李興宏 龍煤集團(tuán)雙鴨山分公司

鐵路信號領(lǐng)域?qū)儆谏婕鞍踩念I(lǐng)域，所用設(shè)備必須具備高安全性和高可靠性，并且具備故障-安全能力，即在設(shè)備故障情況下自動引導(dǎo)列車安全運(yùn)行或停車?，F(xiàn)用信號控制系統(tǒng)中執(zhí)行層電路均采用重力型安全繼電器組合驅(qū)動室外設(shè)備。重力型安全繼電器在系統(tǒng)故障情況下，依靠重力落下，自動導(dǎo)向安全側(cè)。隨著機(jī)車運(yùn)行速度和行車密度的不斷提高，此種制式的控制電路已難以滿足鐵路發(fā)展的要求。作為鐵路信號控制系統(tǒng)的發(fā)展方向，執(zhí)行層電路已經(jīng)向電子化、智能化、網(wǎng)絡(luò)化方向邁進(jìn)。但是，電子器件自身不具備類似重力型安全繼電器所具有的安全屬性，即器件故障后沒有固定的輸出狀態(tài)，無法通過器件自身屬性實(shí)現(xiàn)故障-安全。隨著安全性理論的不斷完善，通過容錯和避錯手段確保系統(tǒng)運(yùn)行的安全性和可靠性已成為可能。本文從安全技術(shù)的應(yīng)用角度，論述計(jì)算機(jī)聯(lián)鎖全電子模塊硬件的安全性、可靠性措施。

1 安全技術(shù)概述

鐵路信號控制系統(tǒng)當(dāng)中使用的安全技術(shù)主要指避錯技術(shù)和容錯技術(shù)。避錯技術(shù)是通過采用高可靠性的器件、質(zhì)量控制手段以及環(huán)境保護(hù)措施，防止和減少故障的發(fā)生，并延長系統(tǒng)的使用壽命。但是這種方式不能保證系統(tǒng)絕對的可靠, 因?yàn)槠骷目煽啃允怯邢薅鹊? 需要使用容錯技術(shù)進(jìn)一步提高系統(tǒng)的可靠性。

容錯即容許錯誤，承認(rèn)故障是不可避免的事實(shí)，從而通過資源冗余的方式消除故障影響。當(dāng)設(shè)備中一個或多個關(guān)鍵部分發(fā)生故障時(shí)，系統(tǒng)通過實(shí)時(shí)檢測與診斷及時(shí)發(fā)現(xiàn)故障點(diǎn)，并采取相應(yīng)的措施，使設(shè)備維持其規(guī)定功能，或通過犧牲性能的方式保證設(shè)備在可接受的范圍內(nèi)繼續(xù)工作。容錯的方法有四種：硬件冗余、軟件冗余、信息冗余和時(shí)間冗余。

常規(guī)的冗余結(jié)構(gòu)有以下幾種：

（1）安全性冗余結(jié)構(gòu)（見圖1）

圖1 安全性冗余結(jié)構(gòu)圖

（2）可靠性冗余結(jié)構(gòu)（見圖2）

圖2 可靠性冗余結(jié)構(gòu)圖

（3）系統(tǒng)的可靠性與安全性冗余結(jié)構(gòu)（圖3）

圖3 可靠性與安全性冗余結(jié)構(gòu)圖

2 全電子模塊硬件冗錯設(shè)計(jì)

2.1 全電子模塊電路結(jié)構(gòu)容錯方法

電路分為執(zhí)行電路、邏輯防護(hù)電路和監(jiān)測電路三大部分。執(zhí)行電路和監(jiān)測電路之間按照電氣隔離處理，采用隔離光耦組合編碼交換數(shù)據(jù)。執(zhí)行電路整體結(jié)構(gòu)按照“二取二”冗余配置，處理器、電子開關(guān)、測量反饋通道均按照安全性冗余結(jié)構(gòu)；在執(zhí)行電路設(shè)置前級條件電源防護(hù)繼電器，選用安全型彈力繼電器，用于避免器件共模故障，實(shí)現(xiàn)模塊故障時(shí)切斷條件電源；設(shè)置獨(dú)立于執(zhí)行電路的純硬件邏輯保護(hù)單元，實(shí)現(xiàn)對處理器健康狀態(tài)的實(shí)時(shí)監(jiān)控。結(jié)構(gòu)如圖4 所示。

圖4 電路結(jié)構(gòu)圖

按照獨(dú)立性原則，電路以單個處理器為核心，通過冗余配置通信通道、電子開關(guān)、采集通道和反饋通道，實(shí)現(xiàn)了獨(dú)立的閉環(huán)控制結(jié)構(gòu)。兩個控制環(huán)作為功能相同的整體，通過器件串聯(lián)的方式構(gòu)成安全邏輯結(jié)構(gòu)中的邏輯“與”表決器，僅在兩個模塊的輸出一致時(shí)，輸出內(nèi)容有效，確保動作的安全性。

安全設(shè)計(jì)中需要注意的一個原則：對于單個故障，系統(tǒng)必須及時(shí)檢測并強(qiáng)制導(dǎo)向安全側(cè)；對復(fù)合故障的檢測和恢復(fù)，需要滿足系統(tǒng)設(shè)計(jì)規(guī)定的發(fā)生概率要求，概率越低越好。

因此，需要最大程度的縮短第一次故障的檢測及導(dǎo)向安全側(cè)時(shí)間，以減少第二次故障發(fā)生的概率。鑒此，對于參加表決的雙套電路來說，需要具備各自的快速故障檢測機(jī)制和強(qiáng)制性的安全側(cè)導(dǎo)向機(jī)制。

2.2 器件容錯方法

電子模塊中用到的電子器件主要有：無源元件、有源元件、模擬集成電路、數(shù)字電路和電源。

每種電子器件故障后其表現(xiàn)形式各異，但共同點(diǎn)是其故障狀態(tài)不固定，自身不具備固有的故障-安全屬性。因此，對于重要的檢測信息，不能以器件的固定狀態(tài)為判據(jù)，則應(yīng)以動態(tài)脈沖的形式作為反饋方式，使獨(dú)立的硬件原子功能模塊具備故障-安全屬性。必須做到當(dāng)組成電路功能單元的關(guān)鍵器件處于任何故障狀態(tài)下時(shí)，該功能單元輸出為故障狀態(tài)，使整個模塊進(jìn)行故障-安全轉(zhuǎn)換。

智能處理器的故障-安全處理主要針對處理器的異常運(yùn)行工作狀態(tài)檢查，以及處理器故障后I/O 腳輸出不確定電平信號等問題的處理。對于運(yùn)行工作狀態(tài)的檢查只能通過看門狗電路進(jìn)行恢復(fù)。但是現(xiàn)有的看門狗芯片故障監(jiān)測時(shí)間過長，因此除了使用看門狗芯片之外，還需要設(shè)置第三方獨(dú)立的快速故障復(fù)位處理功能。

目前在邏輯防護(hù)單元中設(shè)置了此項(xiàng)功能，實(shí)時(shí)監(jiān)控處理器的工作健康狀態(tài)，監(jiān)測到異常后復(fù)位執(zhí)行處理器，并向監(jiān)測報(bào)告該故障。

對于處理器故障后I/O 腳電平輸出不確定的問題，采用動態(tài)信號輸出的方法規(guī)避故障信號和有效信號的判斷二義性，把有無脈沖作為處理器故障自身固有的安全屬性，無脈沖即可認(rèn)為是安全側(cè)，此時(shí)，模塊強(qiáng)制進(jìn)入安全側(cè)。

并非所有的信號輸出均要采用動態(tài)脈沖輸出的方法。主要對涉及安全控制以及看門狗監(jiān)測電路等部分電路功能進(jìn)行動靜轉(zhuǎn)換。

圖5 為5 V 電平的動靜轉(zhuǎn)化電路，將1 kHz 的脈沖信號轉(zhuǎn)化成5 V 電平輸出。

圖5 5 V 電平信號

2.3 反饋信號容錯方法

處理器對接收到的硬件反饋信號需要進(jìn)行三個周期的容錯處理，以避免干擾信號造成的誤動作。在直接控制防護(hù)繼電器動作的邏輯防護(hù)單元內(nèi)部，對接收到的反饋信號同樣進(jìn)行硬件反饋信號的防抖動處理，避免干擾信號導(dǎo)致的模塊誤動作，提高可靠性。對于某些緊急故障反饋信號，通過硬件級反饋直接送到邏輯防護(hù)單元，先于處理器進(jìn)行故障-安全處理。

2.4 電流、電壓可信測量容錯方法

模塊中對參與聯(lián)鎖判斷的信息測量均采用動態(tài)脈沖的判斷形式。旨在解決因電子器件固定輸出時(shí)造成的有效信號判斷和故障信號判斷的二義性問題。

全電子模塊的功能實(shí)現(xiàn)都基于采集到的電信號，確保所采集或反饋的信號真實(shí)可信是最基本也是最重要的前提，從而杜絕了因器件故障造成的狀態(tài)誤判斷、誤動作和誤保護(hù)，確保安全性和可靠性。

對于可信測量模塊，在選擇器件時(shí)需要著重考慮器件在具體應(yīng)用環(huán)境下自身固有的安全屬性。對于電流測量，選擇電流傳感器時(shí)，應(yīng)選擇無源電流互感器。當(dāng)線路沒有電流時(shí)，互感器不會有電信號輸出，因?yàn)榛ジ衅鳛殡姶鸥袘?yīng)原理；當(dāng)線路有電流信號時(shí)，除非互感器線圈有斷線情況，否則互感器不可能產(chǎn)生沒有電信號輸出的現(xiàn)象，但互感器斷線情況在電路板調(diào)試過程中完全可以排除。當(dāng)互感器輸出電流信號之后，需要對該信號進(jìn)行調(diào)理和放大，此時(shí)應(yīng)該將電流信號調(diào)理成動態(tài)脈沖信號，建立電流強(qiáng)度和脈沖之間的變換關(guān)系。信號調(diào)理電路模塊需要做到在有器件故障的情況下產(chǎn)生固定的電信號輸出，作為故障判斷依據(jù)。

對于電壓測量而言，其關(guān)鍵采樣器件是采樣電阻。電阻存在斷路、短路、因器件老化和溫度引起的阻值變化問題。對于不同的應(yīng)用環(huán)境，需要針對以上問題采取有效的失效模式分析并提出預(yù)防措施。采樣電阻本身不具備固有的安全屬性，在選擇采樣電阻時(shí)，應(yīng)盡量選擇專用的性能良好的采樣電阻。信號調(diào)理電路模塊同樣需要做到在有器件故障的情況下產(chǎn)生固定的電信號輸出，作為故障判斷依據(jù)。

另外，對于需要確切知道電壓值和電流值的場合，采樣電路除了提供脈沖信號之外，還需要提供AD 值。只有在脈沖信號和AD 值同時(shí)有效的情況下，AD采樣值有效，否則視為無效，有必要時(shí)強(qiáng)制導(dǎo)向安全側(cè)。

可信測量原理圖如圖6 所示。

圖6 可信測量原理圖

3 結(jié)論

電子器件自身不具備故障-安全屬性，通過容錯技術(shù)的應(yīng)用，使鐵路信號全電子模塊具備了高安全性，在符合故障-安全的前提下到達(dá)了技術(shù)升級的目的，有效降低了電務(wù)維護(hù)人員的工作難度，達(dá)到了“傻瓜”式維護(hù)的效果。