CN111831507A - 具有安全等级设计的tcms-riom控制单元 - Google Patents

Abstract

本发明涉及TCMS‑RIOM控制单元，具体为具有安全等级设计的TCMS‑RIOM控制单元。本发明解决现有TCMS‑RIOM控制单元的安全可靠性有待提高的现状。该TCMS‑RIOM控制单元依据EN50126、EN50129系列标准，设计通道有周期性自检功能。具有安全等级设计的TCMS‑RIOM控制单元，包括主控板卡、网络板卡、数字量输入板卡、数字量输出板卡、模拟量输入输出板卡、背板；主控板卡、网络板卡通过背板上的CPCI板级总线，进行数据交互，网络板卡与数字量输入板卡、数字量输出板卡、模拟量输入输出板卡彼此之间通过背板上的CAN总线进行数据交互；安全设计包括DI/DO安全回路设计以及AIO安全回路设计。

Description

具有安全等级设计的TCMS-RIOM控制单元

技术领域

本发明涉及TCMS-RIOM控制单元，具体为具有安全等级设计的TCMS-RIOM控制单元。

背景技术

TCMS（列车控制和管理系统，Train Control and Management System）由通信、控制、人机接口等装置和配套的电缆、连接器构成，如图1所示。

TCMS采用基于IEC 61375标准的TCN总线，由列车总线WTB和车辆总线MVB二级总线组成，是实现机车的控制、监视和诊断的车载微机控制系统。远程输入输出控制单元RIOM（Remote Input / Output Module）是TCMS关键部件，承载TCMS的信号输入及输出，完成整个TCMS网络的通信控制。远程输入输出单元RIOM是整车控制逻辑的输入和输出信息的执行部件，采集司控台的扳键开关、司控器手柄及受电弓、主断路器等设备的指令和状态信息，并通过MVB总线网络传输给MPU，同时将MPU用于整车控制的网络指令通过其内部电路驱动继电器、接触器、指示灯等设备工作。

由于我国铁路事业的发展态势迅猛，大量的信号用于车辆控制，这对信号的安全可靠性提出了更严格的要求，现有TCMS-RIOM控制单元的安全可靠性有待提高。EN50126、EN50129系列标准是国际公认的以计算机控制的信号系统作为对象的铁道信号标准。将该标准的思想融入RIOM设计，将大幅度提升TCMS-RIOM控制单元的可靠性及安全性。

发明内容

本发明针对现有TCMS-RIOM控制单元的安全可靠性有待提高的现状，提供一种具有安全等级设计的TCMS-RIOM控制单元。该TCMS-RIOM控制单元依据EN50126、EN50129系列标准，设计通道有周期性自检功能，即当RIOM通道出现故障时，能够及时将故障上报给RIOM主控板卡（MCPU板卡）进行措施，从而保证整车继续安全运行。

本发明是采用如下技术方案实现的：具有安全等级设计的TCMS-RIOM控制单元，包括主控板卡MCPU、网络板卡NET1、数字量输入板卡DI、数字量输出板卡DO、模拟量输入输出板卡AIO、背板；主控板卡MCPU、网络板卡NET1通过背板上的CPCI板级总线，进行数据交互，网络板卡NET1与数字量输入板卡DI、数字量输出板卡DO、模拟量输入输出板卡AIO彼此之间通过背板上的CAN总线进行数据交互；

主控板卡MCPU包括主处理器CPU、MCU1功能模块；

网络板卡NET1包括FPGA功能模块、CPLD2功能模块、MCU2功能模块；

数字量输入板卡DI包括数字量输入采集模块、输入通道硬件自检模块、MCU3功能模块以及CPLD3功能模块；

数字量输出板卡DO包括数字量继电器输出模块、输出通道硬件自检模块、MCU4功能模块以及CPLD4功能模块；

模拟量输入输出板卡AIO包括模拟量输入采集模块、模拟量输出控制模块、硬件自检模块、MCU5功能模块、CPLD5功能模块；

安全设计包括DI/DO安全回路设计以及AIO安全回路设计：

（一）DI安全回路设计

1）DI通道实时自检：输入通道硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到DI通道故障标记，终止DI板故障通道的输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

2）DI板卡缺席检测：DI板卡MCU3周期性发送心跳信号，主控板卡MCPU的CPU检测DI板卡心跳信号，心跳信号丢失则DI板卡缺席，触发故障，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

3）DI板卡温度过高检测：DI板卡MCU3通过温度传感器获取DI板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

4）DI板卡MCU3、CPLD3异常检测：DI板卡的MCU3、CPLD3通过CAN总线以及C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互；，并通过网络板卡NET1将DI板卡的MCU3、CPLD3故障信号上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及DI板卡的MCU3、CPLD3进行复位重启；

5）DI板卡电源故障监视：DI板卡CPLD3通过主控板卡MCPU的CPU发出的系统故障监测信号检测DI板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备（对RIOM设备重新上电）；同时DI板卡CPLD3将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户电源故障；

6）网络板卡NET1的MCU2故障检测（背板CAN总线接口故障检测）：MCU2监测来自DI板卡发送的CAN通讯信号（其中包括监测信号），当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2。

（二）DO安全回路设计

1）DO通道实时自检：输出通道硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到DO通道故障标记，终止DO板卡故障通道输出指令发送，记录故障，并报告故障标记到控制逻辑；

2）DO板卡缺席检测：DO板卡MCU4周期性发送心跳信号，主控板卡MCPU的CPU检测DO板卡心跳信号，心跳信号丢失则DO板卡缺席，触发故障，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；

3）DO板卡温度过高检测：DO板卡MCU4通过温度传感器获取DO板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；

4）DO板卡MCU4、CPLD4异常检测：DO板卡的MCU4、CPLD4通过CAN总线、C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互；并通过网络板卡NET1将DO板卡的MCU4、CPLD4故障信号及网络板卡NET1的CPLD2故障信号通过CPCI总线上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及DO板卡的MCU4、CPLD4进行复位重启；

5）DO板卡电源故障监视：DO板卡CPLD4通过主控板卡MCPU的CPU发出的系统故障监测信号检测DI板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备（对RIOM设备重新上电）；同时DO板卡CPLD4将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户电源故障；

6）网络板卡NET1的MCU2故障检测（背板CAN总线接口故障检测）：MCU2监测来自DO板卡发送的CAN通讯信号（其中包括监测信号），当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2。

（三）AIO安全回路设计

1）AIO通道自检：硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到AI通道故障标记，终止AI故障通道的输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

2）AIO板卡缺席检测：AIO板卡MCU5周期性发送心跳信号，主控板卡MCPU的CPU检测MCU5心跳信号，心跳信号丢失则AIO板卡缺席，触发故障，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

3）AIO板卡温度过高检测：AIO板卡MCU5通过温度传感器获取AIO板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

4）AIO板卡MCU5、CPLD5异常检测：AIO板卡的MCU5、CPLD5通过CAN总线、C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互，并通过网络板卡NET1将AIO板卡的MCU5、CPLD5故障信号上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及AIO板卡的MCU5、CPLD5进行复位重启；

5）AIO板卡电源故障监视：AIO板卡CPLD5通过主控板卡MCPU的CPU发出的系统故障监测信号检测AIO板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备（对RIOM设备重新上电）；同时AIO板卡CPLD5将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户电源故障；

6）网络板卡NET1的MCU2故障检测（背板CAN总线接口故障检测）：MCU2监测来自AIO板卡发送的CAN通讯信号（其中包括监测信号），当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2。

本发明所述的TCMS－RIOM控制单元满足EN50126、EN50129的要求，并且成功应用于国外某机车网络控制系统。该TCMS－RIOM控制单元通过系统控制和硬线控制实现DI通道、DO通道及AIO通道的安全控制功能，在保证车辆网络系统安全可靠运行的同时，能够有效避免车辆网络信号失效，满足用户的实际需求，获得用户的肯定，取得了良好的经济和社会效益。

附图说明

图1为TCMS系统框架示意图；

图2为TCMS-RIOM控制单元硬件外形图；

图3为TCMS-RIOM控制单元硬件架构图；

图4为电源板卡PWR-4CH架构图；

图5为电源板卡PWR-2CH架构图；

图6为主控板卡架构图；

图7为网络板卡NETI架构图；

图8为数字量输入板卡DI的架构图；

图9为数字量输出板卡DO的架构图；

图10为模拟量输入输出板卡AIO的架构图；

图11为DI/DO安全回路设计图；

图12为AI/AO安全回路设计图；

图13为TCMS－RIOM控制单元的DI/DO安全实施图；

图14为TCMS－RIOM控制单元的AI/AO安全实施图。

具体实施方式

具有安全等级设计的TCMS-RIOM控制单元，由3U84TE机箱，电源板卡、主控板卡MCPU、网络板卡NET1、数字量输入板卡DI、数字量输出板卡DO、模拟量输入输出板卡AIO及背板组成。其中DI板卡实现数字量采集，单板24路通道；DO板卡实现数字量输出，单板14通道；AIO板卡实现模拟量采集和输出，单板12路输入4路输出。TCMS-RIOM控制单元的硬件组成如图2所示。TCMS-RIOM控制单元布局如下表1所示：

TCMS-RIOM控制单元硬件架构如图3所示：RIOM控制单元备的主控板卡、网络板卡主要通过CPCI板级总线，进行数据交互，网络板卡与数字量输入板卡、数字量输出板卡、模拟量输入输出板卡彼此之间主要通过CAN总线进行数据交互。

电源板卡有两种：电源板卡PWR-4CH和电源板卡PWR-2CH；

一、电源板卡PWR-4CH

电源板卡PWR-4CH技术参数如下：a)输入电压110VDC；b)输出电压5V（功率根据实际计算补充），3.3V（功率根据实际计算补充）；c)输入输出状态监控；d)输入短路保护、冲击保护、反相保护、断电保护等；e)输出过载保护、短路保护等。

电源板卡PWR-4CH架构图见图4所示。电源板卡PWR-4CH的各模块具体设计如下：

输入反接保护设计:为防止电源输入极性接反或极性发生改变时损坏电源电路；

功率保持及切换设计:以维持系统在非正常掉电时进行状态记录，掉电保护时间约为18ms；

DCDC电源转换电路设计：将+110V转换至+15V，再经过电源转换模块生成+3.3V、+5V电源；

输出滤波电路设计：为减小电源的输出噪声电压，在每组电源输出端均设计滤波电路；

监控电路设计：监视输入/输出电源欠压、过压等故障时，产生电源监测信号通过背板总线通知系统。

二、电源板卡PWR-2CH

电源板卡PWR-2CH为控制单元提供±24V，2路电源信号。电源板卡PWR-2CH技术参数见下表：

电源板卡PWR-2CH主要由反接保护模块、功率保持及切换模块、DCDC电源转换模块及监控模块等组成，其设计实现原理如图5所示。

输入反接保护设计：为防止电源输入极性接反或极性发生改变时损坏电源电路；

功率保持及切换设计:以维持系统在非正常掉电时进行状态记录，掉电保护时间约为18ms；

DCDC电源转换电路设计：±24Vdc电源的DCDC变换电路均采用电源转换模块产生；

输出滤波电路设计：为减小电源的输出噪声电压，在每组电源输出端均设计滤波电路；

监控电路设计：监视输入/输出电源欠压、过压等故障时，产生电源监测信号通过背板总线通知系统。

三、主控板卡MCPU

主控板卡架构图见图6所示；主控板卡MCPU 包括主处理器CPU、MCU1功能模块、USB接口模块、RS232接口模块、以太网接口模块、实时时钟RTC模块、存储模块；

MCU1功能模块： CPU的温度监控、CPU看门狗功能、CPU的复位重启、实时时钟的电池模块监控管理以及LED控制；

USB接口模块：实现系统软件的升级更新；

RS232接口模块：用于查看嵌入式软件运行状态；

以太网接口模块：实现上位机软件SST的通信，完成设备工作模式切换、设备列表刷新、设备资源配置、现场烧录程序、在线接口变量实时监视、输出状态强制给定、故障数据下载；

实时时钟RTC模块：提供MCU秒、分、时、星期、日期、月和年的实时信息；

存储模块：8GB的嵌入式固态硬盘SATA实现TCMS故障信息存储。

四、网络板卡NETI

网络板卡NETI包括FPGA功能模块、CPLD2功能模块、MCU2功能模块和外围接口模块，MCU2功能模块有两个：MCU2.1功能模块和MCU2.2功能模块。网络板卡NETI架构见图7所示。

FPGA功能模块：实现CPCI接口协议的实现与扩展；实现前面板CAN与MVB接口、背板CAN与I2C接口的管理；通过CPCI接口实现前面板CAN与MVB、背板CAN的接口数据与主控板卡CPU进行数据交互；通过PC104总线管理模块实现与CPLD2功能模块进行监视数据的交互；实现将CPLD2功能模块监视数据通过CPCI接口发送给主控板卡，由主控板卡对监视数据进行统一管理；

CPLD2功能模块：实现对状态指示灯LED控制；实现对监视数据（电源故障信号、I/O板卡的系统信号与复位信号等）的传输；实现MCU2功能模块的复位重启功能；

MCU2功能模块：实现前面板CAN、背板CAN与I2C接口协议的实现与扩展；

外围接口模块：a)前面板CAN接口模块：MCU2.1功能模块以及CAN收发器共同实现前面板CAN接口扩展；b)前面板MVB接口模块：采用杜根公司标准的PC104接口的MVB网卡；c)背板CPCI接口模块：通过FPGA实现CPCI总线时序及控制信号，完成CPCI高速数据交互；d)背板CAN接口模块： MCU2.2以及CAN收发器共同实现背板CAN总线扩展；背板CAN总线实现对DI板卡、DO板卡、AIO板卡的采集与输出的I/O数据交换、实现I/O通道工作状态信息交互；e)背板I2C接口模块：采用具有I2C控制器的MCU2.2功能模块以及I2C收发器共同实现背板I2C总线扩展，背板I2C总线实现DI板卡、DO板卡、AIO板卡的属性与固件信息管理。

五、数字量输入板卡DI

DI板卡包括24路数字量输入采集模块、输入通道硬件自检模块、MCU3功能模块以及CPLD3功能模块。DI板卡的架构如图8所示。

24路数字量输入采集模块：每个DI板卡具有24个110V逻辑电平信号输入通道；逻辑判断规则，大于77V为逻辑1，小于为逻辑0；每个数字量输入通道的设计采用分压电阻、电压比较器、电平转换模块组成；移位寄存器模块实现将24路并行数字量信号转换为24位数字量串行信号；

输入通道硬件自检模块：DI板卡实现对每路DI通道有效性的周期检测；MCU3功能模块发送周期性检测电平信号通过隔离光耦模块控制自检模块，给每个DI通路的电压比较器模块，经过DI通道的电平处理、移位寄存器、CPLD3功能模块传递到MCU3功能模块，MCU3功能模块对每个DI通道的检测结果进行判断；DI通道的采集回路与DI通道的状态检测回路采用分时复用的原理，经MCU3功能模块控制实现20ms内分段实现DI通道的数据采集与DI通道的状态检测；再将两组数据通过两个CAN协议数据包发送给网络板卡NET1；

MCU3功能模块：MCU3功能模块实现板卡温度的实时检测，并通过背板CAN总线协议上报给网络板卡NET1；背板I/O槽位均输出不同组合的多路电平信号，以表示I/O槽位的物理地址，DI板卡与I/O槽位连接采集物理地址电平信号，通过I2C总线传输给MCU3功能模块，从而实现DI板卡物理地址的识别；MCU3功能模块集成CAN协议控制器通过CAN收发器实现背板的CAN接口扩展，与网络板卡NET1通过CAN总线进行数据交互；MCU3功能模块生成系统信号上报网络板卡NET1；MCU3功能模块实现DI通道采集数据的发送、DI通道状态的周期性检测与发送以及实现与网络板卡NET1的系统信号、复位信号的交互；

CPLD3功能模块：实现将移位寄存器传递的数据发送给MCU3功能模块；实现对电源板卡传递的电源故障数据进行实时监测；实现与网络板卡NET1的系统信号、复位信号的交互。

六、数字量输出板卡DO

DO板卡包括14路数字量继电器输出模块、输出通道硬件自检模块、MCU4功能模块以及CPLD4功能模块。DO板卡的架构如图9所示。

14路数字量继电器输出模块：每个DO板卡具有14个110V逻辑电平信号继电器输出通道；110V输出通道逻辑判断规则，大于77V为逻辑1，小于为逻辑0；每个继电器输出电路主要由MOS管与继电器组成；

输出通道硬件自检模块：MCU4功能模块实现对每路DO通道的MOS管的状态采集进行实时回采，即对MCU4功能模块输出的DO通道的控制指令进行实时回采，在MCU4功能模块中进行DO通道有效性的实时判断检测，并通过CAN数据包发送给网络板卡NET1；

MCU4功能模块：MCU4功能模块实现板卡温度的实时检测，并通过背板CAN总线协议上报给网络板卡NET1；背板I/O槽位均输出不同组合的多路电平信号，以表示I/O槽位的物理地址，DO板卡与I/O槽位连接采集物理地址电平信号，通过I2C总线传输给MCU4功能模块，从而实现DO板卡物理地址的识别；MCU4功能模块集成CAN协议控制器通过CAN收发器实现背板的CAN接口扩展，与网络板卡NET1通过CAN总线进行数据交互；MCU4功能模块生成系统信号上报网络板卡NET1；MCU4功能模块实现DO通道输出指令的发送控制、DO通道状态的实时性检测与发送以及实现与网络板卡NET1的系统信号、复位信号的交互；

CPLD4功能模块：CPLD4功能模块实现对电源板卡传递的电源故障数据进行实时监测；实现与网络板卡NET1的系统信号、复位信号的交互。

七、模拟量输入输出板卡AIO

AIO板卡包括12路模拟量输入采集模块、4路模拟量输出控制模块、硬件自检模块、MCU5功能模块、CPLD5功能模块以及EEPROM。AIO板卡的架构如图10所示。

模拟量输入采集模块：规定输入模拟量范围为 4~20mA或0~10V；输入的模拟量从F48连接器进入板卡，通过调理电路，将信号进行滤波、调制，输入到MCU5功能模块的ADC接口，进行模拟量与数字量的转换，通过CAN通讯将转换后的信息传递给网络板卡NET1；

模拟量输出控制模块：MCU5功能模块输出数字量信号，通过板卡上的DAC芯片将数字量转化为模拟量，通过调理电路从F48连接器输出；规定输出模拟量范围为4~20mA或±10V；

硬件自检模块：实现模拟量输入通路自检，MCU5功能模块输出电压信号，通过多路选通MOS管芯片分别输送到模拟量输入通道的调理电路，经过调理电路，将模拟信号输送到MCU5功能模块的ADC接口，MCU5功能模块比较输入与输出信号，判别模拟量输入通道是否正常；实现模拟量输出通道自检，MCU5功能模块输出数字信号，通过AIO板卡上的DAC芯片将数字量转化为模拟量，通过调理电路，将转换后的模拟信号发送至MCU5功能模块的ADC接口，MCU5功能模块比较输入与输出信号，判别模拟量输出通道是否正常；自检只在设备上电过程中执行一次，有故障上报AIO板卡故障，无故障正常运行；

板卡温度检测功能：通过板载温度传感器，实时监测板卡温度，通过I2C总线发送给MCU5功能模块；

物理地址识别：根据背板连接器针脚电平的不同，识别AIO板卡物理槽位地址，通过I2C总线发送给MCU5功能模块；

CAN通信功能：MCU5功能模块通过CAN通信与网络板卡NET1连接，实现AIO板卡的控制功能；

EEPROM：存储固件信息，通过I2C总线与网络板卡NET1实现通信；

电源转换：从背板接收5V，通过板载电源模块将5V转换为3.3V供AIO板卡控制芯片使用；从背板接收±15V，为运放元器件供电；从背板接收±24V，为传感器提供供电；

板卡RESET信号：从背板接收RESET信号，对AIO控制芯片MCU5、及CPLD5进行复位；

电源故障信号：从背板接收电源故障信号，根据电源故障进行逻辑控制。

八、安全设计包括DI/DO安全回路设计以及AIO安全回路设计

DI/DO安全回路设计如图11所示：DI板卡的采集通道采集到整车电气信号后，经过分压电阻、电压比较器、电平转换、移位寄存器后输出到CPLD3，CPLD3通过总线协议传送给MCU3，MCU3将DI采集的信息通过CAN总线传输到网络板卡NET1的背板CAN总线接口收发器。DI采集的信息在网络板卡NET1上通过MCU2实现的CAN协议控制，进行协议解析后，再通过FPGA功能模块将DI采集的信息封装成CPCI协议传输到主控板卡MCPU。主控板卡经过CPU的逻辑处理将DI采集信息封装成CPCI协议传输到网络板卡NET1。网络板卡NET1解析CPCI数据包后，通过杜根的MVB网卡的MVB协议封装，发送到TCMS系统的子节点MVB接口，从而RIOM控制单元实现将DI采集信息经过MVB接口发送出去的功能。

（一）DI安全回路设计

1）DI通道实时自检：输入通道硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到DI通道故障标记，终止DI板故障通道的输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

2）DI板卡缺席检测：DI板卡MCU3周期性发送心跳信号，主控板卡MCPU的CPU检测DI板卡心跳信号，心跳信号丢失则DI板卡缺席，触发故障，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

3）DI板卡温度过高检测：DI板卡MCU3通过温度传感器获取DI板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

4）DI板卡MCU3、CPLD3异常检测：DI板卡的MCU3、CPLD3通过CAN总线以及C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互；，并通过网络板卡NET1将DI板卡的MCU3、CPLD3故障信号上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及DI板卡的MCU3、CPLD3进行复位重启；

5）DI板卡电源故障监视：DI板卡CPLD3通过主控板卡MCPU的CPU发出的系统故障监测信号检测DI板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备（对RIOM设备重新上电）；同时DI板卡CPLD3将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户电源故障；

6）网络板卡NET1的MCU2故障检测（背板CAN总线接口故障检测）：MCU2监测来自DI板卡发送的CAN通讯信号（其中包括监测信号），当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2。

同理，分析RIOM控制单元实现将MVB接口接收到的数据信息经过DO通道驱动相应的执行设备动作的回路。

（二）DO安全回路设计

1）DO通道实时自检：输出通道硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到DO通道故障标记，终止DO板卡故障通道输出指令发送，记录故障，并报告故障标记到控制逻辑；

2）DO板卡缺席检测：DO板卡MCU4周期性发送心跳信号，主控板卡MCPU的CPU检测DO板卡心跳信号，心跳信号丢失则DO板卡缺席，触发故障，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；

3）DO板卡温度过高检测：DO板卡MCU4通过温度传感器获取DO板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；

4）DO板卡MCU4、CPLD4异常检测：DO板卡的MCU4、CPLD4通过CAN总线、C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互；并通过网络板卡NET1将DO板卡的MCU4、CPLD4故障信号及网络板卡NET1的CPLD2故障信号通过CPCI总线上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及DO板卡的MCU4、CPLD4进行复位重启；

5）DO板卡电源故障监视：DO板卡CPLD4通过主控板卡MCPU的CPU发出的系统故障监测信号检测DI板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备（对RIOM设备重新上电）；同时DO板卡CPLD4将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户电源故障。

6）网络板卡NET1的MCU2故障检测（背板CAN总线接口故障检测）：MCU2监测来自DO板卡发送的CAN通讯信号（其中包括监测信号），当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2。

AIO板卡主要负责整车模拟量信号的采集与输出，如1端司控器手柄角度、1端司控器手柄角度、自动制动管压力、空气制动请求值、1端1架牵引力/电制力、1端2架牵引力/电制力、2端1架牵引力/电制力、2端2架牵引力/电制力。

RIOM控制单元AIO板卡的输入输出安全回路设计符合EN50126、EN50129的标准，AIO安全回路设计如图12所示：AI采集通道回路与AO的输出通道回路的安全设计主要在RIOM控制单元启动的过程中实现自检功能。因此针对AI的模拟量信号，进行接口危害分析，涉及到功能安全相关的信号，本系统采用双路冗余的方式进行采集，在RIOM的应用层逻辑中进行比对判断，将正确可靠的信号通过MVB接口发送到TCMS系统中。实现AI采集功能满足SIL2等级的要求。

（三）AIO安全回路设计

1）AIO通道自检：硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到AI通道故障标记，终止AI故障通道的输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

2）AIO板卡缺席检测：AIO板卡MCU5周期性发送心跳信号，主控板卡MCPU的CPU检测MCU5心跳信号，心跳信号丢失则AIO板卡缺席，触发故障，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

3）AIO板卡温度过高检测：AIO板卡MCU5通过温度传感器获取AIO板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

4）AIO板卡MCU5、CPLD5异常检测：AIO板卡的MCU5、CPLD5通过CAN总线、C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互，并通过网络板卡NET1将AIO板卡的MCU5、CPLD5故障信号上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及AIO板卡的MCU5、CPLD5进行复位重启；

5）AIO板卡电源故障监视：AIO板卡CPLD5通过主控板卡MCPU的CPU发出的系统故障监测信号检测AIO板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备（对RIOM设备重新上电）；同时AIO板卡CPLD5将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户电源故障；

6）网络板卡NET1的MCU2故障检测（背板CAN总线接口故障检测）：MCU2监测来自AIO板卡发送的CAN通讯信号（其中包括监测信号），当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态（黄色灯）告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2。

实施例：TCMS系统中，RIOM与MPU通过MVB总线进行数据交互，RIOM与整车电气接口1/2通过硬线传输信号，从而保证TCMS系统的信号输入/输出功能功能正常进行。TCMS-RIOM控制单元包括两个部分：DI/DO安全实施例以及AI/AO安全实施例。

1、DI/DO安全实施例，如图13所示：

RIOM-DI板卡的功能为接收来自整车电气接口传入RIOM的数据。整车电气接口信号通过硬线传输至RIOM的DI板，DI板接收数据信号通过CAN总线传输至网络板卡NET1，数据信号通过网络板卡NET1解析并通过CPCI总线发送至主控板卡进行数据整合，整合后的数据再通过CPCI总线发送至网络板卡NET1进行数据打包发出，经RIOM-网络板卡NET1的MVB OUT接口由MVB总线发送至MPU进行逻辑处理。DI板卡进行周期性自检，自检结果随采集到的数据传输至RIOM的MCPU板卡，由MCPU板卡进行故障处理。MPU与RIOM之间进行通讯信号检测，通讯信号故障时，TCMS逻辑将TCMS网络控制系统导向安全侧。

RIOM-DO板卡的功能为将MPU下发给RIOM的信号传输至整车电气接口。RIOM-网络板卡NET1的MVBIN接口通过MVB总线接收来自MPU的输出信号，并将信号进行解析，由CPCI总线发送至主控板卡进行数据整合，再经由CPCI总线发送至网络板卡NET1进行处理由网络板卡NET1的CAN总线传输至DO板卡，从DO板卡的对外接口发出。DO板卡进行周期性自检，自检结果随采集到的数据传输至RIOM的MCPU板卡，由MCPU板卡进行故障处理。MPU与RIOM之间进行通讯信号检测，通讯信号故障时，TCMS逻辑将TCMS网络控制系统导向安全侧。

2、AIO安全实施例，如图14所示：

RIOM-AIO板卡的AI采集通道功能为接收来自整车电气接口传入RIOM的数据。整车电气接口信号通过硬线传输至RIOM的AIO板卡，AIO板卡接收数据信号通过CAN总线传输至网络板卡NET1，数据信号通过网络板卡NET1解析并通过CPCI总线发送至主控板卡进行数据整合，整合后的数据再通过CPCI总线发送至网络板卡NET1进行数据打包发出，经RIOM-网络板卡NET1的MVB OUT接口由MVB总线发送至MPU进行逻辑处理。AIO板卡进行自检，自检结果随采集到的数据传输至RIOM的MCPU板卡，由MCPU板卡进行故障处理。MPU与RIOM之间进行通讯信号检测，通讯信号故障时，TCMS逻辑将TCMS网络控制系统导向安全侧。

RIOM-AIO板卡的AO输出通道功能为将MPU下发给RIOM的信号传输至整车电气接口。RIOM-网络板卡NET1的MVB IN接口通过MVB总线接收来自MPU的输出信号，并将信号进行解析，由CPCI总线发送至主控板卡进行数据整合，再经由CPCI总线发送至网络板卡NET1进行处理由网络板卡NET1的CAN总线传输至AIO板卡，从AIO板卡的对外接口发出。AIO板卡进行自检，自检结果随采集到的数据传输至RIOM的MCPU板卡，由MCPU板卡进行故障处理。MPU与RIOM之间进行通讯信号检测，通讯信号故障时，TCMS逻辑将TCMS网络控制系统导向安全侧。

Claims (8)

1.一种具有安全等级设计的TCMS-RIOM控制单元，包括主控板卡MCPU、网络板卡NET1、数字量输入板卡DI、数字量输出板卡DO、模拟量输入输出板卡AIO、背板；主控板卡MCPU、网络板卡NET1通过背板上的CPCI板级总线，进行数据交互，网络板卡NET1与数字量输入板卡DI、数字量输出板卡DO、模拟量输入输出板卡AIO彼此之间通过背板上的CAN总线进行数据交互；

主控板卡MCPU包括主处理器CPU、MCU1功能模块；

网络板卡NET1包括FPGA功能模块、CPLD2功能模块、MCU2功能模块；

数字量输入板卡DI包括数字量输入采集模块、输入通道硬件自检模块、MCU3功能模块以及CPLD3功能模块；

数字量输出板卡DO包括数字量继电器输出模块、输出通道硬件自检模块、MCU4功能模块以及CPLD4功能模块；

模拟量输入输出板卡AIO包括模拟量输入采集模块、模拟量输出控制模块、硬件自检模块、MCU5功能模块、CPLD5功能模块；其特征在于，安全设计包括DI/DO安全回路设计以及AIO安全回路设计：

（一）DI安全回路设计

1）DI通道实时自检：输入通道硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到DI通道故障标记，终止DI板故障通道的输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

2）DI板卡缺席检测：DI板卡MCU3周期性发送心跳信号，主控板卡MCPU的CPU检测DI板卡心跳信号，心跳信号丢失则DI板卡缺席，触发故障，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

3）DI板卡温度过高检测：DI板卡MCU3通过温度传感器获取DI板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

4）DI板卡MCU3、CPLD3异常检测：DI板卡的MCU3、CPLD3通过CAN总线以及C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互；，并通过网络板卡NET1将DI板卡的MCU3、CPLD3故障信号上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及DI板卡的MCU3、CPLD3进行复位重启；

5）DI板卡电源故障监视：DI板卡CPLD3通过主控板卡MCPU的CPU发出的系统故障监测信号检测DI板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备；同时DI板卡CPLD3将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态告知用户电源故障；

6）网络板卡NET1的MCU2故障检测：MCU2监测来自DI板卡发送的CAN通讯信号，当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止DI板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2；

（二）DO安全回路设计

1）DO通道实时自检：输出通道硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到DO通道故障标记，终止DO板卡故障通道输出指令发送，记录故障，并报告故障标记到控制逻辑；

2）DO板卡缺席检测：DO板卡MCU4周期性发送心跳信号，主控板卡MCPU的CPU检测DO板卡心跳信号，心跳信号丢失则DO板卡缺席，触发故障，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；

3）DO板卡温度过高检测：DO板卡MCU4通过温度传感器获取DO板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；

4）DO板卡MCU4、CPLD4异常检测：DO板卡的MCU4、CPLD4通过CAN总线、C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互；并通过网络板卡NET1将DO板卡的MCU4、CPLD4故障信号及网络板卡NET1的CPLD2故障信号通过CPCI总线上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及DO板卡的MCU4、CPLD4进行复位重启；

5）DO板卡电源故障监视：DO板卡CPLD4通过主控板卡MCPU的CPU发出的系统故障监测信号检测DI板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备；同时DO板卡CPLD4将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态告知用户电源故障；

6）网络板卡NET1的MCU2故障检测：MCU2监测来自DO板卡发送的CAN通讯信号，当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止DO板卡所有输出指令发送，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2；

（三）AIO安全回路设计

1）AIO通道自检：硬件自检模块自检，将检测结果通过网络板卡NET1上报主控板卡MCPU的CPU，主控板卡MCPU的CPU检测到AI通道故障标记，终止AI故障通道的输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

2）AIO板卡缺席检测：AIO板卡MCU5周期性发送心跳信号，主控板卡MCPU的CPU检测MCU5心跳信号，心跳信号丢失则AIO板卡缺席，触发故障，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

3）AIO板卡温度过高检测：AIO板卡MCU5通过温度传感器获取AIO板卡温度，并进行实时温度检测，过温时上报故障信号到主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；

4）AIO板卡MCU5、CPLD5异常检测：AIO板卡的MCU5、CPLD5通过CAN总线、C96总线与网络板卡NET1的MCU2进行数据交互，网络板卡NET1的MCU2与网络板卡NET1的FPGA进行数据交互，网络板卡NET1的FPGA与网络板卡NET1的CPLD2进行数据交互，并通过网络板卡NET1将AIO板卡的MCU5、CPLD5故障信号上传主控板卡MCPU的CPU，由主控板卡MCPU的CPU进行故障行为处理，终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；主控板卡MCPU的CPU下发复位指令对网络板卡NET1的CPLD2、MCU2以及AIO板卡的MCU5、CPLD5进行复位重启；

5）AIO板卡电源故障监视：AIO板卡CPLD5通过主控板卡MCPU的CPU发出的系统故障监测信号检测AIO板卡的电源输入是否发生故障，如有故障，则将该故障信号通过网络板卡NET1上报至主控板卡MCPU，由主控板卡MCPU的CPU发出指令重启RIOM设备；同时AIO板卡CPLD5将此故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态告知用户电源故障；

6）网络板卡NET1的MCU2故障检测：MCU2监测来自AIO板卡发送的CAN通讯信号，当监测信号中断，MCU2则将故障上报至网络板卡NET1中的CPLD2，由CPLD2输出指令控制LED，通过LED灯状态告知用户CAN通讯故障；MCU2同时也将此故障上报给主控板卡MCPU的CPU，主控板卡MCPU的CPU发出指令动作：终止AIO板卡所有输入采集值刷新，记录故障，并报告故障标记到控制逻辑；网络板卡NET1的CPLD2上报故障给主控板卡MCPU的CPU，主控板卡MCPU的CPU存储故障，并重启网络板卡NET1的MCU2。

2.根据权利要求1所述的具有安全等级设计的TCMS-RIOM控制单元，其特征在于，由3U84TE机箱，电源板卡、主控板卡MCPU、网络板卡NET1、数字量输入板卡DI、数字量输出板卡DO、模拟量输入输出板卡AIO及背板组成；其中DI板卡实现数字量采集，单板24路通道；DO板卡实现数字量输出，单板14通道；AIO板卡实现模拟量采集和输出，单板12路输入4路输出。

3.根据权利要求2所述的具有安全等级设计的TCMS-RIOM控制单元，其特征在于，电源板卡有两种：电源板卡PWR-4CH和电源板卡PWR-2CH；

电源板卡PWR-4CH的各模块具体设计如下：

输入反接保护设计:为防止电源输入极性接反或极性发生改变时损坏电源电路；

功率保持及切换设计:以维持系统在非正常掉电时进行状态记录，掉电保护时间约为18ms；

输出滤波电路设计：为减小电源的输出噪声电压，在每组电源输出端均设计滤波电路；

监控电路设计：监视输入/输出电源欠压、过压故障时，产生电源监测信号通过背板总线通知系统；

电源板卡PWR-2CH由反接保护模块、功率保持及切换模块、DCDC电源转换模块及监控模块组成；

输入反接保护设计：为防止电源输入极性接反或极性发生改变时损坏电源电路；

功率保持及切换设计:以维持系统在非正常掉电时进行状态记录，掉电保护时间约为18ms；

输出滤波电路设计：为减小电源的输出噪声电压，在每组电源输出端均设计滤波电路；

监控电路设计：监视输入/输出电源欠压、过压故障时，产生电源监测信号通过背板总线通知系统。

4.根据权利要求3所述的具有安全等级设计的TCMS-RIOM控制单元，其特征在于，主控板卡MCPU 包括主处理器CPU、MCU1功能模块、USB接口模块、RS232接口模块、以太网接口模块、实时时钟RTC模块、存储模块；

MCU1功能模块： CPU的温度监控、CPU看门狗功能、CPU的复位重启、实时时钟的电池模块监控管理以及LED控制；

USB接口模块：实现系统软件的升级更新；

RS232接口模块：用于查看嵌入式软件运行状态；

以太网接口模块：实现上位机软件SST的通信，完成设备工作模式切换、设备列表刷新、设备资源配置、现场烧录程序、在线接口变量实时监视、输出状态强制给定、故障数据下载；

实时时钟RTC模块：提供MCU1秒、分、时、星期、日期、月和年的实时信息；

存储模块：8GB的嵌入式固态硬盘SATA实现TCMS故障信息存储。

5.根据权利要求4所述的具有安全等级设计的TCMS-RIOM控制单元，其特征在于，网络板卡NETI包括FPGA功能模块、CPLD2功能模块、MCU2功能模块和外围接口模块，MCU2功能模块有两个：MCU2.1功能模块和MCU2.2功能模块；

FPGA功能模块：实现CPCI接口协议的实现与扩展；实现前面板CAN与MVB接口、背板CAN与I2C接口的管理；通过CPCI接口实现前面板CAN与MVB、背板CAN的接口数据与主控板卡CPU进行数据交互；通过PC104总线管理模块实现与CPLD2功能模块进行监视数据的交互；实现将CPLD2功能模块监视数据通过CPCI接口发送给主控板卡，由主控板卡对监视数据进行统一管理；

CPLD2功能模块：实现对状态指示灯LED控制；实现对监视数据的传输；实现MCU2功能模块的复位重启功能；

MCU2功能模块：实现前面板CAN、背板CAN与I2C接口协议的实现与扩展；

外围接口模块：a)前面板CAN接口模块：MCU2.1功能模块以及CAN收发器共同实现前面板CAN接口扩展；b)前面板MVB接口模块：采用杜根公司标准的PC104接口的MVB网卡；c)背板CPCI接口模块：通过FPGA实现CPCI总线时序及控制信号，完成CPCI高速数据交互；d)背板CAN接口模块： MCU2.2以及CAN收发器共同实现背板CAN总线扩展；背板CAN总线实现对DI板卡、DO板卡、AIO板卡的采集与输出的I/O数据交换、实现I/O通道工作状态信息交互；e)背板I2C接口模块：采用具有I2C控制器的MCU2.2功能模块以及I2C收发器共同实现背板I2C总线扩展，背板I2C总线实现DI板卡、DO板卡、AIO板卡的属性与固件信息管理。

6.根据权利要求5所述的具有安全等级设计的TCMS-RIOM控制单元，其特征在于， DI板卡包括24路数字量输入采集模块、输入通道硬件自检模块、MCU3功能模块以及CPLD3功能模块；

24路数字量输入采集模块：每个DI板卡具有24个110V逻辑电平信号输入通道；逻辑判断规则，大于77V为逻辑1，小于为逻辑0；每个数字量输入通道的设计采用分压电阻、电压比较器、电平转换模块组成；移位寄存器模块实现将24路并行数字量信号转换为24位数字量串行信号；

输入通道硬件自检模块：DI板卡实现对每路DI通道有效性的周期检测；MCU3功能模块发送周期性检测电平信号通过隔离光耦模块控制自检模块，给每个DI通路的电压比较器模块，经过DI通道的电平处理、移位寄存器、CPLD3功能模块传递到MCU3功能模块，MCU3功能模块对每个DI通道的检测结果进行判断；DI通道的采集回路与DI通道的状态检测回路采用分时复用的原理，经MCU3功能模块控制实现20ms内分段实现DI通道的数据采集与DI通道的状态检测；再将两组数据通过两个CAN协议数据包发送给网络板卡NET1；

MCU3功能模块：MCU3功能模块实现板卡温度的实时检测，并通过背板CAN总线协议上报给网络板卡NET1；背板I/O槽位均输出不同组合的多路电平信号，以表示I/O槽位的物理地址，DI板卡与I/O槽位连接采集物理地址电平信号，通过I2C总线传输给MCU3功能模块，从而实现DI板卡物理地址的识别；MCU3功能模块集成CAN协议控制器通过CAN收发器实现背板的CAN接口扩展，与网络板卡NET1通过CAN总线进行数据交互；MCU3功能模块生成系统信号上报网络板卡NET1；MCU3功能模块实现DI通道采集数据的发送、DI通道状态的周期性检测与发送以及实现与网络板卡NET1的系统信号、复位信号的交互；

CPLD3功能模块：实现将移位寄存器传递的数据发送给MCU3功能模块；实现对电源板卡传递的电源故障数据进行实时监测；实现与网络板卡NET1的系统信号、复位信号的交互。

7.根据权利要求6所述的具有安全等级设计的TCMS-RIOM控制单元，其特征在于， DO板卡包括14路数字量继电器输出模块、输出通道硬件自检模块、MCU4功能模块以及CPLD4功能模块；

14路数字量继电器输出模块：每个DO板卡具有14个110V逻辑电平信号继电器输出通道；110V输出通道逻辑判断规则，大于77V为逻辑1，小于为逻辑0；每个继电器输出电路主要由MOS管与继电器组成；

输出通道硬件自检模块：MCU4功能模块实现对每路DO通道的MOS管的状态采集进行实时回采，即对MCU4功能模块输出的DO通道的控制指令进行实时回采，在MCU4功能模块中进行DO通道有效性的实时判断检测，并通过CAN数据包发送给网络板卡NET1；

MCU4功能模块：MCU4功能模块实现板卡温度的实时检测，并通过背板CAN总线协议上报给网络板卡NET1；背板I/O槽位均输出不同组合的多路电平信号，以表示I/O槽位的物理地址，DO板卡与I/O槽位连接采集物理地址电平信号，通过I2C总线传输给MCU4功能模块，从而实现DO板卡物理地址的识别；MCU4功能模块集成CAN协议控制器通过CAN收发器实现背板的CAN接口扩展，与网络板卡NET1通过CAN总线进行数据交互；MCU4功能模块生成系统信号上报网络板卡NET1；MCU4功能模块实现DO通道输出指令的发送控制、DO通道状态的实时性检测与发送以及实现与网络板卡NET1的系统信号、复位信号的交互；

CPLD4功能模块：CPLD4功能模块实现对电源板卡传递的电源故障数据进行实时监测；实现与网络板卡NET1的系统信号、复位信号的交互。

8.根据权利要求7所述的具有安全等级设计的TCMS-RIOM控制单元，其特征在于， AIO板卡包括12路模拟量输入采集模块、4路模拟量输出控制模块、硬件自检模块、MCU5功能模块、CPLD5功能模块以及EEPROM；

模拟量输入采集模块：规定输入模拟量范围为 4~20mA或0~10V；输入的模拟量从F48连接器进入板卡，通过调理电路，将信号进行滤波、调制，输入到MCU5功能模块的ADC接口，进行模拟量与数字量的转换，通过CAN通讯将转换后的信息传递给网络板卡NET1；

模拟量输出控制模块：MCU5功能模块输出数字量信号，通过板卡AIO上的DAC芯片将数字量转化为模拟量，通过调理电路从F48连接器输出；规定输出模拟量范围为4~20mA或±10V；

硬件自检模块：实现模拟量输入通路自检，MCU5功能模块输出电压信号，通过多路选通MOS管芯片分别输送到模拟量输入通道的调理电路，经过调理电路，将模拟信号输送到MCU5功能模块的ADC接口，MCU5功能模块比较输入与输出信号，判别模拟量输入通道是否正常；实现模拟量输出通道自检，MCU5功能模块输出数字信号，通过板卡AIO上的DAC芯片将数字量转化为模拟量，通过调理电路，将转换后的模拟信号发送至MCU5功能模块的ADC接口，MCU5功能模块比较输入与输出信号，判别模拟量输出通道是否正常；自检只在设备上电过程中执行一次，有故障上报AIO板卡故障，无故障正常运行；

板卡温度检测功能：通过板载温度传感器，实时监测板卡温度，通过I2C总线发送给MCU5功能模块；

物理地址识别：根据背板连接器针脚电平的不同，识别AIO板卡物理槽位地址，通过I2C总线发送给MCU5功能模块；

CAN通信功能：MCU5功能模块通过CAN通信与网络板卡NET1连接，实现AIO板卡的控制功能；

EEPROM：存储固件信息，通过I2C总线与网络板卡NET1实现通信；

电源转换：从背板接收5V，通过板载电源模块将5V转换为3.3V供AIO板卡控制芯片使用；从背板接收±15V，为运放元器件供电；从背板接收±24V，为传感器提供供电；

板卡RESET信号：从背板接收RESET信号，对AIO控制芯片MCU5、CPLD5进行复位；

电源故障信号：从背板接收电源故障信号，根据电源故障进行逻辑控制。

Images