摘 要：軌道交通信號系統的安全性直接影響到列車能否安全可靠并且高效地運行，為保證信號系統的安全性，必須對信號設備的安全計算機進行專門的選型與設計。對軌道交通系統中基于PowerQUICC處理器的信號設備安全計算機進行深入研究，在此基礎上，在軟硬件方面，設計與實現基于PowerQUICCII的多模安全計算機原理樣機，并進行功能性測試，為進一步開展信號設備安全計算機的研究奠定基礎。

關鍵詞：安全計算機；PowerPC；鐵路信號；軌道交通 在目前的工業控制計算機系統中，大多數都具備較高的可靠性。但是，由于通用電子元器件本身不具備故障狀態的不對稱性，則由其構成的電子計算機也不具有故障狀態的不對稱性，即不具備故障—安全特性。因此對于軌道交通運行控制領域，一旦計算機系統不能正常工作，有可能向被控設備輸出危險的控制信號，從而造成重大的人員傷亡和財產損失。軌道交通信號設備要求的是一種高可靠性、高安全性的故障—安全計算機控制系統。 1 安全計算機的體系結構 常見的安全計算機系統結構冗余方式，如雙機熱備、三取二表決、二取二表決、二取二乘二等，它們的安全性和可靠性指標已有很多文獻從理論上進行了論證，并且已經應用在多種軌道交通信號設備上，如車站計算機聯鎖系統和列車自動運行系統等。目前，采用雙機熱備形式的安全計算機應用比較廣泛，在雙機熱備的技術基礎上可以構建二取二乘二的結構，而兩者相比，后者明顯具有更高的安全性和可靠性。

如圖 1 所示，二取二乘二系統分為相互獨立的A 、B 兩個運算系，每系內均有兩個關系對等的主處理單元，每個主處理單元均能同時接收接口層的輸入信息。在信息處理與計算過程中，同一運算系內的兩個主處理單元通過診斷機制進行同步校驗，所有信息校驗無誤后軟件方可輸出動態碼型的控制信號給本系內的二取二表決模塊，表決一致才能夠輸出有效的控制信號。兩個運算系分別獨立地完成相同的任務，而由專門的主備切換單元判斷兩系的運行狀態是否正常，執行主備切換操作，并將主運算系的控制信號輸出給被控設備。 2 安全計算機設計 在這樣的多重冗余結構中，各單元間的通信接口需求較為復雜，通信任務較為繁重。同時，安全計算機軟件除了要完成正常功能任務，還要進行容錯與避錯處理。因此，選用PowerPC 處理器為核心，設計主處理單元以實現上述結構。 PowerPC 是IBM、Freescale（原Motorola半導體部）聯合研制的一種高性能超標量精簡指令集微處理器（RISC）體系結構。Freescale的PowerQUICC處理器集成PowerPC 內核和稱之為通信處理器模塊（CPM）的多協議加速引擎，提供了更高的性能和集成度。PowerQUICC處理器目前在中高端通信市場占據著領導地位，它具有集成度高、運算速度快、功耗較低、抗干擾能力強、性能穩定可靠、通信與網絡協議處理能力強大以及產品線完整等優點，適合應用于復雜系統的安全計算機。 PowerQUICCII（PQII）是該系列的第2代產品，由PQII 設計的單個主處理單元系統如圖2 所示。.

其中，PQII的高速64bit外部總線60xBus上連接了大容量的 S D R A M 內存和 F L A S H ，并且利用CPLD 擴展出了 CAN 總線接口邏輯和安全I/O 總線接口邏輯。必要時，60x 總線還能夠連接其他PQII 處理器以擴展利用更多的通信接口。此外，我們還利用PQII 內部的PCI 橋預留了外部 PCI 總線接口，以用于未來的功能擴展。在 C P M 上連接了異步串行RS-232接口、RS-422接口、10/100M以太網以及CPU調試控制端口（CONSOLE）。為了進一步提高系統的可靠性和安全性，主要的外部數據通信接口，包括CAN 總線、RS-232 總線、RS-422 總線以及10/100M 以太網均為雙套冗余設計。同時，系統還提供了看門狗定時器（W D T ）、工作電壓監測復位和實時時鐘（RTC）等功能。

圖3 中，安全計算機位于信號設備的安全處理與運算層，它除了雙重冗余的10/100MBaseT以太網用于同上位機進行通信外，系統中每個主處理單元均各自設計了2路RS-232 接口、2路RS-422接口、2 路CAN2.0 接口，它們預留作為與其他軌道交通信號系統的通信接口。 同一系內主處理單元之間的數據同步與校驗主要利用它們之間的雙口 RAM 來進行。使用 PQII 處理器60x 總線上的總線控制信號進行握手，能夠及時響應對雙口RAM 的操作，提高數據交換速度，并且避免兩個主處理單元同時存取雙口 R A M 時所造成的沖突。同時，同系主處理單元之間、A-B 兩系之間還應利用雙重以太網進行數據復核。 安全I/O 模塊專門用于控制和采集軌道交通信號設備的開關量信號，它具有動態信息碼處理能力，電路設計符合故障—安全特性。它的輸入和輸出通過表決后即可控制設備接口層的現場設備。PQII處理器通過由60x總線擴展的專用安全I/O總線來控制安全 I/O 模塊，這種總線對所輸出的數據和地址具有回讀校驗能力。 3 安全計算機軟件機制的設計 軌道交通運行控制系統大多是實時、多任務和安全苛求的計算機控制系統，美國WindRiver 公司的VxWorks 是微內核結構的多任務嵌入式實時操作系統（R T O S ），非常符合這種控制系統的要求。VxWorks 采用了中斷驅動和基于優先級的搶占式任務調度方式，擁有豐富的任務間通信與同步機制，例如共享內存、互斥、信號量、消息隊列、信號和管道等，它還提供了先進的內存保護機制和容錯管理框架。VxWorks 的可靠性和實時性在許多領域都得到了驗證，是目前優秀的多任務嵌入式實時操作系統之一。 VxWorks 的多任務機制非常靈活，例如使用taskSpawn（）函數即可發起一個新的任務。VxWorks擁有256 個任務優先級別，任務優先級的確定要綜合考慮任務的重要程度、運行時間以及觸發頻率等因素。對于安全計算機軟件來說，我們按照歐洲鐵路標準EN61508《電氣/電子/可編程電子安全相關系統的功能安全》的思路對其任務處理優先級規劃如下：安全苛求功能（SafetyCriticalFunction）運算處理應具有較高優先級，例如計算機聯鎖中的進路處理任務或道岔單操控制任務或列車自動防護中的制動速度曲線計算任務等；安全相關功能（Safety-relatedFunction）運算處理具有次高優先級，例如輸入信息采集任務或主處理單元間通信校驗任務等；非安全相關功能任務具有較低的優先級；而硬件中斷級任務，如通信中斷等應享有最高優先級，以保證其高度實時性。 4 結束語 軌道交通信號系統的核心是安全計算機，對它的研究具有重要的理論和實踐意義。本文介紹了安全計算機的研究現狀與構成方法，設計了基于Power-P C 的二取二乘二結構安全計算機，實現了主處理單元的VxWorks 底層驅動程序、BSP 以及演示級應用測試程序，并且進行了長時間的多任務負荷老化實驗，運行穩定可靠。下一步研究工作一方面是重點把PowerPC 主處理單元和輸入 / 輸出安全電路進一步按照模塊化要求進行改進，以適應不同冗余結構系統的設計需要；另一方面是利用現有平臺基礎，實現一種具有安全苛求功能需求的信號設備，開發相關安全軟件，建立仿真實驗平臺，以進一步驗證和改進本文提出的安全計算機軟硬件實現機制。 參考文獻： [1]徐洪澤，岳 強.車站信號計算機聯鎖控制系統原理與應用[M].北京：中國鐵道出版社，2005. [2]李海泉，李 剛.系統可靠性分析與設計[M].北京：科學出版社，2003. [3]周啟平，張 楊.VxWorks 下設備驅動程序及 BSP 開發指南[M].北京：中國電力出版社，2004. [4]馬連川，高倍力.一種高安全、容錯控制計算機的設計與實現[J].中國安全科學學報，2004（8）：101-105.