安全计算机技术在LKJ

安全计算机技术在LKJ-15型列车运行监控系统中的应用研究赵宏军【摘要】对影响系统安全性和可靠性的关键因素进行分析探讨，给出了二乘二取二和三取二安全计算机系统的基本架构，并对安全计算机平台所使用的关键技术进行说明.【期刊名称】《上海铁道科技》【年(卷)，期】2017(000)004【总页数】3页(P78-80)【关键词】安全计算机;故障安全技术;容错技术【作者】赵宏军【作者单位】上海铁路局电务处【正文语种】中文1引言安全计算机是在冗余(硬件冗余、时间冗余、信息冗余、软件冗余)的基础上，在软件的有效管理下而形成的高安全、高可靠、高可用的计算机系统。安全计算机控制系统被广泛的应用于安全苛求系统的控制，以避免计算机系统向被控设备输出危险侧的控制信号，从而造成重大的人员伤亡和财产损失。列车运行监控系统是控制列车运行和保障行车安全、提高运输效率的主要设备，其主要任务在于监督列车的运行速度、输出控制指令、实现列车的超速防护。这种安全性、可靠性要求很高的控制系统，必须要有高可靠、高安全的运行基础，因此，对安全计算机技术在车载设备的应用进行研究具有十分重要的意义。2影响系统安全性和可靠性的关键因素失效、故障、错误是影响系统可靠性和安全性的三个因素，失效是系统偏离其预期的设计要求或规定功能的现象，失效是不可避免的，所有系统都有固有的可以量化的失效概率。失效产生的根本原因为系统出现的功能性故障或技术性故障，功能性故障多为人为造成的，包括软件及硬件的设计缺陷，技术性故障又称物理故障或硬件故障，主要是由于系统内元件老化或外界环境影响，为随机性故障。故障的发生并不意味着一定会影响系统的正常工作，只有在故障组件被应用而激活时，才会在系统功能中表现出来，由于故障而产生的非正常行为或状态的现象称为错误，故障是错误的起因，错误是故障的产物和结果，错误传递至整个系统时系统失效，系统失效导致危险侧输出时，系统处于非安全状态。故障只有被激活后才会产生错误，为有效规避故障对系统的影响通常采用冗余技术，冗余技术是提高系统可靠性和安全性最常用的技术手段，是故障掩蔽技术和系统重组技术的核心，当系统某一组件故障时，冗余组件投入运用并承担故障组件的工作，以减少系统错误情况的发生，保证系统在规定的时间和规定的条件下完成规定的功能。双机热备冗余架构、三取二冗余架构、二乘二取二冗余架构等是通常采用的系统冗余架构。系统可靠性的提高只能减少失效的发生而不可能彻底消除失效现象。欧洲（EN）系列标准中将系统失效分为两类：安全失效和危险失效，安全失效会导致系统无法正常工作，但不会导致事故的发生，危险失效才是安全设计要考虑的首要对象，它可能会直接造成安全性事故的发生。根据安全度的计算公式，系统的安全度可以通过以下三个方面采取措施进行提高：（1）采用固有安全特性或故障安全型电路使其故障后自动导向安全侧以降低危险失效的比率。（2）通过选用高等级品质的元件或组件并正确的使用这些元件，合理规划系统的架构，提高系统的可靠性。（3）提高系统的检测（诊断）覆盖率，使故障能够以极高的概率被检测出来，并进入限制性的安全状态。3体系架构3.1三取二架构安全计算机基本描述三取二架构安全计算机是由三个独立的模块构成的三重冗余安全计算机系统，三个模块同步工作，独立完成数据采集、信息接收、故障检测、运算判断、命令输出的过程，最终三个模块的输出通过表决机构表决后作为系统的最终输出。三个模块只要不同时出现相同的错误，就能屏蔽掉故障模块的错误，保证系统正确的输出。由于三个模块是互相独立的，两个模块同时出现同样的错误是极小概率事件，故可以大大提高系统的可靠性。同时，为保障每个模块的可靠性，保证及时处理一次故障的影响，系统通过上电自检，周期性自检或在需要时对故障的检测，发现故障及时定位、及时处理，减少二次故障发生的概率。另外，对于关键性输出，采用故障安全型设计，确保系统的故障安全特性。三取二架构安全计算机的基本冗余结构如图1所示。图1三取二架构安全计算机冗余结构示意图输入信号分别通过三个独立的输入通道进入三套控制主机中的每套主机，每套主机对三路冗余的输入信号进行三取二表决，表决后的结果作为计算输入。对输入信息的表决将规避输入信息处理通道、控制主机的单点故障及其交叉故障。依据表决后的输入信息，每套主机分别计算，计算后的输出结果进行三取二表决，表决后的结果作为控制输出。对计算输出结果的表决将规避控制主机的单点故障和可能的软件缺陷。各控制主机将表决结果进行输出，三路控制输出最终由硬件进行三取二表决，表决结果作为系统的最终控制输出。3.2二乘二取二架构安全计算机基本描述二乘二取二安全计算机由两个独立的二取二架构计算机系统构成，两个系统互为冗余，每个系统上集成两个独立的模块，两个模块同步运行并进行实时比较，只有两个模块一致时才对外输出或传送运算结果，二取二架构可快速发现系统出现的故障并保证系统的安全输出导向。而二乘二取二架构综合了二取二和双机热备两种结构的优点，既包括了二取二的高安全性，又包括了双机热备的高可靠性。二乘二取二架构安全计算机的基本冗余结构如图2所示。图2二乘二取二架构安全计算机冗余结构示意图系统由相互独立的I系和II系组成，两系构成相同，互为冗余，当某系出现故障时，故障系退出控制，系统由正常系控制并持续运行，当双系均故障时，系统导向安全侧。系统中的每系由两套相互独立的处理模块组成，两个模块同时处理同一任务，并将结果进行相互比较，当比较结果一致时，认为两个模块均正常工作，结果正确可以输出。当比较结果不一致时，即认为两个模块中至少有一个出现错误。在这种情况下，即使只有一个模块出现错误，由于不能确定那一个模块的运算结果是正确的，因而必须同时放弃两套结果，并触发相应的安全反应。3.3三取二与二乘二取二冗余架构比较三取二安全计算机系统和二乘二取二安全计算机系统各有优劣，二取二架构采用的是主动冗余的方式，以检测错误为主要目的，虽然为双模结构，但在运行中所有的部件都是不可或缺的，两个模块执行相同的任务，输出结果进行比较验证，为提高系统的可靠性，实际使用过程中，采用双系统冗余的方式，即由两套二取二架构的安全计算机系统，组成热备冗余或并行运行的系统。三取二系统采用的是被动冗余的方式，它由三个模块执行相同的任务，可以屏蔽单点故障的发生，可进行故障定位并及时提示，有利于异常模块的快速修复。以二乘二取二架构安全计算机作为控制核心的系统，由于采用的是双套冗余的架构，维修方便、可以进行脱机测试，这是三取二安全计算机系统所不具备的，同时其安全性能也高于三取二安全计算机系统，在强调〃安全第一”的列控设备中获得了更广泛的应用并逐渐成为列控设备的主流架构。4关键技术4.1故障安全技术通常使用的故障安全技术包括组合-故障安全技术、反应故障-安全技术及固有故障-安全技术。组合-故障安全技术要求每种安全功能至少由两个部件完成，每个部件必须和其它部件保持独立，以避免共模故障，只有大多数部件一致时，才允许进行非限制性输出，当某个部件发生危险失效，必须在足够短的时间内被诊断或切除，以防止另一个部件出现相关联的失效，常见的组合-故障安全大多指冗余架构，例如二取二、三取二架构。反应-故障安全技术允许安全功能由一个部件完成，但需要通过危险失效的快速诊断和对失效进行避错处理来保证它的安全操作（例如通过编码、反复计算和多版本比较或通过连续的测试）。尽管只有一个部件完成安全功能，但相关的检测/监视/诊断/切除部分可以看作是第二部件，他们之间需要保持独立性以避免产生共模故障，也就是说控制和防护部分应该完全独立。固有故障-安全技术是在假定单个部件所有可信的失效模式均无危险的情况下，允许安全功能由一个单独部件来执行。固有故障-安全技术也可用在“组合故障-安全”和〃反应故障-安全”系统的某些功能中，例如用来确保部件之间的独立性或如果检测到一个危险失效时来强制停止运转。4.2容错技术容错技术是在容忍故障的前提下考虑解除故障影响的技术措施。根据对故障处理方式的不同，容错技术主要包括故障检测技术、故障屏蔽技术、冗余技术等。故障检测技术包含两个主要的类别，即脱机检测和联机检测，在脱机检测情况下，进行检测时设备不能进行正常的工作；而联机检测提供了实时检测能力，因为联机检测与正常的工作可同时执行。奇偶校验、冗余校验、一致性校验和协议检查是检测故障的常用手段。故障屏蔽技术是防止系统中的故障在该系统的信息结构中产生差错的各种措施的总称，其实质是在故障效应达到模块的输出以前，利用冗余资源将故障影响掩盖起来，达到容错的目的。依据故障屏蔽措施层级的不同，故障屏蔽技术分为元件级故障屏蔽技术、逻辑级故障屏蔽技术、模块级故障屏蔽技术和系统级故障屏蔽技术。冗余技术是容错技术的基础，采取的主要手段是投入更多的设计资源来换取更高的可靠性，冗余的方式主要包括：硬件冗余、软件冗余、信息冗余、时间冗余。依据不同的运营环境，四种冗余要有机的相互配合使用才能达到较高的可靠性指标。4.3同步技术二取二或三取二架构安全计算机均要求各模块同步运行，同步是安全计算机进行数据采集、运算处理、数据校核的基础。按照使用同步方式的不同，同步分为时钟同步（指令同步）和周期同步（任务同步）两种。时钟同步（指令同步）的实现方法通常将两套完全一样的CPU及其核心电路集成在同一电路板上，使用同一时钟并采用总线校核电路对CPU总线进行比较监督，时钟同步方式主要依靠硬件完成，包括双CPU的同步控制、数据校核、错误检出、故障导向等，对硬件有较高的要求。周期同步（任务同步）的实现方法通常为双CPU独立工作，软件通过CPU的同步控制接口和数据校核通道，在应用程序、任务或进程中设置检查点或同步表决点，通过通信协议实现CPU的同步校核，周期同步（任务同步）对软件有较高要求，软件的相关算法要有高度的安全性和可靠性。时钟同步的方式存在无法在两个CPU间实现相异算法的缺点，无法消除软件的共模故障。同时，随着硬件技术的发展，CPU芯片本身存在封闭缓存，时钟同步的方式对于高性能的CPU芯片几乎无能为力，硬件平台在硬件的更新换代时也受到了一定的限制。目前国内研发的二乘二取二系统多基于周期同步（任务同步）方式，通常将同步点设置在硬件层，而同步协议基于软件的方法，以达到容易设计制造和应用软件兼容性好的目的。5在LKJ列控设备中的应用为满足当前铁路运输安全的要求，按照铁总的统一安排，河南思维自动化设备股份有限公司、中车株洲电力机车研究所有限公司联合开展了LKJ-15型列车运行监控系统的研发工作，与既有LKJ相比，LKJ-15型列控设备主要技术特点如下：（1）使用安全计算机作为系统的控制核心，安全性和可靠性获得大幅提升。LKJ-15基于二乘二取二安全计算机平台，综合应用了故障安全技术、容错技术和安全数据通信技术，平台达到了国际铁路应用的安全计算机技术先进水平，并通过了独立第三方评估。（2）人机界面单元采用主备冗余架构，确保了人机界面单元的应急保障能力。人机界面单元核心控制、按键输入、供电、IC卡输入等部分均采用主备冗余架构，故障时可迅速在主备机间进行切换，确保单机故障不影响系统正常工作。（3）对LKJ外围设备进行了统一的整合，有利于设备的统一管理。LKJ-15设置独立的扩展单元实现相关的功能扩展，便于设备的统一安装、维护和管理。（4）支持车载计算机预存基础数据和应答器提供基础数据两种控车方式，满足列车在不同线路上的运营要求。LKJ-15增加了与应答器设备的通信接口，丰富了车地通信的手段，使系统的控制方式更加准确和灵活。依托更合理的数据结构和编制管理办法，确保数据的安全高效管理通过深入分析基础数据项的特征，LKJ-15超脱了LKJ2000虚拟数据交路的组织结构形式，实现了径路数据与线路设施、设备数据分离，满足