CN116279693A - 一种双系冗余的列车运行控制系统 - Google Patents
一种双系冗余的列车运行控制系统 Download PDFInfo
- Publication number
- CN116279693A CN116279693A CN202310280762.0A CN202310280762A CN116279693A CN 116279693 A CN116279693 A CN 116279693A CN 202310280762 A CN202310280762 A CN 202310280762A CN 116279693 A CN116279693 A CN 116279693A
- Authority
- CN
- China
- Prior art keywords
- architecture
- data
- operation control
- ato
- dual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 39
- 238000012544 monitoring process Methods 0.000 claims abstract description 14
- 230000009977 dual effect Effects 0.000 claims description 37
- 238000012545 processing Methods 0.000 claims description 10
- 238000013461 design Methods 0.000 abstract description 10
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000000034 method Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 4
- 101000879675 Streptomyces lavendulae Subtilisin inhibitor-like protein 4 Proteins 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003631 expected effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/20—Trackside control of safe travel of vehicle or train, e.g. braking curve calculation
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0063—Multiple on-board control systems, e.g. "2 out of 3"-systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/30—Trackside multiple control systems, e.g. switch-over between different systems
- B61L27/33—Backup systems, e.g. switching when failures occur
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/40—Handling position reports or trackside vehicle data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明公开了一种双系冗余的列车运行控制系统,所述运行控制系统的子系统包括列车自动监控系统、数据传输系统、联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统,所述运行控制系统的子系统均采用双系架构。本发明将轨旁ATP/ATO子系统和车载ATP/ATO子系统设计为双系冗余的“2乘2取2”或“2乘3取2”架构,对于运行要求更高的场景下,可以将车载ATP/ATO设计成双套“2乘2取2”架构。本发明可以提高运行控制系统整体冗余度,任意单点故障均不会影响运行控制系统的整体运行,提升了运行控制系统的整体可靠性和可用性,能在很大程度上避免出现运营中断的情况。
Description
技术领域
本发明属于城市轨道交通列车运行控制技术领域,具体涉及一种双系冗余的列车运行控制系统。
背景技术
目前,在轨道交通领域,列车运行控制系统是保障列车运行安全和效率的关键核心系统。其中不涉及行车安全的运控子系统一般采用双机热备或双机并用的运行模式,例如ATS系统和DCS系统;涉及行车安全的运控子系统必须采用安全冗余计算机架构,并达到安全完整性SIL4等级,例如联锁系统,轨旁ATP/ATO系统,车载ATP/ATO系统。目前国际或国内主流的安全冗余计算机均为“2取2”或“3取2”这两种架构平台,因此涉及行车安全的运行控制系统相关设备均是基于上述两种平台进行研发,如图1所示。
所谓“2取2”架构,即为在一套系统上集成2个CPU系统,2套系统严格同步,实时比较计算结果,只有2套系统运行计算结果一致时才对外输出或传输运算结果。
所谓“3取2”架构,即为在一套系统上集成3套CPU系统,3套系统严格同步,实时比较计算结果,只有至少2套系统运行计算结果一致时才对外输出或传输运算结果。
目前行业内既有方案,是在轨旁ATP/ATO子系统和车载ATP/ATO子系统中多采用“3取2”的安全计算机平台架构,虽然可以满足SIL4安全等级要求,但是“3取2”的平台架构由于其自身的架构原因,容易出现单点故障后导致整体系统宕机,从而影响运行控制系统的整体运行,出现运营中断等问题。
发明内容
本发明的目的在于克服现有技术之缺陷,本发明专利公开了一种双系冗余的列车运行控制系统,适用于城市轨道交通列车运行控制技术领域。本发明采用双系冗余的运行控制系统整体架构方案,提高了运行控制系统整体系统的稳定性、可靠性。
为了到达预期效果,本发明采用了以下技术方案:
本发明公开了一种双系冗余的列车运行控制系统,所述运行控制系统的子系统包括列车自动监控系统、数据传输系统、联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统,所述运行控制系统的子系统均采用双系架构。
进一步地,所述列车自动监控系统和数据传输系统采用的是热备冗余双系架构。
进一步地,所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的双系架构是在采取单系架构安全计算机平台的运行控制系统设备的基础上,通过数据并发处理机制转换而成。
进一步地,所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的单系架构包括“2取2”架构或者“3取2”架构。
进一步地,双系架构包括两套单系架构,当单系架构为“2取2”架构时,双系架构为“2乘2取2”架构;当单系架构为“3取2”架构时,双系架构为“2乘3取2”架构。
进一步地,所述双系架构还包括主备切换器、比较器和表决器,比较器和表决器均与单系架构配套,单系架构、比较器和表决器均采用热备方式同步实时运行。
进一步地,所述双系架构的具体工作流程如下:
两套单系架构的CPU系统从输入数据总线上同时接收数据,并同步运算和输出结果;
两套比较器分别对相应的单系架构的CPU系统输出的数据进行比较;
两套表决器分别对配套的比较器的结果进行表决;
主备切换器接收两个表决结果并决定最终输出数据。
进一步地,所述两套表决器分别对配套的比较器的结果进行表决,具体包括:
当两套单系架构采用“3取2”架构时,两套比较器分别对相应的单系架构的CPU系统输出的数据进行两两比较,若至少2个CPU数据一致则表决为可信结果,否则表决为不可信结果,当连续若干次表决某套单系架构的数据为不可信结果,则认为该套单系架构故障。
进一步地,所述主备切换器接收两个表决结果并决定最终输出数据,具体包括:
主备切换器输出可信结果,当两套单系架构的表决器均表决为可信结果时,主备切换器预设输出主用单系架构的数据,或者随机输出主用或者备用单系架构的数据,或者采用轮换的方式输出主用和备用单系架构的数据;
当主用或者备用单系架构中的1个以上CPU故障,或者对应的比较器故障,或者对应的表决器故障,整体系统正常运行,主备切换器输出未发生故障的单系架构的数据;
当主用和备用单系架构中均出现1个以上的CPU同时故障,或者对应的比较器均故障,或者对应的表决器均故障,则主备切换器无法输出数据。
进一步地,所述车载ATP/ATO系统采用双系架构具体包括:在车头和车尾各设置一套单系架构设备或者双系架构设备,将车头与车尾的设备通过数据总线的方式进行连接以实现数据的实时同步和传输。
与现有技术相比,本发明的有益效果是:本发明公开了一种双系冗余的列车运行控制系统,所述运行控制系统的子系统包括列车自动监控系统、数据传输系统、联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统,所述运行控制系统的子系统均采用双系架构。所述列车自动监控系统和数据传输系统采用的是热备冗余双系架构。所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的双系架构是在采取单系架构安全计算机平台的运行控制系统设备的基础上,通过数据并发处理机制转换而成。本发明将轨旁ATP/ATO子系统和车载ATP/ATO子系统设计为双系冗余的“2乘2取2”或“2乘3取2”架构,对于运行要求更高的场景下,可以将车载ATP/ATO设计成双套“2乘2取2”架构。本发明可以提高运行控制系统整体冗余度,任意单点故障均不会影响运行控制系统的整体运行,提升了运行控制系统的整体可靠性和可用性,能在很大程度上避免出现运营中断的情况。针对城市轨道交通运行控制系统中的基于“3取2”单系架构安全计算机平台的运行控制系统方案,本发明提高了运行控制系统整体系统的稳定性、可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的现有的列车运行控制系统的整体架构示意图,其中,1为数据传输子系统,2为列车自动监控系统,3为联锁系统,4为轨旁ATP/ATO子系统,5为数据传输通道,6为轨道交通车辆,7为车载ATP/ATO子系统,8为车载运控系统控制网络/数据网络。
图2是本发明实施例提供的一种双系冗余的列车运行控制系统的车载ATP/ATO系统“2乘2取2”架构示意图。
图3是本发明实施例提供的一种双系冗余的列车运行控制系统的车载ATP/ATO系统“2乘3取2”架构示意图。
图4是本发明实施例提供的一种双系冗余的列车运行控制系统的车载ATP/ATO系统双套“2乘2取2”架构示意图。
图5是本发明实施例提供的一种双系冗余的列车运行控制系统的数据流和方案对比示意图。
图6是本发明实施例提供的一种双系冗余的列车运行控制系统的“2乘3取2”系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
参见图1至图6,本发明公开了一种双系冗余的列车运行控制系统,所述运行控制系统的子系统包括列车自动监控系统、数据传输系统、联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统,所述运行控制系统的子系统均采用双系架构。本发明可以保证在任意单点故障的情况下,运行控制系统均能保证正常运行。
优选的实施例中,所述列车自动监控系统(ATS系统)可以实现列车运行的自动调度管理功能,其配置设备包括服务器、工作站等。ATS系统是非安全系统,采用热备冗余双系架构,能够保证在任何一系故障时可以无缝切换到另外一系继续运行。
优选的实施例中,所述数据传输系统(DCS系统)包括有线数据传输和无线数据传输两部分,其配置设备包括服务器、工作站、数据转换设备、数据传输设备等等。DCS系统是运行控制系统中的非安全系统设备,采用热备冗余双系架构,双网并用模式能够保证任何一张网故障,均不影响运行控制系统正常运行。DCS系统还包括数据传输通道,数据传输通道包括光缆、网线、串口数据线等有线数据传输通道,以及漏缆、天线、波导管等车地无线数据传输通道,配置方式满足DCS子系统的要求。
优选的实施例中,所述联锁系统是轨道交通中保障道岔开向、信号机显示、轨道区段出清/占用逻辑关系正确,以及对道岔转辙机、信号机实施控制的关键系统设备,其配置设备包括联锁控制主机、继电器联锁电路设备或电子联锁设备等。联锁子系统属于运行控制系统中的安全系统设备,采用双系架构。
优选的实施例中,所述轨旁ATP/ATO系统,一般指区域控制器ZC或线路控制器LC,主要根据管辖范围内的各列车运行状态,为列车提供移动授权,属于安全系统设备。ATP功能模块采用双系架构,且采用双系并用的工作方式。
优选的实施例中,所述车载ATP/ATO系统,一般包括车载ATP/ATO控制主机、车载网络设备、测速定位设备等,其中的ATP功能部分对列车运行速度起到安全防护作用,属于运行控制系统中的安全系统设备。车载ATP/ATO系统一般安装在轨道交通车辆的车头或车尾的车厢内部。ATP功能模块采用双系架构,且采用双系并用的工作方式。车头或车尾两系车载ATP/ATO设备之间的数据传输一般通过贯通列车的控制电缆或者数据线缆等,即车载运行控制系统控制网络或者数据网络。
优选的实施例中,所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的双系架构是在采取单系架构安全计算机平台的运行控制系统设备的基础上,通过数据并发处理机制转换而成,这样可以节省资源。或者将单系架构直接替换为双系架构,也能保障整个运行控制系统的数据流转过程中,任何一个涉及安全的关键设备均为双系工作状态,大幅提高整体系统的可靠性和可用性。但通过数据并发处理机制转换比直接替换的方式更节约资源,减少成本。所述数据并发处理机制具体包括:事务在执行过程中需要不同的资源,有时需要CPU,有时需要I/O,有时需要通信。如果事务串行执行,则许多系统资源将处于空闲状态。在单处理机系统中,事务的并行执行实际上是这些并行事务的并行操作轮流交叉运行,称交叉并发方式。在多处理机系统中,每个处理机可以运行一个事务,多个处理机可以同时运行多个事务,称同时并发方式。但当多个事务同时存取统一数据时,可能会读取和存储不正确的数据,因此需要对并发执行的事务加以控制。
优选的实施例中,所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的单系架构包括“2取2”架构或者“3取2”架构,所述“2取2”架构包括在运行控制系统上集成2个同步运行的CPU系统,所述“3取2”架构包括在运行控制系统上集成3个同步运行的CPU系统。
在一个实施例中,双系架构包括两套单系架构,当单系架构为“2取2”架构时,所述双系架构为“2乘2取2”架构;当单系架构为“3取2”架构时,所述双系架构为“2乘3取2”架构。本发明采用“2乘2取2”系统架构或者“2乘3取2”架构,可以在保障任何一系故障时均不影响另外一系继续运行的同时,还能提高系统稳定性。
目前国内主流的轨旁ATP/ATO系统多采用“3取2”单系架构,故障率相对偏高;本发明中所描述的轨旁ATP/ATO系统应采用“2乘2取2”或“2乘3取2”的双系架构,从而保证任何一系故障时均不影响另外一系继续运行。目前国内部分车载ATP/ATO系统采用“3取2”单系架构,故障率相对偏高。本发明中所描述的车载ATP/ATO系统设备,应采用“2乘2取2”或“2乘3取2”,即车头设置1套“2取2”或“3取2”的单系设备,车尾再设置1套“2取2”或“3取2”的单系设备,车头与车尾的设备通过数据总线的方式进行连接,实现数据的实时同步和传送,从而组成双系冗余的“2乘2取2”或“2乘3取2”的车载ATP/ATO设备架构。对于部分运营要求更高的工程项目,车头和车尾各设置1套“2乘2取2”或“2乘3取2”的车载ATP/ATO设备,头尾两套设备再通过数据总线的方式进行连接,实现数据的实时同步和传送,从而组成冗余度更高的车载ATP/ATO系统。
一方面,所述双系架构还包括主备切换器、比较器和表决器,比较器和表决器均与单系架构配套,单系架构、比较器和表决器均采用热备方式同步实时运行。如图6所示,双系架构包括了两系完整的“3取2”安全架构,每系“3取2”中包括3个处理器单元CPU-A、CPU-B、CPU-C,比较器和表决器。双系架构两系完整的“3取2”安全架构,采用热备方式,同步实时运行,即6个CPU、2个比较器和2个表决器同步实时工作。
另一方面,所述双系架构的具体工作流程如下:
两套单系架构的CPU系统从输入数据总线上同时接收数据,并同步运算和输出结果;
两套比较器分别对相应的单系架构的CPU系统输出的数据进行比较;
两套表决器分别对配套的比较器的结果进行表决;
主备切换器接收两个表决结果并决定最终输出数据。
在双系架构中,采用这种工作机制,可以使得最终输出的数据可信度较高,不会因为某个点位的数据异常而影响整套系统的正常运行。
进一步地,所述两套表决器分别对配套的比较器的结果进行表决,具体包括:
当两套单系架构采用“3取2”架构时,两套比较器分别对相应的单系架构的CPU系统输出的数据进行两两比较,若至少2个CPU数据一致则表决为可信结果,否则表决为不可信结果,当连续若干次表决某套单系架构的数据为不可信结果,则认为该套单系架构故障。当双系架构的两套单系架构均采用“3取2”架构,输出的数据可信度更高。
进一步地,所述主备切换器接收两个表决结果并决定最终输出数据,具体包括:
主备切换器输出可信结果,当两套单系架构的表决器均表决为可信结果时,主备切换器预设输出主用单系架构的数据,或者随机输出主用或者备用单系架构的数据,或者采用轮换的方式输出主用和备用单系架构的数据。具体地,如图6所示,图6中的“I系”和“II系”分别表示1套“3取2”的系统结构,“I系”和“II系”的组合,以及主备切换器,一起构成了“2乘3取2”的双系冗余系统架构。图6中的“I系”包括了第I系的3个处理器单元CPU-A、CPU-B、CPU-C,3个处理器单元从系统输入数据总线上同时接收数据,并同步运算和输出结果;比较器则对3个输出结果进行两两比较;表决器对比较器的判断结果进行表决,即比较器中给出比较结果中能够判断至少有2个CPU运算输出结果相同时,系统则认定输出数据有效。图6中的“II系”的数据处理流程与“I系”保持一致。图6中的主备切换器可根据两系系统的工作状态,判断哪一系的运算结果作为系统输出。系统设备开机上电且双系“3取2”结构工作正常时,主备切换器可以默认采用I系输出数据;也可采用随机判断的方式,采用I系输出数据或II系输出数据;也可采用轮换输出方式,即本次上电采用I系输出数据,下一次上电采用II系输出数据,以此交替。
当主用或者备用单系架构中的1个以上CPU故障,或者对应的比较器故障,或者对应的表决器故障,整体系统正常运行,主备切换器输出未发生故障的单系架构的数据。具体地,以“2乘3取2”结构为例,在作为“输出系”的“3取2”结构内,如若出现1块CPU故障时,将不影响整体系统的正常运行;若出现2块及以上CPU同时故障,或比较器故障,或表决器故障时,则该系的“3取2”结构被判定为系统故障,主备切换器则会将系统输出切换为另外“备用系”的“3取2”结构的系统输出,从而保证整体“2乘3取2”系统的稳定可靠。
当主用和备用单系架构中均出现1个以上的CPU同时故障,或者对应的比较器均故障,或者对应的表决器均故障,则主备切换器无法输出数据。具体地,以“2乘3取2”结构为例,若作为“输出系”的“3取2”结构内,出现2块及以上CPU同时故障,或比较器故障,或表决器故障时,另外“备用系”的“3取2”结构也出现2块及以上CPU同时故障,或比较器故障,或表决器故障,那么“2乘3取2”系统判定为故障,系统无法输出,不再继续运行。
值得注意的是,系统设备开机上电且双系“3取2”结构工作正常时,主备切换器也可具备再次运算比较判断的机制,即对I系和II系的输出数据进行再次比较,若两系数据结果相同,则将判定后的结果作为整个系统的输出;若两系数据结果不同,则可存在如下判断逻辑:
(1)若I系的“3取2”结构中,已经出现某1个CPU故障,则I系“3取2”结构降级为“2取2”,那么其系统的可行度将低于II系正常运行的“3取2”结构,此时主备切换器则判定II系输出作为系统输出;反之同理。
(2)若I系和II系的“3取2”结构中,均出现某1个CPU故障,即I系和II系的“3取2”结构均降级为“2取2”,那么主备切换器可判定I系和II系结构输出不可信,本轮运算的系统输出不可信,不作为整体系统输出;此时若连续出现N轮双系运算结果不匹配,则“2乘3取2”系统判定为故障,系统无法输出,不再继续运行。
(3)若I系中的比较器或表决器故障,则I系的输出结果也会与II系不一致,那么此时,主备切换器直接认定I系输出故障,系统直接采信II系输出结果;反之同理。
(4)若I系中的比较器或表决器故障,系统直接采信II系输出结果时,若II系中也出现了某1个CPU故障,即II系的“3取2”结构降级为“2取2”,此时可以根据功能设计之初的定义,继续采信II系的输出结果,也可以认定“2乘3取2”中故障率太高,系统输出不可信,系统无法输出,不再继续运行;反之同理。
优选的实施例中,所述车载ATP/ATO系统采用双系架构具体包括:在车头和车尾各设置一套单系架构设备或者双系架构设备,将车头与车尾的设备通过数据总线的方式进行连接以实现数据的实时同步和传输。若冗余需求小就在车头和车尾各设置一套单系架构设备,若冗余需求大就在车头和车尾各设置一套双系架构设备,这能够保证列车运行控制系统在任意设备点位发生故障时,均能稳定运行。
图2中表示“2乘2取2”架构的车载ATP/ATO系统,车头/车尾各设置1套“2取2”单元模块,通过车载运控系统控制/数据网络进行连接,从而组成了“2乘2取2”双系架构。
图3中表示“2乘3取2”架构的车载ATP/ATO系统,车头/车尾各设置1套“3取2”单元模块,通过车载运控系统控制/数据网络进行连接,从而组成了“2乘3取2”双系架构。
图4中表示双套“2乘2取2”架构的车载ATP/ATO系统,车头/车尾各设置1套“2乘2取2”单元模块,通过车载运控系统控制/数据网络进行连接,从而组成了双套“2乘2取2”的多重冗余架构。
图5中的“1”表示ATS系统向联锁系统发送的数据信息,包括进路触发指令等。
图5中的“2”表示联锁系统向轨旁ATP/ATO系统发送的数据信息,包括行车凭证信息等。
图5中的“3”表示轨旁ATP/ATO系统向车载ATP/ATO系统发送的数据信息,包括移动授权信息等。
图5中的“1”、“2”、“3”数据流均由图1中的DCS系统承载和传输。
图5中的本发明专利所描述的运控系统架构方案,其中轨旁ATP/ATO系统和车载ATP/ATO系统均采用双系架构方案;无论轨旁ATP/ATO系统或车载ATP/ATO系统中任意一系设备出现故障,则整体运控系统仍能正常运行。
本发明公开了一种双系冗余的列车运行控制系统,该系统将轨旁ATP/ATO子系统和车载ATP/ATO子系统设计为双系冗余的“2乘2取2”或“2乘3取2”架构,对于运行要求更高的场景下,可以将车载ATP/ATO设计成双套“2乘2取2”架构。本发明可以提高运控系统整体冗余度,任意单点故障均不会影响运控系统的整体运行,提升了运控系统的整体可靠性和可用性。
本发明还公开了一种双系冗余的列车运行控制方法,应用上述所述任一项运行控制系统,所述运行控制系统的子系统包括列车自动监控系统、数据传输系统、联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统,所述运行控制系统中的子系统均采用双系架构方式运行。本发明可以保证在任意单点故障的情况下,运行控制系统均能保证正常运行。
优选的实施例中,所述列车自动监控系统(ATS系统)可以实现列车运行的自动调度管理功能,其配置设备包括服务器、工作站等。ATS系统是非安全系统,采用热备冗余双系架构,能够保证任何一系故障时可以无缝切换到另外一系继续运行。
优选的实施例中,所述数据传输系统(DCS系统)包括有线数据传输和无线数据传输两部分,其配置设备包括服务器、工作站、数据转换设备、数据传输设备等等。DCS系统是运行控制系统中的非安全系统设备,采用热备冗余双系架构,双网并用模式能够保证任何一张网故障,均不影响运行控制系统正常运行。DCS系统还包括数据传输通道,数据传输通道包括光缆、网线、串口数据线等有线数据传输通道,以及漏缆、天线、波导管等车地无线数据传输通道,配置方式满足DCS子系统的要求。
优选的实施例中,所述联锁系统是轨道交通中保障道岔开向、信号机显示、轨道区段出清/占用逻辑关系正确,以及对道岔转辙机、信号机实施控制的关键系统设备,其配置设备包括联锁控制主机、继电器联锁电路设备或电子联锁设备等。联锁子系统属于运行控制系统中的安全系统设备,采用双系冗余系统架构。
优选的实施例中,所述轨旁ATP/ATO系统,一般指区域控制器ZC或线路控制器LC,主要根据管辖范围内的各列车运行状态,为列车提供移动授权,属于安全系统设备。ATP功能模块采用双系架构,且采用双系并用的工作方式。
优选的实施例中,所述车载ATP/ATO系统,一般包括车载ATP/ATO控制主机、车载网络设备、测速定位设备等,其中的ATP功能部分对列车运行速度起到安全防护作用,属于运行控制系统中的安全系统设备。车载ATP/ATO系统一般安装在轨道交通车辆的车头或车尾的车厢内部。ATP功能模块采用双系架构,且采用双系并用的工作方式。车头或车尾两系车载ATP/ATO设备之间的数据传输一般通过贯通列车的控制电缆或者数据线缆等,即车载运行控制系统控制网络或者数据网络。
优选的实施例中,所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的双系架构是在采取单系架构安全计算机平台的运行控制系统设备的基础上,通过数据并发处理机制转换而成,这样可以节省资源。或者将单系架构直接替换为双系架构,也能保障整个运行控制系统的数据流转过程中,任何一个涉及安全的关键设备均为双系工作状态,大幅提高整体系统的可靠性和可用性。但通过数据并发处理机制转换比直接替换的方式更节约资源,减少成本。
优选的实施例中,所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的单系架构包括“2取2”架构或者“3取2”架构,所述“2取2”架构包括在运行控制系统上集成2个同步运行的CPU系统,所述“3取2”架构包括在运行控制系统上集成3个同步运行的CPU系统。
在一个实施例中,所述双系架构包括两套单系架构,当单系架构为“2取2”架构时,所述双系架构为“2乘2取2”架构;当单系架构为“3取2”架构时,所述双系架构为“2乘3取2”架构。本发明采用“2乘2取2”系统架构或者“2乘3取2”架构,可以在保障任何一系故障时均不影响另外一系继续运行的同时,还能提高系统稳定性。
目前国内主流的轨旁ATP/ATO系统多采用“3取2”单系架构,故障率相对偏高;本发明中所描述的轨旁ATP/ATO系统应采用“2乘2取2”或“2乘3取2”的双系架构,从而保证任何一系故障时均不影响另外一系继续运行。目前国内部分车载ATP/ATO系统采用“3取2”单系架构,故障率相对偏高。本发明中所描述的车载ATP/ATO系统设备,应采用“2乘2取2”或“2乘3取2”,即车头设置1套“2取2”或“3取2”的单系设备,车尾再设置1套“2取2”或“3取2”的单系设备,车头与车尾的设备通过数据总线的方式进行连接,实现数据的实时同步和传送,从而组成双系冗余的“2乘2取2”或“2乘3取2”的车载ATP/ATO设备架构。对于部分运营要求更高的工程项目,车头和车尾各设置1套“2乘2取2”或“2乘3取2”的车载ATP/ATO设备,头尾两套设备再通过数据总线的方式进行连接,实现数据的实时同步和传送,从而组成冗余度更高的车载ATP/ATO系统。
一方面,所述双系架构还包括主备切换器、比较器和表决器,比较器和表决器均与单系架构配套,单系架构、比较器和表决器均采用热备方式同步实时运行。如图6所示,双系架构包括了两系完整的“3取2”安全架构,每系“3取2”中包括3个处理器单元CPU-A、CPU-B、CPU-C,比较器和表决器。双系架构两系完整的“3取2”安全架构,采用热备方式,同步实时运行,即6个CPU、2个比较器和2个表决器同步实时工作。
另一方面,所述双系架构的具体工作流程如下:
两套单系架构的CPU系统从输入数据总线上同时接收数据,并同步运算和输出结果;
两套比较器分别对相应的单系架构的CPU系统输出的数据进行比较;
两套表决器分别对配套的比较器的结果进行表决;
主备切换器接收两个表决结果并决定最终输出数据。
在双系架构中,采用这种工作机制,可以使得最终输出的数据可信度较高,不会因为某个点位的数据异常而影响整套系统的正常运行。
进一步地,所述两套表决器分别对配套的比较器的结果进行表决,具体包括:
当两套单系架构采用“3取2”架构时,两套比较器分别对相应的单系架构的CPU系统输出的数据进行两两比较,若至少2个CPU数据一致则表决为可信结果,否则表决为不可信结果,当连续若干次表决某套单系架构的数据为不可信结果,则认为该套单系架构故障。当双系架构的两套单系架构均采用“3取2”架构,输出的数据可信度更高。
进一步地,所述主备切换器接收两个表决结果并决定最终输出数据,具体包括:
主备切换器输出可信结果,当两套单系架构的表决器均表决为可信结果时,主备切换器预设输出主用单系架构的数据,或者随机输出主用或者备用单系架构的数据,或者采用轮换的方式输出主用和备用单系架构的数据。具体地,如图6所示,图6中的“I系”和“II系”分别表示1套“3取2”的系统结构,“I系”和“II系”的组合,以及主备切换器,一起构成了“2乘3取2”的双系冗余系统架构。图6中的“I系”包括了第I系的3个处理器单元CPU-A、CPU-B、CPU-C,3个处理器单元从系统输入数据总线上同时接收数据,并同步运算和输出结果;比较器则对3个输出结果进行两两比较;表决器对比较器的判断结果进行表决,即比较器中给出比较结果中能够判断至少有2个CPU运算输出结果相同时,系统则认定输出数据有效。图6中的“II系”的数据处理流程与“I系”保持一致。图6中的主备切换器可根据两系系统的工作状态,判断哪一系的运算结果作为系统输出。系统设备开机上电且双系“3取2”结构工作正常时,主备切换器可以默认采用I系输出数据;也可采用随机判断的方式,采用I系输出数据或II系输出数据;也可采用轮换输出方式,即本次上电采用I系输出数据,下一次上电采用II系输出数据,以此交替。
当主用或者备用单系架构中的1个以上CPU故障,或者对应的比较器故障,或者对应的表决器故障,整体系统正常运行,主备切换器输出未发生故障的单系架构的数据。具体地,以“2乘3取2”结构为例,在作为“输出系”的“3取2”结构内,如若出现1块CPU故障时,将不影响整体系统的正常运行;若出现2块及以上CPU同时故障,或比较器故障,或表决器故障时,则该系的“3取2”结构被判定为系统故障,主备切换器则会将系统输出切换为另外“备用系”的“3取2”结构的系统输出,从而保证整体“2乘3取2”系统的稳定可靠。
当主用和备用单系架构中均出现1个以上的CPU同时故障,或者对应的比较器均故障,或者对应的表决器均故障,则主备切换器无法输出数据。具体地,以“2乘3取2”结构为例,若作为“输出系”的“3取2”结构内,出现2块及以上CPU同时故障,或比较器故障,或表决器故障时,另外“备用系”的“3取2”结构也出现2块及以上CPU同时故障,或比较器故障,或表决器故障,那么“2乘3取2”系统判定为故障,系统无法输出,不再继续运行。
值得注意的是,系统设备开机上电且双系“3取2”结构工作正常时,主备切换器也可具备再次运算比较判断的机制,即对I系和II系的输出数据进行再次比较,若两系数据结果相同,则将判定后的结果作为整个系统的输出;若两系数据结果不同,则可存在如下判断逻辑:
(1)若I系的“3取2”结构中,已经出现某1个CPU故障,则I系“3取2”结构降级为“2取2”,那么其系统的可行度将低于II系正常运行的“3取2”结构,此时主备切换器则判定II系输出作为系统输出;反之同理。
(2)若I系和II系的“3取2”结构中,均出现某1个CPU故障,即I系和II系的“3取2”结构均降级为“2取2”,那么主备切换器可判定I系和II系结构输出不可信,本轮运算的系统输出不可信,不作为整体系统输出;此时若连续出现N轮双系运算结果不匹配,则“2乘3取2”系统判定为故障,系统无法输出,不再继续运行。
(3)若I系中的比较器或表决器故障,则I系的输出结果也会与II系不一致,那么此时,主备切换器直接认定I系输出故障,系统直接采信II系输出结果;反之同理。
(4)若I系中的比较器或表决器故障,系统直接采信II系输出结果时,若II系中也出现了某1个CPU故障,即II系的“3取2”结构降级为“2取2”,此时可以根据功能设计之初的定义,继续采信II系的输出结果,也可以认定“2乘3取2”中故障率太高,系统输出不可信,系统无法输出,不再继续运行;反之同理。
优选的实施例中,所述车载ATP/ATO系统采用双系架构具体包括:在车头和车尾各设置一套单系架构设备或者双系架构设备,将车头与车尾的设备通过数据总线的方式进行连接以实现数据的实时同步和传输。若冗余需求小就在车头和车尾各设置一套单系架构设备,若冗余需求大就在车头和车尾各设置一套双系架构设备,这能够保证列车运行控制系统在任意设备点位发生故障时,均能稳定运行。
图2中表示“2乘2取2”架构的车载ATP/ATO系统,车头/车尾各设置1套“2取2”单元模块,通过车载运控系统控制/数据网络进行连接,从而组成了“2乘2取2”双系架构。
图3中表示“2乘3取2”架构的车载ATP/ATO系统,车头/车尾各设置1套“3取2”单元模块,通过车载运控系统控制/数据网络进行连接,从而组成了“2乘3取2”双系架构。
图4中表示双套“2乘2取2”架构的车载ATP/ATO系统,车头/车尾各设置1套“2乘2取2”单元模块,通过车载运控系统控制/数据网络进行连接,从而组成了双套“2乘2取2”的多重冗余架构。
图5中的“1”表示ATS系统向联锁系统发送的数据信息,包括进路触发指令等。
图5中的“2”表示联锁系统向轨旁ATP/ATO系统发送的数据信息,包括行车凭证信息等。
图5中的“3”表示轨旁ATP/ATO系统向车载ATP/ATO系统发送的数据信息,包括移动授权信息等。
图5中的“1”、“2”、“3”数据流均由图1中的DCS系统承载和传输。
图5中的本发明专利所描述的运控系统架构方案,其中轨旁ATP/ATO系统和车载ATP/ATO系统均采用双系架构方案;无论轨旁ATP/ATO系统或车载ATP/ATO系统中任意一系设备出现故障,则整体运控系统仍能正常运行。
本发明公开了一种双系冗余的列车运行控制方法,该方法将轨旁ATP/ATO子系统和车载ATP/ATO子系统设计为双系冗余的“2乘2取2”或“2乘3取2”架构,对于运行要求更高的场景下,可以将车载ATP/ATO设计成双套“2乘2取2”架构。本发明可以提高运控系统整体冗余度,任意单点故障均不会影响运控系统的整体运行,提升了运控系统的整体可靠性和可用性。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述实施例所提供的一种双系冗余的列车运行控制系统,所述运行控制系统的子系统包括列车自动监控系统、数据传输系统、联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统,所述运行控制系统的子系统均采用双系架构。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的一种双系冗余的列车运行控制系统,所述运行控制系统的子系统包括列车自动监控系统、数据传输系统、联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统,所述运行控制系统的子系统均采用双系架构。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种双系冗余的列车运行控制系统,所述运行控制系统的子系统包括列车自动监控系统、数据传输系统、联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统,其特征在于,所述运行控制系统的子系统均采用双系架构。
2.如权利要求1所述的一种双系冗余的列车运行控制系统,其特征在于,所述列车自动监控系统和数据传输系统采用的是热备冗余双系架构。
3.如权利要求1所述的一种双系冗余的列车运行控制系统,其特征在于,所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的双系架构是在采取单系架构安全计算机平台的运行控制系统设备的基础上,通过数据并发处理机制转换而成。
4.如权利要求3所述的一种双系冗余的列车运行控制系统,其特征在于,所述联锁系统、轨旁ATP/ATO系统和车载ATP/ATO系统的单系架构包括“2取2”架构或者“3取2”架构。
5.如权利要求4所述的一种双系冗余的列车运行控制系统,其特征在于,双系架构包括两套单系架构,当单系架构为“2取2”架构时,双系架构为“2乘2取2”架构;当单系架构为“3取2”架构时,双系架构为“2乘3取2”架构。
6.如权利要求5所述的一种双系冗余的列车运行控制系统,其特征在于,所述双系架构还包括主备切换器、比较器和表决器,比较器和表决器均与单系架构配套,单系架构、比较器和表决器均采用热备方式同步实时运行。
7.如权利要求6所述的一种双系冗余的列车运行控制系统,其特征在于,所述双系架构的具体工作流程如下:
两套单系架构的CPU系统从输入数据总线上同时接收数据,并同步运算和输出结果;
两套比较器分别对相应的单系架构的CPU系统输出的数据进行比较;
两套表决器分别对配套的比较器的结果进行表决;
主备切换器接收两个表决结果并决定最终输出数据。
8.如权利要求7所述的一种双系冗余的列车运行控制系统,其特征在于,所述两套表决器分别对配套的比较器的结果进行表决,具体包括:
当两套单系架构采用“3取2”架构时,两套比较器分别对相应的单系架构的CPU系统输出的数据进行两两比较,若至少2个CPU数据一致则表决为可信结果,否则表决为不可信结果,当连续若干次表决某套单系架构的数据为不可信结果,则认为该套单系架构故障。
9.如权利要求8所述的一种双系冗余的列车运行控制系统,其特征在于,所述主备切换器接收两个表决结果并决定最终输出数据,具体包括:
主备切换器输出可信结果,当两套单系架构的表决器均表决为可信结果时,主备切换器预设输出主用单系架构的数据,或者随机输出主用或者备用单系架构的数据,或者采用轮换的方式输出主用和备用单系架构的数据;
当主用或者备用单系架构中的1个以上CPU故障,或者对应的比较器故障,或者对应的表决器故障,整体系统正常运行,主备切换器输出未发生故障的单系架构的数据;
当主用和备用单系架构中均出现1个以上的CPU同时故障,或者对应的比较器均故障,或者对应的表决器均故障,则主备切换器无法输出数据。
10.如权利要求1所述的一种双系冗余的列车运行控制系统,其特征在于,所述车载ATP/ATO系统采用双系架构具体包括:在车头和车尾各设置一套单系架构设备或者双系架构设备,将车头与车尾的设备通过数据总线的方式进行连接以实现数据的实时同步和传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310280762.0A CN116279693A (zh) | 2023-03-22 | 2023-03-22 | 一种双系冗余的列车运行控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310280762.0A CN116279693A (zh) | 2023-03-22 | 2023-03-22 | 一种双系冗余的列车运行控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116279693A true CN116279693A (zh) | 2023-06-23 |
Family
ID=86781283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310280762.0A Pending CN116279693A (zh) | 2023-03-22 | 2023-03-22 | 一种双系冗余的列车运行控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116279693A (zh) |
-
2023
- 2023-03-22 CN CN202310280762.0A patent/CN116279693A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107992382B (zh) | 一种计算机联锁系统及其冗余切换方法 | |
| CN102381342B (zh) | 一种计算机联锁系统及其控制城市轨道交通信号的方法 | |
| WO2017107665A1 (zh) | 一种用于列车控制的安全计算机系统 | |
| US8620497B2 (en) | Computer interlocking system and code bit level redundancy method therefor | |
| CN106648997A (zh) | 一种基于非实时操作系统的主从双机切换方法 | |
| JP7244549B2 (ja) | 列車保安システム | |
| CN110758489A (zh) | 一种列车自动防护系统 | |
| CN112550362B (zh) | 一种列车控制器的重启方法 | |
| CN111186463A (zh) | 一种板级冗余的全电子计算机联锁系统 | |
| CN110293999B (zh) | 一种安全型lkj制动控制方式 | |
| CN201941780U (zh) | 一种基于tms570的atp车载二乘二取二系统 | |
| CN112693495A (zh) | 一种无节点分布式道岔安全驱采控制系统 | |
| CN113157499A (zh) | 一种基于云计算的安全计算机平台 | |
| CN113060185A (zh) | 新型全电子联锁道岔控制方法及系统 | |
| CN112901010B (zh) | 一种列车车门控制网络通讯系统 | |
| Wen et al. | Design and analysis of double one out of two with a hot standby safety redundant structure | |
| CN116279693A (zh) | 一种双系冗余的列车运行控制系统 | |
| JP5025402B2 (ja) | 高安全制御装置 | |
| KR100414031B1 (ko) | 다중계 처리장치 및 다중계 처리장치에 접속된 콘트롤러및 다중계 처리시스템 | |
| CN110979406A (zh) | 一种交叉复用的信号系统安全计算平台 | |
| Tan et al. | Design and reliability, availability, maintainability, and safety analysis of a high availability quadruple vital computer system | |
| KR100835383B1 (ko) | 시간여분을 이용한 철도신호용 이중계구조 결함허용 제어기 | |
| CN217305726U (zh) | 一种热备安全模块、现地控制装置和电气控制系统 | |
| JPH07117670A (ja) | 鉄道設備の保守作業管理装置 | |
| Akita et al. | Safety and fault-tolerance in computer-controlled railway signalling systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |