作者 |刘艳青 上海控安安全测评中心安全测评部测试经理
版块 |鉴源论坛 · 观通
01联锁系统的硬件结构
根据联锁系统的层级关系,联锁系统的硬件层级可以分为4层:人机会话层、联锁层、接口层、室外设备层。
图1 联锁系统的硬件结构
02联锁系统的软件结构
联锁系统的软件大体分为3部分:操作员台软件、联锁软件、诊断维护软件。
·操作员台软件功能:控制命令发送与处理;站场信息显示和信号设备状态显示;操作命令提示;报警;与TDCS/ CTC、轨交ATS系统等接口。
·计算机联锁软件功能:输入输出控制;排路任务调度;联锁BOOL运算;安全命令判断管理;与TCC等其它系统通信。
·诊断维护软件功能:系统诊断和维护;操作命令与信号设备显示日志记录;故障显示和报警信息日志记录;与监测系统通信;回放等功能。
2.1 联锁软件中的任务调度功能
通过I/O模块进行安全采集可以读取到输入板的码位状态信息;
根据联锁设计的电路逻辑,进行联锁BOOL逻辑运算处理;
通过I/O模块进行安全输出,发送控制命令控制输出板;
通过非安全通信,可以完成与其他系统的交互进行非安全通信的相关任务,如:诊断维护系统、其它联锁机、操作员台或模拟仿真测试系统;
通过安全通信,完成和备机/系联锁机进行主备系同步比较信息的安全通信的任务;
通道优先完成当前通道的运算,其次,再进行比较两个通道。
2.2 联锁软件中的安全管理功能
主任务可以产生安全检查相关信息,向安全检查模块发送检查结果。
缓冲区的数据实时进行更新,用以校验刷新的实际结果。
严格检查所有输出板,安全诊断所有输出端口,保证安全输出。
安全控制系统明确严格要求,既要进行独立于逻辑运算,也要独立于安全监督等相关功能。
2.3 联锁软件中的冗余管理
2.3.1 采集共享功能
各联锁机独立对同一个采集信息进行独立采集。
独立采集之后,根据设计需要,通过安全通信通道,互相传递各自采集到的信息,进而有条件的实现共享采集信息。
单套系统采集受到干扰,或者信息中断,都会对系统造成影响,冗余管理就可以有效的避免此种情况。
采集信息共享的前提是系统实时安全采集以及实时安全通信。
2.3.2 并行输出功能
各联锁机独立进行联锁运算。
备机与主机并行进行运算,结果相同时,当备机具备条件时,也会输出。并行输出有效地避免了单套系统因故障,导致空输出,或者通道断线不能及时输出。
并行输出前提也是系统实时安全采集以及实时安全通信。
并行输出的前提是,主备双机和继电器之间的连接正确、输出线极性正确,不能接反,否则极性相消,输出为空。
图2 冗余管理-并行输出
03联锁系统的冗余技术
为了提高联锁系统的安全性,计算机联锁系统和其他安全系统一样,有效地利用了冗余结构。
最开始采用主备双机热备,双机热备的冗余系统,很大程度上提高了可靠性和安全性。
与此同时,也采用过三取二系统,3个机器的运算结果各自对比,给出最终结果,这样,错误输出的可能性就大大降低了。与此同时也会暴露出三取二的缺点,顾名思义,三取二要求三个机器同时工作,所以就不能有任何一个故障、停机或者进行设备检修。一旦其中一个停止,整个三取二的系统就宕机不能正常工作。
为了解决三取二的缺点,又推出二乘二取二的设备系统,两个运算CPU组成一个主机系统工作状态,另两个备机CPU处于热备状态,这样,不仅满足提高了联锁系统的安全性,而且方便进行停机检修。二乘二取二的冗余热备系统,是目前主要冗余系统应用方式。
3.1 双机热备的冗余结构
作为联锁主机的联锁机采集收入,执行联锁运算,控制驱动输出;
作为联锁备机的联锁机,同时进行采集输入,执行联锁逻辑运算,但不会驱动输出。两套联锁机相互作为主备机;其中一套宕机时,另外一套联锁机自动切换成为主机,继续执行工作,宕机的作为备机工作。
联锁机之间可以自动切换,也可以人为控制,手动切换主备机。
联锁系统双机热备和操作员台的连接是没关系的,操作员台可以双机连接,单机或者更多N+1热备的操作员机,都可以进行连接通信。
图3 双机热备冗余结构示意图
3.2 二乘二取二的冗余结构
每套联锁机有两个通道执行联锁任务;
通道之间互相独立,且选用不同的硬件和软件分别执行联锁运算;
两个通道的运算结果经对比,结果完全无差别才产生输出,否则不输出。
因此,两个通道有且同时产生同样的错误结果,才会产生错误输出,这种概率很小,安全性的系统才得以保证。
同样,联锁系统双机热备和操作员台的连接是没关系的,操作员台可以双机连接,单机或者更多N+1热备的操作员机,都可以进行连接通信。
图4 二乘二取二冗余结构示意图
3.3 三取二的冗余结构
三取二中的三套联锁机同时独立执行各自联锁任务;
联锁机独立处理逻辑运算,两两相比较,运算结果对比后完全相同时,才会产生正确输出。
因此,当三个联锁机同时出错,才产生危险输出,这种概率也极小。
三取二的弊端是,同步信息的运算的要求很高,输出不同步,即不能产生有效输出。
联锁机和操作员台双机连接互相独立,互不影响。
图5 三取二冗余结构示意图
04联锁系统的仿真技术
联锁系统具备仿真测试功能,在经过严格的人工判断及手动设置,才会转入仿真测试系统;不会自动转为仿真测试状态,当前已转为仿真测试状态,不会自动转变状态,从而不会把仿真状态的数据计算结果输出给实际使用的设备,从而导致错误输出。
4.1 联锁仿真机的转换
联锁机设置为仿真测试状态,需要严格按照如下步骤执行:
(1)关闭联锁B机(B机转为仿真测试机),板卡中具备仿真功能模块;
(2)手动将切换模块用钥匙从“自动”位置档位切到 “联锁A机”;
(3)重新上电联锁B机;
(4)作为仿真机相连的MMI切换为“仿真测试状态”。
4.2 联锁系统中的MMI功能
操作员在MMI界面上,通过操控按钮发送控制命令,接收现场继电器采集信息,直观在MMI界面上显示现场设备状态;
网络交换实现MMI主备机之间,以及与其他系统之间交换信息;
敌对进路的判断、表示等非安全联锁逻辑显示功能; 数字式道岔动作电流显示;
联锁系统和TDCS系统、CTC系统交互信息在MMI上,是通过串口接口连接;
表示灯、报警灯显示以及其他特殊要求的显示功能;
上电解锁功能通过人工按压“上电解锁”按钮操作实现;
非常站控和CTC之间模式转化也在MMI界面进行控制权的申请和转让;
MMI界面提供工具条,人工可以进行按钮操作,实现进路的建立、进路总取消、列车信号和调车信号的重开、对于咽喉分区的引导总锁、列车信号对应的引导按钮、进路非正常解锁的总人解、对不能正常解锁的区段区故解、道岔定位转换操作、道岔反位转换操作、单个道岔的锁闭操作、单个道岔的解锁、按钮的封锁、以及其他功能按钮的操作;
闭塞、溜放、非进路等功能办理;
辅助功能:文字显示、车次窗、分路不良确认。
05联锁系统与其他系统接口
图6 联锁和其他系统网络连接
联锁系统与TDCS/CTC系统的接口是上位机和CTC系统中LiRC通过RS-422标准串行双通道交叉互联。
联锁系统向TDCS/CTC的发送站场表示信息以显示设备状态,TDCS/CTC向联锁系统发送控制命令信息以进行排路等指令操作。
图7 联锁和TDCS/CTC系统串口连接
06总结
本文只对联锁的硬件、软件结构、冗余技术和仿真技术做了介绍,联锁系统作为整个信号系统的核心系统,技术条件中对联锁系统要求很多,如故障-安全原则、软件的安全性划分等级有5级,EN50128和EN50129中有定义规定为SIL4级。联锁系统和其他系统的接口应当遵守规定的协议。
参考文献:
[1] TBT_3027-2011计算机联锁技术条件(修改版)
[2] 计算机联锁系统介绍_v0.0.1
审核编辑 黄宇
全部0条评论
快来发表一下你的评论吧 !