周 青

（北京全路通信信號研究設(shè)計院集團(tuán)有限公司，北京 100073）

組合式故障-安全架構(gòu)設(shè)計的應(yīng)用探討

周 青

（北京全路通信信號研究設(shè)計院集團(tuán)有限公司，北京 100073）

組合式故障-安全架構(gòu)設(shè)計在鐵路信號領(lǐng)域應(yīng)用廣泛，但由于缺乏理論的系統(tǒng)研究做指導(dǎo)，實(shí)際應(yīng)用時較為簡單，不能完全符合歐標(biāo)EN50129的要求，這與目前鐵路信號涉安產(chǎn)品需要通過符合歐標(biāo)的安全認(rèn)證相沖突。為提高組合式故障-安全設(shè)計水平，通過對歐標(biāo)深入學(xué)習(xí)，并結(jié)合實(shí)際應(yīng)用，歸納該架構(gòu)設(shè)計的關(guān)鍵技術(shù)。

故障-安全；組合式故障-安全；2取2；關(guān)鍵技術(shù)

1 概述

故障-安全原則是鐵路信號領(lǐng)域國內(nèi)外均共同遵守的重要原則，它要求當(dāng)信號設(shè)備發(fā)生可能導(dǎo)致危險的故障時應(yīng)導(dǎo)向安全狀態(tài)。

為實(shí)現(xiàn)故障-安全，一般通過以下一種或多種組合來實(shí)現(xiàn)，即組合式故障-安全、反應(yīng)式故障-安全和固有式故障-安全3種方式。3種方式的要求及應(yīng)用場合各有特點(diǎn)，對于電子設(shè)備普遍使用前兩種方式，對于輸出端的開環(huán)控制可以使用分立模擬器件組成的固有式故障-安全方式來保證安全。本文僅就組合式故障-安全架構(gòu)進(jìn)行探討。

組合式故障-安全架構(gòu)由多通道組成。目前，鐵路信號領(lǐng)域的電子設(shè)備廣泛使用“2取2”、“3取2”的組合式故障-安全架構(gòu)設(shè)計，以保證單點(diǎn)故障發(fā)生時系統(tǒng)不會導(dǎo)向危險側(cè)。但實(shí)際應(yīng)用時較為簡單，不能完全符合歐標(biāo)EN50129的要求，有的忽略了多個單元的獨(dú)立性要求，有的忽略了安全態(tài)的保持，這與目前鐵路信號涉安產(chǎn)品需要通過符合歐標(biāo)的安全認(rèn)證相沖突。為避免上述問題，提高組合式故障-安全設(shè)計水平，通過對歐標(biāo)理論學(xué)習(xí)并結(jié)合實(shí)際應(yīng)用，對組合式故障-安全設(shè)計的關(guān)鍵技術(shù)進(jìn)行探討及總結(jié)。

2 組合式故障-安全原理

組合式故障-安全原理：一個安全功能由至少兩個通道執(zhí)行，只有當(dāng)必要數(shù)量的通道達(dá)成一致時，才提供對外輸出許可；否則，應(yīng)停止對外輸出，使系統(tǒng)進(jìn)入并保持在安全態(tài)。

同時，當(dāng)一個通道發(fā)生導(dǎo)向危險的故障時，應(yīng)在足夠短的時間內(nèi)檢測并進(jìn)入且保持在安全態(tài)，降低安全影響，以避免第二個通道發(fā)生相同故障即故障累積時系統(tǒng)導(dǎo)向危險狀態(tài)。由于 “2取2”的組合式故障-安全架構(gòu)設(shè)計應(yīng)用較廣，本文僅以此為例進(jìn)行說明，其他的“N取M”系統(tǒng)原理類似，其組合式故障-安全原理示意如圖1所示。

對“2取2”組合式故障-安全原理示意圖解析如下：

圖1中， 某個安全功能由通道A和通道B分別獨(dú)立執(zhí)行。

圖1 組合式故障-安全原理示意圖

通道A、B分別將與安全功能相關(guān)的重要信息（如輸出數(shù)據(jù)、中間狀態(tài)變量、輸入信息）輸入表決器（圖1中所示），由表決器來判斷雙通道是否判斷一致。若一致，則提供輸出允許，若不一致，則認(rèn)為通道A、B中至少一個發(fā)生故障，不允許輸出。

當(dāng)通道A、B的故障檢測電路之一檢測到導(dǎo)向危險的故障時，則“拒絕”電路（圖1中所示拒絕輸出，使系統(tǒng)進(jìn)入并保持在安全態(tài)。

3 組合式故障-安全關(guān)鍵技術(shù)

組合式故障-安全架構(gòu)設(shè)計時，為真正發(fā)揮該架構(gòu)設(shè)計的故障-安全作用，需重點(diǎn)考慮以下關(guān)鍵技術(shù)。

3.1 通道間獨(dú)立性

通道間應(yīng)保持獨(dú)立性，這是該架構(gòu)設(shè)計的強(qiáng)制性先決條件。當(dāng)一個通道由于內(nèi)部故障或外部系統(tǒng)干擾工作錯誤，產(chǎn)生了錯誤的結(jié)果，第二個通道若工作正常，則結(jié)果必然不同。如果通道間缺乏獨(dú)立性，則第二個通道由于相同原因（內(nèi)部故障或外部系統(tǒng)干擾）發(fā)生相同錯誤，并產(chǎn)生相同錯誤結(jié)果，則通過“取2”比較無法發(fā)現(xiàn)通道的故障，系統(tǒng)可能產(chǎn)生錯誤的導(dǎo)向危險側(cè)輸出。因此通道間的獨(dú)立性是該設(shè)計的前提條件。

通道間應(yīng)在以下3個方面保持充分的獨(dú)立性：物理上、功能上、流程上。物理獨(dú)立性，即采取一些措施，防止因物理連接而造成的共因失效。物理獨(dú)立性是最基本，也是最重要的，需要考慮到內(nèi)外部的影響，內(nèi)部考慮電氣連接及電磁耦合等，外部包括環(huán)境如電磁輻射、外部供電的影響，一般均要求增加隔離、絕緣措施，具體的推薦措施詳見文后參考文獻(xiàn)［1］。功能獨(dú)立性，即不會由于系統(tǒng)失效或隨機(jī)失效造成不同通道的功能同時失效。流程獨(dú)立性，主要用于防止系統(tǒng)性失效，降低共因失效的影響。為滿足流程獨(dú)立性，可通過設(shè)計的異構(gòu)即差異化來實(shí)現(xiàn)，包括硬件差異化、軟件差異化。

硬件差異化一般考慮，通過原理設(shè)計或關(guān)鍵器件差異化引入部分的硬件差異化；同理，對兩個通道使用不同的輸出管腳設(shè)計也可以加強(qiáng)安全性。在實(shí)際可行時，推薦兩通道采用不同的芯片進(jìn)行設(shè)計。軟件差異化一般考慮，通過不同的編程人員或不同算法來實(shí)現(xiàn)差異化，采用不同的編譯器也是常用的措施之一。

3.2 故障檢測及安全態(tài)的保持

各通道應(yīng)設(shè)計故障檢測功能，各通道可共用一個故障檢測電路，也可以分別設(shè)計各自的檢測電路。當(dāng)一個通道發(fā)生導(dǎo)向危險的故障時，應(yīng)在足夠短的時間內(nèi)檢測并進(jìn)入安全態(tài)。當(dāng)后續(xù)其他通道發(fā)生相同故障時，仍然保持該安全態(tài)不被破壞。

圖2中，通道A在t1時刻發(fā)生故障，通道A故障檢測電路在t2時刻檢測到該故障，并開始進(jìn)行安全處理，到t3時刻控制系統(tǒng)輸出使系統(tǒng)進(jìn)入安全態(tài)，t4時刻通道B發(fā)生相同故障。則故障檢測及消除時間tsf=t3-t1，兩通道連續(xù)發(fā)生相同故障的時間差△t=t4-t1，約束關(guān)系如下：

圖2 組合式故障-安全故障檢測及消除時間關(guān)系圖

式中，對于“2取2”系統(tǒng)，K=1；對于“3取2”系統(tǒng)，K=0.5。

如上所述，組合式故障-安全架構(gòu)設(shè)計的基本前提是任何一個通道都可以獨(dú)立、正確地完成預(yù)設(shè)的安全功能，尤其是使本通道停止對外輸出、進(jìn)入并保持在安全態(tài)的能力。

當(dāng)檢測到第一個故障時應(yīng)進(jìn)入安全態(tài)，且后續(xù)故障不能使系統(tǒng)退出安全態(tài)。僅在人工干預(yù)作為糾錯過程的一部分時，才能允許退出安全態(tài)。

在第一個故障發(fā)生后允許的修復(fù)時間內(nèi)如果發(fā)生其他故障，系統(tǒng)應(yīng)保持在安全態(tài)。為實(shí)現(xiàn)規(guī)定的安全目標(biāo)，允許的修復(fù)時間應(yīng)足夠短。

安全態(tài)的保持一般有如下實(shí)現(xiàn)方式：自動地關(guān)閉故障的設(shè)備或系統(tǒng)，如宕機(jī)；阻止故障設(shè)備或系統(tǒng)的所有安全相關(guān)功能，允許其他非安全相關(guān)功能的繼續(xù)運(yùn)行。

3.3 “2取2”比較策略及實(shí)現(xiàn)

“2取2”即通道A和通道B進(jìn)行一致性比較，只有比較一致時，才允許進(jìn)行后續(xù)的操作，如安全的輸出。所謂的“一致”，對于模擬量而言，即在一定的誤差容忍范圍內(nèi)則可；對于“數(shù)字量”或“開關(guān)量”而言，則為相同。

圖3中，每個虛線框代表一個邏輯功能，頂部文字說明其功能。從“外部輸入”至輸出控制“外部對象”的整個過程，為了及時檢測各點(diǎn)的故障、及時導(dǎo)向安全態(tài)，避免故障傳遞到后續(xù)過程，按信號流向進(jìn)行分級比較，“2取2”比較主要涉及輸入取2比較、中間數(shù)據(jù)取2比較、輸出取2比較。

圖3 “2取2”比較安全邏輯示意圖

“輸入預(yù)處理”，對于模擬量而言，一般涉及取樣、限幅、隔離、濾波、模數(shù)轉(zhuǎn)換等處理；對于數(shù)字量而言，為避免采樣不同步造成的差異，一般需進(jìn)行“5取3”、“3取2”等處理，即從連續(xù)幾個采樣周期選取典型的采樣值，作為后續(xù)“輸入取2比較”的輸入。

“輸入取2比較”，主要是用于及時檢查輸入預(yù)處理通道的單點(diǎn)故障。當(dāng)“輸入取2比較”失敗，即不一致時，推薦的安全處理方式是宕機(jī)，即將所有輸入輸出數(shù)據(jù)導(dǎo)向安全側(cè)，停止執(zhí)行所有設(shè)定功能，等待人工干預(yù)才能重新工作。當(dāng)“輸入取2比較”成功時，對于模擬量，即在一定的誤差容忍范圍內(nèi)，但不完全相同時，推薦進(jìn)行統(tǒng)一化處理，即處理后輸出一個相同的結(jié)果給兩通道，以保證后續(xù)的“中間數(shù)據(jù)取2比較”的輸入相同。如A通道模擬量輸入預(yù)處理后為a，B通道模擬量輸入預(yù)處理后為b，a和b進(jìn)行“輸入取2比較”成功后，推薦將a、b取平均值，即將分別送入兩通道進(jìn)行后續(xù)的邏輯處理，保證了“中間數(shù)據(jù)取2比較”的輸入一致，其邏輯處理后輸出不一致，則僅反映“中間數(shù)據(jù)取2比較”過程的故障。

“中間數(shù)據(jù)取2比較”，主要是考慮到一些中間數(shù)據(jù)的錯誤并不一定體現(xiàn)在輸出的錯誤，如果僅僅檢查輸出的錯誤，可能會遺漏一些故障或錯誤。中間數(shù)據(jù)一般包括關(guān)鍵變量、關(guān)鍵數(shù)據(jù)、關(guān)鍵硬件檢查狀態(tài)等關(guān)鍵信息的比較，通過這些可以檢測系統(tǒng)軟件、關(guān)鍵硬件器件的工作狀態(tài)及關(guān)鍵數(shù)據(jù)的變化狀態(tài)。當(dāng)“中間數(shù)據(jù)取2比較”失敗時，常用的安全處理方式是宕機(jī)處理，即將所有輸入輸出數(shù)據(jù)導(dǎo)向安全側(cè)，停止執(zhí)行所有設(shè)定功能，等待人工干預(yù)才能重新工作。

“輸出取2比較”，主要用于及時檢查通道A、B中處理器等核心處理單元的單點(diǎn)故障及軟件的運(yùn)行異常（針對異構(gòu)軟件）。當(dāng)“輸出取2比較”成功時，認(rèn)為雙通道均工作正常，結(jié)果為正確、可信，可以輸出。當(dāng)“輸出取2比較”失敗時，認(rèn)為雙通道至少一路工作故障，其結(jié)果不可信，但由于不能確定哪個結(jié)果不可信，因此2個結(jié)果均不輸出，但須觸發(fā)安全反應(yīng)。當(dāng)“輸出取2比較”失敗時，常用的安全處理方式是將輸出導(dǎo)向安全側(cè)，停止執(zhí)行所有設(shè)定功能，等待人工干預(yù)才能重新工作。

“輸出控制”要實(shí)現(xiàn)安全輸出控制，根據(jù)輸出類型宜采取不同的設(shè)計。對于IO輸出，建議采用固有式故障-安全設(shè)計或帶有可靠自檢、控制的電路，如自檢發(fā)現(xiàn)輸出異常時，一方面切斷輸出電路的輸入信息，另一方面，切斷輸出電路的電源；對于通信輸出，建議采用雙通道數(shù)據(jù)組合發(fā)送來實(shí)現(xiàn)，如通道A發(fā)送純數(shù)據(jù)，通道B發(fā)送數(shù)據(jù)計算的CRC碼。

“取2”的實(shí)現(xiàn)有多種方式?？梢酝ㄟ^軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。其中軟件實(shí)現(xiàn)則要求雙通道進(jìn)行周期通信，及時交互數(shù)據(jù)、狀態(tài)并進(jìn)行“取2”比較。硬件實(shí)現(xiàn)方式，可以使用固有式故障-安全設(shè)計的模擬電路，也可以是第三個CPU等微處理器組成的電路。通常，“輸入取2比較”、 “中間數(shù)據(jù)取2比較”通過軟件實(shí)現(xiàn)，“輸出取2比較”可通過軟件或硬件實(shí)現(xiàn)。

4 結(jié)束語

本文對組合式故障-安全架構(gòu)設(shè)計進(jìn)行系統(tǒng)的理論學(xué)習(xí)，并結(jié)合實(shí)際應(yīng)用對關(guān)鍵技術(shù)進(jìn)行了歸納。組合式故障-安全架構(gòu)設(shè)計可以及時發(fā)現(xiàn)和控制系統(tǒng)中可能導(dǎo)向危險側(cè)的單點(diǎn)故障，是故障-安全實(shí)現(xiàn)的重要方式，但要組合式故障-安全架構(gòu)設(shè)計真正地發(fā)揮作用，必須解決上述通道間獨(dú)立性、故障檢測及安全態(tài)的保持、多數(shù)表決策略問題。通道間的同步將是組合式故障-安全架構(gòu)設(shè)計后續(xù)研究內(nèi)容。

［1］ CENELEC.EN50129-2003 Railway applications-Communication，signaling and processing systems-Safety related electronic systems for signaling［S］.2003.

［2］中國人民解放軍總裝備部.GJB/Z 299C-2006 電子設(shè)備可靠性預(yù)計手冊［S］.北京：總裝備部軍標(biāo)出版，2007.

［3］中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會.GB/T 28809-2012/IEC 62425：2007 軌道交通 通信、信號和處理系統(tǒng)信號用安全相關(guān)電子系統(tǒng)［S］.北京：中國標(biāo)準(zhǔn)出版社，2013.

Though the composite fail-safe architecture has been widely used in railway signal designs， its actual application is so simple that it can't fully meet the requirements of EN50129 standard due to lack of corresponding theory guidance， which confl icts with the requirement that safety related products should be verifi ed and certifi ed according to European standards. In order to improve the design level of composite fail-safe architecture， the paper sums up the key techniques of the architecture design by the deep study on European standards in combination with practical application.

fail-safe； composite fail-safe； 2 out of 2 architecture； key techniques

10.3969/j.issn.1673-4440.2015.06.027

2015-01-09）