VPI型计算机联锁系统手册 卡斯柯信号有限公司
第三章
3.1 概述
联锁处理子系统
联锁处理子系统是VPI系统的核心。联锁处理子系统是由一个或多个机柜组成的双系热备系统,A系和B系无论是否同时启动,经过一定时间后能自动同步,当工作子系统发生故障,系统都可以自动切换至备用子系统;也可以通过机柜上的切换开关手动在双系之间进行切换;当系统正常工作时,一定周期后(由应用工程师在应用软件中定义)系统会自动切换一次。双系切换不影响系统正常工作。
3.2 联锁处理子系统硬件
3.2.1 概述
VPI联锁处理子系统硬件由一个或多个机柜组成,机柜中有一定数量的印制电路板、连接它们的线路,以及与其它设备交换信息的接口,印制电路板与软件结合完成联锁处理功能。
3.2.2 系统机箱
VPI系统包含一个以上的机箱。系统所能处理的扩展机箱最大数值取决于有多少安全型输入输出口及需要求解的方程式数量,系统的扩展是通过增设另一个机箱,将接口电路板和所需增加的输入/输出板插入该扩展的机箱、并用纽绞线将它与主机箱连接起来。VPI系统机箱高度为9U,扩展机箱高度为6U,也可兼容8U的机箱,宽19英寸,每层机箱有14个槽道,灵活及可扩展性好。
3.2.3 中央处理单元(VLE)
VLE板具有强大的功能,是整个联锁系统的安全核心之一。它执行各种与联锁相关的逻辑操作,包括输入输出地址,方程式求解和输出状态预校验;完成联锁处理子系统的安全型通信,与其余子系统的网络通信;将系统启动的信息及故障信息传送给系统维护子系统等。
每块VLE板上有四个网络口,联锁处理子系统通过这四个网络口接入冗余网络,实现与MMI子系统、GPC子系统和SDM子系统的信息交换。
- 9 -
VPI型计算机联锁系统手册 卡斯柯信号有限公司
VLE板上有四个高速安全通信口、及其它普通422串口、232串口和CAN口。对于每
个口都有相应的指示灯,通过这些指示灯的状态可以初步判断他们的工作状态。联锁处理子系统A、B机之间的安全型数据的通信由高速通信口完成。SDM子系统可通过串口读取联锁处理子系统CPU启动过程中的自检关键点信息,从而判断系统是否正常。系统正常工作时,不需要SDM的查询,联锁处理子系统自动把这些信息发送至SDM,当与SDM通信中断或SDM故障时,联锁处理子系统可以记录至少一天的系统报警和错误信息。
VLE板上的并行口是用来插软件检查块(俗称软件狗)的。进行仿真测试时,必须
在VLE板上安装上述的软件检查块后,VPI系统才能与仿真测试系统通信,确保联锁机的工作状态和仿真测试状态的身份鉴别正确。
VLE板上的芯片分为系统芯片和应用芯片。系统芯片中写入的是系统软件,系统软件包含VPI的操作系统、执行软件、仿真测试接口和诊断软件等。应用芯片中写入的是应用软件,应用软件是一套描述系统所应用的联锁逻辑功能的经过编码的应用数据结构(ADS),数据由CAA软件包生成。应用软件可以被应用工程师在规定的语法规则下任意编写,以满足不同联锁车站数据和联锁规则的要求。每个车站的应用软件是互不相同的,只要修改应用数据,就可以达到每个车站的联锁修改目的。每个车站的系统软件是不变的。
3.2.4 安全校验板(VPS)
VPS实际上是VPI系统动态的安全监视器,它与VLE板一起,构成VPI的安全检查核心。VPS在精确的周期间隔内接收一组经编码的校验信息,当且仅当校验信息正确,VPS输出一个安全的数字信号,该信号通过一个安全型的调谐波器,并用于驱动一个安全型继电器,在任何出错的条件下(硬件错误、噪声干扰等等)安全继电器均可靠切断VPI的安全电源输出。
VPS板产生能够动作一个100欧姆安全型继电器的输出电源,以满足联锁系统对VPI安全、高速切换的要求,VPS当且仅当由主处理系统送来的 “主校验字”的数据确实正确的情况下,VPS才能支持下一主周期的操作;另外,主处理系统根据系统全部的输出状态,每50MS产生一组证明各输出端口状态的再校验字,它们每50MS被送到VPS板一次,如果这些再校验字中的任一个不是完全的正确,VPS输出会关掉,使故障的VPI切出工作状态,自动转换到另一套VPI控制,保证外部继电器不会因原来控制输出的VPI故障而失磁落下。
- 10 -
VPI型计算机联锁系统手册 卡斯柯信号有限公司
3.2.5 输入输出总线接口板(I/OBUS1)
I/OBUS1板是VLE板和输入输出板交换信息的通道,I/OBUS1板为输入板的测试数据和输出板的端口校验数据提供存储空间;同时它也包含逻辑和时序电路,以控制输出端口的连续校验。I/OBUS1板功能如下:
? 采集输入板的状态; ? 控制输出板的输出; ? 传送输出口状态校验信息。
每块I/OBUS1板可以带2个输入输出机箱,每个VPI系统能配置6块I/OBUS1板。
3.2.6 输入输出总线接口缓冲板(I/OBE)
输入输出总线接口板(I/OBUS1)板采用差分驱动的方式与输入输出总线接口缓冲板(I/OBE)配合工作。I/OBE板主要实现差分接受及缓冲的功能。它与I/OBUS1板共同完成系统对输入输出的控制。每个输入输出机箱设置1块I/OBE板,每个I/O机箱可以放置13块I/O板。
3.2.7 安全型输入板(VIB)
VIB板又称安全输入板。每个安全输入板包含有16个安全输入口,安全输入板的电路使VPI系统能安全地检测每一个输入的状态。
16路输入每路输入均有一个LED指示灯,在输入接通时,指示灯亮。
每块输入板通过“签名”与数据总线相连。这个“签名”是通过在板上的插座插入一个编程插头生成的。当构成系统时,每个输入插口槽都分配到一个专用 的\签名\。如果一块输入板改变了,在该插槽新板上必须插入新的“签名”。该槽的正确“签名”列在模块的盖板上。
输入电路提供了一种能在输入的现场终端安全地读取直流电压并将它转换成一种主处理系统可以使用的形式。当且仅当电源加到输入时,这个输入电路才允许它的“真”或“接通”状态报告给主处理器(通过一个32位码字)。在这种方案中,所有电路的故障结果都被理解成“关”或“错”,这是一种较限制的条件。一块直流输入板的所有16位输入信息被一起采集进来,但在采集过程中,应用了特殊的防电磁干扰和防抖动设计方案,以保证采集电路的故障安全。另外,每一个采集端口都有其独特的编码,因此,当
- 11 -
VPI型计算机联锁系统手册 卡斯柯信号有限公司 输入接通时,结果得到的字,对于这个输入来说,所能采集到的码字是独一无二的。对一个关闭的输入口来说,读回的字全为零。
整个过程在主处理系统的通道2,使用一个不同的串行位流重复进行。
这个操作完成时,只有那些测得电流的输入才在两个通道里产生一个正确的32位字,被CPU用以求解方程。
每个输入和输出端口的间距,在印制电路板设计时都经过了详细的计算和测试,以确保满足AAR的抗干扰指标要求。
瞬时峰值电压小于2000V能量小于3.6瓦秒功率的瞬时电压不会损坏有瞬态保护的输入。
3.2.8 安全型输出板(VOB)
每块VOB8安全输出板包含8个安全输出口,VOB16安全输出板包含16个输出口,安全输出板的电路允许VPI系统能安全地确定每一个输出状态都符合联锁的当前逻辑条件。
每块输出板上都与输出端口对应地设置有指示灯。因为输出用在安全应用中,那么供电必须来自一个可以安全地切断的电源,这就是由安全校验板VPS控制的系统输出安全电源。每一块输出板被分配一块EPROM,其中包括板上各个输出口的独特数据,这些数据都同板的选址情况紧密相连并用来证明没有选址故障。它们也被安全校核电路用来验证输出状态。
3.3 联锁处理子系统软件
3.3.1 概述
VPI联锁处理子系统软件包括“系统软件”和“应用软件”。
3.3.2 系统软件
系统软件包含VPI的操作系统、执行软件、仿真测试接口和诊断软件等。这些软件构成了本系统的系统安全基础,不随具体应用环境而改变,即除非选用不同系列的VPI系统,否则每个站的系统软件都是相同的。
- 12 -
VPI型计算机联锁系统手册 卡斯柯信号有限公司 3.3.3 应用软件
应用软件是一套描述系统所应用的联锁逻辑功能的经过编码的应用数据结构(ADS),数据由CAA软件包生成。应用软件可以被应用工程师在规定的语法规则下任意编写,以满足不同联锁车站数据和联锁规则的要求。每个车站的应用软件是互不相同的。
应用软件还应包括仿真测试数据安全切出、切入设计。
系统软件和应用软件原则上应该放在不同的、能避免在线擦除或更改的存储媒介中,以利于系统软件和应用软件的管理。
应用软件的ADS版本应在CAA生成时产生版本标识,以便应用系统的软件版本校核。
3.4 联锁处理子系统的安全性和可靠性
3.4.1 故障安全设计
众所周知,当使用微处理器去执行与全继电器联锁相同的安全逻辑时,这些微处理器系统必须采用特殊措施,使这些微处理器产品具有“故障-安全”特性。VPI系统的专用安全技术,符合EN50126 、EN50128、EN50129等相关的国际安全标准。
VPI系统使用两个微处理器的方式来达到故障安全设计。两个微处理器并不是执行同一任务来实现故障──安全的照查,而是采用反应故障安全技术进行一步安全检查,这样的设计,有其避免相同微处理器之间共模故障的特殊考虑。
联锁系统使用处理器有以下几个优点:
计算机能力──处理器有在极短时间里完成成千上万次计算的能力。同时,它所要执行的任务容易随软件程序变化而变化的,而且对于硬件构造和接线的影响极小。 存储器容量──一可很容易地扩展存储器。
体积小──计算机联锁比全继电器联锁占据的空间要小,这就可能大大降低为联锁系统设备提供房子或继电器室的成本。
软件变化──能使用一种高水平、用户较为亲切的语言来改变软件。VPI的用户无需是一个计算机程序员,当然使用者必须熟悉与联锁相关的正确逻辑即联锁技术条件。
- 13 -