作者 |刘艳青 上海控安安全测评中心安全测评部测试经理

版块 |鉴源论坛 · 观通

01 联锁系统的硬件结构

根据联锁系统的层级关系，联锁系统的硬件层级可以分为4层：人机会话层、联锁层、接口层、室外设备层。

图1 联锁系统的硬件结构

02 联锁系统的软件结构

联锁系统的软件大体分为3部分：操作员台软件、联锁软件、诊断维护软件。

·操作员台软件功能：控制命令发送与处理；站场信息显示和信号设备状态显示；操作命令提示；报警；与TDCS/ CTC、轨交ATS系统等接口。

· 计算机联锁软件功能：输入输出控制；排路任务调度；联锁BOOL运算；安全命令判断管理；与TCC等其它系统通信。

· 诊断维护软件功能：系统诊断和维护；操作命令与信号设备显示日志记录；故障显示和报警信息日志记录；与监测系统通信；回放等功能。

2.1 联锁软件中的任务调度功能

通过I/O模块进行安全采集可以读取到输入板的码位状态信息；

根据联锁设计的电路逻辑，进行联锁BOOL逻辑运算处理；

通过I/O模块进行安全输出，发送控制命令控制输出板；

通过非安全通信，可以完成与其他系统的交互进行非安全通信的相关任务，如：诊断维护系统、其它联锁机、操作员台或模拟仿真测试系统；

通过安全通信，完成和备机/系联锁机进行主备系同步比较信息的安全通信的任务；

通道优先完成当前通道的运算，其次，再进行比较两个通道。

2.2 联锁软件中的安全管理功能

主任务可以产生安全检查相关信息，向安全检查模块发送检查结果。

缓冲区的数据实时进行更新，用以校验刷新的实际结果。

严格检查所有输出板，安全诊断所有输出端口，保证安全输出。

安全控制系统明确严格要求，既要进行独立于逻辑运算，也要独立于安全监督等相关功能。

2.3 联锁软件中的冗余管理

2.3.1 采集共享功能

各联锁机独立对同一个采集信息进行独立采集。

独立采集之后，根据设计需要，通过安全通信通道，互相传递各自采集到的信息，进而有条件的实现共享采集信息。

单套系统采集受到干扰，或者信息中断，都会对系统造成影响，冗余管理就可以有效的避免此种情况。

采集信息共享的前提是系统实时安全采集以及实时安全通信。

2.3.2 并行输出功能

各联锁机独立进行联锁运算。

备机与主机并行进行运算，结果相同时，当备机具备条件时，也会输出。并行输出有效地避免了单套系统因故障，导致空输出，或者通道断线不能及时输出。

并行输出前提也是系统实时安全采集以及实时安全通信。

并行输出的前提是，主备双机和继电器之间的连接正确、输出线极性正确，不能接反，否则极性相消，输出为空。

图2 冗余管理-并行输出

03 联锁系统的冗余技术

为了提高联锁系统的安全性，计算机联锁系统和其他安全系统一样，有效地利用了冗余结构。

最开始采用主备双机热备，双机热备的冗余系统，很大程度上提高了可靠性和安全性。

与此同时，也采用过三取二系统，3个机器的运算结果各自对比，给出最终结果，这样，错误输出的可能性就大大降低了。与此同时也会暴露出三取二的缺点，顾名思义，三取二要求三个机器同时工作，所以就不能有任何一个故障、停机或者进行设备检修。一旦其中一个停止，整个三取二的系统就宕机不能正常工作。

为了解决三取二的缺点，又推出二乘二取二的设备系统，两个运算CPU组成一个主机系统工作状态，另两个备机CPU处于热备状态，这样，不仅满足提高了联锁系统的安全性，而且方便进行停机检修。二乘二取二的冗余热备系统，是目前主要冗余系统应用方式。

3.1 双机热备的冗余结构

作为联锁主机的联锁机采集收入，执行联锁运算，控制驱动输出；

作为联锁备机的联锁机，同时进行采集输入，执行联锁逻辑运算，但不会驱动输出。两套联锁机相互作为主备机；其中一套宕机时，另外一套联锁机自动切换成为主机，继续执行工作，宕机的作为备机工作。

联锁机之间可以自动切换，也可以人为控制，手动切换主备机。

联锁系统双机热备和操作员台的连接是没关系的，操作员台可以双机连接，单机或者更多N+1热备的操作员机，都可以进行连接通信。

图3 双机热备冗余结构示意图

3.2 二乘二取二的冗余结构

每套联锁机有两个通道执行联锁任务；

通道之间互相独立，且选用不同的硬件和软件分别执行联锁运算；

两个通道的运算结果经对比，结果完全无差别才产生输出，否则不输出。

因此，两个通道有且同时产生同样的错误结果，才会产生错误输出，这种概率很小，安全性的系统才得以保证。

同样，联锁系统双机热备和操作员台的连接是没关系的，操作员台可以双机连接，单机或者更多N+1热备的操作员机，都可以进行连接通信。

图4 二乘二取二冗余结构示意图

3.3 三取二的冗余结构

三取二中的三套联锁机同时独立执行各自联锁任务；

联锁机独立处理逻辑运算，两两相比较，运算结果对比后完全相同时，才会产生正确输出。

因此，当三个联锁机同时出错，才产生危险输出，这种概率也极小。

三取二的弊端是，同步信息的运算的要求很高，输出不同步，即不能产生有效输出。

联锁机和操作员台双机连接互相独立，互不影响。

图5 三取二冗余结构示意图

04 联锁系统的仿真技术

联锁系统具备仿真测试功能，在经过严格的人工判断及手动设置，才会转入仿真测试系统；不会自动转为仿真测试状态，当前已转为仿真测试状态，不会自动转变状态，从而不会把仿真状态的数据计算结果输出给实际使用的设备，从而导致错误输出。

4.1 联锁仿真机的转换

联锁机设置为仿真测试状态，需要严格按照如下步骤执行：

（1）关闭联锁B机（B机转为仿真测试机），板卡中具备仿真功能模块；

（2）手动将切换模块用钥匙从“自动”位置档位切到 “联锁A机”；

（3）重新上电联锁B机；

（4）作为仿真机相连的MMI切换为“仿真测试状态”。

4.2 联锁系统中的MMI功能

操作员在MMI界面上，通过操控按钮发送控制命令，接收现场继电器采集信息，直观在MMI界面上显示现场设备状态；

网络交换实现MMI主备机之间，以及与其他系统之间交换信息；

敌对进路的判断、表示等非安全联锁逻辑显示功能； 数字式道岔动作电流显示；

联锁系统和TDCS系统、CTC系统交互信息在MMI上，是通过串口接口连接；

表示灯、报警灯显示以及其他特殊要求的显示功能；

上电解锁功能通过人工按压“上电解锁”按钮操作实现；

非常站控和CTC之间模式转化也在MMI界面进行控制权的申请和转让；

MMI界面提供工具条，人工可以进行按钮操作，实现进路的建立、进路总取消、列车信号和调车信号的重开、对于咽喉分区的引导总锁、列车信号对应的引导按钮、进路非正常解锁的总人解、对不能正常解锁的区段区故解、道岔定位转换操作、道岔反位转换操作、单个道岔的锁闭操作、单个道岔的解锁、按钮的封锁、以及其他功能按钮的操作；

闭塞、溜放、非进路等功能处理；

辅助功能：文字显示、车次窗、分路不良确认。

05 联锁系统与其他系统接口

图6 联锁和其他系统网络连接

联锁系统与TDCS/CTC系统的接口是上位机和CTC系统中LiRC通过RS-422标准串行双通道交叉互联。

联锁系统向TDCS/CTC的发送站场表示信息以显示设备状态，TDCS/CTC向联锁系统发送控制命令信息以进行排路等指令操作。

图7 联锁和TDCS/CTC系统串口连接

06 总结

本文只对联锁的硬件、软件结构、冗余技术和仿真技术做了介绍，联锁系统作为整个信号系统的核心系统，技术条件中对联锁系统要求很多，如故障-安全原则、软件的安全性划分等级有5级，EN50128和EN50129中有定义规定为SIL4级。联锁系统和其他系统的接口应当遵守规定的协议。

参考文献：

[1] TBT_3027-2011计算机联锁技术条件(修改版) http://www.doc88.com/p-7394374075165.html.

[2] 计算机联锁系统介绍_v0.0.1 https://wenku.so.com/d/7e5129fc816015b21f1d0f3c901d307b.