加急见刊

轨道交通安全计算机的研究与设计

薛维清 徐洪泽  2008-12-16

摘 要:轨道交通信号系统的安全性直接影响到列车能否安全可靠并且高效地运行,为保证信号系统的安全性,必须对信号设备的安全计算机进行专门的选型与设计。对轨道交通系统中基于PowerQUICC处理器的信号设备安全计算机进行深入研究,在此基础上,在软硬件方面,设计与实现基于PowerQUICCII的多模安全计算机原理样机,并进行功能性测试,为进一步开展信号设备安全计算机的研究奠定基础。

关键词:安全计算机;PowerPC;铁路信号;轨道交通 在目前的工业控制计算机系统中,大多数都具备较高的可靠性。但是,由于通用电子元器件本身不具备故障状态的不对称性,则由其构成的电子计算机也不具有故障状态的不对称性,即不具备故障—安全特性。因此对于轨道交通运行控制领域,一旦计算机系统不能正常工作,有可能向被控设备输出危险的控制信号,从而造成重大的人员伤亡和财产损失。轨道交通信号设备要求的是一种高可靠性、高安全性的故障—安全计算机控制系统。 1 安全计算机的体系结构 常见的安全计算机系统结构冗余方式,如双机热备、三取二表决、二取二表决、二取二乘二等,它们的安全性和可靠性指标已有很多文献从理论上进行了论证,并且已经应用在多种轨道交通信号设备上,如车站计算机联锁系统和列车自动运行系统等。目前,采用双机热备形式的安全计算机应用比较广泛,在双机热备的技术基础上可以构建二取二乘二的结构,而两者相比,后者明显具有更高的安全性和可靠性。

如图 1 所示,二取二乘二系统分为相互独立的A 、B 两个运算系,每系内均有两个关系对等的主处理单元,每个主处理单元均能同时接收接口层的输入信息。在信息处理与计算过程中,同一运算系内的两个主处理单元通过诊断机制进行同步校验,所有信息校验无误后软件方可输出动态码型的控制信号给本系内的二取二表决模块,表决一致才能够输出有效的控制信号。两个运算系分别独立地完成相同的任务,而由专门的主备切换单元判断两系的运行状态是否正常,执行主备切换操作,并将主运算系的控制信号输出给被控设备。 2 安全计算机设计 在这样的多重冗余结构中,各单元间的通信接口需求较为复杂,通信任务较为繁重。同时,安全计算机软件除了要完成正常功能任务,还要进行容错与避错处理。因此,选用PowerPC 处理器为核心,设计主处理单元以实现上述结构。 PowerPC 是IBM、Freescale(原Motorola半导体部)联合研制的一种高性能超标量精简指令集微处理器(RISC)体系结构。Freescale的PowerQUICC处理器集成PowerPC 内核和称之为通信处理器模块(CPM)的多协议加速引擎,提供了更高的性能和集成度。PowerQUICC处理器目前在中高端通信市场占据着领导地位,它具有集成度高、运算速度快、功耗较低、抗干扰能力强、性能稳定可靠、通信与网络协议处理能力强大以及产品线完整等优点,适合应用于复杂系统的安全计算机。 PowerQUICCII(PQII)是该系列的第2代产品,由PQII 设计的单个主处理单元系统如图2 所示。.

其中,PQII的高速64bit外部总线60xBus上连接了大容量的 S D R A M 内存和 F L A S H ,并且利用CPLD 扩展出了 CAN 总线接口逻辑和安全I/O 总线接口逻辑。必要时,60x 总线还能够连接其他PQII 处理器以扩展利用更多的通信接口。此外,我们还利用PQII 内部的PCI 桥预留了外部 PCI 总线接口,以用于未来的功能扩展。在 C P M 上连接了异步串行RS-232接口、RS-422接口、10/100M以太网以及CPU调试控制端口(CONSOLE)。为了进一步提高系统的可靠性和安全性,主要的外部数据通信接口,包括CAN 总线、RS-232 总线、RS-422 总线以及10/100M 以太网均为双套冗余设计。同时,系统还提供了看门狗定时器(W D T )、工作电压监测复位和实时时钟(RTC)等功能。

图3 中,安全计算机位于信号设备的安全处理与运算层,它除了双重冗余的10/100MBaseT以太网用于同上位机进行通信外,系统中每个主处理单元均各自设计了2路RS-232 接口、2路RS-422接口、2 路CAN2.0 接口,它们预留作为与其他轨道交通信号系统的通信接口。 同一系内主处理单元之间的数据同步与校验主要利用它们之间的双口 RAM 来进行。使用 PQII 处理器60x 总线上的总线控制信号进行握手,能够及时响应对双口RAM 的操作,提高数据交换速度,并且避免两个主处理单元同时存取双口 R A M 时所造成的冲突。同时,同系主处理单元之间、A-B 两系之间还应利用双重以太网进行数据复核。 安全I/O 模块专门用于控制和采集轨道交通信号设备的开关量信号,它具有动态信息码处理能力,电路设计符合故障—安全特性。它的输入和输出通过表决后即可控制设备接口层的现场设备。PQII处理器通过由60x总线扩展的专用安全I/O总线来控制安全 I/O 模块,这种总线对所输出的数据和地址具有回读校验能力。 3 安全计算机软件机制的设计 轨道交通运行控制系统大多是实时、多任务和安全苛求的计算机控制系统,美国WindRiver 公司的VxWorks 是微内核结构的多任务嵌入式实时操作系统(R T O S ),非常符合这种控制系统的要求。VxWorks 采用了中断驱动和基于优先级的抢占式任务调度方式,拥有丰富的任务间通信与同步机制,例如共享内存、互斥、信号量、消息队列、信号和管道等,它还提供了先进的内存保护机制和容错管理框架。VxWorks 的可靠性和实时性在许多领域都得到了验证,是目前优秀的多任务嵌入式实时操作系统之一。 VxWorks 的多任务机制非常灵活,例如使用taskSpawn()函数即可发起一个新的任务。VxWorks拥有256 个任务优先级别,任务优先级的确定要综合考虑任务的重要程度、运行时间以及触发频率等因素。对于安全计算机软件来说,我们按照欧洲铁路标准EN61508《电气/电子/可编程电子安全相关系统的功能安全》的思路对其任务处理优先级规划如下:安全苛求功能(SafetyCriticalFunction)运算处理应具有较高优先级,例如计算机联锁中的进路处理任务或道岔单操控制任务或列车自动防护中的制动速度曲线计算任务等;安全相关功能(Safety-relatedFunction)运算处理具有次高优先级,例如输入信息采集任务或主处理单元间通信校验任务等;非安全相关功能任务具有较低的优先级;而硬件中断级任务,如通信中断等应享有最高优先级,以保证其高度实时性。 4 结束语 轨道交通信号系统的核心是安全计算机,对它的研究具有重要的理论和实践意义。本文介绍了安全计算机的研究现状与构成方法,设计了基于Power-P C 的二取二乘二结构安全计算机,实现了主处理单元的VxWorks 底层驱动程序、BSP 以及演示级应用测试程序,并且进行了长时间的多任务负荷老化实验,运行稳定可靠。下一步研究工作一方面是重点把PowerPC 主处理单元和输入 / 输出安全电路进一步按照模块化要求进行改进,以适应不同冗余结构系统的设计需要;另一方面是利用现有平台基础,实现一种具有安全苛求功能需求的信号设备,开发相关安全软件,建立仿真实验平台,以进一步验证和改进本文提出的安全计算机软硬件实现机制。 参考文献: [1]徐洪泽,岳 强.车站信号计算机联锁控制系统原理与应用[M].北京:中国铁道出版社,2005. [2]李海泉,李 刚.系统可靠性分析与设计[M].北京:科学出版社,2003. [3]周启平,张 杨.VxWorks 下设备驱动程序及 BSP 开发指南[M].北京:中国电力出版社,2004. [4]马连川,高倍力.一种高安全、容错控制计算机的设计与实现[J].中国安全科学学报,2004(8):101-105.

下载