基于单CPU且满足二取二的铁路安全控制系统及方法与流程

本发明涉及一种控制系统中的基于单cpu的、满足二取二的安全型控制板，特别是在单个cpu中，采用失效-安全原理，循环运行两个孪生程序，并在每个运行周期对两个孪生程序保存在不同地址的运算结果进行比较，比较一致后输出，从而完成安全系统中cpu控制板的软件和硬件异构、防止单点失效的安全功能，属于铁路安全控制。

背景技术：

1、随着我国高速铁路和城市轨道交通的快速发展，为了保证列车的安全可靠运行，越来越多的安全控制系统投入到轨旁控制和列车控制系统，如轨旁的计算机联锁系统、地面列控系统，临时限速服务器，rbc等，车载设备主要是车载atp系统。这些系统为了提高系统的安全性，系统核心架构从原先的单机、双机热备向二乘二取二(两个二取二架构热备冗余)或三取二冗余发展，目前我国铁路安全控制系统大多采用的是二乘二取二冗余架构。目前二乘二取二系统是由两个二取二单系构成的双机热备，平时由主系二取二工作，另一系二取二处于热备状态，当主机二取二出现比较不一致时，切换到备机工作。二取二提高了系统的安全性，双机热备又提高了系统的可靠性。目前主流二取二都是采用的双cpu板或单板双cpu的结构，同步采用总线级同步或任务级同步两种方式。两个cpu中运行相同的安全程序(也有采用软件异构)，在每个运行周期结束后，将两个程序运行结果进行比较，比较采用比较器或直接通信比较的方式，如图1所示，比较一致后输出安全结果。

2、目前双cpu方式的二取二架构虽然能够满足铁路安全控制系统的需要，但是基于双cpu的系统结构比较复杂，双cpu的同步和比较时间比较长，降低了系统的实时性。同时系统也要求其接口采用同样的架构，造成系统整体结构复杂程度成倍增加，不但增加了系统的成本，故障点增加，而且系统在运行过程中经常出现比较不一致造成系统主备切换的情况。系统出现故障后也不容易定位分析。复杂的系统结构也不利于系统小型化，无法满足一些安装空间比较有限的场景。发明一种基于单cpu且满足二取二的系统能够在满足铁路安全控制系统安全性的前提下，对提高二取二系统可靠性，设备小型化以及降低成本都有着积极的意义。

技术实现思路

1、为了解决现有技术的不足，本发明提供一种基于单cpu且满足二取二的铁路安全控制系统及方法，解决现有技术二乘二取二冗余架构中安全控制系统的弊端。

2、本发明解决其技术问题所采用的技术方案为：

3、一种基于单cpu且满足二取二的铁路安全控制系统，以cpu为核心控制板，所述控制板上安装有cpu、电源及开门狗电源、以太网转换芯片、can收发器、介质访问控制器、ddr和调试接口，所有单元均密封设置在控制板上，其中，调试接口下载程序和软件调试，其特征在于：

4、所述cpu完成软件运行及调度；

5、所述电源及看门狗模块为系统提供电源以及电源的检测，看门狗对电源进行监督，当监督失败时，复位控制板；所述cpu采用独立看门狗方式对cpu运行和外部时钟进行检测，由于独立开门狗采用的是cpu内部时钟，即使外部时钟故障时，也能正常工作。该安全控制系统上电复位后，开门狗自动运行，cpu在运行过程中，周期地给看门狗计时器赋值，如果由于cpu或软件运行故障不能正常给看门狗计时器赋值时，当其计数器达到给的超时值时，则系统产生复位，保证本系统安全。

6、所述外部时钟发生器为控制板提供时钟；

7、所述cpu上的can控制器a外接can收发器并完成与第一路安全输入输出模块的通信；

8、所述cpu上的can控制器b外接can收发器并完成与第二路安全输入输出模块的通信；

9、以及，两路can控制器通信采用相反的编码进行信息的输入和输出；

10、所述介质访问控制器通过dma方式与cpu连接，构成一个以太网安全接口，此以太网安全接口完成系统采用双套时，两套之间的通信接口连接；

11、cpu采用qsgmii方式与一个以太网转换芯片接口，由以太网转换芯片扩展成四个以太网接口，分别为两个安全以太网接口和两个非安全以太网接口；

12、两个安全以太网接口采用安全协议与安全系统进行通信，相互间互为冗余；

13、两个非安全以太网接口与非安全系统进行通信，相互间互为冗余；

14、ddr存储程序，通过qspi接口与cpu连接。

15、一种基于单cpu且满足二取二的铁路安全控制方法：以cpu为核心控制板，所述控制板上安装有cpu、电源及开门狗电源、以太网转换芯片、can收发器、介质访问控制器、ddr和调试接口，所有单元均密封设置在控制板上，其中，调试接口下载程序和软件调试，其特征在于：

16、所述cpu完成软件运行及调度；

17、所述电源及看门狗模块为系统提供电源以及电源的检测，看门狗对电源进行监督，当监督失败时，复位控制板；所述cpu采用独立看门狗方式对cpu运行和外部时钟进行检测，由于独立开门狗采用的是cpu内部时钟，即使外部时钟故障时，也能正常工作。该安全控制系统上电复位后，开门狗自动运行，cpu在运行过程中，周期地给看门狗计时器赋值，如果由于cpu或软件运行故障不能正常给看门狗计时器赋值时，当其计数器达到给的超时值时，则系统产生复位，保证本系统安全。

18、所述外部时钟发生器为控制板提供时钟；

19、所述cpu上的can控制器a外接can收发器并完成与第一路安全输入输出模块的通信；

20、所述cpu上的can控制器b外接can收发器并完成与第二路安全输入输出模块的通信；

21、以及，两路can控制器通信采用相反的编码进行信息的输入和输出；

22、所述介质访问控制器通过dma方式与cpu连接，构成一个以太网安全接口，此以太网安全接口完成系统采用双套时，两套之间的通信接口；

23、cpu采用qsgmii方式与一个以太网转换芯片接口，由以太网转换芯片扩展成四个以太网接口，分别为两个安全以太网接口和两个非安全以太网接口；

24、两个安全以太网接口采用安全协议与安全系统进行通信，相互间互为冗余；

25、两个非安全以太网接口与非安全系统进行通信，相互间互为冗余；

26、ddr存储程序，通过qspi接口与cpu连接，该程序软件分为以下六个模块，并顺序运行：cpu自检模块、输入处理模块、孪生模块a、孪生模块b、比较模块和输出模块；

27、所述cpu自检模块，cpu自检包括对时钟自检、运行调度自检、内存自检，自检失败时，系统退出程序并导向安全侧；

28、其中，时钟自检及运行调度自检是通过每个运行周期向外部看门狗计时器赋值，当时钟或者程序运行失败时，停止向看门狗计数器赋值，看门狗计数器计数到规定的数值时，系统退出程序并导向安全侧；

29、输入处理模块是对系统的两路输入处理后进行比较，当比较一致时，程序继续运行，否则比较失败，系统退出程序并导向安全侧；

30、孪生模块a，此模块的关键变量值用正向编码的方式执行程序，程序逻辑与孪生模块b相同，用户程序配置有同步码位，记录程序运行周期数量，程序每运行一个周期，同步码位递增，当码位递增到最大值时，重新从最小值开始递增；

31、孪生模块b，此模块的关键变量值采用反向编码的方式执行程序，程序逻辑与孪生模块a相同，与孪生模块a相同也配置有同步码位，与a不同的是程序每运行一个周期，同步码递减，当码位递减到最小值时，重新从最大值开始递减；

32、比较模块对孪生模块a和孪生模块b的同步码位做加法运算，如果结果为最大值，则运算正确，否则表示两个孪生程序运行同步失败，系统退出程序并导向安全侧；

33、比较模块执行对孪生模块a和孪生模块b的关键变量值进行比较，比较一致时，形成系统的输出，比较不一致时，系统退出程序并导向安全侧；

34、输出模块针对不同的输出打包处理；

35、程序软件按照固定周期循环运行。

36、进一步地，设计另一套同样的系统与本系统形成热备关系，且两套设备的电源相互隔离。

37、进一步地，两套系统安装在标准的机柜中，两系之间通过cpu以以太网的方式连接，相互传递的信息包括：

38、相互之间互传安全输入；

39、相互之间互传安全输出；

40、同步及切换信息。

41、进一步地，采用不间断电源输出200v交流电源给系统电源模块供电，系统电源模块经过交直流转换单元输出±5v，电源模块也安装在同一个机笼中，通过机笼背板的电源总线为cpu提供工作电源。

42、进一步地，cpu输入信息包括：

43、两路can的现场采集信息通过正反码比较技术保证信息的安全性后，作为输入cpu的现场设备状态信息；

44、cpu对以太网接收数据根据安全协议解析后形成安全输入信息，两路安全以太网通信互为热备冗余，非安全以太网采用内部协议与非安全设备进行通信，采用两路冗余方式；

45、双套之间的同步信息包括另一套系统发送过来输入输出信息和必要的系统中间状态信息。

46、进一步地，在cpu自检通过且确保两个安全孪生程序安全正确执行后，cpu将输出信息包括：

47、对现场驱动信息分别采用正码和反码的处理后，由两路can接口发送给输出模块，由输出模块控制现场设备；

48、安全通信输出信息是根据标准的安全通信协议对系统的通信输出信息进行打包后分为两份数据，由两个安全以太网接口发送给另外的安全设备；

49、非安全通信信息是按照内部协议对非安全输出信息进行打包后分为两份数据，由两个非安全以太网通信接口发送给另外的非安全设备；

50、双套间同步输出信息是将系统的输出信息和必要的系统的状态信息发送给另一套系统。

51、进一步地，孪生程序模块a和孪生程序模块b采用相同逻辑，但关键变量值采用不同的编码，以及孪生程序模块a和孪生程序模块b采用模块采用同步码位，两个模块运行的同步，

52、以及，孪生程序模块a和孪生程序模块b执行代码、中间逻辑变量、输出变量申请不同的内存地址，完成内存二取二异构功能。

53、本发明的有益效果是：本发明采用单cpu、孪生安全程序、内存异构方式形成的二取二不但能够实现安全系统的硬件异构，也能够实现系统的软件异构，满足了系统的安全需求。同时降低了系统及其接口的结构复杂度，提高了系统的实时性和可靠性。在经济方面不但降低了二取二系统的成本，也降低了系统的用电需求。尤其在系统小型化方面节省了系统的安装空间。