遲寶全

（上海富欣智能交通控制有限公司，上海 201203）

近年來(lái)，城市軌道交通領(lǐng)域在基于通信的列車(chē)自動(dòng)控制（CBTC，Communication Based Train Control System）系統(tǒng)的基礎(chǔ)上出現(xiàn)了一些新的發(fā)展方向，例如互聯(lián)互通、全自動(dòng)無(wú)人駕駛、列車(chē)自主運(yùn)行系統(tǒng)（TACS, Train Autonomous Circumambulate System）[1-3]，以及多種信號(hào)制式，例如有軌電車(chē)、自動(dòng)旅客捷運(yùn)系統(tǒng)等。相應(yīng)地，多種信號(hào)系統(tǒng)對(duì)于安全計(jì)算機(jī)平臺(tái)也提出了新的技術(shù)需求。本文所介紹的安全計(jì)算機(jī)平臺(tái)，主要考慮CBTC、TACS、多制式信號(hào)系統(tǒng)及全電子目標(biāo)控制器等列控系統(tǒng)的通用技術(shù)需求，是在滿(mǎn)足安全性和可靠性的前提下自主研發(fā)的通用軌旁安全計(jì)算機(jī)平臺(tái)。

1 安全計(jì)算機(jī)平臺(tái)的總體架構(gòu)

1.1 架構(gòu)說(shuō)明

該通用安全計(jì)算機(jī)平臺(tái)的總體架構(gòu)，如圖1 所示。

（1）診斷維護(hù)單元：實(shí)現(xiàn)通用平臺(tái)的診斷維護(hù)和故障日志記錄等功能，安全等級(jí)為SIL0。

（2）通信管理單元：實(shí)現(xiàn)通用平臺(tái)的安全協(xié)議組包、解析、內(nèi)部和外部安全通信等功能，安全等級(jí)為SIL4。

（3）安全計(jì)算單元：實(shí)現(xiàn)通用平臺(tái)的安全邏輯運(yùn)算和內(nèi)部通信等功能，安全等級(jí)為SIL4。

（4）電子執(zhí)行單元：實(shí)現(xiàn)通用平臺(tái)對(duì)于軌旁信號(hào)設(shè)備（如信號(hào)機(jī)、道岔、軌道電路和應(yīng)答器等）直接控制管理和信息采集功能，安全等級(jí)為SIL4。

（5）離散I/O 單元：實(shí)現(xiàn)通用平臺(tái)對(duì)于外部繼電器的驅(qū)動(dòng)和采集處理等功能，安全等級(jí)為SIL4。

圖1 通用軌旁安全計(jì)算機(jī)平臺(tái)總體架構(gòu)

1.2 架構(gòu)特點(diǎn)

（1）完全基于以太網(wǎng)架構(gòu)實(shí)現(xiàn)內(nèi)部通信，以太網(wǎng)的通用性為該架構(gòu)提供了極好的可擴(kuò)展性和可維護(hù)性，有利于實(shí)現(xiàn)產(chǎn)品的靈活配置和模塊化部署，可適用于更多應(yīng)用場(chǎng)景。

（2）所有SIL4 等級(jí)安全單元均為2 乘2 取2冗余安全結(jié)構(gòu)，采用完全相同的硬件核心板卡，核心板卡統(tǒng)一的方式降低了各種列控產(chǎn)品的開(kāi)發(fā)認(rèn)證和長(zhǎng)期維護(hù)成本，提高了平臺(tái)的通用性。

（3）上述各安全單元采用完全相同的平臺(tái)軟件架構(gòu)，每個(gè)安全單元均實(shí)現(xiàn)通用功能。主要包括初始化上電自檢、輸入輸出管理、系內(nèi)同步管理、安全表決管理、系間同步切換管理、安全通信管理、在線自檢管理、故障管理、診斷維護(hù)管理、周期調(diào)度與監(jiān)控管理、時(shí)鐘管理和用戶(hù)接口管理。通用軌旁安全計(jì)算機(jī)平臺(tái)的分層結(jié)構(gòu)，如圖2 所示。

2 安全計(jì)算機(jī)平臺(tái)的原理與實(shí)現(xiàn)

2.1 安全原理

該通用安全計(jì)算機(jī)平臺(tái)采用分布式體系架構(gòu)，每個(gè)安全單元均采用組合故障安全和反應(yīng)故障安全作為基本故障安全設(shè)計(jì)原則，由于上述所有安全單元的核心板卡完全相同，下面以離散I/O 單元為例，簡(jiǎn)述該平臺(tái)的系統(tǒng)安全原理，如圖3 所示。

圖2 通用軌旁安全計(jì)算機(jī)平臺(tái)分層結(jié)構(gòu)

圖3 通用軌旁安全計(jì)算機(jī)平臺(tái)安全原理

該平臺(tái)的核心板卡采用2 取2 結(jié)構(gòu)，2 個(gè)CPU之間通過(guò)以太網(wǎng)實(shí)現(xiàn)任務(wù)級(jí)同步，數(shù)據(jù)交互和安全表決，每個(gè)周期2 個(gè)CPU 也會(huì)分別執(zhí)行在線自檢，根據(jù)安全表決和自檢結(jié)果把動(dòng)態(tài)生命信號(hào)發(fā)送給安全電源控制板VPS，一旦發(fā)生表決失敗或者自檢故障，VPS 會(huì)立即切斷對(duì)外部繼電器的離散輸出電源，從而實(shí)現(xiàn)故障導(dǎo)向安全。其它幾個(gè)安全單元的安全原理完全相同，只是在具體實(shí)現(xiàn)方面略有差異：對(duì)于沒(méi)有離散輸入輸出通道的安全單元，同樣是根據(jù)安全表決和自檢結(jié)果，把動(dòng)態(tài)生命信號(hào)發(fā)送給雙通道差異化固件看門(mén)狗，一旦發(fā)生表決失敗或者自檢故障，由固件看門(mén)狗通過(guò)切斷以太網(wǎng)PHY 芯片電源或者CAN 控制器芯片電源并復(fù)位CPU 的方式，切斷對(duì)外輸出，實(shí)現(xiàn)故障導(dǎo)向安全[4]。

2.2 技術(shù)實(shí)現(xiàn)

在具體的安全技術(shù)實(shí)現(xiàn)方面，該平臺(tái)的總體安全策略是采用IEC61508 和EN50126、128、129 推薦的標(biāo)準(zhǔn)化技術(shù)方案，主要包括[5-9]：

（1）綜合采用冗余檢查、差異化、在線自檢、硬件隔離和編碼防護(hù)，實(shí)時(shí)回檢等多種安全技術(shù)原則，防范各種系統(tǒng)性故障和隨機(jī)性故障；

（2）所有安全組件必須通過(guò)最高等級(jí)安全認(rèn)證，包括OS、BSP、網(wǎng)絡(luò)協(xié)議棧、編譯器、硬件、軟件和固件等；

（3）采用充分的在線自檢技術(shù)，在線自檢包括上電自檢和周期自檢，檢查的范圍包括系統(tǒng)完整性、CPU 指令集、CPU 寄存器、RAM、ECC、任務(wù)堆棧、關(guān)鍵內(nèi)存區(qū)、時(shí)鐘、電源、溫度、任務(wù)完整性和輸入輸出通道等；

（4）采用適當(dāng)?shù)牟町惢夹g(shù)，差異化范圍包括運(yùn)行時(shí)間差異化，數(shù)據(jù)空間差異化，局部編碼差異化和雙通道差異化動(dòng)態(tài)窗式看門(mén)狗等。

3 安全計(jì)算機(jī)平臺(tái)的關(guān)鍵技術(shù)

3.1 基于安全以太網(wǎng)總線的安全自律技術(shù)

該平臺(tái)由高度可重用的抽象化外設(shè)單元和標(biāo)準(zhǔn)化的控制模塊組成，各模塊功能獨(dú)立，所有模塊和外設(shè)單元都是基于以太網(wǎng)安全總線實(shí)現(xiàn)信息交互，需要滿(mǎn)足最高安全等級(jí)SIL4 要求。在該系統(tǒng)中，通信協(xié)議完全基于EN50159 標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)，物理層采用100 Mbit 高速以太網(wǎng)，可實(shí)現(xiàn)雙網(wǎng)冗余管理。在模塊的通信管理方面，可根據(jù)設(shè)備的類(lèi)型、ID 靈活分配IP 實(shí)現(xiàn)快速組網(wǎng)和實(shí)時(shí)通信。

3.2 完整的在線自檢和雙通道故障管理技術(shù)

依據(jù)歐洲鐵路安全標(biāo)準(zhǔn)，系統(tǒng)需要在啟動(dòng)自檢和正常工作中，對(duì)系統(tǒng)部件和功能進(jìn)行實(shí)時(shí)的在線自檢，包括電源、時(shí)鐘、溫度、CPU 和 RAM 等。故障管理采用了分散自律的故障管理策略，各安全單元擁有獨(dú)立的故障管理模塊，該故障管理模塊由完全差異化的故障報(bào)警通道和輸出控制機(jī)制組成，可以檢測(cè)模塊范圍內(nèi)的安全隱患，以最短安全反應(yīng)時(shí)間使系統(tǒng)導(dǎo)向安全側(cè)，雙通道差異化運(yùn)行監(jiān)控和故障管理技術(shù)原理，如圖4 所示。上述完善的在線自檢及故障管理均采用了自主專(zhuān)利技術(shù)并成功應(yīng)用于工程項(xiàng)目。

圖4 雙通道差異化運(yùn)行監(jiān)控和故障管理技術(shù)原理

3.3 基于可靠通信的雙系切換技術(shù)

傳統(tǒng)的軌旁系統(tǒng)通常采用繼電器電路實(shí)現(xiàn)雙系切換，帶來(lái)的問(wèn)題是切換時(shí)間長(zhǎng)，切換繼電器電路也會(huì)占用一定的設(shè)備空間，不利于軌旁系統(tǒng)的小型化和全電子化。該平臺(tái)采用基于可靠通信的雙系切換技術(shù)，可以有效滿(mǎn)足該需求。為防止雙系斷通信引起“雙主”問(wèn)題，2 乘2 取2 的雙系除了以太網(wǎng)通信外，還需要增加2 條點(diǎn)對(duì)點(diǎn)高可靠性冗余通信鏈路，具體實(shí)現(xiàn)可以通過(guò)背板總線等多種方式。通過(guò)雙系之間的高速通信，可以更加高效地實(shí)現(xiàn)雙系搶主和主備切換邏輯。

4 結(jié)束語(yǔ)

本文介紹的安全計(jì)算機(jī)平臺(tái)以滿(mǎn)足城市軌道交通對(duì)于軌旁安全計(jì)算機(jī)平臺(tái)的通用技術(shù)需求為目標(biāo)。目前，該平臺(tái)已經(jīng)通過(guò)獨(dú)立第三方SIL4 等級(jí)安全認(rèn)證，并成功應(yīng)用于上海浦東機(jī)場(chǎng)捷運(yùn)項(xiàng)目的聯(lián)鎖和區(qū)域控制器子系統(tǒng)，蘇州、武漢等有軌電車(chē)項(xiàng)目的道岔控制器子系統(tǒng)，青島TACS 國(guó)家示范工程項(xiàng)目的目標(biāo)控制器子系統(tǒng)等。實(shí)際運(yùn)行情況表明，該平臺(tái)完全符合安全性、可靠性和多種信號(hào)系統(tǒng)通用性的技術(shù)要求。該平臺(tái)將通過(guò)適當(dāng)?shù)臄U(kuò)展和完善，形成在市域、城際等信號(hào)控制領(lǐng)域更廣泛的應(yīng)用。