基于通用服务器的增强型信号控制系统及方法与流程

本发明涉及一种信号控制系统及方法，属于轨道交通技术领域，具体是涉及一种基于通用服务器的增强型信号控制系统及方法。

背景技术：

城市轨道交通作为大容量的交通工具，其安全性直接关系到广大乘客的生命安全，其运行效率直接影响广大乘客的出行体验。信号控制系统是保障行车安全、提高运行效率的核心技术和关键设备，故其可靠性和安全性是评价信号系统性能优劣的重要指标。信号控制系统中的设备或软件一旦出现故障，对系统影响很大，甚至使系统不能正常工作，从而导致系统无法控制行车，不能保障正常安全的铁路运输。因此在信号控制系统中都采取必要的冗余技术来提高系统的可靠性和安全性。

目前采用避错和容错两种技术可以有效的提高信号控制系统的可靠性和安全性。避错技术的目标是尽量较少系统发生故障的概率，尽量减小系统的失效率来提高系统的可靠性和安全性。避错技术不能完全解决系统可靠性和安全性问题，也不可能使硬件、软件的故障率为0，所以为此要进一步提高系统的可靠性就必须采用容错技术。冗余技术是容错技术的核心，容错计算也是通过计算机资源的冗余来实现。信号控制系统在设计时，首先采用避错技术提高系统的可靠性和安全性，在此基础上容错技术作为重要补充来进一步提高系统的可靠性和安全性。

技术实现要素：

本发明主要的目的是解决现有技术中所存在的上述的技术问题，提供了一种基于通用服务器的增强型信号控制系统及方法。该系统及方法

为解决上述问题，本发明的方案是：

一种基于通用服务器的增强型信号控制系统，包括：

至少四个服务器，所述至少四个服务器在启动后，包括至少m个master服务器和至少一个slave服务器；所述至少m个master服务器通过选举确定一台master服务器作为主用leader服务器用于对外提供服务，未被选举为主用leader服务器的master服务器为follower服务器；所述follower服务器中的一台被选举为备用leader服务器；

所述master服务器之间周期性的进行数据同步，同时接收对方发送的计算结果数据，并与自身计算结果进行比较；

其中，当主用leader服务器计算结果与k个follower服务器的计算结果相同时对外输出数据，并将结果与其不同的follower服务器设置为故障模式，同时将至少一个slave服务器激活为master服务器；若主用leader服务器计算结果与m-k个follower服务器的计算结果不同时，停止主用leader服务器对外输出并将主用leader服务器设置为故障状态。

优选的，上述的一种基于通用服务器的增强型信号控制系统，所述服务器为四个，所述master服务器的数量m为3个，所述slave服务器为1个，其中k为1。

优选的，上述的一种基于通用服务器的增强型信号控制系统，所述服务器为五个，所述master服务器的数量m为四个，所述slave服务器为1个，其中k为2。

优选的，上述的一种基于通用服务器的增强型信号控制系统，所述follower服务器的计算结果与k个master服务器的计算结果相同时则保持不变，与m-k个master服务器的计算结果不同时则进入故障状态。

优选的，上述的一种基于通用服务器的增强型信号控制系统，当所述主用leader服务器设置为故障状态，并且当所述备用leader服务器的计算结果与k个master服务器的计算结果相同时，将所述备用leader服务器设置为主用leader服务器，并且选举产生新的备用leader服务器。

优选的，上述的一种基于通用服务器的增强型信号控制系统，当所述备用leader服务器的计算结果与m-k个master服务器的计算结果不同时，则将备用leader服务务器设置为故障模式，并且选产生新的备用leader服务器。

优选的，上述的一种基于通用服务器的增强型信号控制系统，所述slave服务器接收主用主用leader服务器的同步状态信息以及激活为master服务器的命令信息。

优选的，上述的一种基于通用服务器的增强型信号控制系统，设置为故障状态的服务器将自动重启并将自身设置为slave服务器。

一种基于通用服务器的增强型信号控制方法，包括：

将至少四个服务器组成一冗余架构，所述至少四个服务器在启动后，包括至少m个master服务器和至少一个slave服务器；所述至少m个master服务器通过选举确定一台master服务器作为主用leader服务器用于对外提供服务，未被选举为主用leader服务器的master服务器为follower服务器；所述follower服务器中的一台被选举为备用leader服务器；

所述master服务器之间周期性的进行数据同步，同时接收对方发送的计算结果数据，并与自身计算结果进行比较；

其中，当主用leader服务器计算结果与k个follower服务器的计算结果相同时对外输出数据，并将结果与其不同的follower服务器设置为故障模式，同时将至少一个slave服务器激活为master服务器；若主用leader服务器计算结果与m-k个follower服务器的计算结果不同时，停止主用leader服务器对外输出并将主用leader服务器设置为故障状态。

优选的，上述的一种基于通用服务器的增强型信号控制方法，所述服务器为四个，所述master服务器的数量m为3个，所述slave服务器为1个，其中k为1。

因此，本发明相对于现有技术，具备以下优点：本发明利用通用服务器，借助服务器的强大性能，可以扩展系统的控制能力；采用备一技术，可以最大程度避免故障屏蔽饱和。正常情况，本架构采用三取三输出，可靠性高。而当发生一重故障后，即在同时只有任何一个计算输出不同时，本架构始终能维持三取二架构的高可用性。通过对本架构的进一步变通扩展可得，本架构还可演变成四取三冗余架构，进一步提升系统容错能力。本发明中，采用软件表决的方式替代硬件表决，简化了系统的设计，使系统具有更好的通用性和移植性。

附图说明

并入本文并形成说明书的一部分的附图例示了本发明的实施例，并且附图与说明书一起进一步用于解释本发明的原理以及使得所属领域技术人员能够制作和使用本公开。

图1例示了本发明实施例中的二乘二取二冗余架构图；

图2例示了本发明实施例中的三取二冗余架构图；

图3例示了本发明实施例中的基于通用服务器的增强型三取二备一冗余架构示意图。

图4例示了本发明实施例中的系统上电后模式转换流程图。

图5例示了本发明实施例中的系统leader选举流程图；

图6例示了本发明实施例中的四取三流程图。

将参照附图描述本发明的实施例。

具体实施方式

实施例

如图1所示，为二乘二取二冗余架构系统示意图。其由主备两系组成，每系有两个相互独立的通道组成，同时系统单独配置了一个切换模块用于主备间的切换。初始时，系统a和系统b分别处于主机模式和备机模式。在系统a内，如果子系统a1或子系统a2输出不一致，则关闭系统a输出，整个系统降级为二取一结构，同时系统进行无扰切换，把处于备机状态的系统切换为主机系统；若系统b中子系统b1或子系统b2输出也不一致，则整个系统关闭输出。

如图2所示，为三取二冗余架构，其由三个系统组成，平时三个系统同时工作，表决器以三取二方式进行表决。当任一系统发现自身故障或输出与其他2路不同时，则关闭自身输出。系统降级为二取二结构，若另2个系统输出也不一致，则整个系统关闭输出。

二乘二取二冗余架构或三取二冗余架构中，系统中使用表决器/切换单元硬件设备，从而增加了设计、开发及设备成本。同时表决器/切换单元作为系统中的单一硬件设备，其故障将导致系统失效，从而降低了系统的可靠性。

在二乘二取二冗余结构工作的过程中，当主机中某子系统出现了故障，系统将切换，备机系统变成主机系统进行工作。此后如果故障子系统没有修复，当主机系统中某一子系统也出现故障时，则导致整个系统停机不可用。

同理，在三取二冗余结构工作过程中，如果某个子系统出现故障，则系统变成二取二结构。如果不及时修复，那再有一个子系统出现故障，那三个输出就完全不一致，从而导致整个系统停机不可用。

由此可见，某个子系统出现了故障，它可以被掩盖过去，但系统却失去了容错能力。因此需要使用相关的技术手段来最大程度上避免故障屏蔽饱和。本实施例就是借助相互监督机制，通过明主决策，把任何一个输出结果与其他两个不同的子系统重启，并同步启用备用子系统构建三取二冗余结构，然后对故障子系统进行重启并数据同步，周而复始，在同时只有任何一个计算输出不同时，本架构始终能维持三取二架构的高可用性。通过对本架构的进一步扩展可得，当采用三取二备二冗余架构，本架构能接受同时有任何两个计算输出不同的故障发生。

基于上述原理，本实施例提供了一种基于通用服务器的增强型信号控制系统，包括：

至少四个服务器，所述至少四个服务器在启动后，包括至少m个master服务器和至少一个slave服务器；所述至少m个master服务器通过选举确定一台master服务器作为主用leader服务器用于对外提供服务，未被选举为主用leader服务器的master服务器为follower服务器；所述follower服务器中的一台被选举为备用leader服务器；

所述master服务器之间周期性的进行数据同步，同时接收对方发送的计算结果数据，并与自身计算结果进行比较；

其中，当主用leader服务器计算结果与k个follower服务器的计算结果相同时对外输出数据，并将结果与其不同的follower服务器设置为故障模式，同时将至少一个slave服务器激活为master服务器；若主用leader服务器计算结果与m-k个follower服务器的计算结果不同时，停止主用leader服务器对外输出并将主用leader服务器设置为故障状态。

所述follower服务器的计算结果与k个master服务器的计算结果相同时则保持不变，与m-k个master服务器的计算结果不同时则进入故障状态。当所述主用leader服务器设置为故障状态，并且当所述备用leader服务器的计算结果与k个master服务器的计算结果相同时，将所述备用leader服务器设置为主用leader服务器，并且选举产生新的备用leader服务器。当所述备用leader服务器的计算结果与m-k个master服务器的计算结果不同时，则将备用leader服务务器设置为故障模式，并且选产生新的备用leader服务器。所述slave服务器接收主用主用leader服务器的同步状态信息以及激活为master服务器的命令信息。设置为故障状态的服务器将自动重启并将自身设置为slave服务器。

如图3所示，本实施例的所述服务器可以为四个，所述master服务器的数量m为3个，所述slave服务器为1个，其中k为1。

其中，网管系统提供系统内日志记录及报警提示功能。子系统分散部署在每台物理服务器中。

在子系统启动时，初始将自身设置为unknown(未知)模式，当系统启动成功后，将自身设置为slave(备机)模式，随后系统查看是否满足升级为master(主机)的条件，如果条件满足，则子系统升级为master模式，否则子系统保留为slave模式。处于slave模式的子系统也接收外部的同步输入信息，但是自身的数据及计算结果不向master子系统输出。整个系统中最多可以同时存在3个master模式的子系统。当子系统故障时，将自身设置为unknown模式，处于unknown模式的系统在重启前不接收外部输入，也不对外输出信息。

处于master模式的子系统，需要从中选举一台作为主用leader(领导者)对外提供服务，其余的作为follower(追随者)，在follower中需要指定一台为备用leader(同时也是follower)，当主用leader故障时，备用leader直接升级为主用leader对外提供服务。

master之间周期性的进行同步，同时接收对方发送的计算结果数据，并与自身计算结果进行比较。

在主leader中，分别与follower的计算结果进行比较，若结果都相同，则对外输出计算结果；如果与备用leader结果相同，与follower结果不同，也对外输出计算结果，此时slave激活为master，同时故障信息上报到网管系统，结果不同的follower进行重启并与当前leader同步；如果与备用leader计算结果不相同，与follower计算结果相同，也对外输出计算结果，此时slave激活为master，同时随机选举新的备用leader，故障信息上报到网管系统中；如果与两个follower计算结果都不相同，则子系统进入故障状态(降级为follower和unknown模式)，停止对外输出。

在备用leader中，分别与主leader、follower的计算结果进行比较，结果都相同，保持当前状态不变；如果与主leader计算结果相同，而与follower计算结果不相同，则保持当前状态；如果与主leader计算结果不相同，而与follower计算结果相同，则升级为主leader，此时将slave激活为master，同时随机选举新的备用leader，对外输出计算结果，故障信息上报到网管系统；如果与两个结果都不相同，则子系统进入故障状态(降级为follower和unknown模式)。

在follower中，如果与主备leader计算结果比较都不相同，则子系统进入故障状态(降级为unknown模式)；否则子系统状态保持不变。

在slave中，接收外部的输入信息；接收主leader的同步状态信息；接收主leader发送的激活为master命令信息。slave中不对外输出计算结果信息。

本架构还可稍作变通就可实现四取四、四取三或有条件的四取二替代方案。如图6所示，本实施例的服务器为五个，所述master服务器的数量m为四个，所述slave服务器为1个，其中k为2。

本实施例还提供了一种基于通用服务器的增强型信号控制方法，其特征在于，包括：

将至少四个服务器组成一冗余架构，所述至少四个服务器在启动后，包括至少m个master服务器和至少一个slave服务器；所述至少m个master服务器通过选举确定一台master服务器作为主用leader服务器用于对外提供服务，未被选举为主用leader服务器的master服务器为follower服务器；所述follower服务器中的一台被选举为备用leader服务器；

所述master服务器之间周期性的进行数据同步，同时接收对方发送的计算结果数据，并与自身计算结果进行比较；

其中，当主用leader服务器计算结果与k个follower服务器的计算结果相同时对外输出数据，并将结果与其不同的follower服务器设置为故障模式，同时将至少一个slave服务器激活为master服务器；若主用leader服务器计算结果与m-k个follower服务器的计算结果不同时，停止主用leader服务器对外输出并将主用leader服务器设置为故障状态。

通过以上描述可知，本实施例相对于现有技术，具备以下优点：利用通用服务器，借助服务器的强大性能，可以扩展系统的控制能力；采用备一技术，可以最大程度避免故障屏蔽饱和。正常情况，本架构采用三取三输出，可靠性高。而当发生一重故障后，即在同时只有任何一个计算输出不同时，本架构始终能维持三取二架构的高可用性。通过对本架构的进一步变通扩展可得，本架构还可演变成四取三冗余架构，进一步提升系统容错能力。本发明中，采用软件表决的方式替代硬件表决，简化了系统的设计，使系统具有更好的通用性和移植性。

注意到，说明书中对“一个实施例”、“实施例”、“示例实施例”、“一些实施例”等的引用指示所描述的实施例可以包括特定特征、结构或特性，但是每个实施例可以不必包括所述特定特征、结构或特性。而且，这样的短语不必指代同一实施例。此外，当结合实施例描述特定特征、结构或特性时，无论是否明确描述，结合其他实施例来实现这样的特征、结构或特性将在所属领域的技术人员的知识范围内。

提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的，且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此，本公开并非旨在被限定于本文中所描述的示例和设计，而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。