作者 |劉艷青 上?？匕舶踩珳y評中心安全測評部測試經理

版塊 |鑒源論壇 · 觀通

01聯鎖系統的硬件結構

根據聯鎖系統的層級關系，聯鎖系統的硬件層級可以分為4層：人機會話層、聯鎖層、接口層、室外設備層。

圖1 聯鎖系統的硬件結構

02聯鎖系統的軟件結構

聯鎖系統的軟件大體分為3部分：操作員臺軟件、聯鎖軟件、診斷維護軟件。

·操作員臺軟件功能：控制命令發送與處理；站場信息顯示和信號設備狀態顯示；操作命令提示；報警；與TDCS/ CTC、軌交ATS系統等接口。

·計算機聯鎖軟件功能：輸入輸出控制；排路任務調度；聯鎖BOOL運算；安全命令判斷管理；與TCC等其它系統通信。

·診斷維護軟件功能：系統診斷和維護；操作命令與信號設備顯示日志記錄；故障顯示和報警信息日志記錄；與監測系統通信；回放等功能。

2.1 聯鎖軟件中的任務調度功能

通過I/O模塊進行安全采集可以讀取到輸入板的碼位狀態信息；

根據聯鎖設計的電路邏輯，進行聯鎖BOOL邏輯運算處理；

通過I/O模塊進行安全輸出，發送控制命令控制輸出板；

通過非安全通信，可以完成與其他系統的交互進行非安全通信的相關任務，如：診斷維護系統、其它聯鎖機、操作員臺或模擬仿真測試系統；

通過安全通信，完成和備機/系聯鎖機進行主備系同步比較信息的安全通信的任務；

通道優先完成當前通道的運算，其次，再進行比較兩個通道。

2.2 聯鎖軟件中的安全管理功能

主任務可以產生安全檢查相關信息，向安全檢查模塊發送檢查結果。

緩沖區的數據實時進行更新，用以校驗刷新的實際結果。

嚴格檢查所有輸出板，安全診斷所有輸出端口，保證安全輸出。

安全控制系統明確嚴格要求，既要進行獨立于邏輯運算，也要獨立于安全監督等相關功能。

2.3 聯鎖軟件中的冗余管理

2.3.1 采集共享功能

各聯鎖機獨立對同一個采集信息進行獨立采集。

獨立采集之后，根據設計需要，通過安全通信通道，互相傳遞各自采集到的信息，進而有條件的實現共享采集信息。

單套系統采集受到干擾，或者信息中斷，都會對系統造成影響，冗余管理就可以有效的避免此種情況。

采集信息共享的前提是系統實時安全采集以及實時安全通信。

2.3.2 并行輸出功能

各聯鎖機獨立進行聯鎖運算。

備機與主機并行進行運算，結果相同時，當備機具備條件時，也會輸出。并行輸出有效地避免了單套系統因故障，導致空輸出，或者通道斷線不能及時輸出。

并行輸出前提也是系統實時安全采集以及實時安全通信。

并行輸出的前提是，主備雙機和繼電器之間的連接正確、輸出線極性正確，不能接反，否則極性相消，輸出為空。

圖2 冗余管理-并行輸出

03聯鎖系統的冗余技術

為了提高聯鎖系統的安全性，計算機聯鎖系統和其他安全系統一樣，有效地利用了冗余結構。

最開始采用主備雙機熱備，雙機熱備的冗余系統，很大程度上提高了可靠性和安全性。

與此同時，也采用過三取二系統，3個機器的運算結果各自對比，給出最終結果，這樣，錯誤輸出的可能性就大大降低了。與此同時也會暴露出三取二的缺點，顧名思義，三取二要求三個機器同時工作，所以就不能有任何一個故障、停機或者進行設備檢修。一旦其中一個停止，整個三取二的系統就宕機不能正常工作。

為了解決三取二的缺點，又推出二乘二取二的設備系統，兩個運算CPU組成一個主機系統工作狀態，另兩個備機CPU處于熱備狀態，這樣，不僅滿足提高了聯鎖系統的安全性，而且方便進行停機檢修。二乘二取二的冗余熱備系統，是目前主要冗余系統應用方式。

3.1 雙機熱備的冗余結構

作為聯鎖主機的聯鎖機采集收入，執行聯鎖運算，控制驅動輸出；

作為聯鎖備機的聯鎖機，同時進行采集輸入，執行聯鎖邏輯運算，但不會驅動輸出。兩套聯鎖機相互作為主備機；其中一套宕機時，另外一套聯鎖機自動切換成為主機，繼續執行工作，宕機的作為備機工作。

聯鎖機之間可以自動切換，也可以人為控制，手動切換主備機。

聯鎖系統雙機熱備和操作員臺的連接是沒關系的，操作員臺可以雙機連接，單機或者更多N+1熱備的操作員機，都可以進行連接通信。

圖3 雙機熱備冗余結構示意圖

3.2 二乘二取二的冗余結構

每套聯鎖機有兩個通道執行聯鎖任務；

通道之間互相獨立，且選用不同的硬件和軟件分別執行聯鎖運算；

兩個通道的運算結果經對比，結果完全無差別才產生輸出，否則不輸出。

因此，兩個通道有且同時產生同樣的錯誤結果，才會產生錯誤輸出，這種概率很小，安全性的系統才得以保證。

同樣，聯鎖系統雙機熱備和操作員臺的連接是沒關系的，操作員臺可以雙機連接，單機或者更多N+1熱備的操作員機，都可以進行連接通信。

圖4 二乘二取二冗余結構示意圖

3.3 三取二的冗余結構

三取二中的三套聯鎖機同時獨立執行各自聯鎖任務；

聯鎖機獨立處理邏輯運算，兩兩相比較，運算結果對比后完全相同時，才會產生正確輸出。

因此，當三個聯鎖機同時出錯，才產生危險輸出，這種概率也極小。

三取二的弊端是，同步信息的運算的要求很高，輸出不同步，即不能產生有效輸出。

聯鎖機和操作員臺雙機連接互相獨立，互不影響。

圖5 三取二冗余結構示意圖

04聯鎖系統的仿真技術

聯鎖系統具備仿真測試功能，在經過嚴格的人工判斷及手動設置，才會轉入仿真測試系統；不會自動轉為仿真測試狀態，當前已轉為仿真測試狀態，不會自動轉變狀態，從而不會把仿真狀態的數據計算結果輸出給實際使用的設備，從而導致錯誤輸出。

4.1 聯鎖仿真機的轉換

聯鎖機設置為仿真測試狀態，需要嚴格按照如下步驟執行：

（1）關閉聯鎖B機（B機轉為仿真測試機），板卡中具備仿真功能模塊；

（2）手動將切換模塊用鑰匙從“自動”位置檔位切到 “聯鎖A機”；

（3）重新上電聯鎖B機；

（4）作為仿真機相連的MMI切換為“仿真測試狀態”。

4.2 聯鎖系統中的MMI功能

操作員在MMI界面上，通過操控按鈕發送控制命令，接收現場繼電器采集信息，直觀在MMI界面上顯示現場設備狀態；

網絡交換實現MMI主備機之間，以及與其他系統之間交換信息；

敵對進路的判斷、表示等非安全聯鎖邏輯顯示功能； 數字式道岔動作電流顯示；

聯鎖系統和TDCS系統、CTC系統交互信息在MMI上，是通過串口接口連接；

表示燈、報警燈顯示以及其他特殊要求的顯示功能；

上電解鎖功能通過人工按壓“上電解鎖”按鈕操作實現；

非常站控和CTC之間模式轉化也在MMI界面進行控制權的申請和轉讓；

MMI界面提供工具條，人工可以進行按鈕操作，實現進路的建立、進路總取消、列車信號和調車信號的重開、對于咽喉分區的引導總鎖、列車信號對應的引導按鈕、進路非正常解鎖的總人解、對不能正常解鎖的區段區故解、道岔定位轉換操作、道岔反位轉換操作、單個道岔的鎖閉操作、單個道岔的解鎖、按鈕的封鎖、以及其他功能按鈕的操作；

閉塞、溜放、非進路等功能辦理；

輔助功能：文字顯示、車次窗、分路不良確認。

05聯鎖系統與其他系統接口

圖6 聯鎖和其他系統網絡連接

聯鎖系統與TDCS/CTC系統的接口是上位機和CTC系統中LiRC通過RS-422標準串行雙通道交叉互聯。

聯鎖系統向TDCS/CTC的發送站場表示信息以顯示設備狀態，TDCS/CTC向聯鎖系統發送控制命令信息以進行排路等指令操作。

圖7 聯鎖和TDCS/CTC系統串口連接

06總結

本文只對聯鎖的硬件、軟件結構、冗余技術和仿真技術做了介紹，聯鎖系統作為整個信號系統的核心系統，技術條件中對聯鎖系統要求很多，如故障-安全原則、軟件的安全性劃分等級有5級，EN50128和EN50129中有定義規定為SIL4級。聯鎖系統和其他系統的接口應當遵守規定的協議。

參考文獻：

[1] TBT_3027-2011計算機聯鎖技術條件(修改版)

[2] 計算機聯鎖系統介紹_v0.0.1

審核編輯黃宇