本发明属于高铁列控技术,具体涉及一种高铁列控安全计算机的架构以及主备切换方法。
背景技术:
高铁列控系统主要完成高铁车载逻辑控制、速度监控、测速测距系统、系统平台管理功能等功能。高铁列控安全计算机是列控系统的控制核心,现有的安全计算机采用简单的主备系架构,在单系内数据没有进行交叉比较,安全性低,而且安全计算机采用不同的中断源,同步性差。
技术实现要素:
本发明要解决的技术问题:提供一种高铁列控安全计算机的架构以及主备切换方法,安全计算机主备系的切换由安全计算机平台来实现。
本发明的高铁列控安全计算机的架构,采用2×2的架构设计,分为组成相同的主系和备系,均包括通信接口单元MBI、核心控制单元VCU、无线控制单元RTU和安全列车接口单元TIU,并共用诊断记录单元MTN,其中所述核心控制单元VCU、无线控制单元RTU和安全列车接口单元TIU包括X支路和Y支路,X支路与Y支路的数据相同、且同步相互可见。
采用659总线,为安全计算机提供统一中断源以及通信状态监控标识。
中断最小中断间隔为10ms。
所述通信接口单元MBI实现与所有外部设备的通信;所述核心控制单元VCU负责实现车载逻辑控制、速度监控、测速测距系统、系统平台管理功能;所述无线控制单元RTU实现车载无线电台的通信、对车载无线电台的管理、Subset-037协议实现及密钥管理;所述安全列车接口单元TIU实现安全列车继电器接口信号和非安全信号的输入或输出,以及速传方波信号的采集输入。
一种利用上述的高铁列控安全计算机架构进行主备切换的方法,主、备两系核心控制单元VCU查询并比较所述X支路与Y支路的信号,将比较后信号值相同的数据对外输出,主、备两系核心控制单元VCU通过查询总线上的发送状态标识判断是否正常,若异常则本系停止工作;通过主、备两系核心控制单元VCU按周期检查对系核心控制单元VCU发来的状态信息,判断是否有效,若无效则认为对系故障,本系进入控制,并控制对系停止工作。
本系核心控制单元VCU监控自己发送的状态信息,如果连续3次发送失败,那么本系异常。
所述状态信息包括本地时间戳、命令和本系VCU运行状态。
判断对系发来的时间戳与本地时间戳绝对差值是否在10ms内,若连续3次超出则认为对系发来的状态信息无效。
有益效果:本发明实现了高铁列控计算机平台的主备系切换,提高了高铁列控系统的安全性。
附图说明
图1是本发明高铁列控安全计算机的架构示意图。
具体实施方式
如图1所示,本发明的高铁列控安全计算机采用2×2的架构设计,分为组成相同的主系和备系,均包括通信接口单元MBI、核心控制单元VCU、无线控制单元RTU和安全列车接口单元TIU,其中:
通信接口单元MBI:实现所有外部通信接口,包括Profibus总线通信、MVB总线通信、RS422串口通信、CAN总线通信及以太网通信以及两个无线电台的物理层控制(包括AT指令的收发、控制模式及数据模式的切换操作等)。
核心控制单元VCU:车载设备的核心控制单元,负责实现车载逻辑控制、速度监控、测速测距系统、系统平台管理功能等功能。
无线控制单元RTU:实现车载无线电台的通信、对车载无线电台的管理、Subset-037协议实现及密钥管理等功能。
安全列车接口单元TIU:实现安全列车继电器接口信号的数字输入/输出;实现速传方波信号的采集输入;实现非安全信号的输入及输出,每系包含一块(注,TIU的信号输入/输出都有安全自检功能,不区分安全信号还是非安全信号,安全信号应在系统级应用时增加冗余及板内双硬件交叉自采)。
所述安全计算机还包括诊断记录单元MTN,由主系和备系共用。
诊断记录单元MTN:收集其它功能单元的诊断记录功能并保存以供维护人员读取,维护系统RTC时钟,提供维护总线入口。
各单元通过safebus总线进行通信。核心控制单元VCU、无线控制单元RTU和安全列车接口单元TIU又包括X支路和Y支路。我们采用的safebus总线为659总线。基于659总线的功能,在同一个板卡单元内,X支路与Y支路的数据是相互可见的,在将两个支路的数据进行交叉比较后,才将比较后正确的数据对外输出,所以本方法设计的安全计算机的2×2的架构比通常的主备系架构安全性更高。
采用659总线为安全计算机提供统一的中断源,最小中断间隔为10ms。安全计算机中各个单元在同一中断源下一定是严格的同步运行。
本发明的主备切换方法,高铁列控安全计算机平台通过两系核心控制单元VCU间的通信来实现主备系切换,定义安全计算机平台的核心控制单元VCU在运行时有四种状态:
(1)本系为主系,对系正常;
(2)本系为主系对系故障;
(3)本系为备系,对系正常;
(4)本系备系,对系故障。
每一系的其他单元,由本系核心控制单元VCU单元告知其为主系或者备系。
安全计算机平台在在上电运行后,本系核心控制单元VCU每10ms要向对系核心控制单元VCU发送状态信息,状态信息包括本地时间戳、命令和本系核心控制单元VCU运行状态。本系核心控制单元VCU通过查询总线上的发送状态标识,监控自己发送的状态信息是否成功,如果连续3次发送失败,那么本系核心控制单元VCU宕机。
本系核心控制单元VCU要检查对系核心控制单元VCU发来的状态信息,判断对系发来的时间戳与本地时间戳差的绝对值是否在10ms内,如果满足该条件,就认为对系发来的消息有效,否则认为对系发来的消息无效。如果对系发来的状态信息连续3次无效,就认为对系故障,否则认为对系正常。如果两系VCU均正常,就设定左系VCU为主系,运行状态为本系为主系对系正常,右系VCU为备系,运行状态为本系为备系对系正常。
如果主系VCU判断对系核心控制单元VCU故障,则主系VCU进入本系为主系对系故障模式,向备系发送宕机命令。
本系核心控制单元VCU每10ms要检查对系核心控制单元VCU发来的状态信息,如果对系为主系,且对系命令本系宕机,那么本系核心控制单元VCU宕机。
如果备系VCU判断对系核心控制单元VCU故障,为防止出现两系均为主系的情况,备系VCU不能马上升为主系,它还要判断对系是否掉线。如果对系掉线,那么备系VCU升为主系,进入本系为主系对系故障模式,向对系发送宕机命令。如果对系没有掉线,那么备系VCU进入本系为备系对系故障模式,等待对系掉线之后升为主系。
如果本系核心控制单元VCU判断对系掉线后仍然收到对系发来的有效状态信息,那么认为本系核心控制单元VCU出现异常,本系核心控制单元VCU宕机。
本方法设计的铁列控安全计算机的主备切换方法具有以下优点:
高铁列控安全计算机采用2×2的架构设计,安全性更高;
计算机内各单元采用同一中断源,具有严格的同步性;
核心控制单元VCU监控自己的状态,并且判断对系状态,主备切换逻辑严谨、安全,既有效的实现了主备切换,又避免了出现两系均为主系的危险情况。