1引言
1.1论文研究背景和意义
在城市交通与长途客运的众多交通方式中,轨道交通以其运量大、速度快、安全、高效等特点,得到了乘客与社会的认可。随着世界人口剧增、工业经济飞速发展,二氧化碳的排放量越来越大,世界气候面临着越来越严重的问题,节能减排成为了各个行业的主题与重点,轨道交通由于其节能、低碳的特点,在交通运输领域备受瞩目,同时也得到了更多的发展机会。目前轨道交通正处于高速发展的时期,越来越多的人开始选择轨道交通出行,这就需要提高列车速度、缩短发车间隔、提高运能以适应乘客的需求。列车控制系统的主要作用是对列车进行有效的控制,保证行车安全、提高运输效率,为了适应上述性能的提升,列车控制系统正向着数字化、网络化、自动化与智能化的方向发展,并越来越多的使用计算机实现系统中的功能。计算机控制的系统一旦不能正常工作,有可能向被控设备输出错误的控制信号,而列车控制系统的可靠与否又直接决定着列车的安全运行,因此列车控制系统中使用的计算机必须是基于故障-安全理念搭建的安全计算机平台。安全计算机平台是通过先进的计算机与电子技术实现的,随着计算机越来越广泛的应用于人们的生活,其可靠性方面的问题也逐渐显现出来。特别是在金融、石化、交通等安全昔求领域,如果计算机系统出现危险类的故障会导致重大的人身、财产损失,因此安全相关领域的计算机不仅应是高可用和高可靠的容错系统,更应该是故障-安全的系统。传统的系统开发流程由于每个开发环节相对孤立,从需求到实现的过程如出现错误就要从头修改,耗费大量资源、降低开发效率,而随着系统设计越来越复杂,传统的开发流程越来越力不从心。为了解决系统开发瓶颈,MathWorks公司提出了基于模型设计的系统开发理念。论文以安全计算机平台为研究对象,摸索基于模型的系统幵发流程与方法,并将其应用于安全计算机平台中部分功能模块的实现。
1.2安全标准及安全定义
保证安全是安全计算机平台的核心,因此平台必须严格依照相关的标准建立,符合标准的要求。这种标准即为安全相关标准。
1.2.1 安全标准
IEC 61508安全标准是为保护人体健康,生命和财产安全而制定的标准。IEC 61508是国际电工委员会发布的功能安全的基础标准,其全称为《电气/电子/可编程电子安全相关系统的功能安全》,它的发布解决了复杂安全系统功能安全保障的理论与实践问题,在业界引起强烈反响。它还实现了安全技术和管理理论的突破,其首次提出的安全完整性等级(SIL)也成为了各行业内合同的必备条款。IEC 61508作为指导性标准,很多安全相关领域的行业标准均是由其衍生的,如核电设备的IEC 61513、医疗设备的IEC 60601、机械设备的ISO 13849等。因此,选择IEC 61508作为建立安全计算机平台的标准,将会使平台具有更高的安全性和更广泛的适用性。IEC 61508标准的主要作用是安全管理,其技术理念贯穿于系统设计和开发的整个过程。从标准名称上看,其范围被限制在电气、电子、可编程电子的安全相关系统,但从原理上看,该标准适用于所有用于保证安全的系统。整个标准共分7个部分,其中第1部分?第4部分是基础的安全标准,包括一般要求、安全相关系统的要求、软件要求、定义和缩略语;第5部分?第7部分是信息部分,是使用前4部分时所需的信息和指导,包括确定安全完整性等级的方法示例、应用第2部分和第3部分的指南、技术和措施概述。IEC 61508于1998年和2010年发布过两个版本,2010年新版的IEC 61508较之旧版增加了一些规范的要求、修订了一些术语的定义,使标准更加严谨,同时也使整个生命周期的规范和要求更加完善。在铁路行业,欧洲电气化标准委员会(CENELEC)下属的SC9XA委员会,根据IEC 61508标准制定了以计算机控制的信号系统作为对象的铁道信号标准,包括EN-50126 (铁路应用:可靠性、可用性、可维护性和安全性(RAMS)规范和说明);EN-50129 (铁路应用:安全相关电子系统);EN-50128 (铁路应用:铁路控制和防护系统的软件);EN-50159-1 (铁路应用:通信、信号和处理系统)[1,2]。由此可见,选择IEC 61508作为建立安全计算机平台的标准不仅具备了广泛的适用性,而且还非常符合铁路行业的具体应用要求。
2基于IEC 61508的FTSM结构设计
FTSM作为安全计算机平台执行诊断功能的子系统,其结构的设计离不开安全计算机平台的功能要求,而安全计算机平台的功能要求离不开具体的应用环境。在轨道交通领域,列车控制系统中涉及控车的设备是安全要求最高的,要达到IEC61508中定义的SIL4级,在此,我们认为安全计算机平台将用于某项控车相关的功能,需满足SIL4级要求。根据IEC 61508的定义,安全完整性分为随机硬件安全完整性和系统安全完整性,而系统安全完整性主要是由管理和规程保证。由于本文目的是设计满足安全要求的硬件结构,不涉及系统管理等方面,因此,下文提到的SIL要求特指随机硬件安全完整性方面的要求,而系统安全完整性方面暂不予讨论。
2.1安全计算机平台结构分析
安全计算机平台的整体结构如图2-1所示,它由通信控制器(Communication Controller, CO和主机两部分组成,CC由于仅负责平台与外部的通信任务,不参与逻辑运算,对平台的安全性影响较小,因此选择了两台CC组成双机热备(2-out-of-2,2oo2)结构,提高数据传输的可用性。主机是安全计算机平台的核心,由处理单元(ProcessingUnit,PU)和容错安全管理单元(Fault Tolerant and SafetyManagement, FTSM)组成,PU用于平台的功能性工作,负责复杂的运算,因此选择四台PU组成两个二取二(l-out-of-2,loo2)结构,以提高运算结果的正确性;而FTSM的作用是监视和管理PU,提高其诊断覆盖率是保证整个安全计算机平台安全工作的基础,在一个安全计算机平台中需要两个FTSM,分别管控一组PU机。为了提高其自身的安全性,也为了提高整个平台的安全性,2.2节将根据2.1节的分析结果,对FTSM的结构进行设计。
3 基于模型的FTSM实现........ 25
3.1 UART .......27
3.1.1 UART发送模块....... 28
3.1.2 UART接收模块....... 29
3.2数据比较模块 .......32
13.3 CRC校验模块....... 33
3.4 CRC编码模块....... 35
3.5 FTSM状态机模块....... 36
3.6 移位输出模块....... 43
3.7 FTSM的总体模型....... 44
3.8本章小结 .......45
4 FTSM的仿真与实验....... 46
4.1基于模型的FPGA仿真....... 46
4.1.1 UART功能的仿真....... 47
4.1.2 CRC功能的仿真....... 48
4.1.3数据比较功能的仿真....... 49
4.1.4 FTSM状态机功能的仿真....... 51
4.2基于安全计算机测试平台的功能实验....... 54
4.2.1 FPGA板的功能实验....... 55
4.2.2 FTSM 二取二结构的实验....... 57
4.3本章小结 .......57
5 结论与展望....... 58
结论
轨道交通的快速发展使得列车控制系统对相关计算机设备的安全性要求越来越高。根据IEC 61508标准的推导和计算可知,使用容错安全管理单元(FaultTolerant and Safety Management, FTSM)和现货供应商品(CommercialOff-The-Shelf,COTS)计算机组成的安全计算机平台可以满足列控系统SIL4级的要求。通过IEC 61508标准确定安全计算机平台的结构还可以在保证安全的前提下使结构最为简单,提高了经济性与易实现性。为适应越来越复杂的系统开发,并在设计过程中避免引入不必要的人为错误,本文使用基于模型的方法将FTSM在FPGA上进行实现,通过Modelsim对自动生成代码的仿真,以及最后的平台实验可知,使用基于模型的方法幵发FPGA是完全可行的。论文所做的重要工作包括以下几个方面:
(1)通过IEC 61508标准的分析,建立安全计算机平台的可靠性框图模型,明确了 FTSM在安全计算机平台中的作用。
(2)使用PDS方法计算安全计算机平台的可靠性参数,得到loo2结构是使安全计算机平台达到SIL4级的最简FTSM结构。
(3)通过功能分析将FTSM模块化,并用Simulink对各个模块建模。模块包括TxD模块、RxD模块、CRC校验模块、数据比较模块、CRC编码模块、FTSM状态机模块、移位输出模块。
(4)对FTSM模型进行联合仿真,验证模块能否满足功能需求。由最终的仿真结果可知,所建模型能很好的完成预期功能。
(5)将FTSM接入安全计算机平台进行硬件级实验,确保整个设计的可用性与安全性。由硬件实验结果可知,实现的loo2结构FTSM符合设计要求。
参考文献
[1]林福栋.基于COTS和软件差异性的双机热备平台的设计与实现[硕士学位论文].北京.北京交通大学.2011.
[2]陈光辉,马樟平,张军.CMMI+SAFE研究及在产品开发中的应用[J].铁道通信信号.2009.5.51-56.
[3] IEC-61508.Functional safety of electrical/electronic/programmable electronic safety-relatedsystems[S].2010.
[4]史学玲,孟邹清,邓意.如何理解安全完整性与SIL等级[J].仪器仪表标准化与计量.2006.6.10-12,19
[5]薛维清.磁浮列车运行控制系统设计及其核心部件研制[硕士学位论文].北京.北京交通大学.2006
[6]张倩.基于可编程逻辑的硬件平台的设计与形式化验证[硕士学位论文].北京.北京交通大学.2009.
[7]刘杰.基于模型的设计及其嵌入式实现[M].北京.北京航空航天大学出版社.2010.
[8]刘杰.基于模型的设计一Qsys篇[M].北京.机械工业出版社.2012.
[9]张威.Stateflow逻辑系统建模[M].西安:西安电子科技大学出版社,2007.
[10]SINERPDS METHOD HANDBOOK[DB/OL].2010.