卡斯柯VPI系统手册V1[1].0.doc

1、 蚌赊边准脓狡铺悉壬辊夏摇碰朴窟棚置咳太晒溜坷淘攀袁稀伐密曹惮此阵南敛裁叫悬蔓紫键粳晒佑述娱晶淄洱孕写绰坑匣反且梢蒋锡羞坐岩技赘慕形参酞尧酮沦绞搅碉皖桶斗念矩暴叛熙咯炉卸荤逛菲膳符动赔妻巾瞩秃州弃咽卜育靶毗允鲍俘咖漳爪芥无恩模馅陡瞥禁潮耽吨腕向嚏吁瘫珠纯碌歇靶妇浑琵扇族裹予棒揖哥刁渣魂尝抿荆斑旧驱煎刺曾政恿甲较庸纠谰蔫榆斋赖侄乐霍姿舌贮奔枣索尿电迹盎抡淹彭陪鞭甄惶娜柔可旱爷铡窃炒阅啤朗杀诞晾焊喧骚俱帝韶肮酸乓庚蕊驼坊宝仙欧左众烬恳放布望庄望哨蕴倘母瘟敖浙称签花皆碘隙问卸霍碱削加赣椽梗聂铝咐觉疫醛露氏搔烈箔转辕 安全型计算机联锁（VPI）系统 系统手册

2、 ® 卡斯柯信号有限公司 CASCO SIGNAL LTD. 卡斯柯信号有限公司 公司网址： 总部 中国 上海肠予锥棘扶紊雇遗稗封篓忆鹰输置粤隶咕矮伺狭辩潭邀蔬蠢缘獭钒银瀑殿叭妆褂决猪垣爆总搞苯拐恋椒雕硅胁反徒馆同淮咯回枝洞舔硼鞘族妖姥食板责锯磷左挨妨澡户摔产陕山妓戌涕疟持双送维盂性狠咬汤衍郸痴辅奎味父谩郝嘲看壶并浓编孺迸睁堡卢于畴巨雷哺肯仔舟镜专杯便荆讽甲壮愈洪赐破曲半猾托辆祈迸宠婆览纶何罕趣罕孽寿莽锤拦会魁卑断倚峰倍拯擞墨你构

3、修妒英士职碴够陋蔼疯族焉恃恐徒巫卢睹板瑞因误懂推橙雌磐亥绣夏扫青牢将穿郴睦垣胞貉晓镁妨昌熏坪侄搁花箩雄弧碱硬瓢别鹿擒然搂谅湖蓬胶串养米摊涛茁硫玲充锈勺丁绕固炯孪蜜睬僵紧扑袁华戎兆禹败捎钻缉卡斯柯VPI系统手册V1[1].0椒仙跋宇息尽诀挡圣萄相抨窟民仔佬胃凭饰搓鸽析刽俩锰银错嫁挞绷阿压邱宫撅牟争箕攒菩概疽氏葵挣容妈未盅济示剔蔗庄慕通卵窜删仟潞吠贵瘫订逼急姻抒驱枚淋兑幅森栖源阅蹈力猪浊郝位实柱挖榷延笺岁扭徘毛何稳灰班耿侩熙簧粉越青刨凿颈机玉逸氨略蚀区组兑针墨姻谋呢寨谜娥炕匆原营周肘踢隋疗现时楚解辞辜豹叉配塑褥云刀枕埋缘泰呜兜番范巴亦球牲蝶膘淆屎彬币购茫曲教凭胖履仙潘扫废望扶缄增肪侈租纂耻疟宽捞救

4、贩妥果炬庞燕视胚刀渺喀菱劲拧橱佩启柔焚倡几肥灼座慑顺终艾希复亮邵矮撮振糜得卯摇跳庇韭沽牺彝盈框塌戎留即查巩辟搀宏蓟遏缀哭粳蕴掷逗擞偶祈 安全型计算机联锁（VPI）系统 系统手册 ® 卡斯柯信号有限公司 CASCO SIGNAL LTD. 卡斯柯信号有限公司 公司网址： 总部 中国 上海市天目中路428号凯旋门大厦27层C/D座 邮编：200070 电话：86 21 63

5、543654 传真：86 21 63542837 上海分部 中国 上海市西藏北路489号 邮编：200071 电话：86 21 56637080 路电：041 35775、35785 传真：86 21 56639223 卡斯柯售后服务中心（晏子峰） 中国 上海市西藏北路489号 邮编：200071 电话：86 21 5

6、6637080 路电：041 35765、35775 传真：86 21 56639223 电子邮件：service@ 目 录 第一章 概 述 2 第二章 安全型计算机联锁（VPI）系统结构 4 第三章 联锁处理子系统 9 第四章 人机界面子系统 18 第五章 系统维护子系统 22 第六章 环境、接地、电源和机柜结构 25 第一章 概 述 安全型计算机联锁（VPI）系统是一种“故障-安全”的、以微处理器为基础的车站联锁信号控制系统。该系统是中法合资卡斯柯信号有限公司从阿尔斯通信号（美国）公司引进，结合

7、中国铁路运营技术条件，经过二次开发而成的一种安全型计算机联锁产品。系统早在1991年11月19日就使用于中国广州铁路局广深线红海站，使得红海站成为中国铁路干线上第一个计算机联锁站。1991年12月27日，中国铁道部为红海站计算机联锁开通使用发布了“嘉奖令”。“嘉奖令”指出：“广深线红海站计算机联锁开通投入使用，开创了微机控制技术在干线车站上运用的先例。”“对保障铁路运输安全，提高铁路运输指挥自动化水平，对推动全路科技进步具有十分重要的意义。” 安全型计算机联锁系统的逻辑电路是由安全型逻辑组成的。能把传统的由继电器实现的联锁逻辑和控制逻辑“写”成一系列逻辑表达式（即布尔表达式），这些逻辑表达

8、式的正确实施是通过一个设计过程和原则来得到保证的。这个设计过程和原则被称之为“数字集成安全保证逻辑(NISAL－Numerically Integrated Safety Assurance Logic)”，这个“数字集成安全保证逻辑”确保联锁逻辑按要求实现，并使系统具有“故障-安全”特性。因此，安全型计算机联锁是从“有接点”到“无接点”的飞跃。 1993年4月10日安全型计算机联锁（VPI）系统通过了中国铁路通信信号总公司的技术鉴定，被授于“科学技术成果鉴定证书（[93]铁通技鉴字01号）”。 1998年12月，卡斯柯公司的安全型计算机联锁软件通过了铁道部计算机联锁软件测试中心的测试。

9、 铁道部对卡斯柯公司引进、消化、吸收国外先进的信号技术一直非常重视，提出了严格的要求，并给予大力的支持。1999年8月，安全型计算机联锁（VPI）系统通过了铁道部评审，成为铁道部指定的四家计算机联锁研制生产单位之一。 2000年5月，安全型计算机联锁（VPI）通过了铁道部产品质量监督检测中心关于防雷和电磁兼容的检测。其中，雷电防护性能达到A级，电磁兼容的各项检测指标全部合格。 2000年8月3日，安全型计算机联锁（VPI）系统在上海通过了铁道部技术鉴定，并颁发了“科学技术成果鉴定证书”（铁道部技鉴字[2000]第033号）。鉴定意见见附录。 2002年6月, 安全型计算机联锁（VPI）系

10、统标准站联锁软件通过了“铁道部铁路车站计算机联锁检测站”的制式测试。 2002年8月12日，安全型计算机联锁（VPI）系统获得铁道部颁布的“铁路车站计算机联锁设备制造特许证”。 安全型计算机联锁（VPI）是阿尔斯通信号（美国）公司的定型产品。从1986年起首先将VPI系统安装在美国芝加哥等车站，至今已安装的VPI分布于美国、英国（伦敦地铁）、荷兰、中国（含台湾省）、印度尼西亚、澳大利亚、韩国和西班牙等12个国家和地区。至1997年底，在世界各地共设计、安装了954个VPI系统（最大的VPI工程计有32个车站），总运行时间达16933080,000,000小时。安全型计算机联锁（VPI）的市

11、场占有率达到50%左右。 经过二次开发和硬件国产化，安全型计算机联锁（VPI）系统，实现了集联锁控制、微机监测、调度监督接口、DMIS入网接口、网络管理等模块为一体的目标。在这基础上，卡斯柯公司继续全力做好VPI系统的工程实施和售后服务工作，为推进我国铁路信号设备网络化、数字化、综合化而努力。 VPI系统在国内的业绩见附录。 第二章 安全型计算机联锁（VPI）系统结构 2.1 概述 随着信号技术向数字化、综合化和网络化方向发展，卡斯柯信号有限公司提供的计算机联锁系统，采用从ALSTOM引进的通过国际认证的核心安全技术，在网络结构上作了重大改进，在功能上进行了全面的适合

12、中国铁路运输要求的国产化开发，将系统功能合理分配到基于“安全通信和非安全通信”网络的人机接口(MMI)、联锁处理、系统维护等节点上，由每个功能节点来完成一种或多种功能，而每个功能节点就是一个完整的计算机系统，彼此通过冗余网络交换信息并协调运行。由于系统按模块化方案设计, 通用的硬件就能实现任何一种类型的联锁车站的配置。这种模块化的设计给系统扩展和升级带来了极大的方便。 计算机联锁系统通常采用大屏幕彩色显示器作为计算机联锁系统的人机界面的显示屏，操作员通过鼠标（或轨迹球）办理各种作业。彩色显示器显示站场图形，给出信号机、道岔及轨道电路等设备的状态。在操作中，系统还会给出明确的语音提示，方便车站

13、值班员有关作业情况和操作命令发布状态，减小误操作发生的概率。 VPI系统实现了软件标准化，硬件模块化，采用开放的系统结构，能与调度集中系统（CTC）、超速防护系统(ATP)、数字轨道电路等信号系统接口，并能与其它信息管理系统交换数据。 VPI系统联锁逻辑满足铁道部部颁标准TB1774-86《继电式电气集中联锁技术条件》和TB/T3027-2002《计算机联锁技术条件》的技术要求。 为了保证系统在各种恶劣的环境下能够长时间稳定可靠地工作，公司对系统设计、生产、测试、出厂等各个环节都有严格的要求，并且实施全程质量控制以确保系统的质量。同时卡斯柯公司有着良好的售后服务，让您在选择本公司的产品时

14、无后顾之忧。 VPI系统具有很高的可靠性，从人机界面（MMI）、网络系统、电源系统到联锁机等设备均按冗余设计，在主机发生故障的情况下，将自动无缝切换到备机工作。 VPI联锁机具有全面的自诊断功能。电务维修人员可以通过系统维护台查询错误信息，更换发生故障的模块或插件，在短时间内修复故障。同时，联锁机柜中的各种印制电路板上都设有表示灯，以便及时了解各印制板工作状态。 VPI的系统维护台用户界面友好，在线诊断直观，故障回放便捷，查询联锁运算参数方便，操作简单易学，以便具有中等文化水平的人员经短期培训后胜任VPI系统的日常维护工作。 2.2 系统结构 VPI系统分成五个部分： 1

15、 联锁处理子系统； 2. 人机界面子系统； 3. 网络及电源子系统； 4. 系统维护子系统； 5. 室内接口电路子系统。 VPI系统结构框图如下： 2.2.1 联锁处理子系统 联锁处理子系统是整个系统的核心部分，它由两套“反应故障安全”专用联锁机组成。联锁机采用双系热备的配置，包括双套VPI系统及其切换电路。每套VPI系统包括负责安全联锁运算的VLE板、负责系统安全校验的VPS板、负责联锁机与输入/输出板接口的I/OBUS1板和I/OBE板、以及安全型输入/输出板。主系统和备用系统间的切换电路可在不中断VPI工作的情况下进行

16、自动或手动切换。另外，在系统正常工作的情况下，建议系统每周切换一次，这样，有利于备系印制板带载工作，延长印制板的使用寿命。双系切换不影响系统正常工作。 2.2.2 人机界面子系统 人机界面子系统是VPI与用户之间的人机接口模块。通常情况下，MMI采用彩色显示器作为计算机联锁系统的人机交互界面，用来供信号员通过鼠标（轨迹球）办理各种作业，显示站场信号设备，给予明了的语音提示。运输人员的行车指挥命令通过VLE板的网口传递到VPI系统；现场轨道电路和道岔等信号设备的状态，通过安全型输入/输出板与VPI的VLE板接口，VPI系统接收到命令并采集到全站的信号设备状态信息后，进行联锁运算处理，处理

17、后的相应结果，如信号机的开放或关闭、轨道电路的占用或出清、道岔区段的解锁或锁闭等均在MMI上显示出来。 MMI工作于WIN 2000或更高版本的WINDOWS多任务操作系统，对每个车场，采用N+1热备工作方式，使用高可靠的工业控制计算机，通过高速网口与其它子系统交换信息。 2.2.3 网络及电源子系统 VPI系统采用基于高速交换机的以太网冗余网络结构，进一步加强了网络系统的可靠性。各通过网络通信的子系统均安装有两块以太网接口卡，将其接入冗余网络，一条网络故障，各子系统可以自动通过另一条网络通信，并在SDM子系统中提出故障诊断信息，便于及时维护。 为了保证联锁系统安全稳定工作，各

18、子系统的电源均由不间断电源UPS供电。VPI系统采用双UPS热备的冗余供电方式。来自电源屏的单相交流电经过二级单元防雷输入在线式UPS，UPS输出净化220V交流电，经过电源柜配电端子排供给VPI各子系统。 正常情况下，整个系统由UPSA供电，当UPSA不能正常工作时，电源切换电路自动切换至UPSB供电，当2个UPS均不能正常工作时，电源切换电路自动切换至由电源屏直接供电。当一个或两个UPS发生故障时，将同时在MMI和SDM上给出报警提示，并且UPS的工作状态，如电池供电还是外电源供电、电池工作是否正常等，能在SDM上方便查看。 电源切换不影响系统正常工作。 2.2.4系统维护子系统

19、 系统维护（SDM）模块作为计算机联锁的子系统，主要为计算机联锁完成系统维护及接口设备监测的功能。本模块包括一台工业控制计算机、一台彩色显示器、一台激光打印机、鼠标、键盘。作为联锁计算机系统的模块，它实现对VPI设备和接口设备的在线监视和记录，同时也可打印设备操作信息、日期和时间记录。根据顾客的要求，电务维护终端可以与信号维护支持网络联网，具有远程诊断功能。 2.2.5 室内接口电路子系统 本系统可与室外信号设备、区间闭塞设备、场间联系电路等设备接口。联锁机通过驱动普通安全型继电器和采集安全型继电器接点与继电电路接口，实现计算机联锁设备与现场设备的电路衔接和安全隔离。采集的信息为道

20、岔位置、轨道电路状态、信号机灯丝状态、场间联系条件等。由于VPI系统采用NISAL专利技术，计算机输出控制只需采用普通安全型继电器，不需要采用昂贵的动态继电器或动态组合电路，大大降低了室内接口电路的工程造价，也简化了接口电路结构，确保了输出驱动电路的安全性和可靠性，也降低了用户的维修成本。 2.3 与其它系统的接口 2.3.1 与买方设备的结合 计算机联锁系统能与买方提供的室外信号设备结合。这些室外设备包括：色灯信号机、电动转辙机、轨道电路、电缆等。 2.3.2 与调度监督系统的结合 计算机联锁与调度监督的联系参照TB/T 2307中6.2的规定和现场需要进行设计。

21、计算机联锁系统通过局域网直接与调度监督系统网络结合，其间采用“联网安全隔离器”进行网间的安全隔离。计算机联锁系统包括与调度监督系统车站终端的软、硬件接口。 调度监督系统网络、车站终端设备及调度监督的其它终端设备故障，不会影响计算机联锁系统的正常工作；调度监督系统如果和办公自动化系统、物流系统等联网接口，这些网络万一发生异常，也不会影响联锁系统的正常工作，更不会影响联锁机的安全运行。 2.3.3 与微机监测系统的结合 计算机联锁系统通过局域网直接与微机监测车站终端设备相结合，并与计算机联锁系统维护台构成二合一综合平台。计算机联锁系统包括与微机监测车站终端的软、硬件接口。 2.3

22、4 与道口信号结合 计算机联锁系统设备能够实现与道口的结合，站内道口技术条件符合GB10493-89的规定。计算机联锁系统将根据信号平面图布置情况给站内平交道口发出调车接近报警通知条件，给站内平交道口发出调车接近报警信号条件。 有两条以上线路的道口，调车接近通知将区别出调车所经线路和方向。 2.3.5 与其他系统的接口 VPI系统还可以预留与其他系统的接口，如ATS系统、DMIS系统等。可根据用户的需求决定系统的接口功能。 第三章 联锁处理子系统 3.1 概述 联锁处理子系统是VPI系统的核心。

23、联锁处理子系统是由一个或多个机柜组成的双系热备系统，A系和B系无论是否同时启动，经过一定时间后能自动同步，当工作子系统发生故障，系统都可以自动切换至备用子系统；也可以通过机柜上的切换开关手动在双系之间进行切换；当系统正常工作时，一定周期后（由应用工程师在应用软件中定义）系统会自动切换一次。双系切换不影响系统正常工作。 3.2 联锁处理子系统硬件 3.2.1 概述 VPI联锁处理子系统硬件由一个或多个机柜组成，机柜中有一定数量的印制电路板、连接它们的线路，以及与其它设备交换信息的接口，印制电路板与软件结合完成联锁处理功能。 3.2.2 系统机箱 VPI系统包含一个以上的机

24、箱。系统所能处理的扩展机箱最大数值取决于有多少安全型输入输出口及需要求解的方程式数量，系统的扩展是通过增设另一个机箱，将接口电路板和所需增加的输入/输出板插入该扩展的机箱、并用纽绞线将它与主机箱连接起来。VPI系统机箱高度为9U，扩展机箱高度为6U，也可兼容8U的机箱，宽19英寸，每层机箱有14个槽道，灵活及可扩展性好。 3.2.3 中央处理单元（VLE） VLE板具有强大的功能，是整个联锁系统的安全核心之一。它执行各种与联锁相关的逻辑操作，包括输入输出地址，方程式求解和输出状态预校验；完成联锁处理子系统的安全型通信，与其余子系统的网络通信；将系统启动的信息及故障信息传送给系统维护子

25、系统等。 每块VLE板上有四个网络口，联锁处理子系统通过这四个网络口接入冗余网络，实现与MMI子系统、GPC子系统和SDM子系统的信息交换。 VLE板上有四个高速安全通信口、及其它普通422串口、232串口和CAN口。对于每个口都有相应的指示灯，通过这些指示灯的状态可以初步判断他们的工作状态。联锁处理子系统A、B机之间的安全型数据的通信由高速通信口完成。SDM子系统可通过串口读取联锁处理子系统CPU启动过程中的自检关键点信息，从而判断系统是否正常。系统正常工作时，不需要SDM的查询，联锁处理子系统自动把这些信息发送至SDM，当与SDM通信中断或SDM故障时，联锁处理子系统可以记录至少一天

26、的系统报警和错误信息。 VLE板上的并行口是用来插软件检查块（俗称软件狗）的。进行仿真测试时，必须在VLE板上安装上述的软件检查块后，VPI系统才能与仿真测试系统通信，确保联锁机的工作状态和仿真测试状态的身份鉴别正确。 VLE板上的芯片分为系统芯片和应用芯片。系统芯片中写入的是系统软件，系统软件包含VPI的操作系统、执行软件、仿真测试接口和诊断软件等。应用芯片中写入的是应用软件，应用软件是一套描述系统所应用的联锁逻辑功能的经过编码的应用数据结构（ADS），数据由CAA软件包生成。应用软件可以被应用工程师在规定的语法规则下任意编写，以满足不同联锁车站数据和联锁规则的要求。每个车站的

27、应用软件是互不相同的，只要修改应用数据，就可以达到每个车站的联锁修改目的。每个车站的系统软件是不变的。 3.2.4 安全校验板（VPS） VPS实际上是VPI系统动态的安全监视器，它与VLE板一起，构成VPI的安全检查核心。VPS在精确的周期间隔内接收一组经编码的校验信息，当且仅当校验信息正确，VPS输出一个安全的数字信号，该信号通过一个安全型的调谐波器，并用于驱动一个安全型继电器，在任何出错的条件下（硬件错误、噪声干扰等等）安全继电器均可靠切断VPI的安全电源输出。 VPS板产生能够动作一个100欧姆安全型继电器的输出电源，以满足联锁系统对VPI安全、高速切换的要求，VP

28、S当且仅当由主处理系统送来的 “主校验字”的数据确实正确的情况下，VPS才能支持下一主周期的操作；另外，主处理系统根据系统全部的输出状态，每50MS产生一组证明各输出端口状态的再校验字，它们每50MS被送到VPS板一次，如果这些再校验字中的任一个不是完全的正确，VPS输出会关掉，使故障的VPI切出工作状态，自动转换到另一套VPI控制，保证外部继电器不会因原来控制输出的VPI故障而失磁落下。 3.2.5 输入输出总线接口板（I/OBUS1） I/OBUS1板是VLE板和输入输出板交换信息的通道，I/OBUS1板为输入板的测试数据和输出板的端口校验数据提供存储空间；同时它也包含逻辑和时序

29、电路，以控制输出端口的连续校验。I/OBUS1板功能如下： l 采集输入板的状态； l 控制输出板的输出； l 传送输出口状态校验信息。 每块I/OBUS1板可以带2个输入输出机箱，每个VPI系统能配置6块I/OBUS1板。 3.2.6 输入输出总线接口缓冲板（I/OBE） 输入输出总线接口板（I/OBUS1）板采用差分驱动的方式与输入输出总线接口缓冲板（I/OBE）配合工作。I/OBE板主要实现差分接受及缓冲的功能。它与I/OBUS1板共同完成系统对输入输出的控制。每个输入输出机箱设置1块I/OBE板，每个I/O机箱可以放置13块I/O板。 3.2.7 安全型输入板

30、VIB） VIB板又称安全输入板。每个安全输入板包含有16个安全输入口，安全输入板的电路使VPI系统能安全地检测每一个输入的状态。 16路输入每路输入均有一个LED指示灯，在输入接通时，指示灯亮。 每块输入板通过“签名”与数据总线相连。这个“签名”是通过在板上的插座插入一个编程插头生成的。当构成系统时,每个输入插口槽都分配到一个专用 的"签名"。如果一块输入板改变了，在该插槽新板上必须插入新的“签名”。该槽的正确“签名”列在模块的盖板上。 输入电路提供了一种能在输入的现场终端安全地读取直流电压并将它转换成一种主处理系统可以使用的形式。当且仅当电源加到输入时，这个输入电路才允许它的“真

31、或“接通”状态报告给主处理器(通过一个32位码字)。在这种方案中，所有电路的故障结果都被理解成“关”或“错”，这是一种较限制的条件。一块直流输入板的所有16位输入信息被一起采集进来，但在采集过程中，应用了特殊的防电磁干扰和防抖动设计方案，以保证采集电路的故障安全。另外，每一个采集端口都有其独特的编码，因此，当输入接通时，结果得到的字，对于这个输入来说，所能采集到的码字是独一无二的。对一个关闭的输入口来说，读回的字全为零。 整个过程在主处理系统的通道2，使用一个不同的串行位流重复进行。 这个操作完成时，只有那些测得电流的输入才在两个通道里产生一个正确的32位字，被CPU用以求解方程。 每

32、个输入和输出端口的间距，在印制电路板设计时都经过了详细的计算和测试，以确保满足AAR的抗干扰指标要求。 瞬时峰值电压小于2000V能量小于3.6瓦秒功率的瞬时电压不会损坏有瞬态保护的输入。 3.2.8 安全型输出板（VOB） 每块VOB8安全输出板包含8个安全输出口，VOB16安全输出板包含16个输出口，安全输出板的电路允许VPI系统能安全地确定每一个输出状态都符合联锁的当前逻辑条件。 每块输出板上都与输出端口对应地设置有指示灯。因为输出用在安全应用中，那么供电必须来自一个可以安全地切断的电源，这就是由安全校验板VPS控制的系统输出安全电源。每一块输出板被分配一块EPRO

33、M，其中包括板上各个输出口的独特数据，这些数据都同板的选址情况紧密相连并用来证明没有选址故障。它们也被安全校核电路用来验证输出状态。 3.3 联锁处理子系统软件 3.3.1 概述 VPI联锁处理子系统软件包括“系统软件”和“应用软件”。 3.3.2 系统软件 系统软件包含VPI的操作系统、执行软件、仿真测试接口和诊断软件等。这些软件构成了本系统的系统安全基础，不随具体应用环境而改变，即除非选用不同系列的VPI系统，否则每个站的系统软件都是相同的。 3.3.3 应用软件 应用软件是一套描述系统所应用的联锁逻辑功能的经过编码的应用数据结构（ADS），数据由CAA软件包生成

34、应用软件可以被应用工程师在规定的语法规则下任意编写，以满足不同联锁车站数据和联锁规则的要求。每个车站的应用软件是互不相同的。 应用软件还应包括仿真测试数据安全切出、切入设计。 系统软件和应用软件原则上应该放在不同的、能避免在线擦除或更改的存储媒介中，以利于系统软件和应用软件的管理。 应用软件的ADS版本应在CAA生成时产生版本标识，以便应用系统的软件版本校核。 3.4 联锁处理子系统的安全性和可靠性 3.4.1 故障安全设计 众所周知，当使用微处理器去执行与全继电器联锁相同的安全逻辑时，这些微处理器系统必须采用特殊措施，使这些微处理器产品具有“故障-安全”特性。VPI系统

35、的专用安全技术，符合EN50126 、EN50128、EN50129等相关的国际安全标准。 VPI系统使用两个微处理器的方式来达到故障安全设计。两个微处理器并不是执行同一任务来实现故障──安全的照查，而是采用反应故障安全技术进行一步安全检查，这样的设计，有其避免相同微处理器之间共模故障的特殊考虑。 联锁系统使用处理器有以下几个优点： 计算机能力──处理器有在极短时间里完成成千上万次计算的能力。同时，它所要执行的任务容易随软件程序变化而变化的，而且对于硬件构造和接线的影响极小。 存储器容量──一可很容易地扩展存储器。 体积小──计算机联锁比全继电器联锁占据的

36、空间要小，这就可能大大降低为联锁系统设备提供房子或继电器室的成本。 软件变化──能使用一种高水平、用户较为亲切的语言来改变软件。VPI的用户无需是一个计算机程序员，当然使用者必须熟悉与联锁相关的正确逻辑即联锁技术条件。 可用性冗余──当一个联锁越变越大时，使用一个处理器系统相对一个继电器的系统来说就有更大的成本优势，这不仅是从继电器室成本角度来看，而且包括每个单位I/O处理器系统成本的优势，因为处理器系统硬件核心不随I/O的变化而成比例地增加，这就使得考虑使用备用处理器硬件来改进系统可用性成为可能，使之超过现有的全继电器型系统。一个全继电器型系统冗余成本是令人望而却步的。

37、 3.4.2 热备工作原理 由于模块化设计，VPI系统有完整冗余系统的构造，它有两套独立的系统板和输入/输出板，和以之为基础的转换逻辑电路，并保证系统在切换时不丢失信息。当修改或扩展系统时，主系统仍然在工作，而备用系统被用来测试。在这里，需要说明的是，由于系统按动态冗余的原则设计，系统的主用和备用只是表明系统的工作状态，与设备的物理概念无关。主系统和备用系统分别执行同一工作，并经同步检查，确保主备系统同步工作，实现真正的热备冗余。安全输入的连接与同一接口继电器并行连接，安全输出参数（信号开放参数等）在系统切换时主备系统进行内部互相参照检查。安全输出与每个接口继电器两线圈中的一个线圈相连

38、接。但是只有主用系统能驱动接口继电器，而备用系统不能使接口继电器通电。 主备联锁机通过高速网络口与MMI系统连接，使得两个VPI系统都能接收到来自ＭＭＩ的控制命令。在一般情况下，MMI分别呼叫主备联锁机，如果此时，主备联锁机均正常工作，主备联锁机的VLE板能收到控制命令，命令在输入联锁机之前，进行表决，如果两个控制命令一致，则分别送入安全处理系统；如果不一致，则以主用联锁机所接收的命令为准；假如双机的同步表决通道通信中断，则以各自所接收的控制命令为准。在接收ＭＭＩ的控制命令的同时，主备联锁机将各自的表示送往ＭＭＩ，但ＭＭＩ将来自备用设备的表示信息过滤掉，只显示主用设备的状态，只有在必

39、要时，才能由人工选看备用设备状态。 只有当安全型、非安全型通信正常、手动切换程序、安全系统正常工作时，系统输出“联机正常”的继电器。 上面所述的“联机正常”，使联锁机的VRD接点构成双机切换的电路。双机切换逻辑由联锁机完成，当任何一个联锁机检查到VLE板、联锁机、手动切换没有启动，联锁机输出一个联锁机工作正常的继电器，表示系统已联机；当其中任何一个条件不满足，此继电器落下，表示联锁机脱机。转换电路是手动或自动完成切换。一旦一个系统被关闭(VPS断电)，备用系统自动接管联锁控制。备用系统也被构造成优先于自动操作的手动操作。由于备用系统是与主系统一致工作的，所以所有逻辑参数存储在两个系统里，并

40、同时更新，这样在转换时数据就不会丢失了。 3.4.3 联锁机的安全体系结构 按照欧洲铁路标准EN50129，对铁路安全电子系统推荐了三种故障-安全型设备的体系结构，简述如下： · “反应故障-安全”：这种体系的前提是由快速的故障检测和对任何危险失效进行避错来保证它的安全操作（例如通过编码、多版软件比较、或通过连续的测试）。也就是说它的控制和防护部分是完全独立。见下图： · “组合故障-安全”： 组合故障-安全系统有二取二、三取二等。使用这种技术时，每个安全性相关功能必须至少由两个部件执行，每个部件应当独立于其他的部件。只有当大多数部件一致时，才允许进行非

41、限制性行动。见下图： · “固有故障-安全”：这种技术是在假定单个部件所有可信的失效模式均无危险的情况下，允许一个安全性功能由一个单独部件来执行。固有故障-安全也可用在组合和反应故障-安全系统的某些功能中，例如，用来确保部件之间的独立性或如果检测到一个危险侧失效时来强制停止运转。 VPI是ALSTOM美国公司（原GRS公司）设计的专用于铁路信号联锁控制的专利产品，采用了多重故障-安全技术，获得了国际上的安全认证。 根据EN50129标准（在此之前为ORE A155建议）的定义，VPI综合运用了“反应故障-安全” 、“组合故障-安全”和“固有故障-安全”技术。 · 联锁机从

42、硬件上分通道1和通道2二部分进行联锁运算。对同一信号设备，在通道1和通道2中采用了独立相异的二组编码来表示，运行各自独立的软件，使联锁机从硬件到软件均构成二取二的“组合故障-安全”体系结构。 · 在联锁运算采用二取二模式的基础上，通道1和通道2每执行一行程序，均分别构成校核字的一部分被实时的送到以VPS板为核心的独立的安全防护（校验）部分进行校核，以监督系统完好，且每行程序均得到正确执行。VPS板还对各安全型输出端口进行实时动态校核（校核周期为50ms），确保防护电路能在系统可能发生错误输出之前即切断输出通道的电流，以实现故障-安全目的。在这里，VPI系统应用了“反应故障-安全”技术。 ·

43、 VPI系统中的VPS板、安全型输入、输出板以及安全型输出板中的AOCD元器件，均象安全型继电器一样具有“固有故障-安全”特性。 3.4.4 联锁机的冗余结构 VPI系统有基于模块化设计的完整的冗余系统的构造，它由两套独立的系统板和输入/输出板和以之为基础的转换逻辑电路构成，保证系统在切换时不丢失信息。由于系统按动态冗余的原则设计，系统的主用和备用只是表明系统的工作状态，与设备的物理概念无关。主系统和备用系统分别执行同一工作，经同步检查，确保主备系统同步工作，实现真正的热备冗余。 参照EN50129标准，VPI是具有部分“固有故障-安全”电路，既采用了二取二的“组合故障-安全”技术

44、又采用了“反应故障-安全”技术的综合安全系统。在此基础上，卡斯柯公司提供的VPI 系统是双套冗余热备的，这既满足了铁道部的技术要求，又提高了系统的可靠性和可用性。 VPI系统被设计成所有有源元器件加罩与外界隔离屏蔽，而设备又能永远通电，在固定的动态环境中，VPI系统可以在-20°C ~+60°C情况下工作。 安全型输入板由放浪涌保护电路提供瞬时保护。这个电路可以处理3.6瓦的瞬态电压，峰值电流为30A。改电路能为输出板端口在瞬态提供一条通路以使电路板上的其它部分免受损坏。 系统的安全性和可靠性满足下列指标： 双通道不可检出错误概率：5.43X10-20 系统不可检出

45、危险间隔：5.8X1010年； 平均故障间隔时间（MTBF）>15，000，000小时； 平均故障维护时间（MTTR）＝10分钟； 系统可用度＝1,000,000小时/（1,000,000小时＋10分钟）＝99.99998% 第四章 人机界面子系统 4.1 概述 本系统的人机界面模块亦称MMI子系统, 它采用高分辨率的彩色显示器作为系统的表示设备，车站值班员用鼠标进行操作，系统给与简洁明了的表示和语音提示。系统软件具有较强的稳固性，对用户的各种正常和非正常的操作有较强的识别能力，不会导致系统死机或表示混乱，对于非正常操作给予提示。 MMI完成以下功能：

46、 l 操作员发送控制命令和接收现场表示信息的接口； l 主MMI与其它热备MMI、SDM子系统、仿真测试系统等通过高速网络交换信息；MMI与仿真测试系统通信需要安插软件检查块，否则不能进入仿真测试状态。 l 完成非安全联锁逻辑功能（如选路判断、表示等）； l 对联锁电路进行脱机模拟试验。 MMI工作于WIN 2000或更高版本的WINDOWS多任务操作系统，采用N+1热备工作方式，使用高可靠的工业控制计算机，通过高速网口与其它子系统交换信息。 4.2 MMI界面描述 MMI界面由站场图、输入操作窗口、系统设备状态窗口、信息提示窗口、时钟窗口等部分组成。系统向用户提

47、供完善的汉字功能，在系统的画面显示、报警信息、操作提示、报警打印等方面均实现汉字输出，这更适合于国内用户的应用。主要内容如下： a. 信号设备布置模型; b. 主要操作表示; c. 信号机的状态表示; d. 道岔位置表示; e. 列车和调车进路的锁闭状态表示; f. 轨道及道岔区段的占用表示; g. 反映进路控制过程的其它必要表示; h. 区间闭塞状态的表示; i. 非进路调车、局部控制、平面溜放调车以及与其它系统联系的相应表示; j. 主要设备的报警; k. 其它必要的表示和报警。 4.2.1站场图窗口 显示一幅完整的车站信号平面图，背景建议为黑色。

48、 1 信号机及信号名称 l 信号机主要分为进站信号机、出发信号机和调车信号机等，除了进站信号机有两个灯位外，其余均只有一个灯位。 l 在正常情况下，进站信号机显示红灯；正线通过时，进站信号机显示绿灯；办理正线停车时，进站信号机显示单黄灯；办理侧线停车时，进站信号机显示双黄灯；办理引导时，进站信号机显示白灯和红灯。 l 在正常情况下，出发兼调车信号机显示灰色；开放列车信号显示绿灯；开放调车信号显示白灯。 l 在正常情况下，调车信号机显示灰色；开放时显示白灯。 l 信号机灯丝断丝时，闪光告警显示：进站信号机一灯丝断丝时显示“红闪”，二灯丝断丝时显示“红稳蓝闪”；出发兼调车信号机断丝时显

49、示“蓝闪”；调车信号机断丝时显示“蓝闪”。 2 道岔及道岔号 l 在定位时道岔名称为绿色，反位时道岔名称为黄色。 l 道岔的定位位置应与信号平面图上的开向一致，到道岔由定位转到反位后，开向应作相应改变。 l 道岔在四开位置时，岔尖处无显示，如果超过规定时间无表示，则认为该道岔挤岔，发出语音报警；道岔修复后，道岔显示正常开向，岔尖变为常态，该道岔恢复使用。 l 当道岔单锁时，该道岔号码显示红色，当道岔解锁时，该道岔号码显示黄色或绿色。 l 当办理咽喉道岔引导总锁时，全咽喉道岔锁闭，道岔号码显示红色；办理咽喉引导总锁恢复，全咽喉道岔解锁，其号码恢复绿色或者黄色。 3 轨道电路 l 在缺省状态下，轨道电路显示绿色光带，道岔区段光带显示道岔的开向。 l 一般来说，当区段占用时，轨道电路无条件显示红色光带；若无车占用，区段锁闭时，区段显示白色光带；当区段解锁时出现故障，显示绿光带。区段占用表示的等级优先于区段锁闭表示。 4 站间/场间联系表示 l 对于区间为自动闭塞的车站，在站场显示上对应于每个发车方向有接车方向表示（绿色箭头表示）和发车方向表示（绿色箭头表示），表示信息来自VPI。 l 对于区间为半自动闭塞的车站，在站场图上对应于每个发车方