合肥工大铁路信号计算机联锁系统的研究与设计解决方案

1. 引 言

随着铁路运输朝着高密、重载及高速的方向发展，既有的车站铁路信号联锁装置已无法适应铁路信号对可靠性与故障——安全性的更高要求。就技术方面而言，铁路信号系统已经历了机械联锁、电气联锁(继电联锁)等二个阶段，目前在我国干线铁路或企业自备铁路上所使用的联锁系统绝大多数仍为继电联锁系统。70年代末期新型微处理器的出现以及容错理论与技术的逐步完善，激励人们以微型计算机为核心构成计算机联锁系统。

但是常规的计算机控制系统并不具有故障——安全特性，也即不具有辩别外部输入信息的正确与否或在系统故障时能将系统导向安全的能力，在应用中受到了极大的限制。目前在我国干线铁路上装备的计算机联锁系统大多系国外铁路信号公司的容错计算机信号控制系统，其价格相当昂贵。因此近年内国内不少铁路行业科研院所都将研制故障——安全的铁路信号控制系统作为近期的主要工作。

2. 铁路信号计算机联锁系统的性能要求分析

2.1. 计算机联锁系统的基本结构

由于计算机联锁系统的综合性能远远超过继电联锁系统，因此车站联锁系统由继电装置向计算机联锁系统转化已成为一种不可扭转的趋势。具体来说计算机联锁系统的优势主要表现在适时性、安全性、可靠性、可维护性及性价比等若干方面。

计算机联锁系统是利用目前已有的工业控制计算机，研制一套专用的硬件与软件系统实现信号、进路与道岔间的联锁关系，因此它实质上是一个满足故障——安全信号原则的联锁逻辑运算系统，计算机在系统中的作用是将操作命令与现场各种输入的表示信息读入，再根据计算机内部状态等条件进行逻辑运算，判断后输出控制信息至执行机构，实现多变量数字输入和多变量数字输出这样一个复杂传递函数的变换，图1是逻辑运算系统的原理图。

图1 联锁逻辑运算系统原理图

2.2. 实时性要求

联锁系统必须不失时机地采集到输入变量的变化情况，及时刷新站场各类表示信息，及时输出道岔和信号的控制命令，而且对涉及安全(危险侧[1])的控制命令必须以具有故障——安全特征的形式输出。

2.3. 可靠性与故障——安全性

信号联锁系统是一种实时控制系统，它必须是高可靠的，通常继电联锁系统在采取预防性维护措施的前提下其MTBF可达1.3×105h[2](约15年)，采用工业级的控制计算机与容错技术完全可以达到并超出这一指标。

具体来说，对计算机联锁系统而言必须解决两个主要问题。

系统内信息传递的可靠性与安全性：鉴于工业计算机自身不具备故障——安全特性，因此系统内传递的信息也不具备安全性，受各种干扰、辐射以及各类故障的影响， 信息畸变在所难免，从而造成逻辑运算错误而可能引发危险侧输出。

系统内信息变换及逻辑运算的安全性：就联锁程序而言，无论设计调试方法多么严密也很难排除所有隐含的缺陷，这就要求必须引入避错及容错机制使故障形成的危险侧运算结果输出的概率达到规定的要求。

2.4. 结构模块化与标2.5. 准化

铁路站场的规模与作业需求不尽相同，因而无论是硬件还是软件都必须具有模块化结构特征，硬件模块化、软件真正实现程序、数据的有效分离。

2.5. 经济性

计算机联锁系统取代继电联锁系统的另外一个重要原因是为了降低系统费用成本，一般来说系统费用表现在设计、制作、施工、调试以及建筑费用上，因此计算机联锁系统必须在以上若干方面充分显示其优势。

2.6. 功能扩展

旧有的继电联锁系统只能提供基本联锁功能与操作界面，新型计算机联锁系统除此之外，还应具有故障诊断与分析、重演、远程通信及其他管理功能。

3. 总体设计方案与关键技术

笔者在认真分析了计算机联锁系统的性能特点以及对故障——安全性的特殊要求基础上，提出了适合于企业自备铁路使用的系统体系结构并实际运用于扬子石化公司二个自备铁路站场(道岔总数量约为80组，属大型编组站场)，该系统被命名为HJ04A铁路信号计算机联锁系统，以下简称HJ04A系统。

3.1. 系统结构与工作原理

从HJ04A系统的体系结构来看属于二级集散式控制系统(系统结构详见图2)，突破了旧有的集中式信号系统模式，具有模块化、层次化等特点。模块化是指联锁机主模块、PLC及信号结合模块等，层次化是指系统具有操作表示层、联锁运算层、复核驱动层、结合电路层及监控对象层等五个物理层次。这种结构的优点在于可根据车站规模的大小、作业需求的不同，在不改变联锁软件的基础上通过修改站场静态数据并增设相应硬件模块，即可满足系统的扩容要求，先进的控制体系结构结合工艺设计使得系统调试周期与现场施工、开通周期均大为缩短，具有很好的经济与实用性。

3.1.1. 人机对话层

将来自键盘、鼠标等操作输入，经串口送达联锁计算机，同时在图形显示器上显示站场表示信息。在站场规模较大致使联锁计算机负担较重或需要多终端操作的情况下，可设置操作命令采集机进行操作命令输入的有效性判别并转换成约定格式传送给联锁计算机。

3.1.2. 联锁运算层

联锁微机是系统的核心部分，承担着操作输入的判别、联锁信号的调理及分析、逻辑运算、控制命令生成、故障诊断等任务，其可靠性、安全性对系统的总体故障—安全性能有较大影响，HJ04A系统中设置了两台联锁微机，其中一台为冷备机，可进行人工切换。

3.1.3. 复核驱动层

复核驱动层由PLC组成，其承担着采集表示信息并将联锁微机下达的操作命令转化为故障—安全的控制信号的任务，作为系统安全性设计的重要环节之一，PLC还承担着对联锁微机形成的操作命令进行复核检查的屏障作用。

3.1.4. 结合电路层

结合电路的任务之一是实现现场监控设备 表示信息与PLC输出的驱动信号的安全逻辑转换，使PLC的输入、输出信息均具有故障—安全性能。

任务之二是用专用电路规范监控设备的测控过程，即包括表示信息采集机制与设备驱动流程。

3.1.5. 监控对象层

监控设备是指联锁系统的现场设备，即道岔、信号机与轨道电路。

3.2. 可靠性及故障—安全设计

目前，国内外进行高可靠系统的容错设计多采用三模静态冗余方案或二模动态冗余方案。其中前者完全是靠硬件冗余来提升可靠性的，后者则不仅使用了硬件冗余资源，同时也使用了故障检测技术与软件冗余资源。这二种方案的共同特点是对硬件故障具有较强的屏蔽与纠错能力。然而这二种方案均存在一定的实现难度与缺陷，三模冗余系统必须实现三模的同步进程及表决器的高可靠设计，尤其需要解决时钟容错的问题;二模动态冗余系统则要求冗余管理机构的高效与可靠性。目前这二类系统的可靠性计算都是在设定表决器或冗余管理机构的可靠度R(t)=1的基础上进行的[3]，同时由于设备直接投资成本过高，因而在非航天、通讯等可靠性要求很高的领域应用不多。

在铁路信号领域，由于行车安全被认为是超过效率的重要考虑，因此相应对计算机联锁系统的可靠性与安全性要求很高，针对这种情况，可以有二种方式供我们在设计中进行选择。其一是强化系统的可靠性设计，这是基于可靠性理论包含了系统故障的屏蔽效应，因而用高可靠性换取系统的低故障率，以此隐含了对安全性的相对提升。