楊艷

摘 要：文章從城市軌道交通計(jì)算機(jī)聯(lián)鎖系統(tǒng)的層次結(jié)構(gòu)出發(fā)，分別闡述了系統(tǒng)的可靠性與安全性概念，對雙機(jī)熱備、二乘二取二和三取二3種冗余結(jié)構(gòu)從系統(tǒng)組成和功能等方面進(jìn)行分析和比較，從經(jīng)濟(jì)角度和系統(tǒng)性能角度簡述了城市軌道交通正線和車輛段/停車場等不同場合適合選擇的冗余結(jié)構(gòu)。

關(guān)鍵詞：可靠性與安全性;雙機(jī)熱備;二乘二取二;三取二

0 引言

從經(jīng)濟(jì)因素、歷史背景、聯(lián)鎖系統(tǒng)的控制規(guī)模、設(shè)備的技術(shù)層次等多方面來看，計(jì)算機(jī)聯(lián)鎖系統(tǒng)具有不同的體系結(jié)構(gòu)。從功能角度來看，計(jì)算機(jī)聯(lián)鎖系統(tǒng)需要完成現(xiàn)場設(shè)備監(jiān)控、人機(jī)會話、聯(lián)鎖邏輯運(yùn)算等多種任務(wù)，而這些任務(wù)如果僅由一臺計(jì)算機(jī)來做是很難完成且很費(fèi)時(shí)間的。按執(zhí)行功能的計(jì)算機(jī)數(shù)量可劃分為單模塊系統(tǒng)和多模塊系統(tǒng)。計(jì)算機(jī)聯(lián)鎖系統(tǒng)一般采用多模塊結(jié)構(gòu)，這種結(jié)構(gòu)的計(jì)算機(jī)之間聯(lián)系方式不同，并且每臺計(jì)算機(jī)的功能也有區(qū)別。根據(jù)功能的繁簡程度，將整個(gè)計(jì)算機(jī)聯(lián)鎖系統(tǒng)劃分成若干個(gè)相對獨(dú)立的由不同類型的計(jì)算機(jī)進(jìn)行處理的子模塊。

1 聯(lián)鎖系統(tǒng)的層次結(jié)構(gòu)

層次結(jié)構(gòu)就是按照聯(lián)鎖系統(tǒng)進(jìn)路的控制層次來描述的結(jié)構(gòu)。計(jì)算機(jī)聯(lián)鎖系統(tǒng)的層次結(jié)構(gòu)從上層至下層可以分為人機(jī)對話層、聯(lián)鎖層和控制層，層次結(jié)構(gòu)分為集中式控制和分散式控制。由同一臺計(jì)算機(jī)來完成系統(tǒng)每一層的功能稱為集中式控制結(jié)構(gòu);各層的功能分別由不同層次的計(jì)算機(jī)來處理稱為分散式控制結(jié)構(gòu)。分散式控制結(jié)構(gòu)的特點(diǎn)是將聯(lián)鎖系統(tǒng)的功能按照結(jié)構(gòu)層次劃分成許多獨(dú)立又有一定聯(lián)系的功能模塊，各功能模塊都由對應(yīng)的計(jì)算機(jī)來處理，從而使系統(tǒng)在計(jì)算機(jī)的配置上形成多種機(jī)器的分散式結(jié)構(gòu)[1]。

為了保證系統(tǒng)的可靠和滿足故障—安全要求，計(jì)算機(jī)聯(lián)鎖系統(tǒng)采用一種以通用計(jì)算機(jī)技術(shù)為基礎(chǔ)構(gòu)成的分散式控制結(jié)構(gòu)。然而，對當(dāng)前的工業(yè)控制計(jì)算機(jī)來說，其質(zhì)量水平還不能滿足聯(lián)鎖系統(tǒng)的高可靠性要求，更不具備故障—安全的要求。因此，從軟件和硬件角度出發(fā)，采取多重冗余技術(shù)組成聯(lián)鎖系統(tǒng)的各層模塊，以此確保整個(gè)系統(tǒng)的高可靠性和高安全性要求。

2 聯(lián)鎖系統(tǒng)的可靠性與安全性分析

計(jì)算機(jī)聯(lián)鎖系統(tǒng)采用多重冗余結(jié)構(gòu)的目的是通過增加相同性能的模塊來提高系統(tǒng)的可靠性和安全性。雖然從功能角度看，增加的模塊是多余的，但是從提高系統(tǒng)運(yùn)行的角度看，多冗余結(jié)構(gòu)是必需的。

系統(tǒng)或設(shè)備在規(guī)定的條件和規(guī)定的時(shí)間內(nèi)完成規(guī)定功能的能力稱為可靠性（Reliability），而計(jì)算機(jī)聯(lián)鎖系統(tǒng)的可靠性冗余結(jié)構(gòu)一般采用雙機(jī)熱備的二重系統(tǒng)，目的是達(dá)到可靠性指標(biāo)或者超過目標(biāo)值，是一種“或”的結(jié)構(gòu)[2]。

在系統(tǒng)出現(xiàn)故障并且失效的情況下會造成設(shè)備以及相關(guān)環(huán)境的損壞保持在一個(gè)可以接受范圍的概率稱為安全性（Security），而計(jì)算機(jī)聯(lián)鎖系統(tǒng)的安全性冗余結(jié)構(gòu)一般采用雙機(jī)并用且頻繁比較的二取二二重結(jié)構(gòu)，目的是使系統(tǒng)的安全性指標(biāo)達(dá)到或者超過目標(biāo)值，是一種“與”的結(jié)構(gòu)。

安全性與可靠性密切相關(guān)又有區(qū)別，兩者之間的區(qū)別在于目的性或者功能性不同?？煽啃灾饕潜M量保持系統(tǒng)在長時(shí)間的正常運(yùn)行中能連續(xù)使用不發(fā)生故障，安全性的主要目的是防止人身傷亡和財(cái)產(chǎn)損失。計(jì)算機(jī)聯(lián)鎖系統(tǒng)既要具備高可靠性又必須具備高安全性，因此經(jīng)常使用雙機(jī)熱備、二乘二取二和三取二3種冗余結(jié)構(gòu)。

3 聯(lián)鎖系統(tǒng)的冗余結(jié)構(gòu)

3.1 雙機(jī)熱備結(jié)構(gòu)

雙機(jī)熱備結(jié)構(gòu)是由兩個(gè)具有相同硬件結(jié)構(gòu)的能單獨(dú)完成同樣的規(guī)定功能的模塊組成。正常工作時(shí)，兩個(gè)模塊都上電工作并同時(shí)進(jìn)行數(shù)據(jù)采集處理，但是只有工作模塊的值經(jīng)切換單元輸出。兩個(gè)模塊在工作過程中進(jìn)行自檢，具有故障檢測功能。如果工作模塊發(fā)現(xiàn)自身問題時(shí)就給出一個(gè)控制信號，驅(qū)動切換模塊進(jìn)行切換并停機(jī)維修。如果備用模塊出現(xiàn)問題就自動停機(jī)，并對備用模塊進(jìn)行停機(jī)維修[3]。

一般采用比較法對雙機(jī)熱備結(jié)構(gòu)進(jìn)行故障檢測，要求雙機(jī)運(yùn)行必須同步，這樣才能準(zhǔn)確實(shí)現(xiàn)比較過程。同步指兩臺計(jì)算機(jī)在同一個(gè)時(shí)間間隔內(nèi)運(yùn)行相同的應(yīng)用程序，運(yùn)行的結(jié)果也要同時(shí)到達(dá)比較單元。同步的另外一種含義是在主機(jī)和備機(jī)兩者之間建立通信聯(lián)系，讓備機(jī)及時(shí)了解主機(jī)的控制驅(qū)動命令及進(jìn)路等運(yùn)行狀態(tài)，便于主機(jī)發(fā)生故障時(shí)可以立即終止輸出控制命令，備機(jī)能立即發(fā)動切換模塊接替輸出控制命令，可以防止出現(xiàn)突發(fā)性關(guān)閉信號影響行車作業(yè)安全。雙機(jī)熱備結(jié)構(gòu)的系統(tǒng)有TYJL-Ⅱ型、DS6-11型、JD-ⅠA型、MicroLokⅡ型等。

3.2 二乘二取二結(jié)構(gòu)

二乘二取二結(jié)構(gòu)由系統(tǒng)Ⅰ與系統(tǒng)Ⅱ組成，每個(gè)系統(tǒng)又由系統(tǒng)A和系統(tǒng)B構(gòu)成。在系統(tǒng)Ⅰ或系統(tǒng)Ⅱ上集成兩套嚴(yán)格同步實(shí)時(shí)比較的CPU，只有主備機(jī)運(yùn)行一致的情況下才對外輸出結(jié)果，這種結(jié)構(gòu)稱為“二取二”。用兩套完全相同的“二取二”子系統(tǒng)構(gòu)成雙機(jī)熱備結(jié)構(gòu)稱為“二乘”。系統(tǒng)Ⅰ與系統(tǒng)Ⅱ中有一個(gè)系統(tǒng)正常輸出就可以保障整個(gè)系統(tǒng)正常工作，因此提高了系統(tǒng)的可靠性。在任意一個(gè)由系統(tǒng)A和系統(tǒng)B構(gòu)成的子系統(tǒng)中，只有A和B兩個(gè)系統(tǒng)同時(shí)正常工作才能有輸出，因此提高系統(tǒng)的安全性。每一套子系統(tǒng)內(nèi)部具備安全性冗余結(jié)構(gòu)，兩套子系統(tǒng)具備可靠性冗余結(jié)構(gòu)，“二乘二取二”系統(tǒng)同時(shí)提高了系統(tǒng)的可靠性和安全性。

雙系熱備方式存在主用系和備用系的區(qū)別，只有主用系對外的輸出才被計(jì)算機(jī)采納，備用系只是用來校驗(yàn)雙系之間的同步。備用系雖然送出、輸出，但是輸入/輸出計(jì)算機(jī)不使用它的輸出。出現(xiàn)故障的主用系通過切換單元自動地倒向備用系，所以雙系之間采用熱備工作模式。輸入/輸出計(jì)算機(jī)都以并聯(lián)的方式連接到被驅(qū)動的繼電器上，他們同時(shí)工作同時(shí)產(chǎn)生輸出，對Ⅰ系和Ⅱ系計(jì)算機(jī)來說是雙系熱備，對輸入/輸出計(jì)算機(jī)來說均以二重系并聯(lián)方式運(yùn)行。

在二乘二取二系統(tǒng)中，主機(jī)采用兩個(gè)各執(zhí)行一套相同編碼的聯(lián)鎖程序的CPU，并對兩個(gè)CPU的操作進(jìn)行比較，以此來檢測故障。只有當(dāng)兩個(gè)CPU同時(shí)發(fā)生了相同的故障才有可能漏檢，但是發(fā)生這種可能性的概率很低，所以這種結(jié)構(gòu)也是安全的。二乘二取二結(jié)構(gòu)的系統(tǒng)有TYJL-ADX型、DS6-60型、DS6-K5B型、iLOCK型、EI32-JD型等。

3.3 三取二結(jié)構(gòu)

三取二結(jié)構(gòu)是由計(jì)算機(jī)、表決器、接口電路和故障檢測系統(tǒng)3臺構(gòu)造相同又相互獨(dú)立的設(shè)備組成，只要三套系統(tǒng)中的任何兩套的輸出是相同的，那么表決器就有正確的輸出。對于該結(jié)構(gòu)來講，如果三套結(jié)構(gòu)中的任意一套結(jié)構(gòu)發(fā)生了故障，整個(gè)結(jié)構(gòu)仍然能正常工作。該結(jié)構(gòu)相當(dāng)于屏蔽了一個(gè)已經(jīng)發(fā)生故障的系統(tǒng)，使它不影響整個(gè)系統(tǒng)的正常工作，是一種利用故障屏蔽技術(shù)構(gòu)成的系統(tǒng)。當(dāng)經(jīng)過比較發(fā)現(xiàn)結(jié)果不一致的時(shí)候，要及時(shí)確認(rèn)究竟是哪一臺設(shè)備出現(xiàn)了故障，需要及時(shí)地從系統(tǒng)中移除出現(xiàn)故障的設(shè)備。如果不及時(shí)地移除故障設(shè)備，當(dāng)兩臺未出現(xiàn)故障的設(shè)備中的一臺的故障模式和之前已經(jīng)出現(xiàn)故障的設(shè)備的模式相同時(shí)，就有可能將正確的結(jié)果當(dāng)成是錯(cuò)誤的，錯(cuò)誤的結(jié)果表決為正確的。從故障—安全的角度來看，該結(jié)構(gòu)的表決器對三套系統(tǒng)進(jìn)行兩兩比較，只有當(dāng)任何兩套系統(tǒng)出現(xiàn)相同的輸出信息并發(fā)生了一樣的故障時(shí)，表決器才沒有辦法檢測出這種情況的錯(cuò)誤信息。如果這種錯(cuò)誤輸出信息又恰好是危險(xiǎn)側(cè)信息，則會危及行車作業(yè)安全，這種故障稱為共模故障。

產(chǎn)生共模故障的主要原因是3個(gè)模塊的硬件和軟件在設(shè)計(jì)上完全相同，而且可能存在共同性的錯(cuò)誤就會導(dǎo)致相同錯(cuò)誤的輸出。避免共模故障的方法有兩種：一種是對主機(jī)的硬件和軟件采用不同的設(shè)計(jì)方法，這種方法需要更多的設(shè)計(jì)人員和多種硬件設(shè)備，不僅要花費(fèi)很大的代價(jià)用于設(shè)計(jì)，而且還會給維護(hù)和儲存?zhèn)浼聿槐?。二是采取同樣設(shè)計(jì)但確保不存在設(shè)計(jì)錯(cuò)誤，要能做到消除設(shè)計(jì)錯(cuò)誤，這種方法則是可取的。在三取二結(jié)構(gòu)中，只有兩個(gè)CPU同時(shí)發(fā)生了相同的故障才有可能產(chǎn)生危險(xiǎn)側(cè)輸出，但出現(xiàn)這種情況的概率很低，因此該結(jié)構(gòu)是安全的。三取二結(jié)構(gòu)的系統(tǒng)有TYJL-TR9型等。

對于上述3種冗余結(jié)構(gòu)來講，雙機(jī)熱備和二乘二取二結(jié)構(gòu)屬于動態(tài)冗余技術(shù)，是一種故障切換結(jié)構(gòu)。當(dāng)檢測到系統(tǒng)內(nèi)部發(fā)生故障時(shí)，通過系統(tǒng)內(nèi)部重組來切除和替換故障部件的技術(shù)稱為動態(tài)冗余技術(shù)。三取二結(jié)構(gòu)屬于靜態(tài)冗余技術(shù)，是一種故障屏蔽技術(shù)。利用冗余資源把故障產(chǎn)生的效應(yīng)遮蓋起來，使系統(tǒng)在故障發(fā)生后仍能持續(xù)工作的技術(shù)稱為故障屏蔽技術(shù)。故障屏蔽技術(shù)和動態(tài)冗余技術(shù)對待故障處理的方式不同，都屬于容錯(cuò)技術(shù)。

4 ? 結(jié)語

目前，城市軌道交通計(jì)算機(jī)聯(lián)鎖設(shè)備有國產(chǎn)和引進(jìn)兩種進(jìn)貨渠道，國產(chǎn)有TYJL系列、JD系列、DS系列和iLOCK系列等，引進(jìn)有USS公司、Siemens公司、Thales公司等生產(chǎn)的設(shè)備。不管是國產(chǎn)還是引進(jìn)，冗余結(jié)構(gòu)都是上述所講的3種結(jié)構(gòu)之一。3種冗余結(jié)構(gòu)各有優(yōu)缺點(diǎn)，在選用何種制式時(shí)，需要從多種角度來看。國產(chǎn)的計(jì)算機(jī)聯(lián)鎖設(shè)備已經(jīng)不再開發(fā)三取二和雙機(jī)熱備這兩種冗余結(jié)構(gòu)，現(xiàn)階段主要開發(fā)生產(chǎn)二乘二取二結(jié)構(gòu)，但是雙機(jī)熱備結(jié)構(gòu)的設(shè)備還在生產(chǎn)。二乘二取二結(jié)構(gòu)的安全性、可靠性和穩(wěn)定性要明顯高于雙機(jī)熱備結(jié)構(gòu)，但是價(jià)格明顯高于雙機(jī)熱備型。對于正線而言，一般采取二乘二取二結(jié)構(gòu)。對于車輛段/停車場來說，雙機(jī)熱備結(jié)構(gòu)就能夠滿足要求。

[參考文獻(xiàn)]

[1]林瑜筠.城市軌道交通聯(lián)鎖系統(tǒng)[M].北京：中國鐵道出版社，2013.

[2]林瑜筠.城市軌道交通聯(lián)鎖系統(tǒng)及其選用[J].鐵路通信信號工程技術(shù)，2016（6）：48-51.

[3]魏臻.計(jì)算機(jī)聯(lián)鎖系統(tǒng)二乘二取二結(jié)構(gòu)的可靠性與安全性分析[J].鐵道通信信號，2019（12）：1-5.

（編輯 王永超）