联锁系统介绍-ILOCK

卡斯柯信号有限公司iLOCK安全型计算机联锁系统介绍内容纲要iLOCK计算机联锁系统介绍iLOCK设计流程简介iLOCK的系统组成。iLOCK的系统特点。iLOCK计算机联锁系统介绍智能安全型计算机联锁系统—iLOCK，是在一般的“2取2”或者“双系热冗余”安全结构的基础上，再增加独立的“故障－安全”校验CPU，采用NISAL专利技术，构成的智能安全型计算机联锁系统。iLOCK系统由以下6个子系统组成联锁处理子系统（IPS）人机界面子系统（MMI）值班员台子系统（GPC）诊断维护子系统（SDM）冗余网络子系统（RNET）电源子系统（PWR）iLOCK系统组成iLOCK系统组成现场设备实例IPS子系统介绍IPS子系统硬件介绍IPS子系统软件介绍IPS子系统硬件VLE板VPS板I/OBE2板I/OBUS2板VIIB板VOOB板IPS子系统硬件安全逻辑运算板（VLE） VLE板是整个联锁处理子系统的核心，包括通过I/O选址读取输入/输出信息、进行联锁运算、与MMI、SDM、其它iLOCK系统通信等。对于大型联锁车站或有光通信的车站，为了缓解VLE板的通信压力，其中的安全通信由CPU/PD1板完成。VLE板通过总线与VPS板、CPU/PD1板通信。IPS子系统硬件安全校验板（VPS） VPS板是iLOCK系统的安全型监视机构，独立于VLE板面对系统进行全面的安全检查。它以一定的间隔接收到一组编码检查信息，如经检查这组信息正确，则输出一个安全型数字信号，这个信号通过一个安全型滤波器滤波并用于励磁一个安全型继电器VRD，用以证明系统自检正常。所有通向iLOCK系统的安全型输出的电源都经过该继电器VRD的前接点。当发现系统有错误时，VRD继电器立即失磁，然后这个安全型继电器将会切断iLOCK所有的安全型输出的电源。VRD继电器在VPS经过7个周期连续检查后，证明系统是正常时才能再度激励，以确保系统安全。IPS子系统硬件输入输出总线接口板（I/OBUS2） I/OBUS2板是VLE板和输入输出板交换信息的通道，I/OBUS2为输入板的测试数据和输出板的端口校验数据提供存储空间；同时它也包含逻辑和时序电路，以控制输出端口的连续校验。I/OBUS2板能与I/OBE2板交换信息，通过I/OBE2板实现差分驱动，驱动双断输出板。输入输出总线扩展板（I/OBE2） I/OBUS2板与I/OBE2板交换信息，通过I/OBE2板实现差分驱动，驱动双断输出板。IPS子系统硬件双采安全型输入板（VIIB） VIIB板为iLOCK系统的两个CPU分别采集提供相同的接口。每块VIIB板有16个输入端口，每个输入端口对应一个指示灯，当某端口有输入信号时，相应的指示灯点亮。安全型双断输出板（VOOB）

VLE板通过VOOB板产生输出信号，驱动接口设备，并且系统能实时检测VOOB板输出的正确性，输出与实际驱动的一致性。作为双断输出板，VOOB板为“2取2”系统的两个CPU分别提供正负电控制对象。每块VOOB板有8对输出，每对输出设一个正电输出和一个负电输出对应一个有效输出。每对输出端口设一个指示灯，当正电和负电输出同时有效时，相应的指示灯点亮。IPS子系统硬件IPS子系统软件IPS联锁处理子系统软件包括“系统软件”和“应用软件”两部分。系统软件包含IPS的主任务软件和仿真测试接口、系统诊断等辅助软件。这些软件是IPS的系统软件基础，不随具体应用环境和应用对象而改变，即除非选用不同系列的iLOCK系统，否则每个站的系统软件都是相同的。

应用软件是一套描述具体某个系统实际联锁逻辑功能的软件。应用软件由应用工程师在BOOL-CAD软件包支持下完成，以满足不同联锁车站的数据和联锁规则要求。应用软件必须经CAA软件包编译检查、生成iLOCK系统专用的应用数据（ADS）后才能被系统所接受执行。

系统芯片系统芯片应用芯片应用芯片MMI子系统MMI提供了iLOCK系统与用户之间的人机接口。MMI可采用彩色显示器或者控制台等作为计算机联锁系统的人机交互界面，用来供信号员通过鼠标等操作工具办理各种作业。

MMI工作于WIN2000或更高版本的WINDOWS多任务操作系统，对每个车站，采用N+1热备工作方式，使用高可靠的工业控制计算机，通过高速网口或串口与其它系统（子系统）交换信息。

MMI的功能操作员发送控制命令和接收现场表示信息

MMI之间、MMI与SDM子系统及仿真测试系统之间通过高速网络交换信息完成非安全联锁逻辑功能（如选路判断、表示等）

数字式道岔动作电流显示通过串口或网络提供iLOCK系统与TDCS系统交换信息的接口

用户所要求的其它表示与报警功能

MMI界面实例MMI界面实例GPC子系统较大车站（一般为25组道岔以上车站）根据用户需要设置值班员台（GPC）。GPC的显示界面与MMI完全相同，但是没有操作功能。SDM子系统SDM与微机监测站机构成二合一的微机监测与诊断维护子系统，主要完成系统维护及接口设备监测的功能。SDM由一台计算机、彩色显示器及激光打印机组成。SDM的功能如下：“电子向导式”的系统诊断：通过高速网络接收联锁处理子系统的诊断结果信息、输入/输出信息、全站简化参数信息、指定参数追踪信息。通过网络接收来自MMI和IPS的操作和表示信息，记录关键操作和表示。站场显示、历史回放。网络管理。通过MODEM实现远程诊断接入。通过CAN总线或串口接收微机监测机的监测信息。根据需要，SDM可以与不同的中央维修中心接口。SDM界面实例SDM接口示意图冗余网络子系统（RNET）iLOCK系统采用基于高速交换机的以太网冗余网络结构，进一步加强了网络系统的可靠性。通过网络通信的各子系统均安装有两块以太网接口卡，将其接入冗余网络，一条网络故障，各子系统可以自动通过另一条网络通信，并在SDM子系统中给出故障诊断信息，便于及时维护。

电源子系统(PWR)iLOCK系统采用了双UPS热备的冗余供电方式。来自电源屏的单相交流电经过二级电源防雷后输入在线式UPS，UPS输出净化220V交流电，经过电源柜配电端子排供给iLOCK各子系统。正常情况下，系统由主UPS供电，当主UPS出现故障时，电源切换电路自动切换至备用UPS，当2个UPS均不能正常工作时，电源切换电路自动切换至由电源屏直接供电。2个UPS之间也可通过切换按钮实现人工切换。电源切换不影响系统的正常工作。

电源子系统(PWR)iLOCK系统特点高安全性高可靠性接口电路简单维护手段全面易懂系统适用面广高安全性一、NISAL专利技术NISAL技术是卡斯柯公司从ALSTOM引进的通过国际权威机构认证的安全技术。iLOCK系统的联锁逻辑是由安全型逻辑组成的。它把传统的由继电器实现的联锁逻辑和控制逻辑“写”成一系列逻辑表达式，这些逻辑表达式的正确实施就是通过NISAL技术的联锁安全运算功能来保证的。NISAL技术是在基本逻辑（即联锁逻辑）以外运行的，提供了一种独立的安全校核。高安全性二、iLOCK系统的故障－安全设计

欧洲铁路标准EN50129，对铁路安全电子系统推荐了三种故障-安全型设备的体系结构：“反应故障-安全”：这种体系是由快速的故障检测和对任何危险失效进行避错来保证它的安全。“反应故障-安全”系统的控制和防护部分是完全独立的两部分硬件，而且这两个部分的硬件功能不同，软硬件也不同。

VLEVPS高安全性“组合故障-安全”：铁路信号计算机安全系统中常用的组合故障-安全系统结构模式有二取二、三取二等。使用这种技术时，每个安全性相关功能必须至少由两个部件同时执行，每个部件应当独立于其他的部件。只有当大多数部件一致时，才允许进行输出。

CPU1CPU2“固有故障-安全”：这种技术是在假定单个部件所有可信的失效模式均无危险的情况下，允许一个安全性功能由一个单独部件来执行。

iLOCK系统中的VPS板、VIIB板、VOOB板以及安全输出板中的AOCD元器件，均像安全型继电器一样具有“固有故障-安全”特性。

高安全性高安全性iLOCK系统综合运用了“反应故障-安全”、“组合故障-安全”和“固有故障-安全”技术。高安全性三、结构设计2取2结构双驱双采VPS校验

双通道二取二驱动采集

VLE板采用“2取2”结构，软件采用双CPU独立运算，两个CPU运算采用的数据互不相同。两个CPU分别进行一个通道的运算，只有运算结果相同时，才允许输出iLOCK系统的VOOB和VIIB板采用了双驱双采技术。由VLE板中的CPU1和CPU2分别控制VOOB板输出的KZ和KF电源，其中任一出错都将切断输出。VIIB板上的每一路采集，都由CPU1和CPU2独立采集参加运算，任一出错将导致采集失败高安全性VPS校验VPS实际上是IPS的动态安全监视器，它与VLE板一起，构成IPS的安全检查核心。VPS在精确的周期间隔内接收一组经编码的校验信息。当且仅当校验信息均正确时，VPS才能输出一个安全的数字信号作为“系统安全校验继电器”的励磁电源，这种电源只在每次系统安全校验通过后才能产生，并只能维持50ms，如下一个50ms安全校验周期有任何出错的报警，将立即切断供给各个输出端口的KZ-KF。系统的这种快速的“反应故障安全”机制，保证了即使输出端口有出错的可能性，VPS也能在该错误产生实际的效果之前，可靠切断IPS的安全输出电源，保证系统输出控制的安全。高安全性一、多重冗余技术

iLOCK系统采用N+1热备MMI、双系并行控制的IPS、双网通信、双UPS热备供电，采用逻辑上环网连接。另外，采用模块隔离技术，各子系统内部切换不影响其它子系统正常工作，即任何一个MMI、IPS、网络设备、或UPS