高速磁浮运控系统安全计算机

【技术开发单位】中国电子科技集团公司第三十二研究所

【技术简介】安全计算机实现高速磁浮交通运行控制系统安全控制和防护的通用安全计算机硬件设备（包括外部接口部件）和操作系统（基础软件），它是高速磁浮交通运行控制系统的核心设备之一，它具有高实时、高可靠、高安全和能适应恶劣环境条件等技术特性，是一种遵循“故障一安全”设计原则的信号安全控制设备。

安全计算机主要应用于高速磁浮交通运行控制系统的分区安全计算机（DSC）、分区传输计算机（DTC）、分区道岔计算机（DSM）、分区牵引切断计算机（DPS）、车载安全计算机1（VSC1）和车载安全计算机2（VSC2）的部件设备。

安全计算机应在规定的时间周期内对外部输入和内部状态变化作出安全响应。规定的时间周期由操作系统保证，其设计应满足对550km/h以上高速磁浮列车运行进行控制和安全防护的要求。

安全计算机采用模块化和结构化设计，其总体结构采用三取二冗余技术。所有输入信息均被同时传送给3台平行处理的计算机模块，3个相互独立确定的结果按“3取2”进行比较，只有在3台计算结果中至少有两个一样时，安全有关的输出命令才有效，当3台计算机中有1台失效时，整个计算机系统应不中断地连续工作。

高速磁浮运行控制系统安全计算机是典型的安全攸关系统，应具有最高的安全完整性等级（SIL4），其开发流程和质量管理参照欧洲电工标准化委员会CENELEC的相关标准，即参照EN50126定义的系统生命周期模型，按SIL4安全完整性等级的要求规范生命周期每个阶段的活动，遵循各阶段应采用的相关技术，编写文档化的系统生命周期所有阶段全部活动的证据。在进行安全验收和审批前，最终形成称之为安全例证（Safe Case）的全部证据的文档化卷宗。

安全计算机是基于中国电子科技集团公司第三十二研究所抗恶劣环境计算机技术及ReWorks实时操作系统技术开发的。操作系统的功能和性能与硬件系统相对应，安全完整度等级为SIL4。

【技术特点】

安全计算机技术水平达到国内领先，具有如下特点：

高可靠技术：有三个相对独立通道，它们高精度同步工作。对数据输入、中间运算结果、结果输出实现三取二同步、三取二比较。在实现同步时，设置时间窗，超时则指示同步失败；当其中1个通道故障时，另外2个通道继续工作，系统自动降级运行，不影响正常的行车及行车安全，同时向外报警，提醒工作人员进行维修。

通道隔离：每个通道所用由独立的供电模块提供，各通道间电气隔离。所有与外部的接口都与外部电气隔离，且独立的防护电路，可提高接口电路的抗ESD、抗浪涌能力；

抗恶劣环境：安全计算机经过严格的测试试验，其高低温试验，冲击试验、功能性随机振动试验的规格要求均高于铁路行业的标准；

带电插拔：发生故障时，只要把故障单元拆下，换上备用模块，新的模块即可正常工作，所有模块都支持带电热插拔功能，极大程度上便于系统维护；

高安全性：安全计算机的平均故障时间MTBF≥106h，平均危险侧输出间隔时间≥1011h， 系统利用率≥99.99%；

故障安全：与安全有关的接口与通道按“故障—安全”原则进行设计，系统中涉及行车安全的继电电路采用安全型继电器，具有实时监控能力，可采用动态输出/输入技术；

信息冗余：信采用编码冗余技术，保证了信息运算、存储和传输的安全，在安全计算机整个工作期间，周期性运行自检或互检程序来保证安全，在实时操作系统和应用中插入安全中间件，方便应用程序的开发。

锐华(ReWorks)在高速磁浮运控系统安全计算机的研制中，作为安全计算机的核心软件，ReWorks操作系统提供内部高速通信支持，完成故障监测、故障诊断和故障恢复等功能，保证了安全计算机“故障-安全”的设计理念的实现。

【技术指标】

实时性

安全计算机应在规定的时间周期内对外部输入和内部状态变化作出安全响应。规定的时间周期由操作系统保证，其设计应满足550km/h以上高速磁浮列车运行进行控制和安全防护的要求。

可靠性

应采用已有的成熟技术或产品，应不存在知识产权和国外禁运问题。应确保不因其自身单故障而直接导致列车停留在运行干线上。

采用清晰的模块化和结构化设计，其总体结构应采用三取二冗余技术。平均故障间隔时间（MTBF）以计算分析为依据，提出双方可接受的值。

通用性

安全计算机应为统一制式，通过裁剪既能满足车载运控VSC1和VSC2的应用要求，又能满足分区运控DTC、DSC、DSM、DPS的应用要求。

开放性

安全计算机的组件组合应能根据具体应用的外部接口需求进行裁剪。必须提供应用软件开发所需的辅助工具。

自诊断能力

安全计算机应具有对其所有组成组件、通道和接口的故障自诊断能力。应包括启动诊断、周期诊断和事件触发诊断等实时诊断技术。应具有故障信息保存、提示和发送功能。

故障-安全

当平台的任何部件或操作系统出现故障时其输出信号均应处于安全状态，万一平台被安全停机，其所有输出必须安全地切换到没有能量的状态。

【技术水平】国内领先

    【可应用领域和范围】轨道交通、核电设备

【专利状态】已取得专利3项

【技术状态】样品阶段

【合作方式】技术转让、产品销售

【投入需求】至少3000万

【转化周期】2年

【预期效益】近年来，随着全球能源、气候和环境的问题日益突出，航空、公路运输等交通方式遭遇前所未有的压力，各国政府转而寻求高效、节能和环保的运输方式—轨道交通。

由于我国人口密集，资源紧张，城市化发展非常迅速，大力发展轨道交通已成为既定国策。我国轨道交通发展迅速，安全计算机市场容量巨大。

我国轨道交通安全计算机主要依靠进口，价格昂贵，财力难以承受，在一定程度上限制了我国城市轨道交通规模的扩大。本研究成果可以提高我国安全计算机的国产化能力。

    【联系方式】倪  明  021-54260110-8002/13801626070