CÁC CẤU TRÚC AN TOÀN CỦA MỘT HỆ THỐNG
ĐIỆN KHÍ TẬP TRUNG VI XỬ LÝ GA


TS. NGUYỄN DUY VIỆT
Bộ môn Tín hiệu giao thông
Khoa Điện - Điện tử
Trường Đại học Giao thông Vận tải

Tóm tắt: Tồn tại các dạng cấu trúc an toàn khác nhau thực hiện phản ánh các phương
pháp đã nêu tại bài báo “Những nguyên tắc xây dựng hệ thống” (hình 2) [2] - Sơ đồ cấu trúc
phân cấp các phương pháp đảm bảo an toàn các hệ thống vi xử lý. Xem xét, phân tích một số
cấu trúc an toàn cơ bản được sử dụng phổ biến cho các hệ thống tự động và điều khiển từ xa
sẽ làm cơ sở cho công tác lựa chọn, đánh giá và phát triển cấu trúc hệ thống điều khiển tín
hiệu cho ga đang được xây dựng ở Việt Nam hiện nay.
Summary: There are some different safety structures which reflect the methods
mentioned in the article “Principles of forming a system” (figure 2) [2]_ A structural diagram
arranging safety insurance approaches for microprocessor systems. Considering and
analyzing some typical safety structures commonly used for automatic and remote control
systems would serve as the basis for selection, assessment and devolopment of a signal control
system structure for railway stations under construction in Viet Nam today.
CT DT


Cấu trúc hệ thống từ đơn giản đến phức
tạp đều có ý nghĩa khi sử dụng trên quan điểm
đảm bảo an toàn cho hệ thống, yêu cầu và
điều kiện thực hiện. Mỗi cấu trúc đều là
những ý tưởng đảm bảo an toàn, chúng đều có
cả ưu điểm và tồn tại.

Hệ thống một kênh với một chương trình
(hình 1) có thể được áp dụng ở các loại hình
hệ thống kiểm tra toàn bộ bằng máy tính với
sự trợ giúp của thiết bị tự giám sát kiểm tra
bên trong (TGKT) cùng các đầu ra an toàn
của sơ đồ (RAS) để nối mạch các đối tượng
điều khiển (ĐTĐ). Khi xuất hiện trở ngại,
TGKT sẽ hình thành tín hiệu Y. Nhờ tín hiệu
Y này, hệ thống có thể chuyển sang trạng thái
được bảo vệ: đầu vào được ngắt nguồn hoặc
các đầu ra Z được ngắt ra khỏi các đối tượng
điều khiển nhờ RAS. Sự an toàn của cấu trúc
này phụ thuộc vào hiệu quả của các phương
pháp tự kiểm tra. Các chương trình phần mềm
cần phải được lặp lại thường xuyên. Chương
trình ứng dụng không được có lỗi khi có tải
(khi làm việc có đối tượng).




Hình 1. Sơ đồ cấu trúc với hệ thống một kênh
với một chương trình
Z
X
ĐTĐ
Máy tính
∅
RAS
Y

TGKT



DT2
Z
1
Máy tính

CT1 CT2
SSA
Z
2
ĐTĐ
X
Z
Máy tính 2
RAS
ĐTĐ
X
Y
W
Máy tính 1





Hình 2. Sơ đồ cấu trúc với hệ thống một kênh
với hai chương trình

Máy tính 1
X
Máy tính 2
SSA
Z
2
Z
1
ĐTĐ
Hệ thống một kênh với chương trình kép
(hình 2) sử dụng hai chương trình độc lập,
riêng biệt để thực hiện chỉ một chức năng. Kết
quả thực hiện của các chương trình tương ứng
là Z1 và Z2 được so sánh bằng sơ đồ so sánh
an toàn bên ngoài (SSA). Mức độ an toàn của
kiểu cấu trúc này phụ thuộc vào mức độ khác
biệt của hai chương trình và khoảng thời gian
xử lý (lưu thông) số liệu. Để thu được kết quả
tốt nhất, các chương trình được viết ở các
nhóm lập trình khác nhau, theo các thuật toán
hoặc chương trình cơ sở (ngôn ngữ lập trình)
khác nhau.
Hệ thống kép với mức độ ghép (quan hệ)
yếu (hình 3) được cấu tạo từ hai máy tính, hai
máy tính này có thể có các bộ vi xử lý và
chương trình không như nhau. Bộ vi xử lý của
máy tính 1 thực hiện các phép tính cơ bản,
còn máy tính 2 thực hiện kiểm tra các phép
tính này. Để có được điều đó cần thực hiện
trao đổi thông tin giữa các máy tính theo

đường dẫn W. Sự đồng bộ các kênh cũng
không nhất thiết cần có. Kiểm tra sự làm việc
của máy tính 1 được thực hiện nhờ chương
trình (phần mềm ứng dụng) tính toán song
song và so sánh các kết quả. Khi phát hiện ra
lỗi, máy tính 2 hình thành tín hiệu Y và đầu ra
của máy tính 1 được ngắt ra khỏi các đối
tượng điều khiển ĐTĐ.





Hình 3. Sơ đồ cấu trúc với hệ thống kép
với quan hệ yếu





Hình 4. Sơ đồ cấu trúc với hệ thống kép
với quan hệ trung bình
W
2
W
1
Máy tính 1
X
Máy tính 2
Z

1
Hệ thống kép với mức độ ghép (quan hệ)
vừa (hình 4) gồm hai máy tính giống nhau và
cùng hai chương trình như nhau. Sự làm việc
của hai kênh được đồng bộ. Các kết quả xử lý
thông tin được so sánh ở các đầu ra Z1 và Z2
nhờ sơ đồ so sánh an toàn bên ngoài SSA. Đây
là một trong các cấu trúc an toàn được phổ biến
hơn cả trong thực tế. Bội số nhỏ nhất của các trở
ngại không được phát hiện ở chúng bằng hai –
mỗi một trở ngại ở một máy tính chúng làm biến
dạng như nhau các tín hiệu đầu ra Z1 và Z2. Các
chương trình (phần mềm) ứng dụng cần được
giải phóng khỏi các lỗi khi có tải. Các lỗi riêng
lẻ không nguy hiểm. Các lỗi tồn tại ngắn và độc
lập có thể không tính đến nếu như thời gian phát
hiện nó đủ nhỏ.

SSA2

Z
2
SSA1
ĐTĐ



Hình 5. Sơ đồ cấu trúc với hệ thống kép
với quan hệ chặt



CT DT
W
2
W
1
Máy tính 1

X
Máy tính 2
SSA2
ĐTĐ
Z
1
Z
2
SSA1
PTG
PTK
Hình 6. Sơ đồ cấu trúc với hệ thống kép với phép kiểm tra
Z
1
W
2
W
1
TKT1
X
Máy tính 2
SSA


Z
2
TKT3
TKT 2
Máy tính 1
Y
Y
ĐTĐ
Hình 8. Sơ đồ cấu trúc của hệ thống kép ba lấy đa số
X
ĐTĐ
Z
2
Máy tính 1
Máy tính 2
Máy tính 3
Z
1
PAĐ

Z
3
Trong hệ thống kép với việc ghép (quan
hệ) chặt (hình 5) sử dụng hai chương trình
như nhau ở hai máy tính giống nhau nhưng
phân biệt với trường hợp trước là việc
kiểm tra được thực hiện không chỉ ở
mức độ các đầu ra mà còn ở mức các
đường dẫn và bộ nhớ. Sự làm việc của

hai kênh được đồng bộ. Trường hợp
có hiệu quả hơn cả là thực hiện kiểm
tra theo xung nhịp sự trùng khớp các
tín hiệu W1 và W2 tại các điểm kiểm
tra bên trong nhờ sơ đồ so sánh an
toàn SSA1. Khi xuất hiện các lỗi, tín
hiệu Y tác động lên sơ đồ so sánh an
toàn SSA2 và ngắt mạch các đối
tượng điều khiển ĐTĐ cũng như
chuyển hai kênh sang trạng thái bảo vệ theo
đầu vào ∅. Cấu trúc này có mức độ an toàn
cao. Vấn đề có thể đặt ra trong cấu trúc này là
các lỗi chương trình như nhau ở các kênh.
Trong hệ thống kép với việc kiểm tra và
ghép chặt (hình 6) là có thêm sự bổ sung so
với sơ đồ trước bộ phát kiểm tra (thử) PKT và
bộ phân chia thời gian (chuyển mạch) (PTG).
Chúng được sử dụng nếu như tập hợp tác
động đầu vào X không đảm bảo “độ sâu” của
việc kiểm tra các kênh xử lý thông tin. Trong
trường hợp này quá trình làm việc theo chức
năng được phân chia theo thời gian. Trong các
khoảng thời gian này, nhờ bộ phân chia thời
gian PTG, các tín hiệu X được ngắt khỏi các
đầu vào của hệ thống và
sau đó được nối với bộ
phát kiểm tra (thử). Các
kết quả kiểm tra ở hai
kênh được so sánh ở khối
SSA1. Khi phát hiện lỗi,

hệ thống được chuyển
sang trạng thái được bảo
vệ. Nguyên tắc này được
sử dụng khi mà hệ thống có phần lớn thời gian
thực hiện chức năng ở chế độ đợi (khi đó các
tín hiệu X không đổi trong thời gian dài).





Hình 8. Sơ đồ cấu trúc của hệ thống
kép ba lấy đa số
Hệ thống kép tự kiểm tra (hình 7) gồm
hai kênh được xây dựng ở dạng thiết bị tự
kiểm tra. Các tín hiệu kiểm tra W1 và W2
được hình thành bởi các thiết bị tự kiểm tra
trong TKT1, TKT2 và được so sánh bởi
TKT3. Cuối cùng tín hiệu lỗi Y được tạo ra.
Bội số nhỏ nhất của các lỗi không được phát


hiện là bốn, hai cho mỗi kênh. Chúng không
được phát hiện bởi các TKT và tương tự như
các biến dạng các tín hiệu đầu ra Z1 và Z2. Tự
kiểm tra các kênh có thể bằng các thiết bị
phần cứng hoặc phần mềm (chương trình). Có
thể sử dụng các chương trình độc lập cho mỗi
bộ vi xử lý.
Hệ thống kép ba lấy đa số (hình 8) có ba

kênh xử lý thông tin độc lập nhau. Sự làm
việc của các kênh được đồng bộ và được so
sánh nhờ phần tử an toàn đa số PAĐ. Cấu trúc
này giống như cấu trúc hình 4, nó được sử
dụng nhiều hơn cả. Độ an toàn của sơ đồ kép
ba này cũng như của sơ đồ kép đôi nhưng độ
tin cậy ổn định hơn.
DT2
T2
T1
MP1

MP1

FN



SSA
T

MP1

MP1

MP1
MP1
MP1
Máy tính 1
MP1


MP1
KN

Máy tính 2
T1
T2
Hình 9. Sơ đồ cấu trúc của vi xử lý an toàn khối SIMIS
Các cấu trúc và nguyên tắc xây dựng hệ
thống an toàn được kể ra ở trên luôn được sử
dụng trong sự phối hợp và bổ xung cho nhau.
Các cấu trúc gốc (cơ bản) thường là các hệ
thống kép đôi (hình 4) và hệ thống kép ba
(hình 8).
Xem xét cấu trúc hai kênh với các mối
quan hệ tín hiệu an toàn của khối vi xử lý loại
SIMIS của hãng SIEMENS (Đức) (hình 9).
Cấu trúc này gồm hai máy tính tương đồng
với bộ phát nhịp chung PN làm việc trong các
điều kiện đồng bộ cứng, thiết bị so sánh an
toàn SSA và khối nguồn KN. An toàn của
khối SIMIS được dựa trên cơ sở kiểm tra liên
tục sự trùng khớp các kết quả xử lý thông tin
của các thanh số liệu, địa chỉ và điều khiển
của cả hai máy tính. Các chương trình kiểm
tra (thử) không có sự ưu tiên và khởi động
trong thời điểm giữa các chương trình cơ bản.
Trong khoảng thời gian cho trước để phát hiện
lỗi, các chương trình kiểm tra đảm bảo đưa ra
ở các đầu ra khối SSA gồm tất cả các ngăn

nhớ các kết quả thực hiện chức năng của vi xử
lý loại Intel 8080.
Trong khối SIMIS sử dụng thiết bị đo sơ
đồ so sánh an toàn SSA (hình 10). Mỗi
cặp bit so sánh D1i và D2i đảm bảo mở
bộ khuyếch đại trên cơ sở các tranzito
T1-Tn được cấp nguồn qua cầu điôt từ
các đầu ra thuận và đảo của trigơ D. Sau
cùng các thanh ghi đệm số liệu được
hình thành, đến các thanh ghi này là các
trạng thái tức thời của thanh số liệu hoặc
các tín hiệu ra được tạo ra từ máy tính.
Khi không có sự trùng nhau của các bit
kiểm tra, bộ khuyếch đại không hình
thành tín hiệu kiểm tra TK, trong trường
hợp này không cho phép hình thành các
xung nhịp tuần tự N1 và N2 của thiết bị
phát nhịp FN (hình 9). Khối SIMIS khi
đó hoặc khởi động lại để nhằm mục đích kiểm
tra, hoặc được ngắt mạch.
Các thiết bị đầu tiên được xây dựng trên
cơ sở khối SIMIS, ban đầu được áp dụng trên
các đường sắt của Đức từ những năm 80.
Chẳng hạn như việc xây dựng các hệ thống
tập trung điện khí trên cơ sở vi xử lý (TĐKV)
dùng để khai thác trên tuyến đường sắt đô thị
Frankfurt đến Main (năm 1986) và trên tuyến
cao tốc Mangeim – Stutgart (năm 1988).



Tại Nhật bản sử dụng cấu trúc hai kênh
của hệ thống vi xử lý an toàn μSMILE (hình
11).
CT DT
Hình 10. Sơ đồ bộ đo của khối SIMIS
Hình 11. Sơ đồ cấu trúc hệ thống
μ
SMILE
Hai bộ xử lý của máy tính làm việc theo
cùng một chương trình được đồng bộ bởi một
bộ phát chủ. Các số liệu được truyền theo các
thanh dẫn bên trong IB được so sánh ở mỗi
chu kỳ nhờ sơ đồ đo an toàn tác động nhanh
FSC.
Bình thường sơ đồ đo hình thành ở đầu ra
các tín hiệu xung, qua bộ khuếch đại AMP và
bộ nắn RF nối mạch cho rơle dòng một chiều
R. Khi hai bộ xử lý không có sự làm việc
tương ứng, đầu ra của sơ đồ đo không cho ra
tín hiệu, rơle R được ngắt mạch và ngắt mạch
cấp nguồn của các sơ đồ ra FOC. Cuối cùng ở
các sơ đồ AND an toàn (thực hiện phép VÀ)
so sánh các tín hiệu ra cùng loại như nhau của
các bộ xử lý trên các thanh IB và hình thành
các tín hiệu đầu ra của hệ thống Z. Nếu như
các tín hiệu đầu ra của các bộ xử lý không
trùng nhau hoặc có sự không toàn vẹn của
chính sơ đồ FOC, sơ đồ cuối cùng chuyển về
trạng thái được bảo vệ, ngắt mạch các đầu ra
Z. Sơ đồ đầu vào INC có cấu trúc dự phòng và

sự an toàn của nó được đảm bảo bằng phương
pháp chẩn đoán chương trình.
Cấu trúc ba kênh của hệ thống vi xử lý an
toàn SMILE (Nhật bản) (hình 12) được xây
dựng theo sơ đồ dự phòng kép ba với việc nối
mạch đến các kênh thông tin ba bộ vi xử lý
của CPU của các khối đa số MVR (biểu quyết
lấy đa số). Thiết bị đồng bộ WDT với dự
phòng kép ba đảm bảo sự làm việc đồng bộ
của các bộ vi xử lý. Các thông tin được truyền
theo các thanh ở mỗi sự lưu thông đến các
thiết bị nhớ động RAM và các thiết bị nhớ
tĩnh ROM hoặc đến các thiết bị đầu vào INC
và đầu ra FOC được kiểm tra lần lượt (rời rạc)
với tần số f = 1MHz ở mỗi chu kỳ máy. Sự
không phù hợp khi làm việc của các bộ vi xử
lý được hiệu chỉnh theo nguyên tắc đa số,
nhưng không khắc phục trở ngại sẽ dẫn đến
lỗi kép. Để loại trừ hậu quả của các lỗi như
vậy, các tín hiệu ở các khối đầu vào và đầu ra
của MVR trên tất cả ba kênh được so sánh
nhờ sơ đồ đo tác động nhanh an toàn FSC, tác
động đến khối điều khiển chế độ làm việc
MCC.
Sơ đồ đo tác động nhanh an toàn FSC
(hình 13) gồm các thanh ghi PSR với các đầu
vào số liệu song song từ các thanh thông tin
A, B và các đầu ra tiếp theo. Sự làm việc của
chúng được đồng bộ bởi khối điều khiển CB.
Nhờ thanh ghi dịch thuận nghịch BSR thiết bị

đo có thể so lần lượt 16 từ theo trình tự ở mỗi
T

D

C
T

D

C
T

D

C
T

D

C
T1
T
D
2
D
11
D
1n
D

2n
KC
CPU CPU
CPU CPU
FSC
FOC
INC
AMP
RF
IB
IB
Z
X
U
R


chu kỳ máy (chu kỳ quét). Sự so sánh như thế
được tiến hành cho mỗi hai cặp của bộ vi xử
lý. Sơ đồ đo sẽ có chức năng ngắt đầu ra
không toàn vẹn từ thanh ghi dịch thuận nghịch
BSR và ngắt dòng điện của rơle điện từ dòng
một chiều khi mà không có sự trùng hợp
thông tin trong các thanh A và B hoặc bộ đo
bị trở ngại. Để so sánh mỗi đầu vào hoặc đầu
ra của hai khối đa số MVR trong ba bất kỳ
cần xác lập sáu bộ tổ hợp FSC. Bộ vi xử lý
không toàn vẹn được phát hiện nhờ sơ đồ
logic, sau đó hệ thống chuyển từ chế độ dự
phòng ba kênh sang chế độ hai kênh.

DT2
Hình 12. Sơ đồ cấu trúc của hệ thống
ba kênh SMILE

Hình 13. Sơ đồ cấu trúc thiết bị đo
của hệ thống SMILE

[3]. Thực tiễn về các hệ thống liên khoá máy tính
SMILE trên đường sắt Nhật Bản. trang Web
đường sắt Nhật Bản.
Các hệ thống SMILE đã được đưa vào
khai thác trên đường sắt Nhật bản năm 1985.
Các hệ thống ga vi xử lý, đóng đường điện tử
trên khu gian, hệ thống tín hiệu đầu máy kiểu
liên tục trên tuyến cao tốc Xinkaxen, hệ thống
tín hiệu đường ngang được xây dựng trên cơ
sở của chúng. Đến năm 1992 các hệ thống này
có khoảng 650 máy tính an toàn. Không có cái
nào trong chúng có các trở ngại nguy hiểm.
Với từng loại cấu trúc khác nhau, việc xử
lý tín hiệu, phương thức đảm bảo an toàn các
tín hiệu phục vụ công tác điều khiển an toàn
chạy tầu là khác nhau về mức độ. Thông
thường các hệ thống điều khiển chạy tầu sẽ
phức tạp hơn và đương nhiên chi phí sẽ cao
hơn các hệ thống điều khiển thông thường. Do
yêu cầu đảm bảo an toàn chạy tầu nên xu
thế sử dụng các hệ thống tốt nhât có thể và
phù hợp với điều kiện thực tiễn. Việt Nam
cần nghiên cứu về vấn đề này vì nó sẽ thiết

thực trong việc làm chủ được các loại hình
hệ thống điều khiển chạy tầu, phát triển hệ
thống phù hợp với điều kiện thiết kế, khai
thác, duy tu của ngành giao thông đường
sắt.


Tài liệu tham khảo
[1]. Nguyễn Duy Việt. Từ rơle điện từ đến vi xử lý
trong các hệ thống điều khiển tín hiệu trong ga.
Tạp chí Khoa học giao thông vận tải số 17,
tr 71 - 78.
[2]. Nguyễn Duy Việt. Những nguyên tắc xây dựng
hệ thống điều khiển tín hiệu cho ga (tập trung điện
khí vi xử lý) –– Tạp chí Khoa học giao thông vận
tải số 19, trang 56 - 59.
[4]. V. V. Xapoznhicop, Kh. A. Khristov. Các
phương pháp xây dựng hệ thống điện tử an toàn
cho các hệ thống tự động của đường sắt. Nhà xuất
bản giao thông LB Nga – 1995♦
BSR
T.hiệu đ.bộ

PSR

PSR
RF
AMP
CB
&


1
A
B
0
R
Sang phải Sang trái
ROM
RAM
MVR
CPU
CPU
CPU
ROM
RAM
MVR
ROM
RAM
MVR
FSC
FOC INC
MCC WDT
Z
X