鐵路信號控制計算機聯(lián)鎖系統(tǒng)

1、鐵路信號控制計算機聯(lián)鎖系統(tǒng):SMILE摘要：本文提出了鐵路信號控制計算機聯(lián)鎖系統(tǒng)的概念，并對該系統(tǒng)針對安全性高、可靠性好和靈活性杰出的整體架構(gòu)進(jìn)行了設(shè)計。本文對無論系統(tǒng)的核心是“故障-安全”的微機子系統(tǒng)，還是系統(tǒng)總線結(jié)構(gòu)的多微機子系統(tǒng)的基本體系結(jié)構(gòu)進(jìn)行了研究?；诙吭u價的結(jié)論，給出了系統(tǒng)的安全性和可靠性，該系統(tǒng)有助于車站列車交通控制技術(shù)的改進(jìn)。1 簡介近來，在非常重要的區(qū)域增加了計算機系統(tǒng)的應(yīng)用。面對這方面的需求，已經(jīng)開發(fā)了一些使用容錯計算技術(shù)的高可靠計算機系統(tǒng)1。另外，在某些區(qū)域，要求計算機系統(tǒng)不僅要可靠性高而且要安全性高。鐵路信號控制系統(tǒng)就是其中的一個典型，特別是，控制信號和道岔的聯(lián)鎖設(shè)

2、備不僅要可靠性高(它運行的中斷會引起列車交通堵塞)，且為了防止碰撞和脫軌，它必須具有“故障-安全”特性。在鐵路信號系統(tǒng)中, 每當(dāng)系統(tǒng)失效，安全側(cè)信息就會促使一個“禁止信號”產(chǎn)生。目前，以繼電器聯(lián)鎖為主, 因為電磁繼電器有不對稱的失效模式(“故障-安全”特性)，所以采用電磁繼電器作為它的邏輯部分。日本國家鐵路(JNR)曾多次嘗試將計算機應(yīng)用于聯(lián)鎖當(dāng)中。最近一次是在1966年,由變參數(shù)元件組成了一個“故障-安全”計算機2。該系統(tǒng)運轉(zhuǎn)良好,但運用于實際當(dāng)中過于昂貴。 最近，我們已著手研究基于通用計算機的聯(lián)鎖系統(tǒng)3，因為電子元件如電腦的基本元件晶體管，沒有不對稱失效模式，所以用它去構(gòu)造一個“故障-安全

3、”的計算機系統(tǒng)很困難。盡管需求很大，但很少有這樣的系統(tǒng)應(yīng)用于實際當(dāng)中4。本文提出了一種微機控制聯(lián)鎖系統(tǒng)，它更容易處理和維護(hù)，而且更便宜，有比傳統(tǒng)的電氣集中更靈活的擴展功能。本系統(tǒng)名為SMILE (聯(lián)鎖設(shè)備的安全多處理器系統(tǒng))，SMILE由不同層次和不同功能地獨立多微機組成。該系統(tǒng)由一個三模冗余(TMR)“故障-安全”微機確保其安全性，而不需要故障-安全特性的輔助功能被分配到其他微機。2 SMILE的層次結(jié)構(gòu)列車交通控制系統(tǒng)有四個層次等級。最高的是列車運行時刻計劃級(等級1)。第二個是列車交通管理級(等級2)，它監(jiān)督整個鐵路線路的列車運行，其計劃被修改使列車延遲最小以防列車交通障礙。接下來是控制

4、級(等級3)，它控制列車路線設(shè)置和管理乘客信息供給。最低的是安全級(等級4)，它確保列車安全運行。前三個等級(等級1-3)的功能提高了列車運行控制效率和客運服務(wù)，許多類型的列車交通控制系統(tǒng)在實際使用當(dāng)中。然而，到目前為止, 通過電氣集中，人們已經(jīng)意識到最低等級(等級4)的功能。通過利用計算機的智慧，在高級別任務(wù)中，計算機聯(lián)鎖能夠?qū)崿F(xiàn)各種功能。 因此，在一個具有復(fù)雜調(diào)車工作的大站上，對于負(fù)責(zé)監(jiān)控整個鐵路線路的中心調(diào)度員來說，掌控鐵路運行的細(xì)節(jié)太難。為了適用于像這樣的站以及小規(guī)模站，我們開發(fā)了SMILE。于是，在大站除了等級3和等級4的功能外，SMILE還有交通管理功能，而且屬本地控制范圍內(nèi)。包含

5、SMILE的列車交通控制系統(tǒng)的結(jié)構(gòu)如圖1所示。為了與中央計算機系統(tǒng)的交通規(guī)則保持一致，SMILE將從中央系統(tǒng)配備一個列車時刻表。為了應(yīng)用于小型車站，擁有最低等級(等級4)功能的SMILE，將被毗鄰的小站SMILE或者集中控制計算機系統(tǒng)遠(yuǎn)程控制。圖1 運用SMILE的列車交通控制系統(tǒng)層次結(jié)構(gòu)SMILE的目標(biāo)是以最小的總成本實現(xiàn)以下功能，而這些功能不包含在傳統(tǒng)的電氣集中內(nèi)：a)基于列車運行計劃的自動路由控制。b)一個調(diào)車試點語音通過使用無線電發(fā)射器直接向SMILE發(fā)送命令的調(diào)車進(jìn)路設(shè)置，或基于一系列預(yù)先儲存的進(jìn)路設(shè)置數(shù)據(jù)進(jìn)行調(diào)車進(jìn)路自動設(shè)置。c)向乘客提供列車運行信息。d)SMILE自身和外部信號

6、裝置的監(jiān)控與故障檢測。 為了保證擁有多種功能的SMILE系統(tǒng)具有高安全性、高可靠性和高靈活性，我們采用分層結(jié)構(gòu)，該結(jié)構(gòu)中，需要保證安全的某些功能從那些不需要“故障-安全”特性的功能中分離出去。SMILE由功能分布式的多微機構(gòu)成。聯(lián)鎖功能由帶有三模冗余“故障-安全”微機(TMR)結(jié)構(gòu)的“故障-安全”微機子系統(tǒng)(FSM)來執(zhí)行，而輔助功能分配到其他帶有簡易的或雙工(熱備)結(jié)構(gòu)的微機中，這取決于它們的可靠性要求。SMILE系統(tǒng)結(jié)構(gòu)如圖2所示。每個SMILE與一個名為SMILE-BUS(后面介紹)的復(fù)制的系統(tǒng)總線連接。圖2 SMILE的分層結(jié)構(gòu)3“故障-安全”微機子系統(tǒng)3.1“故障-安全”結(jié)構(gòu)基本概念

7、當(dāng)“故障-安全”計算機系統(tǒng)由一個基于冗余和錯誤檢測電路的通用計算機組成時,就有一個問題：雙重故障會造成安全性丟失。有兩種方法來克服：依賴軟件的多樣性和硬件冗余。然而，考慮到電子元件將會一年比一年便宜, 在軟件復(fù)雜性和系統(tǒng)成本方面, 發(fā)現(xiàn)前者不是很好。所以在硬件冗余方面，需增加數(shù)據(jù)對比的頻率從而減少雙重故的障概率。用該方法，一個需要注意的地方就是關(guān)于總線水平。要滿足這種情況，就必須加載另一個完全相同的軟件。因為比較發(fā)生在總線上，所以在元件使用前就可以檢測到它的缺陷。如此一來，一個故障在它擴散前就可以被處理掉。這是減小雙重故障概率行之有效的方法。聯(lián)鎖系統(tǒng)要求高可靠性以及高安全性。從這個角度來看，我

8、們的系統(tǒng)應(yīng)選擇TMR結(jié)構(gòu)。最近，在微機系統(tǒng)中，TMR的一些應(yīng)用程序出現(xiàn)了。其中有一個是Siewiorek提出的總線級別的表決系統(tǒng)5?？偩€級別表決方法有以下優(yōu)點：1)因為在每個微指令執(zhí)行期間，數(shù)據(jù)表決是在總線級別上，所以，發(fā)生于一個模塊上的錯誤將立即得到糾正。2)當(dāng)故障發(fā)生時，故障不擴散到包含故障部分的領(lǐng)域以外。盡管該結(jié)構(gòu)對一個高可靠性系統(tǒng)來說可能行之有效，但它們不滿足一個安全系統(tǒng)的要求。一個僅僅檢測和糾正錯誤的系統(tǒng)遲早會導(dǎo)致雙重故障和不安全的控制輸出。為了避免這種情況發(fā)生，系統(tǒng)添加了一個表決分歧檢測電路，以便通過監(jiān)測多數(shù)表決復(fù)位器(MVR)每次表決操作發(fā)生的輸入和輸出，來發(fā)現(xiàn)MVR的分歧。因此

9、，該電路被設(shè)計為具有“故障-安全”功能，并命名為“故障-安全”比較器(FSC)。整個系統(tǒng)幾乎所有組件的故障，均表現(xiàn)為三條總線的分歧，因為當(dāng)它們訪問處理器時，必定通過MVR。因此，通過觀察這三個MVR，F(xiàn)SC可以檢測整個系統(tǒng)的故障。如此一來，一個使用“故障-安全”邏輯元件的輸出表決電路(OVC)被用作系統(tǒng)輸出電路，而FSC無法處理它們的故障。FSC的結(jié)構(gòu)如圖3所示。圖3 “故障-安全”微機子系統(tǒng)的結(jié)構(gòu)3.2 故障檢測和模式控制1)故障檢測：在本系統(tǒng)中，三個完全相同的處理器由一個主時鐘同步，這也是采用了TMR結(jié)構(gòu)，每次處理器發(fā)送或接收信息時，數(shù)據(jù)總線、地址總線，和幾個控制信號一步步的進(jìn)行表決。本系

10、統(tǒng)還提供了比較三個MVR的輸入-輸出對的六個兩輸入FSC。FSC每次都會檢查MVR處理器對總線的訪問，因此，F(xiàn)SC必須要高速運行。為了滿足這一需求，F(xiàn)SC采用使用移位寄存器和微型繼電器的動態(tài)觀察方法。該方法的概念如圖4所示。圖4 故障-安全比較器(FSC)正常情況下，被給電路周期性交替輸出“1”和“0”，它輸出的是一種交流波形，整流后驅(qū)動直流繼電器。當(dāng)使用這種方法時，無論電路的任何地方或電路任何部分發(fā)生故障，都不會引起交替輸出，且直流繼電器不會動作。因此,它屬于“故障-安全”電路。實際電路中，提供了一個2-b雙向移位寄存器。當(dāng)處理器發(fā)出“讀”或“寫”的控制信號時，F(xiàn)SC進(jìn)行總線比較，總線數(shù)據(jù)被

11、鎖存。每一個比較周期內(nèi)，F(xiàn)SC保留一個向移位寄存器發(fā)送脈沖(左移信號)的內(nèi)部時鐘。緊隨著，一對鎖存的數(shù)據(jù)被拿出，通過異或(EOR)部分，以連續(xù)形式給向移位寄存器。該操作與FSC的內(nèi)部時鐘同步。該軟件在系統(tǒng)初始化或系統(tǒng)重新啟動時，對移位寄存器進(jìn)行初始化。此外，定期將存儲區(qū)和寄存器內(nèi)的數(shù)據(jù)放置在總線上，經(jīng)診斷軟件，以便FSC盡早發(fā)現(xiàn)這些組件的故障。2)基于FSC結(jié)果的故障定位：是通過有“故障-安全”特性的繼電器電路實現(xiàn)的，該繼電器電路控制著OVD中相應(yīng)部分的電源開關(guān)。就是說，故障模塊的外部輸出將從表決系統(tǒng)中清除，即使當(dāng)它參與內(nèi)部總線級別的表決。然后，在AND運算中，該系統(tǒng)猶如由雙重系統(tǒng)構(gòu)成。此后，

12、如果另一分歧發(fā)生在兩個均被視為正常的總線上，那么繼電器電路會判斷該系統(tǒng)中存在兩個故障，然后封殺整個系統(tǒng)。當(dāng)然，在這種情況下，來自該系統(tǒng)的外部輸出均導(dǎo)向安全側(cè)。3)瞬時誤差測量：對瞬時故障來說嗎，該系統(tǒng)設(shè)計的非常強大。有硬件協(xié)作的軟件給出處理瞬時故障的措施。該方法的理念如下。該系統(tǒng)提供與圖4所示的FSC有關(guān)的循環(huán)冗余代碼檢查(CRCC)。給向FSC中移位寄存器的串行數(shù)據(jù)同樣給向CRCC，在每個對比周期中，CRCC預(yù)測使用預(yù)定算法串行數(shù)據(jù)的殘余部分。每一個Ts秒，三個處理器讀取六個循環(huán)冗余代碼檢查(CRCC)內(nèi)容，并判斷數(shù)據(jù)總線之間是否發(fā)生分歧?？偩€上的錯誤反應(yīng)在CRCC的內(nèi)容上。如果檢測到分歧，

13、處理器就會確認(rèn)故障模塊，并初始化FSC中所有的移位寄存器，假定分歧由先前Ts秒中的瞬時誤差引起。Ts期間，會考慮普通脈沖噪聲的平均時間。如果其他總線之間的另一分歧在這個時期發(fā)生，那么，處理器將通過終止向看門狗計時器提供與錯誤模塊相同輸出的方法,封鎖所有系統(tǒng)功能。因此，向輸出表決電路的電源輸出也將終止。如果另一分歧發(fā)生在相同總線（一個分歧已發(fā)生）的下一個Ts秒內(nèi)，處理器將認(rèn)為是一個永久性故障，并通過終止向看門狗計時器提供輸出來分離該故障模塊。4)模式選擇和系統(tǒng)恢復(fù)：MVR有另一種操作模式，除表決運算外，指定的三個總線上的信號允許沒有表決通過。在該模式下，沒有停止該功能的系統(tǒng)維護(hù)可能存在?？刂婆_上

14、有個開關(guān)來進(jìn)行該模式的選擇。整個系統(tǒng)從關(guān)機中恢復(fù)(同步恢復(fù))是從按下控制臺上的按鈕開始的。該操作模式下,在初始化過程中，各個區(qū)域初始化和輸出端口清0明確執(zhí)行，以防不安全數(shù)據(jù)輸出。相比之下，從一個雙重系統(tǒng)恢復(fù)到一個三重系統(tǒng)，若要三臺處理器優(yōu)化計算機的隨機存取存儲器達(dá)到與正常計算機的隨機存取存儲器一致，需通過從內(nèi)存區(qū)域執(zhí)行讀取操作和向內(nèi)存區(qū)域執(zhí)行寫入操作，之后，初始化所有FSC。因此，在該系統(tǒng)中沒有額外的軟硬件的情況下，很容易從一個雙重系統(tǒng)恢復(fù)到一個三重系統(tǒng)。3.3 “故障-安全”輸出表決控制外部信號設(shè)備的系統(tǒng)輸出由OVC產(chǎn)生。OVC通過三個相同的輸出端口接收三臺微機數(shù)據(jù)，并通過表決生產(chǎn)1-b信號

15、。FSC不能檢測電路輸出端口后的任何故障，因此，OVC必須具有“故障-安全”特性。輸出表決電路的結(jié)構(gòu)電路如圖5所示。A元件(相當(dāng)于與)和AB元件(相當(dāng)于正值和負(fù)值輸入和)是由Tsuchiya6開發(fā)的C類“故障-安全”邏輯部分的薄膜集成電路版本。因為該電路邏輯電平為±15 V，電平變換器(LVC)為插入式。表決功能由三個A元件輸出進(jìn)行OR運算實現(xiàn)。AB元件檢測是否同時輸入0。如果A和AB元件均輸出0，該情況被認(rèn)為存在分歧。分歧發(fā)生時，固定輸出一對0，意味著安全可靠狀態(tài)。最后，無錯誤的OR輸出當(dāng)作是特定位的輸出。此外，當(dāng)在內(nèi)部電路中如III-B部分描述的那樣，檢測到永久失效時，模塊維持控

16、制功能，實現(xiàn)電路的電源開關(guān)控制。圖5 輸出表決電路的結(jié)構(gòu)4 可靠和“故障-安全”FSM軟件4.1 可靠軟件 考慮到SMILE的安全性和可靠性，軟件可靠性與硬件同等重要。特別地，要求FSM軟件的安全性一定要高度可靠。軟件可靠性，即正確性，可通過結(jié)構(gòu)化設(shè)計和軟件測試達(dá)到。鐵路信號聯(lián)鎖是一個典型時序機器，它的設(shè)計與測試非常困難。計算機聯(lián)鎖系統(tǒng)中，在軟件方面如何實現(xiàn)這樣復(fù)雜的邏輯是一個主要的問題。作者提出的方法之一是聯(lián)鎖軟件可以分成許多簡單的基本組合，因此，它的生產(chǎn)和測試可以輕松完成7。FSM軟件就是基于該方法組成的。 普遍用于所有車站的FSM程序可分為許多簡單的功能模塊，它們存在于不同層次結(jié)構(gòu)。最高

17、級別的模塊相互連接于一個單線程上。該線程每300毫秒連續(xù)不斷受到掃描，它沒有復(fù)雜的操作系統(tǒng)的程序結(jié)構(gòu)，因此，可確保非?？煽刻幚頂?shù)據(jù)。對個別車站來說，同一情況下特有的聯(lián)鎖條件給向作為一個車站軌道布置的FSM，它們和所有程序一起放在只讀存儲器(ROM)中。因為聯(lián)鎖功能的任何改變，都可以通過改變或添加數(shù)據(jù)完成，所以，該軟件結(jié)構(gòu)是非?？煽亢挽`活的。在SMILE中，聯(lián)鎖功能測試流程的概念如圖6所示。物理地址（圖表）存放在FSM中，而這些圖表形式給向一個測試子系統(tǒng)。這些數(shù)據(jù)是基于相同的規(guī)范生成的。功能測試子系統(tǒng)中，生成的測試數(shù)據(jù)流向SMILE，由功能測試子系統(tǒng)檢測其響應(yīng)。盡管這些測試是在所有聯(lián)鎖條件的組合

18、中執(zhí)行，但通過利用組合電路測試，可以使它們簡化。這種雙重路徑的測試方法非常有利于驗證軟件的完整性。圖6 SMILE基于雙軌道方法的功能測試4.2 “故障-安全”軟件基本上，F(xiàn)SM的安全性依賴于硬件。然而，為了盡可能安全甚至當(dāng)FSM面臨一個如硬件故障或錯誤數(shù)據(jù)的預(yù)期情況，F(xiàn)SM的軟件采用的安全方法如下：1)安全側(cè)信息分配：首先，我們必須考慮到在該系統(tǒng)中什么是安全側(cè)狀態(tài)，并分配安全側(cè)狀態(tài)或危險側(cè)狀態(tài)到信息數(shù)據(jù)。例如，“禁止信號”是安全側(cè)信息。在FSM中，“0”總是代表安全側(cè)狀態(tài)，“1”代表危險側(cè)狀態(tài)。2)非對稱程序：“故障-安全”邏輯部分有一個不對稱的故障模式。在軟件中也采用了同樣的不對稱故障模式

19、。生成危險側(cè)信息的程序應(yīng)該有許多檢測點，并且該程序生成安全側(cè)信息應(yīng)該很簡單。例如，對“清除信號”來說，該程序包括很多檢查模塊，并且在它產(chǎn)生“清除信號”輸出之前必須通過該程序所有模塊的檢查。3)時間冗余程序：應(yīng)采用定期處理，以便可以糾正在最壞情況下的危險側(cè)輸出故障。4)輸入數(shù)據(jù)的完整性檢查：輸入數(shù)據(jù)的完整性檢查應(yīng)該同時基于其他輸入數(shù)據(jù)和內(nèi)部狀態(tài)。例如, 軌道電路標(biāo)志的完整性檢查是通過列車追蹤程序，錯誤輸入數(shù)據(jù)被更改為“不確定狀態(tài)”并經(jīng)處理成為安全側(cè)狀態(tài)信息。5)恢復(fù)到安全側(cè)狀態(tài)：一個“故障-安全”系統(tǒng)應(yīng)恢復(fù)到安全側(cè)狀態(tài)，以防硬件失效或錯誤數(shù)據(jù)。當(dāng)軟件檢測到一個嚴(yán)重的錯誤，軟件應(yīng)該恢復(fù)到內(nèi)部狀態(tài)并

20、輸出信號轉(zhuǎn)到安全側(cè)。5 SMILE-BUS結(jié)構(gòu)5.1 SMILE-BUS的概念在如SMILE的多計算機系統(tǒng)內(nèi)，該系統(tǒng)總線結(jié)構(gòu)作為計算機簡單鏈接的方法之一。在一個具有像這種結(jié)構(gòu)的系統(tǒng)內(nèi) , 有自己局部的存儲器和相互獨立操作的計算機連接到一個系統(tǒng)總線上，通過該總線實現(xiàn)信息交換。該方法的優(yōu)點如下：1)計算機之間的接口實行簡化和標(biāo)準(zhǔn)化。2)通過添加一個新計算機(在它里面安裝新功能)到系統(tǒng)總線，功能擴展很容易實現(xiàn)。3)在電腦之間的故障檢測和定位可以很容易地執(zhí)行，因為在相互監(jiān)視的基礎(chǔ)上計算機操作受到監(jiān)督。在一個由帶有冗余結(jié)構(gòu)的計算機組成的系統(tǒng)中，從整個系統(tǒng)可靠性的角度出發(fā)，系統(tǒng)總線必需也要采用冗余結(jié)構(gòu)。在

21、一個由復(fù)制的(熱備)計算機組成的系統(tǒng)中,可以有兩種系統(tǒng)總線的冗余結(jié)構(gòu)方法。其中之一是主計算機是只連接到兩個系統(tǒng)總線的其中一個,從屬計算機被連接到另一個。另一種方法是主、從計算機同時連接到兩個總線。在前一種方法中，一旦任何主計算機有故障發(fā)生，那么會馬上引起主從開關(guān)與其他計算機一道。該方法很簡單，但是從容錯的角度來看它不是有利的。在后者中，即使可能發(fā)生多次故障，但只要故障不同時發(fā)生在具有相同功能的兩個電腦上，那么不會導(dǎo)致系統(tǒng)癱瘓。我們已經(jīng)開發(fā)出名為SMILE-BUS結(jié)構(gòu)的容錯系統(tǒng)總線結(jié)構(gòu)，它是基于后一種方法產(chǎn)生的并應(yīng)用于SMILE中。SMILE-BUS 復(fù)制了公共存儲信息，通過它，公共存儲區(qū)的仲裁

22、電路和計算機總線之間的接口電路，能彼此獨立的交換信息。SMILE-BUS的配置結(jié)構(gòu)如圖7所示。5.2 故障檢測和故障定位對于SMILE-BUS結(jié)構(gòu)的容錯要求如下：1)一個正常操作模塊不應(yīng)受一個故障影響。2)應(yīng)確保故障模塊的識別與分離。圖7 SMILE-BUS結(jié)構(gòu)表1 SMILE-BUS結(jié)構(gòu)中診斷矩陣的概念I(lǐng)FC-1IFC-2PPM-1PPM-2CCM-1CCM-2DTM-1DTM-2TCM-1TCM-2IFC-1/00X000000IFC-20/0X000000PPM-10X/0000000PPM-2XXX/0XXXXXCCM-1000X/000X0CCM-2000X0/0000DTM-100

23、0X00/000DTM-2000X0X0/00TCM-1000X0000/0TCM-2000X00000/FSV000X000000MSVMSMSSMMSMS當(dāng)計算機A檢測計算機B的故障時，計算機B并非總是故障的。也可能是另一種狀態(tài)，即B是正確的，A是故障的。考慮到這些問題,我們使用下面的方法。每個計算機監(jiān)督其他計算機的運行，并相互檢測故障。帶有TMR結(jié)構(gòu)的FSM(在SMILE中這是最可靠的)是基于由所有計算機執(zhí)行的故障檢測結(jié)果來識別故障計算機。最終判斷取決于FSM的原因是，如果超過兩臺計算機作異步獨立判定,那么結(jié)果并非總是一致，最合適作為故障定位監(jiān)測的系統(tǒng)是FSM，因為從外觀上看，它猶如一個

24、單一計算機。在軟件基礎(chǔ)上執(zhí)行這些功能。對于每臺計算機SMILE-BUS接口的特殊軟件，在一對公共存儲器(A)和(B)上都有它自己的看門狗計數(shù)器區(qū)域，并在共公存儲器(A)和(B)上，在每個Tw秒對WDC加1。在其他計算機的(A)和(B)上讀取WDC數(shù)據(jù)，在過去的 Tw 期間，在模塊化的基礎(chǔ)上判斷它們是否已經(jīng)增加。在公共存儲器(A)和(B)上，在自己的判斷行向量(JRV)中做一個出錯標(biāo)記“X”，在幾個Tw秒，如果發(fā)現(xiàn)WDC一直沒有增加。FSM中在閾值判斷的基礎(chǔ)上通過使用這個基于JRV軟件的矩陣去識別故障計算機，并標(biāo)記SMILE中所有計算機故障狀態(tài)向量。矩陣和FSV的概念如表1所示。作為硬件計數(shù)器進(jìn)

25、行故障檢測時，計算機和SMILE-BUS之間的接口電路會監(jiān)督來自于公共存儲器的響應(yīng)，在Tr秒內(nèi)如果沒有響應(yīng)反饋時，則從SMILE-BUS 斷開計算機系統(tǒng)以防SMILE-BUS 鎖閉。此外,每個公共存儲器被分成若干區(qū)域與每臺計算機對應(yīng)，每個區(qū)域受到保護(hù)以防其他計算機破壞。5.3 復(fù)制計算機的模塊控制對有熱備結(jié)構(gòu)的復(fù)制計算機的獨立操作要求如下：1)如果可以，主從計算機應(yīng)有一個松散耦合，這樣正常運行的計算機不會受到一個故障影響。2)每臺計算機應(yīng)保持正確運作，即使輸入時間上可能存在差異。 3)就算主計算機故障，從屬計算機必須維持正確操作。為了滿足這些要求，我們采取了以下方法：1)兩臺計算機同時采用輸入

26、數(shù)據(jù)。2)主計算機產(chǎn)生控制輸出，從屬計算機僅輸出數(shù)據(jù)用作診斷。3)從屬計算機常處理需要轉(zhuǎn)向主模塊的數(shù)據(jù)。4)當(dāng)主計算機故障時，從屬計算機將成為主模塊，使用存放在公共存儲器中的數(shù)據(jù)。當(dāng)FSM檢測到主計算機故障時，對復(fù)制的計算機來說，主從模塊控制由FSM執(zhí)行?；贘RV使用矩陣，F(xiàn)SM做了一個涉及所有復(fù)制計算機模塊的狀態(tài)矢量。6 系統(tǒng)安全性和可靠性評估在SMILE電路設(shè)計中，通過對每個電路進(jìn)行故障模式和應(yīng)用安全評估，我們嘗試著將危險部分從該系統(tǒng)中移除，標(biāo)準(zhǔn)電路建成以后，通過安全測試，從而保證將FMFA運用其中。此外，執(zhí)行基于馬爾可夫過程模型的定量評估：評價因素是不安全故障率，安全故障率，以及兩者的

27、比例。如圖2所示，SMILE包括四個子系統(tǒng)，即具有“故障安全”特性的FSM，一個自動子系統(tǒng)可進(jìn)行自動路由設(shè)置，一個備份自動子系統(tǒng)如操作員控制臺，和一個FSM預(yù)處理子系統(tǒng)。因為FSC和其他處理部分包括MVR是結(jié)構(gòu)獨立的，如圖3所示，F(xiàn)SM可以劃分為三個部分對應(yīng)于一個三重系統(tǒng)結(jié)構(gòu)。圖8 SMILE的轉(zhuǎn)換圖在圖8中，每個狀態(tài)有以下意義：N：常態(tài)(非故障)Al：不同于FSC的單一故障A2：不同于FSC的多重故障B1：FSC雙系統(tǒng)運行B2：在 FSC雙系統(tǒng)運行中發(fā)生分歧B3：FSC雙系統(tǒng)運行(可能包含故障)B4：備份子系統(tǒng)中的單一故障B5：預(yù)處理子系統(tǒng)中的單一故障B6：自動子系統(tǒng)中的單一故障C：自動子系

28、統(tǒng)失效(通過備份子系統(tǒng)備份)D：FSM中的雙重故障(導(dǎo)致不安全輸出)E：備份子系統(tǒng)失效F：系統(tǒng)失效故障率，恢復(fù)率，和分歧檢出率假定成指數(shù)分布，那么，參數(shù)規(guī)定如下：M：不包含F(xiàn)SC的三個相同F(xiàn)SM中每一個單一系統(tǒng)故障率C：三個相同F(xiàn)SM中每一個單一系統(tǒng)故障率A：兩個相同自動子系統(tǒng)中每一個單一系統(tǒng)故障率S：單工自動子系統(tǒng)故障率B：兩個相同備份子系統(tǒng)中每一個單一系統(tǒng)故障率I,R：兩個相同F(xiàn)SM預(yù)處理子系統(tǒng)中每一個單一系統(tǒng)故障率：單位時間內(nèi)分歧檢測能力B ,C, D,E,F ：每個狀態(tài)的恢復(fù)率：影響因子*平均故障率(M/門限總數(shù))這兒假設(shè)在非安全狀態(tài)下，系統(tǒng)失效的唯一時機是同一模式下的雙重故障同時發(fā)生

29、。對于一個如FSM結(jié)構(gòu)的系統(tǒng)來說，該假定有效。非恒等模式下的雙重故障導(dǎo)致系統(tǒng)失效。假定對于一個給定的門限，在同一模式下，可能失效的門限數(shù)量至多為K（影響因子）。X是平均門限故障率和帶有這些假設(shè)的K的乘積，可以通過變換微分方程得到?；谠摲匠?，可以獲得穩(wěn)態(tài)概率。在穩(wěn)定狀態(tài)下，PN'(t) =P A1'(t)=PF'(t)=0 ，由于 ,ii = B, . , F>> M, ,R>，因此：PA1=3M+3C+3M (1)PA2()=3M(3M-2)(+3C+4)(2)PB1()=3(+3C)M(B+2M+2C) (3)PB2()=6M2+18BM3B(B+

30、)2 (4)PB3()=3M3M-2(+3C)2(B+2M+2C-) (5)PB4()=2nBB+B (6)PB5=2II2RB+I+R (7)PB6=2MAB+rS+A (8)PC=BrS+2MA+(rS+A)BC (9) PD()=6M+3M3M-2D2(10)PE=2nB2B(E+rS+2mA2) (11)PF =6CMCEB+2+3M3M-2FBCE(B+) +2I+RI+RFCE(B+) 2+6M2FCE+2rnSB2FC(B+) 2 +2rnSB2FBE(B+) 2/FBCEB+2 (12)可得上述結(jié)論，當(dāng)來源于系統(tǒng)組件(表2)的數(shù)值和PN=1一起嵌入時，可靠性可由PD=5.8&#

31、215;10-12， PF=4.8×10-9得到，穩(wěn)態(tài)非對稱故障率(=PD/PF)是1.2×10-3。表2 基線參數(shù)值a)故障率 恢復(fù)率 影響因子M4.8×10-6(h-1)0.9×10-6(h-1)C2.8B0.3A2.6C0.3B2.6D0.01S0.4E0.3I0.8F0.1R2.6K100表3 基線參數(shù)值b)高可靠系統(tǒng)元件的可靠性LSI30fitR3fitMSI,SSI20D8.3C1其它10這些數(shù)值表明計算機聯(lián)鎖比如今稱作“故障-安全”控制系統(tǒng)的電氣集中好兩個數(shù)量級以上。進(jìn)一步，SMILE產(chǎn)生故障時，維持預(yù)定功能的概率為PG=PAi+PBi=2.15×10-4，備份子系統(tǒng)的使用率為PC=7.4×10-5。 7 實驗系統(tǒng)1981年3月在日本國有鐵路上越市的常規(guī)線上，始于Ishiuch車站的計算機聯(lián)鎖系統(tǒng)經(jīng)由實驗和實地測驗產(chǎn)生。該系統(tǒng)由三個相同的聯(lián)鎖微機(i-8085)，兩個預(yù)處理微機(NPU)，和一個如圖9(a)所示的硬板式操作員控制臺組成。該系統(tǒng)涵蓋了106條線路，25組道岔和36個軌道電路。在該系統(tǒng)中程序大小為25階，18個項目模塊，數(shù)據(jù)大小為6 kb。 本試驗的目的是根據(jù)現(xiàn)場情況確認(rèn)硬件的安全可靠性，并提高和確保軟件的完整性。在實際使用中，該系統(tǒng)與常規(guī)電氣集中并行工作，