CÁC CẤU TRÚC AN TOÀN CỦA MỘT HỆ THỐNG ĐIỆN KHÍ TẬP TRUNG VI XỬ LÝ GA TS. NGUYỄN DUY VIỆT Bộ môn Tín hiệu giao thông Khoa Điện - Điện tử Trường Đại học Giao thông Vận tải Tóm tắt: Tồn tại các dạng cấu trúc an toàn khác nhau thực hiện phản ánh các phương pháp đã nêu tại bài báo “Những nguyên tắc xây dựng hệ thống” (hình 2) [2] - Sơ đồ cấu trúc phân cấp các phương pháp đảm bảo an toàn các hệ thống vi xử lý. Xem xét, phân tích một số cấu trúc an toàn cơ bản được sử dụng phổ biến cho các hệ thống tự động và điều khiển từ xa sẽ làm cơ sở cho công tác lựa chọn, đánh giá và phát triển cấu trúc hệ thống điều khiển tín hiệu cho ga đang được xây dựng ở Việt Nam hiện nay. Summary: There are some different safety structures which reflect the methods mentioned in the article “Principles of forming a system” (figure 2) [2]_ A structural diagram arranging safety insurance approaches for microprocessor systems. Considering and analyzing some typical safety structures commonly used for automatic and remote control systems would serve as the basis for selection, assessment and devolopment of a signal control system structure for railway stations under construction in Viet Nam today. CT DT Cấu trúc hệ thống từ đơn giản đến phức tạp đều có ý nghĩa khi sử dụng trên quan điểm đảm bảo an toàn cho hệ thống, yêu cầu và điều kiện thực hiện. Mỗi cấu trúc đều là những ý tưởng đảm bảo an toàn, chúng đều có cả ưu điểm và tồn tại. Hệ thống một kênh với một chương trình (hình 1) có thể được áp dụng ở các loại hình hệ thống kiểm tra toàn bộ bằng máy tính với sự trợ giúp của thiết bị tự giám sát kiểm tra bên trong (TGKT) cùng các đầu ra an toàn của sơ đồ (RAS) để nối mạch các đối tượng điều khiển (ĐTĐ). Khi xuất hiện trở ngại, TGKT sẽ hình thành tín hiệu Y. Nhờ tín hiệu Y này, hệ thống có thể chuyển sang trạng thái được bảo vệ: đầu vào được ngắt nguồn hoặc các đầu ra Z được ngắt ra khỏi các đối tượng điều khiển nhờ RAS. Sự an toàn của cấu trúc này phụ thuộc vào hiệu quả của các phương pháp tự kiểm tra. Các chương trình phần mềm cần phải được lặp lại thường xuyên. Chương trình ứng dụng không được có lỗi khi có tải (khi làm việc có đối tượng). Hình 1. Sơ đồ cấu trúc với hệ thống một kênh với một chương trình Z X ĐTĐ Máy tính ∅ RAS Y TGKT DT2 Z 1 Máy tính CT1 CT2 SSA Z 2 ĐTĐ X Z Máy tính 2 RAS ĐTĐ X Y W Máy tính 1 Hình 2. Sơ đồ cấu trúc với hệ thống một kênh với hai chương trình Máy tính 1 X Máy tính 2 SSA Z 2 Z 1 ĐTĐ Hệ thống một kênh với chương trình kép (hình 2) sử dụng hai chương trình độc lập, riêng biệt để thực hiện chỉ một chức năng. Kết quả thực hiện của các chương trình tương ứng là Z1 và Z2 được so sánh bằng sơ đồ so sánh an toàn bên ngoài (SSA). Mức độ an toàn của kiểu cấu trúc này phụ thuộc vào mức độ khác biệt của hai chương trình và khoảng thời gian xử lý (lưu thông) số liệu. Để thu được kết quả tốt nhất, các chương trình được viết ở các nhóm lập trình khác nhau, theo các thuật toán hoặc chương trình cơ sở (ngôn ngữ lập trình) khác nhau. Hệ thống kép với mức độ ghép (quan hệ) yếu (hình 3) được cấu tạo từ hai máy tính, hai máy tính này có thể có các bộ vi xử lý và chương trình không như nhau. Bộ vi xử lý của máy tính 1 thực hiện các phép tính cơ bản, còn máy tính 2 thực hiện kiểm tra các phép tính này. Để có được điều đó cần thực hiện trao đổi thông tin giữa các máy tính theo đường dẫn W. Sự đồng bộ các kênh cũng không nhất thiết cần có. Kiểm tra sự làm việc của máy tính 1 được thực hiện nhờ chương trình (phần mềm ứng dụng) tính toán song song và so sánh các kết quả. Khi phát hiện ra lỗi, máy tính 2 hình thành tín hiệu Y và đầu ra của máy tính 1 được ngắt ra khỏi các đối tượng điều khiển ĐTĐ. Hình 3. Sơ đồ cấu trúc với hệ thống kép với quan hệ yếu Hình 4. Sơ đồ cấu trúc với hệ thống kép với quan hệ trung bình W 2 W 1 Máy tính 1 X Máy tính 2 Z 1 Hệ thống kép với mức độ ghép (quan hệ) vừa (hình 4) gồm hai máy tính giống nhau và cùng hai chương trình như nhau. Sự làm việc của hai kênh được đồng bộ. Các kết quả xử lý thông tin được so sánh ở các đầu ra Z1 và Z2 nhờ sơ đồ so sánh an toàn bên ngoài SSA. Đây là một trong các cấu trúc an toàn được phổ biến hơn cả trong thực tế. Bội số nhỏ nhất của các trở ngại không được phát hiện ở chúng bằng hai – mỗi một trở ngại ở một máy tính chúng làm biến dạng như nhau các tín hiệu đầu ra Z1 và Z2. Các chương trình (phần mềm) ứng dụng cần được giải phóng khỏi các lỗi khi có tải. Các lỗi riêng lẻ không nguy hiểm. Các lỗi tồn tại ngắn và độc lập có thể không tính đến nếu như thời gian phát hiện nó đủ nhỏ. SSA2 Z 2 SSA1 ĐTĐ Hình 5. Sơ đồ cấu trúc với hệ thống kép với quan hệ chặt CT DT W 2 W 1 Máy tính 1 X Máy tính 2 SSA2 ĐTĐ Z 1 Z 2 SSA1 PTG PTK Hình 6. Sơ đồ cấu trúc với hệ thống kép với phép kiểm tra Z 1 W 2 W 1 TKT1 X Máy tính 2 SSA Z 2 TKT3 TKT 2 Máy tính 1 Y Y ĐTĐ Hình 8. Sơ đồ cấu trúc của hệ thống kép ba lấy đa số X ĐTĐ Z 2 Máy tính 1 Máy tính 2 Máy tính 3 Z 1 PAĐ Z 3 Trong hệ thống kép với việc ghép (quan hệ) chặt (hình 5) sử dụng hai chương trình như nhau ở hai máy tính giống nhau nhưng phân biệt với trường hợp trước là việc kiểm tra được thực hiện không chỉ ở mức độ các đầu ra mà còn ở mức các đường dẫn và bộ nhớ. Sự làm việc của hai kênh được đồng bộ. Trường hợp có hiệu quả hơn cả là thực hiện kiểm tra theo xung nhịp sự trùng khớp các tín hiệu W1 và W2 tại các điểm kiểm tra bên trong nhờ sơ đồ so sánh an toàn SSA1. Khi xuất hiện các lỗi, tín hiệu Y tác động lên sơ đồ so sánh an toàn SSA2 và ngắt mạch các đối tượng điều khiển ĐTĐ cũng như chuyển hai kênh sang trạng thái bảo vệ theo đầu vào ∅. Cấu trúc này có mức độ an toàn cao. Vấn đề có thể đặt ra trong cấu trúc này là các lỗi chương trình như nhau ở các kênh. Trong hệ thống kép với việc kiểm tra và ghép chặt (hình 6) là có thêm sự bổ sung so với sơ đồ trước bộ phát kiểm tra (thử) PKT và bộ phân chia thời gian (chuyển mạch) (PTG). Chúng được sử dụng nếu như tập hợp tác động đầu vào X không đảm bảo “độ sâu” của việc kiểm tra các kênh xử lý thông tin. Trong trường hợp này quá trình làm việc theo chức năng được phân chia theo thời gian. Trong các khoảng thời gian này, nhờ bộ phân chia thời gian PTG, các tín hiệu X được ngắt khỏi các đầu vào của hệ thống và sau đó được nối với bộ phát kiểm tra (thử). Các kết quả kiểm tra ở hai kênh được so sánh ở khối SSA1. Khi phát hiện lỗi, hệ thống được chuyển sang trạng thái được bảo vệ. Nguyên tắc này được sử dụng khi mà hệ thống có phần lớn thời gian thực hiện chức năng ở chế độ đợi (khi đó các tín hiệu X không đổi trong thời gian dài). Hình 8. Sơ đồ cấu trúc của hệ thống kép ba lấy đa số Hệ thống kép tự kiểm tra (hình 7) gồm hai kênh được xây dựng ở dạng thiết bị tự kiểm tra. Các tín hiệu kiểm tra W1 và W2 được hình thành bởi các thiết bị tự kiểm tra trong TKT1, TKT2 và được so sánh bởi TKT3. Cuối cùng tín hiệu lỗi Y được tạo ra. Bội số nhỏ nhất của các lỗi không được phát hiện là bốn, hai cho mỗi kênh. Chúng không được phát hiện bởi các TKT và tương tự như các biến dạng các tín hiệu đầu ra Z1 và Z2. Tự kiểm tra các kênh có thể bằng các thiết bị phần cứng hoặc phần mềm (chương trình). Có thể sử dụng các chương trình độc lập cho mỗi bộ vi xử lý. Hệ thống kép ba lấy đa số (hình 8) có ba kênh xử lý thông tin độc lập nhau. Sự làm việc của các kênh được đồng bộ và được so sánh nhờ phần tử an toàn đa số PAĐ. Cấu trúc này giống như cấu trúc hình 4, nó được sử dụng nhiều hơn cả. Độ an toàn của sơ đồ kép ba này cũng như của sơ đồ kép đôi nhưng độ tin cậy ổn định hơn. DT2 T2 T1 MP1 MP1 FN SSA T MP1 MP1 MP1 MP1 MP1 Máy tính 1 MP1 MP1 KN Máy tính 2 T1 T2 Hình 9. Sơ đồ cấu trúc của vi xử lý an toàn khối SIMIS Các cấu trúc và nguyên tắc xây dựng hệ thống an toàn được kể ra ở trên luôn được sử dụng trong sự phối hợp và bổ xung cho nhau. Các cấu trúc gốc (cơ bản) thường là các hệ thống kép đôi (hình 4) và hệ thống kép ba (hình 8). Xem xét cấu trúc hai kênh với các mối quan hệ tín hiệu an toàn của khối vi xử lý loại SIMIS của hãng SIEMENS (Đức) (hình 9). Cấu trúc này gồm hai máy tính tương đồng với bộ phát nhịp chung PN làm việc trong các điều kiện đồng bộ cứng, thiết bị so sánh an toàn SSA và khối nguồn KN. An toàn của khối SIMIS được dựa trên cơ sở kiểm tra liên tục sự trùng khớp các kết quả xử lý thông tin của các thanh số liệu, địa chỉ và điều khiển của cả hai máy tính. Các chương trình kiểm tra (thử) không có sự ưu tiên và khởi động trong thời điểm giữa các chương trình cơ bản. Trong khoảng thời gian cho trước để phát hiện lỗi, các chương trình kiểm tra đảm bảo đưa ra ở các đầu ra khối SSA gồm tất cả các ngăn nhớ các kết quả thực hiện chức năng của vi xử lý loại Intel 8080. Trong khối SIMIS sử dụng thiết bị đo sơ đồ so sánh an toàn SSA (hình 10). Mỗi cặp bit so sánh D1i và D2i đảm bảo mở bộ khuyếch đại trên cơ sở các tranzito T1-Tn được cấp nguồn qua cầu điôt từ các đầu ra thuận và đảo của trigơ D. Sau cùng các thanh ghi đệm số liệu được hình thành, đến các thanh ghi này là các trạng thái tức thời của thanh số liệu hoặc các tín hiệu ra được tạo ra từ máy tính. Khi không có sự trùng nhau của các bit kiểm tra, bộ khuyếch đại không hình thành tín hiệu kiểm tra TK, trong trường hợp này không cho phép hình thành các xung nhịp tuần tự N1 và N2 của thiết bị phát nhịp FN (hình 9). Khối SIMIS khi đó hoặc khởi động lại để nhằm mục đích kiểm tra, hoặc được ngắt mạch. Các thiết bị đầu tiên được xây dựng trên cơ sở khối SIMIS, ban đầu được áp dụng trên các đường sắt của Đức từ những năm 80. Chẳng hạn như việc xây dựng các hệ thống tập trung điện khí trên cơ sở vi xử lý (TĐKV) dùng để khai thác trên tuyến đường sắt đô thị Frankfurt đến Main (năm 1986) và trên tuyến cao tốc Mangeim – Stutgart (năm 1988). Tại Nhật bản sử dụng cấu trúc hai kênh của hệ thống vi xử lý an toàn μSMILE (hình 11). CT DT Hình 10. Sơ đồ bộ đo của khối SIMIS Hình 11. Sơ đồ cấu trúc hệ thống μ SMILE Hai bộ xử lý của máy tính làm việc theo cùng một chương trình được đồng bộ bởi một bộ phát chủ. Các số liệu được truyền theo các thanh dẫn bên trong IB được so sánh ở mỗi chu kỳ nhờ sơ đồ đo an toàn tác động nhanh FSC. Bình thường sơ đồ đo hình thành ở đầu ra các tín hiệu xung, qua bộ khuếch đại AMP và bộ nắn RF nối mạch cho rơle dòng một chiều R. Khi hai bộ xử lý không có sự làm việc tương ứng, đầu ra của sơ đồ đo không cho ra tín hiệu, rơle R được ngắt mạch và ngắt mạch cấp nguồn của các sơ đồ ra FOC. Cuối cùng ở các sơ đồ AND an toàn (thực hiện phép VÀ) so sánh các tín hiệu ra cùng loại như nhau của các bộ xử lý trên các thanh IB và hình thành các tín hiệu đầu ra của hệ thống Z. Nếu như các tín hiệu đầu ra của các bộ xử lý không trùng nhau hoặc có sự không toàn vẹn của chính sơ đồ FOC, sơ đồ cuối cùng chuyển về trạng thái được bảo vệ, ngắt mạch các đầu ra Z. Sơ đồ đầu vào INC có cấu trúc dự phòng và sự an toàn của nó được đảm bảo bằng phương pháp chẩn đoán chương trình. Cấu trúc ba kênh của hệ thống vi xử lý an toàn SMILE (Nhật bản) (hình 12) được xây dựng theo sơ đồ dự phòng kép ba với việc nối mạch đến các kênh thông tin ba bộ vi xử lý của CPU của các khối đa số MVR (biểu quyết lấy đa số). Thiết bị đồng bộ WDT với dự phòng kép ba đảm bảo sự làm việc đồng bộ của các bộ vi xử lý. Các thông tin được truyền theo các thanh ở mỗi sự lưu thông đến các thiết bị nhớ động RAM và các thiết bị nhớ tĩnh ROM hoặc đến các thiết bị đầu vào INC và đầu ra FOC được kiểm tra lần lượt (rời rạc) với tần số f = 1MHz ở mỗi chu kỳ máy. Sự không phù hợp khi làm việc của các bộ vi xử lý được hiệu chỉnh theo nguyên tắc đa số, nhưng không khắc phục trở ngại sẽ dẫn đến lỗi kép. Để loại trừ hậu quả của các lỗi như vậy, các tín hiệu ở các khối đầu vào và đầu ra của MVR trên tất cả ba kênh được so sánh nhờ sơ đồ đo tác động nhanh an toàn FSC, tác động đến khối điều khiển chế độ làm việc MCC. Sơ đồ đo tác động nhanh an toàn FSC (hình 13) gồm các thanh ghi PSR với các đầu vào số liệu song song từ các thanh thông tin A, B và các đầu ra tiếp theo. Sự làm việc của chúng được đồng bộ bởi khối điều khiển CB. Nhờ thanh ghi dịch thuận nghịch BSR thiết bị đo có thể so lần lượt 16 từ theo trình tự ở mỗi T D C T D C T D C T D C T1 T D 2 D 11 D 1n D 2n KC CPU CPU CPU CPU FSC FOC INC AMP RF IB IB Z X U R chu kỳ máy (chu kỳ quét). Sự so sánh như thế được tiến hành cho mỗi hai cặp của bộ vi xử lý. Sơ đồ đo sẽ có chức năng ngắt đầu ra không toàn vẹn từ thanh ghi dịch thuận nghịch BSR và ngắt dòng điện của rơle điện từ dòng một chiều khi mà không có sự trùng hợp thông tin trong các thanh A và B hoặc bộ đo bị trở ngại. Để so sánh mỗi đầu vào hoặc đầu ra của hai khối đa số MVR trong ba bất kỳ cần xác lập sáu bộ tổ hợp FSC. Bộ vi xử lý không toàn vẹn được phát hiện nhờ sơ đồ logic, sau đó hệ thống chuyển từ chế độ dự phòng ba kênh sang chế độ hai kênh. DT2 Hình 12. Sơ đồ cấu trúc của hệ thống ba kênh SMILE Hình 13. Sơ đồ cấu trúc thiết bị đo của hệ thống SMILE [3]. Thực tiễn về các hệ thống liên khoá máy tính SMILE trên đường sắt Nhật Bản. trang Web đường sắt Nhật Bản. Các hệ thống SMILE đã được đưa vào khai thác trên đường sắt Nhật bản năm 1985. Các hệ thống ga vi xử lý, đóng đường điện tử trên khu gian, hệ thống tín hiệu đầu máy kiểu liên tục trên tuyến cao tốc Xinkaxen, hệ thống tín hiệu đường ngang được xây dựng trên cơ sở của chúng. Đến năm 1992 các hệ thống này có khoảng 650 máy tính an toàn. Không có cái nào trong chúng có các trở ngại nguy hiểm. Với từng loại cấu trúc khác nhau, việc xử lý tín hiệu, phương thức đảm bảo an toàn các tín hiệu phục vụ công tác điều khiển an toàn chạy tầu là khác nhau về mức độ. Thông thường các hệ thống điều khiển chạy tầu sẽ phức tạp hơn và đương nhiên chi phí sẽ cao hơn các hệ thống điều khiển thông thường. Do yêu cầu đảm bảo an toàn chạy tầu nên xu thế sử dụng các hệ thống tốt nhât có thể và phù hợp với điều kiện thực tiễn. Việt Nam cần nghiên cứu về vấn đề này vì nó sẽ thiết thực trong việc làm chủ được các loại hình hệ thống điều khiển chạy tầu, phát triển hệ thống phù hợp với điều kiện thiết kế, khai thác, duy tu của ngành giao thông đường sắt. Tài liệu tham khảo [1]. Nguyễn Duy Việt. Từ rơle điện từ đến vi xử lý trong các hệ thống điều khiển tín hiệu trong ga. Tạp chí Khoa học giao thông vận tải số 17, tr 71 - 78. [2]. Nguyễn Duy Việt. Những nguyên tắc xây dựng hệ thống điều khiển tín hiệu cho ga (tập trung điện khí vi xử lý) –– Tạp chí Khoa học giao thông vận tải số 19, trang 56 - 59. [4]. V. V. Xapoznhicop, Kh. A. Khristov. Các phương pháp xây dựng hệ thống điện tử an toàn cho các hệ thống tự động của đường sắt. Nhà xuất bản giao thông LB Nga – 1995♦ BSR T.hiệu đ.bộ PSR PSR RF AMP CB & 1 A B 0 R Sang phải Sang trái ROM RAM MVR CPU CPU CPU ROM RAM MVR ROM RAM MVR FSC FOC INC MCC WDT Z X . CÁC CẤU TRÚC AN TOÀN CỦA MỘT HỆ THỐNG ĐIỆN KHÍ TẬP TRUNG VI XỬ LÝ GA TS. NGUYỄN DUY VI T Bộ môn Tín hiệu giao thông Khoa Điện - Điện tử Trường Đại học Giao. Sơ đồ cấu trúc của vi xử lý an toàn khối SIMIS Các cấu trúc và nguyên tắc xây dựng hệ thống an toàn được kể ra ở trên luôn được sử dụng trong sự phối hợp và bổ xung cho nhau. Các cấu trúc. các hệ thống kép đôi (hình 4) và hệ thống kép ba (hình 8). Xem xét cấu trúc hai kênh với các mối quan hệ tín hiệu an toàn của khối vi xử lý loại SIMIS của hãng SIEMENS (Đức) (hình 9). Cấu