一种符合SIL4安全等级的机车信号车载设备电路系统的制作方法

本发明涉及铁路运输安全设备，涉及以使用的多路传输为特征的装置，尤指一种符合sil4安全等级的机车信号车载设备电路系统。

背景技术：

机车信号车载系统设备是自动显示列车运行前方地面信号机显示的设备，主要包括信息接收、信息处理和信息显示三个部分，可以直观、可靠显示列车前方的运行条件，同时具有列车运行数据记录功能。机车信号车载系统设备主机采用多种技术手段以保证系统拥有较高的可靠性、安全性。

机车信号车载系统设备主机运行过程中需连接的主要外部设备为：双面八显示机车信号机(以下简称机车信号机)、机车信号双路接收线圈(以下简称接收线圈)，tax箱，列车运行监控装置(lkj)，机车电源，i/ii端司控开关，连接方法见附图1。

现存的机车信号设备电路系统，基于我国原有的技术条件，不符合欧洲的sil4安全等级，这是其缺点。

技术实现要素：

针对现有技术的缺点，本发明的目的在于提供一种符合sil4安全等级的机车信号车载设备电路系统，参见图5的a套(b套为备用套)，包括dsp1控制模块和dsp2控制模块，dsp1控制模块与dsp2控制模块通过隔离串口3连接，其特征在于：

所述dsp1控制模块连接有第一隔离采样模块11、第一隔离检测模块12、第一隔离电源13、第一隔离can模块14、第一隔离通信模块15、第一输出隔离回检模块16、第一隔离输出模块17和第一隔离回检模块18；所述dsp2系统连接有第二隔离采样模块21、第二隔离检测模块22、第二隔离电源23、第二隔离can模块24、第二隔离通信模块25、第二输出隔离回检模块26、第二隔离输出模块27和第二隔离回检模块28；第一隔离采样模块11和第二隔离采样模块12分别连接输入信号in12和in34；所述第一隔离输出模块17连接第一输出隔离回检模块16和逻辑与模块4；所述第二隔离输出模块27连接第二输出隔离回检模块26和逻辑与模块4；逻辑与模块4连接驱动输出模块5，驱动输出模块5连接第一隔离回检模块18、第二隔离回检模块18和信号机接口模块8，其中：

dsp1控制模块和dsp2控制模块独立对机车信号进行采样、译码，对输入的条件信号i-sz和ii-sz采集，根据译码结果和输入的条件信号决定输出信息，将信息分别通过第一隔离输出模块17和第二隔离输出模块27输出至逻辑与模块4中进行双通道(dsp1控制模块和dsp2控制模块两个通道)比较，若比较的信号一致则输出信号至驱动输出模块5控制信号机接口模块8输出信号；若比较的信号不一致则进入故障处理程序；同时第一隔离输出模块17和第二隔离输出模块27分别将dsp1控制模块和dsp2控制模块的输出信号通过第一输出隔离回检模块18和第二输出隔离回检模块28将dsp1控制模块和dsp2控制模块的输出信号回检；

第一隔离通信模块15和第二隔离通信模块25分别将信号送到通信及其他接口模块9对外输出信号。

图3中的a套与b套结构相同，互为备用。

参见图4，本发明的dsp1控制模块和dsp2控制模块包括；

功能模块a(tf1)：对输入的线圈信号进行采集，然后将采集的线圈信号进行译码，译码的结果供功能模块b和功能模块c使用；

功能模块b(tf2)：输出控制功能，接收功能模块a的译码结果，然后根据输入的上下行(sx/xx)条件、um71模式及系统内部内部移频电化设置、移频线路设置进行输出控制，输出控制通过并口(电平信号)或串口(can总线)输出到机车信号机和lkj；并输出方波到模块g，控制模块g安全电路；

功能模块c(tf3)：载频锁定或切换功能，在zpw-2000区段通过接收25.7hz低频信息实现载频自动锁定或切换；

功能模块d(tf4)：记录功能，记录下列信息：外部输入条件、tax2信息、轨道制式输入信号、系统自检信息、系统运行状态信息和系统输出控制信号；

功能模块e(tf5)：远程监测功能，通过串口向远程监测终端传输系统运行状态信息；

功能模块f(tf2)：根据功能模块b提供的方波，控制安全输出电路，提供50v动态点灯电源。

在应用中，有一个电源模块7，包括i/ii两组线圈，i/ii端信号切换模块6将该两组线圈的信号及条件信号i-sz或ii-sz形成输入信号分别送至第一隔离采样模块11和第二隔离采样模块21。

本发明的有益效果是：拥有较高的可靠性、安全性，符合sil4安全等级。

附图说明

下面结合附图对本发明作进一步的描述。

图1是现有技术的机车信号车载系统示意图。

图2是本发明的系统结构方框图。

图3是本发明的系统架构图。

图4是本发明的dsp控制模块1、2的内部结构方框图。

图5是本发明实施例的系统结构方框图。

图6是本发明实施例的电源模块7接收线圈电路结构方框图。

图7是本发明实施例的电源模块7接收线圈信号图。

图8是本发明实施例的数据采集安全措施图。

图9是本发明实施例的数据采集安全图。

图10是本发明实施例的单套处理的安全措施图。

图11是本发明实施例控制信号输出的安全措施图。

图12是本发明实施例控制信号输出的安全措施图。

图13是本发明实施例动态点灯电气原理图。

图14是本发明实施例回检动态电源电气原理图。

图15是本发明实施例并行输出回检原理图。

图16是本发明实施例软件结构层次图。

图17是本发明实施例软件状态及相互转换图。

图18是本发明实施例初始化运行时序图。

图19是本发明实施例正常运行时序图。

图20是本发明实施例故障停机时序图。

图21是本发明实施例周期服务时序图：21a是定时器周期中断服务程序，执行周期：1ms；21b是mnr组件图，执行周期；约50ms。

具体实施方式

参见图5，本发明实施例包括二块电源板(包含电源模块7、71)、二块主机板(a套、b套)、一块连接板(包含i/ii端信号切换模块6)和一块记录板(图中未标出)。外部的机车信号通过电源模块7的线圈感应后，输送到连接板的i/ii端信号切换模块6，再分配到二块主机板上的dsp1控制模块和dsp2控制模块，分别进行采样解码、输出，最后控制车载机车信号机的显示，以及通过并行串行接口发送到lkj等设备。同时记录板记录线圈的输入信号和解码输出的控制信号，后续通过读出设备读出或通过其它无线设备发送给铁路局。供查询重现分析使用。本设备采用了二取二冗余设计思想，实现了机车信号车载设备的sil4安全等级设计。

如附图6所示，每一个dsp系统，产生1khz的检测信号，经过光耦隔离，再通过电容耦合接收线圈，然后通过隔离采样回检此信号，如果检测到此信号；则判断接收线圈正常。如无则进入故障处理。每一路接收线圈设计有做防过压保护。

如图如附图7所示，单套单路线圈信号输入，外部接收线圈来的信号连接到in1,in2；通过u2隔离放大，送出到后级采样。来自dsp的1khz的检测信号，通过u1隔离后发送给接收线圈，再u2隔离放大，采样后回检此信号判断接收线圈正常。

数据采集的安全

如附图8所示，通过施加1个周期检测信号到采集芯片aic23，然后回dsp系统检测信号实现。

如附图9数据采集安全图所示，dsp的通过数字总线在aic23rout产生1个周期检测信号ce_in12_in，此信号在通过aic23的rlinein回采，通过回检此信号，判断数据采集的工作正常。

单套处理的安全设计

如附图10所示，设计隔离的双路dsp系统，独立处理2路输入信号，然后对译码结果比对。结果一致才输出，不一致切换到另一套。

如附图11隔离全双工串口接口图所示，实现双路dsp系统的隔离通信，u31实现a发送b隔离接收。u46实现b发送a隔离接收。

控制信号输出的安全功能设计

如附图12所示，通过输出动态方波，到安全电路，控制点灯电源实现。

如附图13动态控制的点灯电源图，1路dsp通过送来的动态控制点灯信号abst_1，激励后续的负电压电路，控制继电器rl1，产生d50v1点灯电源,控制继电器触点信号abst_1chk，送回动态回检。确认点灯电源电路的安全工作。

如附图14所示动态回检电源产生和动态回检电源的回检。

如附图15设计并行输出逻辑控制图所示，只有当两路的输出都有效时，才最终输出点灯信号。

外部内部can总线采用隔离的can、内部全双工串口隔离的全双工串口、485接口采用隔离的485接口设计。

机车信号车载设备采用“二乘二取二”结构，其中：主机板a和主机板b构成双机热备关系，当主用主机板故障时，备用主机板自动切换为主用主机板；主机板内双路解码通道构成“二取二”关系，当双通道解码结果不一致时，主机板进入故障状态。

软件设计实现

设计采用层次化的结构，如附图16所示，将软件分为业务层软件、中间层软件和驱动层软件,便于代码的维护和移植。软件状态的相互转换如附图17所示，软件状态的划分3种软件状态，即初始化状态、工作状态、故障状态。

初始化运行时序

初始化如附图18所示，包括硬件初始化、软件初始化、服务初始化、上电自检、上电主备用。硬件初始化：初始化硬件运行环境，例如时钟、外设电源、中断控制器等，是软件运行的基础；软件初始化：初始化变量、加载组件、初始化输出信号等，为软件运行创建一个预知的初始状态；服务初始化：初始化系统定时器服务、周期事件服务，为软件运行提供精确的时间服务；上电自检：检查芯片外设、外部电路、外部输入条件是否正常；上电主备用：初始化主备用状态。

正常运行时序

如附图19所示，正常运行时序(正常状态)，业务层组件的执行流程。没有使用操作系统内核进行任务调度，直接使用c语言入口函数main()进行时间片调度，各业务层组件无固定运行时间，但整个运行周期控制在200ms以内。

故障停机时序

如附图20所示，故障停机时时序，首先关闭输出(包括动态电源控制信号、工作信号、并行输出信号)，响应一次记录板软件的故障信息查询命令后，软件停止运行。

周期服务时序

如附图21所示，周期服务时序,业务层与定时器中断服务程序之间的同步流程。解码软件使用硬件定时器周期性中断服务程序向组件提供周期任务调度服务，中断周期为1ms，组件将任务回调函数注册为周期任务后，回调函数将会被周期性执行。由于周期任务一般会承担关键定时输出任务，不受控地运行将会影响安全，为了避免中断服务程序在主程序运行异常时仍然继续运行，设计了动态计数器以实现周期性中断服务程序受控机制：周期中断每ms递增动态计数器，mnr组件每次执行时重置动态计数器，当周期中断检测到动态计数器超过200ms未被重置时，主动关闭定时器中断并关闭输出，进入故障状态，此时主程序已经跑飞，中断程序不再返回，直接停止运行。周期中断的运行受到mnr组件的控制，当mnr组件运行异常，200ms内未重置动态计数器，周期中断也将停止运行，以保证不再输出动态电源控制信号等关键信号，系统将处于安全的状态。

检测内容

检测功能设计有上电自检，和周期自检。

上电自检

上电自检初始化成功后被执行一次，上电自检的项目有cpu检测、ram检测、rom检测、接收线圈断线检测、工作时钟检测、采样正确性检测、电源电压检测、工作温度检测、上下行设置检测、方式设置检测。上电自检过程中检测出任何异常，直接进入故障停机，上电自检完全正常时，会转入上电主备用功能。

周期自检

周期自检是为了持续性检测硬件和软件是否正常工作，将在每个执行周期被执行，最大执行周期为0.2秒。周期自检的项目包括cpu检测、ram检测、rom检测、接收线圈断线检测、工作时钟检测、采样正确性检测、电源电压检测、工作温度检测、上下行设置检测、方式设置检测、继电器粘连检测、输出反馈检测、组件运行检测、译码同步检测、动态电源检测。