摘 要：本文以磁浮列車自動防護系統(tǒng)（ATP）為應(yīng)用背景，對磁浮列車車載安全型計算機進行了研究。本文根據(jù)磁浮列車車載ATP系統(tǒng)對安全性的要求，對雙機比較這一模式展開了研究，利用單片機作為實驗平臺，設(shè)計并實現(xiàn)了滿足“故障-安全”原則的安全型計算機系統(tǒng)，并對各種可能出現(xiàn)的故障現(xiàn)象進行了實驗驗證。 關(guān)鍵詞：磁浮列車，自動防護系統(tǒng)，雙機比較，安全性，“故障-安全” 　　隨著科學(xué)技術(shù)的發(fā)展，磁浮列車作為一種新型的交通工具已經(jīng)逐漸進入了我們的生活。如何保證磁浮列車的可靠性和安全性，就成為了擺在科研工作者們面前的現(xiàn)實問題。磁浮列車自動防護（MATP）系統(tǒng)是保障列車可靠運行的重要一環(huán)，它本身必須有很高的可靠性，為避免出現(xiàn)ATP系統(tǒng)故障時引起嚴(yán)重后果，一般采用冗余結(jié)構(gòu)來對ATP進行設(shè)計。本文就是以磁浮列車ATP系統(tǒng)為應(yīng)用背景，設(shè)計了一套基于“故障—安全”原則的安全計算機系統(tǒng)。 　　在冗余系統(tǒng)中，雙模冗余以其較高的可靠性以及較低的硬件成本成為首選。而雙模冗余系統(tǒng)中，雙機比較結(jié)構(gòu)是較為常用的方案。該方案在開機運行后，同步采集外部數(shù)據(jù)，并對兩處理機的計算結(jié)果進行比較，若二者結(jié)果相同，則對外輸出相應(yīng)的控制信號，若不同就將外部系統(tǒng)導(dǎo)向安全側(cè)，因此該系統(tǒng)是基于“故障—安全”原則的，具有較高的安全性，但不具有容錯功能。磁懸浮列車作為一種面向大眾的交通工具，安全性無疑是最重要的，因此該系統(tǒng)基本可以滿足需要。為了提高系統(tǒng)可靠性，也可以結(jié)合軟件設(shè)計將雙機比較結(jié)構(gòu)配置成基于“故障—安全”的冗余系統(tǒng)。 1. 整體結(jié)構(gòu)設(shè)計 　　系統(tǒng)主要是由輸入電路板，兩塊主CPU板，一塊仲裁CPU板和輸出電路板組成。系統(tǒng)框圖如圖1所示。 [align=center] 圖1 系統(tǒng)結(jié)構(gòu)總圖[/align] 　　外界狀態(tài)經(jīng)相關(guān)電路轉(zhuǎn)換為CPU可以處理的數(shù)據(jù)，通過輸入電路被兩路處理CPU同時鎖存，以保證讀入的數(shù)據(jù)相同，兩處理CPU把采集到的信號各自按照相應(yīng)的ATP算法，對相關(guān)數(shù)據(jù)進行計算處理，計算出結(jié)果并暫存入緩沖區(qū)，然后將其傳送到仲裁CPU。 　　仲裁CPU把兩者的結(jié)果進行比較。如果相同就輸出結(jié)果，并反饋發(fā)送成功信息告知兩處理CPU，否則仲裁CPU向處理CPU發(fā)送重發(fā)命令，讓其重新發(fā)送處理結(jié)果，若在兩次重發(fā)后結(jié)果仍然不同，則系統(tǒng)停機并報警，將外部系統(tǒng)直接導(dǎo)向安全側(cè)。為了防止輸出總線出現(xiàn)故障，而比較系統(tǒng)卻無法判斷，本系統(tǒng)還建立回讀機制，將輸出的信號回讀再次比較，以進一步判斷系統(tǒng)的完好性。 　　輸出電路則完成相關(guān)控制數(shù)據(jù)的傳輸工作，并能鎖存前一次發(fā)送出的控制信號，以備回讀比較。 2. 主CPU板設(shè)計 　　該單元是整個ATP系統(tǒng)的處理核心，主要完成對外部已采集到的狀態(tài)信息同步讀入、同步計算ATP相關(guān)數(shù)據(jù)、輸出供仲裁CPU比較的結(jié)果數(shù)據(jù)、對外輸出控制數(shù)據(jù)等工作。主CPU板單元電路結(jié)構(gòu)框圖如圖2所示。 [align=center] 圖2 主CPU板硬件框圖[/align] 　　該板由兩塊CPU構(gòu)成，它們同時讀入外部數(shù)據(jù)，在并行狀態(tài)下對其進行處理，待計算結(jié)束就將結(jié)果編碼輸送給仲裁CPU判定。該板對仲裁機的結(jié)果輸送及相關(guān)通信在整個系統(tǒng)運行過程中顯得相當(dāng)重要，所以傳輸?shù)目煽啃员仨毜玫奖ＷC。本系統(tǒng)主要采用雙口RAM來傳輸數(shù)據(jù)，雙處理CPU相互之間通過串口來輔助通信，完成同步等工作。處理單元為了保證通信的可靠性，采用CAN總線作為通信冗余，在雙口RAM和上位機通信失敗的情況下，啟用備用CAN通信鏈路可以極大的提高系統(tǒng)的可靠性。 　　兩處理CPU在收到仲裁CPU的讀外部信號的命令，為了保證兩者讀到的數(shù)據(jù)相同，需要鎖存外部信號并讀入，兩處理CPU必須在讀到外部信號后，兩者相互發(fā)送所讀數(shù)據(jù)并進行比較，若不同，再重新鎖存并讀入，再比較。在重復(fù)比較N次后（N值由試驗確定，本系統(tǒng)中N=5）仍失敗的情況下，將外部系統(tǒng)導(dǎo)向安全側(cè)，否則重復(fù)的讀取操作必然會導(dǎo)致系統(tǒng)始終處于等待狀態(tài)，令系統(tǒng)陷于死循環(huán)而無法正常工作。 3. 仲裁CPU板硬件設(shè)計 　　仲裁CPU板主要負責(zé)判斷處理器板上雙處理器的狀態(tài)，完成與處理單元相互交換數(shù)據(jù)的功能，并在結(jié)果比較成功后控制處理CPUA經(jīng)過輸出電路輸出，或者自己直接輸出。 　　兩個主CPU板對經(jīng)過ATP算法處理過后的數(shù)據(jù)，按照一定規(guī)則進行編碼，然后經(jīng)過雙口RAM（或者備用CAN總線）傳送給仲裁CPU板。 　　仲裁CPU板在精確的周期內(nèi)分別接收來自兩個處理單元CPU板發(fā)來信息后，首先進行比較，比較結(jié)果一致，則控制處理CPUA板安全輸出;若比較結(jié)果不一致，則認為系統(tǒng)故障，系統(tǒng)停機，斷開處理CPUA板的輸出，將系統(tǒng)導(dǎo)向安全側(cè)，并發(fā)出警報通知工作人員檢修。仲裁CPU板硬件電路如3所示。 [align=center] 圖3 仲裁板結(jié)構(gòu)圖[/align] 　　仲裁CPU與處理CPU之間的通信主要通過雙口RAM來實現(xiàn)，當(dāng)處理CPU完成數(shù)據(jù)處理，便將處理結(jié)果送到雙口RAM，而仲裁CPU根據(jù)需要直接在雙口RAM中取出數(shù)據(jù)進行處理。CAN作為備用的通信通道，一旦發(fā)現(xiàn)雙口RAM失效，立即啟用現(xiàn)場總線CAN來完成通信任務(wù)。 　　為了實現(xiàn)兩處理CPU的同步處理，仲裁CPU在收到完整的比較數(shù)據(jù)之后，通過發(fā)送中斷信號的方式給兩處理CPU發(fā)送讀外部數(shù)據(jù)命令，然后再對兩處理CPU的計算結(jié)果進行比較。整個處理流程當(dāng)中，處理CPU的數(shù)據(jù)處理時間相對仲裁CPU的比較和輸出時間要長很多，按此可以使處理CPU與仲裁CPU的工作實現(xiàn)流水作業(yè)，提高系統(tǒng)的數(shù)據(jù)處理效率。仲裁CPU比較成功后，仍然需要發(fā)信息通知兩處理CPU，以便下一次計算結(jié)果傳過來之前，刪除保存在緩沖區(qū)的過時數(shù)據(jù)結(jié)果。 4. 輸入板和輸出板設(shè)計 　　輸入板提供數(shù)字量和模擬量輸入。該板能夠鎖存外部的信號，以保證兩處理CPU板同步讀入外部信號，同時還能夠在系統(tǒng)啟動時給處理CPU提供自檢信號,幫助系統(tǒng)進行故障監(jiān)測和故障定位，使系統(tǒng)具有更高的可靠性。 　　輸出板則連接處理CPUA和仲裁CPU的端口，保證控制信號能夠順利地傳輸給控制器。該板與仲裁板之間設(shè)計了回讀電路，每次送出控制信號后仲裁CPU都進行回讀，保證控制信號的正確性，同時也是對處理CPU和輸出電路之間輸出總線的監(jiān)督，仲裁CPU在該總線失效的情況下啟用自身與輸出板之間的總線輸出，更進一步的提高系統(tǒng)可靠性。 5. 系統(tǒng)安全性設(shè)計 　　為了保證系統(tǒng)的高安全性，一旦雙機結(jié)果比較不成功或者相互檢測出故障，系統(tǒng)停止工作，導(dǎo)向安全側(cè)，并報警通知維修人員維修。故障的確認通過定時超時技術(shù)和通信數(shù)據(jù)編碼校驗技術(shù)來完成。 　　處理CPU處理完數(shù)據(jù)后，將結(jié)果編碼發(fā)送，待發(fā)送完畢，定時等待接收仲裁CPU發(fā)送的特定狀態(tài)信號和讀外部數(shù)據(jù)命令，如果狀態(tài)信號不對或者發(fā)生等待超時，就會認定仲裁CPU故障，從而將仲裁CPU的運行狀態(tài)記錄改變成故障，系統(tǒng)停止工作，導(dǎo)向安全側(cè)。 　　由于磁浮列車ATP算法的確定性，每個周期的時間都可以事先確定，這樣在仲裁CPU接到第一個數(shù)據(jù)后、接到兩個數(shù)據(jù)后都可以定時等待下一個數(shù)據(jù)的到來，并且對每個結(jié)果進行校驗，如發(fā)生超時或者校驗發(fā)生錯誤，都將認定為處理CPU的故障。仲裁CPU在收到處理CPU的數(shù)據(jù)之后，立即回復(fù)一個確認碼，讓處理CPU確認仲裁CPU的狀態(tài)，防止錯誤認定仲裁CPU出現(xiàn)故障。 　　通過以上的設(shè)計安排，系統(tǒng)內(nèi)部就建立了相互之間的故障監(jiān)督機制。三塊CPU將監(jiān)督對象的狀態(tài)編碼輸出，最后將這三者的信號整合成整個系統(tǒng)的狀態(tài)信號，任意一個內(nèi)部狀態(tài)的改變都將引起整個系統(tǒng)狀態(tài)的改變，又可以由整個系統(tǒng)的狀態(tài)信號來完成導(dǎo)向安全側(cè)的任務(wù)。 6. 仿真實驗驗證 　　本套安全計算機裝置設(shè)計完后，在實驗室里進行了仿真測試實驗。假定輸入板上輸入一個周期為1秒的方波信號，處理CPU板每隔10毫秒讀取輸入板上的數(shù)據(jù)，由雙CPU進行比較后，實時改變輸出繼電器的狀態(tài)。比較結(jié)果不一致，則切斷輸出并報警。 　　模擬系統(tǒng)故障情況對本系統(tǒng)進行測試： 　　1、將其中一個CPU拔掉，模擬一個CPU出現(xiàn)故障或是處理錯誤，系統(tǒng)立刻就能夠斷開輸出繼電器，同時系統(tǒng)停機，不再對任何外部信號響應(yīng)，將外部系統(tǒng)導(dǎo)向安全側(cè)。 　　2、將仲裁板的微控制器拔掉或使該板重啟，這時系統(tǒng)也立刻就能夠使繼電器斷開，使輸出無效，同時系統(tǒng)停機，不再對任何外部信號響應(yīng)，導(dǎo)向安全側(cè)。 　　3、將CAN通訊控制器件斷開，同上面兩種情況一樣，本系統(tǒng)同樣能導(dǎo)向安全側(cè)。 　　4、將輸出板斷電，由于系統(tǒng)回讀不正確，也能立即停機，導(dǎo)向安全側(cè)。 　　值得注意的一點是，在上述故障狀態(tài)下，系統(tǒng)并不能自動恢復(fù)，說明系統(tǒng)不具備在線可維修能力。但以上測試結(jié)果符合設(shè)計要求，也基本滿足磁懸浮列車ATP系統(tǒng)對安全性的要求。 7. 結(jié)論 　　該系統(tǒng)的創(chuàng)新點主要有如下幾個方面：一是輸出控制與輸出數(shù)據(jù)由不同的部分完成，這樣就可以將錯誤輸出的概率進一步降低，便于故障導(dǎo)向安全功能的實現(xiàn);二是該電路引入了輸入自檢以及輸出回讀，使系統(tǒng)可靠性進一步增加;三是雙機比較系統(tǒng)的“故障—安全”機制使系統(tǒng)可以規(guī)避危險。對該安全計算機結(jié)構(gòu)利用馬爾可夫理論進行分析 5，可得知其安全度大大高于一般雙機冗余方案。該系統(tǒng)應(yīng)用在磁懸浮列車ATP系統(tǒng)中，可完全滿足系統(tǒng)設(shè)計要求。 參考文獻 　　1 胡謀.計算機容錯技術(shù).中國鐵道出版社.1995年，北京 　　2 李貽斌，劉明，王曉明.雙機容錯系統(tǒng)的仲裁器設(shè)計.微計算機信息，1997，第13卷第四期：71-73 　　3 王珍熙.可靠性·冗余及容錯技術(shù).航空工業(yè)出版社.1991年 　　4 趙志熙.微機聯(lián)鎖系統(tǒng)技術(shù).中國鐵道出版社.1995年，北京 　　5 閆劍平，汪希時.兩種方式雙機熱備結(jié)構(gòu)的可靠性和安全性分析.鐵道學(xué)報.2000,第22卷第3期：124-127 一種磁浮列車安全型計算機系統(tǒng)的設(shè)計與實現(xiàn)資料下載