立足偉大傳統(tǒng)的前沿：鐵路安全軟件

火車是真正意義上最古老的機(jī)械交通方式。作為第一種不依賴人力或天氣的交通方式，火車改變了我們生活和商業(yè)方式。從第一批蒸汽機(jī)車開(kāi)始穿行于世界各地到如今已有兩個(gè)世紀(jì)了，但火車依然處于技術(shù)、創(chuàng)新和安全發(fā)展的前沿。

地鐵和輕軌每天要運(yùn)送上千萬(wàn)的乘客。6,000 hp (4,500 瓦) 機(jī)車可以拖動(dòng)相當(dāng)于100輛汽車的貨運(yùn)列車，總噸位要大于一艘海軍驅(qū)逐艦。高速貨車，例如法國(guó)的高速列車郵政，時(shí)速可以達(dá)到250km，而像中國(guó)高鐵這樣的客運(yùn)列車時(shí)速可到350 km/h。上海磁懸浮列車以430 km/h的驚人速度運(yùn)行，而其最高可達(dá)時(shí)速為500 km！
這些列車必須依賴軟件控制系統(tǒng)來(lái)實(shí)現(xiàn)啟停、調(diào)整和保持速度，并在拐彎和受風(fēng)力影響時(shí)保持平衡，確保沿著軌道行駛?？傊浖刂葡到y(tǒng)就是用以保證乘客和貨物的安全。
 
火車擁有悠久的安全傳統(tǒng)和在安全方面的創(chuàng)新，因而它依然是最安全的交通方式之一。
二十年前，歐洲電工標(biāo)準(zhǔn)化委員會(huì)的EN 50126、EN 50128 和 EN 50129 成為首批從寬泛的IEC61508中衍生出的細(xì)分行業(yè)標(biāo)準(zhǔn)，這并非偶然。而IEC61508則是電氣/電子/可編程電子安全系統(tǒng)的功能安全標(biāo)準(zhǔn)。鐵路從業(yè)者不僅清楚安全的重要性以及安全運(yùn)行鐵路系統(tǒng)的條件，而且在200年間立足于技術(shù)創(chuàng)新的前沿，尋求在功能、效率和安全之間實(shí)現(xiàn)最佳的且可行的平衡。
當(dāng)今的列車包含了眾多嵌入式軟件系統(tǒng)以實(shí)現(xiàn)眾多功能，從調(diào)整每一個(gè)機(jī)車車軸上的扭矩和滑移，到通信信號(hào)收發(fā)和駕駛室儀表操作等等。列車不僅僅是機(jī)車和車廂；還包括了龐大的軌道網(wǎng)絡(luò)、交叉點(diǎn)、車站、調(diào)車場(chǎng)等等。所有這些都必須工作到位，才能保證列車準(zhǔn)時(shí)準(zhǔn)點(diǎn)且安全地運(yùn)行。
QNX和鐵路

實(shí)時(shí)操作系統(tǒng)（RTOS）幾乎是每個(gè)安全軟件系統(tǒng)的核心所在，而QNX在這一領(lǐng)域積累了三十多年的經(jīng)驗(yàn)— 在軟件領(lǐng)域中，其時(shí)間之長(zhǎng)堪比火被發(fā)現(xiàn)至今的歷史— 而QNX系統(tǒng)對(duì)列車安全和效率的支持幾乎也有同樣長(zhǎng)的歷史。
歐洲隧道列車模擬裝置

要在商業(yè)上有可行性，連接英格蘭和歐洲大陸的歐洲隧道就需要實(shí)現(xiàn)1200次列車的通過(guò)率。而問(wèn)題是，在1994年歐洲隧道開(kāi)通前，能夠駕馭一輛通過(guò)50km海底隧道且時(shí)速達(dá)160 km列車的工程師非常少。
在隧道開(kāi)通前，負(fù)責(zé)培訓(xùn)第一批英吉利海峽隧道列車司機(jī)的法國(guó)公司EBIM也為歐洲之星、C92和LeShuttle列車提供了基于QNX技術(shù)的模擬裝置。這是全球首批具備完整駕駛室環(huán)境的動(dòng)態(tài)鐵路模擬裝置，針對(duì)巴黎-倫敦-布魯塞爾這一完整線路提供三軸移動(dòng)、完整聲效和車站間電腦成像。
GE Evolution系列機(jī)車

GE Evolution系列機(jī)車賦予了柴油機(jī)車新的含義。這些龐然大物能產(chǎn)生4,400 hp（3,300瓦）的馬力，其中每個(gè)軸上的1,000 hp 逆變器可以調(diào)整扭矩和滑移，而它們要用至少20個(gè)基于QNX平臺(tái)的奔騰系統(tǒng)來(lái)維持機(jī)車運(yùn)行、沿軌行駛和節(jié)能高效。這些系統(tǒng)要衡量和檢測(cè)的參數(shù)多達(dá)5,000個(gè)，而數(shù)據(jù)延遲根據(jù)每單一功能的需求，從幾十微秒到幾十秒不等。
GE Evolution系列機(jī)車原本是在美國(guó)設(shè)計(jì)制造的，而如今它們馳騁于五大洲來(lái)運(yùn)送貨物。2009年，哈薩克斯坦國(guó)家鐵路獲得第3,000臺(tái)該系列機(jī)車，而在中國(guó)，6,000 hp (4,500 瓦)定制款GE Evolution系列機(jī)車不久將運(yùn)行，同當(dāng)前用于中國(guó)主艦隊(duì)的引擎相比，它們可以多產(chǎn)生75%的動(dòng)力，而排放的氧化亞氮（NOx）要減少28%。
 

Xworks 列車通信系統(tǒng)
ONTRACK是一個(gè)負(fù)責(zé)新西蘭鐵路網(wǎng)的政府組織，通過(guò)運(yùn)行一個(gè)覆蓋全國(guó)的無(wú)線電系統(tǒng)，來(lái)支持列車安全運(yùn)行，協(xié)助軌道工人的工作。ONTRACK最近已升級(jí)系統(tǒng),包括了148個(gè)頂峰和隧道特高頻中繼器，從而來(lái)使用Xwork通信系統(tǒng)，該系統(tǒng)結(jié)合了用于列車頂峰通信的特高頻模擬無(wú)線電，以及在QNX Neutrino實(shí)時(shí)操作系統(tǒng)上運(yùn)行的RoIP網(wǎng)。

四頻道的RoIP裝置也被稱為ORC，Xworks系統(tǒng)增強(qiáng)了對(duì)移動(dòng)數(shù)據(jù)的可靠性、靈活性和支持。它在傳統(tǒng)的VHF/UHF無(wú)線電網(wǎng)絡(luò)和IP網(wǎng)絡(luò)間搭起橋梁。操作者可以在新西蘭國(guó)家列車控制中心遠(yuǎn)程管理和控制這一全集成、低帶寬且廠商中立的RoIP解決方案。 [!--empirenews.page--]

技術(shù)領(lǐng)先

顯然，200年中一切都已改變。蒸汽讓位于柴油和電力。通信員和他們的標(biāo)志物以被現(xiàn)代技術(shù)補(bǔ)充和取代，例如列車自動(dòng)保護(hù)裝置（ATP）和精確列車控制（PTC）等。在這兩個(gè)世紀(jì)中，自Salamanca在英格蘭運(yùn)行起，鐵路運(yùn)營(yíng)通過(guò)技術(shù)創(chuàng)新獲得了成功。從機(jī)車設(shè)計(jì)到軌道鋼材，所有一切都發(fā)揮著作用，直到今天依然如此。 
 

獨(dú)特的QNX微內(nèi)核實(shí)時(shí)操作系統(tǒng)架構(gòu)可以防止一個(gè)零部件的故障對(duì)其他程序或內(nèi)核產(chǎn)生破壞作用這種情況的發(fā)生。該實(shí)時(shí)操作系統(tǒng)可以自動(dòng)進(jìn)入安全狀態(tài)，或重啟任一故障零部件。
對(duì)領(lǐng)先技術(shù)的這一需求在控制列車和軌道網(wǎng)絡(luò)的軟件要求中漸漸顯現(xiàn)?？傊?，由于操作系統(tǒng)是所有軟件系統(tǒng)的基礎(chǔ)，所以系統(tǒng)的技術(shù)創(chuàng)新和整體成功有賴于操作系統(tǒng)。無(wú)論是用來(lái)管理機(jī)車發(fā)動(dòng)機(jī)和油耗，保證安全車間距，還是收發(fā)信號(hào)進(jìn)行通信，管理復(fù)雜駕駛室系統(tǒng)，從可靠性出發(fā)，這些操作系統(tǒng)就必須始終滿足一系列的關(guān)鍵要求。
實(shí)時(shí)可靠性

 
安全的軟件系統(tǒng)也是可靠的軟件系統(tǒng)：它可以同時(shí)滿足可得性和可靠性的相關(guān)要求。它必須在要求反應(yīng)時(shí)有所反應(yīng)（可用性），并且其反應(yīng)必須是準(zhǔn)確的（可靠性）。 [!--empirenews.page--]
 
例如，控制列車制動(dòng)器的軟件系統(tǒng)必須在所需之時(shí)可行— 反應(yīng)延遲可能會(huì)引發(fā)事故，同時(shí)它必須可靠：必須恰到好處地應(yīng)用制動(dòng)器— 制動(dòng)太弱可能會(huì)引起碰撞，而制動(dòng)過(guò)強(qiáng)可能會(huì)損壞列車，致使乘客受傷或引發(fā)脫軌事故。簡(jiǎn)言之，不準(zhǔn)確的反應(yīng)時(shí)間或不恰當(dāng)?shù)幕貞?yīng)都可能導(dǎo)致悲劇發(fā)生。這種可得性和可靠性的實(shí)現(xiàn)需要實(shí)時(shí)的性能。因此，適用于這些系統(tǒng)的唯一選擇便是實(shí)時(shí)操作系統(tǒng)（RTOS），它可以滿足可靠性和可用性的不同需求。

認(rèn)證和國(guó)際市場(chǎng)

全球的鐵路逐漸轉(zhuǎn)向列車自動(dòng)保護(hù)裝置（ATP）和精確列車控制（PTC）等相似系統(tǒng)以確保安全性。北美、歐洲和其他地方的政府也開(kāi)始要求這些系統(tǒng)通過(guò)EN 5012x 和 IEC 61508等標(biāo)準(zhǔn)的認(rèn)證。
認(rèn)證過(guò)程漫長(zhǎng)、辛苦且昂貴，但是它至關(guān)重要。即便有些地方并非法律有所規(guī)定，這些認(rèn)證也能提供顯著的競(jìng)爭(zhēng)優(yōu)勢(shì)，這是因?yàn)樗鼈兪敲鞔_的第三方證詞，來(lái)證明該系統(tǒng)符合相關(guān)的安全要求。
例如，開(kāi)始采用一個(gè)通過(guò)IEC61508 安全完整性三級(jí)認(rèn)證（SIL3）的實(shí)時(shí)操作系統(tǒng)，并且合作的供應(yīng)商了解該認(rèn)證的流程— 從管理開(kāi)發(fā)環(huán)境到驗(yàn)證可靠性— 可以大大減少成本，降低安全軟件系統(tǒng)開(kāi)發(fā)過(guò)程中固有的風(fēng)險(xiǎn)。

QNX安全內(nèi)核 
 

QNX® Neutrino® 實(shí)時(shí)操作系統(tǒng)安全內(nèi)核已通過(guò)IEC 61508 SIL3認(rèn)證。在其提供的認(rèn)證平臺(tái)上，應(yīng)用程序開(kāi)發(fā)者可以運(yùn)行相關(guān)系統(tǒng)，而這些系統(tǒng)必須滿足最嚴(yán)格的功能安全要求。
開(kāi)發(fā)工具

 
出色的開(kāi)發(fā)工具能夠增加軟件開(kāi)發(fā)項(xiàng)目的關(guān)鍵優(yōu)勢(shì)：它們可以幫助開(kāi)發(fā)者深入了解系統(tǒng)并調(diào)整其性能，減少開(kāi)發(fā)、調(diào)試和驗(yàn)證的時(shí)間和精力。這不僅能轉(zhuǎn)化為更有效率、更安全的系統(tǒng)，而且能極大節(jié)省用于開(kāi)發(fā)、審批和認(rèn)證的時(shí)間和費(fèi)用。 
 

性能、連接性和人機(jī)界面
實(shí)時(shí)操作系統(tǒng)在控制列車的軟件系統(tǒng)內(nèi)，它必須極其迅速且可被預(yù)見(jiàn)。它也必須提供中間件設(shè)施，用以支持列車不同零部件之間，以及與列車系統(tǒng)信號(hào)系統(tǒng)的無(wú)縫通信。最后，只要鐵路系統(tǒng)中有人工操作員的存在，那么操作系統(tǒng)必須支持人機(jī)界面（HMI），這些界面易于使用、明確且直觀。
QNX Neutrino 實(shí)時(shí)操作系統(tǒng)

QNX Neutrino 實(shí)時(shí)操作系統(tǒng)每月在單核和多核系統(tǒng)上的運(yùn)行時(shí)間數(shù)以千萬(wàn)計(jì)，是用于嵌入式計(jì)算的首屈一指的實(shí)時(shí)操作系統(tǒng)。它應(yīng)該是所有鐵路安全關(guān)鍵型軟件系統(tǒng)的重要組成部分。