聯(lián)鎖系統(tǒng)原理淺析

作者 |劉艷青 上海控安安全測評中心安全測評部測試經(jīng)理

版塊 |鑒源論壇 · 觀通

01聯(lián)鎖系統(tǒng)的硬件結(jié)構(gòu)

根據(jù)聯(lián)鎖系統(tǒng)的層級關(guān)系，聯(lián)鎖系統(tǒng)的硬件層級可以分為4層：人機會話層、聯(lián)鎖層、接口層、室外設(shè)備層。

圖1 聯(lián)鎖系統(tǒng)的硬件結(jié)構(gòu)

02聯(lián)鎖系統(tǒng)的軟件結(jié)構(gòu)

聯(lián)鎖系統(tǒng)的軟件大體分為3部分：操作員臺軟件、聯(lián)鎖軟件、診斷維護軟件。

·操作員臺軟件功能：控制命令發(fā)送與處理；站場信息顯示和信號設(shè)備狀態(tài)顯示；操作命令提示；報警；與TDCS/ CTC、軌交ATS系統(tǒng)等接口。

·計算機聯(lián)鎖軟件功能：輸入輸出控制；排路任務(wù)調(diào)度；聯(lián)鎖BOOL運算；安全命令判斷管理；與TCC等其它系統(tǒng)通信。

·診斷維護軟件功能：系統(tǒng)診斷和維護；操作命令與信號設(shè)備顯示日志記錄；故障顯示和報警信息日志記錄；與監(jiān)測系統(tǒng)通信；回放等功能。

2.1 聯(lián)鎖軟件中的任務(wù)調(diào)度功能

通過I/O模塊進行安全采集可以讀取到輸入板的碼位狀態(tài)信息；

根據(jù)聯(lián)鎖設(shè)計的電路邏輯，進行聯(lián)鎖BOOL邏輯運算處理；

通過I/O模塊進行安全輸出，發(fā)送控制命令控制輸出板；

通過非安全通信，可以完成與其他系統(tǒng)的交互進行非安全通信的相關(guān)任務(wù)，如：診斷維護系統(tǒng)、其它聯(lián)鎖機、操作員臺或模擬仿真測試系統(tǒng)；

通過安全通信，完成和備機/系聯(lián)鎖機進行主備系同步比較信息的安全通信的任務(wù)；

通道優(yōu)先完成當(dāng)前通道的運算，其次，再進行比較兩個通道。

2.2 聯(lián)鎖軟件中的安全管理功能

主任務(wù)可以產(chǎn)生安全檢查相關(guān)信息，向安全檢查模塊發(fā)送檢查結(jié)果。

緩沖區(qū)的數(shù)據(jù)實時進行更新，用以校驗刷新的實際結(jié)果。

嚴格檢查所有輸出板，安全診斷所有輸出端口，保證安全輸出。

安全控制系統(tǒng)明確嚴格要求，既要進行獨立于邏輯運算，也要獨立于安全監(jiān)督等相關(guān)功能。

2.3 聯(lián)鎖軟件中的冗余管理

2.3.1 采集共享功能

各聯(lián)鎖機獨立對同一個采集信息進行獨立采集。

獨立采集之后，根據(jù)設(shè)計需要，通過安全通信通道，互相傳遞各自采集到的信息，進而有條件的實現(xiàn)共享采集信息。

單套系統(tǒng)采集受到干擾，或者信息中斷，都會對系統(tǒng)造成影響，冗余管理就可以有效的避免此種情況。

采集信息共享的前提是系統(tǒng)實時安全采集以及實時安全通信。

2.3.2 并行輸出功能

各聯(lián)鎖機獨立進行聯(lián)鎖運算。

備機與主機并行進行運算，結(jié)果相同時，當(dāng)備機具備條件時，也會輸出。并行輸出有效地避免了單套系統(tǒng)因故障，導(dǎo)致空輸出，或者通道斷線不能及時輸出。

并行輸出前提也是系統(tǒng)實時安全采集以及實時安全通信。

并行輸出的前提是，主備雙機和繼電器之間的連接正確、輸出線極性正確，不能接反，否則極性相消，輸出為空。

圖2 冗余管理-并行輸出

03聯(lián)鎖系統(tǒng)的冗余技術(shù)

為了提高聯(lián)鎖系統(tǒng)的安全性，計算機聯(lián)鎖系統(tǒng)和其他安全系統(tǒng)一樣，有效地利用了冗余結(jié)構(gòu)。

最開始采用主備雙機熱備，雙機熱備的冗余系統(tǒng)，很大程度上提高了可靠性和安全性。

與此同時，也采用過三取二系統(tǒng)，3個機器的運算結(jié)果各自對比，給出最終結(jié)果，這樣，錯誤輸出的可能性就大大降低了。與此同時也會暴露出三取二的缺點，顧名思義，三取二要求三個機器同時工作，所以就不能有任何一個故障、停機或者進行設(shè)備檢修。一旦其中一個停止，整個三取二的系統(tǒng)就宕機不能正常工作。

為了解決三取二的缺點，又推出二乘二取二的設(shè)備系統(tǒng)，兩個運算CPU組成一個主機系統(tǒng)工作狀態(tài)，另兩個備機CPU處于熱備狀態(tài)，這樣，不僅滿足提高了聯(lián)鎖系統(tǒng)的安全性，而且方便進行停機檢修。二乘二取二的冗余熱備系統(tǒng)，是目前主要冗余系統(tǒng)應(yīng)用方式。

3.1 雙機熱備的冗余結(jié)構(gòu)

作為聯(lián)鎖主機的聯(lián)鎖機采集收入，執(zhí)行聯(lián)鎖運算，控制驅(qū)動輸出；

作為聯(lián)鎖備機的聯(lián)鎖機，同時進行采集輸入，執(zhí)行聯(lián)鎖邏輯運算，但不會驅(qū)動輸出。兩套聯(lián)鎖機相互作為主備機；其中一套宕機時，另外一套聯(lián)鎖機自動切換成為主機，繼續(xù)執(zhí)行工作，宕機的作為備機工作。

聯(lián)鎖機之間可以自動切換，也可以人為控制，手動切換主備機。

聯(lián)鎖系統(tǒng)雙機熱備和操作員臺的連接是沒關(guān)系的，操作員臺可以雙機連接，單機或者更多N+1熱備的操作員機，都可以進行連接通信。

圖3 雙機熱備冗余結(jié)構(gòu)示意圖

3.2 二乘二取二的冗余結(jié)構(gòu)

每套聯(lián)鎖機有兩個通道執(zhí)行聯(lián)鎖任務(wù)；

通道之間互相獨立，且選用不同的硬件和軟件分別執(zhí)行聯(lián)鎖運算；

兩個通道的運算結(jié)果經(jīng)對比，結(jié)果完全無差別才產(chǎn)生輸出，否則不輸出。

因此，兩個通道有且同時產(chǎn)生同樣的錯誤結(jié)果，才會產(chǎn)生錯誤輸出，這種概率很小，安全性的系統(tǒng)才得以保證。

同樣，聯(lián)鎖系統(tǒng)雙機熱備和操作員臺的連接是沒關(guān)系的，操作員臺可以雙機連接，單機或者更多N+1熱備的操作員機，都可以進行連接通信。

圖4 二乘二取二冗余結(jié)構(gòu)示意圖

3.3 三取二的冗余結(jié)構(gòu)

三取二中的三套聯(lián)鎖機同時獨立執(zhí)行各自聯(lián)鎖任務(wù)；

聯(lián)鎖機獨立處理邏輯運算，兩兩相比較，運算結(jié)果對比后完全相同時，才會產(chǎn)生正確輸出。

因此，當(dāng)三個聯(lián)鎖機同時出錯，才產(chǎn)生危險輸出，這種概率也極小。

三取二的弊端是，同步信息的運算的要求很高，輸出不同步，即不能產(chǎn)生有效輸出。

聯(lián)鎖機和操作員臺雙機連接互相獨立，互不影響。

圖5 三取二冗余結(jié)構(gòu)示意圖

04聯(lián)鎖系統(tǒng)的仿真技術(shù)

聯(lián)鎖系統(tǒng)具備仿真測試功能，在經(jīng)過嚴格的人工判斷及手動設(shè)置，才會轉(zhuǎn)入仿真測試系統(tǒng)；不會自動轉(zhuǎn)為仿真測試狀態(tài)，當(dāng)前已轉(zhuǎn)為仿真測試狀態(tài)，不會自動轉(zhuǎn)變狀態(tài)，從而不會把仿真狀態(tài)的數(shù)據(jù)計算結(jié)果輸出給實際使用的設(shè)備，從而導(dǎo)致錯誤輸出。

4.1 聯(lián)鎖仿真機的轉(zhuǎn)換

聯(lián)鎖機設(shè)置為仿真測試狀態(tài)，需要嚴格按照如下步驟執(zhí)行：

（1）關(guān)閉聯(lián)鎖B機（B機轉(zhuǎn)為仿真測試機），板卡中具備仿真功能模塊；

（2）手動將切換模塊用鑰匙從“自動”位置檔位切到 “聯(lián)鎖A機”；

（3）重新上電聯(lián)鎖B機；

（4）作為仿真機相連的MMI切換為“仿真測試狀態(tài)”。

4.2 聯(lián)鎖系統(tǒng)中的MMI功能

操作員在MMI界面上，通過操控按鈕發(fā)送控制命令，接收現(xiàn)場繼電器采集信息，直觀在MMI界面上顯示現(xiàn)場設(shè)備狀態(tài)；

網(wǎng)絡(luò)交換實現(xiàn)MMI主備機之間，以及與其他系統(tǒng)之間交換信息；

敵對進路的判斷、表示等非安全聯(lián)鎖邏輯顯示功能； 數(shù)字式道岔動作電流顯示；

聯(lián)鎖系統(tǒng)和TDCS系統(tǒng)、CTC系統(tǒng)交互信息在MMI上，是通過串口接口連接；

表示燈、報警燈顯示以及其他特殊要求的顯示功能；

上電解鎖功能通過人工按壓“上電解鎖”按鈕操作實現(xiàn)；

非常站控和CTC之間模式轉(zhuǎn)化也在MMI界面進行控制權(quán)的申請和轉(zhuǎn)讓；

MMI界面提供工具條，人工可以進行按鈕操作，實現(xiàn)進路的建立、進路總?cè)∠?、列車信號和調(diào)車信號的重開、對于咽喉分區(qū)的引導(dǎo)總鎖、列車信號對應(yīng)的引導(dǎo)按鈕、進路非正常解鎖的總?cè)私狻Σ荒苷＝怄i的區(qū)段區(qū)故解、道岔定位轉(zhuǎn)換操作、道岔反位轉(zhuǎn)換操作、單個道岔的鎖閉操作、單個道岔的解鎖、按鈕的封鎖、以及其他功能按鈕的操作；

閉塞、溜放、非進路等功能辦理；

輔助功能：文字顯示、車次窗、分路不良確認。

05聯(lián)鎖系統(tǒng)與其他系統(tǒng)接口

圖6 聯(lián)鎖和其他系統(tǒng)網(wǎng)絡(luò)連接

聯(lián)鎖系統(tǒng)與TDCS/CTC系統(tǒng)的接口是上位機和CTC系統(tǒng)中LiRC通過RS-422標(biāo)準(zhǔn)串行雙通道交叉互聯(lián)。

聯(lián)鎖系統(tǒng)向TDCS/CTC的發(fā)送站場表示信息以顯示設(shè)備狀態(tài)，TDCS/CTC向聯(lián)鎖系統(tǒng)發(fā)送控制命令信息以進行排路等指令操作。

圖7 聯(lián)鎖和TDCS/CTC系統(tǒng)串口連接

06總結(jié)

本文只對聯(lián)鎖的硬件、軟件結(jié)構(gòu)、冗余技術(shù)和仿真技術(shù)做了介紹，聯(lián)鎖系統(tǒng)作為整個信號系統(tǒng)的核心系統(tǒng)，技術(shù)條件中對聯(lián)鎖系統(tǒng)要求很多，如故障-安全原則、軟件的安全性劃分等級有5級，EN50128和EN50129中有定義規(guī)定為SIL4級。聯(lián)鎖系統(tǒng)和其他系統(tǒng)的接口應(yīng)當(dāng)遵守規(guī)定的協(xié)議。

參考文獻：

[1] TBT_3027-2011計算機聯(lián)鎖技術(shù)條件(修改版)

[2] 計算機聯(lián)鎖系統(tǒng)介紹_v0.0.1

審核編輯黃宇