Способ и устройство повышения уровня эксплуатационной надежности устройств железнодорожной автоматики с защитой от опасных отказов
Группа изобретений относится к области железнодорожной автоматики, в частности к устройствам интервального регулирования движения поездов и обеспечения безопасности движения, а также может быть использована в системах управления и информационного обеспечения, относящихся к железнодорожному транспорту. Способ повышения уровня эксплуатационной надежности микропроцессорных систем железнодорожной автоматики с защитой от опасных отказов заключается в обработке данных с помощью микропроцессорных вычислителей с последующим избиранием обработанных вычислителями данных по мажоритарному принципу, по меньшей мере, «2 из 3». При отказе какого-либо из блоков мажоритарного избирания блок переводят в состояние защитного отключения. При отказе микропроцессорного вычислителя его переводят в состояние защитного отключения с последующей реконфигурацией мажоритарного избирания в соответствии с числом оставшихся исправных микропроцессорных вычислителей. Устройство содержит, по большей мере, четыре функциональных микропроцессорных вычислителя (1-4), два блока мажоритарного избирания (5) и (6), исполнительный элемент (7), оснащенный дополнительно датчиками, дающими информацию об управляющем сигнале. Выход каждого микропроцессорного вычислителя подключен к параллельно соединенным одноименным входам блоков мажоритарного избирания посредством шин Ш1-Ш4. Блоки мажоритарного избирания объединены между собой шиной Ш5, а также с исполнительным элементом, соответственно, шинами Ш6 и Ш7 для функций ввода/вывода управляющего воздействия. Техническим результатом является повышение уровня эксплуатационной надежности микропроцессорных систем железнодорожной автоматики. 2 н. и 2 з.п. ф-лы, 1 ил.
Реферат
Группа изобретений относится к области железнодорожной автоматики, и в частности к устройствам интервального регулирования движения поездов и обеспечения безопасности движения, а также может быть использована в системах управления и информационного обеспечения, относящихся к железнодорожному транспорту.
Особенностью микропроцессоров, составляющих основу практически всех современных устройств автоматического регулирования и управления на железнодорожном транспорте, является их чрезвычайная сложность, что исключает прямой диагностический мониторинг составляющих устройства в реальном режиме времени. Практически неперечислимое множество различных по характеру возможных отказов микропроцессорного устройства в заданный момент времени не позволяет на основе простых критериев, например, по выходному сигналу, давать объективную оценку его исправности.
В настоящее время к устройствам обеспечения безопасности движения поездов предъявляется требование так называемой функциональной безопасности, согласно которому устройство при возникновении отказа или при нарушении работоспособности, возникшего в результате сбоя программного обеспечения, должно автоматически выключаться, то есть переходить в состояние защитного отключения. Такое выключение, основанное на особенностях схемных решений устройства и заложенных в него физических принципах, должно обеспечивать меры по нейтрализации опасности, порождаемой неисправностью устройства и сбоями в программном обеспечении, вплоть до полной остановки подвижного состава.
Способ повышения уровня эксплуатационной надежности микропроцессорных систем, реализуемый в прототипе - в комплексном локомотивном устройстве безопасности унифицированном (КЛУБ-У) (RU №2248899, МПК: 7 B61L 25/04), включает операцию сравнения сигналов, характеризующих работу двух идентичных микропроцессоров, и защитное отключение всей системы при расхождении этих сигналов. Устройство продублировано и снабжено элементом сравнения, особенностью которого является относительная простота и собственная функциональная безопасность.
С помощью дублирования, при возникновении в любом из микропроцессоров первого отказа или сбоя, он выявляется элементом сравнения, который и переводит всю систему в состояние защитного отключения. При первом отказе элемента сравнения устройство переходит в это состояние. Очевидно, что общая эксплуатационная надежность системы оказывается ниже, чем надежность исходного ординарного микропроцессорного устройства, и в целях повышения этого показателя используют дублирование, а также возможность восстановления. Таким образом, практически в одной системе безопасности оказывается одновременно задействованными четыре микропроцессора, производящие идентичные вычисления и два безопасных специализированных элемента сравнения. Схема получила название «2 по 2».
Существенным недостатком этого устройства является то, что помимо отработки штатных целевых функций, для удовлетворения требований функциональной безопасности с заданной частотой должно обеспечиваться выполнение тестирующих подпрограмм, проверяться исправность всех входящих в ее состав элементов. Программное обеспечение при этом существенно усложняется, а вычислительный ресурс процессоров наполовину оказывается занятым нецелевыми вычислениями. Кроме того, при расширении числа выполняемых функций все программное обеспечение требует значительной переработки.
Задачей заявляемой группы изобретений является повышение уровня эксплуатационной надежности устройств железнодорожной автоматики с защитой от опасных отказов за счет сокращения объема программно-аппаратных средств.
Решение указанной задачи достигается тем, что:
в способе повышения уровня эксплуатационной надежности микропроцессорных систем железнодорожной автоматики с защитой от опасных отказов путем диагностирования микропроцессорных вычислителей посредством данных, поступающих с микропроцессорных вычислителей, в отличие от прототипа диагностику микропроцессорных вычислителей проводят по результату, определяемому посредством мажоритарного избирания данных, а при обнаружении неисправности микропроцессорного вычислителя на основании расхождения данных с результатом мажоритарного избирания производят защитное отключение отказавшего микропроцессорного вычислителя и реконфигурацию мажоритарного избирания в соответствии с числом оставшихся исправных микропроцессорных вычислителей;
- кроме того, мажоритарное избирание сигналов проводят по мажоритарному принципу «3 из 4», при этом при обнаружении неисправности микропроцессорного вычислителя производят его защитное выключение и реконфигурацию порядка мажоритарного избирания в соответствии с мажоритарным принципом «2 из 3».
Решение указанной задачи достигается также тем, что:
- устройство для повышения уровня эксплуатационной надежности микропроцессорных систем железнодорожной автоматики с защитой от опасных отказов, содержащее независимые микропроцессорные вычислители, подключенные через схему безопасности к исполнительному элементу, в отличие от прототипа схема безопасности содержит два блока мажоритарного избирания, установленные с возможностью реконфигурации мажоритарного избирания при неисправности микропроцессорного вычислителя в соответствии с числом исправных микропроцессорных вычислителей, при этом блоки мажоритарного избирания объединены между собой, а выход каждого микропроцессорного вычислителя подключен к одноименным входам блоков мажоритарного избирания.
- устройство содержит, по большей мере, четыре микропроцессорных вычислителя.
На чертеже представлена структурная схема устройства, обеспечивающего реализацию способа повышения уровня эксплуатационной надежности устройств железнодорожной автоматики с защитой от опасных отказов.
Устройство содержит, по большей мере, четыре функциональных микропроцессорных вычислителя (В1-В4) 1-4, два блока мажоритарного избирания (M1 и М2) 5 и 6, исполнительный элемент (Н) 7, оснащенный дополнительно датчиками, дающими информацию об управляющем сигнале. Выход каждого микропроцессорного вычислителя подключен к параллельно соединенным одноименным входам блоков мажоритарного избирания посредством шин Ш1-Ш4. Блоки мажоритарного избирания объединены между собой шиной Ш5, а также с исполнительный элементом 7, соответственно, шинами Ш6 и Ш7 для функций ввода/вывода управляющего воздействия.
Устройство работает следующим образом.
Сигналы с первичных датчиков поступают на микропроцессорные вычислители 1-4 и обрабатываются ими в соответствии с целевым алгоритмом. Тестирование микропроцессорных вычислителей в процессе их работы не производится. Каждый микропроцессорный вычислитель выдает сигнал на блоки мажоритарного избирания 5 и 6, построенные в соответствии с принципами функциональной безопасности и автоматически обеспечивающие свой переход в защитное отключение при возникновении внутренней неисправности или при собственном сбое и отказе в работе. Блоки мажоритарного избирания, согласовывая свою работу по шине Ш5, обеспечивают раздельное управление нагрузкой таким образом, что в любой заданный момент времени нагрузкой управляет один из них, получивший функцию управления. При начале работы функция управления определяется исходя из предустановки, впоследствии она может передаваться при возникновении сбоев таким образом, что передающий управление блок делает это автоматически в связи со своим сбоем. Принятие решений в блоках мажоритарного избирания строится при полностью исправной системе на основе мажоритарного принципа «3 из 4», то есть на основе принятия решения по трем совпадающим показаниям сигналов из четырех возможных, поступающих по шинам Ш1-Ш4 от микропроцессорных вычислителей 1-4. Контроль, в том числе и взаимный, работоспособности блоков мажоритарного избирания 5 и 6 как функция обладает устойчивостью к отказам, это выражено в том, что, помимо возможности определения факта работоспособности посредством обмена по Ш5, определение неисправности устанавливается на основе информации об управлении, которая поступает через установленный на исполнительном элементе датчик сигнала управления.
При отказах работа устройства сводится к следующему.
При отказе, возникающем в одном из микропроцессорных вычислителей, возможны два варианта реакции блоков мажоритарного резервирования на отказ.
Первый вариант (выраженный отказ). Блоки мажоритарного резервирования в состоянии диагностировать отказ микропроцессорного вычислителя. В этом случае оба блока мажоритарного резервирования исключают из функциональной обработки отказавший микропроцессорный вычислитель и поступающий от него сигнал. Производится внутренняя реконфигурация и перевод работы блоков в соответствие с мажоритарным принципом «2 из 3», то есть на основе принятия решения по двум совпадающим показаниям сигналов из трех возможных, поступающих по шинам от оставшихся трех работоспособных микропроцессорных вычислителей.
Второй вариант (скрытый отказ). Блоки мажоритарного резервирования не в состоянии диагностировать отказ микропроцессорного вычислителя. Это возможно в случае, когда нет функциональной зависимости между отказом и выходным сигналом, явно не проявляющимся при работе микропроцессорного вычислителя. Совместная работа блоков мажоритарного избирания продолжается по схеме «3 из 4», а отказ микропроцессорного вычислителя выявляется при глубоком тестировании системы, например, в депо по завершении очередного цикла функционирования.
При отказе, возникающем в одном из блоков мажоритарного избирания, данный блок переходит в состояние защитного отключения и не влияет далее на исправную работу другого блока и системы в целом.
Реализация заявленной группы изобретений при указанной схеме устройства, алгоритме функционирования и том же аппаратном ресурсе обеспечит показатели надежности существеннее выше показателей уровня надежности существующей структуры «2 по 2». Ожидаемые показатели, характеризующие отказоустойчивость, будут выше за счет:
- структуры информационных связей;
- минимизации количества элементов схемы всего устройства (по оценке это сокращает количество элементов, по меньшей мере, в 1,5 раза);
- использования упрощенного механизма защиты микропроцессорных вычислителей, что снижает требования к их производительности.
1. Способ повышения уровня эксплуатационной надежности микропроцессорных систем железнодорожной автоматики с защитой от опасных отказов, включающий мажоритарное избирание данных с помощью блоков мажоритарного избирания, отличающийся тем, что обработку данных проводят с помощью микропроцессорных вычислителей с последующим избиранием обработанных вычислителями данных по мажоритарному принципу, по меньшей мере, «2 из 3», причем при отказе какого-либо из блоков мажоритарного избирания блок переводят в состояние защитного отключения, а при отказе микропроцессорного вычислителя его переводят в состояние защитного отключения с последующей реконфигурацией мажоритарного избирания в соответствии с числом оставшихся исправных микропроцессорных вычислителей.
2. Способ по п.1, отличающийся тем, что мажоритарное избирание обработанных сигналов проводят по мажоритарному принципу «3 из 4», при этом обнаружение неисправности микропроцессорного вычислителя вызывает его перезапуск или защитное выключение и реконфигурацию мажоритарного избирания в соответствии с мажоритарным принципом «2 из 3».
3. Устройство для повышения уровня эксплуатационной надежности микропроцессорных систем железнодорожной автоматики с защитой от опасных отказов, содержащее независимые микропроцессорные вычислители, подключенные через схему безопасности к исполнительному элементу, отличающееся тем, что схема безопасности содержит два блока мажоритарного избирания с возможностью реконфигурации мажоритарного избирания при неисправности микропроцессорного вычислителя в соответствии с числом исправных микропроцессорных вычислителей, при этом блоки мажоритарного избирания объединены между собой, а выход каждого микропроцессорного вычислителя подключен к одноименным входам блоков мажоритарного избирания.
4. Устройство по п.3, отличающееся тем, что содержит, по большей мере, четыре микропроцессорных вычислителя.