牽引供電系統安全控制平臺研制

來源:用戶上傳      作者:

　　摘  要：隨著我國電氣化鐵路的快速發展，牽引供電系統的可靠性、可用性、可維護性和安全性亟需提升到更高的技術水平。作為高性能牽引供電系統的核心，安全控制平臺的應用需求尤為迫切。基于公司承擔的國家重點研發計劃項目以及在信號安全控制領域的技術優勢，研制了一款具有完全自主知識產權的高性能牽引供電系統安全控制平臺，采用可靠性和安全性綜合指標更優的二乘二取二冗余架構方案，通過安全狀態機控制邏輯和多種故障-安全機制實現對隨機失效的安全保證，同時設計了支持帶電熱插拔的各類型插件，保證控制平臺的高可維護性和高可用性。經全面測試，安全控制平臺通過了國際獨立安全審核機構認證，符合最高安全等級——SIL4標準。牽引供電項目現場應用情況表明，控制平臺運行穩定、可靠，能夠顯著提高牽引供電系統安全性和可靠性，縮短年平均故障時間，提升鐵路運能。
　　關鍵詞：牽引供電系統;安全控制平臺;RAMS;安全完整性等級;二乘二取二;冗余架構
　　中圖分類號：U223.8        文獻標志碼：A           文章編號：2095-2945（2019）08-0027-05
　　Abstract： With the rapid development of China's electrified railways， the reliability， availability， maintainability and safety of traction power supply system need to be upgraded to a higher level. As the core of the high-performance traction power supply system， the application requirement of safety control platform is particularly urgent. Based on the national key R&D project undertaken by the company and the technical advantages in the field of signaling security control， a safety control platform with completely independent intellectual property rights for the high-performance traction power supply system was developed. It adopted double 2-vote-2 redundant architecture that has better reliability and safety comprehensive indicators， ensured security against random failures through secure state machine control logic and multiple fault-safe mechanisms. Meanwhile， various types of plug-ins that support live plug were designed to ensure high availability and maintainability of the control platform. After thorough test， the safety control platform has passed the certification of the international independent safety auditing organization and meets the highest safety level - SIL4 standard. The on-site application results of traction power supply projects showed that the control platform is stable and reliable， significantly improve the safety and reliability of the traction power supply system， shorten the annual average failure time， and enhance transportation capacity of the railway.
　　Keywords： traction power supply system; safety control platform; RAMS; safety integrity level; double 2-vote-2; redundant architecture
　　引言
　　隨著我國電氣化鐵路的快速發展，牽引供電系統的可靠性、可用性、可維護性和安全性（RAMS）越來越受到人們的重視[1]，而作為牽引供電系統核心的控制系統，如何在保證高可靠性、高可用性、高可維護性的前提下，同時實現故障導向安全，尤為值得深入研究。
　　基于公司承擔的國家重點研發計劃項目《高性能牽引供電系統技術》及在信號安全控制領域的技術優勢，項目組自主研制了一款滿足國際最高安全完整性等級（SIL4）認證標準[2-6]的高性能牽引供電系統安全控制通用平臺。通過對安全控制系統原理的比較分析，控制平臺選擇了可靠性和安全性綜合指標更優的二乘二取二冗余架構設計方案，采用了安全狀態機控制邏輯以保證雙系輸出的唯一性和無縫切換，通過組合式故障-安全、反應式故障-安全和固有故障-安全三種安全機制實現對隨機失效的安全保證，同時設計了支持帶電熱插拔的插件，保證系統的高維護性和高可用性。經單元測試、機箱測試、平臺測試及現場測試，安全控制平臺現已通過國際獨立安全審核機構認證，并在公司多個牽引供電項目全面應用。 　　1 控制平臺架構
　　為滿足系統安全性和可靠性的要求，安全控制平臺需采用冗余架構，可選方案主要包括雙機熱備、三取二，以及二乘二取二架構等[7-8]。
　　1.1 雙機熱備架構
　　雙機熱備架構采用單機保證安全，雙機提高可靠性的設計理念，發生故障時進行整機切換，存在的主要技術難題是雙機的同步與比較，當雙機比較不一致時，如何實現切換及故障自診斷。熱備系統故障發生之后，故障定位及切換時間較長。
　　1.2 三取二架構
　　三取二架構采用三個獨立支路進行三取二表決，在單路故障的情況下降級工作，保證系統安全，不存在雙機熱備系統的整機切換問題， 但存在三機同步以及故障定位難題，故障一經發現必須在規定的時間間隔內予以修復，否則當出現雙支路故障時，系統將整體退出。
　　1.3 二乘二取二架構
　　二乘二取二架構采用兩系完全相同的二取二系統。二乘即兩系以互為熱備方式并行，之間通過并行接口建立的高速通道交換信息，實現兩系的同步和切換。二取二即為在一套系統上集成嚴格同步的雙CPU運算及處理單元，實時比較，只有雙機運行一致時才對外輸出或傳輸運算結果，保證輸出安全。
　　經上述分析，二乘二取二架構相比雙機熱備、三取二等冗余架構在可靠性和安全性綜合指標上具有明顯的優勢。因此，本項目選擇二乘二取二架構作為實施方案。安全控制平臺采用具有完全相同硬件結構的兩個控制機箱，分別命名為Ⅰ系和Ⅱ系，Ⅰ系為主系工作，Ⅱ系處于熱備冗余狀態，雙系同時獨立工作。兩系均正常時，控制平臺輸出為Ⅰ系的輸出。如果Ⅰ系發生故障，則無縫切換至Ⅱ系為主系工作系統，控制平臺輸出為Ⅱ系的輸出，Ⅰ系報告故障或者自動重啟。
　　2 安全控制方案
　　對于采用二乘二取二架構的安全控制平臺，雙系數據同步和無縫切換是需要重點研究的兩個問題[9]。
　　2.1 雙系數據同步
　　為保障雙系數據安全同步，項目采用了高帶寬、高實時性、高可靠性、高靈活性、容錯性能優的FlexRay總線，作為雙系之間信息交互通道。數據傳遞過程中，主要采用了以下技術方案：
　　（1）使用序列號來保證收發時序。
　　（2）使用安全循環冗余校驗算法保證數據的一致性和安全性。
　　（3）采用本地時間與遠程時間計算網絡傳輸延時，避免網絡異常引起時效性問題。
　?。?）采用數據包壓縮和解壓技術傳遞安全數據，減少網絡流量和延時。
　　（5）每個運算周期進行時間和數據同步，保證主用系和備用系數據的一致性。
　?。?）同步確認技術，即主用系同步給備用系的數據，需要備用系發送同步確認信息后，主用系才能繼續運算和對外輸出，防止雙系切換后對外控制信息不一致導向風險。
　　2.2 雙系無縫切換
　　為保證雙系輸出的唯一性和無縫切換，采用了安全狀態機設計方案。單系控制機箱包含以下五種狀態：（1）未工作狀態;（2）初始化狀態;（3）主用狀態;（4）備用狀態;（5）故障狀態，主要狀態切換工況包括：
　?。?）雙系正常上電，進行初始化配置，配置為主用系的控制機箱為主用系，另一系轉為備用系。
　?。?）主用系出現故障，轉為故障狀態;備用系檢測到主用退出，滿足主用條件，轉為主用狀態。
　　（3）故障狀態滿足初始化條件，經未工作狀態進行初始化配置。
　　3 安全插件設計
　　經需求分析，安全控制計算機的輸入主要包含模擬量和數字量等，輸出主要為數字量，同時基于單板功能獨立和模塊化設計理念，項目組研制了安全電源插件、安全主控插件、安全模擬量輸入插件、安全數字量輸入插件、安全數字量輸出插件、安全通信插件等不同類型的安全插件，可根據現場應用需求，對各系控制機箱靈活配置。
　　主控插件、安全模擬量輸入插件、安全數字量輸入插件、安全數字量輸出插件等通過組合式故障-安全、反應式故障-安全和固有故障-安全三種安全機制實現對隨機失效的安全保證，在故障狀態下停止對外輸出，在人工確認故障排除前不能自動恢復，以保證插件保持在安全狀態。各插件安全完整性達到IEC 62425標準規定的SIL4級;插件的軟件安全完整性達到IEC 62279標準規定的SIL4 級。同時，各插件具備熱插拔功能，在系統不斷開電源的情況下，允許進行插件的插入或者拔出操作。通過軟硬件結合的加密方式，各插件還可實現安全加密功能。
　　3.1 安全電源插件
　　安全電源插件采用DC110V電壓輸入，轉換為2路DC24V直流電源輸出，為牽引供電系統安全控制平臺其余各插件提供電源。
　　電源插件采用模塊化設計，主要由6個部件組成：輸入濾波、過流保護、電源儲能、輸入過壓保護、DC/DC轉換、輸出濾波等。DC110V電源輸入濾波之后，通過2個DC/DC轉換模塊，獲得雙路DC24V電源。
　　電源插件具備完善保護措施，包含輸入反接保護、防沖擊保護、輸入過壓保護、輸入欠壓保護、輸出過壓保護、輸出過流保護、超溫保護等，支持熱插拔。
　　3.2 安全主控插件
　　主控插件完成安全控制平臺的設備管理，通過安全通信協議獲取安全控制平臺內部插件輸入數據或狀態，通過通信協議獲取安全控制平臺外部設備輸入數據，將數據或狀態校驗后通過應用開發軟件接口傳送至應用軟件，并將應用軟件運算得出的控制命令或狀態經表決后輸出至安全控制平臺內部插件或外部設備。同時，主控插件實時監測各模塊的工作狀態、軟硬件信息（包含版本、故障等信息），并通過軟件接口提供至二次開發用戶，通過對外通信接口發送至外部設備。
　　主控插件主要由A機系統、B機系統、C機通信系統（簡稱A、B、C機）等構成。A機、B機組成2取2的安全結構，A、B機負責安全計算和比較，C機負責與其他插件間的通信，將安全數據經FlexRay發送至輸出插件和/或外部設備，并通過以太網等方式與外部設備通信。 　　主控插件運行模式分為上電自檢模式、正常運行模式和故障停機模式，依據各種模式進行狀態管理。上電自檢模式時，插件處于上電自檢過程，不能進行安全表決和計算。自檢通過后進入正常運行模式，正常運行模式為主控插件可用模式，可進行邏輯運算、安全表決和輸出。自檢出現故障時，插件進入故障停機模式。故障停機模式時，插件不能提供原定功能，保持在安全狀態。在上電初始化過程中，主控插件檢查配置數據的完整性及配置數據與實際配置的一致性;并在正常運行過程中定期進行配置數據與實際配置的一致性檢查。如果檢查失敗，則導向安全狀態。
　　3.3 安全模擬量輸入插件
　　安全模擬量輸入插件通過電壓互感器和電流互感器，周期性地進行模擬量的采集。插件采用2取2的“故障-安全”架構，即在本插件中有A機和B機兩套處理器系統，A機和B機將采集到外部模擬量信息通過雙通道CPU運算、比較后，形成安全模擬量值后將結果通過CAN通信發送給C機，C機再將結果傳輸到FlexRay總線，符合組合故障-安全策略。
　　安全模擬量輸入插件A機、B機各自具有8個電流采集電路，8個電壓采集電路，并為電流型傳感器提供24V工作電源，為電壓型傳感器提供15V工作電源。同時，A機8個電流采集電路、A機8個電壓采集電路、B機8個電流采集電路、B機8個電壓采集電路之間采取電氣隔離，隔離電壓為AC1000V。
　　安全模擬量輸入插件運行模式分為上電自檢模式、正常運行模式和故障停機模式，依據各種模式進行狀態管理。上電自檢模式時插件處于上電自檢過程，不能進行模擬量輸入信息的采集和表決。自檢通過后進入正常運行模式，正常運行模式為安全模擬量輸入插件可用模式，插件可進行模擬量輸入信號的采集。自檢出現故障時，插件進入故障停機模式。故障停機模式時，插件不能提供原定功能，保持在安全狀態。插件在上電和運行中進行關鍵故障檢測，檢測到重要模塊故障時，插件保持在安全狀態。
　　3.4 安全數字量輸入插件
　　安全數字量輸入插件中安全開關信號輸入通道是對安全繼電器一組狀態接點的（常開接點和常閉接點）導通狀態同時采集，分別由兩個不同的CPU 進行處理。通過這兩個CPU 對采集結果的比較判斷得出安全繼電器當前所處狀態或者在連線中的出現混線、斷線和接地等故障。
　　安全數字量輸入插件分別由CPUA、CPUB、CPUC和安全輸入通道四個主要的功能模塊組成（分別簡稱為A機、B機、C機和安全輸入通道）。插件采用2取2的“故障-安全”架構，即在本插件中有A機和B機兩套處理器系統， A機和B機將采集到外部繼電器一組觸點狀態信息（即一常開觸點和一常閉觸點）通過內部CAN通信交互后分別進行處理和表決，并將結果通過CAN通信發送給C機，C機再將結果傳輸到FlexRay總線，符合組合故障-安全策略。安全輸入通道共有16路，每路分A通道和B通道，A通道采集常開觸點形式的開關量輸入信號，B通道采集常閉觸點形式的開關量輸入信號。
　　安全數字量輸入插件運行模式分為上電自檢模式、正常運行模式和故障停機模式，依據各種模式進行狀態管理。上電自檢模式時插件處于上電自檢過程，不能進行開關量輸入信息的采集和表決。自檢通過后進入正常運行模式，正常運行模式為安全數字量輸入插件可用模式，插件可進行開關量輸入信號的采集。自檢出現故障時，插件進入故障停機模式。故障停機模式時，插件不能提供原定功能，保持在安全狀態。插件在上電和運行中進行關鍵故障檢測，檢測到關鍵模塊（包括輸入通道電源、內部通信總線、輸入通道、同步）故障時，插件保持在安全狀態。
　　3.5 安全數字量輸出插件
　　安全數字量輸出插件包含CPUA、CPUB、CPUC和安全輸出通道四個主要的功能模塊（分別簡稱為A機、B機、C機和安全輸出通道）。安全數字量輸出插件采用2取2的“故障-安全”架構，A機和B機均從C機通過CAN總線獲取數字量輸出命令，分別將獲取的數字輸出命令信息進行處理后，形成各自的輸出命令，輸出命令通過輸出通道執行輸出，符合組合故障-安全策略。C機負責對外通信，將從FlexRay總線接收到的安全數字量輸出命令通過內部CAN通信發送給A機和B機。安全輸出通道共有16路，每路分A通道和B通道，A通道和B通道采用串聯方式輸出，提高安全性。同時，安全數字量輸出通道采用安全繼電器觸點輸出，并通過安全繼電器的觸點狀態反饋實現狀態監督。
　　安全數字量輸出插件運行模式分為上電自檢模式、正常運行模式和故障停機模式，依據各種模式進行狀態管理。上電自檢模式時，插件處于上電自檢過程，不能進行安全表決和輸出。自檢通過后進入正常運行模式，正常運行模式為安全數字量輸出插件可用模式，可進行安全表決和輸出。自檢出現故障時，插件進入故障停機模式。故障停機模式時，插件不能提供原定功能，保持在安全狀態。插件在上電和運行中進行關鍵故障檢測，檢測到關鍵模塊（包括輸出通道電源、內部通信總線、輸出通道、同步）故障時，插件保持在安全狀態。
　　4 結束語
　　安全控制平臺經過高低溫、振動、鹽霧、電磁兼容等全面測試，通過了國際獨立安全審核機構認證，滿足國際最高安全等級（SIL4）標準要求，采用的二乘二取二冗余架構方案、安全狀態機控制邏輯、故障-安全機制、安全插件有效提高了控制系統的可靠性、可用性、可維護性和安全性，同時保證了故障導向安全。在多個牽引供電項目現場應用情況表明，控制平臺運行安全、穩定、可靠，能夠顯著縮短牽引供電系統年平均故障時間，提高鐵路運能。下一步，項目組將對安全控制平臺的技術指標進一步優化，滿足更高技術性能應用需求。
　　參考文獻：
　　[1]楊媛.高速鐵路供電系統RAMS評估的研究[D].北京：北京交通大學，2011.
　　[2]IEC 61508：2010 Functional safety of electrical/electronic/programmable electronic safety-related systems[S].
　　[3]IEC 62061：2005 Safety of machinery-Functional safety of safety-related electrical， electronic and programmable electronic control systems[S].
　　[4]EN 50126：2017 Railway application-The specification and demonstration of Reliability， Availability， Maintainability and Safety （RAMS） [S].
　　[5]EN 50128：2011 Railway applications-Communications， signalling and processing systems - Software for railway control and protection systems[S].
　　[6]EN 50129：2003 Railway applications-Communication， signalling and processing systems-Safety related electronic systems for signalling[S].
　　[7]郭慶.一種新型二乘二取二安全計算機的設計和實現[D].杭州：浙江大學，2012.
　　[8]劉芳，王海峰.二乘二取二與雙機熱備計算機聯鎖系統性能比較[J].鐵道通信信號，2008，44（02）：26-29.
　　[9]蔡煊，王長林.車載列車自動防護的二乘二取二安全計算機平臺同步機制[J].計算機工程，2015，41（8）：301-305.
轉載注明來源:http://www.hailuomaifang.com/1/view-14868795.htm