一种板级冗余的全电子计算机联锁系统的制作方法

本发明涉及轨道交通技术领域，具体涉及铁路联锁控制系统。

背景技术：

目前国内的计算机联锁系统方案大多是从基于继电器的电气集中联锁系统过渡而来的，实际是一种计算机联锁、继电器执行的方式，实现站内道岔、信号机之间联锁控制。

为了满足轨道交通的功能安全标准的要求，保证系统安全性，往往采用2取2的架构，即：使用2套异构的系统控制同一个设备，当且仅当两套控制器都要求动作时，被控设备才会动作。使用2取2的控制器安全性较高，但是只要有任何一套控制器有故障时，系统将进入无输出的故障安全状态，且系统不能自恢复，需要人为干预更换部件才能使系统恢复正常。因此系统可用性较差，不能满足当下轨道交通可用性要求。

为解决系统可用性跟安全性的问题，现有的联锁系统大都采用简单的系统级的双系热备冗余方案，即2×2oo2(二乘二取二)架构。基于双系热备冗余技术的计算机联锁系统，是两套对称的联锁系统采用互为主备的方式，两套系统没有主次之分，运行期间通过自诊断系统验证本机是否工作正常，双系之间实时交互动态信息，当一系故障时，切换到另一系工作，并且不影响计算机输出的结果。系统级双系热备冗余虽然在某种程度上提升了可用性。

系统级的双系热备冗余虽然在某种程度上提升了可用性，但是系统发生故障后由于整套系统进行主备切换，切换时间较长，且单点故障便会导致双系切换，对可用性的提升能力有限且效率较低，如果两个单点故障将导致系统直接宕机。假设双系分别称为a系与b系，每一系都有多个复杂单板组成，如果a系的输出板1发生故障，同时b系的输入板2发出故障，则系统将无法工作，直接停止运行，系统可用性还是不能满足应用要求。

技术实现要素：

本发明所要解决的技术问题就是提供一种板级冗余的全电子计算机联锁系统，解决系统局部宕机且不能自恢复的问题。

为解决上述技术问题，本发明采用如下技术方案：一种板级冗余的全电子计算机联锁系统，包括联锁a系、联锁b系以及主备切换控制单元，所述联锁a系包括全电子联锁单元a系、交换单元a系、全电子执行单元a系，所述联锁b系包括全电子联锁单元b系、交换单元b系、全电子执行单元b系，所述主备切换控制单元用于控制全电子联锁单元a系和全电子联锁单元b系实现主备切换,所述全电子联锁单元a系通过交换单元a系与全电子执行单元a系以及全电子执行单元b系进行通讯，所述全电子联锁单元b系通过交换单元b系与全电子执行单元b系以及全电子执行单元a系进行通讯，所述全电子执行单元a系包括安全电源板a系、安全通信板a系、两异构的安全控制板a系以及多个安全io板a系，所述全电子执行单元b系包括安全电源板b系、安全通信板b系、两异构的安全控制板b系以及多个安全io板b系，全电子执行单元a系和全电子执行单元b系中对应的两块安全io板共同控制一个被控设备，当全电子执行单元a系或全电子执行单元b系中任一安全io板故障时，系统自动切换到另一系对应安全io板，由该安全io板对被控设备进行控制。

本发明采用单板的冗余切换方案，某系中某块安全io板故障时，能自动切换到另一系的对应安全io板，在不降低系统安全性前提下，较大程度的提升系统的可用性。

因此，允许系统中多个局部故障，提高故障容忍度；而且系统发生局部故障后，只需进行板卡级别的切换，切换时间短，切换效率高。

本发明的具体技术方案及其有益效果将会在下面的具体实施方式中结合附图进行详细的说明。

附图说明

下面结合附图和具体实施方式对本发明作进一步描述：

图1为本发明的全电子计算机联锁系统示意图；

图2为全电子执行单元示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1和图2所示，一种板级冗余的全电子计算机联锁系统，包括联锁a系、联锁b系以及主备切换控制单元，所述联锁a系包括全电子联锁单元a系、交换单元a系、全电子执行单元a系，所述联锁b系包括全电子联锁单元b系、交换单元b系、全电子执行单元b系，所述主备切换控制单元用于控制全电子联锁单元a系和全电子联锁单元b系实现主备切换。

本发明特点在于：在该系统中，两组全电子联锁单元与每一个全电子执行单元进行交叉互连，即，所述全电子联锁单元a系通过交换单元a系与全电子执行单元a系以及全电子执行单元b系进行通讯，所述全电子联锁单元b系通过交换单元b系与全电子执行单元b系以及全电子执行单元a系进行通讯。

其中，所述全电子执行单元a系包括安全电源板a系、安全通信板a系、两异构的安全控制板a系以及多个安全io板a系，所述全电子执行单元b系包括安全电源板b系、安全通信板b系、两异构的安全控制板b系以及多个安全io板b系，全电子执行单元a系和全电子执行单元b系中对应的两块安全io板共同控制一个被控设备。

全电子联锁单元为单元级冗余，全电子联锁单元满足以下条件时，可进行主备切换：

1)对外通信冗余网络均故障(本系通信故障)，对系通信正常情况下，联锁单元冗余切换；

2)本系平台故障或联锁单元自检故障并且对系正常的情况下，联锁单元冗余切换。

全电子执行单元用于实现轨旁信号机和道岔的全电子化驱动，实时检测和采集信号机和道岔状态。其中，被控设备可以是信号机、转辙机等，安全io板可以是信号机驱动板、转辙机驱动板等所有联锁系统涉及的输入输出类型。

全电子执行单元的安全io板为板卡级冗余，当全电子执行单元a系或全电子执行单元b系中任一安全io板故障时，系统自动切换到另一系的对应安全io板，由该安全io板对被控设备进行控制。

如图1和图2中所示，a系的信号机驱动板1与b系的信号机驱动板1互为冗余关系，共同实现对信号机1的全电子化驱动以及信号机1状态的实时检测和采集。同理，a系的信号机驱动板n与b系的信号机驱动板n互为冗余关系，a系的转辙机驱动板n与b系的信号机驱动板n互为冗余关系。

安全io板可通过工业现场总线can与本系安全通信板进行通信，安全通信板通过以太网与对系联锁单元进行通信，以实现各系内部对应位置上的两个安全io板的实时信息交互。此处所涉及的通信协议均为安全通信协议。

只要a系和b系存在一个能够正常工作的联锁单元和一个完整的全电子执行单元组合(可跨a、b系)，则系统就能正常工作。

如，若系统中a系的全电子执行单元信号机驱动板1故障，a系联锁单元可以与同时与a系的全电子执行单元其他单板，外加b系的全电子执行单元信号机驱动板1组成一套完整的系统正常运行。

同理：若系统中b系的全电子执行单元信号机驱动板1故障，b系联锁单元可以与同时与b系的全电子执行单元其他单板，外加a系的全电子执行单元信号机驱动板1组成一套完整的系统正常运行。

本领域技术人员可以理解的是，参考现有技术，系统中，每个单板具有的故障诊断功能，可以诊断单板内的各种故障。系统中，安全io板支持热插拔功能，支持在线更换，以提升系统可维护性。

为更好说明本发明，举例说明如下：

a系的信号机驱动板1与b系的信号机驱动板1同为输出功能，同时控制一个信号机。

a系的信号机驱动板1与b系的信号机驱动板1都具有详细的故障诊断功能，能够诊断内部的mcu故障、电源故障、输出光耦故障、通信故障等。

当a系的信号机驱动板1处于工作状态，b系的信号机驱动板1处于备用状态；即信号的状态实际由a系的信号机驱动板1控制。

当a系信号机驱动板1为工作状态,单板的自我诊断功能诊断到单板故障，如输出光耦故障；a系信号机驱动板1将诊断的单板故障结果通过通信传给控制器；当b系信号机驱动板1为备用状态,单板的自我诊断功能诊断结果是单板功能正常，b系信号机驱动板1将诊断的单板正常结果通过通信传给控制器；控制器将结合a系信号机驱动板1与b系信号机驱动板1的结果，根据控制策略，需要进行信号机驱动板1的a/b系工作/备用状态进行切换。

控制器将通过发送单板冗余切换命令的方式进行切换。

系统单板具有热插拔功能，此时可将故障的a系信号机驱动板1更换成可正常工作的单板。

为了实现上述冗余切换功能，全电子执行单元具体如下：

具体地全电子执行单元包括安全电源模块、安全通信模块、异构的两个安全控制板以及安全io板组成。

安全io板包含信号机驱动板1至n，转辙机驱动板1至n。

每一个转辙机、信号机等被控设备，全电子执行单元中的相同位置的两块驱动单板采集和驱动。

为了避免两系同时驱动转辙机等被控设备导致错误动作，首先，对安全io板而言，只有处于主系的io板，既输出又采集，任何一个备系的驱动板只采集不输出；其次，需要指出的是，a系和b系全电子执行单元之间，仅通过通信接口连接，不存在主备切换电路，因此，全电子执行单元之间的主备切换，必须在通信层保证同一时刻只有一个主系。

此外a、b系需要实时同步，不会出现以为a/b两系的运算结果不一致，导致在切换过程中输出跳变。

除上述优选实施例外，本发明还有其他的实施方式，本领域技术人员可以根据本发明作出各种改变和变形，只要不脱离本发明的精神，均应属于本发明权利要求书中所定义的范围。