CN108008624B - 抢权逻辑控制单元 - Google Patents

Abstract

本发明提供一种抢权控制逻辑单元，用于包括多套冗余板卡的安全系统设备来确定主控板卡并实现安全输出，能实现双机热备的切换，包括：多块处理器板，每块板都包含整流电路单元，其输出抢权信号至其他各板；抢到权的处理器板为主控板卡，其抢权信号为锁定高电平，并同时关闭其他板的抢权信号的输出；包含切换输出单元，其控制该处理器板是否向电源板发出功放切换信号；主控板卡判定当前功放是否可用，当存在切机需求时，控制该功放切换信号为高电平；电源板接通备用的功放，完成切机过程。本发明能够避免双主和多主情况的发生，能够避免在双机控制状态不一致时产生控制混乱；能够保证切换机制中的切换输出是安全的，禁止有非法的输出。

Description

抢权逻辑控制单元

技术领域

本发明涉及铁路信号领域中安全系统设备的多块板卡抢权的实现，尤其涉及一种多块板卡的抢权电路。

背景技术

双机备用冗余1oo2是目前铁路信号设备中最为典型的，最基本的可靠性冗余结构，其构成是两个完全相同功能的基本系统单元。应答器车载查询器BTM是铁路信号车载系统的重要组成部分，国内外应用的BTM大多没有采用或者实现严格意义上的双机备用冗余，究其原因，由于其具有较高的技术门槛，受安装环境限制等等，其中最重要的一个技术难点就是其切换机制，即BTM双机冗余系统控制权的转换。双机备用冗余的切换涉及到切换原则管理，切换方式，和如何实现切换。目前国内高速铁路C2为实现纯粹意义上的双机备用冗余，其天线仍然为单套；C3上虽然实现了双机备用冗余，但是其实现方式是通过采用双套BTM设备进行冗余，即安装两台BTM，当有一套故障时，通过冷切的方式进行切换。

综上所述，目前国内外对于BTM的应用并没有真正意义上涉及到热备形式的切换，其中最重要的原因应该是其切换机制的复杂性。切换机制中核心的问题是控制权唯一，如何确保双机控制状态不一致时所产生的混乱，如何确保避免出现双控情况发生等等都是BTM双机备用现阶段所要解决的关键问题。

发明内容

目前国内外应用的BTM双机备用冗余采用的是冷切的方式，即当一套BTM处于故障时，人为的进行手动切换，大大延长了故障处理时间。

本发明解决问题的技术方案为：提供一种抢权控制逻辑单元，主要为双机热备的BTM提供切换的唯一控制权。其能够解决和完善以下几个问题：

a..能够避免双主的现象出现，抢权逻辑控制单元能够在硬件上实现多块BTM的处理器板卡实现互锁，即抢到控制权的处理器板能够锁住未抢到权的板卡，使之不能够抢到权；

b.主控板卡故障能够自动切换到其他处理器板卡，并且永远失去抢权的资格，不再参与主控的功能；

c.能够通过软件对抢权逻辑单元进行检测，能够及时发现抢权逻辑单元的故障，进而退出控制权限，确保故障操作输出；

d.采用动态抢权的方式，系统工作过程中，如出现放权的现象，其他板卡能够及时抢到控制权限；

e.抢权逻辑单元采用动态方波驱动的方式，能够避免电子电路中固0固1的死故障，切换时间短，能够一定程度实现无扰切换；

本发明提供一种抢权控制逻辑单元，用于包括多套冗余板卡的安全系统设备来确定主控板卡并实现安全输出，其特征在于，包括：

多块处理器板，每块板都包含整流电路单元，其输出抢权信号至其他各板；

抢到权的处理器板为主控板卡，其抢权信号为锁定高电平，并同时关闭其他板的抢权信号的输出；非主控板卡，其抢权信号为非锁定低电平；

每块处理器板都包含切换输出单元，其控制该处理器板是否向电源板发出功放切换信号；锁定高电平信号作为该切换输出单元的开启信号，非锁定低电平信号则作为该块板切换输出单元的关闭信号；

主控板卡判定当前功放是否可用，当存在切机需求时，控制该功放切换信号为高电平；

电源板，接收各处理器板的切换输出单元的功放切换信号，当该功放切换信号为高电平时，接通备用的功放，完成切机过程。

本发明的有益效果在于：能够避免双主和多主情况的发生，进而能够避免在双机控制状态不一致时产生的控制混乱以及引发的危险后果；能够保证切换机制中的切换输出是安全的，禁止有非法的输出；抢权逻辑控制单元能够实现较高的检测覆盖率。

附图说明

图1是本发明抢权逻辑控制单元的原理框图。

图2是实时运行过程中重新触发抢权示意图。

图3是多块板卡的抢权实现的流程图。

具体实施方式

为使本发明的技术方案更加的明确，下面结合附图对本发明进行进一步的详细说明。

1、抢权过程实现

本发明的抢权实现的完整过程如图3。

以双机热备的BTM的使用为例，见图1，BTM上的多块处理器板(以四块处理器板为例)运行时会发送抢权信号ROBR，每路处理器板将自身的抢权信号发送至其他处理器板，抢权信号的初始形式为动态方波，动态方波通过整流电路后整流成电平形式向其他板卡发送，如ROBR1,ROBR2,ROBR3,ROBR4，其中高电平为锁定电平，低电平为非锁定电平。如图1中所示的处理器板1中的ROBR2,ROBR3,ROBR4,分别为处理器板2,3,4的抢权信号，这三个抢权信号作为处理器板1的输入信号对其动态方波进行开关控制。

首先，上电自检抢权及回检放权功能的实现

针对抢权逻辑控制单元，BTM上的各处理器板能够进行回检检测。上电开始，处理器板卡通过ID引脚识别确定自己的ID顺序，并通过ID顺序依次对抢权控制电路进行抢权和放权的检测，即1号板卡先进行抢权操作，发送抢权动态方波，其他3块板卡不发送抢权动态方波，ROBR1应为锁定高电平，ROBR2,ROBR3,ROBR4为非锁定低电平，此时的1号板卡应为主控板卡，处理器板卡1通过检测抢权回检信号ROBR1是否为锁定高电平，如果为锁定高电平，则认为板卡1的抢权电路抢权功能正常，反之则抢权功能异常；

抢权正常后则停止发送动态方波，此时的1号板卡应为非主控板卡，处理器板卡1通过检测抢权回检信号ROBR1是否为非锁定低电平，如果为非锁定低电平，则认为板卡1的放权功能正常，反之则放权功能异常；其他板卡的检测方式与板卡1的相同。

自上电开始，先是1,2,3,4号板卡分别对自身的抢权电路进行自检，自检及回检放权过程如图3左侧所示，4块板卡是分时进行检测的，目的是保证单块板卡检测的独立性；然后等4块板卡回检放权检测完毕后，开始同时抢权，抢到主控权的板卡会产生锁定信号ROBR1，此信号能同时关闭其他板卡的输出。例如，处理器板卡1,2,3,4中板卡1的抢权信号输出为锁定高电平(其动态方波率先输出，开关门GATE1-0未被其他抢权信号关闭)，此时处理器板2,3,4的动态方波输出会被关闭，无法进行入到整流电路单元中，此时处理器板2,3,4输出的抢权信号ROBR1,ROBR3,ROBR4为非锁定低电平，故而处理器板1抢到了权，完成了系统上电过程中的抢权过程，成为了主控板卡，其他板卡未抢到权，而成为了非主控板卡。

其次，运行过程中的自身故障检测

运行过程中，各个板卡都要进行实时的自身故障检测，如图2所示，处理器板卡1在运行过程中检测到自身故障。在运行过程中，主控板卡发生故障，会停止抢权方波的输出，此时抢权逻辑单元会重新确立新的主控板卡。由于无法再承担主控板卡的责任，此时处理器板卡1会停止输出动态方波信号，此时信号ROBR1成为了非锁定低电平，处理器板卡2,3,4的动态方波开关GATE2-1,GATE3-1,GATE4-1重新开启，实时运行过程中板卡间的抢权电路在抢权过程中会产生发送的抢权信号同步，无法锁定对方板卡，产生自激现象，这样的后果会导致主权空白期，即系统在较长的一段时间内不能确定主控板卡。为了避免这一问题的出现，在软件处理过程中会根据不同板卡周期性的发送抢权方波，抢权方波的发送周期与持续时间均与板卡ID有关，这样能够人为地错开不同板卡的抢权信号，避免自激，避免产生较长的无主期，一旦确定主权，则立即转变为持续发送动态方波，进行持续锁定。

此时，如图3右侧内容所示，如果处理器板卡2率先通过整流电路单元输出锁定高电平，处理器板3,4的动态方波会被关闭，无法进行整流，故而ROBR3,ROBR4为非锁定低电平，处理器板卡2成为了新的主控板卡，处理器板卡3,4为非主控板卡，而处理器板卡1由于发生过故障不再参与抢权。

2、安全控制输出的实现

如图1所示，以处理器板卡1为主控板卡为例，作为主控板卡的锁定电平信号ROBR1，会作为BTM切换输出单元PWRSW1的开启信号。在默认状态下，BTM主机的功放1处于工作状态，主控板卡判定当前功放1是否可用，当存在切机需求时(如功放1故障)，切换输出单元PWRSW1会向电源板输出功放切换信号(功放切换信号为高电平时起作用，而默认状态下PWRSW1输出为低电平)，主控板卡1控制该功放切换信号为高电平；电源板接收各处理器板的切换输出单元的功放切换信号，当达到切机的条件时，电源板将接通备用功放2，使功放2处于工作状态，功放1则不再工作，完成切机过程。

非主控板卡2,3,4的非锁定低电平信号(ROBR2,ROBR3,ROBR4)，是切换输出单元PWRSW2，PWRSW3，PWRSW4的关闭信号(图1中GATE2-1,GATE3-1,GATE4-1的使能端)，防止非主控板卡有非法的高电平功放切换信号输出，这样就能充分保证处理器板卡在软件无法识别自身身份时，能通过硬件的锁定避免双主或多主的出现。

综上所述，抢权逻辑控制单元通过软件硬件双重防护的方式，避免多机控制状态不一致所产生的混乱并且能够避免所造成的危险，进而能够安全的实现切换输出控制。

3.重新抢权的触发

在运行过程中，一般有以下情况会触发重新抢权：

主控板卡检测到抢权回检信号由有效变为无效则说明主控板卡的抢权电路产生了问题，软件会自动切断抢权动态方波的输出，此板卡不再参与以后的抢权机制，其他几个板卡开始重新抢权，抢到权的重新成为主控板卡。

主控板卡在实时运行过程中的自身故障检测时发现了危及安全的故障，则放弃主控权，以后也不再参与主控权的争夺，故障恢复后也不再参与。

4.可替代方式

按照板卡ID，规定好各个板卡的优先级，优先级最高的为主控板卡。如果主控板卡检测到自身故障自动降到最低优先级，此时由次高优先级的板卡充当主控板卡。

自上电开始，各个冗余板卡根据自身的物理ID确定自身的ID号，ID号为1的拥有最高权限，默认为主控板卡，主控板卡通过公共的接口向其他板卡发送主控宣示方波(主控宣示方波跟ID号相关，1号板卡为1Khz,2号板卡未2Khz,3号为3Khz,4号板卡为4Khz)，其他板卡通过方波信息能够确认此时系统的主控板卡ID。当主控1号板卡自身故障停止发送主控宣示方波，2号板卡在固定时间t内没有接收到宣示方波，开始成为新的主控板卡，并且开始发送新的主控宣示方波(2Khz),其他板卡依次类推；

此种方式是事先约定好板卡抢权优先级，能够简化硬件电路，减少软件实现的复杂性。

本发明的抢权实现过程对于存在多套冗余板卡(包含两套)的安全系统设备均可采用此抢权逻辑控制单元模块确定主控板卡或主控系别。

本发明的有益效果在于：

a.能够避免双主和多主情况的发生，进而能够避免在双机控制状态不一致时产生的控制混乱以及引发的危险后果；

b.能够保证切换机制中的切换输出是安全的，禁止有非法的输出；

c.抢权逻辑控制单元能够实现较高的检测覆盖率。

本发明中的缩略语和关键术语定义

■BTM Balise Transmission Module应答器信息接收单元

■1oo2One Out Of Two双机备用冗余

■2oo2 Two Out Of Two二取二

■Logic Unit of Power Grab Control抢权逻辑控制单元

以上内容仅为本发明技术方案的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种抢权逻辑控制单元，用于包括多套冗余板卡的安全系统设备来确定主控板卡并实现安全输出，该安全系统设备能实现双机备用冗余的热备切换，该安全系统设备是双机热备的BTM，其特征在于，包括：

多块处理器板，每块板都包含整流电路单元，其输出抢权信号至其他各板；所述抢权信号为动态方波；根据不同板卡周期性地发送抢权方波，所述抢权方波的发送周期与持续时间均与板卡ID有关；

抢到权的处理器板为主控板卡，其抢权信号为锁定高电平，并同时关闭其他板的抢权信号的输出；非主控板卡，其抢权信号为非锁定低电平；

每块处理器板都包含切换输出单元，其控制该处理器板是否向电源板发出功放切换信号；锁定高电平信号作为该切换输出单元的开启信号，非锁定低电平信号则作为该块板切换输出单元的关闭信号；

主控板卡判定当前功放是否可用，当存在切机需求时，控制该功放切换信号为高电平；

电源板，接收各处理器板的切换输出单元的功放切换信号，当该功放切换信号为高电平时，接通备用的功放，完成切机过程。

2.根据权利要求1所述的控制单元，其特征在于，在运行过程中，实时进行各处理器板的自身故障检测，如果主控板卡发现故障，则触发重新抢权，剩余各板重新参与抢权。

3.根据权利要求2所述的控制单元，其特征在于，发现故障的主控板卡，不再参与抢权。

4.根据权利要求1所述的控制单元，其特征在于，可按照板卡ID规定好各个板卡的优先级，优先级最高的为主控板卡，以替代动态方波信号抢权。

5.根据权利要求4所述的控制单元，其特征在于，如果主控板卡检测到自身故障则自动降到最低优先级，此时由次高优先级的板卡充当主控板卡。

6.根据权利要求1所述的控制单元，其特征在于，该安全系统设备包含两套冗余板卡，实现二取二。

7.一种使用如权利要求1的抢权逻辑控制单元实现多块处理器板卡抢权的方法，其特征在于，该方法包括如下步骤：

1)上电自检抢权及回检放权实现，通过ID顺序依次对各板卡进行抢权及放权功能是否正常的检测；

2)全部板卡回检放权检测完毕后，开始同时抢权；

3)抢到主控权的板卡会产生锁定高电平信号，同时关闭其他板卡的抢权信号的输出；

4)抢到权的板卡为主控板卡，其用产生的锁定高电平信号控制切换输出单元开启，在存在切机需求时，安全输出实现切机；

5)在运行过程中，实时进行各板卡的自身故障检测，如果主控板卡发现故障，触发重新抢权。

8.根据权利要求7所述的方法，其特征在于，步骤5)中发现故障的主控板卡，不再参与抢权。

9.根据权利要求7所述的方法，其特征在于，在步骤5)中，剩余各板卡重新参与抢权，根据不同板卡周期性地发送抢权方波，抢权方波的发送周期与持续时间均与板卡ID有关。

Images