匡前良
摘要:随着我国铁路事业的迅速发展,高铁、客运专线等一系列新技术相继开始投入使用,铁路信号传输量大大增加,这对铁路信号设备的可靠性和安全性提出了更高的要求。计算机联锁系统控制信号灯、道岔和轨道电路,实现它们之间的联锁关系,是铁路信号设备的核心部分。为保证可靠性和安全性,国内iLOCK计算机联锁系统广泛采用二乘二取二结构。
关键词:iLOCK;联锁应用;故障处理
1引言
计算机联锁相较于传统的继电联锁系统在占用空间、维修量、信号传输速率、人机会话界面和功能扩展能力等方面具有很大优势,特别是随着大规模集成电路的价格下降,其在价格上的优势也日益凸显。国内车站的联锁控制经历了机械联锁控制、电气集中联锁控制、计算机联锁加继电器执行控制三个大的发展阶段。20世纪70年代基本完成由机械联锁发展到6502电气集中联锁,从80年代后期开始研究计算机联锁加继电器执行的系统,9 0年代进行试验并逐渐开始上道使用。在计算机联锁系统发展的早期,曾采用过存在极大可靠性和安全性隐患的单机结构,现已经被淘汰。目前车站所用的计算机联锁系统主要分为双机热备、三取二和二乘二取二三种结构。双机热备结构由两个运算模块执行一套功能相同的联锁以及相应的故障检测程序,来提高系统的可靠性。双机热备结构虽然具有良好的可靠性,但是存在很大的安全性隐患,不适合对安全性要求很高的计算机联锁系统使用。
2 iLOCK联锁应用及故障
2.1二取二安全原理
二乘二取二计算机联锁系统主要依靠单板内的二取二结构来保证安全性,系统的联锁主机、通信模块和接口模块的单板均设计成二取二结构,其基本安全原理是一样的。将继电器失电定义为安全状态,继电器上电定义为危险状态。
2.2故障检测和故障—安全特性
(1)电源。当出现电源欠压时,看门狗电路自带欠压检测,防止CPU工作在欠压状态;当出现电源过压时,保险丝会熔断,切断CPU供电,防止CPU损坏。如果单个运算通道的电源出现故障,对应的看门狗电路可以控制动静转换电路,切断本系的输出,实现故障—安全特性。
(2)时钟。两个CPU之间通过隔离SPI交互数据,设CPU1工作在SPI主机模式下,CPU2工作在SPI从机模式下,CPU2可以检测SPI的SCK线,从而得到CPU1的频率;另外CPU2通过光耦向CPU1发送脉冲信号,CPU1可以检测CPU2的频率。两者之间互相比较频率。如果单个运算通道的时钟出现故障,通过比较可以判断出两个运算通道的时钟不一致,对应的看门狗电路可以控制动静转换电路,切断本系的输出,实现故障—安全特性。
当两个CPU的时钟均出现问题时:联锁主机与通信模块、通信模块与接口模块之间用CAN总线通信,CAN总线设有固定的波特率,当上下位机中出现了过大的频率偏移,系统检测到CAN总线通信出现问题,控制动静转换电路,切断本系的输出,实现故障—安全特性。
(3)复位。对每个CPU设计独立的复位电路,系统启动时,复位电路自动将CPU复位,两个CPU通过SPI总线通信,如果通信同步则认为复位成功,若不同步则复位失败。如果CPU未能复位成功,对应的看门狗电路可以控制动静转换电路,切断本系的输出,实现故障—安全特性。
(4)SPI。當SPI通信出现故障时,认为继电器吸合,系统处于危险状态。CPU发送命令控制动静转换电路,切断本系的输出,实现故障—安全特性。
(5)动静转换电路。如果动静转换电路出现故障,继电器J0非正常吸合。CPU1、2通过自检继电器J0状态得知系统处于危险状态,CPU1通过P1引脚强制控制光耦通断,CPU2通过P2引脚强制控制脉冲信号,中断高频变压器工作,确保继电器J0失电,实现故障—安全特性。
(6)寄存器。对寄存器做采用两种方式检测:1.每启动了一个初始化寄存器(如中断控制寄存器)后,检测是否初始化成功;2.在每个诊断周期中,应用EN系列标准中规定的数据位组合对其他非初始化寄存器进行测试。
(7) ROM。对ROM的检测分为两种方案:1.将ROM按一定字节长度分为若干段,每段设置专门的CRC校验区,系统周期检测每个CRC校验区是否正确;2.将ROM里面的数据复制成两份,存在不同的地址,系统周期比较两个地址的数据是否一致。
(8)RAM。在每个系统周期都进行RAM自检,先将RAM中某一单元的数据读出来并保存,在向该单元写入EN系列标准中规定的数据位组合,再对该单元执行读操作,看能否读出正确的数据位组合,如果读出正确数据则代表该RAM单元正常,将原数据再写入该单元;如果读出错误数据则代表该RAM单元出现故障。对于EN系列标准中规定的数据位组合应循环使用,保证每种组合都被检测过。
3二乘二取二计算机联锁系统运行模式
完整结构是指可靠性和安全性分析时对导致系统失效中每个因素(包括切换器和比较器失效)都进行考虑,并基于完整结构分析了二乘二取二计算机联锁系统运行中各种失效发生后会出现的情况。假设,当前工作在主系状态下的为A系,B系热备。
A系内的两个运算模块的任一模块出现了可测失效,A系被划归为故障系并停机,如果B系正常工作,调用切换器切换系统输出至B系。B系内的两个运算模块的任一模块出现了可测失效,B系被划归为故障系并停机。如果A、B两系都被划归为故障系并停机,则系统导向故障-安全输出。切换器一旦失效,则系统无法正常切换输出至B系,所以B系运算模块失效和比较器B失效将不再考虑。如果此时A系出现可测失效,或者出现不可测失效但比较器A正常,则A系被划归为故障系并停机,系统导向故障-安全输出。
A系内的两个运算模块的任一模块出现了不可测失效,如果比较器A正常工作判断出两个模块输出不一致,则A系被划归为故障系并停机,如果B系正常工作,调用切换器切换系统输出至B系;如果比较器A失效,无法判断出两个运算模块输出不一致,则系统输出仍调用A系输出,系统处于危险侧输出。B系内的两个运算模块的任一模块出现了不可测失效,如果比较器B正常工作判断出两个模块输出不一致,则B系被划归为故障系并停机;如果比较器B失效,无法判断出两个运算模块输出不一致,如果此时A系出现失效,系统将处于危险侧输出。
4结束语
总而言之,国内投入使用的计算机联锁系统大部分是从继电电气集中发展起来的,是一种计算机联锁加继电器执行的系统。进入21世纪以后,全电子计算机联锁的概念逐渐被业内广泛接受,许多科研单位开始研制基于全电子执行单元的计算机联锁系统。
参考文献:
[1]宋保平.新型铁路车站计算机联锁系统的设计与实现[D].硕士学位论文,黑龙江大学,2009.
[2]李翔.基于FPGA的二乘二取二安全系统的设计与实现[D].硕士学位论文,北京交通大学,2009.
(作者单位:成都地铁运营有限公司维保分公司)