列車網(wǎng)絡(luò)控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機(jī)制

任曉坤，田學(xué)文

(中車青島四方車輛研究所有限公司 電子事業(yè)部，山東 青島 266031)

既有動(dòng)車組列車網(wǎng)絡(luò)控制系統(tǒng)中央控制單元冗余機(jī)制中，多功能車輛總線(MVB)的管理主權(quán)(Bus administration，BA)多采用固定方式，MVB總線管理權(quán)鎖定在固定設(shè)備，發(fā)生冗余切換時(shí)需重新初始化MVB板卡，冗余切換時(shí)間長(zhǎng)，對(duì)車輛控制和子設(shè)備通信會(huì)產(chǎn)生一定影響，進(jìn)而影響車輛運(yùn)行。冗余檢測(cè)方法采用MVB總線檢測(cè)方式，但檢測(cè)方法單一，在極端情況下如MVB總線數(shù)據(jù)受到干擾，易發(fā)生雙主或無(wú)主的風(fēng)險(xiǎn)，造成MVB總線數(shù)據(jù)異常影響車輛運(yùn)行。為此，本文提出了列車網(wǎng)絡(luò)控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機(jī)制，MVB總線的BA主權(quán)采用冗余工作方法，即發(fā)生冗余切換時(shí)不需要重新初始化MVB板卡，能夠?qū)崿F(xiàn)快速切換而不影響車輛運(yùn)行。冗余檢測(cè)方法采用MVB總線和硬線雙通道檢測(cè)為主，當(dāng)MVB總線數(shù)據(jù)受到干擾時(shí)能夠避免MVB總線雙主情況的發(fā)生，同時(shí)實(shí)現(xiàn)冗余中央控制單元(CCU)交替做主，能夠及時(shí)發(fā)現(xiàn)故障問(wèn)題，避免車輛帶故障運(yùn)行。安全冗余保障策略中，CCU實(shí)時(shí)監(jiān)控程序進(jìn)程、線程以及板卡狀態(tài)，發(fā)生異常時(shí)觸發(fā)看門狗復(fù)位，硬線輸出復(fù)位，可避免MVB總線無(wú)主的情況發(fā)生。

1 數(shù)據(jù)安全冗余機(jī)制

列車網(wǎng)絡(luò)控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機(jī)制包含4個(gè)基礎(chǔ)策略，分別為MVB總線BA主權(quán)冗余策略、MVB總線端口冗余策略、冗余安全輔助策略、冗余安全保障策略。

1.1 MVB總線BA主權(quán)冗余策略

主設(shè)備利用監(jiān)視相[1]進(jìn)行主權(quán)的傳遞，在一個(gè)輪回周期的結(jié)束或故障產(chǎn)生時(shí)發(fā)生轉(zhuǎn)移主權(quán)[2]。2個(gè)CCU都正常時(shí)，輪回周期結(jié)束時(shí)，BA主設(shè)備移交BA主權(quán)，BA從設(shè)備接受BA主權(quán)，完成冗余切換工作；BA主設(shè)備異常時(shí)，從設(shè)備在設(shè)定的檢測(cè)時(shí)間內(nèi)檢測(cè)不到MVB總線主幀，則開(kāi)啟BA主權(quán)，保障MVB總線數(shù)據(jù)的穩(wěn)定，BA主權(quán)冗余流程如圖1所示。BA主權(quán)冗余策略能夠預(yù)防設(shè)備帶故障工作，避免設(shè)備故障時(shí)起不到冗余作用。

圖1 BA主權(quán)冗余流程

1.2 MVB總線端口冗余策略

2個(gè)冗余的CCU中配置不同的冗余端口用于冗余信息傳輸，冗余通信端口按照固定方式配置：CCU1配置中A為源端口，B為宿端口；CCU2配置中B為源端口，A為宿端口。

CCU通過(guò)冗余通信端口、硬線信號(hào)獲取對(duì)方設(shè)備信息，輔助CCU所處網(wǎng)段信息進(jìn)行冗余檢測(cè)判斷出主從設(shè)備。主CCU將TCMS所需源端口配置為源端口，從CCU將TCMS所需的源端口配置為宿端口，主CCU將源端口數(shù)據(jù)發(fā)送到MVB總線。MVB端口配置如圖2所示，硬線配置見(jiàn)圖3。

圖2 MVB端口配置

圖3 硬線配置

MVB總線端口冗余策略通過(guò)3種模式進(jìn)行判斷，分別為初始模式、正常模式和特殊模式。

1.2.1 初始模式

CCU啟動(dòng)完成后進(jìn)入初始模式，初始模式?jīng)Q出弱主弱從。

(1) CCU1初始模式。CCU2通信正常且為弱主，CCU1為弱從；CCU2通信正常，CCU1上次為主，CCU1為弱從；其他情況CCU1為弱主。

(2) CCU2初始模式。CCU1通信故障，CCU2為弱主；CCU1通信正常，CCU2上次為從，CCU2為弱主；其他情況，CCU2為弱從。

1.2.2 正常模式

初始模式完成后進(jìn)入正常模式，開(kāi)始主從檢測(cè)決出主從。

(1) 正常模式CCU1冗余檢測(cè)策略。CCU2通信正常時(shí)，CCU1弱主，CCU2弱從，CCU1變主；CCU1弱從，CCU2弱主，CCU1變從；CCU1弱從，CCU2弱從，CCU1變主。CCU2通信故障時(shí)，DI板卡正常工況下，檢測(cè)到CCU2的硬線主信號(hào)為0，CCU1變主；DI板卡正常工況下，檢測(cè)到CCU2的硬線主信號(hào)為1，并且持續(xù)時(shí)間達(dá)到設(shè)定的檢測(cè)時(shí)間，CCU1變從；當(dāng)DI板卡異常，CCU1變主。

(2) 正常模式CCU2冗余檢測(cè)策略。CCU1通信正常時(shí)，CCU1弱主，CCU2弱主，CCU2變從；CCU1弱主，CCU2弱從，CCU2變從；CCU1弱從，CCU2弱主，CCU2變主；CCU1弱從，CCU2弱從，并且持續(xù)時(shí)間達(dá)到設(shè)定的檢測(cè)時(shí)間，CCU2變主。CCU1通信故障時(shí)，DI板卡正常工況下，檢測(cè)到CCU1的硬線主信號(hào)為0，CCU2變主；DI板卡正常工況下，檢測(cè)到CCU1的硬線主信號(hào)為1，并且持續(xù)時(shí)間達(dá)到設(shè)定的檢測(cè)時(shí)間，CCU2變從；當(dāng)DI板卡異常，CCU2變主。

1.2.3 特殊模式

列車網(wǎng)絡(luò)控制中還有一些特殊情況需要CCU進(jìn)行冗余切換，包括整備冗余、網(wǎng)段檢測(cè)冗余、TCN網(wǎng)關(guān)要求CCU冗余切換。

(1) 整備冗余。在列車發(fā)車之前需要進(jìn)行整備測(cè)試，CCU收到預(yù)設(shè)的整備冗余信號(hào)，由正常模式進(jìn)入整備冗余模式并進(jìn)行冗余切換，驗(yàn)證CCU冗余功能正常。

主CCU1的弱主信號(hào)變?yōu)镃CU1整備模式信號(hào)，CCU1變從；主CCU2的弱主信號(hào)變?yōu)镃CU2整備模式信號(hào)，CCU2變從；延時(shí)預(yù)設(shè)時(shí)間，CCU1/CCU2的整備模式信號(hào)變?yōu)槿鯊男盘?hào)；延時(shí)預(yù)設(shè)時(shí)間，CCU1/CCU2恢復(fù)正常模式，輸出整備冗余切換結(jié)果。

(2) 網(wǎng)段檢測(cè)冗余。冗余CCU通信故障時(shí)，主CCU檢測(cè)到網(wǎng)段信號(hào)由大網(wǎng)段變?yōu)樾【W(wǎng)段時(shí)，CCU退主變?yōu)閺?，CCU網(wǎng)段檢測(cè)示意圖見(jiàn)圖4。

圖4 CCU網(wǎng)段檢測(cè)示意圖

(3) TCN網(wǎng)關(guān)要求冗余切換。CCU收到網(wǎng)關(guān)要求切換信號(hào)，主CCU變從，延時(shí)預(yù)設(shè)時(shí)間，CCU恢復(fù)正常模式。

1.3 冗余安全輔助策略

CCU實(shí)時(shí)檢測(cè)CCU通信故障、輸入輸出(DIDO)板卡狀態(tài)、DI信息、CCU所在網(wǎng)段信息，實(shí)時(shí)存儲(chǔ)CCU主從狀態(tài)。CCU通信故障時(shí)，同步復(fù)位數(shù)據(jù)，保障數(shù)據(jù)的準(zhǔn)確性。

(1) CCU通信故障檢測(cè)。CCU生命信號(hào)每個(gè)周期加1，生命信號(hào)范圍為1～255，當(dāng)生命信號(hào)為0或者生命信號(hào)多個(gè)周期不跳變，則判斷為MVB通信故障。

(2) 輸入輸出板卡狀態(tài)檢測(cè)、DI信息檢測(cè)。CCU實(shí)時(shí)采集DI信息，并通過(guò)輸入輸出板卡的生命信號(hào)判斷板卡狀態(tài)。

(3) 主從狀態(tài)存儲(chǔ)。CCU實(shí)時(shí)存儲(chǔ)CCU的主從信息，CCU初上電讀取CCU主從存儲(chǔ)信息。

(4) 實(shí)時(shí)檢測(cè)網(wǎng)段信息。冗余CCU通信故障時(shí)，判斷2/3/4車子系統(tǒng)設(shè)備是否在線，如無(wú)子系統(tǒng)設(shè)備在線，則判斷CCU在小網(wǎng)段；如有子系統(tǒng)設(shè)備在線，則判斷CCU在大網(wǎng)段。

(5) 通信故障及數(shù)據(jù)復(fù)位處理。CCU檢測(cè)MVB端口的刷新時(shí)間，如超過(guò)設(shè)定時(shí)間，CCU判斷為通信故障，同時(shí)將端口數(shù)據(jù)恢復(fù)默認(rèn)值，通信故障與數(shù)據(jù)復(fù)位同步，保障數(shù)據(jù)準(zhǔn)確性。

1.4 冗余安全保障策略

1.4.1 軟件安全保障方法

CCU程序?qū)崟r(shí)監(jiān)控進(jìn)程狀態(tài)、線程狀態(tài)及板卡狀態(tài)，如狀態(tài)異常則觸發(fā)看門狗復(fù)位重啟設(shè)備。

1.4.2 硬件安全保障方法

(1) 看門狗復(fù)位。CPU按照程序周期定時(shí)喂狗，如CPU程序異常則停止喂狗，到達(dá)看門狗觸發(fā)的閾值時(shí)間后，看門狗復(fù)位CPU，同時(shí)復(fù)位MVB板卡，CCU退出源端口控制權(quán)，避免設(shè)備異常情況下MVB板卡仍發(fā)送源端口數(shù)據(jù)，即避免CCU雙主的情況發(fā)生。

(2) 輸出(DO)板卡輸出復(fù)位。CCU的CPU板卡實(shí)時(shí)發(fā)送生命信號(hào)給DO板卡，DO板卡檢測(cè)到CPU生命信號(hào)異常則將DO輸出信號(hào)清零。主CCU異常時(shí)，該機(jī)制將DO主信號(hào)清零，從CCU檢測(cè)到主CCU的MVB通信異常且DO主信號(hào)為零，從CCU切換為主CCU，避免MVB總線無(wú)主的情況發(fā)生。

2 數(shù)據(jù)安全冗余機(jī)制效果

列車網(wǎng)絡(luò)控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機(jī)制能夠?qū)崿F(xiàn)CCU快速、穩(wěn)定、安全切換，提高了冗余切換的抗干擾度、程序運(yùn)行的穩(wěn)定性、MVB總線數(shù)據(jù)的安全性。

(1) MVB總線BA主權(quán)冗余策略效果。正常模式遵循設(shè)定的輪回周期冗余工作，異常時(shí)在設(shè)定的檢測(cè)時(shí)間內(nèi)完成主權(quán)轉(zhuǎn)移；發(fā)生冗余切換時(shí)不需要重新初始化MVB板卡，能夠?qū)崿F(xiàn)快速切換。2個(gè)CCU交替獲取BA主權(quán)，能夠避免CCU帶故障工作。

(2) MVB總線端口冗余策略效果。采用MVB總線、硬線雙通道檢測(cè)為主，大小網(wǎng)段判斷為輔的檢測(cè)方法，MVB總線數(shù)據(jù)受干擾時(shí)能夠避免雙主情況發(fā)生。3種檢測(cè)方法綜合判斷冗余切換條件，提高了冗余切換的穩(wěn)定性。

(3) 安全冗余輔助策略效果。通信故障與數(shù)據(jù)復(fù)位同步進(jìn)行，保障了數(shù)據(jù)的準(zhǔn)確性。

(4) 安全冗余保障策略效果。軟件實(shí)時(shí)監(jiān)控進(jìn)程、線程、板卡狀態(tài)，發(fā)生異常時(shí)則觸發(fā)看門狗復(fù)位?？撮T狗復(fù)位實(shí)現(xiàn)CPU、MVB同時(shí)復(fù)位，硬線輸出復(fù)位的安全冗余保障機(jī)制，避免故障時(shí)出現(xiàn)MVB總線無(wú)主的情況。

3 結(jié)束語(yǔ)

列車網(wǎng)絡(luò)控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機(jī)制可用于列車網(wǎng)絡(luò)控制系統(tǒng)中央控制單元的冗余協(xié)同控制，采用MVB總線、硬線雙通道檢測(cè)為主，網(wǎng)段檢測(cè)為輔的檢測(cè)方法，具備安全冗余輔助策略和保障策略，可實(shí)現(xiàn)中央控制單元的快速、穩(wěn)定、安全地冗余切換。中央控制單元數(shù)據(jù)安全冗余機(jī)制提高了列車網(wǎng)絡(luò)控制系統(tǒng)的通信抗干擾度，能夠避免雙主或無(wú)主情況發(fā)生，保障了動(dòng)車組的網(wǎng)絡(luò)數(shù)據(jù)安全及列車運(yùn)行的安全。