2-2 JTl-CZ2000型机车信号.pptVIP

* 8. 系统安全性分析 接收主机的安全性 并行接口的安全性 串行接口的安全性 软件的安全性 设备软件的安全性要求 设备软件安全性分析 主讲：李小民 * 8.1 接收主机的安全性 二取二的安全结构 两路独立的信号接收处理 每路A/D动态控制DSP进行工作，DSP同时监测A/D频率 DSP不断对程序EPROM和数据RAM进行测试 两路独立的输出控制 译码结果比较 两路关断控制和一路安全动态控制受控电源 输出反馈检测(继电器接点、灯位电平输出等) 控制CPU各自独立的动态监督单元 开机自检时，监测DSP输出数据的频率 工作中互相监测控制CPU输出数据的频率 主讲：李小民 * 8.2 并行接口的安全性 点灯电源的安全性 两路关断控制和一路安全动态控制受控电源 输出的安全性 控制CPU两路反馈检查 所有输出电路故障，可以全部实时检测 所有混线故障(无断线)，可以全部实时检测 主讲：李小民 * 8.2 并行接口的安全性 所有断线故障 主机板反馈无法发现，需下一级设备确认 点灯信号是关键信号，断线变成灭灯，是安全的 速度等级是关键信号，断线等级降低，是安全的 制式信号、绝缘节信号，部分选择使用，不保证 断线且混线故障 混线在主机一侧，通过反馈可发现，是安全的 主讲：李小民 * 8.2 并行接口的安全性 断线且混线故障 混线在输出一侧线上，情况较复杂 点灯信号 相当于8中取1码方式，断线混线会产生2路灯线都有信号，后级设备或人可立即发现并确认为无效 速度等级信号SD2，SD3 大多情况SD2与SD3是10或01，断线混线会出现11，后级设备可立即发现 主讲：李小民 * 8.2 并行接口的安全性 断线且混线故障 如果考虑SD1有断线故障同时又与高电平信号线相混的极端情况出现，则输出会升级，如下表 因此对于后级设备可以采用串行接口传输速度等级信息来解决速度等级、绝缘节、制式信息的严格安全问题。 主讲：李小民 * 8.2 并行接口的安全性 灯光显示 信息名称 速度等级 灯光显示 信息名称 速度等级 L L3 1 1 0 UUS、UU UUS 1 0 1 L2 1 0 1 UU 0 0 1 L 0 0 1 HU HB 1 0 1 LU LU3* 1 1 0 HU1 1 1 0 LU 0 0 1 HU 0 0 1 U LU2 1 0 1 H H 1 0 0 U 0 1 0 无码 1 0 0 U3 0 0 1 B 无码 0 0 1 U2S、U2 U2S 1 0 1 ? ? ? U2 0 0 1 ? ? 主讲：李小民 * 8.3 串行口的安全性 串口安全性： 信息源的安全性 容易有问题 传输通道的安全性 多种校验解决，问题一般不大 主讲：李小民 * 8.3 串行口的安全性 信息源的安全性 CAN总线传输 主机板上A、B两路，地址不同，信息一致，后级设备接收比较，可保证安全 RS485总线传输 主机板上A发、B收反馈检测，如果不一致B复位(并造成A也复位)，后级设备同时检测并口，并接收串口，可保证安全 或A发、B发，后级设备接收比较，可保证安全 主讲：李小民 * 8.3 串行口的安全性 传输通道的安全性 CAN总线传输 非破坏性帧仲裁结构，CRC校验方式 RS485总线传输 多机RS485通信信息帧结构，累加和及CRC两种校验方式 主讲：李小民 * 8.4 软件的安全性 8.4.1 设备软件安全性要求 IEC61508: Functional safety of electrical/electronic/programmable electronic safety-related systems EN50128: Railway Applications: Software for Railway Control and Protection Systems EN50129: Railway Applications: Safety related electronic systems for signalling 主讲：李小民 * 8.4.1 设备软件安全性要求 需求和详细设计阶段 需求分析 JT1-A/B为基础 新功能要求 安全要求 结构化设计 小的可管理的模块 系统的程序结构，描述信息传递行为 标准设计方法 不使用或限制使用某些语言结构 减少中断的使用 尽可能使用JT1-A/B中的软件模块或部件 主讲：李小民 * 8.4.1 设备软件安全性要求 结构设计阶段 设计程序的自检功能 程序出错后现场数据的保留功能 程序出错后不考虑恢复 主讲：李小民 * 8.4.1 设备软件安全性要求 开发工具和编程语言阶段 使用C语言与汇编语言 不使用其中容易出问题的语言结构 使用TI公司经过验证的CCS开发软件包 发给现场的程