轨道交通的安全计算机轨道交通运行控制系统大多是实时、多任务和安全苛求的计算机控制系统,美国WindRiver公司的VxWorks是微内核结构的多任务嵌入式实时操作系统(RTOS),相当符合这种控制系统的要求。VxWorks采用了中断驱动和基于优先级的抢占式任务调度方式,包括丰富的任务间通信与同步机制,例如共享内存、互斥、信号量、消息队列、信号和管道等,它还提供了先进的内存保护机制和容错管理框架。VxWorks的可靠性和实时性在许多领域都得到了验证,是目前优秀的多任务嵌入式实时操作系统之一。为了进一步提高列车运行速度和线路运营效率,基于通讯的列车控制系统(CommunicationBasedTrainControlsystem,CBTC)成为城市轨道交通的主要发展趋势。在CBTC系统中,车载控制器、区域控制器和计算机联锁控制器是系统的核心组成部分,对整个CBTC的安全可靠运行具有重要影响。而作为这些系统载体的安全计算机,其安全性、可靠性、可用性和可维护性等性能指标也成为影响整个CBTC系统安全可靠性的重要因素。本文针对轨道交通领域对安全计算机在安全性能方面的苛刻要求,提出了一种基于三取二表决结构的安全计算机系统的设计方法。1.1选题背景、目的和意义当今中国社会进步迅速、城市规模迅速扩大、城市人口过度密集以及基础设施建设未及时跟上,造成城市交通拥堵问题已经成为制约诸多大中城市发展的一道障碍。城市轨道交通(包括城市轻轨和地下铁)具有运能大、快捷方便、安全舒适以及相对与公路交通污染小、排放少、节能环保等优点,正在被越来越多的城市作为解决交通拥堵问题的主要解决途径,并加以积极发展建设。随着电子信息技术的发展,在轨道交通领域,传统的继电器联锁方式轨道交通信号系统正在逐渐被以计算机联锁为代表的安全计算机信号系统所代替。人们对城市轨道交通的要求越来越高,如何保证列车的安全、可靠、稳定、快速以及高效的运行是城市轨道交通信号系统函待满足的根本需求。如果系统不能够保证长期稳定、安全、可靠地运行,将可能出现不可预料的严重后果。系统的失效或者故障往往可能导致重大的生命财产损失,包括人员的伤亡、设备的损坏、环境的破坏和财产损失等严重后果,因此系统的安全可靠运行能力是轨道交通信号系统的一项重要指标。安全计算机作为城市轨道交通信号系统的核心,在保证行车安全、增强旅客乘坐舒适度、提高运营效率、提高列车运行精确度等方面觉有决定性作用。保证安全计算机系统的安全可靠运行是安全计算机系统设计制造过程中的一项基本要求。目前轨道交通信号系统正朝着自动化、智能化、系统化、网络化和信息化的方向发展,基于通信的列车控制系统((CBTC)是目前全球轨道交通行业内公认的最先进的列车运行控制技术,是当今世界范围内轨道交通信号技术的发展趋势[f}l。它的特点是用无线通信媒体来实现列车和地面的双向通信,用以代替轨道电路作为媒体来实现列车运行控制。CBTC的突出优点是实现了车一地双向通信,而且数据吞吐量大,传输速度快,减少区间铺设电缆数量,减少一次性投资及日常维护工作,可以大幅提高轨道交通运营效率。我国的CBTC技术相比国外虽然起步较晚,但正处于迅速发展阶段。到目前为止,北京、上海、广州、深圳等城市轨道部分线路己经正在使用CBTC系统,而大部分的在建线路以及一些老线路都准备应用CBTC系统或者进行CBTC改造。国内目前在做CBTC国产化的企业和研究机构主要有:北京交大微联、上海卡斯科、上海阿尔卡特、浙大网新众合轨道、北京和利时等,在目前国家大力发展城市轨道交通,增加基础设施建设力度的大环境下,只要把握住时机和机遇,国产化CBTC系统将大有所为。CBTC系统主要由车载子系统、区域控制子系统、ATS/ATC子系统、数据通讯子系统、联锁子系统构成f2l。其中车载子系统、区域控制子系统以及联锁子系统作为CBTC系统的重要组成部分,分别完成对列车运行的ATP/ATO控制、区域内列车的移动授权、列车运行的移动闭塞、轨道信号系统的联锁逻辑运算等功能,其安全性和可靠性与列车运行安全息息相关,为了保证操作人员和旅客的人身安全,系统的可靠性和安全性必须得到更好的保证。因此在这些子系统中应用的计算机系统通常为基于多模冗余容错技术的安全计算机系统,本文在对常用安全计算机的安全性和可靠性进行分析比较的基础上,提出了一种新型三取二安全计算机系统的设计方法。安全计算机。由于计算机和网络技术的长足发展,工业、交通、国防、日常生活都离不开计算机网络技术。计算机网络技术对于轨道信号的发展是革命性的。逐渐产生微机联锁系统、车地实施通信等高端技术使轨道运输自动化程度大大提高。计算机控制系统可以降低成本,提供便利,增强系统功能,最大限度减少人为出错率。但是有利必有弊,计算机信号系统也有其弊端。一是计算机系统的杂性,软件硬件都是一个不小的问题,尤其是软件,简单的软件程序也有数以千计的执行路径,这对于保证系统安全性能带来不小挑战,发生事故时,寻找失误之处也变得比较困难。但是毕竟计算机信号系统是未来发展的趋势,人们于是把故障—安全技术和计算机网络技术结合起来,形成了一些新的技术和方法。一般说来有故障检测与诊断技术、计算机容错技术,前者一般目的在于尽快发现故障,能够投入备份或者及时修复,后者主要通过冗余屏蔽错误的影响或是利用重构使系统缓慢降级。本题目研究的目的为开发一种新型的具有更高的安全性、可靠性的安全计算机系统,采用嵌入式操作系统和三取二冗余表决形式,实现在系统发生任一单点故障的情况下,系统的不间断正常运行,保证整个系统的可靠性和安全性。首先对安全计算机多种结构的可靠性和安全性进行了比较,最后选取了三取二冗余表决结构作为安全计算机的最终实现形式。详细描述了安全计算机的运行原理和容错功能的实现机制,并对系统的软硬件总体组成结构进行了论述。从硬件方面详细说明了系统的硬件总体结构,采用模块化设计方法,对系统硬件进行了模块化戈」分,并对每个功能子模块的内部结构和组成进行了描述说明。讨论了在硬件模块电路中采用的故障一安全措施,以及这些措施的工作原理。从软件方面研究安全计算机系统的实现方式,运用模块化的方法对系统软件进行了功能模块划分。研究的重点是安全计算机三冗余模块之间的同步、冗余数据的三取二表决、对外数据通讯的管理、系统故障的检测与识别等内容。1.2.1安全计算机研究及发展现状安全计算机系统是指在发生故障的情况下,能够实现系统的故障导向安全,即系统的输出在故障状态下导向安全侧,从而避免造成重大的生命财产损失。安全计算机在航空航天、军事军工、化工能源、轨道交通等安全苛求领域具有广泛的应用,要求计算机系统具有长时间稳定可靠运行的能力,和避免发生重大灾害的故障处理能力。由于当前的电子元器件计算机本身并不具有固有的“故障一安全”特性,从而导致由其组成的计算机系统在发生故障时的输出结果无法预料,因此必须通过采用特殊的容错结构和专用的操作系统使系统在计算机故障时处于安全状态[[3]。设备故障是不可避免的,要使系统在设备故障时不出现危险的后果,必须采用合适的系统结构和设计方法,而实现安全计算机的“故障一安全”特性最常用的技术就是容错技术。容错技术的基本出发点是承认系统故障的不可避免性,它的本质是容忍故障存在,进而采取措施解除故障影响的技术。容错技术最重要的思想是冗余和重组,其对故障的处理主要有以下几种措施[4]1).故障限制:限制故障的影响范围,一般采取隔离、模块化等技术措施。2).故障检测:实现对故障的检测和定位,方便维修和维护。可采用联机检测和脱机自检的方法一1).重试:在某些环境因素(如电磁干扰)的影响下,系统出现瞬态故障。这种情况下可采用对操作进行重试,即可消除故障的影响。2).恢复重组:即当检测到故障后,就启用冗余设备,进行重组,屏蔽故障的影响。3).重启:当故障无法消除,计算机系统失效时,可以进行设备重启,消除故障。但是设备重启一般需要一定的时间,所以最好能够配合冗余和重组技术构建热备冗余系统。重启分为软重启和硬重启。4).对故障部件进行修理使之复原。修复工作可以脱机进行,也可以联机进行。要进行脱机修复,要求系统硬件最好能够支持热插拔技术。5).重构:将修复的设备重新装回系统,成为备用部件。随着轨道交通对列车运行速度和运能要求的提高,保证行车的安全性和可靠性成为越来越为重要的研究课题。轨道交通信号系统以及列车运行控制系统作为CBTC系统中的重要组成部分,普遍采用了安全计算机作为系统运行平台,其运行的安全性和可靠性是业内非常重视的关键问题。早在1978年,瑞典的Ericesson公司(现属于Adtrans公司)就研制出一台安全计算机作为城市地铁的联锁控制器在瑞典哥德堡站(Geteborg)投入运行。由于安全计算机相比以往的轨道继电器电路在性能和扩展性、维护性方面的诸多优势,安全计算机系统在轨道交通上的应用越来越为广泛,各家公司纷纷研制了自己的安全计算机系统。在国外,其中最具代表性的安全计算机系统主要有:(1).德国西门子公司研制的SIMIS系统。该安全计算机采用二取二结构,即采用的两台完全相同的计算机组构成热备冗余结构,在系统的输出设有硬件比较器,从而实现系统的“故障一安全”。(2).德国西门子公司研制的SICAS系统。该安全计算机采用的是三取二结构,即采用的三台完全相同的计算机组构成三模冗余结构。这套系统的特点是结构简单、配置灵活,但不适用于控制单元多、联锁逻辑较为复杂的情况。(3).瑞典Adtranz公司研制的EBILOCK系统。该安全计算机也是采用采用二取二双机热备冗余结构方式来提高可靠性和安全性。(4).Alcatel公司研制的SelTra。系统[[5]。该系统应用于基于无线通信的列车控制系统,作为系统中的区域控制器来实现列车运行的移动闭塞技术。该安全计算机采用的一是三取二结构,通过对输出的三取二表决来实现系统的容错能力。(5).Bombardier公司的Flexiblok(现改名CITYFLO)CBTC系统中的轨旁ATP(区域控制器)、联锁控制器和车载ATP(车载控制器)等皆为基于二乘二取二结构的安全计算机系统。(6).USSI公司(已被Ansaldo收购)的MicroLock计算机联锁系统,采用的是热备冗余结构的安全计算机系统。(7).GRS公司(己被Alstom收购)研制的VPI系统,采用的也是双模冗余技术来提高系统的可靠性国内的公司和研究机构自80年代初就开始了轨道交通安全计算机的研制工作,但进展比较缓慢。到90年代中后期,进入了快速发展阶段,安全计算机首先被应用于实现轨道交通信号系统的联锁功能,即计算机联锁系统。其中具有代表性的是:1、铁道部科学研究院通号所的TYJL-II双机热备型、TY儿一TR9与TYJL-TR2000三取二型计算机联锁系统f}-8102、通号公司研究设计院计算机所的DS6-11双机热备、DS6-20三取二型、DS6-KSB二乘二取二型计算机联锁系统[9]03、北京交大微联公司的JD-1A双机热备型与EI32-JD型计算机联锁系统[1}].04、卡斯科公司的iLock二乘二取二计算机联锁系统W]0除此之外,国内还有诸如北京和利时、华为技术有限公司、浙大网新众合轨道、兰州大成等其他公司亦在研发自己的安全计算机系统。1.2安全计算机理论研究及现状安全计算机系统最主要的功能是保证列车运行安全,降低事故发生可能性、提高列车运营效率,安全性、可靠性、可用性和可维护性是评价安全计算机系统优劣的重要指标。在对安全计算机系统不同结构的安全性、可靠性、可用性和可维护性进行量化分析方面,前人已经做过很多理论研究工作,有很多已经被证明为正确有效的方法。Markov模型是分析安全计算机可靠性最为有效的方法之一。Markov过程认为系统在时刻to所处的状态和时刻to之前所处的状态无关,且将来时刻t的状态与现在的状态有关,而与过去状态无关,这一特点被称为“无后效性”或者“无记忆性”或“马氏性”(121。系统中故障的出现和修复都是随机,而与以前的状态无关,因此这种过程属于Markov过程。Markov模型可以综合反映多种