双机热备结构的ato设备的故障检测和切换方法

双机热备结构的ato设备的故障检测和切换方法
【专利摘要】本发明公开了全自动驾驶系统设计【技术领域】中的一种双机热备结构的ATO设备的故障检测和切换方法。系统包括主机、备机、主机微处理器、备机微处理器、管理单元、输入单元和输出单元；主机微处理器置于主机中，并分别通过数据输入通道和主机数据输出通道与输入单元和输出单元相连；备机微处理器置于备机中，并分别通过数据输入通道和备机数据输出通道与输入单元和输出单元相连；管理单元分别与主机和备机相连；管理单元在检测到主机故障信号时，屏蔽主机数据输出通道；在检测到备机故障信号时，屏蔽备机数据输出通道。本发明实现了双机热备结构的ATO设备对自身硬件故障和软件运行错误的诊断，并且切换过程无错误数据输出。
【专利说明】双机热备结构的ATO设备的故障检测和切换方法

【技术领域】
[0001]本发明属于全自动驾驶系统设计【技术领域】，尤其涉及一种双机热备结构的ATO设备的故障检测和切换方法。

【背景技术】
[0002]由于AT0(Automatic Train Operat1n,全自动列车驾驶)设备主要用于代替司机驾驶列车运行，ATO设备的故障将会对列车运行造成较大影响。因此在面向全自动驾驶(Fully Automatic Operat1n,FA0)系统的开发和研究中，为了保证ATO设备的高可靠性，首要任务是对ATO设备进行冗余设计，例如采用双机热备冗余结构。
[0003]在现有的双机热备技术方案中，很多系统在主备机单元之间设置心跳线，依靠软件实现对主机和备机工作状态的故障检测和故障切换。这种方式需要大量的软件设计来检测主机、备机的工作状态，而且部分双机热备技术方案缺少第三方监督。当心跳线出现错误时，可能导致备机误升“主”机，产生双主机状态，影响信息传输和控制。
[0004]本发明设计了一种基于数据通道有效性的双机热备结构ATO故障检测和故障切换方法。利用数据输出通道的有效性作为主、备机切换的依据。采用该设计的优点在于准确定位故障位置，防止切换异常导致错误数据输出。该设计包括主机、备机、管理单元。此外还包括输入单元和输出单元作为ATO和外界其它设备通信的传输。


【发明内容】

[0005]本发明的目的在于，提供一种双机热备结构的ATO设备的故障检测和切换方法，用于解决现有的ATO设备在故障检测和故障切换时存在的问题。
[0006]为了实现上述目的，本发明提出的技术方案是，一种双机热备结构的ATO设备的故障检测系统，包括主机和备机，其特征是所述系统还包括:主机微处理器、备机微处理器、管理单元、输入单元和输出单元；
[0007]所述主机微处理器置于主机中，并分别通过数据输入通道和主机数据输出通道与输入单元和输出单元相连；
[0008]所述备机微处理器置于备机中，并分别通过数据输入通道和备机数据输出通道与输入单元和输出单元相连；
[0009]所述管理单元分别与主机和备机相连；
[0010]所述输入单元用于通过数据输入通道向主机和备机发送数据；
[0011]所述主机微处理器用于检测自身是否出现故障，在自身出现故障时，通过主机向管理单元发送主机故障信号；
[0012]所述备机微处理器用于检测自身是否出现故障，在自身出现故障时，通过备机向管理单元发送备机故障信号；
[0013]所述管理单元用于在检测到主机故障信号时，屏蔽主机数据输出通道；在检测到备机故障信号时，屏蔽备机数据输出通道；
[0014]所述输出单元用于检测主机数据输出通道和备机数据输出通道的工作状态，当输出单元仅检测到备机数据输出通道的工作状态时，则将备机升级为主机；当输出单元仅检测到主机数据输出通道的工作状态时，则所述系统处于单主机模式；当检测不到主机数据输出通道和备机数据输出通道的工作状态时，则控制ATO设备宕机。
[0015]所述输出单元用于同时检测到主机数据输出通道和备机数据输出通道的工作状态时，对主机数据输出通道和备机数据输出通道输出的数据进行比较，如果主机数据输出通道和备机数据输出通道输出的数据一致，则输出主机数据输出通道的数据；否则，控制ATO设备岩机。
[0016]所述管理单元通过数据输入通道与输入单元相连，用于检测数据输入通道的输入数据，如果管理单元检测到数据输入通道的输入数据异常，则屏蔽主机数据输出通道和备机数据输出通道。
[0017]所述管理单元通过主机数据输出通道与输出单元相连，用于检测主机数据输出通道的输出数据。
[0018]所述管理单元通过备机数据输出通道与输出单元相连，用于检测备机数据输出通道的输出数据。
[0019]一种双机热备结构的ATO设备的故障检测方法，其特征是所述方法包括:
[0020]步骤1:主机微处理器和备机微处理器周期性地自检；
[0021]步骤2:当主机微处理器检测自身出现故障时，通过主机向管理单元发送主机故障信号;
[0022]当备机微处理器检测自身出现故障时，通过备机向管理单元发送备机故障信号；
[0023]步骤3:如果管理单元检测到主机故障信号，则屏蔽主机数据输出通道；
[0024]如果管理单元检测到备机故障信号，则屏蔽备机数据输出通道；
[0025]步骤4:当输出单元仅检测到备机数据输出通道的工作状态时，则将备机升级为主机；当输出单元仅检测到主机数据输出通道的工作状态时，则所述系统处于单主机模式；当检测不到主机数据输出通道和备机数据输出通道的工作状态时，则控制ATO设备宕机。
[0026]所述步骤4还包括，输出单元同时检测到主机数据输出通道和备机数据输出通道的工作状态时，对主机数据输出通道和备机数据输出通道输出的数据进行比较，如果主机数据输出通道和备机数据输出通道输出的数据一致，则输出主机数据输出通道的数据；否贝U，控制ATO设备宕机。
[0027]所述步骤3包括，如果管理单元检测到数据输入通道的输入数据异常，则屏蔽主机数据输出通道和备机数据输出通道。
[0028]本发明实现了双机热备结构的ATO设备对自身硬件故障和软件运行错误的诊断，并且切换过程无错误数据输出。

【专利附图】

【附图说明】
[0029]图1是双机热备结构的ATO设备的故障检测系统结构图；
[0030]图2是主机微处理器自检异常时处理图；
[0031]图3是备机微处理器自检异常时处理图；
[0032]图4是RM48微处理器自检比较结构图。

【具体实施方式】
[0033]下面结合附图，对优选实施例作详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。
[0034]如图1所示，本发明提供的双机热备结构的ATO设备的故障检测系统包括主机和备机，还包括:主机微处理器、备机微处理器、管理单元、输入单元和输出单元。
[0035]主机微处理器置于主机中，并分别通过数据输入通道和主机数据输出通道与输入单元和输出单元相连。备机微处理器置于备机中，并分别通过数据输入通道和备机数据输出通道与输入单元和输出单元相连。管理单元分别与主机和备机相连。
[0036]输入单元用于通过数据输入通道向主机和备机发送数据。
[0037]如图2所示，主机微处理器用于检测自身是否出现故障，在自身出现故障时，通过主机向管理单元发送主机故障信号。管理单元在检测到主机故障信号时，屏蔽主机数据输出通道。
[0038]如图3所示，备机微处理器用于检测自身是否出现故障，在自身出现故障时，通过备机向管理单元发送备机故障信号。管理单元在检测到备机故障信号时，屏蔽备机数据输出通道。
[0039]输出单元用于检测主机数据输出通道和备机数据输出通道的工作状态，当输出单元仅检测到备机数据输出通道的工作状态时，则将备机升级为主机；当输出单元仅检测到主机数据输出通道的工作状态时，则所述系统处于单主机模式；当检测不到主机数据输出通道和备机数据输出通道的工作状态时，则控制ATO设备宕机。
[0040]输出单元进一步还用于同时检测到主机数据输出通道和备机数据输出通道的工作状态时，对主机数据输出通道和备机数据输出通道输出的数据进行比较，如果主机数据输出通道和备机数据输出通道输出的数据一致，则输出主机数据输出通道的数据；否则，控制ATO设备宕机。
[0041]管理单元进一步通过数据输入通道与输入单元相连，用于检测数据输入通道的输入数据，如果管理单元检测到数据输入通道的输入数据异常，则屏蔽主机数据输出通道和备机数据输出通道。
[0042]进一步，管理单元通过主机数据输出通道与输出单元相连，用于检测主机数据输出通道的输出数据。
[0043]进一步，管理单元通过备机数据输出通道与输出单元相连，用于检测备机数据输出通道的输出数据。
[0044]以下以RM48微处理器为例，对本发明进行进一步说明。
[0045]德州仪器的RM48微处理器与许多严重依赖软件来获得安全能力的微控制器不同，它可利用自身硬件结构实现安全特性，提供最高水平的在线诊断功能，以监测芯片内部故障，最大限度地提升性能并降低软件开销。
[0046]RM48微处理器是一款基于锁步双ARM Cortex_R4F核的32位RISC微处理器。两个内核一个用于主控，另一个用于监测，并且为了避免相互影响，两个内核的数据采用不同的延迟方式。如图4所示，CPUl用于执行程序，CPU2只负责锁步监控，两个CPU执行相同的指令。但对于同一条指令，CPUl永远优先于CPU2两个时钟周期，二者的运算结果进行比较。如果比较不一致，贝1J认为微处理器出现故障，产生错误信号模块(error singal module,ESM)故障信号。
[0047]本发明基于RM48微处理器设计了双机热备结构ΑΤ0，如图1的结构图所示。本发明采用CAN总线通信作为ATO内部的数据通道，并根据CAN总线消息ID判断CAN总线的通信状态。主机和备机同时通过CANl总线(数据输入通道)接收数据，CAN2总线作为主机的数据输出通道，CAN3总线作为备机的数据输出通道。
[0048](I)主机自检出现ESM故障信号。
[0049]当主机的RM48微处理器通过自检出现异常时，产生ESM故障信号，管理单元监测到该故障信号后，发送高电平信号关闭CAN2收发器，从而屏蔽了主机的数据输出通道CAN2总线。与此同时，输出单元检测不到CAN2总线消息ID，则认为主机故障，立即切换到CAN3总线的数据(即备机)作为ATO的输出，系统处于单备机模式。
[0050](2)备机自检出现ESM故障信号
[0051]当备机的RM48微处理器通过自检出现异常时，产生ESM故障信号，管理单元监测到该故障信号后，发送高电平信号关闭CAN3收发器，从而屏蔽了备机的数据输出通道CAN3总线。与此同时，输出单元检测不到CAN3总线消息ID，则认为备机故障，系统处于单主机模式。
[0052]具体设计过程中，可以如图1所示，主机和备机的ESM模块引脚分别连接到管理单元的G10A[1]和G1A[O]引脚(这是一种1引脚连接)。正常情况下，ESM的引脚为高电平，微处理器自检异常触发ESM模块时，ESM的引脚为低电平。而且，考虑到数据输出通道受外界因素影响产生中断，管理单元的G10A[1](或G10A[0])引脚同样检测到低电平，从而认为主机(或备机)故障。另外，将管理单元的N2HET[4]和N2HET[5]引脚分别连接到了CAN2和CAN3收发器的使能端。管理单元通过控制CAN2和CAN3收发器的使能端电平信号，实现对CAN2和CAN3收发器的控制。
[0053](3) RM48微处理器未检测到的异常。
[0054]输出单元同时接收CAN2总线和CAN3总线的数据，并对这两路数据进行对比，因此系统必须满足同步设计。内容比较一致，则选择CAN2总线的数据作为ATO的输出；比较不一致，则ATO宕机。在单机工作模式下，不进行比较。
[0055](4)CANl总线通信中断
[0056]CANl总线作为主机和备机的数据输入通道，正常情况下,主/备机通过CANl总线接收到数据后，进行运算处理，并将运算结果通过CAN2(或CAN3)总线发送到输出单元。如果CANl总线通信中断，主/备机检测不到CANl总线消息ID，从而停止向CAN2总线和CAN3总线发送数据，输出单元检测不到CAN2总线和CAN3总线消息ID，ATO宕机，系统无输出。
[0057]采用CAN总线通信方式进行具体设计时，管理单元监测CANl总线的消息ID，从而实现对数据输入通道的监测。如果输入数据通道异常，管理单元通过N2HET[4]和N2HET[5]引脚屏蔽CAN2和CAN3收发器，从而系统停止输出。
[0058]需要说明的是，工作状态是指数据输入/输出通道的状态(正常or异常)，在实施例中，通过检测CAN1/CAN2/CAN3总线的消息ID来判断数据输入/输出通道的工作状态。在CAN总线通信中,数据是存储在消息(RM48芯片手册中定义的是messagebox)中传输,并且用不同的ID号来区分不同的消息。
[0059](5)CAN2总线通信中断
[0060]CAN2总线作为主机的数据输出通道，如果CAN2总线受到外部环境干扰破坏导致通信中断，输出单元检测不到CAN2总线消息ID，则认为主机故障，立即切换到CAN3总线的数据(即备机)作为ATO的输出，系统处于单备机模式。
[0061](6)CAN3总线通信中断
[0062]CAN3总线作为备机的数据输出通道，如果CAN3总线受到外部环境干扰破坏导致通信中断，输出单元检测不到CAN3总线消息ID，则认为备机故障，系统处于单主机模式。
[0063]与上述工作过程相应，本发明还提供了一种双机热备结构的ATO设备的故障检测方法，该方法包括:
[0064]步骤1:主机微处理器和备机微处理器周期性地自检。
[0065]步骤2:当主机微处理器检测自身出现故障时，通过主机向管理单元发送主机故障信号。
[0066]当备机微处理器检测自身出现故障时，通过备机向管理单元发送备机故障信号。
[0067]步骤3:如果管理单元检测到主机故障信号，则屏蔽主机数据输出通道。
[0068]如果管理单元检测到备机故障信号，则屏蔽备机数据输出通道。
[0069]步骤4:当输出单元仅检测到备机数据输出通道的工作状态时，则将备机升级为主机；当输出单元仅检测到主机数据输出通道的工作状态时，则所述系统处于单主机模式；当检测不到主机数据输出通道和备机数据输出通道的工作状态时，则控制ATO设备宕机。
[0070]进一步，步骤4还包括:输出单元同时检测到主机数据输出通道和备机数据输出通道的工作状态时，对主机数据输出通道和备机数据输出通道输出的数据进行比较，如果主机数据输出通道和备机数据输出通道输出的数据一致，则输出主机数据输出通道的数据；否则，控制ATO设备宕机。
[0071]进一步，在步骤3中，还可以包括:如果管理单元检测到数据输入通道的输入数据异常，则屏蔽主机数据输出通道和备机数据输出通道。
[0072]以上所述，仅为本发明较佳的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。
【权利要求】
1.一种双机热备结构的ATO设备的故障检测系统，包括主机和备机，其特征是所述系统还包括:主机微处理器、备机微处理器、管理单元、输入单元和输出单元； 所述主机微处理器置于主机中，并分别通过数据输入通道和主机数据输出通道与输入单元和输出单元相连； 所述备机微处理器置于备机中，并分别通过数据输入通道和备机数据输出通道与输入单元和输出单元相连； 所述管理单元分别与主机和备机相连； 所述输入单元用于通过数据输入通道向主机和备机发送数据； 所述主机微处理器用于检测自身是否出现故障，在自身出现故障时，通过主机向管理单元发送主机故障信号； 所述备机微处理器用于检测自身是否出现故障，在自身出现故障时，通过备机向管理单元发送备机故障信号； 所述管理单元用于在检测到主机故障信号时，屏蔽主机数据输出通道；在检测到备机故障信号时，屏蔽备机数据输出通道； 所述输出单元用于检测主机数据输出通道和备机数据输出通道的工作状态，当输出单元仅检测到备机数据输出通道的工作状态时，则将备机升级为主机；当输出单元仅检测到主机数据输出通道的工作状态时，则所述系统处于单主机模式；当检测不到主机数据输出通道和备机数据输出通道的工作状态时，则控制ATO设备宕机。
2.根据权利要求1所述的系统，其特征是所述输出单元用于同时检测到主机数据输出通道和备机数据输出通道的工作状态时，对主机数据输出通道和备机数据输出通道输出的数据进行比较，如果主机数据输出通道和备机数据输出通道输出的数据一致，则输出主机数据输出通道的数据；否则，控制ATO设备宕机。
3.根据权利要求1或2所述的系统，其特征是所述管理单元通过数据输入通道与输入单元相连，用于检测数据输入通道的输入数据，如果管理单元检测到数据输入通道的输入数据异常，则屏蔽主机数据输出通道和备机数据输出通道。
4.根据权利要求1或2所述的系统，其特征是所述管理单元通过主机数据输出通道与输出单元相连，用于检测主机数据输出通道的输出数据。
5.根据权利要求1或2所述的系统，其特征是所述管理单元通过备机数据输出通道与输出单元相连，用于检测备机数据输出通道的输出数据。
6.一种双机热备结构的ATO设备的故障检测方法，其特征是所述方法包括: 步骤1:主机微处理器和备机微处理器周期性地自检； 步骤2:当主机微处理器检测自身出现故障时，通过主机向管理单元发送主机故障信号; 当备机微处理器检测自身出现故障时，通过备机向管理单元发送备机故障信号； 步骤3:如果管理单元检测到主机故障信号，则屏蔽主机数据输出通道； 如果管理单元检测到备机故障信号，则屏蔽备机数据输出通道； 步骤4:当输出单元仅检测到备机数据输出通道的工作状态时，则将备机升级为主机；当输出单元仅检测到主机数据输出通道的工作状态时，则所述系统处于单主机模式；当检测不到主机数据输出通道和备机数据输出通道的工作状态时，则控制ATO设备宕机。
7.根据权利要求6所述的方法，其特征是所述步骤4还包括，输出单元同时检测到主机数据输出通道和备机数据输出通道的工作状态时，对主机数据输出通道和备机数据输出通道输出的数据进行比较，如果主机数据输出通道和备机数据输出通道输出的数据一致，则输出主机数据输出通道的数据；否则，控制ATO设备宕机。
8.根据权利要求6或7所述的方法，其特征是所述步骤3包括，如果管理单元检测到数据输入通道的输入数据异常，则屏蔽主机数据输出通道和备机数据输出通道。
【文档编号】G05B23/02GK104267713SQ201410438697
【公开日】2015年1月7日 申请日期:2014年9月1日 优先权日:2014年9月1日
【发明者】步兵, 马龙, 唐涛, 郜春海 申请人:北京交通大学