呂順凱

摘? 要：隨著我國電氣化鐵路的快速發(fā)展，牽引供電系統(tǒng)的可靠性、可用性、可維護性和安全性亟需提升到更高的技術(shù)水平。作為高性能牽引供電系統(tǒng)的核心，安全控制平臺的應(yīng)用需求尤為迫切。基于公司承擔的國家重點研發(fā)計劃項目以及在信號安全控制領(lǐng)域的技術(shù)優(yōu)勢，研制了一款具有完全自主知識產(chǎn)權(quán)的高性能牽引供電系統(tǒng)安全控制平臺，采用可靠性和安全性綜合指標更優(yōu)的二乘二取二冗余架構(gòu)方案，通過安全狀態(tài)機控制邏輯和多種故障-安全機制實現(xiàn)對隨機失效的安全保證，同時設(shè)計了支持帶電熱插拔的各類型插件，保證控制平臺的高可維護性和高可用性。經(jīng)全面測試，安全控制平臺通過了國際獨立安全審核機構(gòu)認證，符合最高安全等級——SIL4標準。牽引供電項目現(xiàn)場應(yīng)用情況表明，控制平臺運行穩(wěn)定、可靠，能夠顯著提高牽引供電系統(tǒng)安全性和可靠性，縮短年平均故障時間，提升鐵路運能。

關(guān)鍵詞：牽引供電系統(tǒng);安全控制平臺;RAMS;安全完整性等級;二乘二取二;冗余架構(gòu)

中圖分類號：U223.8? ? ? ? 文獻標志碼：A? ? ? ? ? ?文章編號：2095-2945（2019）08-0027-05

Abstract： With the rapid development of China's electrified railways， the reliability， availability， maintainability and safety of traction power supply system need to be upgraded to a higher level. As the core of the high-performance traction power supply system， the application requirement of safety control platform is particularly urgent. Based on the national key R&D project undertaken by the company and the technical advantages in the field of signaling security control， a safety control platform with completely independent intellectual property rights for the high-performance traction power supply system was developed. It adopted double 2-vote-2 redundant architecture that has better reliability and safety comprehensive indicators， ensured security against random failures through secure state machine control logic and multiple fault-safe mechanisms. Meanwhile， various types of plug-ins that support live plug were designed to ensure high availability and maintainability of the control platform. After thorough test， the safety control platform has passed the certification of the international independent safety auditing organization and meets the highest safety level - SIL4 standard. The on-site application results of traction power supply projects showed that the control platform is stable and reliable， significantly improve the safety and reliability of the traction power supply system， shorten the annual average failure time， and enhance transportation capacity of the railway.

Keywords： traction power supply system; safety control platform; RAMS; safety integrity level; double 2-vote-2; redundant architecture

引言

隨著我國電氣化鐵路的快速發(fā)展，牽引供電系統(tǒng)的可靠性、可用性、可維護性和安全性（RAMS）越來越受到人們的重視[1]，而作為牽引供電系統(tǒng)核心的控制系統(tǒng)，如何在保證高可靠性、高可用性、高可維護性的前提下，同時實現(xiàn)故障導(dǎo)向安全，尤為值得深入研究。

基于公司承擔的國家重點研發(fā)計劃項目《高性能牽引供電系統(tǒng)技術(shù)》及在信號安全控制領(lǐng)域的技術(shù)優(yōu)勢，項目組自主研制了一款滿足國際最高安全完整性等級（SIL4）認證標準[2-6]的高性能牽引供電系統(tǒng)安全控制通用平臺。通過對安全控制系統(tǒng)原理的比較分析，控制平臺選擇了可靠性和安全性綜合指標更優(yōu)的二乘二取二冗余架構(gòu)設(shè)計方案，采用了安全狀態(tài)機控制邏輯以保證雙系輸出的唯一性和無縫切換，通過組合式故障-安全、反應(yīng)式故障-安全和固有故障-安全三種安全機制實現(xiàn)對隨機失效的安全保證，同時設(shè)計了支持帶電熱插拔的插件，保證系統(tǒng)的高維護性和高可用性。經(jīng)單元測試、機箱測試、平臺測試及現(xiàn)場測試，安全控制平臺現(xiàn)已通過國際獨立安全審核機構(gòu)認證，并在公司多個牽引供電項目全面應(yīng)用。

1 控制平臺架構(gòu)

為滿足系統(tǒng)安全性和可靠性的要求，安全控制平臺需采用冗余架構(gòu)，可選方案主要包括雙機熱備、三取二，以及二乘二取二架構(gòu)等[7-8]。

1.1 雙機熱備架構(gòu)

雙機熱備架構(gòu)采用單機保證安全，雙機提高可靠性的設(shè)計理念，發(fā)生故障時進行整機切換，存在的主要技術(shù)難題是雙機的同步與比較，當雙機比較不一致時，如何實現(xiàn)切換及故障自診斷。熱備系統(tǒng)故障發(fā)生之后，故障定位及切換時間較長。

1.2 三取二架構(gòu)

三取二架構(gòu)采用三個獨立支路進行三取二表決，在單路故障的情況下降級工作，保證系統(tǒng)安全，不存在雙機熱備系統(tǒng)的整機切換問題， 但存在三機同步以及故障定位難題，故障一經(jīng)發(fā)現(xiàn)必須在規(guī)定的時間間隔內(nèi)予以修復(fù)，否則當出現(xiàn)雙支路故障時，系統(tǒng)將整體退出。

1.3 二乘二取二架構(gòu)

二乘二取二架構(gòu)采用兩系完全相同的二取二系統(tǒng)。二乘即兩系以互為熱備方式并行，之間通過并行接口建立的高速通道交換信息，實現(xiàn)兩系的同步和切換。二取二即為在一套系統(tǒng)上集成嚴格同步的雙CPU運算及處理單元，實時比較，只有雙機運行一致時才對外輸出或傳輸運算結(jié)果，保證輸出安全。

經(jīng)上述分析，二乘二取二架構(gòu)相比雙機熱備、三取二等冗余架構(gòu)在可靠性和安全性綜合指標上具有明顯的優(yōu)勢。因此，本項目選擇二乘二取二架構(gòu)作為實施方案。安全控制平臺采用具有完全相同硬件結(jié)構(gòu)的兩個控制機箱，分別命名為Ⅰ系和Ⅱ系，Ⅰ系為主系工作，Ⅱ系處于熱備冗余狀態(tài)，雙系同時獨立工作。兩系均正常時，控制平臺輸出為Ⅰ系的輸出。如果Ⅰ系發(fā)生故障，則無縫切換至Ⅱ系為主系工作系統(tǒng)，控制平臺輸出為Ⅱ系的輸出，Ⅰ系報告故障或者自動重啟。

2 安全控制方案

對于采用二乘二取二架構(gòu)的安全控制平臺，雙系數(shù)據(jù)同步和無縫切換是需要重點研究的兩個問題[9]。

2.1 雙系數(shù)據(jù)同步

為保障雙系數(shù)據(jù)安全同步，項目采用了高帶寬、高實時性、高可靠性、高靈活性、容錯性能優(yōu)的FlexRay總線，作為雙系之間信息交互通道。數(shù)據(jù)傳遞過程中，主要采用了以下技術(shù)方案：

（1）使用序列號來保證收發(fā)時序。

（2）使用安全循環(huán)冗余校驗算法保證數(shù)據(jù)的一致性和安全性。

（3）采用本地時間與遠程時間計算網(wǎng)絡(luò)傳輸延時，避免網(wǎng)絡(luò)異常引起時效性問題。

（4）采用數(shù)據(jù)包壓縮和解壓技術(shù)傳遞安全數(shù)據(jù)，減少網(wǎng)絡(luò)流量和延時。

（5）每個運算周期進行時間和數(shù)據(jù)同步，保證主用系和備用系數(shù)據(jù)的一致性。

（6）同步確認技術(shù)，即主用系同步給備用系的數(shù)據(jù)，需要備用系發(fā)送同步確認信息后，主用系才能繼續(xù)運算和對外輸出，防止雙系切換后對外控制信息不一致導(dǎo)向風(fēng)險。

2.2 雙系無縫切換

為保證雙系輸出的唯一性和無縫切換，采用了安全狀態(tài)機設(shè)計方案。單系控制機箱包含以下五種狀態(tài)：（1）未工作狀態(tài);（2）初始化狀態(tài);（3）主用狀態(tài);（4）備用狀態(tài);（5）故障狀態(tài)，主要狀態(tài)切換工況包括：

（1）雙系正常上電，進行初始化配置，配置為主用系的控制機箱為主用系，另一系轉(zhuǎn)為備用系。

（2）主用系出現(xiàn)故障，轉(zhuǎn)為故障狀態(tài);備用系檢測到主用退出，滿足主用條件，轉(zhuǎn)為主用狀態(tài)。

（3）故障狀態(tài)滿足初始化條件，經(jīng)未工作狀態(tài)進行初始化配置。

3 安全插件設(shè)計

經(jīng)需求分析，安全控制計算機的輸入主要包含模擬量和數(shù)字量等，輸出主要為數(shù)字量，同時基于單板功能獨立和模塊化設(shè)計理念，項目組研制了安全電源插件、安全主控插件、安全模擬量輸入插件、安全數(shù)字量輸入插件、安全數(shù)字量輸出插件、安全通信插件等不同類型的安全插件，可根據(jù)現(xiàn)場應(yīng)用需求，對各系控制機箱靈活配置。

主控插件、安全模擬量輸入插件、安全數(shù)字量輸入插件、安全數(shù)字量輸出插件等通過組合式故障-安全、反應(yīng)式故障-安全和固有故障-安全三種安全機制實現(xiàn)對隨機失效的安全保證，在故障狀態(tài)下停止對外輸出，在人工確認故障排除前不能自動恢復(fù)，以保證插件保持在安全狀態(tài)。各插件安全完整性達到IEC 62425標準規(guī)定的SIL4級;插件的軟件安全完整性達到IEC 62279標準規(guī)定的SIL4 級。同時，各插件具備熱插拔功能，在系統(tǒng)不斷開電源的情況下，允許進行插件的插入或者拔出操作。通過軟硬件結(jié)合的加密方式，各插件還可實現(xiàn)安全加密功能。

3.1 安全電源插件

安全電源插件采用DC110V電壓輸入，轉(zhuǎn)換為2路DC24V直流電源輸出，為牽引供電系統(tǒng)安全控制平臺其余各插件提供電源。

電源插件采用模塊化設(shè)計，主要由6個部件組成：輸入濾波、過流保護、電源儲能、輸入過壓保護、DC/DC轉(zhuǎn)換、輸出濾波等。DC110V電源輸入濾波之后，通過2個DC/DC轉(zhuǎn)換模塊，獲得雙路DC24V電源。

電源插件具備完善保護措施，包含輸入反接保護、防沖擊保護、輸入過壓保護、輸入欠壓保護、輸出過壓保護、輸出過流保護、超溫保護等，支持熱插拔。

3.2 安全主控插件

主控插件完成安全控制平臺的設(shè)備管理，通過安全通信協(xié)議獲取安全控制平臺內(nèi)部插件輸入數(shù)據(jù)或狀態(tài)，通過通信協(xié)議獲取安全控制平臺外部設(shè)備輸入數(shù)據(jù)，將數(shù)據(jù)或狀態(tài)校驗后通過應(yīng)用開發(fā)軟件接口傳送至應(yīng)用軟件，并將應(yīng)用軟件運算得出的控制命令或狀態(tài)經(jīng)表決后輸出至安全控制平臺內(nèi)部插件或外部設(shè)備。同時，主控插件實時監(jiān)測各模塊的工作狀態(tài)、軟硬件信息（包含版本、故障等信息），并通過軟件接口提供至二次開發(fā)用戶，通過對外通信接口發(fā)送至外部設(shè)備。

主控插件主要由A機系統(tǒng)、B機系統(tǒng)、C機通信系統(tǒng)（簡稱A、B、C機）等構(gòu)成。A機、B機組成2取2的安全結(jié)構(gòu)，A、B機負責(zé)安全計算和比較，C機負責(zé)與其他插件間的通信，將安全數(shù)據(jù)經(jīng)FlexRay發(fā)送至輸出插件和/或外部設(shè)備，并通過以太網(wǎng)等方式與外部設(shè)備通信。

主控插件運行模式分為上電自檢模式、正常運行模式和故障停機模式，依據(jù)各種模式進行狀態(tài)管理。上電自檢模式時，插件處于上電自檢過程，不能進行安全表決和計算。自檢通過后進入正常運行模式，正常運行模式為主控插件可用模式，可進行邏輯運算、安全表決和輸出。自檢出現(xiàn)故障時，插件進入故障停機模式。故障停機模式時，插件不能提供原定功能，保持在安全狀態(tài)。在上電初始化過程中，主控插件檢查配置數(shù)據(jù)的完整性及配置數(shù)據(jù)與實際配置的一致性;并在正常運行過程中定期進行配置數(shù)據(jù)與實際配置的一致性檢查。如果檢查失敗，則導(dǎo)向安全狀態(tài)。

3.3 安全模擬量輸入插件

安全模擬量輸入插件通過電壓互感器和電流互感器，周期性地進行模擬量的采集。插件采用2取2的“故障-安全”架構(gòu)，即在本插件中有A機和B機兩套處理器系統(tǒng)，A機和B機將采集到外部模擬量信息通過雙通道CPU運算、比較后，形成安全模擬量值后將結(jié)果通過CAN通信發(fā)送給C機，C機再將結(jié)果傳輸?shù)紽lexRay總線，符合組合故障-安全策略。

安全模擬量輸入插件A機、B機各自具有8個電流采集電路，8個電壓采集電路，并為電流型傳感器提供24V工作電源，為電壓型傳感器提供15V工作電源。同時，A機8個電流采集電路、A機8個電壓采集電路、B機8個電流采集電路、B機8個電壓采集電路之間采取電氣隔離，隔離電壓為AC1000V。

安全模擬量輸入插件運行模式分為上電自檢模式、正常運行模式和故障停機模式，依據(jù)各種模式進行狀態(tài)管理。上電自檢模式時插件處于上電自檢過程，不能進行模擬量輸入信息的采集和表決。自檢通過后進入正常運行模式，正常運行模式為安全模擬量輸入插件可用模式，插件可進行模擬量輸入信號的采集。自檢出現(xiàn)故障時，插件進入故障停機模式。故障停機模式時，插件不能提供原定功能，保持在安全狀態(tài)。插件在上電和運行中進行關(guān)鍵故障檢測，檢測到重要模塊故障時，插件保持在安全狀態(tài)。

3.4 安全數(shù)字量輸入插件

安全數(shù)字量輸入插件中安全開關(guān)信號輸入通道是對安全繼電器一組狀態(tài)接點的（常開接點和常閉接點）導(dǎo)通狀態(tài)同時采集，分別由兩個不同的CPU 進行處理。通過這兩個CPU 對采集結(jié)果的比較判斷得出安全繼電器當前所處狀態(tài)或者在連線中的出現(xiàn)混線、斷線和接地等故障。

安全數(shù)字量輸入插件分別由CPUA、CPUB、CPUC和安全輸入通道四個主要的功能模塊組成（分別簡稱為A機、B機、C機和安全輸入通道）。插件采用2取2的“故障-安全”架構(gòu)，即在本插件中有A機和B機兩套處理器系統(tǒng)， A機和B機將采集到外部繼電器一組觸點狀態(tài)信息（即一常開觸點和一常閉觸點）通過內(nèi)部CAN通信交互后分別進行處理和表決，并將結(jié)果通過CAN通信發(fā)送給C機，C機再將結(jié)果傳輸?shù)紽lexRay總線，符合組合故障-安全策略。安全輸入通道共有16路，每路分A通道和B通道，A通道采集常開觸點形式的開關(guān)量輸入信號，B通道采集常閉觸點形式的開關(guān)量輸入信號。

安全數(shù)字量輸入插件運行模式分為上電自檢模式、正常運行模式和故障停機模式，依據(jù)各種模式進行狀態(tài)管理。上電自檢模式時插件處于上電自檢過程，不能進行開關(guān)量輸入信息的采集和表決。自檢通過后進入正常運行模式，正常運行模式為安全數(shù)字量輸入插件可用模式，插件可進行開關(guān)量輸入信號的采集。自檢出現(xiàn)故障時，插件進入故障停機模式。故障停機模式時，插件不能提供原定功能，保持在安全狀態(tài)。插件在上電和運行中進行關(guān)鍵故障檢測，檢測到關(guān)鍵模塊（包括輸入通道電源、內(nèi)部通信總線、輸入通道、同步）故障時，插件保持在安全狀態(tài)。

3.5 安全數(shù)字量輸出插件

安全數(shù)字量輸出插件包含CPUA、CPUB、CPUC和安全輸出通道四個主要的功能模塊（分別簡稱為A機、B機、C機和安全輸出通道）。安全數(shù)字量輸出插件采用2取2的“故障-安全”架構(gòu)，A機和B機均從C機通過CAN總線獲取數(shù)字量輸出命令，分別將獲取的數(shù)字輸出命令信息進行處理后，形成各自的輸出命令，輸出命令通過輸出通道執(zhí)行輸出，符合組合故障-安全策略。C機負責(zé)對外通信，將從FlexRay總線接收到的安全數(shù)字量輸出命令通過內(nèi)部CAN通信發(fā)送給A機和B機。安全輸出通道共有16路，每路分A通道和B通道，A通道和B通道采用串聯(lián)方式輸出，提高安全性。同時，安全數(shù)字量輸出通道采用安全繼電器觸點輸出，并通過安全繼電器的觸點狀態(tài)反饋實現(xiàn)狀態(tài)監(jiān)督。

安全數(shù)字量輸出插件運行模式分為上電自檢模式、正常運行模式和故障停機模式，依據(jù)各種模式進行狀態(tài)管理。上電自檢模式時，插件處于上電自檢過程，不能進行安全表決和輸出。自檢通過后進入正常運行模式，正常運行模式為安全數(shù)字量輸出插件可用模式，可進行安全表決和輸出。自檢出現(xiàn)故障時，插件進入故障停機模式。故障停機模式時，插件不能提供原定功能，保持在安全狀態(tài)。插件在上電和運行中進行關(guān)鍵故障檢測，檢測到關(guān)鍵模塊（包括輸出通道電源、內(nèi)部通信總線、輸出通道、同步）故障時，插件保持在安全狀態(tài)。

4 結(jié)束語

安全控制平臺經(jīng)過高低溫、振動、鹽霧、電磁兼容等全面測試，通過了國際獨立安全審核機構(gòu)認證，滿足國際最高安全等級（SIL4）標準要求，采用的二乘二取二冗余架構(gòu)方案、安全狀態(tài)機控制邏輯、故障-安全機制、安全插件有效提高了控制系統(tǒng)的可靠性、可用性、可維護性和安全性，同時保證了故障導(dǎo)向安全。在多個牽引供電項目現(xiàn)場應(yīng)用情況表明，控制平臺運行安全、穩(wěn)定、可靠，能夠顯著縮短牽引供電系統(tǒng)年平均故障時間，提高鐵路運能。下一步，項目組將對安全控制平臺的技術(shù)指標進一步優(yōu)化，滿足更高技術(shù)性能應(yīng)用需求。

參考文獻：

[1]楊媛.高速鐵路供電系統(tǒng)RAMS評估的研究[D].北京：北京交通大學(xué)，2011.

[2]IEC 61508：2010 Functional safety of electrical/electronic/programmable electronic safety-related systems[S].

[3]IEC 62061：2005 Safety of machinery-Functional safety of safety-related electrical， electronic and programmable electronic control systems[S].

[4]EN 50126：2017 Railway application-The specification and demonstration of Reliability， Availability， Maintainability and Safety （RAMS） [S].

[5]EN 50128：2011 Railway applications-Communications， signalling and processing systems - Software for railway control and protection systems[S].

[6]EN 50129：2003 Railway applications-Communication， signalling and processing systems-Safety related electronic systems for signalling[S].

[7]郭慶.一種新型二乘二取二安全計算機的設(shè)計和實現(xiàn)[D].杭州：浙江大學(xué)，2012.

[8]劉芳，王海峰.二乘二取二與雙機熱備計算機聯(lián)鎖系統(tǒng)性能比較[J].鐵道通信信號，2008，44（02）：26-29.

[9]蔡煊，王長林.車載列車自動防護的二乘二取二安全計算機平臺同步機制[J].計算機工程，2015，41（8）：301-305.