级。对于FAO系统,ATO必须具备GoA4等级的功能。ATO执行列车驾驶及列车管理(由唤醒/休眠模块完成动力系统和车载设备的开启与关闭;休眠时,只保留用于唤醒功能的车载设备工作),驾驶员的其它任务可由FAO其他子系统完成。例如,乘客服务可由PIS与CCTV系统完成,运营日志由ATS生成。故障信息(包括列车故障信息及车载ATO设备故障信息)应由ATO向运营中心(OCC)汇报,并处理。紧急情况事件需要做出处理机制。

2 ATO样机设计

2.1 RM48安全芯片

RM48L950 是高性能微控制器产品,用于安全系统,达到了IEC61508 SIL-3安全标准的要求。安全架构包括:(1)以锁步模式运行的双核CPU;(2)CPU和存储器内置自检 (BIST) 逻辑;(3)在闪存和数据 SRAM 上均采用 ECC;(4)在外设RAM、双通道模数转换器(ADC)、定时器、电压、时钟上采用奇偶校验,提高了芯片的故障覆盖率;(5)外设IO上的环回功能;(6)错误信令模块 (ESM) 监控设备错误,并且在检测到故障时,根据故障的严重性确定是否触发外部错误引脚或CPU中断。

采用两个ARM Cortex-R4F CPU内核[2],提供1.6 DMIPS/MHz,配置运行在 200 MHz、320 DMIPS的条件下。在CPU比较模块中(CCM)比较输出信号。为了避免互相影响,两个CPU的输出信号采用不同的延迟方式,如图1所示。

图1 CPU框架图

RM48安全芯片支持基于图形用户界面的编码生成工具(HALCoGen)[5]。它具备高抽象化水平的用户输入,图形化的编码生成,便于设置、快速启动新项目,支持CCS、IAR、KEIL软件。这些工具在很大程度上提高了嵌入式软件的可靠性编程。

2.2 ATO样机结构

基于RM48微控制器高安全性,采用冗余技术可以提高系统的可靠性与安全性。在文献[3]中,IEC 61508标准推荐5种系统结构,其中1oo2D和2oo3结构性能非常接近,是性能最高的两个,而且1oo2D结构只需要两个通道,结合RM48芯片的高安全性, FAO的 ATO设计为双机热备结构。系统的框架图如图2所示。

图2 ATO样机框架图

ATO双机热备结构由两个通道并行组成,它们执行相同的程序,通过CAN总线输出到控制器,控制器选择一个通道的数据输出。系统中ATO_A模块和ATO_B模块具有独立的时钟同步周期,并且在程序的执行中,相互独立、具有相同的执行进度。系统设计时默认ATO_A是工作模块,ATO_B是热备模块。当RM48 的ESM检测到故障时,根据故障的严重性确定是否触发外部错误引脚或CPU中断,同时向控制器发送切换信号,切换到另一个通道输出。

例如:ATO_A检测到自身的故障后,系统将切换到ATO_B的输出,直至ATO_B也故障而系统停止工作;当ATO_B检测到自身的故障后,系统将ATO_B及其输出数据隔离,由ATO_A继续工作,直至ATO_A也故障,系统不再切换,直至系统停止工作。

2.3 系统可靠性分析

RM48芯片可借助于代码生成器工具(HALCoGen),实现对嵌入式软件的可靠性编程。同时,RM48芯片满足IEC 61508 SIL3安全完善等级(可知其每小时安全失效概率为10-8~10-7)。设每个模块的失效率为常数λ,为严格验证取其上限λ=10-7/h,故障覆盖率为c,某一时刻只有1个模块发生失效。系统开始工作时,处于完好状态,即模块均正常工作。热备冗余系统的马尔科夫状态转移图如图3所示。

马尔科夫模型状态可描述为[4]:(1)状态0表示系统无故障,系统正常工作;(2)状态1表示其中一个模块出现可测性故障,并且故障被检测出来,系统处于安全状态;(3)状态2表示两个模块都出现可测性故障,系统停止工作;(4)状态3表示ATO_A正常, ATO_B出现不可测故障;(5)状态4表示ATO_A出现不可测故障,无法进行切换,系统处于非故障安全状态。

图3 马尔科夫状态转移图

某模块在时刻t正常工作而在t+Δt失效的概率是p=1-e-λΔt。对于很小的Δt,该式可以简化为:

若该模块出现可测故障则为λΔt,若模块出现不可测故障为(1-c)λΔt。根据状态图,可列出离散时间的马尔科夫方程组如下:

对于微分方程组,其初始条件为t=0时,模块均完好,故有:P0(0)=1、P1(0)=0、P2(0)=0、P3(0)=0、P4(0)=0求解微分方程组,得到系统的可靠度为:

为了更直观的分析双机热备ATO和单机ATO,在一段时间(0~10 000 h)内对双机热备ATO和单机ATO的可靠性进行仿真分析,结果如图4所示。随着故障覆盖率c的增大,双机热备ATO系统的可靠性也显著增加,由于RM48芯片独特的安全结构,使得故障覆盖率也较高。在c=0.95时,系统工作10 000 h后,可靠性仍能达到0.999 9以上。尤其在长时间运行下,双机热备ATO的可靠度比单机ATO有明显优势。

图4 双机热备ATO、单机ATO可靠度的比较

如果故障覆盖率是理想的,即当c=1时,R(t)=2● exp(-λt) - exp(-2λt),这时双机热备ATO系统的可靠度等于两模块并联系统的可靠度。当c=0时,R(t)=exp(-λt),此时由于ATO_A出现故障就会导致系统失效,所以双机热备系统的可靠度等于单机ATO的可靠度。当0

3 结束语

全自动无人驾驶达到了GoA4,可以降低人为失误带来的安全风险,提高全线列车的运营精度,降低成本。采用双机热备结构的ATO样机,具备高诊断覆盖范围,可满足系统硬件高可靠性要求。HALCoGen工具的使用,可实现对嵌入式软件的可靠性编程,同时提高系统的可靠性。

[1]IEC 62290-1, Railway applications-Urban guided transport management and command /control systems - Part 1: System principles and fundamental concepts[S].Acceed June 2011.

[2]TEXAS INSTRUMENTS—RM48 16/32-bit RISC Flash Microcontroller Technical Reference Manual[EB/OL].2011.

[3]马连川,高倍力.一种高安全、容错控制计算机的设计与实现 [J].中国安全科学学报,2004,14(8):101-105.

[4]高继祥,郑俊杰.双机热备计算机联锁系统可靠性与安全性指标分析 [J].北京交通大学学报,1998,22(5):73-77.

[5]TEXAS INSTRUMENTS—HerculesTM安全微控制器[C/OL]. 2011.

猜你喜欢
热备双机可靠性
热备动车组配置方案优化模型
东海区实时海洋观测数据库双机热备系统解决方案
双机、双桨轴系下水前的安装工艺
一种应用于分布式网络的地址分配及热备技术
合理使用及正确测试以提升DC/DC变换器可靠性
双机牵引ZDJ9道岔不同步问题的处理
PostgreSQL热备原理研究及流复制运用
GO-FLOW法在飞机EHA可靠性分析中的应用
Loader轴在双机桁架机械手上的应用
5G通信中数据传输的可靠性分析