在鐵路信號系統中,計算機得到越來越廣泛的應用,作爲組織列車行車管理和保證行車安全的鐵路信號系統,其自動化水平不斷提高,規模日益擴大,複雜性也迅速提高,因此,對系統的安全性和可靠性就提出了很高的要求。用計算機技術可以提高聯鎖系統的安全性和可靠性,並不是說計算機自身固有這些優點,而是說以計算機爲核心,綜合利用有關容錯技術可以達到這些目的。因此,計算機化的鐵路信號設備依據容錯計算技術,通過軟、硬件的容錯設計,可以非常有效地提高鐵路信號設備的可靠性,進而提高設備的安全性。!
容錯技術在鐵路信號系統中的應用容錯技術的實現方法主要是冗餘,所採取的主要手段就是投入更多的超常設計所需的資源、即外加資源,來換取更高的非常規設計所能達到的超高可靠性。外加資源是多種多樣的,概括起來有硬件冗餘、信息冗餘、時間冗餘和軟件冗餘,它們最終在計算機系統中體現爲硬件冗餘和軟件冗餘。各種冗餘要有機地相互配合使用才能達到超高可靠性目標。目前在計算機聯鎖領域常用的有三摸冗餘、雙機熱備。
(!)三模冗餘三模冗餘簡稱 ",圖 !所示爲三模冗餘系統的原理結構。#!、#3、#4 是三個相同的模塊,可以是三臺相同的計算機,也可以是三個相同的部件。三個模塊同時執行一樣的操作,其輸出送到“表決器”5 的輸入瑞,然後把 5 的輸出作爲系統輸出。三模冗餘的基本原理是:首先以承認“多數模塊的輸出是正確的”爲基本出發點,實行“少數服從多數”的糾錯原理,用三取二的多數判決作爲系統的正確輸出。在一般的使用中,只注意正確的輸出而並不關心各個模塊的誰對誰錯。在正常情況下,三個模塊同時給出三個相同的輸出,表決器輸出一個結果作爲三個模塊的正確輸出。如果任一模塊出錯,其輸出不同於其它兩個模塊,表決器仍然輸出正確結果。若兩個模塊同時錯成相同的狀態,表決器的輸出被誤認爲是正確的;若兩個模塊同時錯成不同的狀態,則此係統無法工作。這些情況的出現雖然是可能的,但概率非常低。三模表決系統可以明顯提高系統的可靠性,使行車更爲安全。不過,這一系統結構複雜,實現技術要求相當高,實現三重模塊的軟、硬件同步頗具難度,該系統目前均爲國外產品,價格昂貴。
(3)雙機熱備雙機熱備是動態冗餘中常用的一種,也叫待命儲備系統。其系統原理結構如圖 3 所示。它由(67!)個模塊、故障檢查器和切換開關組成。其中只有—個模塊%如 #!2 處於工作狀態而其餘 6個模塊%#3,#4,…#67!2處於待命接替狀態。通常將正在工作的模塊稱爲基本模塊,待命接替模塊稱爲儲備模塊。運行中當故障檢測器發現處於工作狀態的基本模塊發生故障後,立即通過切換開關切除故障模塊,代之以儲備模塊。如果接替工作的模塊接續後又發生故障,則再將其切除,用另一個儲備模塊來代替。如此“切除—替代”,一直進行到將 6個儲備模塊全部耗盡爲止。在實際的應用中,綜合考慮性能、經濟等因素,二模冗餘系統具有結構簡單、易於實現、糾錯率較高等許多優點,因此獲得了比較廣泛的應用。二模冗餘熱備方式的最大特點是雙模並行工作,具有快速切換和連續工作的特點,非常適合於鐵路信號設備對於控制連續性、瞬時控制能力的要求,因此,我們的系統在硬件結構上選定爲二模熱備,即所謂的雙機熱備。" 基於 #$%&’() 的容錯計算機聯鎖控制系統38! 系統結構圖該系統硬件結構圖如圖 4 所示。由圖可以看出,該系統從邏輯上可以分爲三層:人機會話、維修管理和通信接口層、聯鎖邏輯運算層、數據採集、命令驅動層。各部分的功能如下:(!)人機會話、維修管理和通信接口層人機會話機除主機外,還配有備機,採用熱備方式。雙機同鐵路信號計算機聯鎖控制系統容錯技術研究!鄭麗英 董 昱 李敬文 蘭州交通大學信息與電氣工程學院本文介紹了鐵路信號系統中常用的容錯技術及其原理,然後介紹了自行研製開發的基於 $"L’/-M 的容錯計算機聯鎖控制系統,並且詳細討論了系統的容錯技術實現方法。關鍵詞:鐵路信號,實時,計算機聯鎖,容錯,$"L’/-M圖 ! 三模冗餘原理圖在鐵路信號系統中,計算機得到越來越廣泛的應用,作爲組織列車行車管理和保證行車安全的鐵路信號系統,其自動化水平不斷提高,規模日益擴大,複雜性也迅速提高,因此,對系統的安全性和可靠性就提出了很高的要求。用計算機技術可以提高聯鎖系統的安全性和可靠性,並不是說計算機自身固有這些優點,而是說以計算機爲核心,綜合利用有關容錯技術可以達到這些目的。
因此,計算機化的鐵路信號設備依據容錯計算技術,通過軟、硬件的容錯設計,可以非常有效地提高鐵路信號設備的可靠性,進而提高設備的安全性。
! 容錯技術在鐵路信號系統中的應用容錯技術的實現方法主要是冗餘,所採取的主要手段就是投入更多的超常設計所需的資源、即外加資源,來換取更高的.非常規設計所能達到的超高可靠性。外加資源是多種多樣的,概括起來有硬件冗餘、信息冗餘、時間冗餘和軟件冗餘,它們最終在計算機系統中體現爲硬件冗餘和軟件冗餘。各種冗餘要有機地相互配合使用才能達到超高可靠性目標。目前在計算機聯鎖領域常用的有三摸冗餘、雙機熱備。(!)三模冗餘三模冗餘簡稱 "#$ %"&’()* #+,-).& $*,-/,./012,圖 !所示爲三模冗餘系統的原理結構。#!、#3、#4 是三個相同的模塊,可以是三臺相同的計算機,也可以是三個相同的部件。三個模塊同時執行一樣的操作,其輸出送到“表決器”5 的輸入瑞,然後把 5 的輸出作爲系統輸出。三模冗餘的基本原理是:首先以承認“多數模塊的輸出是正確的”爲基本出發點,實行“少數服從多數”的糾錯原理,用三取二的多數判決作爲系統的正確輸出。在一般的使用中,只注意正確的輸出而並不關心各個模塊的誰對誰錯。在正常情況下,三個模塊同時給出三個相同的輸出,表決器輸出一個結果作爲三個模塊的正確輸出。如果任一模塊出錯,其輸出不同於其它兩個模塊,表決器仍然輸出正確結果。
若兩個模塊同時錯成相同的狀態,表決器的輸出被誤認爲是正確的;若兩個模塊同時錯成不同的狀態,則此係統無法工作。這些情況的出現雖然是可能的,但概率非常低。三模表決系統可以明顯提高系統的可靠性,使行車更爲安全。不過,這一系統結構複雜,實現技術要求相當高,實現三重模塊的軟、硬件同步頗具難度,該系統目前均爲國外產品,價格昂貴。(3)雙機熱備雙機熱備是動態冗餘中常用的一種,也叫待命儲備系統。其系統原理結構如圖 3 所示。它由(67!)個模塊、故障檢查器和切換開關組成。其中只有—個模塊%如 #!2 處於工作狀態而其餘 6個模塊%#3,#4,…#67!2處於待命接替狀態。通常將正在工作的模塊稱爲基本模塊,待命接替模塊稱爲儲備模塊。運行中當故障檢測器發現處於工作狀態的基本模塊發生故障後,立即通過切換開關切除故障模塊,代之以儲備模塊。如果接替工作的模塊接續後又發生故障,則再將其切除,用另一個儲備模塊來代替。如此“切除—替代”,一直進行到將 6個儲備模塊全部耗盡爲止。
在實際的應用中,綜合考慮性能、經濟等因素,二模冗餘系統具有結構簡單、易於實現、糾錯率較高等許多優點,因此獲得了比較廣泛的應用。二模冗餘熱備方式的最大特點是雙模並行工作,具有快速切換和連續工作的特點,非常適合於鐵路信號設備對於控制連續性、瞬時控制能力的要求,因此,我們的系統在硬件結構上選定爲二模熱備,即所謂的雙機熱備。 " 基於的容錯計算機聯鎖控制系統38! 系統結構圖該系統硬件結構圖如圖 4 所示。由圖可以看出,該系統從邏輯上可以分爲三層:人機會話、維修管理和通信接口層、聯鎖邏輯運算層、數據採集、命令驅動層。各部分的功能如下:(!)人機會話、維修管理和通信接口層人機會話機除主機外,還配有備機,採用熱備方式。雙機同鐵路信號計算機聯鎖控制系統容錯技術研究!鄭麗英 董 昱 李敬文 蘭州交通大學信息與電氣工程學院(94::9:)本文介紹了鐵路信號系統中常用的容錯技術及其原理,然後介紹了自行研製開發的基於 $"L’/-M 的容錯計算機聯鎖控制系統,並且詳細討論了系統的容錯技術實現方法。關鍵詞:鐵路信號,實時,計算機聯鎖,容錯,圖 ! 三模冗餘原理圖!基金項目:甘肅省自然科學基金項目,編號 O6::4=P4Q=:3R=02圖 3 動態冗餘原理圖維修管理機它不向聯鎖機發送任何信息,僅通過車站控制局域網從人機會話機接受操作員的操作命令、聯鎖機的命令執行情況以及站場中各信號設備的表示信息,以便記錄值班員操作命令、站場變化信息、系統錯誤、與微機監測接口,同時實現記錄的存儲、打印、再現等功能,爲電務維修提供方便。
另外,本系統還在該機上配置了全站場室外信號設備狀態監視窗口,以方便操作員及時瞭解和維護。通訊前置機提供與車站綜合局域網、廣域網的通信接口,連接 )*) 系統、+,-. 系統、車次號輸入系統、旅客嚮導系統等輔助行車系統,此外,還包括聯鎖測試及其他與聯鎖相關功能的通信接口。(!)聯鎖邏輯運算層聯鎖邏輯運算層包括兩臺互爲熱備的聯鎖 /、0 機,負責接收人機會話機下達的聯鎖命令,根據從採集驅動層採集來的現場實時狀態數據進行聯鎖運算,同時將運算結果發送到採集驅動層和人機會話層。聯鎖邏輯運算層是計算機聯鎖控制系統的核心1其是否安全可靠將直接決定整個系統是否安全可靠。(()數據採集、命令驅動層採集驅動層負責執行人機會話機下發的控制命令,同時向人機會話機和維管機傳送現場信號設備的實時狀態。它由全電子化的無觸點電子模塊完成對現場信號設備數據的數據採集和驅動功能。
!2! 系統容錯機制該系統容錯機制表現在三個方面:硬件冗餘、軟件冗餘和智能自測。硬件冗餘:此係統可以看作是雙模容錯結構。因爲兩聯鎖機在硬件上說是雙模塊,並且考慮到鐵路信號系統的實時性,採用熱備份。聯鎖機、人機對話機和維管機之間用兩個集線器(340)相互連接,構成相互冗餘的兩個局域網。人機對話機和兩聯鎖機之間及兩聯鎖機之間都可以相互傳遞數據和控制信息,採用的通信協議是 *)56-5。採用局部網絡的方式,既可以保證相互通信的速率,又可以方便與外部網絡相連接(如 +-,. 系統)。考慮到局部網絡在網絡通信的過程中可能發生故障從而對整個系統容錯性能造成致命影響,因此採用了局部網絡冗餘結構,在人機對話機和兩聯鎖機上各配備了雙網絡接口板,用兩套網線進行連接,構成兩套局部網絡,這樣就保證了整個系統容錯功能的實現。軟件冗餘:聯鎖模塊採取雙份編碼,每份編碼所使用的編程語言和編程結構均不同,所使用的數據均來自物理地址完全不同的內存空間,仿作工作模式。
爲了減小故障潛伏期,在數據採集後和聯鎖運算結果輸出前由同步控制器和軟件比較器監控比較,實時地檢測故障,如圖 7 所示。兩個程序的相互同步採用8*9:;<= 0="">! 結果後(單機雙版本),最終結果一致的 ! 結果送往聯鎖執行主機進行比較,若一致,則再次向 , 機&人機交互機’發送確認命令,, 機接受確認信息後與命令動態表中的原始命令比較,如一致,則向聯鎖執行主機發送允許發送信號,由聯鎖執行主機把結果命令發送到命令驅動層。若不一致,則發重複運算信號給機,並修改本機動態結果數據表的響應標示位,/、0 機進行重複運算再進行比較,如果超過約定次數結果還不一致,則判斷 /、0 機可能發生故障,啓動 /、0機自檢程序進行故障測試,找出故障機,進行切換。切換的具體過程就是 , 機發允許信號 ?讓哪臺機器發送命令,可設置一全局變量 CDEFGHI<,每次比較成功後都要讀此變量,若爲 /,則 , 向 / 傳遞允許 / 發送運算結果命令,同時把 0 發送進程封住。這樣利用信號在網絡中的傳遞來控制切換,可以做到“無縫切換”,即幾乎沒有延遲。
圖 7 單機雙版本聯鎖程序的容錯機制智能自測:爲了進一步實現系統容錯功能,系統提供了自檢功能,可保證系統出現故障時,不用人工干預,可迅速定位、排除故障。自檢主要由守護進程進行控制,通過運行一個守護進程,週期性的進行系統自我檢查,及時發現系統故障;在出現問題時,可以產生中斷自檢,找出故障模塊,迅速切換,保證整個系統的正常運行。自檢由兩部分組成:!人機交互機(, 機)上的對 ,機的檢查程序———通過對系統配置文件的讀取來判斷自身工作是否正常;", 機和 /60 機上的通過套接字(JHDFKL)進行通信的檢測系統。
機按時通過套接字向 / 6 0 機發送聯鎖運算命令,根據/ 6 0 機返回狀態設定 / 6 0 哪臺是主機哪臺是從機,如果一臺聯鎖機出現問題,系統立刻切換到另一臺進行數據採集並重新啓動這臺機器,如果兩臺機器都出了問題,系統切換 340(等同切換新的工作網絡)。/60 通過運算進行自判斷並把結果返回 ,,而且寫入系統日誌文件便於今後查詢。出於系統的特殊要求,自檢系統具有以下特點:$)由於鐵路的特殊工作要求,故障必須及時解決,否則就會出現危及生命財產的事故,所以系統應具有良好的實時性和及時地發現故障處理故障的能力,聯鎖機實時地從配置文件中讀取 " 機發送的命令並隨時準備執行這些命令,一旦出現問題立刻切換聯鎖機並重啓故障機。#)出於安全性,健壯性的考慮,自檢系統進行檢查的對象應該是整個計算機聯鎖系統,包括人機交互界面,聯鎖機,信號採集,網絡傳輸還有系統的軟件包括自檢系統自身,更全面的檢測能讓系統工作的更穩定更安全。
$)智能,爲了使此係統的使用者能更方便更有效地使用,自檢系統要求一旦運行就完全自動控制,不用人工干預,守護進程很好的實現了自檢系統對整個系統的檢測和對自身對系統發生故障後的自動處理。! 結束語該計算機聯鎖控制系統從硬件、軟件方面採用多級混合容錯技術,從系統級、單機級、任務級、進程級、到程序塊級來考慮系統的容錯能力,保證系統具有較高的可靠度。由於鐵路計算機應用的飛速發展及其計算機網絡應用的普及,未來的聯鎖系統應該是高可靠、強容錯、網絡化、分佈式和高度可裁減的,本系統是朝着這個方向的一個嘗試。目前,該系統已通過實驗室測試,各項指標符合鐵道部規定的要求,即將投入現場實際使用