WO2022100232A1

WO2022100232A1 - 一种分布式车载安全计算机系统

Info

Publication number: WO2022100232A1
Application number: PCT/CN2021/116147
Authority: WO
Inventors: 罗显光; 孙俊勇; 许晋荣; 曾军; 陈建林; 刘宏达; 杜求茂
Original assignee: 中车株洲电力机车有限公司
Priority date: 2020-11-13
Filing date: 2021-09-02
Publication date: 2022-05-19
Also published as: CN112395236A

Abstract

本发明公开了一种分布式车载安全计算机系统，包括结构和功能完全相同的二取二结构的两套安全计算机，两套安全计算机之间通过主备切换板相连，且两套安全计算机之间通过通信总线实现数据同步；主备切换板用于根据两套安全计算机的工作数据和设定的逻辑，控制两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，或者控制两套安全计算机中的两套均工作在备系状态；工作在主系状态是指安全计算机用于对外接收和输出数据，工作在备系状态是指安全计算机仅用于对外接收数据而不用于对外输出数据。本发明具备小型化、高性能、高安全、安装配置灵活的优点。

Description

一种分布式车载安全计算机系统

技术领域

本发明特别涉及一种分布式车载安全计算机系统。

背景技术

随着无线通信、计算机等技术的快速发展，轨道交通车辆的智能化、自主化水平也越来越高，对传统安全计算机的功能和性能提出了更高的要求。

在传统信号领域，主要由地面设备进行计算，车载安全计算机作为执行单元实现自动运行控制。例如在运行过程中，车辆的车载安全计算机将自身状态位置等信息发送给地面设备，地面设备不仅接收该车辆自身状态位置信息，还接收该地面设备管理的所有车辆的信息，根据这些信息计算后反馈信息(例如限速)给该车辆的车载安全计算机，车载安全计算机再根据反馈信息(例如限速)控制车辆运行，每个控制周期都存在车辆到地面设备以及地面设备到车辆的信息交互，由于信息交互路径长，导致信息交互时间长，影响交互效率，例如交互效率低可能导致车辆不能及时根据限速信息调整其运行。同时，单台地面设备管理多台车载安全计算机，例如单台地面设备最多管理10台车载安全计算机，当多辆轨道交通车辆同时处于运行状态时，单台地面设备在进行计算时需要根据该地面设备所管理的且在运行的所有轨道交通车辆发送的信息进行，例如地面设备所管理的轨道交通车辆中有8辆处于运行状态，则在每个控制周期地面设备均需要根据8辆轨道交通车辆发送的信息来计算，计算量大，影响计算效率，从而影响反馈信息的反馈时间，进一步影响交互效率。

此外，传统的车载安全计算机一般采用6U及以上的单机箱设计，机械尺寸较大，不便于车载安全计算机的灵活配置和功能扩展，特别是有轨电车，其空间非常小，对车载安全计算机的配置和扩展影响更甚。

因此，需要一种小型化、高性能、高安全、安装配置灵活的车载安全计算机系统，以满足车辆日益增加的智能化需求。

发明内容

本发明的目的在于，针对上述现有技术中因地面设备与车载安全计算机信息交互路径长导致信息交互效率低的问题，以及车载安全计算机系统体积大影响其配置和功能扩展的问题，提供一种分布式车载安全计算机系统，具备小型化、高性能、高安全、安装配置灵活的优点。

为解决上述技术问题，本发明所采用的技术方案是：

一种分布式车载安全计算机系统，其特点是包括结构和功能完全相同的二取二结构的两套安全计算机，两套安全计算机之间通过主备切换板相连，且两套安全计算机之间通过通信总线实现数据同步；

其中，主备切换板用于根据两套安全计算机的工作数据和设定的逻辑，控制两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，或者控制两套安全计算机中的两套均工作在备系状态；其中，工作在主系状态是指安全计算机用于对外接收和输出数据，工作在备系状态是指安全计算机仅用于对外接收数据而不用于对外输出数据。

本发明中，在每个控制周期，车辆的车载安全计算机系统只需要接收该车辆前、后相邻车辆的数据，并根据前后相邻车辆的数据和自身数据进行计算，再根据计算结果直接控制该车辆的运行，在每个运行控制周期系统与地面设备均无信息交互，系统仅与其前后相邻车辆进行信息交互，大大缩短了信息交互路径，提高了信息交互效率，使车辆能及时调整其运行状态，避免了安全事故的发生；同时，相较于地面设备需要同时计算多辆车辆发送的信息，本发明系统仅需要计算前后相邻车辆的数据，大大降低了数据量，从而降低了计算量，提高了计算效率，进一步提高了交互效率，使车辆更加及时调整其运行状态。

作为一种优选方式，对于两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，两套安全计算机之间的数据同步规则包括：

两套安全计算机之间互相发送心跳帧，若处于备系状态的安全计算机根据心跳帧判断自身的数据状态不同于处于主系状态的安全计算机的数据状态，则处于备系状态的安全计算机发送同步请求帧至处于主系状态的安全计算机，处于主系状态的安全计算机接收到同步请求帧后即发送同步数据至处于备系状态的安全计算机。

作为一种优选方式，每一套安全计算机均包括两块主控板、一块表决板、至少一块IO板和若干通信板；

针对单套安全计算机，两主控板相连以用于实现单机内的数据同步，所述主控板、IO板、通信板均与所述表决板相连，所述表决板与主备切换板相连；两套安全计算机的表决板之间通过通信总线相连。

作为一种优选方式，对于工作在主系状态的安全计算机，两主控板在进行同步数据比较之后并判断两主控板的同步数据一致的情况下，两主控板的同步数据通过表决板输出至工作在备系状态的安全计算机。

作为一种优选方式，对于工作在备系状态的安全计算机，判断两主控板接收到的数据一致的情况下，两主控板才进行数据同步。

作为一种优选方式，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑包括：主备切换板在接收到两套安全计算机在上电后发送的电平信号后，根据获得的两套安全计算机发送的电平信号的先后顺序，锁定先发送电平信号的安全计算机的工作状态为主系状态，锁定后发送电平信号的安全计算机的工作状态为备系状态；两套安全计算机通过从主备切换板回采的信号确定自身的工作状态。

作为一种优选方式，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑包括：当处于主系状态的安全计算机出现故障并停止向主备切换板发送电平信号时，主备切换板将原本处于主系状态的安全计算机的工作状态锁定为备系状态，并将原本处于备系状态的安全计算机的工作状态锁定为主系状态；两套安全计算机通过从主备切换板回采的信号确定自身的工作状态。

作为一种优选方式，所述安全计算机：用于在接收到主备切换板发送的高电平信号时，工作在主系状态；用于在接收到主备切换板发送的低电平信号时，工作在备系状态；

主备切换板控制安全计算机工作在主系状态或备系状态的逻辑还包括：

若原本处于备系状态的安全计算机回采到主备切换板发送的高电平信号，且两套安全计算机之间的数据同步，则原本处于备系状态的安全计算机切换至主系状态，原本处于主系状态的安全计算机切换至备系状态；若原本处于备系状态的安全计算机回采到主备切换板发送的高电平信号，但两套安全计算机之间的数据不同步，则两套安全计算机均进入备系状态；若两套安全计算机均出现故障，则两套安全计算机均进入备系状态。

作为一种优选方式，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑还包括：

针对单套安全计算机，若两个主控板在连续N个周期内的同步时长均超过设定的运算周期，则在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统；

针对单套安全计算机，若一主控板在连续N个周期内均未收到另一主控板的有效数据，则在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统。

作为一种优选方式，针对单套安全计算机，还设有硬件看门狗，在喂狗失败时，则在本套安全计算机处于主系状态时降级为备系状态，并释放动态电路且将另一套安全计算机升级为主系状态；在本套安全计算机处于备系状态时重启系统。

与现有技术相比，本发明具有以下有益效果：

1、本发明车载安全计算机系统只需要接收相邻车辆的数据，无车辆与地面设备之间的信息交互，信息交互路径短，信息交互效率高；同时根据接收的数据进行计算时数据量少，计算速度快，进一步提高了交互效率，使车辆能及时调整运行状态，避免了安全事故发生。

2、本发明车载安全计算机系统由两套分布的二取二安全计算机组成，两套安全计算机可以采用集中式机柜安装的方式，也可以采用分布式的安装方式，可以根据不同的车辆情况灵活安装，具备小型化、安装配置灵活的优点。

3、本发明两套安全计算机之间通过独立的主备切换板进行主备切换，保证在任意时刻只有一套安全计算机处于主系状态，并能根据两套安全计算机的工作数据切换主系状态和备系状态，性能和安全性高。

附图说明

图1为本发明的组合架构图。

图2为本发明的结构框图。

图3为单套二取二结构的安全计算机的架构图。

图4为两套安全计算机的主备选择流程图。

图5为两套安全计算机的主备切换流程图。

图6为单套安全计算机的数据流图。

具体实施方式

如图1至图3所示，本发明的分布式车载安全计算机系统包括结构和功能完全相同的二取二结构的两套安全计算机A和B，两套安全计算机之间通过主备切换板相连，且两套安全计算机之间通过通信总线实现数据同步。

主备切换板用于根据两套安全计算机的工作数据和设定的逻辑，控制两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，或者控制两套安全计算机中的两套均工作在备系状态；其中，工作在主系状态是指安全计算机用于对外接收和输出数据，工作在备系状态是指安全计算机仅用于对外接收数据而不用于对外输出数据。本实施例中，对外是指分布式车载安全计算机系统以外。

如图2所示，每一套安全计算机均包括两块主控板、两块110V或24V的电源板、一块表决板、至少一块IO板和若干通信板；电源板根据具体的安装载体选择不同的电压等级，比如地铁列车选择110VDC，有轨电车选择24VDC，无轨电车选择24VDC，实际安装需要两路独立供电；通信板包括MVB通信板、CAN+485通信板、以太网通信板，可以根据具体情况选择MVB通信板、CAN+485通信板、以太网通信板，同时根据实际的数字量输入输出需求配置合适数量的IO模块，具有很强的灵活性。

如图3所示，针对单套安全计算机，两主控板相连以用于实现单机内的数据同步，主控板、IO板、通信板均与表决板相连，表决板与主备切换板相连；两套安全计算机的表决板之间通过通信总线相连，即表决板与主备切换板之间采用硬线连接、两套安全计算机的表决板采用通信总线的连接方式。

两套安全计算机A和B均采用独立的3U标准机箱。主备切换板为单独1U设备，或者可以采用插入式板卡形式将主备切换板集成到安全计算机A或安全计算机B中。U表示标准机箱外部尺寸单位unit的缩写，1U就是4.445cm，3U是4.445×3cm。相较于传统的6U及以上机箱设计，大大降低了机箱尺寸，便于系统的灵活配置和功能扩展。

安全计算机A、安全计算机B、主备切换板作为车载设备进行设计，可以根据项目采用一体式上下层机柜、左右并列安装的方式，也可以根据需要安装在不同车辆或不同机柜中，方便灵活，尤其适合有轨、无轨列车等安装空间较为紧张的车辆。

本发明的分布式车载安全计算机系统不仅适用于城市轨道交通车辆，例如地铁、有轨电车、无轨电车等车辆的SIL4级高安全设备要求，同时也适用车辆上其他具有安全功能需求的系统。

具体地，本发明包括以下几个部分：

(1)分布式车载安全计算机系统的架构设计

本发明的分布式车载安全计算机系统由两套分布的二取二安全计算机组成，每套独立的安全计算机称为一系，由两块主控板组成二取二结构，并包含两个冗余的电源板、一个表决板、若干IO板(根据IO点位需求配置板卡数量)和通信板(包括MVB通信板、CAN+485通信板、以太网通信板)组成。两套分布的安全计算机之间有系间同步通道和主备切换板相互联系。

本发明的分布式车载安全计算机系统结构如图1～图3所示，其具有如下特点：

a.安全计算机A和安全计算机B分别为独立3U小型化机箱，两个设备可以分布放置或者集中式放置，安装灵活，特别适合有轨电车等空间位置紧张的情况。

b.主备切换板可以作为独立设备，主要实现安全计算机A和安全计算机B的主从切换，保证在任意时刻两套安全计算机只有一个是主设备，保证了车辆运行控制的安全性。

c.安全计算机A和安全计算机B之间通过通信总线实现双机之间的数据同步，保证了车辆运行控制的安全性。

d.分布式的安全计算机系统配置灵活，应用场景多，两套安全计算机组合构成二乘二取二架构，满足高安全等级的要求(例如SIL4级)；单独的一套二取二安全计算机可以作为通用的控制平台满足车辆较低安全等级的需求(例如SIL2级)。

e.根据计算需求对主控板上的控制芯片进行选型，如果单套安全计算机主要用于计算，则选用高性能、运算能力强的控制芯片；如果单套安全计算机用于控制，则选用低功耗、低成本的控制芯片，根据单套安全计算机所要实现的功能进行主控板上控制芯片选型，既能保证功能实现，又能降低功耗和成本。

(2)两套安全计算机的同步切换

两套安全计算机之间通过通信总线进行数据同步，并且根据同步的状态进行主系状态和备系状态的切换：

a.两套安全计算机之间的数据同步规则

①当安全计算机A和安全计算机B中一套安全计算机处于主系状态、另一套安全计算机处于备系状态时，安全计算机A和安全计算机B之间周期性互相发送心跳帧，例如校验数据。

②当备系根据心跳帧发现自身的数据状态与主系的数据状态不一致时，则备系发送同步请求帧，然后主系接收到同步请求帧后发送同步的数据状态到备系，实现备系与主系之间的数据状态同步。

主系向备系同步的数据状态，首先经过主系的两个主控板进行数据状态比较，当两主控板的数据状态一致的情况下，才向备系输出数据状态。

备系对来自主系的数据状态，只有在备系的两个主控板接收到的数据状态一致的情况下，才进行数据状态的同步，保证备系的状态始终与主系数据状态一致，实现主备无间断切换。

当安全计算机A和安全计算机B均处于备系状态时，由于两者均是降级状态，均不对外输出数据，无需进行数据状态的同步。

b.两套安全计算机的主备切换逻辑

安全计算机A和安全计算机B采用冗余设备运行，安全计算机A和安全计算机B分别通过硬线连接主备切换板，并由主备切换板的互锁电路保证同一时刻只有一个安全计算机处于主系状态，包括主备工作设备选择(见图4)和主备切换(见图5)：

①安全计算机A和B上电后都向主备切换板持续发送电平信号。

②主备切换板根据获得的安全计算机A、B发送电平信号的先后顺序判断主从，先发送电平信号的安全计算机的工作状态为主系状态，后发送电平信号的安全计算机的工作状态为备系状态；并将切换状态锁定。

③安全计算机A和B的表决板分别通过硬线回采主备切换板的电信号，获得自身的主从状态，回采到高电平信号则为主系，回采到低电平信号则为备系。

④当主系检测到故障，则停止发送电平信号，主备切换板进行A、B设备的切换并锁定；同时，主系安全计算机的表决板在软件逻辑上进行主系和备系之间的工作状态切换。

⑤原工作备系回采到高电平信号，且主备的数据状态同步，则备系升级到主系状态，同时原本处于主系状态的安全计算机切换至备系状态；当备系检测到主系的数据状态不同步，则两套安全计算机均进入备系状态；若两套安全计算机均出现故障，则两套安全计算机均进入备系状态。

(3)单套安全计算机的同步表决

单套安全计算机包含两个主控板、一个表决板、若干IO板和若干通信板，其中IO板的数量根据实际应用的需要进行配置，通信板可以根据需要配置MVB通信板、CAN+RS485通信板和以太网通信板。单套计算机各板卡的数据流图如图6所示。单套安全计算机的数据同步原理如下：

a.外部数据通过通信板输入。

b.通信板通过通信总线将数据发送给表决板。

c.表决板通过通信总线将相同的数据分别发送到两个主控板。

d.两个主控板之间通过UART串行通信或者背板总线的方式进行周期性数据同步：

针对单套安全计算机，若两个主控板同步时长超过设定的运算周期，则计算超过累计时长，当两个主控板在连续N个周期内的同步时长均超过设定的运算周期时，则在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统。

针对单套安全计算机，若一主控板在连续N个周期内均未收到另一主控板的有效数据，则判断对方同步数据交互不同步，在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统。

e.两个主控板将计算处理后的数据发送到表决板，表决板采用FPGA对数据进行表决处理(比较两个主控板发送到表决板的数据是否一致)，若数据一致则将输出结果发送到通信板，进而通信板发送数据到外部系统，提高了安全性。

(4)主控板故障诊断

本发明的车载安全计算机系统的主控板在软件、硬件两个层面实现自身故障的诊断：

a.在软件层面：在软件上对非法数据、通信异常、指针越界和任务超时等故障进行判断，一旦发生故障造成两个主控板数据不一致，则主动降级，无法降级时则重启。

b.在硬件层面：在硬件上设有硬件看门狗，如果喂狗失败，则主系降级为备系状态，另一套安全计算机升级为主系状态；在主系降级的同时，释放动态电路，保证主备正常切换，其中单套安全计算机任意一个主控板释放动态电路则该套安全计算机因失去动态电路而降级。若喂狗失败，且本套安全计算机处于备系状态，则重启系统。本实施例中，动态电路是指主控板上用于产生电平信号的电路，当主系降级为备系时，释放动态电路，使原本工作在主系状态的安全计算机的主控板产生低电平(即不再发送高电平信号)，并发送给主备切换板，保证主备切换。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是局限性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护范围之内。

Claims

一种分布式车载安全计算机系统，其特征在于，包括结构和功能完全相同的二取二结构的两套安全计算机，两套安全计算机之间通过主备切换板相连，且两套安全计算机之间通过通信总线实现数据同步；其中，

主备切换板用于根据两套安全计算机的工作数据和设定的逻辑，控制两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，或者控制两套安全计算机中的两套均工作在备系状态；其中，工作在主系状态是指安全计算机用于对外接收和输出数据，工作在备系状态是指安全计算机仅用于对外接收数据而不用于对外输出数据。
如权利要求1所述的分布式车载安全计算机系统，其特征在于，对于两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，两套安全计算机之间的数据同步规则包括：

两套安全计算机之间互相发送心跳帧，若处于备系状态的安全计算机根据心跳帧判断自身的数据状态不同于处于主系状态的安全计算机的数据状态，则处于备系状态的安全计算机发送同步请求帧至处于主系状态的安全计算机，处于主系状态的安全计算机接收到同步请求帧后即发送同步数据至处于备系状态的安全计算机。
如权利要求1或2所述的分布式车载安全计算机系统，其特征在于，每一套安全计算机均包括两块主控板、一块表决板、至少一块IO板和若干通信板；

针对单套安全计算机，两主控板相连以用于实现单机内的数据同步，所述主控板、IO板、通信板均与表决板相连，所述表决板与主备切换板相连；两套安全计算机的表决板之间通过通信总线相连。
如权利要求3所述的分布式车载安全计算机系统，其特征在于，对于工作在主系状态的安全计算机，两主控板在进行同步数据比较之后并判断两主控板的同步数据一致的情况下，两主控板的同步数据通过表决板输出至工作在备系状态的安全计算机。
如权利要求3所述的分布式车载安全计算机系统，其特征在于，对于工作在备系状态的安全计算机，判断两主控板接收到的数据一致的情况下，两主控板才进行数据同步。
如权利要求1所述的分布式车载安全计算机系统，其特征在于，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑包括：

主备切换板在接收到两套安全计算机在上电后发送的电平信号后，根据获得的两套安全计算机发送的电平信号的先后顺序，锁定先发送电平信号的安全计算机的工作状态为主系状态，锁定后发送电平信号的安全计算机的工作状态为备系状态；两套安全计算机通过从主备切换板回采的信号确定自身的工作状态。
如权利要求1所述的分布式车载安全计算机系统，其特征在于，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑包括：

当处于主系状态的安全计算机出现故障并停止向主备切换板发送电平信号时，主备切换板将原本处于主系状态的安全计算机的工作状态锁定为备系状态，并将原本处于备系状态的安全计算机的工作状态锁定为主系状态；两套安全计算机通过从主备切换板回采的信号确定自身的工作状态。
如权利要求6或7所述的分布式车载安全计算机系统，其特征在于，安全计算机：用于在接收到主备切换板发送的高电平信号时，工作在主系状态；用于在接收到主备切换板发送的低电平信号时，工作在备系状态；

主备切换板控制安全计算机工作在主系状态或备系状态的逻辑还包括：

若原本处于备系状态的安全计算机回采到主备切换板发送的高电平信号，且两套安全计算机之间的数据同步，则原本处于备系状态的安全计算机切换至主系状态，原本处于主系状态的安全计算机切换至备系状态；

若原本处于备系状态的安全计算机回采到主备切换板发送的高电平信号，但两套安全计算机之间的数据不同步，则两套安全计算机均进入备系状态；

若两套安全计算机均出现故障，则两套安全计算机均进入备系状态。
如权利要求3所述的分布式车载安全计算机系统，其特征在于，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑还包括：

针对单套安全计算机，若两个主控板在连续N个周期内的同步时长均超过设定的运算周期，则在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统；

针对单套安全计算机，若一主控板在连续N个周期内均未收到另一主控板的有效数据，则在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统。
如权利要求1所述的分布式车载安全计算机系统，其特征在于，针对单套安全计算机，还设有硬件看门狗，在喂狗失败时，则在本套安全计算机处于主系状态时降级为备系状态，并释放动态电路且将另一套安全计算机升级为主系状态；在本套安全计算机处于备系状态时重启系统。