安全型计算机联锁(VPI)系统系统手册 ®卡斯柯信号有限公司 CASCO SIGNAL LTD.卡斯柯信号有限公司 公司网址: 总部 中国 上海市天目中路428号凯旋门大厦27层C/D座 邮编:200070 :86 21 63543654 :86 21 63542837 上海分部 中国 上海市西藏北路489号 邮编:200071 :86 21 56637080 路电:041 35775、35785 :86 21 56639223 卡斯柯售后服务中心(晏子峰) 中国 上海市西藏北路489号 邮编:200071 :86 21 56637080 路电:041 35765、35775:86 21 56639223电子邮件:service@目 录第一章 概 述 2第二章 安全型计算机联锁(VPI)系统结构 4第三章 联锁处理子系统 9第四章 人机界面子系统 18第五章 系统维护子系统 22第六章 环境、接地、电源和机柜结构 25第一章 概 述安全型计算机联锁(VPI)系统是一种“故障-安全”的、以微处理器为基础的车站联锁信号控制系统。
该系统是中法合资卡斯柯信号有限公司从阿尔斯通信号(美国)公司引进,结合中国铁路运营技术条件,经过二次开发而成的一种安全型计算机联锁产品系统早在1991年11月19日就使用于中国广州铁路局广深线红海站,使得红海站成为中国铁路干线上第一个计算机联锁站1991年12月27日,中国铁道部为红海站计算机联锁开通使用发布了“嘉奖令”嘉奖令”指出:“广深线红海站计算机联锁开通投入使用,开创了微机控制技术在干线车站上运用的先例对保障铁路运输安全,提高铁路运输指挥自动化水平,对推动全路科技进步具有十分重要的意义 安全型计算机联锁系统的逻辑电路是由安全型逻辑组成的能把传统的由继电器实现的联锁逻辑和控制逻辑“写”成一系列逻辑表达式(即布尔表达式),这些逻辑表达式的正确实施是通过一个设计过程和原则来得到保证的这个设计过程和原则被称之为“数字集成安全保证逻辑(NISAL-Numerically Integrated Safety Assurance Logic)”,这个“数字集成安全保证逻辑”确保联锁逻辑按要求实现,并使系统具有“故障-安全”特性因此,安全型计算机联锁是从“有接点”到“无接点”的飞跃1993年4月10日安全型计算机联锁(VPI)系统通过了中国铁路通信信号总公司的技术鉴定,被授于“科学技术成果鉴定证书([93]铁通技鉴字01号)”。
1998年12月,卡斯柯公司的安全型计算机联锁软件通过了铁道部计算机联锁软件测试中心的测试铁道部对卡斯柯公司引进、消化、吸收国外先进的信号技术一直非常重视,提出了严格的要求,并给予大力的支持1999年8月,安全型计算机联锁(VPI)系统通过了铁道部评审,成为铁道部指定的四家计算机联锁研制生产单位之一2000年5月,安全型计算机联锁(VPI)通过了铁道部产品质量监督检测中心关于防雷和电磁兼容的检测其中,雷电防护性能达到A级,电磁兼容的各项检测指标全部合格2000年8月3日,安全型计算机联锁(VPI)系统在上海通过了铁道部技术鉴定,并颁发了“科学技术成果鉴定证书”(铁道部技鉴字[2000]第033号)鉴定意见见附录2002年6月, 安全型计算机联锁(VPI)系统标准站联锁软件通过了“铁道部铁路车站计算机联锁检测站”的制式测试2002年8月12日,安全型计算机联锁(VPI)系统获得铁道部颁布的“铁路车站计算机联锁设备制造特许证”安全型计算机联锁(VPI)是阿尔斯通信号(美国)公司的定型产品从1986年起首先将VPI系统安装在美国芝加哥等车站,至今已安装的VPI分布于美国、英国(伦敦地铁)、荷兰、中国(含台湾省)、印度尼西亚、澳大利亚、韩国和西班牙等12个国家和地区。
至1997年底,在世界各地共设计、安装了954个VPI系统(最大的VPI工程计有32个车站),总运行时间达16933080,000,000小时安全型计算机联锁(VPI)的市场占有率达到50%左右 经过二次开发和硬件国产化,安全型计算机联锁(VPI)系统,实现了集联锁控制、微机监测、调度监督接口、DMIS入网接口、网络管理等模块为一体的目标在这基础上,卡斯柯公司继续全力做好VPI系统的工程实施和售后服务工作,为推进我国铁路信号设备网络化、数字化、综合化而努力VPI系统在国内的业绩见附录第二章 安全型计算机联锁(VPI)系统结构2.1 概述 随着信号技术向数字化、综合化和网络化方向发展,卡斯柯信号有限公司提供的计算机联锁系统,采用从ALSTOM引进的通过国际认证的核心安全技术,在网络结构上作了重大改进,在功能上进行了全面的适合中国铁路运输要求的国产化开发,将系统功能合理分配到基于“安全通信和非安全通信”网络的人机接口(MMI)、联锁处理、系统维护等节点上,由每个功能节点来完成一种或多种功能,而每个功能节点就是一个完整的计算机系统,彼此通过冗余网络交换信息并协调运行由于系统按模块化方案设计, 通用的硬件就能实现任何一种类型的联锁车站的配置。
这种模块化的设计给系统扩展和升级带来了极大的方便计算机联锁系统通常采用大屏幕彩色显示器作为计算机联锁系统的人机界面的显示屏,操作员通过鼠标(或轨迹球)办理各种作业彩色显示器显示站场图形,给出信号机、道岔及轨道电路等设备的状态在操作中,系统还会给出明确的语音提示,方便车站值班员有关作业情况和操作命令发布状态,减小误操作发生的概率VPI系统实现了软件标准化,硬件模块化,采用开放的系统结构,能与调度集中系统(CTC)、超速防护系统(ATP)、数字轨道电路等信号系统接口,并能与其它信息管理系统交换数据VPI系统联锁逻辑满足铁道部部颁标准TB1774-86《继电式电气集中联锁技术条件》和TB/T3027-2002《计算机联锁技术条件》的技术要求为了保证系统在各种恶劣的环境下能够长时间稳定可靠地工作,公司对系统设计、生产、测试、出厂等各个环节都有严格的要求,并且实施全程质量控制以确保系统的质量同时卡斯柯公司有着良好的售后服务,让您在选择本公司的产品时无后顾之忧VPI系统具有很高的可靠性,从人机界面(MMI)、网络系统、电源系统到联锁机等设备均按冗余设计,在主机发生故障的情况下,将自动无缝切换到备机工作。
VPI联锁机具有全面的自诊断功能电务维修人员可以通过系统维护台查询错误信息,更换发生故障的模块或插件,在短时间内修复故障同时,联锁机柜中的各种印制电路板上都设有表示灯,以便及时了解各印制板工作状态VPI的系统维护台用户界面友好,诊断直观,故障回放便捷,查询联锁运算参数方便,操作简单易学,以便具有中等文化水平的人员经短期培训后胜任VPI系统的日常维护工作2.2 系统结构VPI系统分成五个部分:1. 联锁处理子系统; 2. 人机界面子系统;3. 网络及电源子系统; 4. 系统维护子系统; 5. 室内接口电路子系统 VPI系统结构框图如下: 2.2.1 联锁处理子系统联锁处理子系统是整个系统的核心部分,它由两套“反应故障安全”专用联锁机组成联锁机采用双系热备的配置,包括双套VPI系统及其切换电路每套VPI系统包括负责安全联锁运算的VLE板、负责系统安全校验的VPS板、负责联锁机与输入/输出板接口的I/OBUS1板和I/OBE板、以及安全型输入/输出板主系统和备用系统间的切换电路可在不中断VPI工作的情况下进行自动或手动切换另外,在系统正常工作的情况下,建议系统每周切换一次,这样,有利于备系印制板带载工作,延长印制板的使用寿命。
双系切换不影响系统正常工作2.2.2 人机界面子系统人机界面子系统是VPI与用户之间的人机接口模块通常情况下,MMI采用彩色显示器作为计算机联锁系统的人机交互界面,用来供信号员通过鼠标(轨迹球)办理各种作业,显示站场信号设备,给予明了的语音提示运输人员的行车指挥命令通过VLE板的网口传递到VPI系统;现场轨道电路和道岔等信号设备的状态,通过安全型输入/输出板与VPI的VLE板接口,VPI系统接收到命令并采集到全站的信号设备状态信息后,进行联锁运算处理,处理后的相应结果,如信号机的开放或关闭、轨道电路的占用或出清、道岔区段的解锁或锁闭等均在MMI上显示出来MMI工作于WIN 2000或更高版本的WINDOWS多任务操作系统,对每个车场,采用N+1热备工作方式,使用高可靠的工业控制计算机,通过高速网口与其它子系统交换信息2.2.3 网络及电源子系统VPI系统采用基于高速交换机的以太网冗余网络结构,进一步加强了网络系统的可靠性各通过网络通信的子系统均安装有两块以太网接口卡,将其接入冗余网络,一条网络故障,各子系统可以自动通过另一条网络通信,并在SDM子系统中提出故障诊断信息,便于及时维护。
为了保证联锁系统安全稳定工作,各子系统的电源均由不间断电源UPS供电VPI系统采用双UPS热备的冗余供电方式来自电源屏的单相交流电经过二级单元防雷输入式UPS,UPS输出净化220V交流电,经过电源柜配电端子排供给VPI各子系统正常情况下,整个系统由UPSA供电,当UPSA不能正常工作时,电源切换电路自动切换至UPSB供电,当2个UPS均不能正常工作时,电源切换电路自动切换至由电源屏直接供电当一个或两个UPS发生故障时,将同时在MMI和SDM上给出报警提示,并且UPS的工作状态,如电池供电还是外电源供电、电池工作是否正常等,能在SDM上方便查看电源切换不影响系统正常工作2.2.4系统维护子系统系统维护(SDM)模块作为计算机联锁的子系统,主要为计算机联锁完成系统维护及接口设备监测的功能本模块包括一台工业控制计算机、一台彩色显示器、一台激光打印机、鼠标、键盘作为联锁计算机系统的模块,它实现对VPI设备和接口设备的监视和记录,同时也可打印设备操作信息、日期和时间记录根据顾客的要求,电务维护终端可以与信号维护支持网络联网,具有远程诊断功能2.2.5 室内接口电路子系统本系统可与室外信号设备、区间闭塞设备、场间联系电路等设备接口。
联锁机通过驱动普通安全型继电器和采集安全型继电器接点与继电电路接口,实现计算机联锁设备与现场设备的电路衔接和安全隔离采集的信息为道岔位置、轨道电路状态、信号机灯丝状态、场间联系条件等由于VPI系统采用NISAL专利技术,计算机输出控制只需采用普通安全型继电器,不需要采用昂贵的动态继电器或动态组合电路,大大降低了室内接口电路的工程造价,也简化了接口电路结构,确保了输出驱动电路的安全性和可靠性,也降低了用户的维修成本2.3 与其它系统的接口2.3.1 与买方设备的结合计算机联锁系统能与买方提供的室外信号设备结合这些室外设备包括:色灯信号机、电动转辙机、轨道电路、电缆等2.3.2 与调度监督系统的结合计算机联锁与调度监督的联系参照TB/T 2307中6.2的规定和现场需要进行设计计算机联锁系统通过局域网直接与调度监督系统网络结合,其间采用“联网安全隔离器”进行网间的安全隔离计算机联锁系统包括与调度监督系统车站终端的软、硬件接口调度监督系统网络、车站终端设备及调度监督的其它终端设备故障,不会影响计算机联锁系统的正常工作;调度监督系统如果和办公自动化系统、物流系统等联网接口,这些网络万一发生异常,也不会影响联锁系统的正常工作,更不会影响联锁机的安全运行。
2.3.3 与微机监测系统的结合计算机联锁系统通过局域网直接与微机监测车站终端设备相结合,并与计算机联锁系统维护台构成二合一综合平台计算机联锁系统包括与微机监测车站终端的软、硬件接口2.3.4 与道口信号结合计算机联锁系统设备能够实现与道口的结合,站内道口技术条件符合GB10493-89的规定计算机联锁系统将根据信号平面图布置情况给站内平交道口发出调车接近报警通知条件,给站内平交道口发出调车接近报警信号条件有两条以上线路的道口,调车接近通知将区别出调车所经线路和方向2.3.5 与其他系统的接口VPI系统还可以预留与其他系统的接口,如ATS系统、DMIS系统等可根据用户的需求决定系统的接口功能第三章 联锁处理子系统3.1 概述联锁处理子系统是VPI系统的核心联锁处理子系统是由一个或多个机柜组成的双系热备系统,A系和B系无论是否同时启动,经过一定时间后能自动同步,当工作子系统发生故障,系统都可以自动切换至备用子系统;也可以通过机柜上的切换开关手动在双系之间进行切换;当系统正常工作时,一定周期后(由应用工程师在应用软件中定义)系统会自动切换一次双系切换不影响系统正常工作3.2 联锁处理子系统硬件3.2.1 概述VPI联锁处理子系统硬件由一个或多个机柜组成,机柜中有一定数量的印制电路板、连接它们的线路,以及与其它设备交换信息的接口,印制电路板与软件结合完成联锁处理功能。
3.2.2 系统机箱VPI系统包含一个以上的机箱系统所能处理的扩展机箱最大数值取决于有多少安全型输入输出口及需要求解的方程式数量,系统的扩展是通过增设另一个机箱,将接口电路板和所需增加的输入/输出板插入该扩展的机箱、并用纽绞线将它与主机箱连接起来VPI系统机箱高度为9U,扩展机箱高度为6U,也可兼容8U的机箱,宽19英寸,每层机箱有14个槽道,灵活及可扩展性好3.2.3 中央处理单元(VLE)VLE板具有强大的功能,是整个联锁系统的安全核心之一它执行各种与联锁相关的逻辑操作,包括输入输出地址,方程式求解和输出状态预校验;完成联锁处理子系统的安全型通信,与其余子系统的网络通信;将系统启动的信息及故障信息传送给系统维护子系统等每块VLE板上有四个网络口,联锁处理子系统通过这四个网络口接入冗余网络,实现与MMI子系统、GPC子系统和SDM子系统的信息交换 VLE板上有四个高速安全通信口、及其它普通422串口、232串口和CAN口对于每个口都有相应的指示灯,通过这些指示灯的状态可以初步判断他们的工作状态联锁处理子系统A、B机之间的安全型数据的通信由高速通信口完成SDM子系统可通过串口读取联锁处理子系统CPU启动过程中的自检关键点信息,从而判断系统是否正常。
系统正常工作时,不需要SDM的查询,联锁处理子系统自动把这些信息发送至SDM,当与SDM通信中断或SDM故障时,联锁处理子系统可以记录至少一天的系统报警和错误信息 VLE板上的并行口是用来插软件检查块(俗称软件狗)的进行仿真测试时,必须在VLE板上安装上述的软件检查块后,VPI系统才能与仿真测试系统通信,确保联锁机的工作状态和仿真测试状态的身份鉴别正确 VLE板上的芯片分为系统芯片和应用芯片系统芯片中写入的是系统软件,系统软件包含VPI的操作系统、执行软件、仿真测试接口和诊断软件等应用芯片中写入的是应用软件,应用软件是一套描述系统所应用的联锁逻辑功能的经过编码的应用数据结构(ADS),数据由CAA软件包生成应用软件可以被应用工程师在规定的语法规则下任意编写,以满足不同联锁车站数据和联锁规则的要求每个车站的应用软件是互不相同的,只要修改应用数据,就可以达到每个车站的联锁修改目的每个车站的系统软件是不变的 3.2.4 安全校验板(VPS)VPS实际上是VPI系统动态的安全监视器,它与VLE板一起,构成VPI的安全检查核心VPS在精确的周期间隔内接收一组经编码的校验信息,当且仅当校验信息正确,VPS输出一个安全的数字信号,该信号通过一个安全型的调谐波器,并用于驱动一个安全型继电器,在任何出错的条件下(硬件错误、噪声干扰等等)安全继电器均可靠切断VPI的安全电源输出。
VPS板产生能够动作一个100欧姆安全型继电器的输出电源,以满足联锁系统对VPI安全、高速切换的要求,VPS当且仅当由主处理系统送来的 “主校验字”的数据确实正确的情况下,VPS才能支持下一主周期的操作;另外,主处理系统根据系统全部的输出状态,每50MS产生一组证明各输出端口状态的再校验字,它们每50MS被送到VPS板一次,如果这些再校验字中的任一个不是完全的正确,VPS输出会关掉,使故障的VPI切出工作状态,自动转换到另一套VPI控制,保证外部继电器不会因原来控制输出的VPI故障而失磁落下3.2.5 输入输出总线接口板(I/OBUS1)I/OBUS1板是VLE板和输入输出板交换信息的通道,I/OBUS1板为输入板的测试数据和输出板的端口校验数据提供存储空间;同时它也包含逻辑和时序电路,以控制输出端口的连续校验I/OBUS1板功能如下:l 采集输入板的状态;l 控制输出板的输出;l 传送输出口状态校验信息每块I/OBUS1板可以带2个输入输出机箱,每个VPI系统能配置6块I/OBUS1板3.2.6 输入输出总线接口缓冲板(I/OBE)输入输出总线接口板(I/OBUS1)板采用差分驱动的方式与输入输出总线接口缓冲板(I/OBE)配合工作。
I/OBE板主要实现差分接受及缓冲的功能它与I/OBUS1板共同完成系统对输入输出的控制每个输入输出机箱设置1块I/OBE板,每个I/O机箱可以放置13块I/O板3.2.7 安全型输入板(VIB)VIB板又称安全输入板每个安全输入板包含有16个安全输入口,安全输入板的电路使VPI系统能安全地检测每一个输入的状态16路输入每路输入均有一个LED指示灯,在输入接通时,指示灯亮每块输入板通过“签名”与数据总线相连这个“签名”是通过在板上的插座插入一个编程插头生成的当构成系统时,每个输入插口槽都分配到一个专用 的"签名"如果一块输入板改变了,在该插槽新板上必须插入新的“签名”该槽的正确“签名”列在模块的盖板上输入电路提供了一种能在输入的现场终端安全地读取直流电压并将它转换成一种主处理系统可以使用的形式当且仅当电源加到输入时,这个输入电路才允许它的“真”或“接通”状态报告给主处理器(通过一个32位码字)在这种方案中,所有电路的故障结果都被理解成“关”或“错”,这是一种较限制的条件一块直流输入板的所有16位输入信息被一起采集进来,但在采集过程中,应用了特殊的防电磁干扰和防抖动设计方案,以保证采集电路的故障安全。
另外,每一个采集端口都有其独特的编码,因此,当输入接通时,结果得到的字,对于这个输入来说,所能采集到的码字是独一无二的对一个关闭的输入口来说,读回的字全为零整个过程在主处理系统的通道2,使用一个不同的串行位流重复进行这个操作完成时,只有那些测得电流的输入才在两个通道里产生一个正确的32位字,被CPU用以求解方程每个输入和输出端口的间距,在印制电路板设计时都经过了详细的计算和测试,以确保满足AAR的抗干扰指标要求瞬时峰值电压小于2000V能量小于3.6瓦秒功率的瞬时电压不会损坏有瞬态保护的输入3.2.8 安全型输出板(VOB)每块VOB8安全输出板包含8个安全输出口,VOB16安全输出板包含16个输出口,安全输出板的电路允许VPI系统能安全地确定每一个输出状态都符合联锁的当前逻辑条件 每块输出板上都与输出端口对应地设置有指示灯因为输出用在安全应用中,那么供电必须来自一个可以安全地切断的电源,这就是由安全校验板VPS控制的系统输出安全电源每一块输出板被分配一块EPROM,其中包括板上各个输出口的独特数据,这些数据都同板的选址情况紧密相连并用来证明没有选址故障它们也被安全校核电路用来验证输出状态。
3.3 联锁处理子系统软件3.3.1 概述VPI联锁处理子系统软件包括“系统软件”和“应用软件”3.3.2 系统软件系统软件包含VPI的操作系统、执行软件、仿真测试接口和诊断软件等这些软件构成了本系统的系统安全基础,不随具体应用环境而改变,即除非选用不同系列的VPI系统,否则每个站的系统软件都是相同的3.3.3 应用软件应用软件是一套描述系统所应用的联锁逻辑功能的经过编码的应用数据结构(ADS),数据由CAA软件包生成应用软件可以被应用工程师在规定的语法规则下任意编写,以满足不同联锁车站数据和联锁规则的要求每个车站的应用软件是互不相同的应用软件还应包括仿真测试数据安全切出、切入设计系统软件和应用软件原则上应该放在不同的、能避免擦除或更改的存储媒介中,以利于系统软件和应用软件的管理应用软件的ADS版本应在CAA生成时产生版本标识,以便应用系统的软件版本校核3.4 联锁处理子系统的安全性和可靠性3.4.1 故障安全设计众所周知,当使用微处理器去执行与全继电器联锁相同的安全逻辑时,这些微处理器系统必须采用特殊措施,使这些微处理器产品具有“故障-安全”特性VPI系统的专用安全技术,符合EN50126 、EN50128、EN50129等相关的国际安全标准。
VPI系统使用两个微处理器的方式来达到故障安全设计两个微处理器并不是执行同一任务来实现故障──安全的照查,而是采用反应故障安全技术进行一步安全检查,这样的设计,有其避免相同微处理器之间共模故障的特殊考虑联锁系统使用处理器有以下几个优点: 计算机能力──处理器有在极短时间里完成成千上万次计算的能力同时,它所要执行的任务容易随软件程序变化而变化的,而且对于硬件构造和接线的影响极小 存储器容量──一可很容易地扩展存储器 体积小──计算机联锁比全继电器联锁占据的空间要小,这就可能大大降低为联锁系统设备提供房子或继电器室的成本 软件变化──能使用一种高水平、用户较为亲切的语言来改变软件VPI的用户无需是一个计算机程序员,当然使用者必须熟悉与联锁相关的正确逻辑即联锁技术条件可用性冗余──当一个联锁越变越大时,使用一个处理器系统相对一个继电器的系统来说就有更大的成本优势,这不仅是从继电器室成本角度来看,而且包括每个单位I/O处理器系统成本的优势,因为处理器系统硬件核心不随I/O的变化而成比例地增加,这就使得考虑使用备用处理器硬件来改进系统可用性成为可能,使之超过现有的全继电器型系统。
一个全继电器型系统冗余成本是令人望而却步的 3.4.2 热备工作原理由于模块化设计,VPI系统有完整冗余系统的构造,它有两套独立的系统板和输入/输出板,和以之为基础的转换逻辑电路,并保证系统在切换时不丢失信息当修改或扩展系统时,主系统仍然在工作,而备用系统被用来测试在这里,需要说明的是,由于系统按动态冗余的原则设计,系统的主用和备用只是表明系统的工作状态,与设备的物理概念无关主系统和备用系统分别执行同一工作,并经同步检查,确保主备系统同步工作,实现真正的热备冗余安全输入的连接与同一接口继电器并行连接,安全输出参数(信号开放参数等)在系统切换时主备系统进行内部互相参照检查安全输出与每个接口继电器两线圈中的一个线圈相连接但是只有主用系统能驱动接口继电器,而备用系统不能使接口继电器通电 主备联锁机通过高速网络口与MMI系统连接,使得两个VPI系统都能接收到来自MMI的控制命令在一般情况下,MMI分别呼叫主备联锁机,如果此时,主备联锁机均正常工作,主备联锁机的VLE板能收到控制命令,命令在输入联锁机之前,进行表决,如果两个控制命令一致,则分别送入安全处理系统;如果不一致,则以主用联锁机所接收的命令为准;假如双机的同步表决通道通信中断,则以各自所接收的控制命令为准。
在接收MMI的控制命令的同时,主备联锁机将各自的表示送往MMI,但MMI将来自备用设备的表示信息过滤掉,只显示主用设备的状态,只有在必要时,才能由人工选看备用设备状态只有当安全型、非安全型通信正常、手动切换程序、安全系统正常工作时,系统输出“联机正常”的继电器上面所述的“联机正常”,使联锁机的VRD接点构成双机切换的电路双机切换逻辑由联锁机完成,当任何一个联锁机检查到VLE板、联锁机、手动切换没有启动,联锁机输出一个联锁机工作正常的继电器,表示系统已联机;当其中任何一个条件不满足,此继电器落下,表示联锁机脱机转换电路是手动或自动完成切换一旦一个系统被关闭(VPS断电),备用系统自动接管联锁控制备用系统也被构造成优先于自动操作的手动操作由于备用系统是与主系统一致工作的,所以所有逻辑参数存储在两个系统里,并同时更新,这样在转换时数据就不会丢失了3.4.3 联锁机的安全体系结构按照欧洲铁路标准EN50129,对铁路安全电子系统推荐了三种故障-安全型设备的体系结构,简述如下:· “反应故障-安全”:这种体系的前提是由快速的故障检测和对任何危险失效进行避错来保证它的安全操作(例如通过编码、多版软件比较、或通过连续的测试)。
也就是说它的控制和防护部分是完全独立见下图: · “组合故障-安全”: 组合故障-安全系统有二取二、三取二等使用这种技术时,每个安全性相关功能必须至少由两个部件执行,每个部件应当独立于其他的部件只有当大多数部件一致时,才允许进行非限制性行动见下图:· “固有故障-安全”:这种技术是在假定单个部件所有可信的失效模式均无危险的情况下,允许一个安全性功能由一个单独部件来执行固有故障-安全也可用在组合和反应故障-安全系统的某些功能中,例如,用来确保部件之间的独立性或如果检测到一个危险侧失效时来强制停止运转VPI是ALSTOM美国公司(原GRS公司)设计的专用于铁路信号联锁控制的专利产品,采用了多重故障-安全技术,获得了国际上的安全认证 根据EN50129标准(在此之前为ORE A155建议)的定义,VPI综合运用了“反应故障-安全” 、“组合故障-安全”和“固有故障-安全”技术· 联锁机从硬件上分通道1和通道2二部分进行联锁运算对同一信号设备,在通道1和通道2中采用了独立相异的二组编码来表示,运行各自独立的软件,使联锁机从硬件到软件均构成二取二的“组合故障-安全”体系结构· 在联锁运算采用二取二模式的基础上,通道1和通道2每执行一行程序,均分别构成校核字的一部分被实时的送到以VPS板为核心的独立的安全防护(校验)部分进行校核,以监督系统完好,且每行程序均得到正确执行。
VPS板还对各安全型输出端口进行实时动态校核(校核周期为50ms),确保防护电路能在系统可能发生错误输出之前即切断输出通道的电流,以实现故障-安全目的在这里,VPI系统应用了“反应故障-安全”技术· VPI系统中的VPS板、安全型输入、输出板以及安全型输出板中的AOCD元器件,均象安全型继电器一样具有“固有故障-安全”特性3.4.4 联锁机的冗余结构VPI系统有基于模块化设计的完整的冗余系统的构造,它由两套独立的系统板和输入/输出板和以之为基础的转换逻辑电路构成,保证系统在切换时不丢失信息由于系统按动态冗余的原则设计,系统的主用和备用只是表明系统的工作状态,与设备的物理概念无关主系统和备用系统分别执行同一工作,经同步检查,确保主备系统同步工作,实现真正的热备冗余参照EN50129标准,VPI是具有部分“固有故障-安全”电路,既采用了二取二的“组合故障-安全”技术,又采用了“反应故障-安全”技术的综合安全系统在此基础上,卡斯柯公司提供的VPI 系统是双套冗余热备的,这既满足了铁道部的技术要求,又提高了系统的可靠性和可用性VPI系统被设计成所有有源元器件加罩与外界隔离屏蔽,而设备又能永远通电,在固定的动态环境中,VPI系统可以在-20°C ~+60°C情况下工作。
安全型输入板由放浪涌保护电路提供瞬时保护这个电路可以处理3.6瓦的瞬态电压,峰值电流为30A改电路能为输出板端口在瞬态提供一条通路以使电路板上的其它部分免受损坏 系统的安全性和可靠性满足下列指标:双通道不可检出错误概率:5.43X10-20系统不可检出危险间隔:5.8X1010年;平均故障间隔时间(MTBF)>15,000,000小时;平均故障维护时间(MTTR)=10分钟;系统可用度=1,000,000小时/(1,000,000小时+10分钟)=99.99998%第四章 人机界面子系统4.1 概述 本系统的人机界面模块亦称MMI子系统, 它采用高分辨率的彩色显示器作为系统的表示设备,车站值班员用鼠标进行操作,系统给与简洁明了的表示和语音提示系统软件具有较强的稳固性,对用户的各种正常和非正常的操作有较强的识别能力,不会导致系统死机或表示混乱,对于非正常操作给予提示 MMI完成以下功能:l 操作员发送控制命令和接收现场表示信息的接口;l 主MMI与其它热备MMI、SDM子系统、仿真测试系统等通过高速网络交换信息;MMI与仿真测试系统通信需要安插软件检查块,否则不能进入仿真测试状态。
l 完成非安全联锁逻辑功能(如选路判断、表示等);l 对联锁电路进行脱机模拟试验MMI工作于WIN 2000或更高版本的WINDOWS多任务操作系统,采用N+1热备工作方式,使用高可靠的工业控制计算机,通过高速网口与其它子系统交换信息4.2 MMI界面描述 MMI界面由站场图、输入操作窗口、系统设备状态窗口、信息提示窗口、时钟窗口等部分组成系统向用户提供完善的汉字功能,在系统的画面显示、报警信息、操作提示、报警打印等方面均实现汉字输出,这更适合于国内用户的应用主要内容如下:a. 信号设备布置模型;b. 主要操作表示;c. 信号机的状态表示;d. 道岔位置表示;e. 列车和调车进路的锁闭状态表示;f. 轨道及道岔区段的占用表示;g. 反映进路控制过程的其它必要表示;h. 区间闭塞状态的表示;i. 非进路调车、局部控制、平面溜放调车以及与其它系统联系的相应表示;j. 主要设备的报警; k. 其它必要的表示和报警4.2.1站场图窗口 显示一幅完整的车站信号平面图,背景建议为黑色1 信号机及信号名称l 信号机主要分为进站信号机、出发信号机和调车信号机等,除了进站信号机有两个灯位外,其余均只有一个灯位。
l 在正常情况下,进站信号机显示红灯;正线通过时,进站信号机显示绿灯;办理正线停车时,进站信号机显示单黄灯;办理侧线停车时,进站信号机显示双黄灯;办理引导时,进站信号机显示白灯和红灯l 在正常情况下,出发兼调车信号机显示灰色;开放列车信号显示绿灯;开放调车信号显示白灯l 在正常情况下,调车信号机显示灰色;开放时显示白灯l 信号机灯丝断丝时,闪光告警显示:进站信号机一灯丝断丝时显示“红闪”,二灯丝断丝时显示“红稳蓝闪”;出发兼调车信号机断丝时显示“蓝闪”;调车信号机断丝时显示“蓝闪”2 道岔及道岔号l 在定位时道岔名称为绿色,反位时道岔名称为黄色l 道岔的定位位置应与信号平面图上的开向一致,到道岔由定位转到反位后,开向应作相应改变l 道岔在四开位置时,岔尖处无显示,如果超过规定时间无表示,则认为该道岔挤岔,发出语音报警;道岔修复后,道岔显示正常开向,岔尖变为常态,该道岔恢复使用l 当道岔单锁时,该道岔号码显示红色,当道岔解锁时,该道岔号码显示黄色或绿色l 当办理咽喉道岔引导总锁时,全咽喉道岔锁闭,道岔号码显示红色;办理咽喉引导总锁恢复,全咽喉道岔解锁,其号码恢复绿色或者黄色3 轨道电路l 在缺省状态下,轨道电路显示绿色光带,道岔区段光带显示道岔的开向。
l 一般来说,当区段占用时,轨道电路无条件显示红色光带;若无车占用,区段锁闭时,区段显示白色光带;当区段解锁时出现故障,显示绿光带区段占用表示的等级优先于区段锁闭表示4 站间/场间联系表示l 对于区间为自动闭塞的车站,在站场显示上对应于每个发车方向有接车方向表示(绿色箭头表示)和发车方向表示(绿色箭头表示),表示信息来自VPIl 对于区间为半自动闭塞的车站,在站场图上对应于每个发车方向有接车方向表示(箭头表示)和发车方向表示(箭头表示)箭头的颜色有红色、绿色和黄色正常情况下,进站信号机附近无接发车表示5 其他表示· 在站场显示图上还有【3分】、【30秒】延时表示灯,上下咽喉3分、30秒延时计时框等咽喉两头分别有【X排路】和【S排路】表示灯;· 显示主副电源的工作状态;· 显示主备MMI的工作状态;· 对于值班员所办理的每一个操作,MMI给出相应的显示以确认操作的有效性;· 显示在进路建立但进路未锁闭状态下的有关信息;· 显示进路延时解锁的有关信息;· 显示VPI和SDM的运行状态;· 显示联锁处理机的运行状态;· 在车站入口处和股道上有车次窗显示4.2.2 输入操作窗口 输入操作窗口包含下列位图按钮。
鼠标按压功能按钮后,可办理各种作业;一旦鼠标发生故障,操作人员可以通过数字化仪进行有关操作位图按钮有以下种类:l 排列进路l 取消进路l 信号重开l 引导l 引导总锁l 总人工解锁l 道岔总定l 道岔总反l 道岔单锁l 道岔解锁l 封锁按钮l 其它用户所要求的有关操作第五章 系统维护子系统5.1概述系统维护台可与微机监测站机构成了二合一的子系统(微机监测与系统维护子系统),以提高整个系统的综合化水平这样的设计,充分发挥了计算机的处理能力,提高了微机监测对事件记录的实时性,减少了用户对硬件配置和维护本章主要描述该子系统的系统维护台功能系统维护(SDM)模块作为计算机联锁的子系统,主要为计算机联锁完成系统维护及接口设备监测的功能本模块包括一台工业控制计算机、一台彩色显示器、一台激光打印机、鼠标、键盘作为联锁计算机系统的模块,它实现对VPI设备和接口设备的监视和记录,同时也可打印设备操作信息、日期和时间记录根据顾客的要求,电务维护终端可以与信号维护支持网络联网,具有远程诊断功能SDM完成以下功能:l 联锁处理子系统的系统维护通过高速网口接收联锁处理子系统的诊断结果信息、输入/输出信息、全站简化参数信息、指定参数详细信息。
系统正常工作时,不需要查询,SDM自动接收联锁处理子系统的信息,当SDM故障修复后、或与联锁处理子系统通信恢复后,SDM能立即开始接收联锁处理子系统记录的一天内的系统报警和错误信息l 读取联锁处理子系统CPU启动过程中的自检关键点信息;l 通过网络接收来自MMI的操作和表示,并记录关键操作和表示;l 站场显示、历史回放;l 网络管理;l 通过MODEM实现远程诊断接入;l 通过CAN总线接收微机监测机的监测信息;l 通过以太网为其它管理系统与VPI系统通信提供接口l 根据需要,SDM可以与不同的中央维修中心接口5.2 系统功能5.2.1 记录车站值班员的操作和列车运行情况,对记录信息保存时间不低于30天,可以随时打印和再现记录信息5.2.2 检测网络系统运行状态,有效诊断网络系统运行故障,为维护人员提供有效的运行状态信息5.2.3 全天候连续对联锁设备和接口设备进行自动测试和记录,并对测试结果进行记录,测试结果可以随时再现及打印,数据测试结果保留时间不少于30天5.2.4 系统具有良好的实时性和可靠性,系统本身必须连续稳定工作,本身具有自检功能,可以及时发现监测设备本身故障并给出报警和提示。
5.2.5 系统维护设备与所监测设备间必须具有良好的隔离措施,当维护设备本身故障时,不影响主用设备的正常工作5.2.6 系统软件、硬件设计采用开放的模块化结构,具有良好的系统扩充能力,具有形成“信号设备维护、监测网络”的能力5.2.7 系统提供远程拨号登录功能,可实现对联锁机实时诊断5.3 系统维护主要内容5.3.1 监测冗余网络的运行状态,包括双网的连接工作状态和网上各节点的连接工作状态当网络发生故障或某个网络节点不正常工作时,发出报警信息,并作记录5.3.2 记录值班员对MMI的各种操作,记录始、终端及铅封按钮操作的时间和次数,并可以在24小时内按时间先后次序查询5.3.3 进路登记:记录列车进路建立、信号开放、进路解锁及故障时间按时间对列车、调车故障查询,按照可设置的速率再现列车运行情况5.3.4 记录道岔表示、轨道空闲及占用、信号开放及关闭,半自动有关信息,并可以在24小时内按时间先后顺序查询5.3.5 记录列车信号机主灯丝断丝报警信息、熔丝断丝报警信息、道岔挤岔报警信息等,并可以在24小时内按时间先后次序查询5.3.6 按需要可随时对测试资料进行打印5.3.7 对所测试数据随时记盘储存,并可根据需要回放。
5.3.8 对A机B机系统运行状态的查看,并可根据需要回放第六章 环境、接地、电源和机柜结构6.1 工作环境 在下面的环境条件下,系统能按规定的技术性能可靠工作l 环境温度:联锁处理子系统:-20℃ ~ +60℃工业控制计算机: 0℃ ~ +45℃l 相对湿度:≤90%(无凝结) (25℃)l 大气压力:74.8~106kPal 海拔高度不超过2500米l 按照铁路信号机械室要求保持室内整洁即可,本系统无特殊防尘需要l 当人为处理VPI印制电路板时,必须有防静电措施,例如:鉴别销和其它一些芯片的操作必须在防静电环境下;使用合适的起拔器以防止对元器件的损坏l 系统的包装工艺使系统能防止外界大量的电磁干扰6.2系统接地本系统的地线有防雷地线和设备地线,均应按有关标准进行施工防雷地线应尽快入地,其间的配线应尽可能减少弯曲设备地线的接地电阻不应大于4欧姆,防雷地线的接地电阻不应大于4欧姆两接电体之间距离应大于20米;接地线引入室内时,引接线要有绝缘护套防护6.3 电源系统为了保证计算机联锁系统安全稳定地工作,系统各工作模块的电源均由不间断电源UPS供电从电源屏经稳压的三相交流电源经过二级单相防雷单元输入式UPS,UPS输出净化220伏交流电源。
UPS的功率为3KW交流电源输出分别供应MMI、冗余联锁机柜、值班员台和系统维护台、微机监测、调度监督车站终端(服务器等)设备供电正常情况下,整个系统由UPSA供电,当UPSA不能正常工作时,电源切换电路自动切换至UPSB供电,当2个UPS均不能正常工作时,电源切换电路自动切换至由电源屏直接供电当一个或两个UPS发生故障时,应同时在MMI和SDM上给出报警提示,并且UPS的工作状态,如电池供电还是外电源供电、电池工作是否正常等,能在SDM上方便查看室外和室内设备的电源必须隔离卡斯柯公司提供的电源系统稳定、可靠、效率高,并有过压防护措施电源的瞬间切换不会影响系统的正常运行交流电源:50±1HZ,220V (-20%~+15%),UPS净化6.4过压和过流防护及系统的防雷技术 卡斯柯公司提供的计算机联锁系统为每个车站配备一套防雷设备 电源稳压器可用来防止电压过高,保险器或断路器用来防止电流过高,保险器或断路器的状态可通过指示灯的显示来确认. VPI系统通过接口继电器与室外设备隔离,以保护设备免受雷击和外部干扰.室内设备必须接地,电源稳压器则有防干扰的作用. VPI的输入/输出板的每个端口都有相应的防浪涌和泄流电路。
6.5 机柜结构机箱尺寸:482.6mm×356.0mm×356.0mm结构:长(800mm)*宽(600mm)*高(2000mm)重量:小于200公斤。