周 青

（北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100073）

組合式故障-安全架構(gòu)設(shè)計(jì)的應(yīng)用探討

周 青

（北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100073）

組合式故障-安全架構(gòu)設(shè)計(jì)在鐵路信號(hào)領(lǐng)域應(yīng)用廣泛，但由于缺乏理論的系統(tǒng)研究做指導(dǎo)，實(shí)際應(yīng)用時(shí)較為簡(jiǎn)單，不能完全符合歐標(biāo)EN50129的要求，這與目前鐵路信號(hào)涉安產(chǎn)品需要通過符合歐標(biāo)的安全認(rèn)證相沖突。為提高組合式故障-安全設(shè)計(jì)水平，通過對(duì)歐標(biāo)深入學(xué)習(xí)，并結(jié)合實(shí)際應(yīng)用，歸納該架構(gòu)設(shè)計(jì)的關(guān)鍵技術(shù)。

故障-安全；組合式故障-安全；2取2；關(guān)鍵技術(shù)

1 概述

故障-安全原則是鐵路信號(hào)領(lǐng)域國(guó)內(nèi)外均共同遵守的重要原則，它要求當(dāng)信號(hào)設(shè)備發(fā)生可能導(dǎo)致危險(xiǎn)的故障時(shí)應(yīng)導(dǎo)向安全狀態(tài)。

為實(shí)現(xiàn)故障-安全，一般通過以下一種或多種組合來實(shí)現(xiàn)，即組合式故障-安全、反應(yīng)式故障-安全和固有式故障-安全3種方式。3種方式的要求及應(yīng)用場(chǎng)合各有特點(diǎn)，對(duì)于電子設(shè)備普遍使用前兩種方式，對(duì)于輸出端的開環(huán)控制可以使用分立模擬器件組成的固有式故障-安全方式來保證安全。本文僅就組合式故障-安全架構(gòu)進(jìn)行探討。

組合式故障-安全架構(gòu)由多通道組成。目前，鐵路信號(hào)領(lǐng)域的電子設(shè)備廣泛使用“2取2”、“3取2”的組合式故障-安全架構(gòu)設(shè)計(jì)，以保證單點(diǎn)故障發(fā)生時(shí)系統(tǒng)不會(huì)導(dǎo)向危險(xiǎn)側(cè)。但實(shí)際應(yīng)用時(shí)較為簡(jiǎn)單，不能完全符合歐標(biāo)EN50129的要求，有的忽略了多個(gè)單元的獨(dú)立性要求，有的忽略了安全態(tài)的保持，這與目前鐵路信號(hào)涉安產(chǎn)品需要通過符合歐標(biāo)的安全認(rèn)證相沖突。為避免上述問題，提高組合式故障-安全設(shè)計(jì)水平，通過對(duì)歐標(biāo)理論學(xué)習(xí)并結(jié)合實(shí)際應(yīng)用，對(duì)組合式故障-安全設(shè)計(jì)的關(guān)鍵技術(shù)進(jìn)行探討及總結(jié)。

2 組合式故障-安全原理

組合式故障-安全原理：一個(gè)安全功能由至少兩個(gè)通道執(zhí)行，只有當(dāng)必要數(shù)量的通道達(dá)成一致時(shí)，才提供對(duì)外輸出許可；否則，應(yīng)停止對(duì)外輸出，使系統(tǒng)進(jìn)入并保持在安全態(tài)。

同時(shí)，當(dāng)一個(gè)通道發(fā)生導(dǎo)向危險(xiǎn)的故障時(shí)，應(yīng)在足夠短的時(shí)間內(nèi)檢測(cè)并進(jìn)入且保持在安全態(tài)，降低安全影響，以避免第二個(gè)通道發(fā)生相同故障即故障累積時(shí)系統(tǒng)導(dǎo)向危險(xiǎn)狀態(tài)。由于 “2取2”的組合式故障-安全架構(gòu)設(shè)計(jì)應(yīng)用較廣，本文僅以此為例進(jìn)行說明，其他的“N取M”系統(tǒng)原理類似，其組合式故障-安全原理示意如圖1所示。

對(duì)“2取2”組合式故障-安全原理示意圖解析如下：

圖1中， 某個(gè)安全功能由通道A和通道B分別獨(dú)立執(zhí)行。

圖1 組合式故障-安全原理示意圖

通道A、B分別將與安全功能相關(guān)的重要信息（如輸出數(shù)據(jù)、中間狀態(tài)變量、輸入信息）輸入表決器（圖1中所示），由表決器來判斷雙通道是否判斷一致。若一致，則提供輸出允許，若不一致，則認(rèn)為通道A、B中至少一個(gè)發(fā)生故障，不允許輸出。

當(dāng)通道A、B的故障檢測(cè)電路之一檢測(cè)到導(dǎo)向危險(xiǎn)的故障時(shí)，則“拒絕”電路（圖1中所示拒絕輸出，使系統(tǒng)進(jìn)入并保持在安全態(tài)。

3 組合式故障-安全關(guān)鍵技術(shù)

組合式故障-安全架構(gòu)設(shè)計(jì)時(shí)，為真正發(fā)揮該架構(gòu)設(shè)計(jì)的故障-安全作用，需重點(diǎn)考慮以下關(guān)鍵技術(shù)。

3.1 通道間獨(dú)立性

通道間應(yīng)保持獨(dú)立性，這是該架構(gòu)設(shè)計(jì)的強(qiáng)制性先決條件。當(dāng)一個(gè)通道由于內(nèi)部故障或外部系統(tǒng)干擾工作錯(cuò)誤，產(chǎn)生了錯(cuò)誤的結(jié)果，第二個(gè)通道若工作正常，則結(jié)果必然不同。如果通道間缺乏獨(dú)立性，則第二個(gè)通道由于相同原因（內(nèi)部故障或外部系統(tǒng)干擾）發(fā)生相同錯(cuò)誤，并產(chǎn)生相同錯(cuò)誤結(jié)果，則通過“取2”比較無法發(fā)現(xiàn)通道的故障，系統(tǒng)可能產(chǎn)生錯(cuò)誤的導(dǎo)向危險(xiǎn)側(cè)輸出。因此通道間的獨(dú)立性是該設(shè)計(jì)的前提條件。

通道間應(yīng)在以下3個(gè)方面保持充分的獨(dú)立性：物理上、功能上、流程上。物理獨(dú)立性，即采取一些措施，防止因物理連接而造成的共因失效。物理獨(dú)立性是最基本，也是最重要的，需要考慮到內(nèi)外部的影響，內(nèi)部考慮電氣連接及電磁耦合等，外部包括環(huán)境如電磁輻射、外部供電的影響，一般均要求增加隔離、絕緣措施，具體的推薦措施詳見文后參考文獻(xiàn)［1］。功能獨(dú)立性，即不會(huì)由于系統(tǒng)失效或隨機(jī)失效造成不同通道的功能同時(shí)失效。流程獨(dú)立性，主要用于防止系統(tǒng)性失效，降低共因失效的影響。為滿足流程獨(dú)立性，可通過設(shè)計(jì)的異構(gòu)即差異化來實(shí)現(xiàn)，包括硬件差異化、軟件差異化。

硬件差異化一般考慮，通過原理設(shè)計(jì)或關(guān)鍵器件差異化引入部分的硬件差異化；同理，對(duì)兩個(gè)通道使用不同的輸出管腳設(shè)計(jì)也可以加強(qiáng)安全性。在實(shí)際可行時(shí)，推薦兩通道采用不同的芯片進(jìn)行設(shè)計(jì)。軟件差異化一般考慮，通過不同的編程人員或不同算法來實(shí)現(xiàn)差異化，采用不同的編譯器也是常用的措施之一。

3.2 故障檢測(cè)及安全態(tài)的保持

各通道應(yīng)設(shè)計(jì)故障檢測(cè)功能，各通道可共用一個(gè)故障檢測(cè)電路，也可以分別設(shè)計(jì)各自的檢測(cè)電路。當(dāng)一個(gè)通道發(fā)生導(dǎo)向危險(xiǎn)的故障時(shí)，應(yīng)在足夠短的時(shí)間內(nèi)檢測(cè)并進(jìn)入安全態(tài)。當(dāng)后續(xù)其他通道發(fā)生相同故障時(shí)，仍然保持該安全態(tài)不被破壞。

圖2中，通道A在t1時(shí)刻發(fā)生故障，通道A故障檢測(cè)電路在t2時(shí)刻檢測(cè)到該故障，并開始進(jìn)行安全處理，到t3時(shí)刻控制系統(tǒng)輸出使系統(tǒng)進(jìn)入安全態(tài)，t4時(shí)刻通道B發(fā)生相同故障。則故障檢測(cè)及消除時(shí)間tsf=t3-t1，兩通道連續(xù)發(fā)生相同故障的時(shí)間差△t=t4-t1，約束關(guān)系如下：

圖2 組合式故障-安全故障檢測(cè)及消除時(shí)間關(guān)系圖

式中，對(duì)于“2取2”系統(tǒng)，K=1；對(duì)于“3取2”系統(tǒng)，K=0.5。

如上所述，組合式故障-安全架構(gòu)設(shè)計(jì)的基本前提是任何一個(gè)通道都可以獨(dú)立、正確地完成預(yù)設(shè)的安全功能，尤其是使本通道停止對(duì)外輸出、進(jìn)入并保持在安全態(tài)的能力。

當(dāng)檢測(cè)到第一個(gè)故障時(shí)應(yīng)進(jìn)入安全態(tài)，且后續(xù)故障不能使系統(tǒng)退出安全態(tài)。僅在人工干預(yù)作為糾錯(cuò)過程的一部分時(shí)，才能允許退出安全態(tài)。

在第一個(gè)故障發(fā)生后允許的修復(fù)時(shí)間內(nèi)如果發(fā)生其他故障，系統(tǒng)應(yīng)保持在安全態(tài)。為實(shí)現(xiàn)規(guī)定的安全目標(biāo)，允許的修復(fù)時(shí)間應(yīng)足夠短。

安全態(tài)的保持一般有如下實(shí)現(xiàn)方式：自動(dòng)地關(guān)閉故障的設(shè)備或系統(tǒng)，如宕機(jī)；阻止故障設(shè)備或系統(tǒng)的所有安全相關(guān)功能，允許其他非安全相關(guān)功能的繼續(xù)運(yùn)行。

3.3 “2取2”比較策略及實(shí)現(xiàn)

“2取2”即通道A和通道B進(jìn)行一致性比較，只有比較一致時(shí)，才允許進(jìn)行后續(xù)的操作，如安全的輸出。所謂的“一致”，對(duì)于模擬量而言，即在一定的誤差容忍范圍內(nèi)則可；對(duì)于“數(shù)字量”或“開關(guān)量”而言，則為相同。

圖3中，每個(gè)虛線框代表一個(gè)邏輯功能，頂部文字說明其功能。從“外部輸入”至輸出控制“外部對(duì)象”的整個(gè)過程，為了及時(shí)檢測(cè)各點(diǎn)的故障、及時(shí)導(dǎo)向安全態(tài)，避免故障傳遞到后續(xù)過程，按信號(hào)流向進(jìn)行分級(jí)比較，“2取2”比較主要涉及輸入取2比較、中間數(shù)據(jù)取2比較、輸出取2比較。

圖3 “2取2”比較安全邏輯示意圖

“輸入預(yù)處理”，對(duì)于模擬量而言，一般涉及取樣、限幅、隔離、濾波、模數(shù)轉(zhuǎn)換等處理；對(duì)于數(shù)字量而言，為避免采樣不同步造成的差異，一般需進(jìn)行“5取3”、“3取2”等處理，即從連續(xù)幾個(gè)采樣周期選取典型的采樣值，作為后續(xù)“輸入取2比較”的輸入。

“輸入取2比較”，主要是用于及時(shí)檢查輸入預(yù)處理通道的單點(diǎn)故障。當(dāng)“輸入取2比較”失敗，即不一致時(shí)，推薦的安全處理方式是宕機(jī)，即將所有輸入輸出數(shù)據(jù)導(dǎo)向安全側(cè)，停止執(zhí)行所有設(shè)定功能，等待人工干預(yù)才能重新工作。當(dāng)“輸入取2比較”成功時(shí)，對(duì)于模擬量，即在一定的誤差容忍范圍內(nèi)，但不完全相同時(shí)，推薦進(jìn)行統(tǒng)一化處理，即處理后輸出一個(gè)相同的結(jié)果給兩通道，以保證后續(xù)的“中間數(shù)據(jù)取2比較”的輸入相同。如A通道模擬量輸入預(yù)處理后為a，B通道模擬量輸入預(yù)處理后為b，a和b進(jìn)行“輸入取2比較”成功后，推薦將a、b取平均值，即將分別送入兩通道進(jìn)行后續(xù)的邏輯處理，保證了“中間數(shù)據(jù)取2比較”的輸入一致，其邏輯處理后輸出不一致，則僅反映“中間數(shù)據(jù)取2比較”過程的故障。

“中間數(shù)據(jù)取2比較”，主要是考慮到一些中間數(shù)據(jù)的錯(cuò)誤并不一定體現(xiàn)在輸出的錯(cuò)誤，如果僅僅檢查輸出的錯(cuò)誤，可能會(huì)遺漏一些故障或錯(cuò)誤。中間數(shù)據(jù)一般包括關(guān)鍵變量、關(guān)鍵數(shù)據(jù)、關(guān)鍵硬件檢查狀態(tài)等關(guān)鍵信息的比較，通過這些可以檢測(cè)系統(tǒng)軟件、關(guān)鍵硬件器件的工作狀態(tài)及關(guān)鍵數(shù)據(jù)的變化狀態(tài)。當(dāng)“中間數(shù)據(jù)取2比較”失敗時(shí)，常用的安全處理方式是宕機(jī)處理，即將所有輸入輸出數(shù)據(jù)導(dǎo)向安全側(cè)，停止執(zhí)行所有設(shè)定功能，等待人工干預(yù)才能重新工作。

“輸出取2比較”，主要用于及時(shí)檢查通道A、B中處理器等核心處理單元的單點(diǎn)故障及軟件的運(yùn)行異常（針對(duì)異構(gòu)軟件）。當(dāng)“輸出取2比較”成功時(shí)，認(rèn)為雙通道均工作正常，結(jié)果為正確、可信，可以輸出。當(dāng)“輸出取2比較”失敗時(shí)，認(rèn)為雙通道至少一路工作故障，其結(jié)果不可信，但由于不能確定哪個(gè)結(jié)果不可信，因此2個(gè)結(jié)果均不輸出，但須觸發(fā)安全反應(yīng)。當(dāng)“輸出取2比較”失敗時(shí)，常用的安全處理方式是將輸出導(dǎo)向安全側(cè)，停止執(zhí)行所有設(shè)定功能，等待人工干預(yù)才能重新工作。

“輸出控制”要實(shí)現(xiàn)安全輸出控制，根據(jù)輸出類型宜采取不同的設(shè)計(jì)。對(duì)于IO輸出，建議采用固有式故障-安全設(shè)計(jì)或帶有可靠自檢、控制的電路，如自檢發(fā)現(xiàn)輸出異常時(shí)，一方面切斷輸出電路的輸入信息，另一方面，切斷輸出電路的電源；對(duì)于通信輸出，建議采用雙通道數(shù)據(jù)組合發(fā)送來實(shí)現(xiàn)，如通道A發(fā)送純數(shù)據(jù)，通道B發(fā)送數(shù)據(jù)計(jì)算的CRC碼。

“取2”的實(shí)現(xiàn)有多種方式?？梢酝ㄟ^軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。其中軟件實(shí)現(xiàn)則要求雙通道進(jìn)行周期通信，及時(shí)交互數(shù)據(jù)、狀態(tài)并進(jìn)行“取2”比較。硬件實(shí)現(xiàn)方式，可以使用固有式故障-安全設(shè)計(jì)的模擬電路，也可以是第三個(gè)CPU等微處理器組成的電路。通常，“輸入取2比較”、 “中間數(shù)據(jù)取2比較”通過軟件實(shí)現(xiàn)，“輸出取2比較”可通過軟件或硬件實(shí)現(xiàn)。

4 結(jié)束語(yǔ)

本文對(duì)組合式故障-安全架構(gòu)設(shè)計(jì)進(jìn)行系統(tǒng)的理論學(xué)習(xí)，并結(jié)合實(shí)際應(yīng)用對(duì)關(guān)鍵技術(shù)進(jìn)行了歸納。組合式故障-安全架構(gòu)設(shè)計(jì)可以及時(shí)發(fā)現(xiàn)和控制系統(tǒng)中可能導(dǎo)向危險(xiǎn)側(cè)的單點(diǎn)故障，是故障-安全實(shí)現(xiàn)的重要方式，但要組合式故障-安全架構(gòu)設(shè)計(jì)真正地發(fā)揮作用，必須解決上述通道間獨(dú)立性、故障檢測(cè)及安全態(tài)的保持、多數(shù)表決策略問題。通道間的同步將是組合式故障-安全架構(gòu)設(shè)計(jì)后續(xù)研究?jī)?nèi)容。

［1］ CENELEC.EN50129-2003 Railway applications-Communication，signaling and processing systems-Safety related electronic systems for signaling［S］.2003.

［2］中國(guó)人民解放軍總裝備部.GJB/Z 299C-2006 電子設(shè)備可靠性預(yù)計(jì)手冊(cè)［S］.北京：總裝備部軍標(biāo)出版，2007.

［3］中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 28809-2012/IEC 62425：2007 軌道交通 通信、信號(hào)和處理系統(tǒng)信號(hào)用安全相關(guān)電子系統(tǒng)［S］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2013.

Though the composite fail-safe architecture has been widely used in railway signal designs， its actual application is so simple that it can't fully meet the requirements of EN50129 standard due to lack of corresponding theory guidance， which confl icts with the requirement that safety related products should be verifi ed and certifi ed according to European standards. In order to improve the design level of composite fail-safe architecture， the paper sums up the key techniques of the architecture design by the deep study on European standards in combination with practical application.

fail-safe； composite fail-safe； 2 out of 2 architecture； key techniques

10.3969/j.issn.1673-4440.2015.06.027

2015-01-09）