WO2019080477A1 - 一种计算机联锁系统及其冗余切换方法 - Google Patents

Abstract

一种计算机联锁系统以及基于该联锁系统的冗余切换方法，所述计算机联锁系统包括联锁子系统，联锁子系统包含相同并互联的联锁I系和联锁II系，其中：联锁I系和联锁II系均包括两个硬件相同且采用任务级同步的CPU，该两个CPU分别运行由不同的编译器来编译相同程序代码产生的可执行文件。所述系统采用异构的软/硬件、固定差异的程序开始运行时间来减少共模故障发生概率，在降低共模故障的同时，降低开发难度，提高生产效率，起到了降低调试和维护的要求。

Description

一种计算机联锁系统及其冗余切换方法

本申请要求于2017年10月24日递交的中国专利申请第201711001027.2号的优先权，在此全文引用上述中国专利申请公开的内容以作为本申请的一部分。

技术领域

本公开涉及轨道交通领域，尤其涉及一种应用于轨道交通车站的计算机联锁系统。

背景技术

现有的轨道交通联锁平台开发中，联锁体系结构一般采用2乘2取2平台。由A,B两系相同的2取2结构组成，每系母版设置两个硬件完全相同的CPU(中央处理器)，内部运行一套共同的软件。正常情况下一系为逻辑主用，另外一系为逻辑备用，每一系的两个CPU采用时钟级同步，当主系发生故障时自动切换到备系。但是，由于采用时钟级同步，直接受制于CPU的主处理频率，即CPU时钟频率不能太快，否则将由于无法在规定时间内完成运算而影响周期内的数据同步。

目前，随着计算机性能的不断提升，时钟级同步的计算机已大大落后于现有的通用计算机。再者，双CPU时钟同步方式存在无法在两个CPU中实现两套不同算法的缺点，无法消除软件的共模故障。

因此当前很多研究提出采用软件和硬件同时异构的热冗余2乘2取2热备切换机制，比如CN201410459448.X，将两台硬件异构且采用任务级同步的CPU分别运行两套不同的软件，以消除软件的共模故障。但这种冗余方式开发难度大，调试和维护的要求比较高，大大降低了生产效率。

发明内容

有鉴于此，本公开提供一种计算机联锁系统及其冗余切换方法，采用异构的软/硬件、固定差异的程序开始运行时间来减少共模故障发生的概率，在消除共模故障的同时，降低了开发难度，提高了生产 效率，起到了降低调试和维护的要求。

为达到上述目的，本公开的技术方案如下：

一种计算机联锁结构，包括联锁子系统，联锁子系统包含相同并互联的联锁I系和联锁II系，其中：

联锁I系和联锁II系均包括两个硬件相同且采用任务级同步的CPU，该两个CPU分别运行由不同的编译器编译相同程序代码产生的可执行文件。

进一步的，两个CPU分别运行由Visual C++和Watcom C编译器编译相同程序代码产生的可执行文件。

进一步的，还包括IO子系统、控显和维护子系统，联锁子系统接收来自控显子系统人机对话层操作信息和IO子系统采集的设备状态信息，进行安全逻辑运算，通过IO子系统对外部设备进行实际控制。

进一步的，作为本公开的一种实施方式，IO子系统包含相同的IO I系和IO II系，IO I系和IO II系分别与联锁I系和联锁II系连接；

IO I系和IO II系均包括两个硬件相同的CPU，该两个CPU分别运行两套不同的软件。

进一步的，作为本公开的另一种实施方式，IO子系统包含相同的IO I系和IO II系，IO I系和IO II系分别与联锁I系和联锁II系连接；

IO I系和IO II系均包括两个硬件异构的CPU，该两个CPU分别运行两套不同的软件。

进一步的，IO I系和IO II系均包括输入采集单元，输入采集单元通过动态发码方式采集静态直流电压，由输入采集机笼内的两个独立CPU单元分别进行采集，然后发送至联锁子系统并由其对采集结果进行比较，比较一致认为采集数据有效，否则采集数据无效，构成二取二故障-安全采集。

进一步的，IO I系和IO II系均还包括输出单元，采用双断控制，动态和静态两路驱动串联输出，静态和动态输出分别由输出机笼内的两个独立的CPU单元控制，当任意一路输出无效时，总输出则为无效，构成硬件相异的二取二故障-安全输出。

IO子系统采用了变压器和继电器等固有故障-安全器件，驱动和采集电路均设计为安全电路，保证驱采的可靠性和安全性。

进一步的，IO子系统功能执行单元直接控制设备为车站机械室内重力继电器，再通过不同继电器电路的组合，间接的达到对室外信号设备的控制。

本公开还提供了一种基于以上计算机联锁结构的冗余切换方法，包括进行主从冗余切换的第一系统和第二系统，包含如下步骤：

第一系统(第二系统)启动，进入待机状态，依据第二系统(第一系统)当前工作模式、双系通信状态、双系时钟同步状态来决定进入逻辑主用模式或逻辑备用模式。

在每个周期接收到同步信息以及同步相互确认信息，如果在相互确认过程中发现第一系统或第二系统出现严重不可用故障，则发生故障的该系停机，若该系为主系，则主从倒切；

若主系健康程度差于从系，则两系进行主从倒切；

第一系统和第二系统进行数据比较和相互确认一致后输出相同数据。

进一步的，当从系健康程度高于主系，则从系切换至主系，原主系进入待机，如果待机后与当前主系同步且系统无故障，则原主系切换至从系。

进一步的，从系在符合以下条件之一进入待机状态：与主系不同步；从系健康程度比主系差；主从系均有故障，且故障程度相同。

进一步的，主系或从系进入待机状态后，若与他系失去通信或周期开始中断，则切换至主系；若发生严重不可用故障则停机。

进一步的，主系或从系进入停机状态重启后软件运行，则重新进入待机状态。

本公开的有益效果是：

(1)通过联锁结构软/硬件异构降低了共模故障发生的概率，提高系统安全性；

(2)在联锁子系统上采用硬件相同编译器异构的方案，使得相同的源代码在相同的硬件上运行时具有固定差异的开始运行时间，在降低共模故障的同时，降低了开发难度，提高了生产效率，起到了降低调试和维护的要求；

(3)将与现场设备直连的IO子系统设计为软/硬件异构，保障了驱采结果的安全性，而上层的联锁子系统将更关注于安全逻辑运算和安全通信的工作，更合理的分配系统安全实现，保证系统资源合理和高效的利用。

附图说明

通过以下参照附图对本公开实施例的描述，本公开的上述以及其它目的、特征和优点将更为清楚，在附图中：

图1为本公开提供的计算机联锁系统结构图；

图2为本公开提供的计算机联锁系统软件架构图；

图3为本公开提供的联锁子系统结构图；

图4为本公开提供的主从系切换状态图。

具体实施方式

以下基于实施例对本公开进行描述，但是本公开并不仅仅限于这些实施例。

本公开提供的一种计算机联锁系统，是以计算机作为主要技术手段实现车站联锁的信号系统。该计算机联锁系统将车站和区间内所有纳入联锁的信号机、轨道电路及道岔等相对独立的信号设备构成一种既相互联系又相互制约的联锁关系，并进行集中控制，是保证行车安全的控制系统。

如图1所示，本公开提供的计算机联锁系统包含：电源子系统、联锁子系统、IO子系统(输入输出子系统)、控显和维护子系统。其中，电源子系统为所有子系统的设备提供所需的电力供应，使整个联锁系统安全、可靠的工作；联锁子系统由联锁逻辑部组成，是联锁系统的核心，接收来自控显和维护子系统人机对话层的操作信息和IO子系统的信号、道岔、轨道等设备状态信息。根据以上信息进行安全逻辑运算，产生相应的控制输出，通过IO子系统对信号设备进行实际控制；IO子系统由现场信号设备的采集驱动设备组成，直接或通过现场设备的继电器接口电路，按联锁运算得出的结果以安全的方式转变成可使现场信号设备动作的电压(或电流)，并以安全的方式采集现场信号设备的状态；控显和维护子系统通过可视化的人机界面，提供操作及维修人员向系统输入控制命令并监测行车作业及设备工作状态信息。

本公开提供的计算机联锁系统中采用故障-安全设计技术为基础设计的二乘二取二结构。设计中广泛采用二取二比较结构，并且在二取二组合故障-安全设计中采用异构的软/硬件，固定差异的程序开始运行时间来减少共模故障发生的概率，提高系统的安全性。

如图1所示，作为本公开的其中一种具体实施例，本公开提供的计算机联锁系统中的联锁子系统采用二取二组合故障-安全设计，主从双系(图中联锁I系、联锁II系)硬件一致，但是每系双CPU运行的程序分别通过不同的编译器来编译产生。

进一步的，联锁子系统逻辑部系统管理软件和联锁应用软件采用C语言开发，每系内双CPU采用不同的编译器。如图2、3所示，其中，CPU1采用Visual C++编译器(即VC编译器)，CPU2采用Watcom C编译器(即WC编译器)，双CPU采用不同编译器分别对相同代码进行编译和链接，最终生成不同的可执行文件。

WC和VC在20世纪90年代作为最主要在C/C++开发工具，在市场获得巨大成功和广泛使用，是符合ANSI_C标准的最为成熟的C/C++编译器。这2个编译器由2个不同公司进行开发，其编译生成的可执行文件在数据与代码内存的分配和代码执行效率均不同。同一软件经过WC和VC编译后，通过对编译后的文件进行分析，发现其代码段和数据段的地址分配差异较明显，可防止内存引起的共模故障。

除地址分配存在差异外，两个CPU对代码中同一个控制语句的执行时间存在一定的差异，经测试，由WC编译后的程序执行速度比VC编译后的程序执行速度快5ms，双CPU对同一功能的执行存在固定的时差，可防止处理器引起的共模故障。

除能够防护内存和处理器共模故障外，由于VC和WC编译器生成的可执行程序不尽相同，能够防止ROM解码本身失效的风险。

通过采用WC和VC两种异构的编译器，可以有效的防止编译器、内存、ROM和处理器等引起的共因失效风险，提高了系统的安全性。

通过在联锁子系统上采用编译器异构的方案，使得相同的源代码在相同的硬件上运行时具有固定差异的开始运行时间，在降低共模故障的同时，降低了开发难度，提高了生产效率，起到了降低调试和维护的要求。

如图3所示，本公开提供的计算机联锁系统中联锁子系统在系统运行时始终保持同步，联锁I系(或联锁II系)中两个CPU单元(CPU1和CPU2)分别进行独立的运算，通过双系同步板同步并交换数据，当表决结构一致时，产生有效的对外驱动命令。

作为本公开的其中一种具体实施例，本公开提供的计算机联锁系统中的IO子系统同样采用二取二组合故障-安全设计，在IO子系统上实现了软/硬件异构。将与现场设备直连的IO子系统设计为包含相 同的IO I系和IO II系，分别与联锁I系和联锁II系连接，并将IO I系和IO II系设计为软/硬件异构，保障了驱采结果的安全性，而上层的联锁子系统将更关注于安全逻辑运算和安全通信的工作，更合理的分配系统安全实现，保证系统资源合理和高效的利用。

进一步的，IO子系统上采用了软、硬件同时异构。其中，输入采集单元采用动态采集方式，通过动态发码方式采集静态直流电压，由输入采集机笼内的两个独立CPU单元分别进行采集，由联锁子系统对采集结果进行比较，比较一致认为采集数据有效，否则采集数据无效，构成二取二故障-安全采集；输出单元采用双断控制，动态和静态两路驱动串联输出，静态和动态输出分别由输出机笼内的两个独立的CPU单元控制，当任意一路输出无效时，总输出则为无效，构成硬件相异的二取二故障-安全输出。

一般来说，铁路系统的驱采都是双通道，部分对安全性要求不高的驱采点，可能会存在单通道的情况，即单独的一路驱动或采集通道。为提高单一通道的安全性，作为本公开的其中一种具体实施例，本公开对采用单一通道的功能执行单元，采用固有故障-安全器件，设计快速的错误检测机制，检测到故障发生时采取措施触发安全反应，实现自输入到输出全过程二取二结构的故障-安全系统。

进一步的，所述固有故障-安全器件为特殊元器件-变压器和继电器等，该元器件在发生失效后，不会导致后续的电路错误输出，从而导向安全侧。

作为本公开的其中一种具体实施例，本公开提供的计算机联锁系统功能执行单元直接控制设备为车站机械室内重力继电器，再通过不同继电器电路的组合，间接的达到对室外信号设备的控制；

本公开提供的计算机联锁系统中联锁子系统和IO子系统，无论是哪个子系统检测到错误，都会根据错误级别进行相应的故障处理。如果联锁子系统检测到自身故障，根据错误级别进行宕机、降待机等处理；如果IO子系统检测到错误，IO子系统先上传故障信息给联锁子系统，再根据故障等级进行宕机等处理。联锁子系统获取IO子系统故障信息后，进行故障识别和处理，导向安全侧。

本公开提供的计算机联锁系统中各子系统相互独立，安全相关的子系统-联锁子系统和IO子系统均采用故障-安全设计，可以独立实现故障-安全功能，保证系统的高安全性和高可用性。此外，联锁子系统和IO子系统单系均可独立工作，保证了系统的高可用性。

基于以上计算机联锁系统，本公开还提供一种基于上述计算机联锁系统的冗余切换方法，本实施例以联锁子系统为例进行说明，相关技术容易扩展至其他联锁结构。

本公开提供的冗余切换方法包括如下步骤：

联锁I系(联锁II系)启动，进入待机状态，依据联锁I I系(联锁I系)当前工作模式、双系通信状态、双系时钟同步状态来决定进入逻辑主用模式或逻辑备用模式。

在每个周期接收到输入同步信息以及同步相互确认信息，如果在相互确认过程中发现联锁I系或联锁II系出现严重不可用故障，则发生故障的该系停机，若该系为主系，则主从倒切；

若主系健康程度差于从系，则两系进行主从倒切；

联锁I系和联锁I I系进行数据比较和相互确认一致后输出相同数据。

如图4所示，主系或从系在发生严重不可用故障时会进入停机状态。若发生严重不可用故障的是主系，从系与主系失去通信，自动切换到主系，另外从系如果健康程度比主系好，故障级别低于主系，则从系切换至主系，此时原主系进入待机，如果待机后与当前主系同步且系统无故障，则原主系切换至从系。

从系在符合以下条件之一进入待机状态：与主系不同步；从系健康程度比主系差；主从系均有故障，且故障程度相同。

另外，主系或从系进入待机状态后，若与他系失去通信或周期开始中断，则切换至主系；若发生严重不可用故障则停机。

若主系或从系进入停机状态重启软件运行，则重新进入待机状态。

综上，本公开提供的计算机联锁系统及主从切换方法，支持区域集中联锁控制，通过在中心站设一套联锁主机，能实现多个车站的集中控制，相邻站间光纤传输距离(无网络中继)最远可达40km，内部各设备间全部采用光缆连接，保证了系统内部信息通道的高可靠性。另外还具有如下特点：

自诊断功能完善，故障报警定位准确；具有图形再现和打印功能；提供远程诊断功能。结构简单、合理、安全性和可靠性达到国际标准；具备通用标准的网络接口，可根据需要实现与外部系统的安全或非安全通信，如：与无线闭塞中心的安全通信等；具有完善的配套离线数据生成、系统配置软件和测试工装。

以上所述仅为本公开的优选实施例，并不用于限制本公开，另外，本公开可以有各种改动和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims (13)

1. 一种计算机联锁结构，其中：包括联锁子系统，所述联锁子系统包含相同并互联的联锁I系和联锁II系，其中：

   所述联锁I系和联锁II系均包括两个硬件相同且采用任务级同步的CPU，该两个CPU分别运行由不同的编译器编译相同程序代码产生的可执行文件。
2. 根据权利要求1所述的计算机联锁结构，其中：所述两个CPU分别运行由Visual C++和Watcom C编译器编译相同程序代码产生的可执行文件。
3. 根据权利要求1或2所述的计算机联锁结构，其中：还包括IO子系统、控显和维护子系统，所述联锁子系统接收来自控显子系统人机对话层操作信息和IO子系统采集的设备状态信息，进行安全逻辑运算，通过IO子系统对设备进行实际控制。
4. 根据权利要求1-3任一所述的计算机联锁结构，其中：所述IO子系统包含相同的IO I系和IO II系，所述IO I系和IO II系分别与所述联锁I系和联锁II系连接；

   所述IO I系和IO II系均包括两个硬件相同的CPU，该两个CPU分别运行两套不同的软件。
5. 根据权利要求1-3任一所述的计算机联锁结构，其中：所述IO子系统包含相同的IO I系和IO II系，所述IO I系和IO II系分别与所述联锁I系和联锁II系连接；

   所述IO I系和IO II系均包括两个硬件异构的CPU，该两个CPU分别运行两套不同的软件。
6. 根据权利要求1-5任一所述的计算机联锁结构，其中：所述IO I系和IO II系均包括输入采集单元，所述输入采集单元通过动态发码方式采集静态直流电压，由输入采集机笼内的两个独立CPU单元分别进行采集，然后发送至联锁子系统并由其对采集结果进行比较，比较一致认为采集数据有效，否则采集数据无效，构成二取二故障-安全采集。
7. 根据权利要求1-6任一所述的计算机联锁结构，其中：所述IO I系和IO II系均还包括输出单元，采用双断控制，动态和静态两路驱动串联输出，静态和动态输出分别由输出机笼内的两个独立的CPU单元控制，当任意一路输出无效时，总输出则为无效，构成硬件 相异的二取二故障-安全输出。
8. 根据权利要求1-3任一所述的计算机联锁结构，其中：所述IO子系统功能执行单元直接控制设备为车站机械室内重力继电器，通过不同继电器电路的组合，对室外信号设备进行控制。
9. 一种基于以上权利要求1-8任一项所述计算机联锁结构的冗余切换方法，包括进行主从冗余切换的第一系统和第二系统，其中，包含如下步骤：

   第一系统(第二系统)启动，进入待机状态，依据第二系统(第一系统)当前工作模式、双系通信状态、双系时钟同步状态决定进入逻辑主用模式或逻辑备用模式；

   在每个周期接收到同步信息以及同步相互确认信息，如果在相互确认过程中发现第一系统或第二系统出现严重不可用故障，则发生故障的该系停机，若该系为主系，则主从倒切；

   若主系健康程度差于从系，则两系进行主从倒切；

   第一系统和第二系统进行数据比较和相互确认一致后输出相同数据。
10. 根据权利要求9所述的计算机联锁结构冗余切换方法，其中：当所述从系健康程度高于主系，则从系切换至主系，原主系进入待机，如果待机后与当前主系同步且系统无故障，则原主系切换至从系。
11. 根据权利要求9或10所述的计算机联锁结构冗余切换方法，其中：所述从系在符合以下条件之一进入待机状态：与主系不同步；从系健康程度比主系差；主从系均有故障，且故障程度相同。
12. 根据权利要求10或11所述的计算机联锁结构冗余切换方法，其中：所述主系或从系进入待机状态后，若与他系失去通信或周期开始中断，则切换至主系；若发生严重不可用故障则停机。
13. 根据权利要求9-12任一所述的计算机联锁结构冗余切换方法，其中：所述主系或从系进入停机状态重启后软件运行，则重新进入待机状态。

Images