CN111831488B - 具有安全等级设计的tcms-mpu控制单元 - Google Patents
具有安全等级设计的tcms-mpu控制单元 Download PDFInfo
- Publication number
- CN111831488B CN111831488B CN202010481064.3A CN202010481064A CN111831488B CN 111831488 B CN111831488 B CN 111831488B CN 202010481064 A CN202010481064 A CN 202010481064A CN 111831488 B CN111831488 B CN 111831488B
- Authority
- CN
- China
- Prior art keywords
- cpu
- board card
- mvb
- mpu1
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or vehicle train for signalling purposes ; On-board control or communication systems
- B61L15/0081—On-board diagnosis or maintenance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3024—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a central processing unit [CPU]
Abstract
本发明涉及TCMS‑MPU控制单元,具体为具有安全等级设计的TCMS‑MPU控制单元。解决现有TCMS‑MPU控制单元的安全可靠性有待提高的现状。具有安全等级设计的TCMS‑MPU控制单元,包括电源板卡、主控板卡、网络板卡、背板;主控板卡、网络板卡之间通过背板上的CPCI板级总线,进行数据交互;电源板卡通过背板对主控板卡和网络板卡供电;安全设计包括主控板卡的MCU1功能模块对其主处理器CPU进行实时监视,和网络板卡的CPLD功能模块对网络板卡的执行情况进行监视;本发明TCMS‑MPU控制单元满足EN50126、EN50129的要求,提高了控制单元的安全等级,并通过安全回路设计相同的主控MPU1和从控MPU2实现双MPU热备冗余控制。
Description
技术领域
本发明涉及TCMS-MPU控制单元,具体为具有安全等级设计的TCMS-MPU控制单元。
背景技术
TCMS(列车控制和管理系统,Train Control and Management System)由通信、控制、人机接口等装置和配套的电缆、连接器构成,如图1所示。
TCMS采用基于IEC 61375标准的TCN总线,由列车总线WTB和车辆总线MVB二级总线组成,是实现机车的控制、监视和诊断的车载微机控制系统。中央控制单元MPU是TCMS核心部件,承载整车控制功能的实现,完成整个网络的总线管理和机车逻辑控制。TCMS-MPU控制单元是整车TCMS网络控制系统的核心部件,属于MVB 4类设备,通过MVB总线与整车各个子系统进行数据交互,实现整车网络总线管理、机车运行控制及故障保护控制等功能。
由于我国铁路事业的发展态势迅猛,大量的信号用于车辆控制,这对信号的安全可靠性提出了更严格的要求,现有TCMS-MPU控制单元的安全可靠性有待提高。EN50126、EN50129系列标准是国际公认的以计算机控制的信号系统作为对象的铁道信号标准。将该标准的思想融入MPU设计,将大幅度提升TCMS-MPU控制单元的可靠性及安全性。
发明内容
本发明针对现有TCMS-MPU控制单元的安全可靠性有待提高的现状,提供一种具有安全等级设计的TCMS-MPU控制单元。该TCMS-MPU控制单元依据EN50126、EN50129系列标准,以提高安全等级;并进一步设计有热备冗余功能的MPU,即在当主控MPU出现故障时,从控MPU自动升级为主控设备,接管整车网络总线管理工作,从而保证整车继续安全运行。
本发明是采用如下技术方案实现的:具有安全等级设计的TCMS-MPU控制单元,包括电源板卡、主控板卡MCPU、网络板卡NET1、背板;主控板卡MCPU、网络板卡NET1之间通过背板上的CPCI板级总线,进行数据交互;电源板卡通过背板对主控板卡MCPU和网络板卡NET1供电;
主控板卡MCPU包括主处理器CPU、MCU1功能模块;
网络板卡NET1包括FPGA功能模块、CPLD功能模块、MCU2功能模块;MCU2功能模块有两个:MCU2.1功能模块和MCU2.2功能模块;
安全设计包括主控板卡MCPU的MCU1功能模块对其主处理器CPU进行实时监视,和网络板卡NET1的CPLD功能模块对网络板卡NET1的执行情况进行监视;
主控板卡MCPU的MCU1功能模块对其主处理器CPU进行实时监视:
1)CPU温度检测:MCU1通过CPU附近的温度传感器获取CPU温度,通过IIC总线发送给CPU,CPU提供温度控制逻辑,在控制逻辑中判断温度大于70℃时, CPU应用层整车控制逻辑产生故障并进行故障保护处理;
2)CPU心跳检测:MCU1开启硬件看门狗,CPU周期性喂狗,当CPU异常,喂狗中断;CPU喂狗中断时,MCU1通过硬件看门狗复位CPU;
3)CPU重要软件任务及操作系统执行情况检测:3.1)内存检测:MCU1使用CPUVXworks操作系统提供的内存异常回调函数进行内存检测,当内存出现异常时,MCU1产生故障并生成故障码,同时重启CPU;3.2)系统故障监测:MCU1检测CPU电源过压或欠压故障,如发生故障则生成故障码,并重启CPU;3.3)通过软件看门狗检测重要周期性任务运行周期:当运行周期偏离15次或者运行终止时,喂狗发生异常,产生故障码并重启CPU;周期性任务包含:周期性喂狗、温度获取、事件处理、事件检测、MVB数据交互、IO数据更新、逻辑运行MVB从栈状态检测;
4)CPU启动过程检测:4.1)CPU最小系统上电自检:包含存储模块(NVSRAM、FLASH、SATA)、温度传感器、系统实时时钟RTC、USB程序升级检测;故障时程序终止运行,MCU1硬件看门狗复位CPU;4.2)系统初始化故障检测:包含启动过程中软件程序初始化运行过程错误、硬件设备初始化错误;发生故障,CPU进入系统模式,终止运行;4.3)网络板卡上电自检:包括系统故障监测、3.3V和5V电源检测、网络板卡和CPU连接检测、CPLD异常检测、MCU2异常检测;发生故障,CPU进入系统模式,终止运行;4.4)MVB通信检测:驱动加载异常检测、MVB配置检测;发生故障,CPU进入系统模式,终止运行;
网络板卡NET1的CPLD功能模块对网络板卡NET1的执行情况进行监视:
1)MCU2.1检测(前面板CAN接口检测):MCU2.1发送心跳给CPLD,如果心跳停止,MCU2.1故障,CPLD上报故障给主控板卡的CPU,CPU存储故障,并重启MCU2.1;
2)MCU2.2检测(背板CAN接口检测):MCU2.2发送心跳给CPLD,如果心跳停止,MCU2.2故障,CPLD上报故障给主控板卡的CPU,CPU存储故障,并重启MCU2.2。
进一步地,具有安全等级设计的TCMS-MPU控制单元由安全回路设计相同的主控MPU1和从控MPU2构成,MPU1与MPU2通过各自网络板卡的CAN总线接口以及MVB总线接口相连,共同实现冗余功能设计,默认MPU1为主控设备,MPU2为从控设备。实现在当主控MPU1出现故障时,从控MPU2自动升级为主控设备,接管整车网络总线管理工作,从而保证整车继续安全运行。
具体地,MPU1周期性检测其CPU心跳和状态信息,通过CAN总线发送到MPU2;MPU1检测自身状态故障的条件包括以下几项:主控板卡故障,包括主控板卡CPU心跳异常、CPU的MVB数据交互任务异常、CPU逻辑任务异常;网络板卡故障,包括CPCI通信故障、MCU2心跳检测、CPLD异常以及其他硬件故障;MVB网卡故障。
MPU2周期性接收MPU1通过CAN总线发送的心跳及状态信息,并且通过MVB总线获取MPU1的MVB状态,存在以下几种情况:1)MPU1有心跳并运行状态正常,此时MPU2设置为未激活,MVB源端口设置为宿端口同步接收MPU1发送的MVB数据,MPU 2的CAN总线实时检测MPU1心跳及状态;2)MPU1有心跳,但检测到MPU1状态故障,此时MPU1重新启动,MPU2设置为激活状态,替代MPU1工作,MVB源端口设置为正常,并发送心跳和自身状态,MPU1启动后设置自己为从控设备;3)MPU1心跳异常或未收到心跳信号,此时MPU2检测MPU1的MVB状态,如果MVB状态正常,则确定MPU1处于正常状态,判断为CAN总线断路或接触不良;如果MVB状态异常或未更新,判断为MPU1断电或者设备故障,此时MPU2激活,切换成主控设备。
本发明所述TCMS-MPU控制单元满足EN50126、EN50129的要求,提高了TCMS-MPU控制单元的安全等级,并且成功应用于国外某机车网络控制系统。该TCMS-MPU控制单元通过网络控制和硬线控制实现双MPU热备冗余控制,在保证车辆网络系统安全可靠运行的同时,能够有效避免车辆网络控制失效,满足用户的实际需求,取得了良好的经济和社会效益。
附图说明
图1为TCMS系统框架图;
图2为本发明所述TCMS-MPU控制单元的硬件外形图;
图3为TCMS-MPU控制单元的硬件架构图;
图4为电源板卡架构图;
图5为主控板卡MCPU架构图;
图6为网络板卡NETI架构图;
图7为MPU的安全回路设计;
图8为冗余MPU的安全回路设计;
图9为冗余MPU主备切换流程图。
具体实施方式
具有安全等级设计的TCMS-MPU控制单元,由3U机箱、电源板卡、主控板卡MCPU、网络板卡NET1、背板及盲板组成。其中电源板卡能够将整车DC77V~DC137.5V电源转换成稳定的DC5V、DC3.3V,并通过背板输入到各个板卡中;主控板卡设计有RS232、USB及以太网通信接口,完成运行状态监测、程序上传下载等功能;网络板卡设计有MVB、CAN等通信接口,实现总线网络数据的交互。
具有安全等级设计的TCMS-MPU控制单元硬件外形如图2所示。
TCMS-MPU控制单元板卡布局如表1所示:
TCMS-MPU控制单元硬件架构如图3所示:主控板卡、网络板卡之间通过CPCI板级总线接口进行数据交互,各板卡供电通过背板进行连接,主控板卡MCPU主要实现了整个系统的任务调度和逻辑运行,对外接口有:以太网、USB接口、RS232接口,网络板卡NET1主要实现了对外的MVB通信、CAN通信,为外接口有:MVB接口、CAN接口。
一、电源板卡
电源板卡PWR技术参数如下:a)输入电压110VDC;b)输出电压5V(功率根据实际计算补充),3.3V(功率根据实际计算补充);c)输入输出状态监控;d)输入短路保护、冲击保护、反相保护、断电保护等;e)输出过载保护、短路保护等。其电源板卡架构见图4所示:MPU的电源板将110V电源转换为+5V及+3.3V直流隔离稳压电源,根据外部控制信号进行开关机,对输入及输出电源进行监控并给出状态指示信号,同时具备短路、冲击、掉电保护等功能。电源板的前面板出线, 配有电源输入、电源输出正常与否的指示灯。控制电源输入的开关,此开关用于控制电源输入的通断。配置输出电压测试孔。
电源板卡的各模块设计如下:
输入反接保护设计:为防止电源输入极性接反或极性发生改变时损坏电源电路;
功率保持及切换设计:以维持系统在非正常掉电时进行状态记录,掉电保护时间约为18ms;
DCDC电源转换电路设计:将+110V转换至+15V,再经过电源转换模块生成+3.3V、+5V电源;
输出滤波电路设计:为减小电源的输出噪声电压,在每组电源输出端均设计滤波电路;
监控电路设计:监视输入/输出电源欠压、过压故障时,产生电源监测信号通过背板总线通知系统。
二、主控板卡MCPU
主控板卡MCPU架构见图5所示:MPU的主控板卡,实现对整车逻辑控制、任务调度,信息交互,数据存储等功能。MCPU板搭载了vxWorks6.6实时操作系统,能够满足大数据量,高速运算,实时控制、可靠性要求高的各种工业应用场合。
主控板卡MCPU 包括主处理器CPU、MCU1功能模块、USB接口模块、RS232接口模块、以太网接口模块、实时时钟RTC模块、存储模块;
MCU1功能模块: CPU的温度监控、CPU看门狗功能、CPU的复位重启、实时时钟的电池模块监控管理以及LED控制;
USB接口模块:实现系统软件的升级更新;
RS232接口模块:用于查看目标机嵌入式软件运行状态;
以太网接口模块:实现上位机软件SST的通信,完成设备工作模式切换、设备列表刷新、设备资源配置、现场烧录程序、在线接口变量实时监视、输出状态强制给定、故障数据下载;
实时时钟RTC模块:提供MCU1秒、分、时、星期、日期、月和年的实时信息;
存储模块:8GB的嵌入式固态硬盘SATA实现TCMS故障信息存储。
三、网络板卡NET1
网络板卡NETI技术参数如下:a)CPCI接口,具备与主控板、I/O板通信的功能;b)2路隔离CAN接口,传输速率可达1Mbps;c)2路隔离MVB接口,传输速率可达1.5Mbps,MVB接口属于4类设备。
网络板卡NETI架构见图6所示:MPU的网络版是3U CompactPCI 网络接口模块,NETI用于实现MPU外部通信和内部通信、电源管理和复位信号的管理、电源状态的监控、MPU对外LED灯的控制、MPU维护总线的管理、内部I2C总线通信等功能。
网络板卡NET1包括FPGA功能模块、CPLD功能模块、MCU2功能模块和外围接口模块,MCU2功能模块有两个:MCU2.1功能模块和MCU2.2功能模块;
FPGA功能模块:实现CPCI接口协议的实现与扩展;实现前面板CAN与MVB接口、背板CAN与I2C接口的管理;通过CPCI接口实现前面板CAN与MVB、背板CAN的接口数据与主控板卡CPU进行数据交互;通过PC104总线管理模块实现与CPLD进行监视数据的交互;实现将CPLD监视数据通过CPCI接口发送给主控板卡,由主控板卡对监视数据进行统一管理;
CPLD功能模块:CPLD实现对状态指示灯LED控制;实现对监视数据(电源故障信号、I/O板卡的系统信号与复位信号等)的传输;实现MCU2的复位重启功能;
MCU2功能模块:实现前面板CAN、背板CAN与I2C接口协议的实现与扩展;
外围接口模块:a)前面板CAN接口模块:MCU2.1以及CAN收发器共同实现前面板CAN接口扩展;b)前面板MVB接口模块:MVB采用杜根公司标准的PC104接口的MVB网卡;c)背板CPCI接口模块:通过FPGA实现CPCI总线时序及控制信号,完成CPCI高速数据交互;d)背板CAN接口模块: MCU2.2以及CAN收发器共同实现背板CAN总线扩展;背板CAN总线实现对I/O板卡的采集与输出的I/O数据交换、实现I/O通道工作状态信息交互;e)背板I2C接口模块:采用具有I2C控制器的MCU2.2以及I2C收发器共同实现背板I2C总线扩展;背板I2C总线实现I/O板卡的属性与固件信息管理。
四、MPU安全设计
MPU的主要功能是通过MVB总线与整车各个子系统进行数据交互,实现整车网络总线管理、机车运行控制及故障保护控制等。MPU由电源板卡、主控板卡、网络板卡、背板组成。电源板卡主要功能是为主控板卡与网络板卡提供供电电源。主控板卡是承载MPU的核心算法与任务控制。网络板卡是MPU与外部设备进行数据交互接口。基于MPU的架构设计分析MPU的数据输入到数据输出的安全回路设计。MPU的安全回路设计,符合EN50126、EN50129的标准,具体如图7所示。
由图7可见,MPU从网络板卡的MVB接口接收到外部设备发送的数据后,经过杜根公司的MVB协议栈网卡的解析后经过FPGA的PC104总线管理功能模块将解析后的应用层用户数据再通过CPCI接口传输到主控板卡的CPU;主控板卡CPU进过控制逻辑执行后,将计算结果数据通过CPCI接口再传输给网络板卡;网络板卡经由FPGA的PC104总线管理模块与杜根公司的MVB协议栈网卡将计算结果数据打包成MVB协议数据包,经由MVB接口发送给MPU的外部设备。
安全设计包括主控板卡MCPU的MCU1功能模块对其主处理器CPU进行实时监视,和网络板卡NET1的CPLD功能模块对网络板卡NET1的执行情况进行监视;
主控板卡MCPU的MCU1功能模块对其主处理器CPU进行实时监视:
1)CPU温度检测:MCU1通过CPU附近的温度传感器获取CPU温度,通过IIC总线发送给CPU,CPU提供温度控制逻辑,在控制逻辑中判断温度大于70℃时, CPU应用层整车控制逻辑产生故障并进行故障保护处理;
2)CPU心跳检测:MCU1开启硬件看门狗,CPU周期性喂狗,当CPU异常,喂狗中断;CPU喂狗中断时,MCU1通过硬件看门狗复位CPU;
3)CPU重要软件任务及操作系统执行情况检测:3.1)内存检测:MCU1使用CPUVXworks操作系统提供的内存异常回调函数进行内存检测,当内存出现异常时,MCU1产生故障并生成故障码,同时重启CPU;3.2)系统故障监测:MCU1检测CPU电源过压或欠压故障,如发生故障则生成故障码,并重启CPU;3.3)通过软件看门狗检测重要周期性任务运行周期:当运行周期偏离15次或者运行终止时,喂狗发生异常,产生故障码并重启CPU;周期性任务包含:周期性喂狗、温度获取、事件处理、事件检测、MVB数据交互、IO数据更新、逻辑运行MVB从栈状态检测;
4)CPU启动过程检测:4.1)CPU最小系统上电自检:包含存储模块(NVSRAM、FLASH、SATA)、温度传感器、系统实时时钟RTC、USB程序升级检测;故障时程序终止运行,MCU1硬件看门狗复位CPU;4.2)系统初始化故障检测:包含启动过程中软件程序初始化运行过程错误、硬件设备初始化错误;发生故障,CPU进入系统模式,终止运行;4.3)网络板卡上电自检:包括系统故障监测、3.3V和5V电源检测、网络板卡和CPU连接检测、CPLD异常检测、MCU2异常检测;发生故障,CPU进入系统模式,终止运行;4.4)MVB通信检测:驱动加载异常检测、MVB配置检测;发生故障,CPU进入系统模式,终止运行;
网络板卡NET1的CPLD功能模块对网络板卡NET1的执行情况进行监视:
1)MCU2.1检测(前面板CAN接口检测):MCU2.1发送心跳给CPLD,如果心跳停止,MCU2.1故障,CPLD上报故障给主控板卡的CPU,CPU存储故障,并重启MCU2.1;
2)MCU2.2检测(背板CAN接口检测):MCU2.2发送心跳给CPLD,如果心跳停止,MCU2.2故障,CPLD上报故障给主控板卡的CPU,CPU存储故障,并重启MCU2.2。
上述安全回路中涉及到的通信协议:MVB、CPCI均满足IEC61375标准中规定的安全通信要求。
五、MPU的冗余设计
TCMS架构中MPU1与MPU2通过网络板的CAN总线以及MVB总线接口共同实现冗余功能设计,默认MPU1为主控设备,MPU2为从控设备。实现在当主控MPU1出现故障时,从控MPU2自动升级为主控设备,接管整车网络总线管理工作,从而保证整车继续安全运行。基于CAN与MVB总线接口的冗余功能,分析TCMS架构中MPU的数据输入到数据输出的安全回路设计。具体如图8所示。
由图8可见,MPU1与MPU2安全回路设计相同,在TCMS架构中MPU1与MPU2通过网络板的CAN与MVB总线接口实现冗余功能设计。默认MPU1初始状态配置为主机,MPU2初始状态配置为备机。设计原理如下:
(1)CAN与MVB总线工作说明:
CAN总线:主机MPU发送CPU心跳和状态信息给备机MPU,状态信息包括CPU的逻辑任务、总线数据交换任务、网络板故障等;
MVB总线:数据同步和状态信息监测,状态信息主要包括MVB网卡运行状态信息。
(2)主机工作说明:
主机周期性检测本机的CPU心跳和状态信息,通过CAN总线发送到备机。
主机检测自身故障的条件包括以下几项:
主控板故障,包括主控板CPU心跳异常、CPU的MVB数据交互任务异常、CPU逻辑任务异常等;
网络板故障,包括CPCI通信故障、微处理器MCU心跳检测、CPLD异常以及其他硬件故障等;
MVB网卡故障。
(3)备机工作说明:
备机周期性接收主机通过CAN总线发送的状态信息,并且通过MVB总线获取主机MVB状态,存在以下几种情况:
主机有心跳并运行状态正常,此时备机设置为未激活,MVB源端口设置为宿端口同步接收主机发送的MVB数据,备机CAN总线实时检测主机心跳及状态;
主机有心跳,但检测到主机设备状态故障,此时主机重新启动,备机设置为激活状态,替代主机工作,MVB源端口设置为正常,并发送心跳和自身状态,主机启动后设置自己为备机;
主机心跳异常或未收到心跳信号,此时备机检测主机的MVB状态,如果MVB状态正常,则确定主机处于正常状态,判断为CAN总线断路或接触不良;如果MVB状态异常或未更新,判断为主机断电或者设备故障,此时备机激活,切换成主机。
(4)MPU初始化工作说明:
启动主机(主控设备)和备机(从控设备),冗余功能程序自启动,如果两台MPU(MPU1、MPU2)均未配置,则上电默认MPU1、MPU2配置均为备机,两台备机均会等待主机启动,在等待一定时间后如果未收到主机发送的心跳信号,启动时间短者抢占主机功能,启动时间长者为备机。主机统一发送逻辑任务开始运行信号,确保主机与备机的逻辑程序运行同步。
(5)MPU主备切换流程说明如图9所示:TCMS架构中MPU1与MPU2通过CAN与MVB总线实现冗余功能设计,确保TCMS核心运算单元主机MPU在发生主控板故障、网络板故障和MVB网卡故障时,自动激活备机MPU接管TCMS任务,保障TCMS功能安全。
Claims (5)
1.一种具有安全等级设计的TCMS-MPU控制单元,其特征在于,包括电源板卡、主控板卡MCPU、网络板卡NET1、背板;主控板卡MCPU、网络板卡NET1之间通过背板上的CPCI板级总线,进行数据交互;电源板卡通过背板对主控板卡MCPU和网络板卡NET1供电;
主控板卡MCPU包括主处理器CPU、MCU1功能模块;
网络板卡NET1包括FPGA功能模块、CPLD功能模块、MCU2功能模块;MCU2功能模块有两个:MCU2.1功能模块和MCU2.2功能模块;
安全设计包括主控板卡MCPU的MCU1功能模块对其主处理器CPU进行实时监视,和网络板卡NET1的CPLD功能模块对网络板卡NET1的执行情况进行监视;
主控板卡MCPU的MCU1功能模块对其主处理器CPU进行实时监视:
1)CPU温度检测:MCU1通过CPU附近的温度传感器获取CPU温度,通过IIC总线发送给CPU,CPU提供温度控制逻辑,在控制逻辑中判断温度大于70℃时, CPU应用层整车控制逻辑产生故障并进行故障保护处理;
2)CPU心跳检测:MCU1开启硬件看门狗,CPU周期性喂狗,当CPU异常,喂狗中断;CPU喂狗中断时,MCU1通过硬件看门狗复位CPU;
3)CPU重要软件任务及操作系统执行情况检测:3.1)内存检测:MCU1使用CPU VXworks操作系统提供的内存异常回调函数进行内存检测,当内存出现异常时,MCU1产生故障并生成故障码,同时重启CPU;3.2)系统故障监测:MCU1检测CPU电源过压或欠压故障,如发生故障则生成故障码,并重启CPU;3.3)通过软件看门狗检测重要周期性任务运行周期:当运行周期偏离15次或者运行终止时,喂狗发生异常,产生故障码并重启CPU;周期性任务包含:周期性喂狗、温度获取、事件处理、事件检测、MVB数据交互、IO数据更新、逻辑运行MVB从栈状态检测;
4)CPU启动过程检测:4.1)CPU最小系统上电自检:包含存储模块、温度传感器、系统实时时钟RTC、USB程序升级检测;故障时程序终止运行,MCU1硬件看门狗复位CPU;4.2)系统初始化故障检测:包含启动过程中软件程序初始化运行过程错误、硬件设备初始化错误;发生故障,CPU进入系统模式,终止运行;4.3)网络板卡上电自检:包括系统故障监测、3.3V和5V电源检测、网络板卡和CPU连接检测、CPLD异常检测、MCU2异常检测;发生故障,CPU进入系统模式,终止运行;4.4)MVB通信检测:驱动加载异常检测、MVB配置检测;发生故障,CPU进入系统模式,终止运行;
网络板卡NET1的CPLD功能模块对网络板卡NET1的执行情况进行监视:
1)MCU2.1检测:MCU2.1发送心跳给CPLD,如果心跳停止,MCU2.1故障,CPLD上报故障给主控板卡的CPU,CPU存储故障,并重启MCU2.1;
2)MCU2.2检测:MCU2.2发送心跳给CPLD,如果心跳停止,MCU2.2故障,CPLD上报故障给主控板卡的CPU,CPU存储故障,并重启MCU2.2;
由安全回路设计相同的主控MPU1和从控MPU2构成,MPU1与MPU2通过各自网络板卡的CAN总线接口以及MVB总线接口相连,共同实现冗余功能设计,默认MPU1为主控设备,MPU2为从控设备;
MPU1周期性检测其CPU心跳和状态信息,通过CAN总线发送到MPU2;MPU1检测自身状态故障的条件包括以下几项:主控板卡故障,包括主控板卡CPU心跳异常、CPU的MVB数据交互任务异常、CPU逻辑任务异常;网络板卡故障,包括CPCI通信故障、MCU2心跳检测、CPLD异常以及其他硬件故障;MVB网卡故障;
MPU2周期性接收MPU1通过CAN总线发送的心跳及状态信息,并且通过MVB总线获取MPU1的MVB状态,存在以下几种情况:1)MPU1有心跳并运行状态正常,此时MPU2设置为未激活,MVB源端口设置为宿端口同步接收MPU1发送的MVB数据,MPU 2的CAN总线实时检测MPU1心跳及状态;2)MPU1有心跳,但检测到MPU1状态故障,此时MPU1重新启动,MPU2设置为激活状态,替代MPU1工作,MVB源端口设置为正常,并发送心跳和自身状态,MPU1启动后设置自己为从控设备;3)MPU1心跳异常或未收到心跳信号,此时MPU2检测MPU1的MVB状态,如果MVB状态正常,则确定MPU1处于正常状态,判断为CAN总线断路或接触不良;如果MVB状态异常或未更新,判断为MPU1断电或者设备故障,此时MPU2激活,切换成主控设备。
2.根据权利要求1所述的具有安全等级设计的TCMS-MPU控制单元,其特征在于,电源板卡的各模块设计如下:
输入反接保护设计:为防止电源输入极性接反或极性发生改变时损坏电源电路;
功率保持及切换设计:以维持系统在非正常掉电时进行状态记录,掉电保护时间约为18ms;
输出滤波电路设计:为减小电源的输出噪声电压,在每组电源输出端均设计滤波电路;
监控电路设计:监视输入/输出电源欠压、过压故障时,产生电源监测信号通过背板总线通知系统。
3.根据权利要求2所述的具有安全等级设计的TCMS-MPU控制单元,其特征在于,主控板卡MCPU 包括主处理器CPU、MCU1功能模块、USB接口模块、RS232接口模块、以太网接口模块、实时时钟RTC模块、存储模块;
MCU1功能模块: CPU的温度监控、CPU看门狗功能、CPU的复位重启、实时时钟的电池模块监控管理以及LED控制;
USB接口模块:实现系统软件的升级更新;
RS232接口模块:用于查看目标机嵌入式软件运行状态;
以太网接口模块:实现上位机软件SST的通信,完成设备工作模式切换、设备列表刷新、设备资源配置、现场烧录程序、在线接口变量实时监视、输出状态强制给定、故障数据下载;
实时时钟RTC模块:提供MCU1秒、分、时、星期、日期、月和年的实时信息;
存储模块:8GB的嵌入式固态硬盘SATA实现TCMS故障信息存储。
4.根据权利要求3所述的具有安全等级设计的TCMS-MPU控制单元,其特征在于,网络板卡NET1包括FPGA功能模块、CPLD功能模块、MCU2功能模块和外围接口模块,MCU2功能模块有两个:MCU2.1功能模块和MCU2.2功能模块;
FPGA功能模块:实现CPCI接口协议的实现与扩展;实现前面板CAN与MVB接口、背板CAN与I2C接口的管理;通过CPCI接口实现前面板CAN与MVB、背板CAN的接口数据与主控板卡CPU进行数据交互;通过PC104总线管理模块实现与CPLD进行监视数据的交互;实现将CPLD监视数据通过CPCI接口发送给主控板卡,由主控板卡对监视数据进行统一管理;
CPLD功能模块:CPLD实现对状态指示灯LED控制;实现对监视数据的传输;实现MCU2的复位重启功能;
MCU2功能模块:实现前面板CAN、背板CAN与I2C接口协议的实现与扩展;
外围接口模块:a)前面板CAN接口模块:MCU2.1以及CAN收发器共同实现前面板CAN接口扩展;b)前面板MVB接口模块:MVB采用杜根公司标准的PC104接口的MVB网卡;c)背板CPCI接口模块:通过FPGA实现CPCI总线时序及控制信号,完成CPCI高速数据交互;d)背板CAN接口模块:MCU2.2以及CAN收发器共同实现背板CAN总线扩展;背板CAN总线实现对I/O板卡的采集与输出的I/O数据交换、实现I/O通道工作状态信息交互;e)背板I2C接口模块:采用具有I2C控制器的MCU2.2以及I2C收发器共同实现背板I2C总线扩展;背板I2C总线实现I/O板卡的属性与固件信息管理。
5.根据权利要求4所述的具有安全等级设计的TCMS-MPU控制单元,其特征在于,启动进行初始化时,启动主控设备和从控设备,冗余功能程序自启动,如果MPU1、MPU2均未配置,则上电默认MPU1、MPU2配置均为从控设备,两台从控设备均会等待主控设备启动,在等待一定时间后如果未收到主控设备发送的心跳信号,启动时间短者抢占主控设备功能,启动时间长者为从控设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010481064.3A CN111831488B (zh) | 2020-05-31 | 2020-05-31 | 具有安全等级设计的tcms-mpu控制单元 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010481064.3A CN111831488B (zh) | 2020-05-31 | 2020-05-31 | 具有安全等级设计的tcms-mpu控制单元 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111831488A CN111831488A (zh) | 2020-10-27 |
| CN111831488B true CN111831488B (zh) | 2022-11-22 |
Family
ID=72913455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010481064.3A Active CN111831488B (zh) | 2020-05-31 | 2020-05-31 | 具有安全等级设计的tcms-mpu控制单元 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111831488B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113859352A (zh) * | 2021-02-08 | 2021-12-31 | 联创汽车电子有限公司 | Eps监控系统 |
| CN113311774B (zh) * | 2021-06-09 | 2023-02-28 | 中国第一汽车股份有限公司 | 一种驱动控制方法和系统 |
| CN115237644B (zh) * | 2022-06-16 | 2024-04-23 | 广州汽车集团股份有限公司 | 系统故障处理方法、中央运算单元以及车辆 |
| CN115276922B (zh) * | 2022-07-15 | 2023-10-31 | 卡斯柯信号有限公司 | 一种适用于全电子系统的主备状态控制方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108549591A (zh) * | 2018-03-02 | 2018-09-18 | 烽火通信科技股份有限公司 | 一种嵌入式系统的黑匣子装置及其实现方法 |
| CN109254578A (zh) * | 2018-09-29 | 2019-01-22 | 中车永济电机有限公司 | 印度电力机车用tcms网络控制vcu重联柜 |
| CN109901547A (zh) * | 2017-12-11 | 2019-06-18 | 中车永济电机有限公司 | 一种车辆管理控制vcu柜 |
| CN111193381A (zh) * | 2018-11-15 | 2020-05-22 | 中车永济电机有限公司 | 接地开关、牵引变流器及其系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2932447B1 (fr) * | 2008-06-12 | 2016-09-30 | Alstom Transport Sa | Systeme informatique embarque de gestion d'un train |
-
2020
- 2020-05-31 CN CN202010481064.3A patent/CN111831488B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109901547A (zh) * | 2017-12-11 | 2019-06-18 | 中车永济电机有限公司 | 一种车辆管理控制vcu柜 |
| CN108549591A (zh) * | 2018-03-02 | 2018-09-18 | 烽火通信科技股份有限公司 | 一种嵌入式系统的黑匣子装置及其实现方法 |
| CN109254578A (zh) * | 2018-09-29 | 2019-01-22 | 中车永济电机有限公司 | 印度电力机车用tcms网络控制vcu重联柜 |
| CN111193381A (zh) * | 2018-11-15 | 2020-05-22 | 中车永济电机有限公司 | 接地开关、牵引变流器及其系统 |
Non-Patent Citations (2)
| Title |
|---|
| 列车通信网络远程输入输出模块研究;杨鹏;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150315;I137-125 * |
| 双控存储系统的设计与实现;李瑞东;《中国优秀硕士学位论文全文数据库 信息科技辑》;20170915;I137-8 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111831488A (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111831488B (zh) | 具有安全等级设计的tcms-mpu控制单元 | |
| US7080285B2 (en) | Computer, system management support apparatus and management method | |
| EP1351145A1 (en) | Computer failure recovery and notification system | |
| CN111352338B (zh) | 一种双余度飞控计算机及余度管理方法 | |
| CN102880527B (zh) | 一种基板管理控制器的数据恢复方法 | |
| US20070055740A1 (en) | System and method for interacting with a remote computer | |
| CN102163071B (zh) | 一种控制电路及其复位时的电源控制方法 | |
| CN104050061A (zh) | 一种基于PCIe总线多主控板冗余备份系统 | |
| WO2018095107A1 (zh) | 一种bios程序的异常处理方法及装置 | |
| US7318171B2 (en) | Policy-based response to system errors occurring during OS runtime | |
| JP6130520B2 (ja) | 多重系システムおよび多重系システム管理方法 | |
| CN100378617C (zh) | 网络唤醒装置与方法 | |
| CN104246655A (zh) | 信息处理设备、信息处理方法及程序 | |
| CN112882901A (zh) | 一种分布式处理系统健康状态智能监控器 | |
| EP2924538B1 (en) | Computer system and method for its operation | |
| CN112099412A (zh) | 一种微控制单元的安全冗余架构 | |
| CN115809164A (zh) | 嵌入式设备、嵌入式系统和分级复位控制方法 | |
| CN103135728B (zh) | 电源开机控制方法及其系统 | |
| CN111984471A (zh) | 一种机柜电源bmc冗余管理系统及方法 | |
| US10921875B2 (en) | Computer system, operational method for a microcontroller, and computer program product | |
| US20200210201A1 (en) | Information processing system and relay device | |
| CN116991637B (zh) | 嵌入式系统的运行控制方法及装置、电子设备及存储介质 | |
| CN216956925U (zh) | 一种单机容错计算机 | |
| WO2011061828A1 (ja) | 情報処理装置、情報処理装置の制御方法及び制御プログラム | |
| CN116841373B (zh) | 嵌入式计算模块转接电路、载板系统和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |