计算机联锁系统安全可靠性设计浅析

摘要】从计算机联锁系统在铁路交通应用中的基本组成和基本功能着手，根据影响计算机联锁系统安全可靠性的一些关键因素，分析了在研制开发计算机联锁系统设备过程中所采用的改善和提高安全可靠性的几种方法。

【关键词】计算机联锁系统 安全可靠性 硬件 软件

1 概述

计算机联锁系统的安全可靠性是研究、开发、生产计算机联锁设备必须遵循的永恒的主题，也是验证计算机联锁系统性能的主要依据。计算机联锁设备是一种连续工作的实时系统，它必须具有极高的安全性和可靠性才能适应铁路运输和城市轨道交通高效和安全的运营要求。

其实汁算机联锁系统的安全性是指联锁设备在运行过程中无论发生什么故障都不能产生有可能危及列车安全运行的危险因素，一般着重于在不正常的情况下使系统导向安全，防止产生危险后果；而可靠性是指联锁设备在规定的时间和规定的条件下完成规定功能的能力，一般侧重于防止或减少系统发生故障。显然，安全性的实现是以可靠性为基础，并在提高可靠性的前提下完成的。为了系统地分析问题，我们将把计算机联锁系统的安全性和可靠性结合在一起考虑，并着重从系统的硬件设计、软件设计和数据传输及处理等几个方面采取各种综合技术措施，使计算机联锁系统符合故障—一安全的原则。

2 硬件部分的安全可靠性分析

根据计算机联锁系统的结构组成和功能特点，硬件部分的安全可靠性技术从计算机联锁系统的上位机、联锁机和接口电路三个部分进行分析。

2．1上位机安全可靠性分析

上位机主要功能是向联锁机构输入操作信息，接受联锁机构输出的反映设备工作状态和行车作业情况的表示信息。为此上位机可采用经国际安全机构认证的高可靠工业控制计算机，摒弃原商用机所采用的大母板结构，把原来的大底版(系统板)功能集中在一块ALL--IN--ONE插卡上，底板变成无源总线母板，增加了插槽数，便于系统的升级扩展。

采用的机箱结构具有良好的散热、隔热、防潮、防尘性能，驱动器架采取避震措施，使整个机箱具有可靠的机械强度和很好的抗电磁干扰的能力；采用不问断供电及净化的专用开关电源，抗共模干扰，具有浪涌保护、过载保护、漏电保护的功能，单机设备的平均无故障工作时间可达到100000h。

计算机联锁系统的维修机和上位机的配置是一致的，平常可作为上位机的热备机，在系统故障时能够进行自动无扰切换，切换过程不影响现场设备状态，提高设备可靠性。

上位机的人机接口界面的设计使用先进的工业控制软件，使得系统的监控不仅具有友好的人机交互界面，而且具有丰富的图形画面显示及图形操作功能，调图方式灵活，修改参数方便。在设计中，根据铁路交通和城市轨道交通信号计算机联锁的特点，可以灵活运用登录口令、操作员权限、安全设定点、设定点口令、安全审计跟踪记录等安全特性，确保联锁系统执行操作的安全可靠。

2．2联锁机安全可靠性分析

联锁机是信号控制系统的核心。在设计中，可选用国际安全机构认证的硬件三重冗余计算机联锁系统，用于实现联锁数据处理过程的故障—安全。所谓三重化冗余系统是指系统共有A、B、c三个相同的主机，每个主机可以把它看成系统中的一个模块。三个模块同时执行一致的操作，其输出送到“表决器”的输入端，然后把表决器的输出作为系统的输出。结果经输出设备三取二表决后进行输出，可以保证输出的安全性。当其中一个联锁处理单元联锁逻辑单元故障时，系统能够转换为二取二工作方式，在不降低安全陛的前提下，使整体系统的可靠性得到提高。

采用三取二表决系统原本是为了提高系统的可靠性而采取的一种冗余系统。然而从安全性角度来看，若有两个主机发生了同样的故障，即共模故障，系统将输出错误信息，经接口驱动后，有可能危及行车的安全。因此，必须消除软硬件的设计错误，当主机的设计完全正确无误时，仅由硬件失效和干扰而产生的共模故障的发生概率就很小。为了进—步降低未检出故障的组合而产生共模故障的可能性，可利用单机自检技术、主机间互检技术和双套不同的软件，扩大故障检测范围，消除因干扰而引起的影响。

为了保证三重化冗余系统能够通过多数一致表决得到正确的结果和发现出错的模块，这就要求三台微机必须同步工作。否则，整个系统便会出现紊乱状态，多数一致表决无法进行，系统无法保证正常可靠的工作。

计算机联锁系统为保证安全可靠而采取的主要措施是：全面的在线自诊断和专门的安全检查程序。这就要求系统在规定的周期内对计算机的运算器、存储器、接口等元器件用一系列自诊断程序进行全面自诊，而安全检查程序则对联锁程序任务模块的运行状态进行监视，对关键信息代码的合法性进行检查。在自诊断和专门的安全检查中一旦发现故障，立即切断计算机的输出(同时报警)。在设计中必须采取有效的措施来确保：

(1)检测过程本身应具有安全性，或采用相应硬件及软件措施来实现安全性；

(2)检测要要有足够的频率，使类似或等同故障在二次检测之间不会发生；

(3)检测要足够灵敏，能够测出每个安全单元之中的重要故障；

(4)检测失败时应及时产生安全保护动作；

(5)冗余装置要足够独立，使之不受其他故障的影响。

例如在具体实施中，使输出控制单元经过表决后输出，所有输出进行反馈检查闭环控制；在输出执行环节采用条件电源供电方法，当用实时检测或实时比较技术发现联锁微机内部故障时，即使产生危险侧的错误控制命令，通过强制切断执行环节的条件电源，减少错误的控制命令输出。

采用光电隔离技术，接点输入电路要经过光电耦合后力节目接至接口电路输入输出模块，有效的抑制接点输入电路的电磁干扰；采用静态输入或动态输入方式，以便有效的实现故障—安全原则。

在输出接口的设计中，采用代码—动静态和动静态—电平两级变换电路；采用不间断供电及净化的专用电源，电源模块内部设有双重化电压调整器及自诊断电路，可检测电压的输出范围与是否超温并给出相应报警。

2．3 接口电路安全可靠性分析

由于一般继电电路采用的重力式安全继电器具有很高的安全性，在我国铁路中运用了几十年，为此计算机联锁系统的接口电路仍然以安全继电器作为计算机联锁机构与室外设备控制电路的接口。我们知道安全继电器通过以下技术实现故障—一安全：电气接点采用特殊材料制作，使接点粘连的可能极小；采用吹弧技术，消除接点拉弧造成熔接；采用重力式设计原理，在继电器故障时，利用其重力使衔铁复位，从而保证实现系统的故障——安全的目的。