马卫
摘 要
信号安全技术是系统故障时,自动导向安全侧的技术。根据DS6-60计算机联锁技术中风险和安全设计分析,研究、分析了DS6-60计算机联锁中实现故障—安全侧的方法措施,证明DS6-60计算机联锁技术是具有很广阔的发展前景的。
【关键词】DS6-60 计算机联锁 信号安全技术 研究与探讨
1 概述
DS6-60计算机联锁采用二乘二取二冗余结构设计,是设计院DS6系列的最新产品,DS6-60是设计院依托DS6-11,DS6-20,DS6-K5bstract多年的应用经验,以EN系列标准为参考研发的新一代用于铁路信号控制的安全平台,其可靠度指标:平均故障间隔时间大于或等于106h,安全指标:平均危险侧输出间隔时间大于或等于1011h。
2 计算机联锁的信号安全技术原则
DS6-60计算机联锁的信号安全技术主要体现在:
(1)系统工作时能完成正常的功能,保证正常安全输出;
(2)系统发生故障时,保证系统输出自动倒向安全侧。
3 风险分析与安全性设计
DS6-60安全性设计方法: DS6-60计算机联锁按照安全等级为SIL4级的要求进行设计的,通过对实现各功能中遇见的故障错误进行风险分析,其思路是在DS6-11,DS6-20,DS6-K5bstract多年的应用经验基础上的完整、准确的功能设计。DS6-60设计中采用定性的危害识别方法识别出系统中所存在的所有风险,对风险进行分类处理,分析原因和结果,对风险级别高的采取措施降低风险,使风险降低到可以接受的合理范围内。目前,DS6-60系统降低风险因素的手段就是靠设计、及检测、冗余的方法。正确设计实现安全需求,保证系统功能安全。系统风险的规避措施主要采用以下几个方面:
3.1 设备组合安全
当对一个器件产生的结果不确定时,就增加至两个或多个器件来各自运行,并对输出的数据数值等加以对比,如果结果相同意味着是安全输出,认可该结果,同时,也要选择检测性技术,利用硬件、软件的相异性,控制共模错误的发生。
3.2 处理功能时能安全反应
如果选择某个器件来操作,则可以借助检验方法、反复运算等方式来运行,以此来确保其功能与作用安全、稳定地发挥。
3.3 器件的固有安全
在安全关键部位采用固有安全特性器件,当安全器件存在断线、短路、或不符合的电流参数时,器件不予执行,就没有输出,这就是器件的固有安全。
4 DS6-60计算机联锁实现故障導向安全的方法措施
计算机联锁系统要实现故障—安全设计,首先要对系统的整体结构进行故障—安全的设计;其次实现系统设备各功能单元的信息传输安全。第三,是发生共模错误的处理。针对这三个问题分析处理结果如下。
(1)解决计算机系统层面的故障—安全主要从两个方面进行处理一方面是避错技术,另一方面是容错技术。
避错技术是对系统硬件的选择,系统的硬件是否高可靠性的芯片,DS6-60系统采用高可靠性配置。但硬件的高可靠性是有局限性的,这就让我们提出了容错技术,当故障不可避免的出现时,我们接受,并采取其他措施导向安全侧。容错技术为我们解决了这一问题。
容错技术的主要实现方法就是故障检测和冗余技术。一般联锁计算机中都建立了设备监测系统,方便了故障检测。故障检测可以在系统故障时检查出故障,并进行报警,呈现在监测系统上,系统根据故障情况做出反应,并给出安全输出。冗余技术就是对必须的硬件、软件、时间等进行余量的设计,完成技术的自动转换。 DS6-60系统采用二乘二取二冗余结构设计,并设有系统监测机;系统联锁逻辑部为二乘二取二结构,分为Ⅰ系和Ⅱ系,各系内部为二取二结构,任何一系都可以独立工作,双系采用主从方式运行,任一系检测到严重故障都会主动切换;系统内部一切关系到安全的问题,都可以采用故障安全的思路来实行双重结构设计,这样其中某个单点故障也具有相对独立性,也不能对系统构成威胁,这样才能达到铁路车站信息安全控制的目标。
(2)信息传输的安全技术目前都基于通信系统的安全系统。系统的对外接口就是通信系统提供一个通信通道,将传送的信息在通信软件的应用层进行安全编码和保护,不存在软件上的故障-安全要求。DS6-60通信系统也通过建立2系实现故障-安全要求,计算机联锁通信部分(包括各单元之间)都是按照EN50159要求设计,系统内网络采用双网结构,互为冗余备份,保证当一个网络失效时,另一个网络能够继续承担子系统之间的通信任务。
(3)共模错误的分析和处理。当系统遭遇瞬间干扰时,如电磁干扰、EMI干扰等,可能会对系统的2套设备造成破坏,或瞬间运算错误。这种瞬间运算错误,可能是由于CPU在读取信息时,地址码加错或锁存信息有误,对于这类干扰引起的共模错误,风险解决的措施就是硬件相异性、软件相异性、及程序时间相异性。再一个共模错误就是由软件设计错误,由于软件检测错误的局限性和编译错误都可导致共模错误的发生,软件相异性、工具相异性是避免共模的发生。DS6-60计算机联锁中联锁双系中每系均包括两个独立的CPU单元,两个CPU单元实现二取二比较,仅当两个中央处理器达到相同的运算结果,再向外输出数据,系统内部的各个CPU单元软件都应该选择各自不同的编译器进行编译,以此来控制错误的呈现,维护系统的安全。
(4)另外,DS6-60计算机联锁中。
1)输入采集单元采用动态采集方式,由输入采集机笼内的两个独立CPU单元分别进行采集,由联锁逻辑部对采集结果进行比较,比较一致认为采集数据有效,否则采集数据无效,构成二取二故障-安全采集。
2)输出单元采用双断控制,动态和静态两路驱动串联输出,静态和动态输出分别由输出机笼内的两个独立的CPU单元控制,当一路输出无效时,总输出则为无效,构成硬件相异的二取二故障-安全输出。这两项功能的实现都遵循容错技术和组合安全、反应安全的故障—安全原则,保证系统的安全可靠。
5 安全的全面性
DS6-60系统按照EN铁路执行的安全指标,实际设计操作中要重点强化对风险的预测,创建风险日志,对安全需求进行全过程的动态跟踪,立足于安全需求来进行设计、生产与检验,达到对不同环节的闭环控制,维护系统安全,确保其功能的发挥。
DS6-60系统很好的应用于天津地铁3号线车辆段项目,发生故障率低,维护方便,并可与其他系统很好的接口,完成转换任务。
6 结束语
实践证明,DS6-60计算机联锁技术具有广阔的应用前景,是我国铁路发展的重要方向。
参考文献
[1]中国铁路通信信号集团公司,DS6-60计算机联锁系统介绍、维护手册.
[2]DS6-60计算机联锁系统设计分析[J].铁道通信信号,2012(08).
作者单位
中铁建大桥工程局集团电气化工程有限公司 天津市 300000