趙夢瑤，劉逸明，王龍生*

（1.中國鐵道科學(xué)研究院通信信號研究所，北京 100000；2.國家鐵路智能運輸系統(tǒng)工程技術(shù)研究中心，北京 100000）

鐵路行車安全始終是鐵路運輸?shù)牡谝灰?。鐵路有史以來發(fā)生的重大行車安全事故都導(dǎo)致巨大災(zāi)難性的后果，并造成具有廣泛破壞性的社會影響[1]。鐵路信號控制系統(tǒng)是保障行車安全的關(guān)鍵設(shè)備，是典型的實現(xiàn)重大生命攸關(guān)功能的安全苛求系統(tǒng)。其中鐵路信號安全計算機(jī)平臺作為鐵路信號控制系統(tǒng)最基礎(chǔ)、最重要的組成部分，是實現(xiàn)不同系統(tǒng)的應(yīng)用所需要的硬件平臺和軟件底層平臺的設(shè)備。

為了提高鐵路信號安全平臺的安全性和可靠性，安全平臺的結(jié)構(gòu)從最初的單套系統(tǒng)升級為雙機(jī)熱備系統(tǒng)，又再次升級為2 取2 冗余結(jié)構(gòu)或基于3 取2 冗余結(jié)構(gòu)，以達(dá)到一個性能和成本的平衡；同時“故障-安全”軟件設(shè)計和功能測試方面技術(shù)的提升，使得目前的鐵路信號安全計算機(jī)平臺技術(shù)相對穩(wěn)定。但是，目前鐵路安全平臺都是集中放置、單站放置的形式，存在造價高、建設(shè)周期長等缺點，特別是隨著鐵路網(wǎng)的高覆蓋率，對運輸效率和行車安全提出了更高的要求。

因此，本文設(shè)計了一種基于RAFT 共識算法的鐵路信號安全計算機(jī)云平臺實現(xiàn)方法[2]，對于鐵路沿線上的多個車站，將每個站分立的安全計算機(jī)平臺替換為中心服務(wù)器的方式，再通過光纖與每個站的操作表示界面以及室外控制設(shè)備相連，在保障高安全性、高可靠性的前提下，可以有效降低維護(hù)量、提高性能和擴(kuò)展性、縮短施工時間和資源消耗。

1 鐵路信號安全平臺與共識機(jī)制

1.1 鐵路信號安全平臺

鐵路信號安全計算機(jī)平臺是鐵路信號安全相關(guān)應(yīng)用系統(tǒng)所使用的專用安全計算機(jī)平臺，是適用于實現(xiàn)車站進(jìn)路控制、行車間隔控制以及超速防護(hù)等鐵路信號重大安全功能的專用安全計算機(jī)平臺[3]，例如鐵路列控系統(tǒng)的聯(lián)鎖系統(tǒng)、列控中心和無線閉塞中心等。

鐵路信號安全計算機(jī)平臺的核心關(guān)鍵在于：具有較高的實時性要求，具有極高的可靠性和安全性之外，還必須滿足“失效-安全”的相關(guān)設(shè)計原則，同時滿足于SIL4 級安全完整性要求[4]?，F(xiàn)計算機(jī)聯(lián)鎖系統(tǒng)使用較多的為基于2 取2 乘2 冗余結(jié)構(gòu)如圖1 所示，或基于3 取2 冗余結(jié)構(gòu)如圖2 所示的聯(lián)鎖安全計算機(jī)平臺。

圖1 2 取2 乘2 冗余結(jié)構(gòu)原理

圖2 3 取2 冗余結(jié)構(gòu)原理

1.2 功能安全與“故障-安全”設(shè)計原則

設(shè)計、實現(xiàn)一個鐵路信號安全平臺，需要重點進(jìn)行2 個方面的設(shè)計和研究。首先是實現(xiàn)該平臺基礎(chǔ)應(yīng)用功能的技術(shù)方案及其特點，更重要的是針對如何支撐這些技術(shù)方案、確保信號系統(tǒng)安全應(yīng)用的技術(shù)措施的研究。

“故障-安全”顧名思義就是系統(tǒng)故障后導(dǎo)向安全的一種設(shè)計理念，是鐵路信號中最根本的設(shè)計原則。隨著工業(yè)控制技術(shù)的發(fā)展，一些國內(nèi)外的電工標(biāo)準(zhǔn)、鐵路行業(yè)設(shè)計標(biāo)準(zhǔn)、可靠性設(shè)計方法等技術(shù)也被廣泛地知曉和應(yīng)用，特別是IEC61508 中定義、規(guī)定的安全完整性要求和EN50129 中“失效-安全”理念和技術(shù)，從根本上保障安全平臺的可靠性和安全性[5]。IEC61508 研究了安全平臺的硬件和軟件安全相關(guān)功能的安全性必須滿足安全完整性要求，能夠為平臺所承載的安全相關(guān)應(yīng)用軟件完成其應(yīng)用功能提供安全保障；以及進(jìn)行平臺的可靠性、安全性，“失效-安全”的技術(shù)措施的相關(guān)研究[6]。EN50129 從理念和技術(shù)這2 個不同層面構(gòu)建了完整的“失效-安全”體系，并確立了相當(dāng)完備的“失效-安全”基本原則；系統(tǒng)地解決了提高信號可編程安全相關(guān)系統(tǒng)的“失效-安全”應(yīng)該怎么樣做、應(yīng)該做到什么程度以及如何衡量的原則性和技術(shù)性問題。這些將成為這個安全平臺能否成功應(yīng)用的關(guān)鍵[7]。

1.3 共識機(jī)制

安全冗余結(jié)構(gòu)的邏輯平臺中，同步表決是保障安全性的首要條件。但是，在云平臺架構(gòu)下，服務(wù)器各個節(jié)點的運算及數(shù)據(jù)交互模式將發(fā)生巨大變化，單平臺的同步和表決機(jī)制不再適用，所以引入共識機(jī)制算法以實現(xiàn)云平臺系統(tǒng)的同步表決。

共識機(jī)制是使得各服務(wù)器節(jié)點在某種協(xié)議的保障下對計算結(jié)果達(dá)成一致。針對于不同的應(yīng)用場景，共識機(jī)制在保證安全性和一致性的基礎(chǔ)上，也需要平衡系統(tǒng)的性能效率、擴(kuò)展性和資源消耗等因素。目前常見的分布式系統(tǒng)一致性算法包括PoW、PoS、DPoS、RPCA、Paxos、RAFT、PBFT 等[8]，各種算法都有優(yōu)缺點，在某一種應(yīng)用中可以使用一種算法計算核心部分，并與其他算法相結(jié)合。

RAFT 算法因其具有復(fù)雜度低，易于理解，易于工程應(yīng)用實現(xiàn)的特點，更適合本文提出的鐵路信號安全計算機(jī)云平臺的工程應(yīng)用。

2 分布式安全平臺架構(gòu)設(shè)計

在現(xiàn)有鐵路安全計算機(jī)平臺的基礎(chǔ)上，分布式安全平臺主要側(cè)重分布式邏輯運算架構(gòu)，由現(xiàn)有本地、集中的邏輯運算單元提升為基于共識機(jī)制的多個、分布式的邏輯運算平臺，實現(xiàn)了更高的可靠性、可用性和可擴(kuò)展性，具體架構(gòu)設(shè)計如下。

2.1 安全平臺架構(gòu)組成

分布式安全平臺主要包含操作表示層、邏輯處理層和執(zhí)行層3 部分，如圖3 所示。其中，操作表示層可以為一個車站、多個車站或調(diào)度集中系統(tǒng)（CTC）/列車調(diào)度指揮系統(tǒng)（TDCS）中的人機(jī)交互計算機(jī)，操作人員通過人機(jī)交互界面進(jìn)行指揮車站作業(yè)、控制車站信號設(shè)備和監(jiān)控信號設(shè)備工作狀態(tài)等操作。

圖3 分布式安全平臺架構(gòu)圖

邏輯處理層由多個分布式設(shè)置的服務(wù)器組成，每個服務(wù)器均可作為一個節(jié)點加入共識機(jī)制算法之中。邏輯處理層接收來自操作表示層的操作指令，通過RAFT 算法計算后多個服務(wù)器將產(chǎn)生一條安全命令發(fā)出，并且每一個服務(wù)器均會同步保存這一次指令的計算過程和結(jié)果，最終實現(xiàn)區(qū)域內(nèi)多個車站控制邏輯的分布式計算和控制。

執(zhí)行層由各個車站的執(zhí)行電路或系統(tǒng)以及最終被控的室外軌旁信號設(shè)備組成，在接收到來自邏輯處理層的動作命令后進(jìn)行相應(yīng)動作，同時將本站信號設(shè)備的工作狀態(tài)、報警信息等數(shù)據(jù)上傳至邏輯處理層，實現(xiàn)對站場信號設(shè)備最終的安全控制。

2.2 邏輯處理層主要功能

基于共識機(jī)制的安全平臺中的邏輯處理層是進(jìn)行邏輯運算、采集驅(qū)動處理以及通信數(shù)據(jù)轉(zhuǎn)換等功能的核心層，主要完成的功能如下。

（1）安全通信以及采集驅(qū)動功能。接收來自各個車站或TDCS/CTC 的站場作業(yè)操作和控制信號設(shè)備操作等信息，同時接收執(zhí)行層上傳的站場內(nèi)信號設(shè)備的工作狀態(tài)等采集信息；將這些信息進(jìn)行轉(zhuǎn)義和整合，用于各服務(wù)器節(jié)點之間的同步和通信以及聯(lián)鎖邏輯的運算；最后將最終生成的安全命令發(fā)送至執(zhí)行層進(jìn)行驅(qū)動輸出。

（2）以RAFT 算法為核心的同步機(jī)制及自身調(diào)度功能。運用RAFT 算法進(jìn)行各服務(wù)器節(jié)點之間的同步與運算結(jié)果比較，替代了現(xiàn)有安全計算機(jī)平臺中主從交互采集信息和主從交互運算結(jié)果等環(huán)節(jié)，是本安全平臺的主要特點和核心功能。

（3）運行聯(lián)鎖邏輯處理軟件。將現(xiàn)有的聯(lián)鎖軟件運行于共識機(jī)制的安全平臺中，根據(jù)平臺處理后的操作命令以及站場設(shè)備的采集狀態(tài)進(jìn)行聯(lián)鎖邏輯運算。

3 基于RAFT 算法的平臺共識機(jī)制計算過程

鐵路信號安全平臺采用分布式結(jié)構(gòu)后，最關(guān)鍵的問題仍然還是如何保證系統(tǒng)的“故障-安全”特性，即要保持如圖4 所示中邏輯處理層中的各節(jié)點的一致性，無論哪部分發(fā)生故障，只要該層中的大部分節(jié)點可以正常工作，則這些節(jié)點就具有相同的狀態(tài)，保持一致，實現(xiàn)安全性冗余的功能。

圖4 現(xiàn)有計算機(jī)平臺和共識機(jī)制平臺工作流程比較

3.1 基于RAFT 算法的安全平臺計算過程

鐵路信號安全平臺基于RAFT 算法的平臺軟件計算過程如下。

3.1.1 系統(tǒng)初始化

完成系統(tǒng)硬件功能初始化，邏輯層各服務(wù)器選取Leader，其他服務(wù)器自動變成Follower[9]。

3.1.2 周期邏輯處理

完成通信后，Leader 完成命令分發(fā)給Follower，進(jìn)行IO 采集、邏輯計算后，F(xiàn)ollower 將形成的結(jié)果傳回Leader，Leader 進(jìn)行安全比較，形成驅(qū)動輸出等過程。

3.1.3 邏輯服務(wù)器異常處理

（1）Leader 異常處理：邏輯層某服務(wù)器成為Leader后，會周期發(fā)送心跳包給其他的Follower，如果Follower 超過一定時間沒收到心跳包，會觸發(fā)重新選舉Leader 的邏輯；

（2）Follower 異常處理：Leader 發(fā)現(xiàn)有Follower 不能正常接收下發(fā)的命令或者不能回復(fù)狀態(tài)后，F(xiàn)ollower會重啟恢復(fù)。

3.2 基于RAFT 共識算法的鐵路信號聯(lián)鎖系統(tǒng)軟件流程

以鐵路信號列控系統(tǒng)中的聯(lián)鎖系統(tǒng)為例，詳細(xì)描述基于RAFT 的平臺層軟件的實現(xiàn)。如圖5 所示，5 個車站配置了5 套操作表示機(jī)，對于5 個車站各自的執(zhí)行層設(shè)備，邏輯處理層中有4 個服務(wù)器。

圖5 RAFT 共識算法流程

（1）4 個服務(wù)器分別命名為S1、S2、S3、S4，上電完成硬件功能初始化，4 個服務(wù)器都成為Candidate。

（2）服務(wù)器角色初始化，4 個服務(wù)器互相投票，選舉Leader，假設(shè)S1 成為Leader，那么剩下的S2、S3、S4自動成為Follower，完成初始化。

（3）周期執(zhí)行開始，車站1 要排列進(jìn)路，發(fā)出進(jìn)路命令給S1（Leader）。

（4）S1 收到命令后轉(zhuǎn)發(fā)給其他所有的Follower（S2、S3、S4）。

（5）每個Follower 收到轉(zhuǎn)發(fā)的命令，調(diào)用自身的邏輯處理功能模塊檢查進(jìn)路開放的條件，采集室外設(shè)備的狀態(tài)，計算進(jìn)路開放需要操作的道岔。

（6）Follower 計算和采集完成后發(fā)回給Leader（S1）。

（7）Leader（S1）一致性檢查，Leader（S1）接收到2個服務(wù)器發(fā)回來的計算結(jié)果及采集狀態(tài)一致時則認(rèn)為該結(jié)果及狀態(tài)有效，形成最終執(zhí)行命令。

（8）Leader（S1）將命令發(fā)送給執(zhí)行層的相關(guān)設(shè)備執(zhí)行命令操作，將狀態(tài)返回車站1 顯示車站設(shè)備和進(jìn)路的狀態(tài)。

（9）各服務(wù)器無異常時，周期執(zhí)行（3）-（7）的過程，實現(xiàn)系統(tǒng)的正常運行。

（10）Leader（S1）異常后，進(jìn)入過程（2），剩下的S2、S3、S4 重新選舉新的Leader。

3.3 基于RAFT 的安全平臺共識算法的安全性設(shè)計

安全平臺軟件流程描述了平臺軟件實現(xiàn)的主要流程，但是為了保障算法實現(xiàn)的安全性，還需要設(shè)計以下功能確保安全性。

3.3.1 網(wǎng)絡(luò)和通信保障

RAFT 在非拜占庭錯誤情況下，包括網(wǎng)絡(luò)延遲、分區(qū)、丟包、冗余和亂序等錯誤都可以保證正確，不會返回錯誤結(jié)果，這就是安全性保證。實際上就是保證所有成員狀態(tài)機(jī)都以同樣的順序，執(zhí)行同樣的命令。

3.3.2 服務(wù)器節(jié)點數(shù)量和功能

服務(wù)器節(jié)點數(shù)量的增加可以提高系統(tǒng)的容錯能力，常規(guī)的如果有5 個服務(wù)器節(jié)點，那么可以允許2 個服務(wù)器故障，如果如圖5 所示的4 個服務(wù)器結(jié)構(gòu)，就只能允許1 個服務(wù)器故障；同時，每個服務(wù)器應(yīng)有一個自檢程序，用于檢查自身故障后保障系統(tǒng)宕機(jī)，而非異常計算和輸出。

3.3.3 命令時效性

服務(wù)器的Leader 只接收當(dāng)圈周期的命令，避免使用歷史命令造成的風(fēng)險。

3.3.4 同步處理

邏輯服務(wù)層中各服務(wù)器只有Leader 接收車站的命令，并由Leader 轉(zhuǎn)發(fā)給所有的Follower，如果Follower 在計算過程中收到Leader 發(fā)送的新命令，會舍棄原來的計算按照最新的命令重新計算，Leader 來調(diào)度這些并發(fā)請求的順序，并且保證Leader 與Followers 狀態(tài)的一致性，這種機(jī)制保障了邏輯處理的同步[10]。

3.4 基于RAFT 的分布式信號安全平臺的可靠性分析

對于基于RAFT 的分布式信號安全平臺而言，其邏輯處理層執(zhí)行邏輯運算、采集驅(qū)動處理以及通信數(shù)據(jù)轉(zhuǎn)換等功能，也是應(yīng)用分布式算法提升系統(tǒng)可靠性與安全性的關(guān)鍵。因此，本文著重對平臺邏輯處理層的可靠性與安全性進(jìn)行分析。

對于簡單的單系統(tǒng)，其平均故障間隔時間（MTBF）可由下式推出[11]：

式中，RS為系統(tǒng)可靠度，λ 為系統(tǒng)故障率。

由RAFT 算法特性可知，在不考慮共因失效和車站數(shù)量造成的業(yè)務(wù)數(shù)據(jù)量的情況下，系統(tǒng)內(nèi)有3 臺或以上服務(wù)器可以正常工作時，系統(tǒng)處于正常工作狀態(tài)。假設(shè)各服務(wù)器的可靠度相同且失效率均服從指數(shù)分布，不考慮系統(tǒng)的可維修性，則系統(tǒng)的可靠度與MTBF可以由下式表述：

以前文中的控制5 個車站情況舉例，基于RAFT的分布式信號安全平臺的平均故障間隔時間為：

而雙機(jī)熱備、3 取2、2 乘2 取2 等冗余結(jié)構(gòu)的平均故障間隔時間分別為：

精確分析系統(tǒng)的可靠性其工作量非常巨大，但是，將各冗余結(jié)構(gòu)框定在一些限定條件下進(jìn)行比較，亦可做出定性判斷。經(jīng)過比較，本文提出的基于RAFT 的分布式信號安全平臺在可靠性方面勝于當(dāng)前應(yīng)用的各種冗余結(jié)構(gòu)，能夠保障各類信號控制業(yè)務(wù)的穩(wěn)定運行。

4 結(jié)論

本文設(shè)計了一種分布式鐵路信號安全計算機(jī)云平臺架構(gòu)，并研究了其基于RAFT 算法的共識機(jī)制實現(xiàn)方法。對于鐵路沿線多車站場景，本文提出的安全計算機(jī)云平臺能夠有效減少系統(tǒng)設(shè)備的數(shù)量，降低施工的周期，方便擴(kuò)展，不同車站的相同列控系統(tǒng)或者同一車站的不同功能列控系統(tǒng)都能以軟件的形式運行在這一個服務(wù)器群中。同時，研究了鐵路信號安全平臺在RAFT 算法下如何完成同步表決和安全功能的實現(xiàn)，以鐵路信號聯(lián)鎖系統(tǒng)為模型，設(shè)計了詳細(xì)的平臺軟件流程步驟，最后又單獨分析了算法和實現(xiàn)中的安全性設(shè)計。