2022年微机联锁资料 .pdf

系统的安全性铁道交通信号系统是运用技术手段保证行车安全的系统。它包括车站信号控制系统（车站联锁系统）和区间信号系统以及机车信号系统几个部分。信号系统的主要功能是保证行车安全、提高运营效率。 由于信号系统担任着指挥列车安全运行的任务，关系到成千上万乘客的生命和财产安全， 为此，需要专门考虑在系统出现故障，或操作人员不慎进行错误操作的情况下，系统仍能最大限度地维护乘客安全。目前无论是国产轨道交通信号系统还是国外设备国产化的推广应用所遇到的共同问题就是：国内开发的轨道交通信号系统缺乏权威的安全认证机构进行认证。而国际通行的方法都要求有安全认证这一步，通过安全评估可以系统地从计划、设计、 制造、运行等全过程中考虑信号系统的安全技术和安全管理问题，发现系统开发过程中固有的或潜在的危险因素，搞清引起系统灾害的工程技术现状，论证由设计、工艺、材料和设备更新等方面的技术措施的合理性。根据交大微联科技有限公司提供技术资料，JD1A 及 EI32JD 经过的有关鉴定和审查：2000 年 5 月， JD1A 型产品通过铁道部科技司组织的技术鉴定；2000 年， JD 1A 的联锁软件通过铁道部计算机联锁检测中心的制式测试。2000 年， JD 1A 通过铁道部产品质量监督检测中心的防雷测试。2001 年 7 月， JD1A 通过铁道部产品质量监督检测中心的电磁兼容测试。2002 年 4 月，交大微联科技公司通过ISO9001：2000 质量管理体系的认证。2003 年 11 月， EI32JD1A 型计算机联锁通过铁道部科技司的技术审查。国际通行的做法如在欧洲，它们主要以CENELEC 的 EN 铁路标准为基准，依托第三方评估机构，对已有线路和在建项目的信号系统进行安全性论证。有严格的方法并具有客观性和权威性。计算机和控制技术在铁路系统中的应用，需要一套安全保障体系，从计划、设计、制造、运行等全过程中考虑信号系统的安全。欧洲铁路有一些原则性的标准，比如 CENELEC 为行业制定的 EN50126 系列，它涉及整个铁路系统的可靠性、可维护性和可用性。这个标准强调了产品生命周期的每一个阶段，并且明确定义了每一阶段的主要任务。EN50128 系列则涉及在铁路上应用的电子可编程系统和软件。EN50129 系列则是关系铁路行车安全的通信和信号系统的标准。系统化的保障体系框架有以下主要特点：结构化方法论， 过程的透明性使得与每一个风险承担者的交流更加容易；先进的风险、 性能预测模型， 对产品过程与预测的高度可信性； 对人为因素的充分考虑；对产品生命周期每个阶段的充分关注。他们普遍使用一种标准的V 型周期模型来进行产品开发。如在西门子的SIMIS W 计算机联锁中的开发中使用了如下安全控制模型：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 11 页 - - - - - - - - - 2008-1-12 08:22 例如， 在欧洲列控系统中（ECTS） ，应答器 （EuroBarlise）报文的编制只是一个较小的环节，但对安至关重要， 也使用了这个模型。自顶向下的设计方法被普遍采用，但在实施过程中自底向上逐层的测试和安全认证在国内的电子信号产品的研制中正逐步在采用。在铁道部科技司 2006 年科研开发项目中就有安全认证技术这一项。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 11 页 - - - - - - - - - ModelV .JPG (62 KB) 2008-1-12 08:22 微机联锁调研技术条件对软件的开发做了类似要求：8.3 软件的工程化开发8.3.1 软件工程化开发指按软件开发方法学，将软件作为产品并按生产工序进行生产。8.3.2 应严格按照软件工程学的步骤开发软件，以保证联锁软件的安全性质量。一般按以下几个阶段展开软件开发的活动：a）计划阶段； b) 需求分析阶段；c） 概要设计阶段；d） 详细设计阶段；e） 编码阶段； f） 测试评估阶段；g） 运行维护阶段。在交大微联的产品设计、制造过程中是否使用类似方法来控制安全性，资料中未见提及。在软件编程介绍部份提及：遵循自顶向下、模块化、结构化的方法。与V 模型的左半部相符，但重要测试、验证的右半部未见提及。因此，其产品的安全性缺乏强有力的证明和保证。目前铁道部正在大力发展安全认证技术，也许不久我们就可以用到经过安全认证的产品。以计算机强大灵活的功能来取代基于继电逻辑的电气集中，在实现电气集中功能方面不存在任何问题， 主要的问题在于如何实现故障安全计算机以及通过多重冗余提高可靠性。这方面计算机联锁技术条件（中华人民共和国铁道行业标准TB/T 30272002）从硬件和软件两方面做了规定。其中引用了欧洲电气化标准委员会（CENELEC ）的两个标准EN 50128 铁路控制和防护系统软件Railway Applications: Software for Railway Control and Protection SystemsEN 50129 铁路安全电子系统Railway Applications ：Safety Related Electronic 为了说明 JD 1A，EI32JD 的分层和冗余结构，可以比较一下西门子的SIMIS W 的结构，西门子的SIMIS W 号称实现了最高安全等级SIL4 ，因此可做为一个参照物。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 11 页 - - - - - - - - - 1名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 11 页 - - - - - - - - - 从上述框图可看出EI32JD 与 SIMIS W 结构相同分为三个层次，操作层、联锁层、 控制层。SIMIS W 的核心层联锁计算机是故障一安全的三套二取二计算机系统控制层是两套二取二计算机。 JD1A 、EI32-JD 的操做表示机部份是主备二取二结构，EI32-JD 的联锁机是22取 2 结构， SIMIS W 和 EI32 在计算机硬件数据总线级实现了2取 2，有更高的安全性，称得上是故障安全计算。但是JD-1A 冗余性显然要差一些。主备二取二结构通过双机同步保正两机的数据一致。如果发生倒机或单机运用尽管不影响使用，冗余性却要下降。关于硬件的可靠性我手里的这个版本计算机联锁技术条件并没有具体的MTBF 的数值，JD1A，EI32JD 两种机型也没有给出具体的技术指标（至少应在100,000 小时以上）。看来在这个问题上还没有一个定论。微联系统中的工控机有MTBF 的数值，大约在 10 年以上。微机联锁的整体的MTBF不会太长，因为在继电器驱动板安全性驱动电路以及采集板中大量使用了电解电容、光电藕合器，根据已往的经验，质量较好的这类器件能使用23 年。而西门子的SIMIS W 宣称，它的硬件基本免维护（Almost maintenance-free hardware ） 。交大微联的主备机及上下位机之间采用了双通道冗余，这点与技术标准要求是一致的，在JD1A 中使用了以同轴电缆为媒介的CAN 总线，在 EI32JD1A 中操表机与联锁的直联中使用了上述总线。CAN 是一种有很高保密性，有效支持分布式控制或实时控制的串行通信网络。 EI32-JD 联锁机之间与驱采机之间采用了光纤分布数据接口（FDDI ）这种传输速率高达 100Mb/s 的网络技术所依据的标准是ANSIX3T9.5。 该网络具有定时令牌协议的特性，支持多种拓扑结构，传输媒体为光纤。使用光纤作为传输媒体具有多种优点。由光纤构成的FDDI ，其基本结构为逆向双环，一个环为主环，另一个环为备用环。当主环上的设备失效或光缆发生故障时,通过从主环向备用环的切换可继续维持FDDI 的正常工作称之为 “自愈”。这种故障容错能力是其它网络所没有的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 11 页 - - - - - - - - - 软件及操作系统方面，JD1A 是在 DOS6.22 的平台上使用了Borland C3.1 作为编程工具。DOS 操作系统尽管只是一个单任务的简单操作系统，但它的稳定性与Windows 相比要好的多，它不容易死机，这一点使它在工业软件平台也得到一些应用。主程序在DOS 下自己构建了一个多任务的调度程序来实现多任务的特性（DOS 时代经常可见这种利用INT1C 调用实现的多任务小程序如sidekick） 。DOS 并不是一个故障安全操作系统，C 语言也不是能保正故障安全的编程言。如C 语言并不强制检查数据类型、边界。很多后果需要编程者自己来控制。这种软件平台很脆弱。其实嵌入式实时操作系统还有很多可以选择，如vxWorks,Psos,QNX 等等，一般都支持图形界面。保正故障安全，支持V 周期模型的的编程语言也有很多可以选择如ControlBuild等。根据交大计算联锁说明的介绍，其联锁软件的设计基本上是套用基于继电逻辑的思路，它的模块与 6502 的网络线层次相对应。基本上是把6502 的联锁思路转换成由计算机来实现，如果分类应属于基于逻辑的模型。一些欧洲国家的计算联锁软件的开发，都按照欧盟铁路组织的推荐， 采用形式化的方法（Formal Methods ）利用状态图 （Statecharts）来对联锁规则建模，保正了逻辑正确和可验证，进而保正安全。应该说是代表了更先进更安全的方法。EI32JD的联锁计算机使用了经过日本国内有关部门认证的故障安全计算机EI32 和实时操作系统FSOS。同时 EI32 型联锁计算机也提供接近标准的C 编译程序（ ANSI C ） 。因此，软件的开发更容易更安全。根有关资料介绍，日信提供的主板FSR 32M 是采用ALTERA 公司的 Nios 软 CPU 技术，即在 ALTERA 的 FPGA 芯片CYCLONE上用 ALTERA的 Nios CPU 实现双 CPU 总线级校验。同时ALTERA 公司还配套提供一个实时操作系统的内核 MICRO C/OSII ，它是 MICORIUM公司的产品uC/OSII ，它提供了源代码。日信的FSOS 是在这个操作系统上开发的。同时 ALTERA 还提供了GNU C 的编译器 GCC 和底层库（for Nios Lib ） 。如果有必要深入研究FSR32M, 可从 ALTERA 的资料出发进行分析。总体上说， JD1A 无论硬件还是软件上看起都很简易，而EI32JD 的联锁部份显得正规而坚固的多。但改用国内的软件后还要经过认证过程才能有安全保障。在软件方面 计算机联锁技术条件要求计算机联锁软件安全性完善度等级是最高级（如果引用 CENELEC 就是 SIL4 ） ，但交大微联产品也没有说明自己产品的安全等级。（西门子的计算机联SIMIS W 说明它自己是最高安全等级SIL4）仅从微联公司提供的技术资料说明中了解到软件中采用如下安全措施：1软件相异法。2卷回。3直线式的输出程序。4模块式的程序设计方法。5多种自检算法。6多种数据的安全性保障措施。按照技术标准来对照检查软件的情况，是认证机构的工作，没有见到相应的认证证明，只能说它没有经过有权威性第三方的严格认证。对维修单位来说， 在软件方面最主要的问题是，按规定要求我们做而我们没有条件做到的是软件的备份工作。按维规（业务管理）第331 条规定：“供应商和铁路局应同时对开通后的计算机联锁软件进行多种形式的备份。” 计算机联锁技术条件8.1.5 条规定： “计算机联锁的软件应经过测试确认和安全性评估，并将结果作为文档的一部分交给用户。”这两条明确规定了供应商应提供测试评估结果、源程序和可执行程序给维护单位，但多年来从未履行过。软件备份在微联设备故障和事故的情况下可能能起一定的作用。交大微联有一个现场脱机模拟联锁测试的功能，计算联锁不同于由电路实现的布线逻辑，逻辑功能是由指令和数据集合名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 11 页 - - - - - - - - - 构成， 不象布线逻辑， 断线或器件损坏可能造成逻辑上的错误。因此反复的重复试验不可能发现开通联锁试验所没有发现的问题。只有指令和数据发生了改变才有可能发生内部逻辑错误。检查指令、数据发生变化有比“现场脱机模拟联锁测试”更好的方法，我们可以通过检查程序的字节总数和各种形式的检验和，如累加和，CRC 校验和等就可以做到。这就需要一个和使用中一致的程序备份。在联锁方面， 计算机联锁技术条件的第六章的规定与继电联锁完全相同。按传统的联锁试验方法 JD 1A 和 EI32JD 未发现有不满足的要求的地方。JD1A 和 EI32 JD 微机联锁仍然保留部分与6502 相同名称的组合和继电器，但应注意内容和意义已有变化有的不能用于结合电路，如锁闭继电器SJ等。另外微机联锁的日常联锁试验方法值得深入探讨，微联至少应提供联锁机部份软件实现方法介绍， 以便用户设计自己的联锁试验方法。微联提供的“现场脱机模拟联锁测试”没有实用价值（备机脱机本身就是一种潜在的危险状态），不能取代传统的日常联锁试验。传统的日常联锁试验还涵盖了对继电器电路的检查，还应增加上面提到的检查程序的清单、字节总数和各种形式的检验和的内容。电源和防雷系统本部份讨论的内容不包括电源屏，仅就微机联锁的电源屏之外的电源部份进行讨论。计算机联锁技术条件有关电源的规定主要有以下内容：4.5 有关电源、电磁环境、外部接口、人机接口（考虑操作失误）等环境条件和适用条件的设计应采用安全性完善度等级相适应的设计方法。（这一条隐含说明引用了CENELEC的标准EN 50129 铁路安全电子系统Railway Applications ：Safety Related Electronic 的规定）11.2 主副电源采取低压切换（包括手动和自动）时，电源中断时间不得大于0.15s，在此期间，与电子设备相关联的电源电压跃变不得超过5%。11.5 计算机和电子设备的直流电源应具有不间断供电和有效去除脉冲及浪涌干扰的性能。12.1 应在电源、计算机、数据通讯线路、输入输出接口、机架结构及地线设置等方面采取电磁兼容和防雷设计，包括元器件的选用和印刷电路板的设计制作。12.3 必须防护以下电磁干扰项目a) 因供电电路系统的瞬态操作、电容器组的通断、主网切换或负载的改变、装置的短路或弧光接地、大功率晶闸管的通断等原因在电力线和互联线上造成的大能量电磁浪涌干扰；b） 因电力线路和控制线路上的操作和雷击等原因在电源线、控制线、 信号线上产生的非重复性阻尼振荡瞬态波干扰；c） 供电电网电源电压瞬降、短时中断和电压变化；d） 电气化铁路（交流50Hz、27.5Kv ）产生的各种电磁干扰；e） 因电力机车斩波等在交流电源中产生的重复尖脉冲；f） 周围电磁辐射场、工频（50Hz）磁场产生的干扰；g） 雷击建筑物、无线塔、接地体等原因产生的脉冲磁场；h） 电动或电液转辙机动作时导致的冲击电流产生的干扰；i） 在设备机壳和所有人体可能接触部位发生的静电放电。对微机联锁电源的要求基本在这几条中。JD1A 和 EI32JD 的电源系统配置图如下图所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 11 页 - - - - - - - - - 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 11 页 - - - - - - - - - JD1A 和 EI32JD 中配置了两台APC 的在线式 UPS 电源，用以满足 计算机联锁技术条件对电源的大部份要求。在线式UPS 原理不同于后备式UPS，它一直使其逆变器处于工作状态， 它首先通过电路将外部交流电转变为直流电，再通过高质量的逆变器将直流电转换为高质量的正弦波交流电输出给计算机。在线式UPS 在供电状况下的主要功能是稳压及防止电波干扰； 在停电时则使用备用直流电源（蓄电池组）给逆变器供电。由于逆变器一直在工作，因此不存在切换时间问题，适用于对电源有严格要求的场合。在线式UPS 不同于后备式的一大优点是供电持续长，一般为几个小时，也有大到十几个小时的。在线式UPS 原理如下图示：防止电磁浪涌干扰、非重复性阻尼振荡瞬态波干扰，保正0.15 秒的转换时间，以及12.3 条所指出的各种干扰都是通过逆变器来实现的，经过ACDCAC 变换，能量传递过来了，干扰滤掉了， 得到的是一个更纯净的50Hz 交流电。 同时设置两台UPS 防止了两套系统之间的电源噪音的干扰。TDCS 、微机监测、 CTCS2 都单独设UPS 电源也起了防止这几个系统之间干扰的作用。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 11 页 - - - - - - - - - 使用 APC 的 UPS 的几点注意事项，上电时，UPS 执行自动自检，并且以后每两周自检一次（默认情况下） 。这个时间也可设置为7天，也可手动自检。在自检期间，UPS 短暂地使用电池来操作连接设备。APC 并不要求人工放电来提高电池寿命。APC 建议每3 年更换一次电池或电池组。因过负载输入断路器跳闸后需人工恢复柱塞。交大微联在JD1A 和 EI32JD 中未设甩开UPS 直供的闸刀，因UPS 在故障的情况下自动转为直供， 此时电源的防干扰引起系统工作不正常的功能消失。在机柜内部使用万可端子将 UPS 输出电源分成各路输出，连接牢固可靠。防雷系统值得注意是计算机联锁技术条件并没有采用TB T 3074 2003（铁道信号设雷电磁脉冲防护技术条件）,而是自行制定一些原则性要求。可能是考虑到计算机联锁的特殊性，但基本的防护原则和措施应满足国标标准IEC131213 （雷电电磁脉冲的防护）和 GB50343-2004 （建筑物电子信息系统防雷技术规范）的要求。首先要对雷电的危险性进行评估， 再采取相应的防护措施。我未曾见过有关的微机联锁设计的防雷评估文件。上述标准的主要的内容是将雷电作用空间进行分区，在每个分区的界面处统一接地，选用不同级别的 SPD 器件进行防护以形成分级防护的结构。在现在室外设备引入室内大都采用电缆，雷电侵入室内信号设备的主要途径是电力供电线路，室外设备引入室内的电缆（主要是轨道），通信线路的不同接地之间的反击电压，高阻悬浮的室内长线路的感应电压，空间电磁场。 对于这些情况计算机联锁技术条件都有相应的规定，主要条款如下：9.5.9 引向室外的通讯通道，应优先选用光传输通道，除此以外，则必须考虑通道的电器隔离或防干扰、防雷害措施。12.1 应在电源、计算机、数据通讯线路、输入输出接口、机架结构及地线设置等方面采取电磁兼容和防雷设计，包括元器件的选用和印刷电路板的设计制作。12.2 在采取了必要的防电磁干扰和防雷措施之后，在规定严酷性等级的运用环境中，设备必须正常工作，不允许产生任何指标下降和功能上的非期望的偏差。12.3 必须防护以下电磁干扰项目b） 因电力线路和控制线路上的操作和雷击等原因在电源线、控制线、 信号线上产生的非重复性阻尼振荡瞬态波干扰；g） 雷击建筑物、无线塔、接地体等原因产生的脉冲磁场；12.5.1 电源屏的主、副电源引入端应设防雷设备。12.5.2 电源屏供电子设备使用的电源，应具有抗雷害性能。12.5.3 计算机与现场连接的电缆应根据雷害程度的不同，分别采取防雷措施。12.5.4 信号楼内的布线应考虑防雷设计。12.6 地线设置信号设备接地电阻值应不大于10 ；用于防护电子设备的安全保护地线的接地装置，其接地电阻值不应大于4 。对于重雷害地区，地线设置还应采取特殊措施。对于电力线路的防雷有多重的措施，在电力引入信号机械室前有一级阀式防雷，在电源防雷箱中有更细一级的OBO 防雷，电源屏内部的还有一级防雷。从 EI32JD、JD1A 电源图中可看出，进入微联系统后又有三级防护措施，防雷组合、隔离变压器、 UPS 电源。电源的防雷除了将架空线改用为电缆供电外，看不出还能采用措施来加强防雷。仅就安装位置和层次而言，EI32JD、JD1A 的电源防雷系统符合IEC 的有关 LPZ0、LPZ1 、LPZ2 分区并采用不同门限SPD 的规定。对于室外设备引入室内的电缆防护，对于交大微联实际上并不用做什么工作。交大微联设备名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 11 页 - - - - - - - - - 与现场设备之间还隔着继电器层。交大微联采集继电器空接点，驱动继电器线圈，并不直接和室外通过电缆相连。继电器接点到线圈绝缘电阻在20M 以上。雷电串入的概率很小。在 JD-1A 中驱、采配线上有一级放电管的防护，并对放电管设置了一个击穿检测电路！？在实践中我们没有见到过放电管击穿的例子。在 EI32JD 中这一似是而非的设计被取消了，也就是说驱、采配线上没有防雷。雷电通过通信线路的不同接地之间的反击电压而打坏RS 232、RS485 接口的情况很多，这类接口属于基带传輸，两者有不同的电源供电而地直接相连，悬浮的信号线容易形成一个共地的感应电压。在主机中多数采用多串口卡，通过多串口卡串入其它的系统。CTCS2 通过串口将 TDCS、微机联锁、列控中心、微机监测连接在一起，如遭雷击轻者所有串口打坏，重者主机也要打坏。这可不是危言耸听。今年XX 站遭遇雷击，通过KVM 延伸器将微联主机串口、微机监测串口都打坏。计算机联锁技术条件的9.5.9 条款说“引向室外的通讯通道， 应优先选用光传输通道，除此以外，则必须考虑通道的电器隔离或防干扰、防雷害措施。 ”这一条款的有多大分量？计算机联锁技术条件附录A（标准的附录）用词说明的解释说：“A0.2 表示严格，在正常情况下均应这样做的用词：正面词采用“应”；反面词采用“不应”或“不得” 。 ”在实际中，通道属于交界口，不属于微机联锁的范筹，但对微联的影响很大。这是我们在维护中应解决的问题。高阻悬浮的室内长线路的感应电压的情况与通道的情况类似，XX 站的微机联锁机房距行车室距离较远， 有 70m。采用了特殊的措施延伸显示器视频线、鼠标线、 音箱。即采用了KVMEXTENDER （键盘 Keyboard、视频 Video、鼠标 Mouse 延伸器 Extender） 。它利用五类线将键盘、显示器、鼠标的距离延伸达150m，满足特殊需要。行车室一端的延伸器的电源取自UPS 前，微机室一端延伸器的电源取自UPS 电源输出。从实践中看这结构最易遭雷击。交大微联的微机室的雷电防护采用整体防雷，室内做了整体的法拉第笼式的屏蔽室、做了环形地线。 但上述的两条路径没有防护措施，成了系统的弱点。其实对于上述两处可采用光通道加以解决。对于KVM 延伸器可采用支持光纤通道产品名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 11 页 - - - - - - - - -