当前位置:首页 >> 能源/化工 >>

二乘三取二冗余结构设计


西南交通大学 硕士学位论文 二乘三取二冗余结构设计 姓名:任鹏 申请学位级别:硕士 专业:交通信息工程及控制 指导教师:彭其渊 20090701

西南交通大学硕士学位论文

第1页





由于现代科学技术的迅速发展,计算机技术不断地渗入各个学科领 域。我国的铁路信号领域

也不例外,随着计算机技术的迅速发展,尤其是 对于可靠性技术和容错技术的深入研究,微机联锁系统正日趋成熟,大力 推广使用,已开始取代传统的继电联锁系统,实现铁路信号设备控制和行 车作业指挥。 微机联锁系统功能强,处理速度快,而且设计、施工、维修和使用大 为方便,与继电集中联锁相比具有十分明显的技术经济优势,为世界各国 所关注,是车站联锁设备的发展方向。但与此同时微机联锁系统要求比较 高的可靠性,又要求比较高的安全性,这是因为微机联锁系统不仅需要昼 夜不停地连续运转,而且一旦出现故障,就有可能直接涉及生命财产安全, 导致重大的损失。所以,微机联锁系统需要利用冗余结构设计,使其自身 构成故障安全系统。 根据国际对微机联锁系统可靠性和安全性的普遍要求,本次微机联锁 系统的冗余设计采用二乘三取二结构,通过硬件冗余来提高微机联锁系统 的可靠性和安全性。同时在三取二模块中三个CPU采用三种不同的程序 算法,而且可由完全不同的三组人员开发相同功能的程序,这种软件冗余 方式可以大大降低由于共模原因发生的安全问题的可能性。通过这样一种 冗余结构的设计,使微机联锁系统自身构成故障安全系统,在微机联锁系 统实际工作中将故障导向安全。

关键词微机联锁:二乘三取二;冗余结构;故障安全

西南交通大学硕士学位论文

第1 I页

Abstract
Modern science and technology
computer
as a

result of the rapid development of
no

technology

in all

areas

of penetration.China’S railway signal

exception,with the rapid development of computer

technology,especially

for

the reliability of technology and in--depth study of fault??tolerant computer interlocking promote the railway
use

technology,
vigorously

system
tO

is becoming

more

mature,and

of,has begun

replace traditional relay Alliance lock system,

signal

equipment and traffic control operations command. system,and
use

Computer

interlocking

processing

speed,and

the

design,

construction,maintenance and
relay chain to concentrate has


of much convenience,compared with the

very clear

technical

and economic advantages,

the

concerns

of all countries in the world,is the station interlocking equipment

direction of development.But at the same time the requirements of Computer Interlocking System reliability is relatively
not

high

and

relatively

high

requirements of security,this is

because

only the needs of computer
event

interlocking system around the clock continuous operation,and the faulL it may be directly involved in the

of a

lives of property,resulting in
use

significant

losses.Therefore,the need for the


of computer interlocking

system redundancy design,it constitutes

fail—safe system itsel£

In accordance with intemational computer interlocking system reliability and safety of the general requirements of the computer redundancy designs 2


interlocking system

3 to structure,through hardware redundant tO upgrade

computer interlocking system reliability and security.At the same time in

three

tO

Module Three CPU in three different

procedures algorithm,but also

by different 3 staff development similar functions,the software redundant could be significantly reduced
as a

model

for

reasons

of security issues.

西南交通大学硕士学位论文
Through such

第ll I页



redundant structural design,the computer interlocking system


itself constitutes

failure security systems,computer interlocking system

practical work of the failure orientation.

key words:Microcomputer Interlocking;2 Redundant structure;Fail—safe



3 to

structure;

西南交通大学学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文 被查阅和借阅。本人授权西南交通大学可以将本论文的全部或部分内容编 入有关数据库进行检索,可以采用影印、缩印或扫描等复印手段保存和汇 编本学位论文。

本学位论文属于

1.保密口,在

年解密后适用本授权书;

2.不保密√,使用本授权书。

学位论文作者签名:彳屯徊呜
日期:

知’.硒

指导老师签名:够苏吲
日期:加7?7.占



西南交通大学学位论文创新性声明
本人郑重声明:所呈交的学位论文,是在导师指导下独立进行研究工 作所得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和 集体,均已在文中作了明确的说明。本人完全意识到本声明的法律结果由 本人承担。

了馏
少7.7.亨

西南交通大学硕士学位论文

第1页

第1章绪论
1.1研究背景

1.1.1微机联锁系统的广泛应用
微机联锁系统是铁路及城市轨道交通信号系统中一个重要的子系统, 其主要功能是处理轨道交通进路内的道岔、信号机、轨道电路之间的安全 联锁关系,以保障列车在车站内运行安全。…它的特点是系统设计、施工 工作量大大减小,并且可以方便地增加新功能,使得功能进一步完善。在 功能不断完善的同时,还需采取必要的技术措施来提高微机联锁系统的可 靠性和安全性。 微机联锁系统是铁路信号最重要的技术之一,是铁路信号的重要计算 机应用。它是一种以计算机为主要技术手段实现车站联锁的系统。随着电 子信息技术和网络技术的发展,微机联锁系统正在逐步取代继电联锁系统 成为铁路信号控制的首选方式。目前微机联锁系统已处于实用阶段,随着 实践经验的积累,系统的性能也在不断提高。由于采用了先进的计算机技 术和通信技术,微机联锁系统将成为综合行车指挥控制系统的基础设备和 重要组成部分。 总之,微机联锁控制铁路信号将向低成本、高效率、高安全、高可靠 及信息化、智能化、网络化和综合自动化的方向发展,是大势所趋,是现 阶段更好的控制铁路信号的最佳选择。心3

1.1.2微机联锁系统的可靠性和安全性需求
微机联锁系统的基本任务是保障行车安全,提高运行效率,故其可靠

西南交通大学硕士学位论文

第2页

性和安全性是评价一套微机联锁系统性能优劣的重要指标。虽然微机联锁 系统控制铁路信号在性能上较继电联锁系统有了质的提升,但必须采取必 要的技术措施,才能提高系统的可靠性和安全性。如果微机联锁系统中联 锁设备或联锁软件一旦出现故障,对系统影响会很大,甚至使系统不能正 常工作,导致系统无法控制铁路信号,不能保障正常安全的铁路运输。 目前采用避错和容错两种技术可以有效地提高微机联锁系统的可靠 性和安全性。尤其是容错技术,它是构造高可靠性高安全性微机联锁系统 的有力手段,也是当今最活跃的一个研究领域。口3 冗余技术是容错技术的核心,容错计算也是通过计算机资源的冗余来 实现的。为了提高系统的可靠性和安全性,微机联锁系统大多采取了冗余, 常见的冗余结构有双机热备冗余结构,二乘二取二冗余结构和三取二冗余 结构。H1

1.2国内外研究现状
微机联锁控制铁路信号现已处于实用阶段,但怎样提高系统的可靠性 和安全性已成为国内外研究的重点,容错技术,冗余结构和故障安全系统 是当前主要的研究领域。 1952年冯?诺依曼的实践和理论奠定了容错计算技术的基础。
1 954年第一台容错计算机在捷克斯洛伐克建成,取名为SAP0,它采

用三模冗余表决技术。 70年代,容错计算机系统又有了较大发展,出现了许多重要意义的 研究性系统和实用系统。美国的SIFT计算机的可靠性目标是在lOh的运 行期中失效率小于10一。

西南交通大学硕士学位论文

第3页

进入80年代,VLSI技术的发展使得硬件成本大大降低,使得商用型 容错计算机系统应运而生。璐1 在容错技术和冗余技术的基础上微机联锁系统构造成故障安全系统, 保障微机联锁系统正常工作。 国外的微机联锁系统大多采用硬件冗余比较表决方式实现系统过的 故障安全,并采用双重或三重系统不停顿故障重组技术提高系统的可靠性 和可用性,形成了系列化的产品,具有代表性的有瑞典的EBILOCK系列、 德国的SIMIS系列、英国的SSI系列、法国的SELMIS系列、美国的VPI 系列及日本的SMILE系列。而我国的微机联锁系统主要采用由通用的工业 控制计算机组成的双机热备系统,有少部分采用了由国外专用机组成的双 机及多机系统。№1

1.3本论文研究来源
为了提高系统的可靠性和安全性,微机联锁系统大多采取了冗余。当 前微机联锁系统主要采用的是双机热备、二乘二取二、三取二这三种冗余 结构。在双机热备冗余结构中,系统是由两个独立的模块组成,每一个模 块相当于一个单机。正常工作时,两个模块都加电工作,不过其中只有一 个模块的输出能经过切换去控制被控对象,即其输出是有效的,另一模块 的输出是无效的。在二乘二取二冗余结构中,系统是由两个CPU构成一个 子系统执行联锁任务的,另两个CPU构成的子系统处于热备状态组成,当 两个CPU的输出不一致时,即在处于执行联锁任务工作的通道出现异常 后,系统能进行无扰切换,将把处于热备状态工作的通道的输出作为系统 输出,从而提高系统的可用性。在三取二冗余结构中,系统采用三台性能 完全相同的计算机,并运行相同的应用程序。每个计算机通道由处理器, 数据交换,同步,比较器等模块和切换电路组成。在这三种冗余结构的基

西南交通大学硕士学位论文

第4页

础上,本文提出二乘三取二冗余结构。系统是由两个三取二冗余结构进行 双机热备,其中每个三取二冗余结构都采用三台性能完全相同的计算机, 但三台计算机采用的是由完全不同的三组人员开发的功能相同代码完全 不同的联锁软件,这样就可以避免由于共模原因所发生的安全问题,也防 止由于共模原因使得系统选择两个错误相同的结果作为最终输出发生的 安全问题,同时采用双机热备避免三个不一致输出就不能正常工作的问 题。这样二乘三取二冗余结构就可以在一定程度上提高微机联锁系统的可 靠性和安全性,同时保证了系统可靠安全长时间不问断的工作。

1.4本论文研究内容
微机联锁系统现在正逐步代替继电联锁系统,应用于现代铁路信号控 制中,提高系统的可靠性和安全性是本次研究的重点。采用二乘三取二冗 余结构利用硬件冗余和软件冗余的方式可以大大提高系统的可靠性和安 全性,但同时在冗余结构工作过程中三机任务同步,数据比较表决,故障 检测切换等问题需要解决,这也正是本次研究的重点。以微机联锁系统可 靠性和安全性需求为出发点,结合计算机容错技术和冗余结构,在双机热 各、二乘二取二和三取二冗余结构的基础上,提出二乘三取二冗余结构, 并保证冗余结构安全可靠的工作,从而保障微机联锁系统的可靠安全长时 间不间断的工作,这就是本次研究的基本思路,也是本次论文的研究内容。

1.5本论文研究意义
微机联锁系统控制铁路信号,而铁路信号控制着整个铁路运输的正常 工作和运转。微机联锁系统需要昼夜不停地连续运转,并且保证正常工作, 因为一旦出现故障,就有可能导致重大事故,影响整个铁路运输的正常运 转,造成重大损失。所以微机联锁系统需要更高的可靠性和安全性,需要 建立更加可靠安全的冗余结构,使微机联锁自身形成故障安全系统。

西南交通大学硕士学位论文

第5页

本次研究主要是在现有的双机热备,二乘二取二,三取二冗余结构的 基础上,构造二乘三取二冗余结构,提高微机联锁系统的可靠性和安全性。 通过本次论文研究解决了这种冗余结构工作过程中三机任务难同步、三机 数据难比较表决、故障难检测切换等问题,提高了微机联锁系统的可靠性 和安全性,为实际的铁路信号控制,铁路运输正常工作提供了安全可靠的 微机联锁系统,这是本次研究的目标,也是重要实际意义所在。

西南交通大学硕士学位论文

第6页

第2章微机联锁系统的可靠性和安全性
2.1微机联锁系统的可靠性和安全性评价指标
如果一个系统发生故障时,系统都能给出一个安全侧的输出值,则称 这个系统是故障安全系统。但实际上没有绝对故障安全系统,只有安全性 达到规定标准,就可以认为系统是故障安全的。

2.1.1可靠性指标
可靠性这一词有广义的和狭义的两种定义。广义可靠性指的是系统在 规定的条件下和在规定的时间内,完成规定功能的能力;而狭义的可靠性 指的是系统在规定条件下和规定的时间内完成规定的概率。为了区别二 者,我们把狭义的可靠性用“可靠度”来表示。盯1 可靠度函数R(t): R(t)=P(T>t),T是产品寿命,R(t)看作是事件“T>t”的规律。 失效分布函数F(t),失效密度函数f(t):

F(t):l—P(T>t);f(t):掣。【8】
dt

失效率函数名(t)- 已工作到时刻t;的产品,在时刻t。后单位时间内发生失效的概率。 t=0时,有n个产品开始工作,到时刻t。有C;个产品失效,剩下rli---Ii—ct 个产品进行工作,又过去At时间再观察,发现又有Ac个产品失效,在At

时间内失效的频率:竺,每个单位时间内发生失效的频率:竺。
哆 n,At

西南交通大学硕士学位论文 失效率的基本单位是菲特,l菲特(FIT)=10—9/小时。

第7页

它的意义是每一万个产品工作十万小时后只有一个失效。由此可知, 失效率越小,产品的可靠性越高。失效率越大,产品的可靠性越大。曲1 失效规律: 在各类产品的使用和实验中得到了大量的数据,对它们进行分析之 后,发现大多数产品的失效时间是有规律的,一般分为三个时期: 早期失效期:产品开始使用的早期。它的特点是失效率高,但随着时 间的增加失效率迅速下降。这是由于有些产品在设计和制造时的缺陷导致 的产品失效。它可能是原材料有缺陷,或是人为装配调整不当。 偶然失效期:产品已使用了一段时间,度过了早期失效期。它的特点 是失效率低并且稳定。这个时期是产品的主要工作期,如果在使用了一段 时期后能做好维护和保养工作,那么这个时期会延长。 耗损失效期:产品已工作了很久,到了老化的程度。它的特点是失效 率迅速上升,很快就导致产品的报废。产品失效的主要原因是由于老化、 疲劳和耗损等因素引起的。n町 平均寿命(MTBF): 在可靠性指标中最常用的就是平均寿命。对于可修复的产品,平均寿 命就是指平均无故障工作的时间,用MTBF表示。对于不可修复的产品平 均寿命是指产品发生失效前已工作的平均时间,用MTTF表示。这里我们 主要研究的是可修复的产品。 可修复的产品在使用中发生过n次故障,每次故障修复后重新投入工

作,其工作时间分别为t,.,t:,…,t。,则平均寿命MTBF=三y,,。 ”●_’

西南交通大学硕士学位论文

第8页

如果已知产品的失效密度函数为f(t),则寿命T=t的概率为f(t)dt:

那么产品的平均寿命MTBF=f矿(,)出,而f(t)一百dR(t),得到
MTBF:fR(t)dt。
在可靠性分析中,产品失效分布按指数分布时最基本、最常用的分布。

由于五(t)=兄,则可靠度函数R(t)2P~,MTBF:rR(f砂2 fP—m础2万1
故障检测覆盖率C 故障检测是确定系统有无故障,故障的定位称之为故障诊断。故障检 测的有效程度用故障检测覆盖率来衡量。故障检测覆盖率指系统中任一 故障被检测出来的概率。 来说明。n11 维修度函数G(t),维修密度函数g(t): 维修度也称修理度,它是表征产品维修的难易程度。产品在规定使用 条件下,在规定的时间里,按照规定的程序和方法进行维修,保持或修复 到能完成规定功能状态的概率。 G(t)=P(T<t),G(t)表示维修分布函数。 另外g(t)表示维修分布概率密度函数。 修复率函数∥(f): 修理时间已达到某个时刻的产品,在该时刻后单位时间内完成修复的 概率。 实用中常用能够被检测到的故障类别的百分比

舯篇

西南交通大学硕士学位论文 平均修复时间(MTTR):

第9页

MTTR-f增(f渺2 Jcotkte-"dt=1∥(产品维修分布按指数分布)
有效度a(O: 由于可维修产品发生故障后,可以在规定的时间内修好,并投入正常 工作,这就相当于增加了产品的工作概率,所以有效度的定义为产品在某

肛面意‰=丽MTBF=去(维修的黼;
时刻t具有维持规定功能的概率,又可称可用性。

一能工作时间+不能工作时间膨阳F+㈣五十∥一9……一
的有效度与维修度无关。n21

对于不维修产品而言,其可靠度就是有效度,这是因为不维修的产品

2.1.2安全性指标
微机联锁系统的基本任务就是保证列车、车列运行的安全,而这种安 全是可以是正常工作状态,也可以是故障安全状态。而微机联锁系统有三 种工作状态: 系统在规定时间内按规定条件下不发生危险侧输出的概率为S(t); l、正常工作状态:S(t)=P(1)(P(1)系统处于正常工作状态的概率); 2、故障安全状态:S(t)=P(2)(P(2)系统处于故障安全状态的概率); 3、非故障安全状态:S(t)=卜P(1)-p(2): 当系统的故障已经超出了系统的容错能力时,系统就处于非故障安全 状态。这时可以通过一些技术措施,使系统能够维持在安全状态或导向安 全状态,从而避免对人、设备或财产造成危害。所以我们要尽可能将系统

西南交通大学硕士学位论文 工作保持在正常工作状态和故障安全状态。

第10页

怎样能保证系统不处于非故障安全状态呢,下面我们从故障出现的概 率上来分析系统的安全性: l、客观上说可靠度为百分之百的铁路信号设备不存在,也就是说设 备的故障是不可避免的,用全故障概率厶表示,希望它足够小。 2、对设备的故障根据它带来的后果可以分为危险侧故障和安全侧故 障,分为用乃和五来表示危险侧故障概率和安全侧故障概率,且有

丸=乃+五 3、在考虑了设备的所有故障的情况下,危险侧故障概率丸相对全故
障率丸小到可以忽略的程度时,该设备才是故障安全的,即危险比为

&=阜,&应该足够小。我们真正的目标是要乃的绝对值要小,通过减小乃 ‰
来减小&。否则会造成错觉:尽管乃并不小,而元却很大,这样也可以使 得&很小,从而把设备看成是故障安全的。 事实上,由于信号设备发生故障时列车停止运行,安全侧故障率以越 大,故障恢复时间越长,越容易引起列车的阻塞。这不仅降低运输的效率, 而且还容易发生重大事故。因此五也应尽可能小。 4、安全系统必须有概率的安全目标,并对安全系统进行概率的安全 评价。这就需要对安全系统的安全程度作出概率的量化。n31

西南交通大学硕士学位论文

第11页

2.2微机联锁系统的可靠性和安全性要求
微机联锁系统现已逐步替代继电器联锁成为车站铁路信号控制的主 要技术,它的可靠性和安全性关系到铁路信号的控制,更关系到铁路运输 的正常高效的运转,故必须提高微机联锁系统的可靠性和安全性来及时准 确的控制车站铁路信号,保障铁路运输的安全和高效。 根据国际普遍的要求和国内铁路运输的实际需求,我国的微机联锁系 统必须满足可靠性和安全性的要求:

1、平均故障间隔MTBF值达到10¨h

141;

2、按照欧洲铁路EN50129的标准,对于安全平台来说,基本的要 求是达到SIL4(安全集成等级4级),即要求危险侧出现概率≤l 菲特‘151;(1FIT=109/h) 对于可修复的产品MTBF就是指平均无故障工作的时间,这里我们 要求微机联锁系统要达到106h。而危险侧出现的概率我们要求小于1菲 特,这里我们需要强调下危险侧概率和危险侧出现概率的不同,因为使用 了危险侧导向安全侧的故障安全技术,所以我们会运用各种技术使得系统 发生危险时都导向安全,这样危险侧出现的概率就大大减小,保障系统安 全可靠高效不间断的工作,提高系统的可靠性和安全性。 可靠性和安全性是两个既有区别又有联系的概念。其区别在于两者所 达到的目标不同。可靠性是从维护系统的功能为目的,而安全性是以防止 人身伤亡和财产损失为目的。提高可靠性是从降低系统发生故障的概率着 手,而提高安全性则是从系统的功能、技术完备性以及故障安全等方面着 手的。显然安全性的实现是以可靠性为寄出的,在提高可靠性的前提下完 成的。但是不能把可靠性与安全性等同起来,更不能用可靠性技术代替安 全性技术.故在微机联锁系统中,对可靠性和安全性都要加以充分的认识。

西南交通大学硕士学位论文

第12页

2.3避错技术与容错技术
从计算机诞生之日起,它的可靠性和安全性就实实在在地摆在人们面 前,这是来自应用实践的要求。为了提高计算机系统的可靠性和安全性, 在长期使用计算机的实践中,使用并发展了两种保证技术:避错技术和容 错技术。避错技术的目标是尽量减小系统发生故障的概率,尽量减小系统 的失效率来提高系统的可靠性和安全性,它是提高系统可靠性和安全性的 常规方法。容错技术是以承认故障不可避免为前提的,所以它可以实现系 统的超高可靠性。

2.3.1避错技术
避错技术是通过对系统进行完善设计,力求使系统避免发生故障的一 种技术方法。而出现故障,影响系统可靠性主要就是内在因素和外在因素, 其中内在因素是系统的质量,而外在因素是环境对系统的影响。把握好系 统的质量和环境对它的影响,自然就提高了系统的可靠性,故避错技术主 要就是质量控制和环境防护这两方面的内容。 1、质量控制技术: 质量控制技术是在系统的研制过程中认真挑选元器件,加强管理, 合理使用。具体的措施有选择高可靠性的元器件、对元器件进行 测试、对装配调试进行严格管理、合理使用,全面检查监控。 2、环境防护技术: 环境因素对微机联锁系统的可靠性也具有十分重要的影响。由于 微机联锁系统的实际应用环境会使得系统容易出错,为了减小这 种影响我们采取措施i对元器件,电路板,机箱和机柜采取环境 保护技术,例如散热,防辐射和电磁干扰;改善运行环境,采用

西南交通大学硕士学位论文

第13页

接地、滤波等方法提高系统运行的可靠性和安全性。n61 避错技术是提高微机联锁系统可靠性安全性的重要途径,但它也有其 局限性,如只能减小故障率,永远不能使故障率为0,再就是避错技术都 是针对系统的外部进行的,在硬件成本日益降低的情况下,我们可以采用 硬件的容错来完成而不必要选择高成本的硬件维护来担当。由此看来,要 进一步提高微机联锁系统的可靠性和安全性,必须采用容错技术。

2.3.2容错技术
虽然避错技术是提高系统可靠性和安全性必不可少的内容,但它永远 不能完全解决系统可靠性和安全性问题,也不可能使硬件、软件的故障率 为0。正是由于避错技术在提高系统可靠性和安全性上的局限性,所以为 此要进一步提高计算机系统的可靠性就必须采用容错技术。容错技术是以 承认故障不可避免为前提的,所以它可以实现系统的超高可靠性。但这里 需要强调的是容错技术虽然可以实现系统的超高可靠性,但并不能说容错 技术就可以代替避错技术。在设计系统时,还是先采用避错技术提高系统 的可靠性和安全性,在此基础上容错技术作为重要补充来进一步提高系统 的可靠性和安全性。如果开始就采用容错技术,那么它根本起不来什么作 用,如果设计不当还会导致系统瘫痪,效果更差。n铂 1952年冯.诺依曼(Yon.Neuman)在美国加利福尼亚理工学院作了 五个关于容错理论研究的报告,奠定了容错技术的基础,从此容错技术就 发展成为独立的学科,随着研究的深入,其内容越来越丰富,应用范围也 越来越广泛,但就其具体技术而言可以将容错技术概括为三大部分:故障 测试;冗余及其管理技术;故障安全技术。“阳 故障测试,又称故障诊断,就是检测这个系统是否有故障,如果存在 故障,找出这个故障之所在。

西南交通大学硕士学位论文

第14页

故障安全技术包括故障安全技术体系,逻辑理论,实际部件和电路, 编码传送以及相应的软件程序。 故障测试和故障安全技术是容错技术的重要组成部分,而冗余及管理 技术是容错技术的核心,将在接下来的一节中重点讲解。n明

2.4冗余技术
容错技术的三大部分中,容错计算是依靠计算机资源的冗余来实现 的,可以说冗余技术是容错技术的核心。冗余技术是指具有多余的资源, 当系统的某一部分出现故障时,可以由冗余部分的资源顶替故障部分来工 作,以保证系统在规定的时间内正常的完成规定的功能。计算机资源的冗 余是多种多样的,概括起来为硬件冗余、信息冗余、时间冗余和软件冗余, 但最终在计算机系统中体现为硬件冗余和软件冗余这两种,故在接下来的 章节中着重学习冗余技术中的硬件冗余和软件冗余。

2.4.1硬件冗余
硬件冗余是指在系统中某个或几个关键的单元中除了正常工作所需 的基本单元以外另外设置的单元,也就是在常规设计的硬件之外,再附加 备份硬件。这些冗余单元可以与工作单元同时工作,也可以处于等待工作 状态,一旦工作单元出现故障就可以顶替故障单元来继续工作。其中硬件 冗余又包括静态冗余(又称堆积冗余)、动态冗余(又称待命储备冗余) 和将两种冗余结合构成的混合冗余。啪1 静态冗余技术又叫故障屏蔽技术,就是利用冗余资源的堆积,把故障 的效应掩盖过去,使系统在故障发生后仍能持续正常工作的一种技术。它 具有对故障的容忍能力,因此它是实现容错的第一途径。不过当冗余资源 因故障而耗尽时,如果再发生故障系统就不能正常工作,甚至瘫痪了。三

西南交通大学硕士学位论文 取二冗余结构就是采用两两比较将故障输出屏蔽掉。

第15页

动态冗余技术又叫故障切换技术,当检测发现系统内部发生故障了, 通过系统内部的一次重组来切除和替换故障部件。它是实现容错的另一种 途径。双机热备冗余结构和二乘二取二冗余结构就是通过故障切换来实现 系统的可靠性和安全性。乜11 将这两种冗余结合运用就形成了混合冗余。本次研究的二乘三取二冗 余结构就是采用混合冗余,在三取二中采用静态冗余将故障输出屏蔽掉, 当故障积累到使故障屏蔽能力饱和即三机输出完全不同时,系统就利用动 态冗余技术进行故障部件切换,来实现更高的可靠性和安全性。

2.4.2软件冗余
微机联锁系统是由硬件和软件组成的一个有机的整体。因此,提高系 统的可靠性和安全性除了通过硬件冗余,还需要软件冗余来实现。软件冗 余是用于测试、检错的外加程序,用于计算机系统的自动重组、降级运行 的夕i-)JH程序。它包括N个程序算法,软件间的错误检测以及故障的排除切 换恢复等相关技术。幢21 N个程序算法运行在N台计算机上,可以使每个程序算法对应运行在 每个计算机上,各个程序同时工作,相互通信检测纠错,在一旦发现某个 程序运行中出现错误时,可以进行切换,由正确的程序来接替它继续工作, 保障程序安全可靠的运行。同时我必须保证在这N个程序算法构成的容错 系统中,每个程序算法的运行要保持同步。乜31

2.5故障安全技术
欧洲铁路标准EN50129对铁路安全电子系统推荐了三种故障安全体 系结构,结合我国铁路运输的实际,将这三种故障安全结构概括如下:

西南交通大学硕士学位论文 1、反应故障安全

第16页

反应故障安全设计的前提是系统的控制和防护部分是完全独立的两 部分硬件,而且这两部分硬件功能不同,软件不同。 2、组合故障安全 在微机联锁系统中常用的组合故障安全系统冗余结构模式有三取二、 二乘二取二等。使用这种技术时,每个安全性相关功能必须至少由两个部 件同时执行,每个部件应该独立于其他的部件。只有当大多数部件一致时,

才允许进行输出。它的设计前提是不同的部件其功能~般是相同的,其软
件设计也可以是相同的。但从实际上说,组合故障安全系统的设计应该避 免由于不同模块之间由于共模故障或不同步而造成的危险性输出结果。 3、固有故障安全 这种安全模式是在假定单个部件所有可信的失效模式均无危险的情 况下,允许一个安全性能由一个单独部件来执行。固有故障安全也可用在 组合故障安全和反应故障安全系统的某些功能中,由于它的设计复杂,所 以一般只用于功能强大的微机联锁系统的个别关键的模块中。 微机联锁系统实际上是一种车站信号实时控制系统,它是由大规模和 超大规模集成电路芯片组成的。由于电子元器件具有内部故障不可知性和 错误的对称性,因此必须从硬件和软件两个方面采取技术措施,使系统满 足故障安全的原则。妇钔

2.5.1硬件的安全性技术
在微机联锁系统中,通过硬件实现故障安全的技术措施: 1、采用多重化技术构成二重或三重冗余结构。在二重冗余结构中, 对故障系统进行切换;在三重冗余结构中,实现多数表决,对故障系统屏

西南交通大学硕士学位论文 蔽使联锁机不形成不输出危险侧的控制信息。

第17页

2、在输入输出时,表示信息的输入电路设计为动态方式,当接口硬 件正常时,信息可正常时,信息可正常输入;故障时,脉冲中断,自动切 断信息的输入,确保故障导向安全。控制信息的输出电路同样设计为动态

方式,采用代码一动静态一电平转换技术,故障时脉冲中断,故障导向安
全侧。㈨

2.5.2软件的安全性技术
在微机联锁系统中,利用软件实现故障安全的技术手段,一般有以下 几种技术: l、采用信息编码技术,一边出错时能被及时识别。用多元码来表示

安全变量一安全侧和危险侧。当代码在存储或传输过程中,由于存储器硬
件故障或外界干扰而发生畸变,出现非法码时,就可由软件自动检出并导 向安全侧。 2、采用软件冗余技术,保证软件运行的安全性。联锁软件的安全可 靠运行是系统可靠性的重要保障。 3、采用软件检测技术,及时发现故障,以便进一步采取措施防止危 险侧信息的发生和输出。 4、利用软件对输入数据的合理性进行检查,对输出的控制信息进行 反馈重复检查。啪3

西南交通大学硕士学位论文

第18页

第3章微机联锁系统的冗余结构
为了提高系统的可靠性和安全性,微机联锁系统往往利用硬件冗余构 造可靠安全的冗余结构。目前我国微机联锁系统广泛使用和研究的冗余结 构主要有双机热备冗余结构,二乘二取二冗余结构和三取二冗余结构,下 面我们将对这三种冗余结构分别进行学习和研究。

3.1双机热备冗余结构
双机热备是指由两个独立的模块组成的系统。两个独立模块都能独立 完成规定的同样功能。双机熟各系统中,每一个模块相当于一个单机。正 常工作时,两个模块都加电工作,不过其中只有一个模块的输出能经过切 换去控制被控对象,即其输出是有效的,另一模块的输出是无效的。每个 模块都有自检测自诊断功能,当模块发现自身出现故障时,就给出控制信 号,驱使切换开关进行适当切换并给出故障报警和提示。它的冗余结构如 图3—1所示 模块1正常工作,输出有效

图3-1双机热备冗余结构图

西南交通大学硕士学位论文

第19页

双机热备系统在工作时有如下几种工作模式:①一个模块工作,另一 模块热各,两模块都无故障;②一个模块工作,另一模块待修,系统可以 完成规定功能; ③两个模块都出现可测性故障,系统停机;④工作模块

正常,热备模块出现不可测故障;⑤工作模块出现不可测故障,可能会给 出危险输出。 先作如下简化和假定:①双机热备系统由两个独立的完全相同的模 块组成。切换开关是安全可靠,不考虑系统维修。②只考虑永久性故障, 瞬时故障由模块的程序卷回和时间冗余等技术屏蔽。③非常保守地认为, 模块一旦出现不可测故障就不可逆转,即会引起危险输出。④单机的故障 检测覆盖率为C,模块的失效率为入且大于零。⑤若某模块在时刻t正常 工作,则在t+A t发生故障的概率为p=l—g-柚,式中,入为故障率,即 单位时间如I小时内出现的故障数。对于很小的△t,该式可简化 p=l—e-抽≈入△t,考虑到故障检测覆盖率C,则运算模块出现故障且被 检测到的概率为C入A t,不能被检测到的概率为(1_C)入A
1—2入A t 1一^△t
t。



l一入△t



图3-2双机热备系统马尔可夫状态转移图

西南交通大学硕士学位论文

第20页

图3—2是双机热备系统马尔可夫状态转移图,其中对状态和状态转移 的解释如下: 状态0 状态1 状态2 状态3 状态4 系统无故障 某一模块出现可测性故障 两模块都出现可测性故障 工作模块正常,热备模块出现不可测故障 工作模块出现不可测故障 说明系统工作模块或热备模块出现可测故障,系统

(1)状态0一状态1

变为一模块工作,另一模块出现可测故障的单机工作方式; (2)状态1一状态2 表示单机工作的模块出现故障且故障被检测出来,

系统处于故障安全状态; (3)状态1一状态4 故障安全状态; (4)状态0一状态4 此时热各模块正常,但工作模块出现不可测故障无 说明单机工作的模块出现不可测故障,系统处于非

法进行切换,系统处于非故障安全状态; (5)状态0一状态3 统仍可工作; (6)状态3一状态4 这是影响双机热备系统安全性关键之所在,它说明 这时热各模块出现不可测故障,工作模块正常,系

当热备模块已出现了不可测故障时,只要工作模块一旦出现不可测故 障将会使系统进入非故障安全状态。“¨

3.2二乘二取二冗余结构
二乘二取二冗余结构如图3—3所示,它是由两个CPU构成一个子系统 执行联锁任务,另两个CPU构成的子系统处于热备状态组成,执行联锁任 务的子系统我们称为主机,热备状态的子系统称为备机。偿钉当两个CPLI 的输出不一致时,即在处于执行联锁任务工作的通道出现异常后,系统能

西南交通大学硕士学位论文

第21页

进行无扰切换,将把处于热备状态工作的通道的输出作为系统输出,从而 提高系统的可用性。

图3—3二乘二取二冗余结构 这种冗余结构的主要功能包括: 1、两个CPU分别进行独立的联锁逻辑运算; 2、两个CPU的联锁运算结果通过信息通道传送给对方进行比较表 决,当表决结果一致时才输出有效的控制命令: 3、两个CPU之间进行信息交换; 4、向联锁设备发送控制命令; 下面将对二乘二取二冗余结构进行分析,详细了解它的运行过程和系 统的可靠性和安全性保障。 先作如下简化和假定:①只考虑永久性故障,瞬时故障由模块的程序 卷回和时间冗余等技术屏蔽。②非常保守地认为,模块一旦出现不可测故

西南交通大学硕士学位论文

第22页

障就不可逆转,即会引起危险输出。⑨单机的故障检测覆盖率为C,模块 的失效率为入且大于零。④若某模块在时刻t正常工作,则在t+A t发 生故障的概率为p=卜P一他,式中,入为故障率,即单位时间如1小时 内出现的故障数。对于很小的A t,该式可简化p=l_e-肚≈入△t,考 虑到故障检测覆盖率C,则运算模块出现故障且被检测到的概率为C九△ t,不能被检测到的概率为(1-C)入A t。⑤系统满足马尔可失过程的条件, 可按马尔可失过程来处理。

^A t

图3—4二乘二取二系统的马尔可夫状态转移图 二乘二取二系统的马尔可夫状态转移图见图3-4所示,其马尔可夫状 态含义为: 状态0:四个模块都正常。 状态1:~个模块出现可测故障。

西南交通大学硕士学位论文 状态2:一个子系统两个模块均出现可测故障。 状态3:两个子系统都存在故障,系统停机。 状态4:一个模块出现不可测故障。‘2阳

第23页

3.3三取二冗余结构
三取二冗余结构采用三台性能完全相同的计算机,并运行相同的应用 程序。每个计算机通道由处理器,数据交换,同步,比较器等模块和切换 电路组成,其中数据交换和比较器模块都各有两个。系统的正常运行状态 有三取二和二取二两种工作状态。将这三个CPU运算结果两两进行比较, 如果三个CPU的运算结果~致时,系统处于三取二的工作状态,如果只有 其中两个CPU的运算结果一致时,系统处于二取二的工作状态。 下面我们就以系统A为例来说明它的运行过程。系统A利用输入信息

进行联锁运算,运算结果为咒。通道A的两个输出比较器%和ec通过
相应的数据交换模块读取通道B和C的运算结果如和&,然后对凡、%

和&进行比较。比较的表达式%=也.%,cAc=心.R,这是同或表
达式。当凡、%和恐完全一致时,比较器c么和Gc的输出结果都为逻
辑l,表明三个CPU的运算结果一致,可以将任何一个系统的输出当作整

个微机联锁系统的输出;如果也和咫一致而兄和恐不一致时,比较器 CB的输出结果为逻辑1,比较器巴c的输出结果为逻辑0,进入二取二的
工作状态,输出系统A或系统B的运算结果,阻断通道C并切断C的电源,

使得通道c处于关机状态;如果巧和如不一致而也和艮一致时,比较

器%的输出结果为逻辑0,比较器ec的输出结果为逻辑1,进入二取二
的工作状态,输出系统A或系统C的运算结果,阻断通道B并切断B的电

西南交通大学硕士学位论文

第24页

源,使得通道B处于关机状态;如果E和%不一致且也和艮也不一致

时,比较器%和ec的输出结果都为逻辑0,这时要阻断通道A并切断A
的电源,使得通道A处于关机状态,再将系统B和系统C进行比较,如果 结果相同,进入二取二的工作状态,输出系统B或系统C的运算结果。如 果结果不同,则至少两个系统出现了故障,那么整个微机联锁系统就完全 关闭。啪1整个的运算比较的运行过程详见图3—5所示。

… l系统A I

I l




I扣:I比较器%l
l系统B I
l I
L1




....一




输出 控制信息

-I比牧器f"AC
—叫

Ll




墨绌,’I


比较器C贸




图3-5三取二冗余结构 在三取二冗余结构中3个CPU的同步是一个关键问题。每个CPU进行 输出比较和表决的基本前提是3个CPU的同步。可以说同步是三取二冗余 结构的核心,只有在同步的条件下,3个CPU才能同时有结果输出用于比 较和表决,才能保证表决的正确性,屏蔽系统运行中的故障,提高系统的 可靠性和安全性。在冗余结构中同步有很多种方式,我们将在二乘三取二

西南交通大学硕士学位论文

第25页

冗余结构中三机任务同步中详细介绍解决这一问题。例当三个CPU运算结 果都不一致时系统将被关闭,无法进行正常的工作。当系统处于二取二的 工作状态时,如果故障系统不能及时维修,切换使用,那么在故障维修阶 段如果再有一个系统出现故障,整个微机联锁系统也将关闭,所以二取二 工作状态也叫故障饱和状态,系统处于这种状态时,对故障的维修切换使 用提出了更高的要求。即使二取二工作状态能够稳定安全的工作也会出现 两个CPU运算结果一致,但这两个CPU输出都是错误的,那么系统的输出 也是错误的,这就是由于采用了同一套联锁程序所产生的共模安全问题。 如果系统处于以上几种状态时,整个微机联锁系统都不能可靠安全工作。

西南交通大学硕士学位论文

第26页

第4章二乘三取二冗余结构设计
4.1二乘三取二冗余结构设计 4.1.1二乘三取二冗余结构
在第三章中我们已经详细分析了双机热备,二乘二取二,三取二这三 种被广泛使用的安全冗余结构,在软硬件冗余资源合理利用的基础上,将 故障切换技术和故障屏蔽技术结合起来,采用混合冗余技术构造设计二乘 三取二冗余结构,力求在可靠性和安全性上能更好的保障微机联锁系统安 全正常的长时间运转,更安全的保证正常铁路信号控制和铁路运输运转。 二乘三取二冗余结构是由两个三取二冗余结构进行双机热备,其中每 个三取二冗余结构都采用三台性能完全相同的计算机,但三台计算机采用 的是由完全不同的三组人员开发的功能相同代码完全不同的联锁软件,这 样就可以避免由于共模原因所发生的安全问题,同时这也要求在开始工作 时必须保证三机任务同步。外部数据的输入,三套算法的计算,控制命令 的输出都必须保证数据的安全可靠。三台计算机通过三种完全不同的程序 计算得到的数据要进行比较,对它们表决,得到最终的输出结果。在二乘 三取二冗余结构工作的过程中,当某一模块出现了故障,它可以被掩盖过 去,但系统却失去了容错能力,如果不及时修复,那再有一个模块出现故 障,那三个输出就完全不一致了,导致系统只能通过切换到备用机继续工 作。为了最大程度上避免故障屏蔽饱和,不轻易动用故障切换技术,我们 还应该及时检查出故障并维修消除故障,这样才能够提高系统的可靠性和 安全性。但也并不是所有检测出的故障都能及时修复重新工作的,这时我 们就必须采取双机热备的方式,在不影响应用处理的结果和应用系统的正 常工作,需要进行通道问的故障切换。这样就需要每个计算机通道都必须

西南交通大学硕士学位论文

第27页

要有故障检测、故障切换电路。除此之外冗余结构还要有处理器CPU,数 据同步,数据交换,数据监控,数据比较和数据表决等模块,这些模块在 冗余结构的工作过程中起到非常重要的作用,故在双机热备的备机中也采 用了相同的模块。二乘三取二冗余机构如图4-1所示。

图4—1二乘三取二冗余结构

西南交通大学硕士学位论文

第28页

4.1.2蒙特卡罗方法
蒙特卡罗方法又称随机抽样或统计试验方法。蒙特卡罗方法的基本原 理是当所要求解得问题是某种事件出现的概率,或者是某个随机变量的期 望值时,它们可以通过某种“试验”的方法,得到这种事件出现的频率, 或者这个随机变数的平均值,并用它们作为问题的解。 蒙特卡罗方法是以~个概率模型为基础,按照这个模型所描绘的过 程,通过实验的结果作为问题的近似解。首先要构造描述概率过程,其次 要从已知概率分布抽样,最后建立各种估计量。 由于蒙特卡罗方法能够真实的模拟实际的物理过程,故解决问题与实 际非常符合,可以得到很圆满的结果。这也是我采用该方法的原因。 微机联锁系统的可靠性是衡量系统在规定的时间内、规定的条件下完 成规定功能的能力,而系统的安全性是衡量系统在发生故障时不致产生危 险侧输出的能力,二者密不可分。系统的可靠性越高,其发生故障的概率 越小,发生故障时产生危险侧输出的概率也就越小,系统的安全性越高。 通常系统的可靠性用可靠度R(t)来描述,而系统的安全性是通过安全度 S(t)来描述,用五来表示系统发生的可能导致产生危险侧输出的故障概 率,则系统的可靠度和安全度的关系为S(t)=1-2.(1-R(t))。b¨ 现运用蒙特卡罗方法对双机热备,二乘二取二,三取二,二乘三取二 四种冗余结构的可靠度R(t),安全度指标S(t)进行实验分析: 首先构造描述四种冗余结构的概率过程,设单机系统的可靠度为R, 单机系统发生危险侧故障概率为名,故障覆盖率为C。恤1 由此可知 在双机热备冗余结构中,

西南交通大学硕士学位论文

第29页

兄-=A。

S,(t)=1-2。(1-R。(t))=1-五(1-R)2; 在二乘二取二冗余结构中,
R。(t):1-(1-R2)(1-R2)=1-(卜R2)2,

五。(t)=42五(1-C)=4A 2(1-C), s2(t)=1-2。(卜&(t))=1-4五2(1-C)(1-R2)2: 在三取二冗余结构中,

五。(t)=3222(1-C)=62 2(1-C), S。(t)=1-2。(卜凡(t))=1_6兄2(1’c){1-[3R(1-R)2+(卜R)3]}; 在二乘三取二冗余结构中,

五。(t)=322五(1-C)=6彳2(1_c), S。(t)=l-A。(卜&(t))=卜6Z 2(1-C){卜[3R(1-R)2+(1-R)3]2J; 现对这四种冗余结构的从已知概率分布抽样,得到可靠度和安全度估 计值,并在MATLAB中编程得到可靠度和安全度的仿真曲线。 可靠度程序段:
r=O:0。l:】

西南交通大学硕士学位论文 y2=l-(卜r.‘2).‘2 y3=l一(3木(r一2*r.‘2+r.‘3)+(1-r).‘3)
y4=l一(3*(r-2*r.“2+r.“3)+(1-r).43).‘2

第30页

plot(r,yl,r,y2,r,y3,r,y4) 运行结果如下:
r=Columns
l through 9

O 0.6000

0.1000 0.7000

0.2000 0.8000

0.3000

0.4000

0.5000

Columns 10 through

11

0.9000

1.0000

yl=Columns
O 0.8400

l through 9

0.1900 0.9100

0.3600 0.9600

0.5100

0.6400

0.7500

Columns

10 through

11

0.9900

1.0000

y2=Col umns O 0.5904

1 through 9

0.0199 0.7399

0.0784 0.8704

0.1719

0.2944

0.4375

Columns 10 through儿0.9639 9

1.0000

y3=Columns 0

1 through

0.0280

0.1040

0.2160

0.3520

0.5000

0.6480

0.7840

0.8960

Columns 10 through

11

0.9720

1.0000

西南交通大学_赜士学位论文
y4=Columns 0 0 8761 1 through 9 0.1972 0.9892 0.3853 0.580l

第31页

0.0552 0 9533

0.7500

Columns 10 through 11

0.9992

1 0000

Dh

Zmt

Ylh

I"口t如dt

mm。p

bndo-nlP

D喧马鱼..i璺旦旦@孽口目1日

加圆点曲线为双机热各可靠度 虚线为三取二可靠度睦线

实线为二乘三取二可靠度曲线
加星号曲线为二乘二取二可靠度

图4-2四种冗余结构的可靠度曲线 由于双机热备和二乘二取二冗余结构故障覆盖能力都不强,故只考虑 其他两种冗余结构的安全度。而其他两种冗余结构的安全度由单机系统发
生危险侧故障概率为五,故障覆盖率为C所影响,故设定且-0 来进行计算。
1,C=O.9

西南交通大学硕士学位论文 安全度程序段:
r=O:0.1:1

第32页

y3=l一0.006*(1一(3术(r-2*r.62+r.‘3)+(1一r).‘3)) y4=l一0。006.(1一(3:Ic(r-2*r.‘2+r.“3)+(1—r).63).‘2) plot(r,y2,r,y3,r,y4)
r=Columns 1 through 9 0.1000 0.7000

0 0.6000

0.2000 0.8000

0.3000

0.4000

0.5000

Columns

10 through 1 1
1 through 9

0.9000

1.0000

y3=Col umns

1.0000 0.9961

0.9998 0.9953

0.9994 0.9946

0.9987

0.9979

0.9970

Columns

10 through 1 1
1 through 9

0.9942

0.9940

y4=Columns

1.0000 0.9947

0.9997 0.9943

0.9988 0.9941

0.9977

0.9965

0.9955

Columns

10 through 1 1

0.9940

0.9940

西南交通大学硕士学位论文

第33页

B1?Edit

n¨tⅡHt

bols

llt^top

bnd"Bd,

D窖q晷b殴q即@耀口目自目

一虚线为二乘三取二安全度曲线——实线为三取二安全度曲线
图4-3两种冗余结构的安全度曲线 由此可以得到结论,在双机热备,二乘二取二.三取二.二乘三取二

这四种冗余结构的可靠度对比中,双机热各冗余结构和二乘三取二冗余结
构是比较好的,随着单机可靠度R的提高,二乘三取二冗余结构的可靠度

大幅提高。而在危险侧故障率和故障覆盖率相同的前提下,二乘三取二冗 余结构要比三取二冗余结构稍好一些。由于双机熟各冗余结构和二乘二取 二冗余结构没有应用故障屏蔽技术,故它们的故障覆盖率要LL_--取二和二
乘三取二的故障覆盖率小,在其他相同的情况下它们的安全度也要稍差一

些。因此研究二乘三取二冗余结构对提高微机联锁系统的可靠性和安全性 是具有重要的意义的,这也是设计研究二乘三取二冗余结构的意义所在。

西南交通大学硕士学位论文

第34页

4.2二乘三取二冗余结构工作过程
4.2.1三机任务同步
在二乘三取二冗余结构开始工作时,首先要保证三机任务同步。在国 际上,通常采用CPU时钟同步和CPU周期同步两种方式。CPU时钟同步的 实现方法为将完全一样的CPU及其核心电路集成在一块电路板上,以便采 用同一个晶振分频电路作为芯片的时钟脉冲,并采用专门设计的比较器对 CPU总线进行比较监督。CPU周期同步的实现方法为CPU单独工作,通过 CPU间的高速通道周期性地对CPU中的各任务进行同步比较,以完成对CPU 工作一致性的检查。本次研究采用功能相同但代码完全不同的三种联锁软 件,CPU时钟同步方式无法在CPU中实现不同算法,无法消除软件共模原 因发生的安全故障,虽然我们本次采用的是二乘三取二冗余结构,是三个 CPU采用三种不同的算法,但同样适合周期同步的方式,故本次二乘三取 二冗余结构采用三CPU周期同步的方式实现三机任务同步,保障冗余结构 的可靠性和安全性,来解决由于共模原因发生的系统安全问题。协31 它的基本构架如图4—4所示,三个CPU间通过内部总线这一高速通道 周期性地对CPU中的各项任务进行同步比较,来完成对CPU工作一致性的 检查。这里我们选用12C(Inter-IC)内部总线来实现各项任务同步的检 查。它是同步通信的一种特殊形式,具有接口线少,控制方式简化,器件 封装形式小,通信速率较高等优点。在主从通信中,可以有多个12C总线 器件同时接到12C总线上,通过地址来识别通信对象。而在CPU与存储器、 外设间选用外部总线的方式来实现。这里我们选用通用串行总线USB。它 是基于通用连接技术,实现外设的简单快速连接,达到方便用户、降低成 本、扩展PC连接外设范围的目的。它可以为外设提供电源,而不像普通 的使用串、并口的设备需要单独的供电系统。另外,快速是USB技术的突

西南交通大学硕士学位论文

第35页

出特点之一,USB的最高传输率可达12Mbps比串口快100倍,比并口快 近10倍,而且USB还能支持多媒体,这样可以更好的实现联锁机与外部设 备间的通信联系。m1

图4—4三机任务同步的结构框架图 三个CPU间通过交互信息实现周期同步,其中交互信息有同步信息, 监控信息,应用信息。 同步信息:在每个时钟周期开始的时候,三个CPU间相互发送“开始” 信息,结束时发送“结束”信息,当每个CPU都收到结束信息时,再开始 新的时钟周期,这样就可以实现3个CPU间的同步,保持基本统一的时钟 周期。

西南交通大学硕士学位论文

第36页

监控信息:保证系统的安全性,CPU监控自己的运行是远远不够的, 必须相互间进行监控,在同一周期里,相互向对方发送监控信息,一旦 CPU在同一周期里收不到其他两方的信息,则可切断电源并将对方的CPU 复位重新进行初始化。因为如果周期内不同步,有CPU提前进入下一个周 期,那么将无法进行周期内数据的比较,系统的输出会不一致导致无有效 输出,系统瘫痪。 应用信息:实现3个CPU间的信息传递、同步等待和数据比较等。∞朝

4.2.2三套程序的算法流程
在保证三机任务同时进行的基础上,对外部数据进行读取,进行计算 并将比较表决后的最终结果作为控制命令输出,这就是冗余机构的主要工 作内容。由于采用同一套算法程序进行计算会由于共模发生安全问题,故 本次二乘三取二冗余结构采用完全不同的三组人员开发的功能相同的算 法程序。这三套算法程序在保证三机任务同步的基础上,将对外部数据进 行读取,运算,比较,输出操作。它的具体算法流程如图4-5所示,包括 周期同步阶段,输入阶段,计算阶段,输出阶段。在输入和输出阶段,对 于安全信息采用码距较大的编码,便于安全存储和传送。在计算阶段,为 保证计算的安全,考虑采用安全编码的方式进行逻辑运算和数学运算。 周期同步 读取输入 数据计算
J.


1【cPUl
l 'L

CPU2
、 r

周期同步 路障同步
. r

CPU3



周期同步 路障同步


路障同步
,—L

路障同步 硬件三取二


控制输出
—.
1 r

硬件三取二

图4-5三套算法流程

西南交通大学硕士学位论文

第37页

周期同步阶段:3个CPU需要进行周期的同步,并进行相应的内部检 查,为本周期运算做好准备。 输入阶段:CPU各自读取数据,信息的安全传送。数据读取后必须经 过路障同步阶段,以保证3个CPU均完成了数据的读取。输入数据读取后 需要进行输入数据的比较。输入数据的比较采用故障安全的原则,保证数 据出现不一致时导向安全侧。 计算阶段:在计算阶段,各CPU按不同的算法进行计算,在计算完成 后也需按故障安全原则进行比较,以保证计算结果的一致。三机数据比较 详见4.2.3。 输出阶段:数据计算后对三机数据进行比较,对三机比较一致的结果 或者是经比较两机一致的结果进行控制输出,并将它们作为整个系统的输 出,保证输出的正确性和有效性。 由于多个进程对同步变量的访问可能造成运行结束时间的滞后,故采 用应用于并行计算和路障同步技术解决这一问题。 并行计算是指同时使用多种计算资源解决计算问题的过程。为执行并 行计算,计算资源应包括一台配有多处理机(并行处理)的计算机、一个 与网络相连的计算机专有编号,或者两者结合使用。并行计算的主要目的 是快速解决大型且复杂的计算问题,随时并及时地执行多个程序指令。这 就要求我们三个CPU具有并行计算的能力,已解决多个进程对同步变量的 访问,解决复杂的计算问题,并可以同时执行多个程序指令。 路障同步是~种应用于数据并行计算和共享存储器结构的同步技术。 由于多个进程对同步变量的访问将可能造成运行结束时间的滞后和内在 带宽的竞争,所以我们在数据的输入、计算、输出阶段采用路障同步技术 保证数据的读取、计算比较和输出的过程中实现周期内的同步,这样可以 保证最后系统输出的正确性和有效性。b阳

西南交通大学硕士学位论文

第38页

在整个算法流程中所有的信息都必须是安全信息,这样提供给比较器 和表决器的数据才能保证安全可靠,因此必须考虑当输入输出通道发生故 障时,必须确保传送的信息是安全可靠的。在CPU与输入和输出模块间采 用专用总线以保证传送的正确性,并且设计时在安全信息的输入、存储与 更新、计算、输出、传输的过程中采取措施,保障信息的安全性,为冗余 结构的数据比较和表决提供安全可靠的信息。 输入:在计算机输出每种信号设备状态码的第一位后,待输出电平稳 定(如20ms),再将每种信号设备状态码的第一位读入储存,并立即输出 第二位代码;读入全部代码后,经计算机整理后再传给每个对象的存储模 块。在微机联锁系统中信号机、道岔、轨道电路等监控对象的状态通常是 用安全型继电器接点的状态来表示的。把这些状态输入到联锁机中必须保 障信息的安全。Ⅱ"检查输入是否安全的电路如图4-6表示

图4—6检查输入安全电路 图中用了两个光电耦合器Gl和G2。G1的输出和G2的输入是并联, 并由输入信号GJ接点控制电源通断。G1的输入和G2的输出公寓联锁机 5V电源,并且G1的输入由联锁机的输出进行控制。如果联锁机按1010 输出控制信号,当GJ接点闭合,则联锁机就会从输入接口电路接受一个 与控制信号反相的信号0101。当GJ接点断开或G1,G2发生故障时,联锁 机的输入只能收到稳态信号,因此信息时故障安全的。脚1

西南交通大学硕士学位论文

第39页

存储与更新:微机联锁系统中监视现场设备状态的存储单元,在宏观 上必须与被监视的对象建立不断的联系,当联系中断时,系统必须立即导 向安全,保障系统的安全。 计算:微机联锁条件满足时,程序的走向和运算结果都是预知的。为 了提高安全性和防止漏检查微机联锁条件,在每次判断条件成立后,将该 条代码进行按位累加,微机联锁关系全部检查正确时,其累加值应与预期 结果相符。 输出:在微机联锁系统中联锁机输出的控制命令,通常还是用信号继

电器来执行的。从联锁机到信号继电器间需要代码一动静态一电平这样的
转换,保障信息的安全。对于传输涉及到安全信息的信号接口时,由于标 准的开关量I/0接口电路的故障模型属于逻辑固定型故障,若以电平(1 和0)为逻辑值,那么在接口电路故障时,无法保证逻辑值必然导向安全 侧。要使逻辑值导向安全,必须使电路的输出具有故障不对称性。而进行

代码的动静态变换就可以使电路的输入输出具有不对称性,保证逻辑值以
极大地概率导向安全侧。 传输:为了符合信号系统的传统做法,遵循故障安全的要求,在微机 联锁系统的设计时应采用点对点的循环传送方法,而不采用变化检出、一 次传送的方法。 因为传输设备的故障或传输通路的噪声使传输的信息发生错误是不 可避免的,所以微机联锁系统的安全信息的传输必须是故障故障安全的。 为实现微机联锁系统的故障安全传输,首先要采用避错技术和冗余技 术提高安全信息的可靠性,并尽可能检出传输设备和传输通路所发生的传 输错误,然后采用软件和硬件容错技术措施,确保在传输设备故障或传输 通路的噪声使传输的信息发生错误的情况下,确保信息的安全可靠。 实现安全信息的安全传输首要的是通过采用避错技术提高通信网络 的正确性。此外,还必须采用高冗余技术确保通信网络的高可靠性和高安

西南交通大学硕士学位论文

第40页

全性。同时微机联锁系统的串行数据在传输过程中,由于干扰而引起误码 是难免的,在检查数据位和冗余位之间的关系是否正确时,应着重防止在 传输中错误地出现危险侧代码。为了确保信息传输的安全可靠,一方面可 以采用冗余度小、检错能力高的循环码(CRC)作为检错码进行传输,通过 对实际传输通路错误特性的研究,选择检错能力强的CRC码生成多项式, 使其漏检错误率降到最小;另一方面就是在软件编程时对传输的信息进行 特殊编码,并以反馈重发方式纠错,这样才能保障在数据传输过程中的安 全性。还可以采用双相码进行传输。双相码是用正负一个周期构成一个比

特,根据信息的1和0相位变化的代码。它的好处在于首先由于用一个正
负对构成一个码元,以基带传送使用时,瞬态响应短,可以提高信噪比; 其次由于一个码元中必定有正变为负或负变为正的变换,利用双相码这一 特点可以容易地检查出错误;最后可以通过变压器与传输通路相连,实现 平衡传输,抗干扰能力强。啪1 微机联锁系统的核心是联锁软件,在整个软件的算法流程中必须保证 信息的安全可靠,采用合适的编码算法就能够解决算法安全问题,为二乘 三取二冗余结构的比较器和表决器提供安全可靠的信息,从而保障整个微 机联锁系统的安全可靠性。

4.2.3三机数据比较与表决
三台计算机通过三种完全不同的程序计算得到的数据要进行比较, 对它们表决,得到最终的结果作为控制命令输出。 根据待比较数据自身的特性,我们可以将它们分为三类: 1、输入数据不一致,但需要保证输出数据一致; 2、比较数据不完全相同,经过数据比较,要求输出其交集中的一致 数据:

西南交通大学硕士学位论文 3、数据严格要求~致,需要逐位比较;

第41页

对于时间戳、随机数而言,考虑处理器自身的时钟漂移和随机性,无 法保证每台机器产生的数据一致,因此将此类数据归为第(1)类数据, 尽管存在时钟漂移,但是在一个周期内,其漂移所来的影响是能够容忍的, 所以采用求中值的方法处理,M_(M。+M2)/2,这样保证经过数据比较后,得 到的是通道内双机一致的数据。当然也可根据应用需求和数据特性,采用 最大值M=Max(Ml,M2)和最小值M=Min(M。,M2)或者其他方法。Ⅲ1 实际上第(2)类数据在选择出共有数据后仍然需要采用逐位比较来 验证是否一致。而就是通常意义上的比较,待比较双方只有完全~致时, 才能够输出。只要有一位不一致,则返回失败,无法输出。Ⅲ1 本次微机联锁系统需要比较和表决的数据要完全~致的,所以要严 格要求一致,进行逐位比较,保证数据的安全和准确。 同时数据比较必须采用故障导向安全的原则。在输入阶段,例如在微 机联锁系统中信号灯绿灯(L)是安全侧,一般设为0,如果CPU在数据 读取中读取的数据不一致,一个为红灯(H),一个为绿灯(L),则比较后 的结果为红灯(H),表现为对信号灯红灯(H)灵敏,导向安全侧。 因为采用了三种不同的程序算法,其计算结果的比较也有一定的困 难。在计算阶段,逻辑运算的结果应该相同,但数值运算的结果可能由于 算法的不同和计算中的误差,有可能导致计算结果不同。对于数值运算, 可以设定误差范围。如果在误差范围内,可以认为两个数值相同。如果数 值超出了误差范围,则选择安全的数值,即可选取较小的数值。 三取二表决电路时利用故障屏蔽技术构成的联锁系统,它有三个主机 CPU进行输入计算输出,只要三个中任意两个的输出是一致的,就把这个 一致的结果作为输出,同时认为微机联锁系统是安全可靠的。对三个主机 输出比较和控制是通过表决器来实现的,表决器就是对三个输出两两比

西南交通大学硕士学位论文

第42页

较,只要有两个输出是~致的,表决器就有输出信号,它的逻辑运算是 L(a,b,c)=a.b+b.C+C.a。 根据它的逻辑运算画出电路如图4-7所示,它由三个两两比较器和一 个或门组成。由于表决器是对安全信息进行表决的,所以它必须具有故障 安全性能。这里我们采用软件检测技术完成表决器功能,让软件具有多数 表决功能,即把各个主机的输出信息输入到另外两个主机中,在主机内部 进行一次三取二表决,再把各个主机用软件表决的结果送到外部表决电路 进行再次表决,这样就大大提高了表决的安全性。 信号a 信号b 信号c









≥1








./

图4-7表决器的逻辑电路 还有一种安全表决器是采用了复杂的时序电路,详见图4—8。图中仅 画出了三个表决器中的一个,它对主机A和B的输出信号a和b进行比较, 该表决器由四个脉冲信号CPl—CP4推动工作,当a和b均为高电平时, CPl脉冲到来时或门1就输出一个脉冲信号,在CP3脉冲到来时或门2就 输出一个脉冲信号。当a和b均为低电平时,在CP2到来时或门l输出一 个脉冲信号,在CP4到来时,或门2输出一个脉冲信号。当8为高电平而 b为低电平时,在CPl和CP2的共同作用下,或门1连续输出两个脉冲信 号。当8为低电平而b为高电平时,在CP3和CP4共同作用下,或门2 连续输出两个脉冲信号。或门l和或门2的输出脉冲作用于双向移位寄存 器R,事前将R设置为10状态,当两个主机的输出信号a和b为脉冲序 列且两者一致时,移位寄存器左右移位,状态10未改变,输出脉冲序列,

西南交通大学硕士学位论文

第43页

在经或门3成为表决器的输出;当信号a和b不一致时,移位寄存器R 被向一个方向连续推动两次,状态变为00,它的输出变为0稳态信号。 故当表决器发生单一故障时,表决器的输出就变成了稳态输出,这样就实 现了表决器的安全性。Ⅲ1

.1




3 ≥1
7‘






—1




≥l




& R









时钟
CPlCP2 CP3 CP4

≥l



CPl CP2 CP3 CP4 CPl CP2 CP3 CP4

CPl CP2 CP3 CP4

右推

--1
左推

I-3

]一厂]

I--3 r

F--1

a=b=l

a=b=O

a=l,b=O

a=O,b=l

图4-8安全表决器原理图

西南交通大学硕士学位论文

第44页

4.2.4故障检测及维修
当系统在工作过程中发生故障时,要进行故障检测和及时维修,保 障系统仍能安全可靠的工作。由于二乘三取二冗余结构采用的是混合冗余 技术,故当某一模块出现了故障,它可以被掩盖过去,但系统却失去了容 错能力,如果不及时修复,那再有一个模块出现故障,那三个输出就完全 不一致了,导致系统只能通过故障切换切换到备用机继续工作。为了最大 程度上避免故障屏蔽饱和,不轻易动用故障切换技术,我们应该及时检查 出故障并维修消除故障,这样在修复好故障后将部件重新投入到工作中, 继续运用故障屏蔽技术保障系统的安全可靠。这样我们的冗余结构才能更 可靠安全长时间不问断的工作。 系统故障后经过维修可恢复到原来的工作状态,故及时检测故障维 修故障可以避免故障屏蔽的饱和,使得系统能够继续工作,提高系统的可 靠性和安全性。 故障检测我们可以设计在三个主机CPU的输出信号和表决器的输出 信号上同时加上异或门这样的电路来判明是那个主机发生了故障。三个主 机CPU经过表决器表决后最终确定系统的输出,在这个最终输出和各个 CPU的输出信号上同时加一个异或门,就很容易找出故障CPU。这样的故 障及时检测出来,并及时维修故障,便可以保障微机联锁系统安全可靠的 工作。 具体的故障检测电路如图4-9所示。在输出信号和表决器表决的最 终结果信号进行异或,得到不同的结果,其中输出不同结果的信号的CPU 就是故障CPU。

西南交通大学硕士学位论文

第45页

图4-9故障检测电路 在找到故障CPU后我们要尽快进行维修,使得它能得到及时的修复, 再投入到工作状态中,因为如果不能及时修复,当另外两个CPU再出现故 障时那这个系统将会屏蔽饱和,只能够切换到备用机继续工作,这样就会 给系统的正常工作带来麻烦,所以说故障的及时维修也是提高系统可靠性 和安全性的重要方法,我们要认真研究。 在微机联锁系统可靠性安全性设计中要事先考虑到系统的维修问 题,确定维修的方式和维修周期。H叼 系统的维修方式通常有:事后维修,预防维修,视情维修三种方式。 事后维修:系统发生故障后进行的维修; 预防维修:在系统故障之前,根据规定的时间间隔进行的维修,这 种维修也称为定期维修; 视情维修:根据情况进行维修,这种维修往往要根据系统的情况以 及良好的故障检测相配合,及时根据情况给予维修。Ⅲ3

西南交通大学硕士学位论文

第46页

维修周期是指按规定的时间进行有计划维修的时间,通常按照使系 统的可靠度最大或按照使总费用最小的方法来确定。“51 这里我们采用预防维修的方式,这是因为如果使用事后维修的方式 可能会因为不能及时修复故障而导致故障屏蔽饱和,影响到系统的可靠性 和安全性。而本次研究主要是针对核心城市和核心车站的高可靠性安全性 的微机联锁系统,所以维修费用和可靠度相比可以忽略,这样我们采用使 系统可靠度最大的方法来确定维修周期。在定期维修时间T内,检查时间

为瓦,这样系统实际的工作时间就为丁一瓦,则系统在维修周期T-√孕。
(检查的时间瓦越长,维修的周期就越长;失效率越大,维修的周期越 短)‘删

4.2.5故障切换
二乘三取二冗余系统因故障屏蔽饱和不能及时维修导致三输出不一 致,或者三个输出完全不一致时,将无有效输出,系统将陷入瘫痪,无法 进行正常的工作。为此三机系统必须具有故障检测的功能,如果三个主机 中任何一个发生故障时,系统应该能检测出故障以便尽快通过维修消除故 障。虽然检测出故障,但并不是每个故障都能及时修复重新工作的,这时 我们就必须采取双机热备的方式来解决这个问题。但双机热备方式在切换 时怎样才能保障系统正常工作呢?为了解决这个问题,保证二乘三取二在 “主"、“备"切换时,不影响应用处理的结果和应用系统的正常工作,需 要进行通道间的故障切换。一71在实现故障切换时,采用“主”优先,“备” 跟随的状态跟踪的思想,主要原理如图4~10所示

西南交通大学硕士学位论文

第47页

图4—10主备通道状态原理图 主优先是指对于应用的输出,默认来自主通道的输出数据作为输出数 据,而备通道的输出数据对于外层应用来说时不可见的,是无效输出。备 跟随是指状态始终跟随主通道,其工作始终略晚于主通道工作,这里强调 的是这不过是略晚于主通道工作。m3 在通信正常的情况下,备通道输入数据使用主通道经过通道内表决一 致的输入数据。如果通道间通信故障,则备通道输入给应用的数据为自己

西南交通大学硕士学位论文 受到的数据,输出时输出本通道应用处理的可信结果。

第48页

故障切换电路包括切换控制电路和切换开关电路,它们是保证微机联 锁系统可靠性和安全性的关键部件,故这些电路必须是故障安全的。同时 在二乘三取二冗余结构中,要求故障切换电路的结构要简单,可靠性安全 性要高。 切换控制电路是监视微机的工作状态,当发现工作不正常时,就产生 切换信号并报警。切换信号控制切换开关信号,使得主机继电器落下,开 关关闭,备机继电器吸起,开关导通,实现无扰切换。㈨具体流程如图 4—11所示





—o
—o

,l



’I



图4-11故障切换流程图 假定无故障时为低电平“0”,故障时为高电平“1”。正常工作时主机 继电器AJ吸起,与开关S。导通,主机的输出为系统的输出。若此时主机 出现故障,高电平信号使XA继电器落下,同时继电器AJ也落下,这时BJ 吸起,开关S。导通,使得备机的输出成为系统的输出。这样就可以形成 主备机间的故障切换,以便对主机的及时检查和维修,保障微机联锁系统 的安全可靠长时间不问断的运转,为铁路信号控制和铁路运输服务。㈨1

西南交通大学硕士学位论文

第49页

4.3二乘三取二冗余结构优势和问题
二乘三取二冗余结构采用混合冗余,在三取二中采用静态冗余将故障 输出屏蔽掉,当故障积累到使故障屏蔽能力饱和即三机的输出完全不同 时,系统就利用动态冗余技术进行故障部件的切换,来实现更高的可靠性 和安全性。在软件冗余方面采用了三种实现的功能相同而算法完全不同的 程序,保证了系统不会由于共模原因发生安全问题,对二乘二取二冗余结 构安全性是一个很好的补充。同时在硬件冗余方面采用双机热备的方式保 证在三个输出完全不一致的情况下可以故障切换。此外在对双机热备,二 乘二取二,三取二,二乘三取二这四种冗余结构的可靠度和安全度等指标 也进行比选,得出结论二乘三取二冗余结构在可靠性和安全性方面有了一 定程度的提升。 二乘三取二冗余结构通过软硬件冗余提高微机联锁系统的可靠性和 安全性。但是由于软硬件的大量冗余,使得冗余结构实现起来比较复杂, 需要解决的问题也比较多,如三机任务同步,三机数据的比较和表决以及 故障检测切换等方面。同时还需要更多的软硬件资源才能形成这一安全可 靠的冗余结构。故二乘三取二的冗余结构在性价比上不能说是最好的,但 在系统可靠性和安全性上确有一定程度的提升。 怎样才能利用尽可能少的资源来提高微机联锁系统的可靠性和安全 性可能是今后这一领域研究的主要方向。在今后的学习中,如何设计出既 能节省资源又能提高可靠性和安全性的冗余结构将是研究的重中之重,这 样的冗余结构也必定会在实际的车站微机联锁系统中得到广泛应用。二乘 三取二冗余结构最大的问题就是需要大量的资源来进行硬件冗余和软件 冗余,增加了微机联锁系统的成本。如何能将二乘三取二冗余结构简化优 化,节省资源,削减成本,是今后需要着蘑研究解决的问题,也是今后学 习研究的重点方向。

西南交通大学硕士学位论文

第50页

二乘三取二冗余结构既有它提高微机联锁系统可靠性安全性的优势, 又有它需要资源大,成本高的问题。总体上说它在对可靠性和安全性要求 高的核心城市,核心车站还是有很大的实际应用价值,这也是本次研究的 实际应用价值之所在。

西南交通大学硕士学位论文

第51页





本文从微机联锁系统的可靠性和安全性需求角度出发,在可靠性和安 全性研究的基础上,结合容错技术和冗余技术,在当前微机联锁系统通常 采取的双机热备,二乘二取二和三取二的冗余结构的基础上,提出采用二 乘三取二冗余结构来提高微机联锁系统可靠性和安全性的想法,并设计这 一冗余结构,研究解决这一冗余结构需要解决的技术问题,并说明了这一 冗余结构的优势和问题及在实际应用中的价值。 本文首先从微机联锁系统的可靠性和安全性需求出发,分步骤有层次 地进行了论证和研究。在认真学习了当前最常用的双机热备,二乘二取二 和三取二冗余结构后,综合分析提出了二乘三取二这一新的冗余结构来提 高系统可靠性和安全性,并在对双机热备、二乘二取二、三取二、二乘三 取二这四种冗余结构的可靠度和安全度等指标的比选中,得出二乘三取二 在可靠性和安全性上有了一定程度的提升。在冗余结构工作过程中三机任 务同步,具体计算流程,三机数据比较和表决,故障检测与维修和发生故 障时系统故障切换等关键技术问题上,都提出了具体的解决问题的办法, 为这一冗余结构在实际的应用提供了技术保障,使得采用二乘三取二冗余 结构的微机联锁系统具有更高的可靠性和安全性和实用性。 最后结合冗余结构的优势和问题,做出了客观的评价。在实际运用中, 需要在冗余结构简化优化,节省资源,消减成本等方面进一步研究。目前 整个冗余机构还处于理论研究阶段,对具体的资源设备提出了一定的要 求,怎样完善更好的解决技术难题是下一步工作的重中之重,也是今后研 究的重要内容。 本次论文研究虽然对二乘三取二冗余结构进行了系统的分析,并且对 存在的技术问题提出了自己的解决方法,但由于是新的冗余结构,所以肯

西南交通大学硕士学位论文

第52页

定还有很多不足之处,今后的学习研究将着重解决这些问题,完善二乘三 取二冗余结构,提高微机联锁系统的可靠性和安全性。 本次研究的不足之处: 1、系统的可靠性研究工作大部分还局限于理论上的研究,缺乏实际 的现场数据来进行准确的验证。 2、对现场设备资源的优化配置研究较少。 3、关键技术问题是否能妥善解决还需要试验进一步验证。

西南交通大学硕士学位论文

第53页





首先,我要感谢我的导师彭其渊教授,在近三年的学习工作中,老师 给予了我无微不至的关怀和细致耐心的指导,特别是在研究方向选择和毕 业设计指导方面,老师都给予了很大的帮助和支持,提出了很多好的建议 和意见。彭老师严谨的治学态度,实事求是的工作作风和深入透彻的分析 能力都给我留下了深刻的印象,使我受益匪浅,必将在我今后的学习,生 活和工作中产生重大的影响,使我终身受益。 其次我要感谢实验室的各位老师,各位同学在平时的学习工作中给予 我的帮助和支持。 最后我要感谢我的家人,是他们给我鼓励和支持,使我不断努力,刻 苦学习最终完成这次论文研究。

西南交通大学硕士学位论文

第54页

参考文献
[1】1陈志颖,董昱,杨柳,李亮.计算机联锁进路搜索算法的分析与研究.
2005.

【2】徐洪泽.车站信号计算机联锁控制系统原理及应用.2005. [3】袁由光,陈以农.容错和避错技术及其应用.
1992.

【4】当代中国铁路信号编辑委员会.当代中国铁路信号.(1996.2000)
2002.

【5】陈廷槐.数字系统的测试与容错.

1990.

[6】邹逢兴.计算机应用系统的故障诊断与可靠性技术基础. [7】王时任,陈维平.《可靠性工程概论》1982. 【8】浙江大学数学教研组.《概率与数理统计》 [9】茆诗松,王玲玲.《可靠性统计》1
984. 1979.

1999.

[10】屠庆慈,杨为民.《可靠性工程教材》1984. [1 1】高继祥,郑俊杰.双机热备计算机联锁系统可靠性与安全性指标 分析.《北方交通大学学报》1998年10月第22卷第5期. [12】王珍熙.《可靠性?冗余及容错技术》1997. [】3】何友全,许登春.《铁道信号计算机联锁》2000. 【14]吕永昌,林瑜筠.《计算机联锁》2007. 【1 5】
European Commites for Electrotechnical Standardization

European prestandard ENV50129 railway applications 1997:

西南交通大学硕士学位论文
safety related electronic systems for

第55页

signaling[S].

【16】员春欣.《铁路信号容错技术》1997. 【17]陈廷槐,陈光熙.《数字系统的诊断与容错》
1981.

【18】叶银忠,潘日芳,蒋慰孙.动态系统的故障检测与诊断.(综述) 《信息与控制》1985年第6期. [19】黄文虎等.设备故障诊断原理、技术及应用. 【20】周东华.《容错控制理论及其应》2000. 【2l】张新家.《容错控制系统理论及应用》 【22】何国伟等.《软件可靠性》1998. 【23】曾国献等.《软件容错技术》1997. 【24】马连JlI,高倍力.一种高安全、容错控制计算机的设计与实现[J】. 《中国安全科学学报》2004. 【25】王仲生.一种基于知识的故障容错控制系统. [26】张宇等.软件容错技术的研究现状与发展.
1996. 1991. 1997.

1999.

【26】赵志熙.计算机联锁系统综述.《铁道通信信号》1990. [27】赵志熙.铁路信号安全性技术(一).《铁道通信信号》
1990.

【28]张本宏,陆阳,韩江洪,魏臻.“二乘二取二”冗余系统的可靠性和 安全性分析.《系统仿真学报》2009年1月第21卷第1期. [29】吴芳美.故障一安全接121研究.《上海铁道大学学报》 【30】赵志熙.铁路信号安全性技术(二).《铁道通信信号》 【3 1】刘爱民,刘有恒.关于可修复系统I约MTBF和MTTR.
1993.

1990.

1 998.

西南交通大学硕士学位论文 [32】黄玉珩.《系统可靠性实用计算方法》
1986.

第56页

【33】陈树泉,唐涛,马连川,王悉.2乘2取2安全计算机关键算法 的设计与实现.《计算机安全》2008年3月.

[34】黄铠,徐志伟.可扩展并行计算一技术、结构与编程.2000.
【35】燕飞,唐涛.轨道交通信号系统安全技术的发展和研究现状[J】.
2005.

[36】燕飞,唐涛.I

E C61 508及其在铁路安全相关系统研制开发中的

应用【J】.2005. [37]姜坚华.轨道交通信号安全系统2x2取2平台和双套相异算法 的具体实现【J】.2006. 【38】TB/t2307~1992.电气集中各种结合电路技术条件.2008. 【40】赵志熙.《计算机联锁系统技术》2003. 【4l】姜坚华.轨道交通信号安全系统取平台和双套相异算法的具体 实现.2000. [42】王猛,宁滨,马连川.基于C 【43】Matsuba
OT

S的安全计算机系统[J】.2003.

I.Multi?layer Feedforward Networks Based Long Team

Stock price Prediction 1 993;

【44】

Wang





Intelligent

Fault-tolerant

Management

of

Electromechanical Equipment 1 997;

【45】滕召胜等.《智能检测系统与数据融合》2000. 【46】王仲生.《工业设备微机状态维修管理》1995. f47】梅启智,廖炯生,孙惠中.《系统可靠性工程基础》
1987.

西南交通大学硕士学位论文 【48】丁定浩.《可靠性与维修性工程》
1986.

第57页

【49】周广涛,肖端庄.《电子设备与系统可靠性设计》

1984.

【50】铁路控制和防护系统软件RailwayApplieation
softwareforrailwayControlandProtectionSystemFeburaryl994. EN50128;

西南交通大学硕士学位论文

第58页

攻读硕士学位期间发表的论文及科研成果
任鹏:《始终端节点式进路搜索》,《中国科技博览》(国家级学术期刊) 2009第6期,2009年。

二乘三取二冗余结构设计
作者: 学位授予单位: 任鹏 西南交通大学

本文链接:http://d.g.wanfangdata.com.cn/Thesis_Y1687968.aspx


相关文章:
教案
研究了三取二冗余系 统,但国外更多的是四机冗余系统,多为二乘取二冗余结构...都属于安全性信息,不能采用通用接口,而必须采 用专门为计算机联锁设计的故障—...
《计算机连锁技术》习题二
1)1.双机热备和二乘取二结构计算机联锁系统的冗余技术可以采用动态冗余技术。...( (三)名词解释 (4-1-2)1. 故障(3m-3) (4-1-2)2. 差错(3m-3) ...
列车自动防护系统研究
二乘三取二结构,再利用概率分析和马尔科夫状态图法论证了二乘三取二结 2 宁波工程学院本科毕业设计论文 构具有超高的安全性,又介绍了两种较广泛应用的软件冗余...
计算机联锁试题
涉安信息 I/O 通道的硬件设计符合故障-安全原则。...22. 计算机联锁系统常用的三种冗余结构: 三取二系统...双机热备制式的双版本软件结构,二乘二系取二系统。...
国际标准提案论证报告格式要求
联锁时采用二乘二取二硬件安全冗余结构 的系统”“将二乘二取二系统列为我国...DS6-20 计算机联锁系统是通号总公司设计研究院开发的具有三重冗余(三取二)结 ...
工程新技术
设计和实施 加工制造 安装 系统验证 系统接收 监督和检测 运行和维护 修改和...二乘二取二结构;三取二结构(采用三取二结构的 硬件表决技术) 软件冗余技术:...
车站联锁复习(精简版)
设计、施工和维护的工作量; ③ 减少建筑使用面积; ④ 当采用分布式系统结构...层次结构划分类:人机会话层、联锁运算层、执行层 (2)按照冗余结构划分:三取二...
联锁
三取二冗余结构需要妥善解决的技术问题有: (1)三台计算机 的同步运行问题(2)...14.采用总线的优越性是什么: (1)便于采用现场广泛流行的模块化 结构设计方法,...
综合班铁路信号复习题
36、计算机联锁中联锁计算机的冗余结构:双机热备结构、三取二结构二乘二结构...面向提速干线和高速新线,采用车---地一体化设计。适用于各种限速区段, 地面可...
计算机联锁
主要为三取二冗余系统,但 国外更多的是四机冗余系统,多为二乘取二冗余结构...基于这种理念,2000 年,铁道部通信信号总公司 研究设计院与京三公司合作,采用 ...
更多相关标签:
三取二冗余 | 结构冗余 | 什么是结构冗余 | 双通道冗余结构 | 应答器双通道冗余结构 | 横河 冗余 结构 | 电磁阀 冗余结构 | 二乘二取二冗余结构 |