Быстрое развитие микроэлектроники, снижение стоимости и повышение производительности микропроцессоров обусловили широкое применение микроЭВМ как на железнодорожном транспорте ФРГ, так и на железных дорогах других стран. Микропроцессорную технику используют в самых разных областях: в терминальном оборудовании систем резервирования мест н продажи железнодорожных билетов, системах оповещения пассажиров, аппаратуре связи и передачи данных, для автоматизации сортировочных горок и др. Начался переход на новую элементную базу в устройствах СЦБ, непосредственно управляющих движением поездов. Специфика работы железнодорожного транспорта заключается в том, что здесь необходимо не только управлять перевозочным процессом, но и обеспечивать его высокую безопасность, т. е. отказы отдельных устройств не должны вызывать опасных последствий.
На Государственных железных дорогах ФРГ (DB) исследования по использованию электронных систем централизации начались приблизительно в 1970 г. Однако до 1980г. делались выводы о том, что электронные системы значительно дороже релейных. В дальнейшем резкое снижение стоимости больших интегральных схем позволило создать экономичные системы микропроцессорной централизации (МЦ). С учетом этой тенденции в апреле 1983 г. на I было принято решение начать испытания МЦ.
Микропроцессорные системы с безопасными отказами
Обеспечение безопасности отказов является важнейшей проблемой при создании систем централизации. В традиционных релейных системах для предотвращения опасных последствий при возникновении отказа используют свойства отдельных элементов (например, принудительное срабатывание контактов реле защиты). Микропроцессорная техника такими свойствами не обладает. Поведение микропроцессора после возникновения отказа непредсказуемо. Более того, если правильность работы реле можно проверить еще до его использования, то исчерпывающая проверка, например микропроцессора Intel 8080, требует пересмотра около 1012 комбинаций входных сигналов, а микропроцессор при этом может иметь около 1050 внутренних состояний. При длительности каждого теста 1,3 мкс такая проверка займет 1048 лет.
В настоящее время существуют различные методы обеспечения безопасности отказов микропроцессорных систем. Западногерманские фирмы пошли по пути создания унифицированных систем с аппаратурной прочностью, которые можно использовать как модули в устройствах СЦБ: автоматической локомотивной станции, электронного замыкания маршрутов, диспетчерской и микропроцессорной централизации и др. Преимуществом такого решения перед аналогичными системами нестандартной конструкции является их однократная проверка вне зависимости от области дальнейшего применения. При подготовке унифицированной микропроцессорной системы к управлению конкретным процессом пользователь руководствуется только техническими условиями, где содержатся указания по размещению и соединению аппаратных средств системы, допустимой нагрузке на линии передачи данных, рекомендации по защите от внешних электромагнитных полей.
Для защиты от опасных отказов микропроцессорные системы выполняют двух- или трехканальными. Каналы не зависят друг от друга и работают по одинаковым программам. Промежуточные и конечные результаты, а также время прохождения программ сравниваются. Это мероприятие в сочетании с циклическими запускаемыми тестовыми программами дает возможность в заданное время обнаруживать однократные отказы или сбои, что позволяет пренебречь вероятностью возникновения многократных отказов.
В настоящее время наиболее распространенной в ФРГ микропроцессорной системой с безопасными отказами является система SIMIS, разработанная фирмой Siemens. Приобрести данную систему может каждый через интернет-магазин Алло - http://allo.ua/. Популярные модели телефонов, фото и видеокамер, а также другой техники по привлекательным ценам. Первые такие системы были внедрены в 1980 г. Микропроцессорная система SIMIS—двухка-нальная с общими устройствами сравнения и синхронизации. Каждый канал содержит специально разработанную для условий железнодорожного транспорта микроЭВМ типа MES80 с восьмиразрядным микропроцессором Intel 8080. В зависимости от исполнения она имеет два диапазона рабочих температур: от 0 до +70°С и от —40 до +80°С.
Сравнение промежуточных и конечных результатов обработки данных в системе SIMIS осуществляется только аппаратными средствами. При несовпадении результатов устройство сравнения препятствует подаче синхронизирующих импульсов в оба канала, и система останавливается. Для повышения готовности в системе SIMIS возможны блокирование программными средствами неисправных периферийных устройств (до 87% всего аппаратного обеспечения системы) и переход на режим ограниченного функционирования.
В отличие от системы SIMIS в двухканальной микропроцессорной системе LOGISIRE производства фирмы AEG-Telefunken для сравнения промежуточных результатов обработки данных использованы программные средства, а конечных — аппаратные. При необходимости система LOGISIRE может быть расширена до трехканальной. После распознавания отказа или сбоя эта система переходит в одно из безопасных состояний, которыми являются блокирование отказавшего блока; блокирование одного, нескольких или всех выводов; полное отключение системы. При этом гарантируются безопасное функционирование действующих и невозможность произвольного включения отказавших блоков.
Оба канала обработки данных КОД1 и КОД2 системы LOGISIRE идентичны. В рамках центрального блока каждый из них содержит: центральный процессор ЦП, состоящий из 16-разрядного микропроцессора Intel 8086, оперативного и постоянного запоминающих устройств емкостью по 32 Кбайт; устройство контроля каналов УКК; генератор стробирующих импульсов ГСИ; устройство сопряжения каналов УСК. Общим для каналов КОД1 и КОД2 является устройство защиты УЗ — единственное в центральном блоке устройство с безопасными отказами. Оно состоит из элементов управления и контроля, усилителя мощности и реле защиты, гарантирующего отключение напряжения питания устройств вывода данных УВ при распознавании отказа.
Устройство контроля каналов УКК выполняет функции по проверке комплектности центрального блока, допустимой температуры, напряжения в батареях оперативной памяти, а также формирует сигналы временного прерывания и при автоматическом запуске системы сигналы пуска.
В устройстве сопряжения каналов УСК имеется двусторонняя буферная память на триггерах; данные, поступающие в нее из одного канала, считываются затем другим каналом. Это позволяет координировать работу каналов КОД1 и КОД2 и сравнивать результаты обработки данных программными средствами. Стробирующие импульсы обеспечивают постоянство входных данных на время их считывания.
Передача данных во внешних и внутренних шинах осуществляется в параллельном режиме под управлением соответствующих центральных процессоров.
Сопряжение центрального блока с управляемым процессором выполняется с помощью программируемых устройств ввода и вывода данных в режимах последовательной или параллельной передачи. В схемах на рис. 1 ввод данных последовательный, вывод — параллельный. Задачу распределения входных данных выполняет реле защиты Р; для их сравнения служат программные средства системы. Устройства вывода данных содержат собственные микропроцессоры, которые освобождают центральные процессоры от функций по составлению формата выходных данных. Переход устройства сравнения УС в активное состояние возможен только после синхронизации работы устройств вывода. При отрицательном результате сравнения выходных данных устройство УС отключается и блокирует их передачу в процесс. Если эти данные затрагивают только часть функций системы LOGISIRE, то она продолжает действовать ограниченно.
Программное обеспечение системы позволяет организовать обработку данных так, чтобы оперативно реагировать на изменения входных данных. Весь процесс обработки разделен на циклы фиксированной длины, состоящие из двух частей: накопления информации и ее обработки. В последней части запускаются также тестовые программы, проверяющие работу системы. Начало каждого цикла определяет сигнал временного прерывания, полученный из устройства контроля каналов УКК. Совпадение времени появления этих сигналов в обоих каналах контролируется. В зависимости от частоты изменения и срочности обработки входные данные разделены на группы, имеющие различные приоритеты. В конкретных условиях длину цикла и распределение входных данных по группам задает пользователь.
Трехканальная микропроцессорная система SELMIS разработана фирмой Standard Elektrik Lorenz (SEL). Система состоит из трех независимых микроЭВМ с общим устройством управления прерываниями ШТ.
Каждая микроЭВМ содержит центральный процессор CPU, оперативное RAM и постоянное ROM запоминающие устройства, устройства ввода EING и вывода AUSG данных. МикроЭВМ работают по одинаковым программам асинхронно, что объясняется наличием в каждой из них собственного тактового генератора. Синхронизация выполняется при запуске каждой программы, переход к которой осуществляется по общему сигналу внешнего прерывания. При этом все другие сигналы прерывания блокируются.
По окончании обработки одной программы микроЭВМ переходит в режим ожидания, снимая внутреннюю блокировку прерываний (появление сигнала предоставления прерываний IE). Если по крайней мере две из трех микроЭВМ находятся в режиме ожидания, то путем логического сложения сигналов IE снимается и внешняя блокировка прерываний. В дальнейшем обработка прерываний ведется в соответствии с их приоритетами. Для запуска программ, не связанных с внешним прерыванием, микроЭВМ самостоятельно вырабатывают сигналы внутреннего прерывания (сигналы I).
Сравнение результатов обработки данных выполняется на уровне программного обеспечения. При этом для синхронизации микроЭВМ служат сигналы IE. Затем микроЭВМ сравнивают собственные результаты с полученными от соседних микроЭВМ. При их совпадении выполняется внутреннее прерывание. В противном случае дальнейшая обработка данных останавливается.