铁路信号分布式计算机联锁系统道岔控制模块安全性分析

张亦秋

（哈尔滨铁道职业技术学院，黑龙江 哈尔滨 150060）

分布式计算机连锁系统具有信息处理效率快、数据同步效果好、性价比高等一系列优势，在铁路信号系统中应用十分广泛。安全可靠性是评价分布式计算机连锁系统性能的核心指标，选择该系统中的道岔控制模块开展安全性分析，在此基础上应用避错与容错技术、故障-安全技术，分别从系统的硬件、软件方面采取相应的优化设计措施，进一步提高道岔控制模块在识别风险、快速动作、保障安全等方面的价值，确保分布式计算机连锁系统的稳定运行。

1 道岔控制模块安全需求分析

1.1 故障树分析

故障树分析是一种常用的安全性分析方法，其原理是在危险源与危险事件之间建立映射关系，从而判断某种故障可能给系统造成最严重危害的概率。根据分析方法的不同，又可分为定性分析与定量分析2种，前者是对故障的识别与分析，通过识别所有潜在的故障，找出造成故障的最小割集，从而建立起故障树。后者是对故障树做量化处理，可分为2个步骤：第一步是参考相关标准，计算底事件的故障概率；第二步是根据上、下级事件的逻辑关系，求得顶事件的故障概率。假设某故障树存在k个最小割集，并且其结构函数分别为Φ1{X}，Φ2{X}……Φk{X}，故障概率为x1，x2……xk。假设故障树顶事件的结构函数Φs{X}存在以下关系：

则顶事件的故障概率Xs可由下式计算得出：

1.2 安全完整性等级

安全完整性等级（SIL）是采取定量方法描述系统某个功能的允许危险率。共分成0-4五个等级，其中等级0表示无安全需求，等级4表示安全要求最高。每个安全完整性等级对应的危险失效概率见表1。

表1 安全完整性等级表

2 道岔控制模块的硬件设计

2.1 道岔控制模块硬件组成

该模块的硬件部分由道岔控制主回路、微处理器及其控制回路等组成。其中，表示信号采集电路的功能是获取道岔定位、反位等状态信息；道岔控制主回路用于传递、执行道岔定操、反操指令；驱动电路在处理器A和B输出相同指令后，完成动作并通电使继电器运行；电流检测电路用于实时检测控制主回路中的电流；故障监测电路则用于监测驱动电路、控制主回路的运行状态，在故障发生后进行报警。

2.2 道岔控制主回路设计

2.2.1 固态继电器

固态继电器是道岔控制主回路的核心设备，用于控制主回路的开断。根据负载电源的不同，又可以分成直流、交流2种类型。除了控制电路的开断外，固态继电器还能发挥过载保护、过热保护等功能。由于采用无触点电子开关，因此在实际应用中具有灵敏性好、控制功率小等特点，对进一步提高道岔控制主回路的响应速率和保证控制指令的精准动作起到了积极作用。本次设计中选择工作电压为220 V、工作频率为50 Hz的直流型固态继电器。

2.2.2 安全型板载弹力式继电器

安全型板载弹力式继电器的输入控制端为2台同型号的继电器。在继电器的输出端共同连接一组常断型开关，根据输入信号的不同，控制开关作出相应的动作。当2台继电器输入信号分别为0，0、0，1、1，0三种情况时，常断型开关均维持在断开状态，此时整条线路不通电；当2台继电器输入信号均为1，1时，常断型开关闭合，起到了保障电路安全的效果。

2.2.3 道岔动作电路设计

动作电路由两部分构成，分别是控制主回路和电流检测电路。道岔控制主回路的硬件布置如图1所示。

图1 道岔控制主回路的硬件布置图

如图1所示，道岔控制主回路中选择了DCJ、FCJ等多个继电器控制整个回路的开断，提高了终端控制的灵活性。为避免电源输出功率不一致而导致状态检测、电流检测不准确等问题，在硬件设置上只选择1台AC220V驱动电源。输出的直流电首先分别经过D1和D2两个整流桥，经整流后连接定位操纵（DCJ）和反位操纵（FCJ）继电器。基于安全性考虑，道岔控制主回路中的DCJ、FCJ、HCJ均选择安全型板载弹力式继电器。

2.2.4 安全监督电路

由于道岔动作电路中包含了较多的电器元件，每一个元件发生故障都有可能导致电路出现误动或拒动，进而影响道岔控制模块的安全性。因此，为保证道岔动作电路的运行可靠性，必须要设置安全监督电路，其作用是对控制主回路、动作电路中的继电器运行工况进行实时监督。如果继电器有异常动作，可以做到同步报警，并暂时将发生故障的继电器从电路中隔离，保证其他并联的继电器正常动作、不受影响。如上文所述，道岔控制主回路中使用到的继电器有2种类型，因此在设计安全监督电路时，也要针对每一种继电器分别设计检测监督电路。以固态继电器监督电路为例，电路检测原理如图2所示。

图2 固态继电器检测电路图

结合图2可知，固态继电器为常开型继电器，当接收到闭合指令时，BHJ将R1和R2吸起，对220 V分压。此时光耦元件的输入端连通，电压信息转化为TTL电平并输入到微处理器中，正常情况下微处理器可同步接收到动态脉冲信号。如果未接受到脉冲信号，或者脉冲信号与正常值不符，则说明BHJ出现异常工况，立即进行报警。

2.3 微控制器选型及其电路设计

微控制器是道岔控制模块的核心器件，除了要考虑安全性外，还要兼顾经济性和实用性。AT90 CAN128芯片是一种低功耗、高处理效率、具有丰富外设接口的单片机，本文将其作为道岔控制系统的微控制器。芯片容量方面，具有128 kB的闪存、16 kB的静态存储空间和128 kB的外部存储空间。以微处理器为核心，设计处理器控制电路，电路图如图3所示。

图3 微处理器控制电路示意图

该控制电路使用2台冗余电源为整个控制系统供电，配套使用冗余MCU负责指令的接收与传达。设置冗余电源的目的是避免微控制器在正常工作过程中出现断电故障，导致道岔控制系统失控。这样当一台电源因故障停止供电后，可切换至冗余电源继续保持供电。每一条动态输出电路的输入端，均连接1台MCU。如果MCUA和MCUB传达的指令不同，则动态输出电路不动作，呈断开状态。只有2台MCU传达相同指令时，动态输出电路闭合，作出相应动作。这样就避免了道岔控制出现误动作，从而提高了微处理器控制电路的安全性。

2.4 双系热备切换电路

为了进一步增强道岔控制系统的安全性、可靠性，除了在微控制器电路中采用了冗余电源外，其他模块也分别使用了双模块热备结构。如图4所示，模块A与模块B均有4条输出线，依次连接到切换模块QHB中。QHB中包含4个动态继电器，每台动态继电器分别对应模块A与模块B的1条输出线路。动态继电器吸起时与模块A的输出线路连接，落下时与模块B的输出线路连接。假设模块A为道岔控制系统的常备模块，系统正常运行是QHB中的动态继电器保持吸起状态。若模块A发生故障，或者因为其他原因导致无法输出正常的动态脉冲信号，此时QHB中的动态继电器自动落下，随机切换至模块B，从而实现了主备切换。

图4 热备切换原理图

3 道岔控制模块的软件设计

3.1 设备初始化模块

通电之后，自动对MCU、CAN通信通道、继电器、检测电路等进行自检。如无异常情况，执行下一程序；如发现故障，则自动报错，待故障排除后重新启动自检程序，直到不存在异常情况。自检结束后即完成设备初始化设置。在初始化模块设计中，编写初始化程序是关键内容，该程序中主要涉及MCU自检、CAN通信通道自检、地址码和异步串口自检等项目。以MCU自检为例，其流程图如图5所示。

图5 MCU自检流程图

如图5所示，MCU自检的基本原理是利用特定的检测程序，依次对使用到的运算符、数据区进行检测。每完成1项检测后，执行1次判断。如果自检正常，则顺利执行下一步骤。如果自检发现错误，则记录该故障并且故障次数加1。若故障次数在3次及以下，则认定为“偶然故障”，需要返回程序开头重新检测。当累计故障次数大于3，或者全部自检正常后，结束MCU自检程序。

3.2 同步信息处理模块

采用双微控制器同时执行定操、反操命令，是提高道岔控制模块安全性、可靠性的关键。为了保证定操、反操命令输出步调的一致性，在软件设计中增加了同步信息处理模块。可自定义最大的同步延迟时间（如1 s），如果在1 s以内检测到对方的输出信号，则认为握手成功；如果超过1 s仍然不能完成同步握手，则判断为系统故障，进行报警。同步信息处理模块由2个子模块构成，即同步信息的发送模块和接收模块。以信息接收模块为例，具体流程如图6所示。

图6 同步信息接收流程图

结合图6可知，当同步信息处理模块运作时，首先由微控制器进行同步数据的读取。数据准备完毕后，执行一个是否接受操作指令的判断程序。如果接收到帧头0xfb时，置数组长度计数器为0。之后所有接收到的数据，均保存到该数据组中，同时数据组中每增加1个新的数据，计数器加1。当长度计数器累加到数组长度后，此时接收到的数据是帧尾0xfc，置同步接收成功标志，否则置同步接收失败标志。

3.3 CAN通信处理模块

为保证主机下发的各项操控指令能够顺利、准确传达至道岔控制系统，以及保证道岔控制系统的执行信息及时反馈给主机，必须要在主机与道岔控制模块之间建立起稳定的通信通道。基于CAN控制器建立的通信处理模块，在完成MCU初始化和CAN控制器初始化后，以10 ms/次的频率刷新，判断有无需要接收的新数据。如果有数据接收，则调用相应程序。以同样的方法判断有无需要发送的数据，如果有数据发送，则调用相应程序。接收与发送程序并行，以保证双端通信的正常进行。

4 道岔控制模块安全性分析

开展道岔控制模块安全性分析时，可以选择的判断指标有元器件失效率、动作电路与表示电路安全性等。现选择“动作电路安全性”指标对道岔控制模块动作功能故障展开分析。采用前文介绍的故障树分析法，构建四线制道岔模块动作电路故障树，如图7所示。经计算，实际分析值明显小于标准值，故本文设计的道岔控制模块安全性满足要求。

图7 四线制道岔模块动作电路故障树

5 结束语

保证道岔控制模块的安全性与可靠性，对发挥分布式计算机连锁系统的应用优势有积极帮助。基于故障树分析法，以及结合“故障-安全”设计原理，选择固态继电器、微控制器、道岔动作电路等硬件设备，以及设备初始化和同步信息处理等模块的设计，进一步提高道岔控制系统的安全性，使元器件基本失效率顶事件故障发生率等安全性指标均控制在要求方位以内，切实保障道岔控制模块的应用安全。