列車自動運(yùn)行系統(tǒng)的雙系熱備切換方法研究

周 榮，郭 榮，嚴(yán) 敢，李 旭

(1.北京全路通信信號研究設(shè)計院集團(tuán)有限公司，北京 100070；2.北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

1 概述

現(xiàn)有的列車自動運(yùn)行系統(tǒng)（ATO）雙系熱備結(jié)構(gòu)主要包括主系、備系、倒切（管理）單元。雙系熱備的切換方法為當(dāng)主系故障時，倒切單元切除主系輸出，備系升級為主系。但存在當(dāng)主系、備系與倒切單元的通信均故障而其他功能正常時，倒切（管理）單元切除主備系的輸出并退出ATO，或者當(dāng)切除單元本身通信故障時也會影響系統(tǒng)功能，從而導(dǎo)致退出ATO。本文深入研究一種應(yīng)用于ATO的雙系熱備切換方法及系統(tǒng)，無需增加倒切（管理）單元，通過雙系熱備之間的功能實(shí)現(xiàn)主備系切換，從而提升列車自動運(yùn)行系統(tǒng)的可靠性。

2 ATO結(jié)構(gòu)

如圖1 所示，ATO 主要包括本系邏輯單元與對系邏輯單元、輸出單元、輸入單元、通信單元、接口單元、記錄單元以及電源單元，所有單元都連接至接口單元，接口單元包括2 路電源總線、互為冗余的2 路通信總線、板卡標(biāo)識。

圖1 列車自動運(yùn)行系統(tǒng)結(jié)構(gòu)圖Fig.1 Structure diagram of automatic train operation system

其中，1）本系邏輯單元與對系邏輯單元：用于實(shí)現(xiàn)雙系熱備切換方法；

2）輸出單元：用于實(shí)現(xiàn)本系邏輯單元與對系邏輯單元對外之間的輸出；

3）通信單元：用于實(shí)現(xiàn)本系邏輯單元與對系邏輯單元對外之間的通信；

4）接口單元：用于實(shí)現(xiàn)本系邏輯單元、對系邏輯單元分別與輸出單元、通信單元之間的輸出、通信；

5）電源單元：用于實(shí)現(xiàn)對所述自動運(yùn)行系統(tǒng)供電；

6）輸入單元：用于實(shí)現(xiàn)所述自動運(yùn)行系統(tǒng)的輸入采集；

7）記錄單元：用于實(shí)現(xiàn)所述自動運(yùn)行系統(tǒng)的數(shù)據(jù)記錄。

3 雙系熱備系統(tǒng)結(jié)構(gòu)

雙系熱備系統(tǒng)由互為冗余的本系邏輯單元和對系邏輯單元組成，如圖2 所示，其中，本系邏輯單元與對系邏輯單元均包括：

1) 主備系競爭模塊：用于本系邏輯單元與對系邏輯單元進(jìn)行主備系競爭；

2) 信號發(fā)生模塊：用于本系邏輯單元或?qū)ο颠壿媶卧偁帪橹飨禃r，生成、輸出主系狀態(tài)信號；

3) 板卡標(biāo)識獲取模塊：用于獲取本系邏輯單元、對系邏輯單元的板卡識別號；

4）第一通信模塊：用于實(shí)現(xiàn)本系邏輯單元和對系邏輯單元與對系之間的通信；

5）第二通信模塊：用于實(shí)現(xiàn)本系邏輯單元和對系邏輯單元對外之間的輸出與通信；

6）自檢模塊：用于本系邏輯單元與對系邏輯單元進(jìn)行自檢；

7）故障處理模塊：用于本系邏輯單元和對系邏輯單元切除輸出與通信，并執(zhí)行宕機(jī)。

4 雙系熱備切換方法

圖2 邏輯單元內(nèi)部結(jié)構(gòu)圖Fig.2 Internal structure diagram of logic unit

本研究提出應(yīng)用于ATO 的雙系熱備切換的方法，如圖3 所示。首先，本系邏輯單元與對系邏輯單元進(jìn)行主備系競爭；其次，本系邏輯單元或?qū)ο颠壿媶卧偁帪橹飨禃r，控制輸出與通信，并輸出主系狀態(tài)信號。競爭為主系的邏輯單元控制輸出單元與通信單元，實(shí)現(xiàn)ATO 的運(yùn)行控制。

圖3 列車自動運(yùn)行系統(tǒng)的雙系熱備切換方法圖Fig.3 Diagram of dual-system hot standby switching method of automatic train operation system

在主備系競爭之前，本系邏輯單元與對系邏輯單元分別獲取本系的以下一種或多種運(yùn)行信息。

1) 本系邏輯單元與對系邏輯單元分別獲取各自的板卡識別號，用于自動運(yùn)行系統(tǒng)區(qū)分本系邏輯單元和對系邏輯單元。

2) 本系邏輯單元與對系邏輯單元分別獲取與對系的通信信息，包括主備狀態(tài)、平臺同步周期次數(shù)、應(yīng)用任務(wù)周期、應(yīng)用周期同步數(shù)據(jù)。通過獲取對系的通信信息,既能使雙系熱備的之間的通信信息保持一致，又可以檢測雙系熱備間的通信是否正常，保證雙系熱備工作時的可靠性。

3) 本系邏輯單元與對系邏輯單元對本系進(jìn)行自檢，包括FRAM 自檢、Flash 自檢、RTC 讀寫自檢、對外通信初始化自檢、與對系通信初始化自檢。當(dāng)本系邏輯單元和/或?qū)ο颠壿媶卧赐ㄟ^自檢時，則該邏輯單元切斷本系與對外之間的通信、輸出以及與對系之間的通信，并執(zhí)行宕機(jī)；本系邏輯單元和/或?qū)ο颠壿媶卧ㄟ^自檢時，則本系邏輯單元與對系邏輯單元進(jìn)行主備系競爭。

本系邏輯單元與對系邏輯單元的初始化狀態(tài)均為備系。首先，判斷本系邏輯單元的主備系狀態(tài)，再判斷對系邏輯單元的主備系狀態(tài)。具體的，本系邏輯單元與對系邏輯單元的主備系狀態(tài)包括以下3 種。

第一種，本系邏輯單元與對系邏輯單元均為備系，本系邏輯單元與對系邏輯單元通過板卡識別號進(jìn)行主備系競爭。其中，默認(rèn)本系邏輯單元的板卡識別號對應(yīng)主系，則本系邏輯單元為主系。當(dāng)本系邏輯單元和對系邏輯單元插入背板時，通過不同管腳接地對本系邏輯單元和對系邏輯單元進(jìn)行區(qū)分，比如本系的板卡識別號為1110，對系的板卡識別號為1101。系統(tǒng)啟動后，當(dāng)本系邏輯單元的板卡識別號為1110 時，則系統(tǒng)默認(rèn)本系邏輯單元為主系。

第二種，本系邏輯單元為備系，對系邏輯單元不為備系時，則本系邏輯單元通過判斷對系邏輯單元是否為主系進(jìn)行主備系競爭，包括以下幾種情況。

1) 對系邏輯單元為主系，則本系邏輯單元為備系。

2) 對系邏輯單元不為主系，則本系邏輯單元檢測與對系邏輯單元之間的通信是否為中斷：

若通信未中斷，則本系邏輯單元繼續(xù)獲取與對系的之間的通信信息；

若通信中斷，則本系邏輯單元檢測對系邏輯單元是否輸出主系狀態(tài)信號：若檢測到主系狀態(tài)信號，則本系邏輯單元為備系；若未檢測到主系狀態(tài)信號，則本系邏輯單元升級為主系。

第三種，本系邏輯單元為主系，則本系邏輯單元通過判斷對系邏輯單元是否為主系進(jìn)行主備系競爭，包括以下兩種情況：

1) 對系邏輯單元為主系，則所述雙系熱備為故障狀態(tài)，所述本系邏輯單元與對系邏輯單元均執(zhí)行宕機(jī)；

2) 對系邏輯單元不為主系，則本系邏輯單元為主系。

當(dāng)本系邏輯單元或?qū)ο颠壿媶卧鳛橹飨?，且發(fā)生故障時，則主系執(zhí)行宕機(jī)并切除輸出與通信，同時，備系檢測主系是否輸出主系狀態(tài)信號，若檢測不到主系狀態(tài)信號，備系升級為主系，控制輸出與通信，并輸出主系狀態(tài)信號。

5 結(jié)束語

本研究的雙系熱備僅通過本系邏輯單元與對系邏輯單元的邏輯判斷實(shí)現(xiàn)雙系熱備的切換方法，提高了雙系熱備切換的可靠性，進(jìn)一步，本系邏輯單元與備系邏輯單元均能夠生成主系狀態(tài)信號，作為主系的邏輯單元輸出主系狀態(tài)信號，備系或宕機(jī)的邏輯單元則不輸出主系狀態(tài)信號，從而當(dāng)雙系熱備之間的通信狀態(tài)出現(xiàn)異常時，通過檢測主系狀態(tài)信號進(jìn)一步確定本系邏輯單元與備系邏輯單元的主備系關(guān)系，使得雙系熱備的切換方法更具有邏輯性，提高了雙系熱備切換的安全性。