一种用于轨道交通的安全计算机平台
技术领域
本发明涉及轨道交通信号领域,尤其涉及一种基于以太网及FlexRay总线的安全计算机平台。
背景技术
随着计算机和网络技术的普及和深入,安全计算机在航空航天、军事军工、化工能源、轨道交通等安全苛求领域被广泛应用,特别是轨道交通信号领域,安全计算机对轨道信号保障起着至关重要的作用。
在轨道交通信号领域,传统安全计算机通常会采用控制器局域网CAN总线,但在进行数字输入输出扩展时,CAN总线的带宽较小,会导致传输速率不高。并且,CAN总线基于事件触发的通信,当有几个信息在同一时刻发送时,会出现网络堵塞现象,影响安全计算机的工作效率,其基于位竞争的仲裁机制保证信息以优先级的顺序发送,但会使一些信息传送出现较大的延时,且难以估计其延时特性,为提高通信可靠性常需要增加冗余总线,造成安全计算机总线结构复杂,增加开发及维护成本。此外,传统的安全计算机的扩展功能有限,难以根据所应用的系统进行功能和设备的扩展,往往只能适用于单一的系统,通用性较弱,而固定式的部件设置也使得传统的安全计算机不能灵活地进行扩展,也限制了安全计算机可以应用的范围。
发明内容
在轨道交通信号领域,目前亟待需要一种能够保证故障安全的安全计算机,其所输出的数据信息的安全性对于整个列车安全运行至关重要。既要满足故障导向安全的特性,确保系统的安全性和可靠性,又要保证通信通道具有较高的实时性和可靠性。在实际应用系统中,特别是计算机联锁系统,需要进行大量数据采集及控制命令输出,数据通信量大,实时性和可靠性要求高,需要具有较高的工作效率。此外,在保证安全性及可靠性的前提下,还需要将安全计算机的设计模块化,方便组合、安装与更换,既可以提高扩展性和通用性,也可以提高可维护性。
本发明所要解决的技术问题是,针对现有技术的不足,提供一种基于以太网及FlexRay总线的安全计算机平台,实现了平台设计标准化、模块化,根据应用需要在系统最大能力范围内可任意组合输入、输出类型和数量,减少应用系统开发成本,可广泛应用于轨道交通信号系统中。
为了解决以上技术问题,本发明提供一种用于轨道交通的安全计算机平台,其特征在于:包括第一主机装置和至少一个第二主机装置、第一通信中转装置和至少一个第二通信中转装置、第一输入输出装置和至少一个第二输入输出装置、以太网和FlexRay总线,其中:
所述第一输入输出装置与所述FlexRay总线相连接,所述第一通信中转装置具有第一网络连接端和第二网络连接端,所述第一网络连接端与所述FlexRay总线相连接,所述第二网络连接端与所述以太网相连接,所述第一主机装置与所述以太网相连接,从而实现第一输入输出装置与第一主机装置之间的数据通信;
所述第二输入输出装置与所述FlexRay总线相连接,所述第二通信中转装置具有第三网络连接端和第四网络连接端,所述第三网络连接端与所述FlexRay总线相连接,所述第四网络连接端与所述以太网相连接,所述第二主机装置与所述以太网相连接,从而实现第二输入输出装置与第二主机装置之间的数据通信。
优选的,所述安全计算机平台还具有第一以太网交换机和至少一个第二以太网交换机,所述第一主机装置通过所述第一以太网交换机与所述以太网相连接,所述第二主机装置通过所述第二以太网交换机与所述以太网相连接,所述第一以太网交换机和所述第二以太网交换机之间通过所述以太网相连并可进行数据通信。
优选的,所述第一主机装置具有第一处理器PA、第二处理器PB和第一数据合成模块PC,所述第一处理器PA和所述第二处理器PB之间可进行数据交互和比较,所述数据合成模块PC可对比较结果进行数据合成及对外的数据发送,从而实现二取二功能。
优选的,所述第二主机装置具有第三处理器PD、第四处理器PE和第二数据合成模块PF,所述第三处理器PD和所述第四处理器PE之间可进行数据交互和比较,所述数据合成模块PF可对比较结果进行数据合成及对外的数据发送,从而实现二取二功能,并使所述安全计算机平台实现二乘二取二功能。
优选的,所述FlexRay总线采用总线型拓扑结构,所述第一输入输出装置、所述第二输入输出装置、所述第一网络连接端和所述第三网络连接端分别连接到所述FlexRay总线上不同的网络结点。
优选的,所述FlexRay总线包括互为冗余的FlexRayA总线和FlexRayB总线,所述第一输入输出装置、所述第二输入输出装置、所述第一网络连接端和所述第三网络连接端分别同时连接到所述FlexRayA总线和所述FlexRayB总线。
优选的,所述安全计算机平台还具有双层交换机,所述以太网采用星型拓扑结构,
所述双层交换机的上层作为所述第一以太网交换机,所述双层交换机的下层作为所述第二以太网交换机,所述双层交换机上下层之间通过网线连接,
所述第一主机装置和所述第一通信装置接入所述双层交换机的上层,所述第二主机装置和所述第二通信装置接入所述双层交换机的下层,所述第一主机装置、所述第一通信装置、所述第二主机装置和所述第二通信装置通过所述以太网进行数据通信。
优选的,所述安全计算机平台还具有第一外部通信装置和至少一个第二外部通信装置;
所述第一外部通信装置与所述以太网相连接,从而实现第一外部通信装置与第一主机装置之间的数据通信;
所述第二外部通信装置与所述以太网相连接,从而实现第二外部通信装置与第二主机装置之间的数据通信;
所述第一外部通信装置和所述第二外部通信装置都具有可连接平台外部设备的外部通信接口,从而可以实现所述第一主机装置及所述第二主机装置与所述平台外部设备之间的数据通信。
优选的,所述外部通信接口包括以太网、RS485/RS422或CAN通信接口中的一种或多种。
优选的,所述第一外部通信装置和/或所述第二外部通信装置为插件结构。
优选的,所述第一主机装置、所述第二主机装置、所述第一通信中转装置、所述第二通信中转装置、所述第一输入输出装置和/或所述第二输入输出装置为插件结构。
优选的,所述安全计算机平台还具有插箱,所述第一输入输出装置安装于所述插箱,所述第一输入输出装置根据所述第一输入输出装置插件硬件在所述插箱中的位置设置相应的静态段发送时隙。
优选的,所述静态段发送时隙可用总数为65个。
优选的,所述安全计算机平台还具有插箱,所述第一输入输出装置和所述第二输入输出装置还分别具有插件代表部,所述插箱具有至少一个识别部,只有当所述插件代表部和所述识别部匹配时,所述第一输入输出装置和所述第二输入输出装置才会激活。
优选的,所述安全计算机平台还具有检测单元,所述检测单元定期检测所述第一输入输出装置和所述第二输入输出装置的插件运行状态;
当所述检测单元检测到所述第一输入输出装置和所述第二输入输出装置的插件均未插入、同时未激活或同时故障时,所述列车运行监控记录装置导向安全侧。
与现有技术相比,本发明包括以下优点:
1.本发明采用基于以太网和FlexRay总线的二级网络架构,充分发挥以太网作为骨干通信网,通信量大、通信速度高的特点,充分发挥FlexRay总线通信稳定可靠,实时性强的特点,满足安全计算机平台的安全性和工作效率,并可以在安全计算机平台中更高效地传输各类数据和命令。
2.本发明采用以太网交换机实现主机装置之间的数据交互,实现安全计算机的主备故障切换,满足系统可靠性。进一步采用双层以太网交换机,以上下层分别两系装置,可以形成星型拓扑结构的以太网网络,实现简单,易于扩展。
3.本发明采用二取二架构的主机,能够保证主机对外输出数据的安全性和可靠性;整体系统采用二乘二取二冗余安全架构,能够实现主备故障切换,满足系统可靠性。
4.本发明采用总线型拓扑结构的FlexRay总线,使得总线结构简单,易于扩展,能有效控制成本;采用互为冗余的双总线结构,能够保证安全计算机平台的通信可靠性。
5.本发明采用可连接平台外部设备的中转装置和通信接口,可扩展性强,通用性高,可广泛应用于各类轨道交通信号系统。
6.本发明采用插件和插箱结构,实现了平台设计标准化、模块化,并可根据应用需要在系统最大能力范围内可任意组合输入、输出类型和数量,减少应用系统开发成本,可广泛应用于轨道交通信号系统,FlexRay总线根据插件在插箱中的位置设置静态段时间触发通信,可避免通信不确定延时,满足通信实时性,还可以对插件匹配度和运行状态进行识别和检测,能够确保插件的正确激活和运行,并进一步确保安全计算机平台的安全运行。
附图说明
本发明的以上发明内容以及下面的具体实施方式在结合附图阅读时会得到更好的理解。需要说明的是,附图仅作为所请求保护的发明的示例。在附图中,相同的附图标记代表相同或类似的元素。
图1是根据本发明一实施例的网络拓扑结构图;
图2是根据本发明一实施例的主机插件示意图;以及
图3是根据本发明一实施例的输入输出插件静态段发送时隙分配示意图。
附图标记说明
1A:第一主机装置
2A:第二主机装置
1B:第一通信中转装置
2B:第二通信中转装置
1C:第一输入输出装置
2C:第二输入输出装置
1D:第一以太网交换机
2D:第二以太网交换机
1E:第一外部通信装置
2E:第二外部通信装置
PA:第一处理器
PB:第二处理器
PC:第一数据合成模块
PD:第三处理器
PE:第四处理器
PF:第二数据合成模块
具体实施方式
以下在具体实施方式中详细叙述本发明的详细特征以及优点,其内容足以使任何本领域技术人员了解本发明的技术内容并据以实施,且根据本说明书所揭露的说明书、权利要求及附图,本领域技术人员可轻易地理解本发明相关的目的及优点。
本发明提供了一种基于以太网及FlexRay总线的双级网络结构及采用该网络结构的安全计算机平台,平台由两级网络构成,100Mbps以太网作为骨干通信网,FlexRay总线作为二级网络与I/O模块交互,同时预留RS422/RS485、CAN及以太网扩展通信接口。平台采用2乘2取2的冗余-安全架构,主备故障切换技术,满足安全性和可靠性的要求;平台设计模块化,大大减少应用开发成本,可广泛应用于轨道交通领域,如计算机联锁、列控中心/区域控制器等。
参见图1,安全计算机平台具有由第一主机装置1A、第一通信中转装置1B和第一输入输出装置1C构成的I系和由第二主机装置2A、第二通信中转装置2B和第二输入输出装置2C构成的II系。第一通信中转装置1B的第一网络连接端和第一输入输出装置1C与FlexRay总线相连接,第一通信中转装置1B的第二网络连接端和第一主机装置1A与以太网相连接;第二通信中转装置2B的第三网络连接端和第二输入输出装置2C与FlexRay总线相连接,第二通信中转装置2B的第四网络连接端和第二主机装置2A与以太网相连接。
I系中,第一输入输出装置1C将采集到的现场数据通过FlexRay总线传输至第一通信中转装置1B,第一输入输出装置1C可以包括I系安全数字量输入1~L,共L个负责采集现场数据的模块。第一通信中转装置1B可以包括I系内部通信1~N,共N个负责通信中转的模块,第一通信中转装置1B通过以太网将现场数据转发至第一主机装置1A,第一主机装置1A对现场数据进行处理并产生相应的控制命令,第一主机装置1A将控制命令通过以太网发送至第一通信中转装置1B,第一通信中转装置1B通过FlexRay总线将控制命令转发至第一输入输出装置1C,第一输入输出装置1C可以包括I系安全数字量输出1~M,共M个负责接收控制命令的模块,每个模块分别解析并执行控制命令。II系中现场数据和控制命令的传输过程与I系相同,基于以太网及FlexRay总线的I系和II系构成了双机冗余的安全计算机平台。通常默认I系作为主系,II系作为备系,正常情况下,只由主系主机同时对第一输入输出装置1C和第二输入输出装置2C输出控制命令,备系主机不输出控制命令,当主系主机故障时,备系主机将成为主系主机,实现故障主备切换功能。
本安全计算机平台可广泛应用于轨道交通领域各类车载及地面设备,如干线铁路信号系统车载ATP、干线铁路信号系统地面计算机联锁、干线铁路信号系统列控中心、城市轨道交通信号系统车载ATP、城市轨道交通信号系统地面计算机联锁、城市轨道交通信号系统区域控制器等,为其提供统一的软硬件平台,并可根据所安装的不同系统选择L、M、N模块数量和种类。
本安全计算机平台采用基于以太网和FlexRay总线的二级网络架构,既能充分发挥以太网作为骨干通信网,通信量大、通信速度高的特点,又能充分发挥FlexRay总线通信稳定可靠,实时性强的特点,满足安全计算机平台对安全性的严格要求以及对高效的工作效率的迫切需求。同时,本发明还采用了双机冗余的系统架构,能够实现故障主备切换,确保了安全计算机平台的安全性和可靠性。
由于FlexRay是基于时间触发的通信协议,有更快的数据速率,更灵活的数据通信,更全面的拓扑选择和容错运算,FlexRay总线的数据速率最大可达到10Mbps,远高于CAN总线的最高性能极限1Mbps,因此采用FlexRay总线可以在安全计算机平台中更高效地传输现场数据和控制命令。
进一步的,I系中,第一主机装置1A通过第一以太网交换机1D与以太网相连接,第二主机装置2A通过第二以太网交换机2D与以太网连接。第一通信中转装置1B通过以太网经第一以太网交换机1D将现场数据转发至第一主机装置1A,第一主机装置1A将控制命令通过以太网发经第一以太网交换机1D送至第一通信中转装置1B;II系采用与I系相同的方法来传输现场数据和控制命令,故不再具体赘述。第一以太网交换机1D和第二以太网交换机2D通过以太网相互连接并可实现第一主机装置1A和第二主机装置2A之间的数据通信,从而实现数据交互和自动故障主备切换等功能。
参见图2,第一主机装置1A还可进一步地采用二取二组合式安全结构。例如,第一主机装置1A由第一处理器PA、第二处理器PB和第一数据合成模块PC三个最小系统构成,其中第一处理器PA和第二处理器PB分别独立负责运算,且第一处理器PA和第二处理器PB之间能进行数据交互,实现二取二比较,当比较结果一致时,第一处理器PA发送数据、第二处理器PB发送校验数据至第一数据合成模块PC并由其进行数据合成,合成正确后由第一数据合成模块PC对外进行数据发送。二取二的主机结构能够保证主机对外输出数据的安全性和可靠性。
进一步的,第二主机装置2A也可以采用同第一主机装置1A相同的二取二组合式故障-安全结构,其由第三处理器PD、第四处理器PE和第二数据合成模块PF三个最小系统构成,与第一主机装置1A的各处理器和模块相同。第一主机装置1A和第二主机装置2A皆采用二取二结构,两个主机装置对外输出的数据经第一以太网交换机1D和第二以太网交换机2D交互,使整个安全计算机平台可实现二乘二取二架构,满足系统的安全性和可靠性。
进一步的,FlexRay总线可选地采用总线型拓扑结构,第一通信中转装置1B的第一网络连接端、第一输入输出装置1C、第二通信中转装置2B的第三网络连接端和第二输入输出装置2C分别连接至FlexRay总线的不同网络节点,使得总线结构简单,易于扩展,能有效控制成本。
进一步的,FlexRay总线还可选地采用互为冗余的FlexRayA总线和FlexRayB总线双总线结构,第一通信中转装置1B的第一网络连接端、第一输入输出装置1C、第二通信中转装置2B的第三网络连接端和第二输入输出装置2C分别同时连接到FlexRayA总线和FlexRayB总线,形成对第一通信中转装置1B和第二通信中转装置2B的冗余安全输入,能够确保安全计算机平台的通信可靠性。
进一步的,安全计算机平台可以采用双层交换机,以双层交换机的上层作为第一以太网交换机1D,以双层交换机的下层作为第二以太网交换机2D,双层交换机上下层之间通过网线连接。I系的所有装置,包括第一主机装置1A和第一通信中转装置1B,接入所述双层交换机的上层;II系的所有装置,包括第二主机装置2A和第二通信中转装置2B,接入所述交换机的下层。双层交换机作为一个网络节点使以太网形成星型拓扑结构,能够使结构更集中,优化安全计算机平台的空间占有。
进一步的,安全计算机平台还可选地在I系中具有第一外部通信装置1E并在II系中具有第二外部通信装置2E,第一外部通信装置1E和第二外部通信装置2E都与以太网相连接。第一外部通信装置1E和第二外部通信装置2E具有可以连接平台外部设备的外部通信接口。平台外部设备将采集到的外扩设备数据传送至第一外部通信装置1E和第二外部通信装置2E,第一外部通信装置1E和第二外部通信装置2E通过以太网分别经第一以太网交换机1D和第二以太网交换机2D将外扩设备数据转发至第一主机装置1A和第二主机装置2A,并通过第一以太网交换机1D和第二以太网交换机2D接收第一主机装置1A和第二主机装置2A的命令数据,并进一步将命令数据转发至平台外部设备解析执行。通过设置可外接平台外部设备的外部通信装置,安全计算机平台的可扩展性和通用性得到进一步提高。
进一步的,第一外部通信装置1E和第二外部通信装置2E的外部通信接口类型可以是以太网、RS485/RS422或CAN中的一种或多种。
进一步的,第一主机装置1A、第二主机装置2A、第一通信中转装置1B、第二通信中转装置2B、第一输入输出装置1C、第二输入输出装置2C、第一外部通信装置1E和/或第二外部通信装置2E都可以采用插件结构,方便安装与更换,安全计算机平台也可选地具有用于安装各插件的插箱(图中未示出)。较佳的是,插箱可以包括用于安装第一主机装置1A和/或第二主机装置2A插件的控制插箱、用于安装第一输入输出装置1C插件的第一插箱和用于安装第二输入输出装置2C插件的第二插箱等,第一插箱和第二插箱可以相互独立。插件和插箱的结构实现了平台设计标准化、模块化,并可根据应用需要在系统最大能力范围内可任意组合输入、输出类型和数量,减少应用系统开发和维护成本。
进一步的,FlexRay总线通信采用静态段时间触发方式,第一输入输出装置1C具有根据插件硬件在所述插箱中的位置设置的相应静态段发送时隙。较佳的是,第一输入输出装置1C根据其插件硬件在第一插箱中的位置设置相应的静态段发送时隙,第二输入输出装置2C根据其插件硬件在第二插箱中的位置设置相应的静态段发送时隙,且第一插箱中的I系各插件与第二插箱中的II系各插件的时隙设置互相独立。各输入输出插件在设定的静态段发送时隙进行数据发送,通信中转装置采用静态段剩余时隙向所有接入的输入输出插件发送数据,可避免通信不确定延时,满足通信实时性。
进一步的,FlexRay总线网络静态时隙可用总数优选地设置为65个,优选的发送时隙设置原则如图3所示,第一插箱上的19个板位依次设置不同的静态段发送时隙,同样的,第二插箱上的19个板位依次对应不同的静态段发送时隙,两插箱独立,互不影响,当输入输出插件插入所述板位时,则插件根据该板位所对应的静态段发送时隙进行设置。
进一步的,第一输入输出装置1C和第二输入输出装置2C还分别具有插件代表部(图中未示出),插箱设置有至少一个识别部(图中未示出),只有当所述插件代表部和所述识别部匹配时,所述第一输入输出装置1C和所述第二输入输出装置2C才会激活。较佳的是,第一输入输出装置1C的插件代表部与第一插箱的识别部进行匹配识别,第二输入输出装置2C的插件代表部与第二插箱的识别部进行匹配识别。插件代表部和识别部可以是机械式的,例如防插错齿头和防插错齿塞、钥匙和锁孔等,也可以是电子式的,例如电子式互感器、位置匹配的光传感器和挡板等。采用插件代表部和识别部,能够有效防止插件插错引起的插件错误运行,提升了安全计算机平台的运行安全度。
进一步的,安全计算机平台还可选的具有检测单元(图中未示出),该检测单元定期检测第一输入输出装置1C和第二输入输出装置2C的插件运行状态,并当检测单元检测到第一输入输出装置1C和第二输入输出装置2C的插件均未插入、同时未激活或同时故障时,安全计算机平台导向安全侧。导向安全侧操作可以包括停止命令接收与输入采集、断开输出回路、停止对外安全通信等,能够确保插件的正确激活和运行,并进一步确保安全计算机平台的安全运行。
这里采用的术语和表述方式只是用于描述,本发明并不应局限于这些术语和表述。使用这些术语和表述并不意味着排除任何示意和描述(或其中部分)的等效特征,应认识到可能存在的各种修改也应包含在权利要求范围内。其他修改、变化和替换也可能存在。相应的,权利要求应视为覆盖所有这些等效物。
同样,需要指出的是,虽然本发明已参照当前的具体实施例来描述,但是本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,在没有脱离本发明精神的情况下还可做出各种等效的变化或替换,因此,只要在本发明的实质精神范围内对上述实施例的变化、变型都将落在本申请的权利要求书的范围内。