基于自动驾驶的单一接口输入的分布式系统及其升级方法与流程

本发明涉及列车运行控制系统领域，具体涉及集中系统软件升级结构的列车自动驾驶系统。

背景技术

随着我国轨道交通事业的发展，ato(automatictrainoperation，列车自动驾驶系统)在城市轨道交通、城际轨道交通信号系统等领域大量运用，其重要程度日渐凸显，特别是对其系统维护提出了更高的要求。

对维护系统软件升级的处理，现有的无线数据换装系统采用的方案是地面终端远程将数据传输给车载设备，然后车载接收设备将换装数据传输给系统主机，然后由系统主机将换装数据发送给其他系统的插件。

在系统维护性方面，目前现有技术的缺陷如下：

a)采用地面终端远程将数据传输给车载设备，然后车载接收设备将换装数据传输给系统主机，然后由系统主机将换装数据发送给其他系统的插件。在自动驾驶系统中，需要实时工作并监视各个设备的状态，当换装数据从地面传输到车载设备时，以及数据再通过系统主机发送给系统的其他设备时，由于工作负荷太大，ato设备的会出现超时故障，从而会导致系统不可用。

b)现有技术传输技术是终端装置通过无线或者有线传输数据，通过ato数据接口给主机装置，主机装置进行数据更换或转发。由于轨道交通设备增加，出现了大量的未授权的终端设备通过ato的数据接口进行数据传输，导致ato系统瘫痪。而现在大量的防火墙只是在协议上进行处理，无法防止数据堵塞ato设备。而且在意外情况下，无法从硬件上紧急关闭ato数据口。

技术实现要素：

以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。

本发明的目的在于解决上述问题，提供了一种基于自动驾驶的单一接口输入分布式系统及其升级方法，能让ato系统保持正常工作的同时进行换装数据处理，在换装过程中不会导致系统周期运行超时故障，在换装过程中出现意外故障的情况下及时停止换装数据和程序，保护好ato系统内网系统的稳定性，同时进行内网和外网的隔离。

本发明的技术方案为：本发明揭示了一种基于自动驾驶的单一接口输入的分布式系统，包括终端设备、服务器、防护设备和列车自动驾驶系统，其中终端设备和服务器通信连接，服务器经由防护设备和列车自动驾驶系统通信连接，列车自动驾驶系统内设有防护插件、主控插件、交换机、多个插件，其中主控插件中的处理器和防护插件通过通信口双向通讯，主控插件和防护插件之间还连有安全电路控制线，防护插件中还设有安全电路，安全电路经由换装数据通信端和交换机进行通信，交换机和所有的插件相连。

根据本发明的分布式系统的一实施例，终端设备用于将换装数据发送给服务器，服务器用于将数据进行处理，防护设备用于将服务器发送过来的数据进行加密打包处理，从而转换成列车自动驾驶系统中的防护插件可识别的数据。

根据本发明的分布式系统的一实施例，列车自动驾驶系统内的防护插件用于接收终端设备的换装数据并进行缓存，然后通过通信口将换装数据转发给主控插件，主控插件用于接收换装数据后将注册信息通过通信口发送给防护插件，防护插件还用于将注册信息转发给终端设备以实现列车自动驾驶系统和终端设备之间的连接和确认。

根据本发明的分布式系统的一实施例，主控插件还用于在确认符合换装条件时，通过交换机通知列车自动驾驶系统各个插件准备接收数据，并通过通信口发送确认信号和列车自动驾驶系统的各个插件的ip地址给防护插件，防护插件还用于将确认信号转发给终端设备。

根据本发明的分布式系统的一实施例，终端设备还用于传输列车自动驾驶系统内的各个插件的换装数据给列车自动驾驶系统的防护插件；防护插件还用于将接收到的数据进行缓存，将不同插件的换装数据进行分类，再将数据发送给交换机，并通过不同的ip地址将数据发送给对应的各个插件，同时从交换机处反馈接收换装数据状态消息后再转发给终端设备。

根据本发明的分布式系统的一实施例，主控插件还用于在换装过程中实时监控防护插件的工作，进一步包括当列车自动驾驶系统意外终止或者交换机延时严重时，主控插件通过安全信号控制线控制防护插件中的安全电路切断防护插件与交换机的连接以释放交换机的压力，同时通过通信口将故障告知防护插件；防护插件用于进行故障处理并同时转发给终端设备。

根据本发明的分布式系统的一实施例，防护插件还用于在列车自动驾驶系统内的各个插件数据传输完毕后告知主控插件；主控插件还用于在与列车自动驾驶系统的各个插件确认后进行各个插件的系统升级，主控插件自身也通过交换机进行接收换装数据。

本发明还揭示了一种列车自动驾驶系统，包括防护插件、主控插件、交换机、多个插件，其中主控插件中设置的处理器和防护插件通过通信口双向通讯，主控插件和防护插件之间还连有安全电路控制线，防护插件中还设有安全电路，安全电路经由换装数据通信端和交换机进行通信，交换机和所有的插件相连。

根据本发明的列车自动驾驶系统的一实施例，防护插件用于接收终端设备的换装数据并进行缓存，通过通信口将换装数据转发给主控插件，主控插件用于接收换装数据后将注册信息通过通信口发送给防护插件，防护插件还用于将注册信息转发给外部的终端设备以实现列车自动驾驶系统和终端设备之间的连接和确认。

根据本发明的列车自动驾驶系统的一实施例，主控插件还用于在确认符合换装条件时，通过交换机通知列车自动驾驶系统内的各个插件准备接收数据，并通过通信口发送确认信号和列车自动驾驶系统的各个插件的ip地址给防护插件，防护插件还用于将确认信号转发给终端设备。

根据本发明的列车自动驾驶系统的一实施例，防护插件还用于将接收到的数据进行缓存，将不同插件的换装数据进行分类，再将数据发送给交换机，并通过不同的ip地址将数据发送给对应的各个插件，同时从交换机处反馈接收换装数据状态消息后再转发给终端设备。

根据本发明的列车自动驾驶系统的一实施例，主控插件还用于在换装过程中实时监控防护插件的工作，进一步包括当列车自动驾驶系统意外终止或者交换机延时严重时，主控插件通过安全信号控制线控制防护插件中的安全电路切断防护插件与交换机的连接以释放交换机的压力，同时通过通信口将故障告知防护插件；防护插件用于进行故障处理并同时转发给终端设备。

根据本发明的列车自动驾驶系统的一实施例，防护插件还用于在列车自动驾驶系统内的各个插件数据传输完毕后告知主控插件；主控插件还用于在与列车自动驾驶系统的各个插件确认后进行各个插件的系统升级，主控插件自身也通过交换机进行接收换装数据。

本发明还揭示了一种基于自动驾驶的单一接口输入的分布式系统的系统软件升级方法，包括：

步骤1：终端设备将换装数据发送给服务器，服务器将换装数据进行处理，然后将换装数据通过防护设备传输至列车自动驾驶系统的数据接口；

步骤2：当列车自动驾驶系统内的防护插件接收到终端设备的换装数据后进行缓存，将换装数据转发给主控插件，主控插件收到换装数据后将注册信息发送给防护插件，防护插件再将注册信息转发给终端设备，实现列车自动驾驶系统和终端设备之间的连接和确认；

步骤3：当主控插件确认符合换装条件时，主控插件通过交换机通知列车自动驾驶系统各个插件准备接收数据，并发送确认信号和列车自动驾驶系统的各个插件的ip地址给防护插件，防护插件将确认信号转发给终端设备；

步骤4：终端设备开始传输列车自动驾驶系统的各个插件的换装数据列车自动驾驶系统的防护插件，防护插件将接收到的数据进行缓存，将不同插件的换装数据进行分类，然后防护插件将数据发送给交换机，并通过不同的ip地址将数据发送给对应的各个插件，同时防护插件从交换机处反馈接收换装数据状态消息，然后转发给终端设备；

步骤5：当列车自动驾驶系统内的各个插件数据传输完毕后，防护插件告知主控插件，主控插件与列车自动驾驶系统的各个插件确认后进行各个插件以及主控插件自身的系统升级。

根据本发明的系统软件升级方法的一实施例，防护设备用于将服务器发送过来的数据进行加密打包处理，转换成列车自动驾驶系统中的防护插件识别的数据。

根据本发明的系统软件升级方法的一实施例，在步骤4中还包括：主控插件在换装过程中实时监控防护插件的工作，当列车自动驾驶系统意外终止或者交换机延时严重时，主控插件通过安全信号控制线控制防护插件中的安全电路开关切断防护插件与交换机的连接以释放交换机的压力，主控插件将故障告知防护插件，防护插件进行处理并同时转发给终端设备。

本发明对比现有技术有如下的有益效果：本发明的方案中对换装数据主要采用ato系统的防护插件进行分布式数据传输，由主控插件监控数据换装过程，这样数据换装过程和ato系统正常工作就可以同时进行，即，当终端设备通过ato换装数据接口将换装数据传输给ato系统时系统应能保持正常工作并同时进行换装数据处理。换装过程中不会导致系统周期运行超时故障。此外，ato系统的防护插件可以阻止非授权换装数据输入，即，当非法终端设备获取授权码，向ato系统发送大量无效数据，并堵塞通信接口时，能及时切断通信接口。同时在特殊情况(比如换装过程中出现意外故障)下，通过安全电路通信线对防护插件的换装数据通道进行硬切断，及时停止换装数据和程序，从而保护好ato系统内网系统的稳定性，同时进行了内网和外网的隔离。

附图说明

在结合以下附图阅读本公开的实施例的详细描述之后，能够更好地理解本发明的上述特征和优点。在附图中，各组件不一定是按比例绘制，并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。

图1示出了本发明的基于自动驾驶的单一接口输入的分布式系统的一实施例的系统结构原理图。

图2示出了图1所示的基于自动驾驶的单一接口输入的分布式系统的实施例中的主要组成单元之间的系统数据流框图。

图3示出了图1所示的基于自动驾驶的单一接口输入的分布式系统的实施例中的主要组成单元之间的数据流程图。

图4示出了图1所示的基于自动驾驶的单一接口输入的分布式系统的实施例中的主控插件的运行流程图。

图5示出了本发明的基于自动驾驶的单一接口输入的分布式系统的系统软件升级方法的实施例的流程图。

具体实施方式

以下结合附图和具体实施例对本发明作详细描述。注意，以下结合附图和具体实施例描述的诸方面仅是示例性的，而不应被理解为对本发明的保护范围进行任何限制。

图1示出了本发明的基于自动驾驶的单一接口输入的分布式系统的一实施例的系统结构。请参见图1，本实施例的系统包括终端设备、服务器、防护设备和ato系统。终端设备和服务器通信连接，服务器经由防护设备和ato系统通信连接。在ato系统内设有防护插件、主控插件、交换机、多个插件。其中主控插件中的处理器和防护插件通过通信口双向通讯，主控插件和防护插件之间还连有安全电路控制线。防护插件中还设有安全电路(如图1中所示的安全电路开关)。防护插件中的安全电路开关经由换装数据通信端和交换机进行通信，交换机再和所有的插件相连。

以下结合图2和图3所示的系统内主要组件的数据流程以及图4所示的主控插件的运行流程，对本实施例的分布式系统的系统升级过程进行说明。

终端设备将换装数据发送给服务器，服务器将数据进行处理，然后将数据通过防护设备连接ato系统的数据接口。其中防护设备是将服务器发送过来的数据进行加密打包处理，从而转换成ato系统中的防护插件识别的数据，如果终端设备没有经过防护设备的处理，直接连接到ato系统的数据接口，则ato系统的防护插件不处理传输进来的数据。

当ato系统内的防护插件接收到终端设备的换装数据后进行缓存，然后通过通信口(图1中所示的a通信口，a通信口表示是一个独立的通信口，和换装数据通信端、安全电路控制端相互独立的一路通信接口，该通信口一般采用串口总线的方式，不采用硬线的方式连接)将换装数据转发给主控插件，主控插件收到换装数据后将注册信息通过a通信口发送给防护插件，防护插件再将注册信息转发给终端设备，实现ato系统和终端设备之间的连接和确认。

当主控插件确认符合换装条件时，主控插件通过交换机通知ato系统各个插件准备接收数据(即图3所示的主控插件向交换机询问各插件状态并从交换机处接收到各插件换装状态准备的消息)，并通过a通信口发送确认信号和ato系统的各个插件的ip地址给防护插件，防护插件将确认信号转发给终端设备。

终端设备开始传输ato系统的各个插件的换装数据给ato系统的防护插件。防护插件将接收到的数据进行缓存，同时将不同插件的换装数据进行分类，然后防护插件将数据发送给交换机，并通过不同的ip地址将数据发送给对应的各个插件，同时防护插件从交换机处反馈接收换装数据状态消息，然后转发给终端设备。

主控插件在换装过程中实时监控防护插件的工作。当ato系统因外界意外原因需要终止时，或者防护插件通信数据量过大导致交换机延时严重时，主控插件将通过安全信号控制线控制防护插件中的安全电路开关切断防护插件与交换机的连接，从而释放交换机的压力。同时，主控插件通过a通信口将故障告知防护插件，防护插件进行处理并同时转发给终端设备。

主控插件监控防护插件的数据流向如图3中所示，主控插件通过向交换机发送心跳包消息来检测通信总线是否发生堵塞，如果出现通信总线堵塞，则主控插件硬关闭防护插件与交换机的以太网通信(即，通过防护插件中的安全电路开关切断通信)。防护插件在做故障处理的同时也会将故障信息发送给终端设备。

当ato系统内的各个插件数据传输完毕后，防护插件告知主控插件，主控插件与ato系统的各个插件确认后，就进行各个插件的系统升级。此外，主控插件也是通过交换机进行接收换装数据。

图5示出了本发明的基于自动驾驶的单一接口输入的分布式系统的系统软件升级方法的实施例的流程。请参见图5，本实施例的系统软件升级方法的实施步骤详述如下。

步骤s1：终端设备将换装数据发送给服务器，服务器将换装数据进行处理，然后将换装数据通过防护设备传输至ato系统的数据接口。

防护设备是将服务器发送过来的数据进行加密打包处理，从而转换成ato系统中的防护插件识别的数据，如果终端设备没有经过防护设备的处理，直接连接到ato系统的数据接口，则ato系统的防护插件不处理传输进来的数据。

步骤s2：当ato系统内的防护插件接收到终端设备的换装数据后进行缓存，然后通过通信口将换装数据转发给主控插件，主控插件收到换装数据后将注册信息通过通信口发送给防护插件，防护插件再将注册信息转发给终端设备，实现ato系统和终端设备之间的连接和确认。

步骤s3：当主控插件确认符合换装条件时，主控插件通过交换机通知ato系统各个插件准备接收数据，并通过通信口发送确认信号和ato系统的各个插件的ip地址给防护插件，防护插件将确认信号转发给终端设备。

步骤s4：终端设备开始传输ato系统的各个插件的换装数据给ato系统的防护插件，防护插件将接收到的数据进行缓存，同时将不同插件的换装数据进行分类，然后防护插件将数据发送给交换机，并通过不同的ip地址将数据发送给对应的各个插件，同时防护插件从交换机处反馈接收换装数据状态消息，然后转发给终端设备。

主控插件在换装过程中也会实时监控防护插件的工作。当ato系统因外界意外原因需要终止时，或者防护插件通信数据量过大导致交换机延时严重时，主控插件将通过安全信号控制线控制防护插件中的安全电路开关切断防护插件与交换机的连接，从而释放交换机的压力。同时，主控插件通过通信口将故障告知防护插件，防护插件进行处理并同时转发给终端设备。

主控插件监控防护插件的数据流向如图3中所示，主控插件通过向交换机发送心跳包消息来检测通信总线是否发生堵塞，如果出现通信总线堵塞，则主控插件硬关闭防护插件与交换机的以太网通信(即，通过防护插件中的安全电路开关切断通信)。防护插件在做故障处理的同时也会将故障信息发送给终端设备。

步骤s5：当ato系统内的各个插件数据传输完毕后，防护插件告知主控插件，主控插件与ato系统的各个插件确认后，就进行各个插件的系统升级。

此外，主控插件也是通过交换机进行接收换装数据。

在本发明的方案中，ato系统内各个单元间可以通过以太网进行连接，也可以通过其他总线(例如rs232/422/485总线、can总线、profibus总线、mvb总线等)进行连接。此外，ato系统内各单元可以是也可以不是物理上分开的，可以是位于同一个单元内，或者也可以分布到多个单元上，功能单元可以是单一插件实现某一功能，也可以是不同插件相互组合实现某一功能，可以根据实际需要进行组合和搭配，达到实现本发明方案的目的。也即，上述揭示的实施例中的各个单元是从实现功能方面进行说明的单元。本发明还通过设计带通信和计算处理功能的电源单元，或者使用双电源并联冗余供电，可进一步提高系统可用性。本发明中的a通信口，可以是任何一种通信总线，因此其它总线实现单元之间的通信即为替代方案。

尽管为使解释简单化将上述方法图示并描述为一系列动作，但是应理解并领会，这些方法不受动作的次序所限，因为根据一个或多个实施例，一些动作可按不同次序发生和/或与来自本文中图示和描述或本文中未图示和描述但本领域技术人员可以理解的其他动作并发地发生。

本领域技术人员将进一步领会，结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性，各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性，但这样的实现决策不应被解读成导致脱离了本发明的范围。

结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器，但在替换方案中，该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合，例如dsp与微处理器的组合、多个微处理器、与dsp核心协作的一个或多个微处理器、或任何其他此类配置。

结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中，存储介质可以被整合到处理器。处理器和存储介质可驻留在asic中。asic可驻留在用户终端中。在替换方案中，处理器和存储介质可作为分立组件驻留在用户终端中。

在一个或多个示例性实施例中，所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现为计算机程序产品，则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者，其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定，这样的计算机可读介质可包括ram、rom、eeprom、cd-rom或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(dsl)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来，则该同轴电缆、光纤电缆、双绞线、dsl、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(cd)、激光碟、光碟、数字多用碟(dvd)、软盘和蓝光碟，其中盘(disk)往往以磁的方式再现数据，而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。

提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的，且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此，本公开并非旨在被限定于本文中所描述的示例和设计，而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。