САТЭП / Системы и устройства / Микропроцессорная централизация стрелок и сигналов МПЦ САТЭП
Микропроцессорная централизация стрелок и сигналов МПЦ САТЭП

Краткая характеристика систем МПЦ

Функциональные возможности МПЦ

ЭВМ зависимостей - компьютеры централизации и логики управления

Автоматизированное рабочее место дежурного по станции

Объектные микропроцессорные контроллеры МПЦ

Автоматизированное рабочее место электромеханика СЦБ

Подсистема контроля свободности и заполнения участков пути

Аппаратура электропитания

Функциональная безопасность и надежность МПЦ

Автоматизированное проектирование программного обеспечения МПЦ

Системы релейно-микропроцессорной централизации стрелок и сигналов РМЦ

Микропроцессорный маршрутный набор (ЭЦМ)

Системы счета осей подвижного состава: МП СКПУ

Система диспетчерского контроля : МСДК

Система автоматической переездной сигнализации АПС САТЭП

Микропроцессорная система переездной сигнализации

Система полуавтоматической блокировки на радиоканале ПАБ-Р

Микропроцессорная система путевой блокировки (МС ПБ)

Система технологической (въездной) сигнализации

Функциональная безопасность и надежность МПЦ
Функциональная безопасность и надежность МПЦ
Безопасность функционирования и надежность МПЦ обеспечивается за счет:
- использования трехканальной мажоритарной структуры ЭВМ зависимостей “2” из “3” с различным программным обеспечением в каналах резервирования; двухканальной структуры мажоритарных элементов, объектных контроллеров светофоров, стрелок, переездов и рельсовых датчиков; использования специальных средств безопасного ввода и вывода информации; применения устройств безопасного включения объектов управления;
- высокой надежности современных микроэлектроннных компонентов, диагностики отказов, периодического контроля исправности элементов системы в каналах резервирования и своевременного их восстановления;
- высоконадежной операционной системы QNX и помехоустойчивых протоколов обмена между модулями системы с малой вероятностью ошибки при передаче управляющих команд и пакетов информации о состоянии объектов;
- введения допуска к формированию ответственных и особо ответственных команд путем использования специальной системы паролей, архивирования действий ДСП и процедуры двухканального ввода ответственных команд без пломбирования ответственных кнопок управления в нештатном режиме управления;

Функциональная безопасность микропроцессорных контроллеров также обеспечивается не только их безопасной двухканальной структурой, но и передачей информации по независимым линиям связи с идентификацией приемников и передатчиков, определенной структурой последовательного формирования и кодирования управляющих команд, а также использованием независимых питающих лучей и источников электропитания для каждого канала резервирования.
Устройства безопасного согласования контроллеров с объектами выполнены на простых первичных радиоэлектронных элементах и позволяют достаточно просто доказать функциональную безопасность при однократных и кратных отказах их элементов. Наличие принципиальных электрических схем, спецификаций и другой необходимой документации для расчета безопасности контроллеров и системы МПЦ в целом позволяют с уверенностью обеспечить и доказать ее функциональную безопасность, показатели которой для разработанной системы соответствует самым жестким отечественным и зарубежным требованиям.
При разработке аппартного и программного обеспечения системы МПЦ учитывались требования по функциональной безопасности, предъявляемые к системам, непосредственно влияющих на безопасность движения поездов.
Вероятность опасного отказа системы за любой час работы соответствует заданным нормам 4-го, наиболее жесткого, уровня функциональной безопасности согласно ДСТУ 4178 или европейского норматива безопасности - SIL4.
По данным железных дорог эксплуатационная интенсивность опасных отказов релейных систем ЭЦ в расчете на одну среднюю станцию (22 стрелки ЭЦ) составляет 1,8х10-7 1/ч, а электромагнитных реле 1 класса надежности 1,4х10-11 1/ч. Поэтому для релейной системы ЭЦ для станции, имеющей 50 стрелок, эксплуатационная интенсивность опасных отказов только по релейной аппаратуре будет равна 2,8 х 10-7 1/ч (при использовании 40 реле 1 класса надежности на 1 стрелку ЭЦ). Интенсивность опасных отказов системы МПЦ в расчете на одну ответственную функцию составляет величину существенно менее 1,4х10-11 1/ч, поэтому по критерию вероятности появления опасных отказов из-за отказов элементов ее функциональная безопасность выше, чем у релейных систем ЭЦ.
Для исключения ошибок в апаратном и программном обеспечении проводятся широкие имитационные и стендовые испытания системы, для чего разработаны соответствующие методики и технические средства испытаний. На этапах разработки производится полная проверка выполнения правильности выполнения технологических алгоритмов и условий обеспечения безопасности в каждом канале резервирования; при работе системы с различными сочетаниями неисправностей отдельных каналов резервирования (например, работают или исправны только 1 и 2, 2 и 3, 1 и 3, 1 и 2 и 3 ЭВМ зависимостей). Проверки производятся на специализированных имитационных программных моделях и испытательных стендах в соответствии с утвержденными технологическими алгоритмами и объемными методиками испытаний.
Разработанные методики, технические и программные средства позволяют на этапах имитационного моделирования и стендовых испытаний выполнить качественную проверку технологических алгоритмов и программного обеспечения, провести необходимые испытания изготовленных шкафов управления, в первую очередь на функциональную безопасность.
Система имитационного моделирования работы системы МПЦ позволяет на ПЭВМ создавать любые поездные ситуации и управляющие действия оператора; обеспечивает проверку правильности разработки программного обеспечения и выполнения технологических алгоритмов; является основой для доказательства безопасности программного обеспечения.
Программные имитационные модели работы станции и системы МПЦ позволяют проводить испытания и в автоматическом ускоренном режиме с многократным перебором возможных состояний системы, с вводом специальных ошибок и контролем их обнаружения.

 

На базе системы имитационного моделирования работы системы МПЦ разработан тренажер для дежурных по станции, позволяющий до пуска системы непосредственно на рабочем месте проводить их обучение и самообучение.
Базовое ядро программного обеспечения МПЦ является неизменным для всех станций, а прикладное ПО формируется автоматически на базе конфигурационного файла станции, который составляют параллельно независимые технологи-проектировщики (не программисты) с последующим сравнением формализованных таблиц и данных. Это существенно облегчает доказательство безопасности МПЦ для конкретных станций, так как практически основное доказательство выполняется один раз для базового ядра программного обеспечения.
Особое внимание при производстве микропроцессорных контроллеров уделяется процедуре их правильного программирования (прошивки) с последующим сравнением с эталонным архивным файлом, а также проведением необходимых стендовых испытаний в составе комплекса программно-аппаратных средств МПЦ. Контроль кодов прошивок производится как перед отгрузкой оборудования, так и непосредственно перед вводом в эксплуатацию всей системы.
Стендовые испытания на функциональную безопасность и правильность выполнения технологических алгоритмов позволяют максимально приблизить систему, которая поставляется на объект, к эксплуатационным условиям. Достоверность испытаний достигается за счет использования реальных ЭВМ зависимостей “2” из “3”, АРМ ДСП, двухканальных объектных контроллеров светофоров, стрелок, переездов и рельсовых датчиков, использования специальных средств безопасного ввода и вывода информации.
Объемная методика стендовых испытаний позволяет не только проверить правильность выполнения технологических алгоритмов, но и их безопасное исполнение на реальных технических средствах с верифицированным на безопасность программным обеспечением.
В состав стенда входят шкафы управления и все используемых технические средства, в том числе стрелочный электропривод, лампы поездных, маневровых и переездных светофоров, рельсовые датчики, имитаторы перегорания ламп светофоров, занятия и освобождения путевых участков.
Важным аспектом при доказательстве безопасности, производстве и корректировке программного и аппаратного обеспечения в процессе эксплуатации МПЦ является наличие у разработчика и открытость принципиальных электрических схем, спецификаций, исходных кодов программ и другой необходимой документации на изготавливаемые изделия, которая может быть представлена для специалистов. Это особенно важно при выборе типов микропроцессорных контроллеров, принципиальные схемы и программные продукты для которых во многих случаях закрыты для Заказчика, экспертов и специалистов, что не позволяет правильно определить показатели их функциональной безопасности, а также проанализировать поведение системы при однократных и кратных отказах каналов резервирования. Этот факт не является принципиальным для многих систем управления, например, в металлургической промышленности, но для объектов с непосредственным влиянием на безопасность движения поездов, особенно на станциях с перевозкой пассажиров, разрядных и опасных грузов, нефтепродуктов и жидкого металла игнорирование этого факта является недопустимым.