WO2020192029A1

WO2020192029A1 - 一种设备主备系同步和热备方法及系统

Info

Publication number: WO2020192029A1
Application number: PCT/CN2019/105214
Authority: WO
Inventors: 张友兵; 陈志强; 王建敏; 张国振; 于晓娜
Original assignee: 北京全路通信信号研究设计院集团有限公司
Priority date: 2019-03-27
Filing date: 2019-09-10
Publication date: 2020-10-01
Also published as: HRP20221374T1; EP3748439A4; EP3748439B1; HUE061141T2; EA202091840A1; CN109946956B; RS63768B1; EP3748439A1; CN109946956A

Abstract

一种设备主备系同步和热备方法及系统，在主系和备系同步情况下，如果主系故障，备系升级为主系，列车无需停车和其他特殊操作，即可实现无缝安全切换；当备系进入故障状态，从而主系和备系失去同步。通过硬件平台保证主系和备系同步上电，软件平台保证主系和备系的工作状态和外部输入同步，实现主系和备系热备，且主系输出控制命令的状况下，备系不输出控制命令，从而在主系和备系同步情况下，如果主系故障，备系升级为主系，即可实现无缝安全切换。

Description

一种设备主备系同步和热备方法及系统

本申请要求在2019年03月27日在中国专利局递交的、申请号为“2019102368665”、发明名称为“一种设备主备系同步和热备方法及系统”，的优先权，其全部内容通过引用结合在本申请中。

技术领域

本公开属于自动化技术领域，特别涉及一种设备主备系同步和热备方法及系统。

背景技术

高速铁路车载设备是保证列车行车安全的关键设备，从地面设备接收线路条件、行车许可等控制信息，并依据列车牵引制动特性，生成目标距离连续速度模式曲线，保证列车不超过允许速度曲线，尽量在最大运行速度时，保证列车安全运行，减小列车运行时间，避免出现列车晚点的状况。

如果车载设备没有采用热备技术，一旦车载设备故障，依据故障导向安全原则，列车将制动停车，停车后，如果重启车载设备，故障能够恢复，列车可以在车载设备的监督下继续运行，只是由于停车降低了运行效率，导致列车晚点。停车后，重启车载设备，故障依旧不能恢复，将严重影响运行效率，导致列车严重晚点，严重影响运行效率。因此，车载设备设计成双系热备，一系发生故障，另一个可以继续控车，提高了系统的可用性和安全性，尽量增加两系之间的联系效果，保证系统的运行的持续性，进而提高了整个系统的运行效率。

现有的车载设备如果出现故障，对故障进行排除的话，则需要耗费大量时间，进而导致列车晚点的状况，从而影响列车运行效率。

发明内容

针对上述问题，本公开提供一种设备主备系同步和热备方法，包括以下步骤：

硬件平台保证主系和备系的周期同步；

应用软件保证主系和备系的工作状态和外部输入同步；

应用软件保证主系输出控制命令，备系不输出控制命令；

在主系和备系同步情况下，主系故障，备系升级为主系；

在备系进入故障状态，主系和备系失去同步。

进一步地，所述主系和备系使用相同的硬件平台和应用软件，硬件平台保证主系和备系同步上电，且周期同步。

进一步地，所述硬件平台保证主系和备系的周期号相同，避免主系和备系失去同步。

进一步地，所述主系和备系的应用软件至少包含一个高优先级的快任务，以及一个低优先级的慢任务。

进一步地，所述快任务执行周期应小于慢任务执行周期，保证快任务在主系和备系之间传递信息的及时性。

进一步地，所述主系的快任务和慢任务之间共享主系的工作状态和外部输入信息，所述备系的快任务和慢任务之间共享备系的工作状态和外部输入信息。

进一步地，所述主系和备系的快任务用于快速传递工作状态和外部输入信息，并判断出主系和备系均收到的外部输入信息。

进一步地，所述主系和备系的慢任务执行应用软件逻辑，每周期使用快任务判断出主系和备系均收到的外部输入信息，实现主系和备系外部输入同步。

进一步地，所述快任务和慢任务均包括等待同步阶段和已同步阶段。

进一步地，所述主系的快任务向备系的快任务发送请求帧或空闲帧均包含主系的工作状态和外部输入信息。

进一步地，所述外部输入信息较短的状况下，主系向备系直接传递外部输入信息原始数据，备系对比主系和备系收到的原始数据；所述外部输入信息过长的状况下，主系向备系传递和对比外部输入信息的特征值。

进一步地，所述主系的慢任务和备系的慢任务等待同步状态：挂起应用软件主逻辑，等待快任务给出主系和备系的同步结果以及已同步的外部输入信息；

所述主系的慢任务和备系的慢任务已同步状态：执行应用软件主逻辑，并使用已同步的外部输入信息，保证主系和备系外部输入同步。

进一步地，所述主系的快任务和备系的快任务等待同步状态：主系的快任务向备系的快任务发送带有状态信息和外部输入信息的请求帧，备系的快任务使用状态信息，对比并反馈已同步的外部输入信息，备系的快任务向主系的快任务反馈同步判断结果；

所述主系的快任务和备系的快任务已同步状态：主系的快任务向备系的快任务发送带有状态信息和外部输入信息的空闲帧，备系的快任务使用状态信息，并存储外部输入信息。

本公开还提供一种设备主备系同步和热备系统，包括周期模块和同步模块，其中，

所述周期模块：用于保证主系和备系的周期同步；

所述同步模块：用于保证主系和备系的工作状态和外部输入同步，并且主系输出控制命令，备系不输出控制命令。

进一步地，所述周期模块保证主系和备系同步上电，且主系周期与备系周期的周期号对应同步，所述同步模块保证主系和备系的同步运行。

本公开的硬件平台保证主系和备系同步上电，软件平台保证主系和备系的工作状态和外部输入同步，实现主系和备系热备，且主系输出控制命令的状况下，备系不输出控制命令，从而在主系和备系同步情况下，如果主系故障，备系升级为主系，即可实现无缝安全切换。

本公开的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了主系和备系同步慢任务系统图；

图2示出了主系和备系同步快任务系统图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地说明，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

本公开提供了一种设备主备系同步和热备方法，包括以下步骤：

硬件平台保证主系和备系的周期同步；

应用软件保证主系和备系的工作状态和外部输入同步；

应用软件保证主系输出控制命令，备系不输出控制命令；

在主系和备系同步情况下，如果主系故障，备系升级为主系，列车无需停车和其他特殊操作，即可实现无缝安全切换；

当备系进入故障状态，从而主系和备系失去同步。

主系和备系应用软件至少包括快任务和慢任务，其中快任务为高优先级的，慢任务为低优先级的，其中，

主系和备系的快任务用于快速传递工作状态信息和外部输入信息，并判断出主系和备系均收到的外部输入信息；

主系和备系的慢任务执行应用软件逻辑，每周期使用快任务判断出的主系和备系均收到的外部输入信息，实现主系和备系外部输入同步；

示例性的，主备系包括主系和备系，主系和备系应用软件包括的快任务和慢任务均为周期执行，且快任务执行周期应小于等于慢任务执行周期的1/10，保证快任务执行的迅捷效果。快任务执行周期应小于等于慢任务执行周期的1/10仅仅作为示例进行说明，并不仅限于这一种比例关系，相对慢任务，快任务执行速度快速，保证同步的及时性，避免快任务执行周期产生多余的冗余时间，从而保证快任务在主系和备系之间传递信息的及时性。对于主系和备系之间的快任务和慢任务的周期同步，其中主系的快任务和慢任务之间共享主系的工作状态信息和外部输入信息，同样，备系的快任务和慢任务之间共享备系的工作状态信息和外部输入信息。

示例性的，在高速铁路车载设备中，利用应用软件来保证主系和备系的工作状态和外部输入同步，其中工作状态包括工作等级、工作模式等状态信息。外部输入信息包括无线数据、DMI(直接媒体接口)数据、应答器、轨道电路等来自外部设备的数据。其中工作状态和外部输入信息的具体内容仅作为举例来说明列车的运行状况，并不仅限于列车这一种表述方式。

例如，工作状态和外部输入信息也能说明是电路工作的数据，用于线路检索的方式，通过主系和备系同步来辅助确认线路的工作状态。

示例性的，若主系和备系同步，主系和备系之间的快任务和慢任务周期进行，主系把状态信息发送给备系，备系使用主系的状态信息。主系将收到的外部输入信息发送给备系，备系将收到的外部输入信息同主系收到的外部输入信息进行对比，给出判断结果，确定主系和备系分别执行的主要已同步的外部输入信息。备系是主系的热备，若主系故障，备系升级为主系，备系接替主系工作，若备系故障，并不影响主系正常工作。

若主系和备系不同步，如果主系故障，备系又无法升级为主系，两系都无法控制系统正常工作，从而造成系统故障。

如图1所示，慢任务流程：主系的慢任务和备系的慢任务分为等待同步阶段和已同步阶段：

等待同步状态：每一次慢任务的周期开始，主系和备系均进入等待同步阶段。在等待同步阶段，主系和备系分别挂起各自的应用软件逻辑，等待快任务给出主系和备系是否同步结果和外部输入信息的同步结果。主系的快任务向备系的快任务发送请求帧，备系的快任务收到请求帧，使用主系的工作状态，并对比主系和备系的外部输入信息。主系和备系分别收到的外部输入信息的数量有可能不相同，以两者之间的最小数量作为对比的范围，从头开始依次进行对比，如果对比成功，备系进入已同步状态。备系的快任务向主系的快任务回复应答帧，告知主系已经同步的外部输入数据，主系的快任务收到备系的快任务的应答帧，主系也进入已同步状态。

已同步阶段：在已同步阶段，主系和备系的慢任务开始执行各自的应用软件逻辑，并只使用主系和备系都收到的外部输入信息，实现外部输入信息的同步；在已同步阶段，主系的快任务依旧按周期发送空闲帧，备系的快任务收到空闲帧，使用主系的工作状态，并存储主系的外部输入信息，用于下一周期慢任务的等待同步状态的外部输入信息的同步检查。

此外，备系对比主系和备系之间的周期号等关键信息，若主系和备系不一致，则备系认为主系和备系不同步。主系和备系同步时，主系输出控制命令，从而整个设备能够通过主系发出的控制命令进行执行，备系不输出控制命令，避免在同步状态下，备系命令影响到主系命令，避免设备出现故障的状况。

示例性的，车载设备作为举例来进行说明，并不仅限于列车内部运行的车载设备，也能用于其它类型的主系和备系同步效果，例如地铁、电脑处理器运行以及其它方面的，并不仅限于列车运行的方式。列车行驶时，主系和备系同步，则车载设备运行正常，主系和备系数据正常存储交互，列车正常行驶。在主系和备系同步的状态下，如果主系故障，备系升级为主系，控制列车运行，因为在主系和备系同步的情况下，主系和备系均接收数据，即主系和备系周期同步，且输入同步，主系输出控制命令，备系不输出控制命令。若主系出现故障，主系不输出控制命令时，备系升级为主系，备系输出控制命令，从而能够在不停车状态下实现主系和备系无缝切换，提高了系统的可用性和安全性。若在主系故障的状况下，备系也出现故障，则需要对列车进行制动停车处理，停车后，重启车载设备，如果主系和备系当中一个故障能够恢复，则列车能够在车载设备的监督下继续运行，如果主系和备系的故障都不能恢复，则会严重影响运行效率。

主系和备系不同步，主系和备系正常工作，以主系来控制列车，若主系出现故障，则备系无法升级为主系，从而导致系统故障，主系和备系不同步，主系故障后，整个系统处于故障状态，需要对故障进行排除。

如图2所示，快任务流程：主系的快任务和备系的快任务分为等待同步阶段和已同步阶段：

通过快任务，主系向备系可以发送两种帧，分别是请求帧和空闲帧，这两种帧均包含主系的工作状态信息和外部输入信息；主系发送空闲帧，备系使用主系的工作状态，备系存储主系的外部输入信息，并回复应答帧；主系发送请求帧，备系使用主系的工作状态，备系对比主系和备系之间的外部输入信息，判断主系和备系都收到的外部输入信息，并回复应答帧。

等待同步状态：主系的快任务向备系的快任务发送请求帧，备系的快任务收到请求帧，使用主系的工作状态，并对比主系和备系的外部输入信息。若主系和备系分别收到的外部输入信息的数量不相同或主系和备系分别收到的外部输入信息的数量相同，以主系和备系中的最小数量作为对比的范围，从头开始依次进行对比，若对比成功，备系进入已同步状态；若对比失败，则主系和备系不同步。备系的快任务向主系的快任务回复应答帧，告知主系已经同步的外部输入数据，主系的快任务收到备系的快任务的应答帧，主系也进入已同步状态。

如图2所示，当主系的快任务向备系的快任务发送请求帧，备系的快任务收到请求帧，使用主系的工作状态，对比并反馈已同步的外部输入信息。此时备系的快任务向主系的快任务回复应答帧，同时反馈同步判断结果，主系的快任务收到备系的快任务的应答帧，表明主系也进入已同步状态，从而主系和备系由等待同步状态变成已同步状态。

已同步状态：在已同步阶段，主系的快任务依旧按周期发送空闲帧，备系的快任务收到空闲帧，使用主系的工作状态，并存储主系的外部输入信息，用于下一周期慢任务的等待同步状态的外部输入信息的同步检查。

如图2所示，主系的快任务不断的向备系的快任务发送周期性的空闲帧，空闲帧包含状态信息和外部输入信息，备系的快任务收到空闲帧，立即使用状态信息，并存储外部输入信息。此时备系的快任务也不断的向主系的快任务发送周期性的应答帧，从而保证主系的快任务和备系的快任务的周期同步。

主系的快任务向备系的快任务发送请求帧或空闲帧，在规定时间内，主系的快任务没有收到备系的快任务的应答帧，主系认为主系和备系不同步。

在规定时间内，备系的快任务没有收到主系的快任务发送的请求帧或空闲帧，备系认为主系和备系不同步。

示例性的，主系的快任务向备系的快任务发送请求帧或空闲帧均包含主系的工作状态信息和外部输入信息。

如果外部输入信息长度很短，可以直接传递外部输入信息的原始数据，备系对比主系和备系收到的原始数据；

示例性的，备系和主系都在接收同样的外部输入信息，主系将自己收到的外部输入信息传递给备系，备系会将主系和备系分别收到的外部输入信息进行对比，以确定两系哪些输入数据已同步，使用已同步的数据，缓冲未同步数据，并对未同步的数据继续进行同步判断。

如果外部输入信息长度过长，直接传递外部输入信息的原始数据，必然会耗费很多时间，影响系统功能的正确执行和实时性；在这种情况下，可以计算并传递外部输入数据的特征值，包括但不局限于CRC(循环冗余校验)校验值，用特征值表示外部输入数据，提高主系和备系之间数据传输的实时。

示例性的，其中CRC校验值仅仅是作为传递和对比外部输入信息的一种特征值，并不仅限于CRC校验值这一种特征值数据。

当外部输入信息数据长度过长时，若直接传递外部输入信息的原始数据时，则会耗费太长的时间，而且在信息交互时，信息传递和反馈就会在传递过程中耗费时间，进而影响系统功能的正确执行和实时性。示例性的，当列车需要解体或编组时，需要改变道岔，从而能够更换运行路轨，需要对路轨进行变化时，地面联锁设备能够输出信息到电动转辙机，电动转辙机更改道岔，然后反馈信息到地面联锁设备上，若信息过长导致信息输出和反馈失败，则会导致无法控制列车变道的状况，进而进一步影响列车驼峰解体或编尾编组的状况，列车驼峰解体和编尾编组仅作为举例进行示例性说明，并不仅限于列车联锁这一种方式。并且外部输入信息长度过长时，浪费时间的同时很有可能造成信息错误的状况，可能导致列车出轨的状况发生。因此，可以将外部输入信息的数据进行压缩以及使用外部输入信息的特征值，进而仅仅通过很少特征值数据来代替外部输入数据，减小数据传输产生的误差，提高主系和备系之间数据传输的实时和准确性。

示例性的，同步数据正常状况下，同步数据的长度范围在几十到一百之间。正常状况下的同步数据长度范围仅仅作为举例件说明，并不仅限于这一种同步数据长度范围，若同步数据长度小于等于正常状况系的同步数据，那么可以直接传递和对比原始数据。若同步数据有长度大于正常数据的长度时，则传递数据传输不仅耗费通道，而且占用很多时间，会影响实时性，进而通过传输同步数据的特征值，达到快捷效果。

主系和备系周期运行：主系和备系使用相同的硬件平台和应用软件，硬件平台保证主系和备系同步上电，且周期同步，即主系和备系上电运行后，主系和备系周期号从1依次向上累加，每周期加1，作为主系和备系各自的周期号，硬件平台保证主系和备系的周期号相同，否则认为主系和备系失去同步。

本公开还提供了一种设备主备系同步和热备系统，包括周期模块和同步模块，周期模块：主系和备系的快任务和慢任务均为周期执行，且快任务执行周期应小于慢任务执行周期，避免快任务与慢任务产生周期冲突的状况；

同步模块：主系和备系之间的快任务和慢任务周期进行，并且主系和备系之间的数据相互热备进行，主系信息与备系信息通过交互的方式进行，主系输出控制命令，备系不输出控制命令。

示例性的，硬件平台保证主系和备系同步上电，软件平台保证主系和备系的工作状态和外部输入同步，实现主系和备系热备，且主系输出控制命令的状况下，备系不输出控制命令，从而在主系和备系同步情况下，如果主系故障，备系升级为主系，即可实现无缝安全切换。

尽管参照前述实施例对本公开进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围。

Claims

一种设备主备系同步和热备方法，其中，包括以下步骤：

硬件平台保证主系和备系的周期同步；

应用软件保证主系和备系的工作状态和外部输入同步；

应用软件保证主系输出控制命令，备系不输出控制命令；

在主系和备系同步情况下，主系故障，备系升级为主系；

在备系进入故障状态，主系和备系失去同步。
根据权利要求1所述的设备主备系同步和热备方法，其中，所述主系和备系使用相同的硬件平台和应用软件，硬件平台保证主系和备系同步上电，且周期同步。
根据权利要求2所述的设备主备系同步和热备方法，其中，所述硬件平台保证主系和备系的周期号相同，避免主系和备系失去同步。
根据权利要求1-3任意一项所述的设备主备系同步和热备方法，其中，所述主系和备系的应用软件至少包含一个高优先级的快任务，以及一个低优先级的慢任务。
根据权利要求4所述的设备主备系同步和热备方法，其中，所述快任务执行周期应小于慢任务执行周期，保证快任务在主系和备系之间传递信息的及时性。
根据权利要求5所述的设备主备系同步和热备方法，其中，所述主系的快任务和慢任务之间共享主系的工作状态和外部输入信息，所述备系的快任务和慢任务之间共享备系的工作状态和外部输入信息。
根据权利要求6所述的设备主备系同步和热备方法，其中，所述主系和备系的快任务用于快速传递工作状态和外部输入信息，并判断出主系和备系均收到的外部输入信息。
根据权利要求6所述的设备主备系同步和热备方法，其中，所述主系和备系的慢任务执行应用软件逻辑，每周期使用快任务判断出的主系和备系均收到的外部输入信息，实现主系和备系外部输入同步。
根据权利要求5-8任意一个所述的设备主备系同步和热备方法，其中，所述快任务和慢任务均包括等待同步阶段和已同步阶段。
根据权利要求9所述的设备主备系同步和热备方法，其中，所述主系的快任务向备系的快任务发送请求帧或空闲帧均包含主系的工作状态和外部输入信息。
根据权利要求10所述的设备主备系同步和热备方法，其中，所述外部输入信息较短的状况下，主系向备系直接传递外部输入信息原始数据，备系对比主系和备系收到的原始数据；所述外部输入信息过长的状况下，主系向备系传递和对比外部输入信息的特征值。
根据权利要求9所述的设备主备系同步和热备方法，其中，所述主系的慢任务和备系的慢任务等待同步状态：挂起应用软件主逻辑，等待快任务给出主系和备系的同步结果以及已同步的外部输入信息；

所述主系的慢任务和备系的慢任务已同步状态：执行应用软件主逻辑，并使用已同步的外部输入信息，保证主系和备系外部输入同步。
根据权利要求9所述的设备主备系同步和热备方法，其中，所述主系的快任务和备系的快任务等待同步状态：主系的快任务向备系的快任务发送带有状态信息和外部输入信息的请求帧，备系的快任务使用状态信息，对比并反馈已同步的外部输入信息，备系的快任务向主系的快任务反馈同步判断结果；

所述主系的快任务和备系的快任务已同步状态：主系的快任务向备系的快任务发送带有状态信息和外部输入信息的空闲帧，备系的快任务使用状态信息，并存储外部输入信息。
一种设备主备系同步和热备系统，其中，包括周期模块和同步模块，其中，

所述周期模块：用于保证主系和备系的周期同步；

所述同步模块：用于保证主系和备系的工作状态和外部输入同步，并且主系输出控制命令，备系不输出控制命令。
根据权利要求14所述的设备主备系同步和热备系统，其中，所述周期模块保证主系和备系同步上电，且主系周期与备系周期的周期号对应同步，所述同步模块保证主系和备系的同步运行。