組合式故障-安全架構設計的應用探討

周 青

（北京全路通信信號研究設計院集團有限公司，北京 100073）

組合式故障-安全架構設計的應用探討

周 青

（北京全路通信信號研究設計院集團有限公司，北京 100073）

組合式故障-安全架構設計在鐵路信號領域應用廣泛，但由于缺乏理論的系統(tǒng)研究做指導，實際應用時較為簡單，不能完全符合歐標EN50129的要求，這與目前鐵路信號涉安產品需要通過符合歐標的安全認證相沖突。為提高組合式故障-安全設計水平，通過對歐標深入學習，并結合實際應用，歸納該架構設計的關鍵技術。

故障-安全；組合式故障-安全；2取2；關鍵技術

1 概述

故障-安全原則是鐵路信號領域國內外均共同遵守的重要原則，它要求當信號設備發(fā)生可能導致危險的故障時應導向安全狀態(tài)。

為實現(xiàn)故障-安全，一般通過以下一種或多種組合來實現(xiàn)，即組合式故障-安全、反應式故障-安全和固有式故障-安全3種方式。3種方式的要求及應用場合各有特點，對于電子設備普遍使用前兩種方式，對于輸出端的開環(huán)控制可以使用分立模擬器件組成的固有式故障-安全方式來保證安全。本文僅就組合式故障-安全架構進行探討。

組合式故障-安全架構由多通道組成。目前，鐵路信號領域的電子設備廣泛使用“2取2”、“3取2”的組合式故障-安全架構設計，以保證單點故障發(fā)生時系統(tǒng)不會導向危險側。但實際應用時較為簡單，不能完全符合歐標EN50129的要求，有的忽略了多個單元的獨立性要求，有的忽略了安全態(tài)的保持，這與目前鐵路信號涉安產品需要通過符合歐標的安全認證相沖突。為避免上述問題，提高組合式故障-安全設計水平，通過對歐標理論學習并結合實際應用，對組合式故障-安全設計的關鍵技術進行探討及總結。

2 組合式故障-安全原理

組合式故障-安全原理：一個安全功能由至少兩個通道執(zhí)行，只有當必要數(shù)量的通道達成一致時，才提供對外輸出許可；否則，應停止對外輸出，使系統(tǒng)進入并保持在安全態(tài)。

同時，當一個通道發(fā)生導向危險的故障時，應在足夠短的時間內檢測并進入且保持在安全態(tài)，降低安全影響，以避免第二個通道發(fā)生相同故障即故障累積時系統(tǒng)導向危險狀態(tài)。由于 “2取2”的組合式故障-安全架構設計應用較廣，本文僅以此為例進行說明，其他的“N取M”系統(tǒng)原理類似，其組合式故障-安全原理示意如圖1所示。

對“2取2”組合式故障-安全原理示意圖解析如下：

圖1中， 某個安全功能由通道A和通道B分別獨立執(zhí)行。

圖1 組合式故障-安全原理示意圖

通道A、B分別將與安全功能相關的重要信息（如輸出數(shù)據(jù)、中間狀態(tài)變量、輸入信息）輸入表決器（圖1中所示），由表決器來判斷雙通道是否判斷一致。若一致，則提供輸出允許，若不一致，則認為通道A、B中至少一個發(fā)生故障，不允許輸出。

當通道A、B的故障檢測電路之一檢測到導向危險的故障時，則“拒絕”電路（圖1中所示拒絕輸出，使系統(tǒng)進入并保持在安全態(tài)。

3 組合式故障-安全關鍵技術

組合式故障-安全架構設計時，為真正發(fā)揮該架構設計的故障-安全作用，需重點考慮以下關鍵技術。

3.1 通道間獨立性

通道間應保持獨立性，這是該架構設計的強制性先決條件。當一個通道由于內部故障或外部系統(tǒng)干擾工作錯誤，產生了錯誤的結果，第二個通道若工作正常，則結果必然不同。如果通道間缺乏獨立性，則第二個通道由于相同原因（內部故障或外部系統(tǒng)干擾）發(fā)生相同錯誤，并產生相同錯誤結果，則通過“取2”比較無法發(fā)現(xiàn)通道的故障，系統(tǒng)可能產生錯誤的導向危險側輸出。因此通道間的獨立性是該設計的前提條件。

通道間應在以下3個方面保持充分的獨立性：物理上、功能上、流程上。物理獨立性，即采取一些措施，防止因物理連接而造成的共因失效。物理獨立性是最基本，也是最重要的，需要考慮到內外部的影響，內部考慮電氣連接及電磁耦合等，外部包括環(huán)境如電磁輻射、外部供電的影響，一般均要求增加隔離、絕緣措施，具體的推薦措施詳見文后參考文獻［1］。功能獨立性，即不會由于系統(tǒng)失效或隨機失效造成不同通道的功能同時失效。流程獨立性，主要用于防止系統(tǒng)性失效，降低共因失效的影響。為滿足流程獨立性，可通過設計的異構即差異化來實現(xiàn)，包括硬件差異化、軟件差異化。

硬件差異化一般考慮，通過原理設計或關鍵器件差異化引入部分的硬件差異化；同理，對兩個通道使用不同的輸出管腳設計也可以加強安全性。在實際可行時，推薦兩通道采用不同的芯片進行設計。軟件差異化一般考慮，通過不同的編程人員或不同算法來實現(xiàn)差異化，采用不同的編譯器也是常用的措施之一。

3.2 故障檢測及安全態(tài)的保持

各通道應設計故障檢測功能，各通道可共用一個故障檢測電路，也可以分別設計各自的檢測電路。當一個通道發(fā)生導向危險的故障時，應在足夠短的時間內檢測并進入安全態(tài)。當后續(xù)其他通道發(fā)生相同故障時，仍然保持該安全態(tài)不被破壞。

圖2中，通道A在t1時刻發(fā)生故障，通道A故障檢測電路在t2時刻檢測到該故障，并開始進行安全處理，到t3時刻控制系統(tǒng)輸出使系統(tǒng)進入安全態(tài)，t4時刻通道B發(fā)生相同故障。則故障檢測及消除時間tsf=t3-t1，兩通道連續(xù)發(fā)生相同故障的時間差△t=t4-t1，約束關系如下：

圖2 組合式故障-安全故障檢測及消除時間關系圖

式中，對于“2取2”系統(tǒng)，K=1；對于“3取2”系統(tǒng)，K=0.5。

如上所述，組合式故障-安全架構設計的基本前提是任何一個通道都可以獨立、正確地完成預設的安全功能，尤其是使本通道停止對外輸出、進入并保持在安全態(tài)的能力。

當檢測到第一個故障時應進入安全態(tài)，且后續(xù)故障不能使系統(tǒng)退出安全態(tài)。僅在人工干預作為糾錯過程的一部分時，才能允許退出安全態(tài)。

在第一個故障發(fā)生后允許的修復時間內如果發(fā)生其他故障，系統(tǒng)應保持在安全態(tài)。為實現(xiàn)規(guī)定的安全目標，允許的修復時間應足夠短。

安全態(tài)的保持一般有如下實現(xiàn)方式：自動地關閉故障的設備或系統(tǒng)，如宕機；阻止故障設備或系統(tǒng)的所有安全相關功能，允許其他非安全相關功能的繼續(xù)運行。

3.3 “2取2”比較策略及實現(xiàn)

“2取2”即通道A和通道B進行一致性比較，只有比較一致時，才允許進行后續(xù)的操作，如安全的輸出。所謂的“一致”，對于模擬量而言，即在一定的誤差容忍范圍內則可；對于“數(shù)字量”或“開關量”而言，則為相同。

圖3中，每個虛線框代表一個邏輯功能，頂部文字說明其功能。從“外部輸入”至輸出控制“外部對象”的整個過程，為了及時檢測各點的故障、及時導向安全態(tài)，避免故障傳遞到后續(xù)過程，按信號流向進行分級比較，“2取2”比較主要涉及輸入取2比較、中間數(shù)據(jù)取2比較、輸出取2比較。

圖3 “2取2”比較安全邏輯示意圖

“輸入預處理”，對于模擬量而言，一般涉及取樣、限幅、隔離、濾波、模數(shù)轉換等處理；對于數(shù)字量而言，為避免采樣不同步造成的差異，一般需進行“5取3”、“3取2”等處理，即從連續(xù)幾個采樣周期選取典型的采樣值，作為后續(xù)“輸入取2比較”的輸入。

“輸入取2比較”，主要是用于及時檢查輸入預處理通道的單點故障。當“輸入取2比較”失敗，即不一致時，推薦的安全處理方式是宕機，即將所有輸入輸出數(shù)據(jù)導向安全側，停止執(zhí)行所有設定功能，等待人工干預才能重新工作。當“輸入取2比較”成功時，對于模擬量，即在一定的誤差容忍范圍內，但不完全相同時，推薦進行統(tǒng)一化處理，即處理后輸出一個相同的結果給兩通道，以保證后續(xù)的“中間數(shù)據(jù)取2比較”的輸入相同。如A通道模擬量輸入預處理后為a，B通道模擬量輸入預處理后為b，a和b進行“輸入取2比較”成功后，推薦將a、b取平均值，即將分別送入兩通道進行后續(xù)的邏輯處理，保證了“中間數(shù)據(jù)取2比較”的輸入一致，其邏輯處理后輸出不一致，則僅反映“中間數(shù)據(jù)取2比較”過程的故障。

“中間數(shù)據(jù)取2比較”，主要是考慮到一些中間數(shù)據(jù)的錯誤并不一定體現(xiàn)在輸出的錯誤，如果僅僅檢查輸出的錯誤，可能會遺漏一些故障或錯誤。中間數(shù)據(jù)一般包括關鍵變量、關鍵數(shù)據(jù)、關鍵硬件檢查狀態(tài)等關鍵信息的比較，通過這些可以檢測系統(tǒng)軟件、關鍵硬件器件的工作狀態(tài)及關鍵數(shù)據(jù)的變化狀態(tài)。當“中間數(shù)據(jù)取2比較”失敗時，常用的安全處理方式是宕機處理，即將所有輸入輸出數(shù)據(jù)導向安全側，停止執(zhí)行所有設定功能，等待人工干預才能重新工作。

“輸出取2比較”，主要用于及時檢查通道A、B中處理器等核心處理單元的單點故障及軟件的運行異常（針對異構軟件）。當“輸出取2比較”成功時，認為雙通道均工作正常，結果為正確、可信，可以輸出。當“輸出取2比較”失敗時，認為雙通道至少一路工作故障，其結果不可信，但由于不能確定哪個結果不可信，因此2個結果均不輸出，但須觸發(fā)安全反應。當“輸出取2比較”失敗時，常用的安全處理方式是將輸出導向安全側，停止執(zhí)行所有設定功能，等待人工干預才能重新工作。

“輸出控制”要實現(xiàn)安全輸出控制，根據(jù)輸出類型宜采取不同的設計。對于IO輸出，建議采用固有式故障-安全設計或帶有可靠自檢、控制的電路，如自檢發(fā)現(xiàn)輸出異常時，一方面切斷輸出電路的輸入信息，另一方面，切斷輸出電路的電源；對于通信輸出，建議采用雙通道數(shù)據(jù)組合發(fā)送來實現(xiàn)，如通道A發(fā)送純數(shù)據(jù)，通道B發(fā)送數(shù)據(jù)計算的CRC碼。

“取2”的實現(xiàn)有多種方式?？梢酝ㄟ^軟件實現(xiàn)，也可以通過硬件實現(xiàn)。其中軟件實現(xiàn)則要求雙通道進行周期通信，及時交互數(shù)據(jù)、狀態(tài)并進行“取2”比較。硬件實現(xiàn)方式，可以使用固有式故障-安全設計的模擬電路，也可以是第三個CPU等微處理器組成的電路。通常，“輸入取2比較”、 “中間數(shù)據(jù)取2比較”通過軟件實現(xiàn)，“輸出取2比較”可通過軟件或硬件實現(xiàn)。

4 結束語

本文對組合式故障-安全架構設計進行系統(tǒng)的理論學習，并結合實際應用對關鍵技術進行了歸納。組合式故障-安全架構設計可以及時發(fā)現(xiàn)和控制系統(tǒng)中可能導向危險側的單點故障，是故障-安全實現(xiàn)的重要方式，但要組合式故障-安全架構設計真正地發(fā)揮作用，必須解決上述通道間獨立性、故障檢測及安全態(tài)的保持、多數(shù)表決策略問題。通道間的同步將是組合式故障-安全架構設計后續(xù)研究內容。

［1］ CENELEC.EN50129-2003 Railway applications-Communication，signaling and processing systems-Safety related electronic systems for signaling［S］.2003.

［2］中國人民解放軍總裝備部.GJB/Z 299C-2006 電子設備可靠性預計手冊［S］.北京：總裝備部軍標出版，2007.

［3］中華人民共和國國家質量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 28809-2012/IEC 62425：2007 軌道交通 通信、信號和處理系統(tǒng)信號用安全相關電子系統(tǒng)［S］.北京：中國標準出版社，2013.

Though the composite fail-safe architecture has been widely used in railway signal designs， its actual application is so simple that it can't fully meet the requirements of EN50129 standard due to lack of corresponding theory guidance， which confl icts with the requirement that safety related products should be verifi ed and certifi ed according to European standards. In order to improve the design level of composite fail-safe architecture， the paper sums up the key techniques of the architecture design by the deep study on European standards in combination with practical application.

fail-safe； composite fail-safe； 2 out of 2 architecture； key techniques

10.3969/j.issn.1673-4440.2015.06.027

2015-01-09）