企业学院 理论培训 计算机联锁系统培训 - 1天版本.ppt

* 国内计算机联锁从起步至今已有20年历史，最初的研发起步和试验阶段大致有10年的时间，主要是在路外和编尾使用。93年在哈尔滨平房站首次进入国铁客站，95年在南昌向塘首次进入干线枢纽客站，并在京九铁路的建设中小具规模并取得成功。此时先后全套引进了美国GRS、日本京三、意大利安萨尔多和德国西门子等国外的计算机联锁系统。此后经历了无序发展-治理整顿-积极稳妥的发展阶段，开始进入积极的良性发展阶段。 4+4+1的格局 以向塘、阜阳枢纽为标志，国产计算机联锁，主要是铁科院的计算机联锁在京九铁路的建设中小具规模并取得成功。 武广线铁科院国产计算机联锁规模化上道的成功，引发了国内计算机联锁的快速甚至是无序的发展。 京九线建设中规模化全套引进了国外的计算机联锁系统 4+4+1 ① 安全、稳定、可靠地对规模数量的继电器类和/或其它数字和模拟对象，实时进行状态采集和驱动控制处理。 ② 安全、稳定、可靠地在安全平台内部（包括主控层与执行层之间），实时进行安全信息的传输/通信及状态更新。 在这个环节中，对各种安全相关信息确定明确的安全侧编码及处理原则并进行校验非常重要，特别是对失去实时性的非安全侧错误保留的防护。7.23事故就是因为平台在①、②两项出了问题所引发的。 ③ 安全、稳定、可靠地与系统外部的其它安全相关系统进行安全相关通信（图中S类接口）。 事实上，因故障而在②和③两项中的各个信息传输和通信环节上发生的错误保留，是我国铁路信号截至目前在计算机联锁和列控中心系统中发生次数最多的一类涉险情况。 ④ 稳定、可靠、高效地与应用系统的操作显示子系统及系统外部非安全相关系统进行实时通信（图中C类接口）。 ⑤ 为应用软件提供安全的信息接口，以及必要的功能调用服务等运行环境。 ⑥ 提供程序下载、启动、日志记录、上传等平台的人机接口等功能（图中M类接口）。 ⑦能够在线实时、快速进行的全面、高覆盖率的测试与故障检测 ，尤其是对所有可信危险失效模式全覆盖的在线快速检测能力，是平台安全保障关键的基本条件。 ⑧ 能够可靠、快速地强制系统进入或保持在安全状态的拒绝机制 拒绝机制是安全计算机平台的最终保障；自身也应具有失效-安全特性。 ⑨ 同步控制及同步处理 具有复杂状态时序机特征的控制系统，必须通过主从同步或主备同步控制达到并保持主从两子系或主备两系相互间在时间、时序上的精确配合，并通过必要的信息交互（同步数据传输）和同步处理，才能够保持相互间运行状态的稳定同步，并进而实现二取二比较的安全冗余或双机热备的可靠性冗余（二乘二取二冗余实际上就是这两者的组合）。由于同步数据传输和同步处理的内容，需要全面涉及包括系统的工作状态、输入采集、输出驱动，操作控制命令，以及与应用处理相关的其它状态等关键的安全相关信息，安全平台在同步数据传输及同步处理方面的原则错误或设计缺陷，很可能会成为系统的安全隐患；尤其是主备同步方面的错误，可能会直接导致错误的驱动输出或“双主”等危险的系统状态出现。这在引进的国外平台也曾有类似的情况发生。 ⑩ 比较与“拒绝” 在独立性良好、排除共因故障的基础上以两子系间对比的差异性作为差错发生、并进而将系统控制在安全侧的充分判据，其冗余同时起到有效检测故障并有效限制故障影响的作用，且可为对故障的检测和“拒绝”处理提供充裕的时间保障。 以周期性在线测试方式进行的一致性比较，是EN50129对大规模集成电路的故障检测所推荐的唯一具体措施，特别适合用于复杂可编程安全苛求系统，尤其是安全计算机平台器件集成度最高的主控层。 11. “无扰” 切换 热备系统两系间的主备同步及相关的状态转换机制，都是为了在主系发生故障时能够自动实现“无扰”切换，以有效提升系统的可靠性和可用性 是决定主、备冗余系统最关键的控制权唯一性的重要因素，甚至是决定性的因素。因为“双主”状态的错误一旦出现，就很有可能在两系输出不一致时导致危险情况的发生。 联锁逻辑运算层 * 另一套联锁机 采集执行层 上位机、维修机 区域机 安全网 联锁逻辑运算层 * 联锁逻辑运算层接入安全数据网 * * 双机热备系统结构图 冗余软件 诊断 外回读 主逻辑单元 I/O总线 输入 输出 冗余软件 回读 诊断 外回读 QHJ 主逻辑单元 I/O总线 输入 输出 采集信息 驱动对象 回读 * 2乘2取2系统结构图 从逻辑单元 诊断 外回读 主逻辑单元 I/O总线 输入 输出 采集信息 驱动对象 比较器 主逻辑单元 I/O总线 输入 输出 从逻辑单元 诊断 外回读 比较器 * 双机热备系统结构图 * 2乘2取2系统单机原理图 * 2乘2取2系统单机原理图 * 2乘2取2系统单机原理图 * 2乘2取2系统结构图 * 2取2系统的同步 时钟同步 任务同步 * 2取2系统的时钟同步 *