周 榮，郭 榮，嚴(yán) 敢，李 旭

(1.北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；2.北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

1 概述

現(xiàn)有的列車自動(dòng)運(yùn)行系統(tǒng)（ATO）雙系熱備結(jié)構(gòu)主要包括主系、備系、倒切（管理）單元。雙系熱備的切換方法為當(dāng)主系故障時(shí)，倒切單元切除主系輸出，備系升級(jí)為主系。但存在當(dāng)主系、備系與倒切單元的通信均故障而其他功能正常時(shí)，倒切（管理）單元切除主備系的輸出并退出ATO，或者當(dāng)切除單元本身通信故障時(shí)也會(huì)影響系統(tǒng)功能，從而導(dǎo)致退出ATO。本文深入研究一種應(yīng)用于ATO的雙系熱備切換方法及系統(tǒng)，無(wú)需增加倒切（管理）單元，通過(guò)雙系熱備之間的功能實(shí)現(xiàn)主備系切換，從而提升列車自動(dòng)運(yùn)行系統(tǒng)的可靠性。

2 ATO結(jié)構(gòu)

如圖1 所示，ATO 主要包括本系邏輯單元與對(duì)系邏輯單元、輸出單元、輸入單元、通信單元、接口單元、記錄單元以及電源單元，所有單元都連接至接口單元，接口單元包括2 路電源總線、互為冗余的2 路通信總線、板卡標(biāo)識(shí)。

圖1 列車自動(dòng)運(yùn)行系統(tǒng)結(jié)構(gòu)圖Fig.1 Structure diagram of automatic train operation system

其中，1）本系邏輯單元與對(duì)系邏輯單元：用于實(shí)現(xiàn)雙系熱備切換方法；

2）輸出單元：用于實(shí)現(xiàn)本系邏輯單元與對(duì)系邏輯單元對(duì)外之間的輸出；

3）通信單元：用于實(shí)現(xiàn)本系邏輯單元與對(duì)系邏輯單元對(duì)外之間的通信；

4）接口單元：用于實(shí)現(xiàn)本系邏輯單元、對(duì)系邏輯單元分別與輸出單元、通信單元之間的輸出、通信；

5）電源單元：用于實(shí)現(xiàn)對(duì)所述自動(dòng)運(yùn)行系統(tǒng)供電；

6）輸入單元：用于實(shí)現(xiàn)所述自動(dòng)運(yùn)行系統(tǒng)的輸入采集；

7）記錄單元：用于實(shí)現(xiàn)所述自動(dòng)運(yùn)行系統(tǒng)的數(shù)據(jù)記錄。

3 雙系熱備系統(tǒng)結(jié)構(gòu)

雙系熱備系統(tǒng)由互為冗余的本系邏輯單元和對(duì)系邏輯單元組成，如圖2 所示，其中，本系邏輯單元與對(duì)系邏輯單元均包括：

1) 主備系競(jìng)爭(zhēng)模塊：用于本系邏輯單元與對(duì)系邏輯單元進(jìn)行主備系競(jìng)爭(zhēng)；

2) 信號(hào)發(fā)生模塊：用于本系邏輯單元或?qū)ο颠壿媶卧?jìng)爭(zhēng)為主系時(shí)，生成、輸出主系狀態(tài)信號(hào)；

3) 板卡標(biāo)識(shí)獲取模塊：用于獲取本系邏輯單元、對(duì)系邏輯單元的板卡識(shí)別號(hào)；

4）第一通信模塊：用于實(shí)現(xiàn)本系邏輯單元和對(duì)系邏輯單元與對(duì)系之間的通信；

5）第二通信模塊：用于實(shí)現(xiàn)本系邏輯單元和對(duì)系邏輯單元對(duì)外之間的輸出與通信；

6）自檢模塊：用于本系邏輯單元與對(duì)系邏輯單元進(jìn)行自檢；

7）故障處理模塊：用于本系邏輯單元和對(duì)系邏輯單元切除輸出與通信，并執(zhí)行宕機(jī)。

4 雙系熱備切換方法

圖2 邏輯單元內(nèi)部結(jié)構(gòu)圖Fig.2 Internal structure diagram of logic unit

本研究提出應(yīng)用于ATO 的雙系熱備切換的方法，如圖3 所示。首先，本系邏輯單元與對(duì)系邏輯單元進(jìn)行主備系競(jìng)爭(zhēng)；其次，本系邏輯單元或?qū)ο颠壿媶卧?jìng)爭(zhēng)為主系時(shí)，控制輸出與通信，并輸出主系狀態(tài)信號(hào)。競(jìng)爭(zhēng)為主系的邏輯單元控制輸出單元與通信單元，實(shí)現(xiàn)ATO 的運(yùn)行控制。

圖3 列車自動(dòng)運(yùn)行系統(tǒng)的雙系熱備切換方法圖Fig.3 Diagram of dual-system hot standby switching method of automatic train operation system

在主備系競(jìng)爭(zhēng)之前，本系邏輯單元與對(duì)系邏輯單元分別獲取本系的以下一種或多種運(yùn)行信息。

1) 本系邏輯單元與對(duì)系邏輯單元分別獲取各自的板卡識(shí)別號(hào)，用于自動(dòng)運(yùn)行系統(tǒng)區(qū)分本系邏輯單元和對(duì)系邏輯單元。

2) 本系邏輯單元與對(duì)系邏輯單元分別獲取與對(duì)系的通信信息，包括主備狀態(tài)、平臺(tái)同步周期次數(shù)、應(yīng)用任務(wù)周期、應(yīng)用周期同步數(shù)據(jù)。通過(guò)獲取對(duì)系的通信信息,既能使雙系熱備的之間的通信信息保持一致，又可以檢測(cè)雙系熱備間的通信是否正常，保證雙系熱備工作時(shí)的可靠性。

3) 本系邏輯單元與對(duì)系邏輯單元對(duì)本系進(jìn)行自檢，包括FRAM 自檢、Flash 自檢、RTC 讀寫(xiě)自檢、對(duì)外通信初始化自檢、與對(duì)系通信初始化自檢。當(dāng)本系邏輯單元和/或?qū)ο颠壿媶卧赐ㄟ^(guò)自檢時(shí)，則該邏輯單元切斷本系與對(duì)外之間的通信、輸出以及與對(duì)系之間的通信，并執(zhí)行宕機(jī)；本系邏輯單元和/或?qū)ο颠壿媶卧ㄟ^(guò)自檢時(shí)，則本系邏輯單元與對(duì)系邏輯單元進(jìn)行主備系競(jìng)爭(zhēng)。

本系邏輯單元與對(duì)系邏輯單元的初始化狀態(tài)均為備系。首先，判斷本系邏輯單元的主備系狀態(tài)，再判斷對(duì)系邏輯單元的主備系狀態(tài)。具體的，本系邏輯單元與對(duì)系邏輯單元的主備系狀態(tài)包括以下3 種。

第一種，本系邏輯單元與對(duì)系邏輯單元均為備系，本系邏輯單元與對(duì)系邏輯單元通過(guò)板卡識(shí)別號(hào)進(jìn)行主備系競(jìng)爭(zhēng)。其中，默認(rèn)本系邏輯單元的板卡識(shí)別號(hào)對(duì)應(yīng)主系，則本系邏輯單元為主系。當(dāng)本系邏輯單元和對(duì)系邏輯單元插入背板時(shí)，通過(guò)不同管腳接地對(duì)本系邏輯單元和對(duì)系邏輯單元進(jìn)行區(qū)分，比如本系的板卡識(shí)別號(hào)為1110，對(duì)系的板卡識(shí)別號(hào)為1101。系統(tǒng)啟動(dòng)后，當(dāng)本系邏輯單元的板卡識(shí)別號(hào)為1110 時(shí)，則系統(tǒng)默認(rèn)本系邏輯單元為主系。

第二種，本系邏輯單元為備系，對(duì)系邏輯單元不為備系時(shí)，則本系邏輯單元通過(guò)判斷對(duì)系邏輯單元是否為主系進(jìn)行主備系競(jìng)爭(zhēng)，包括以下幾種情況。

1) 對(duì)系邏輯單元為主系，則本系邏輯單元為備系。

2) 對(duì)系邏輯單元不為主系，則本系邏輯單元檢測(cè)與對(duì)系邏輯單元之間的通信是否為中斷：

若通信未中斷，則本系邏輯單元繼續(xù)獲取與對(duì)系的之間的通信信息；

若通信中斷，則本系邏輯單元檢測(cè)對(duì)系邏輯單元是否輸出主系狀態(tài)信號(hào)：若檢測(cè)到主系狀態(tài)信號(hào)，則本系邏輯單元為備系；若未檢測(cè)到主系狀態(tài)信號(hào)，則本系邏輯單元升級(jí)為主系。

第三種，本系邏輯單元為主系，則本系邏輯單元通過(guò)判斷對(duì)系邏輯單元是否為主系進(jìn)行主備系競(jìng)爭(zhēng)，包括以下兩種情況：

1) 對(duì)系邏輯單元為主系，則所述雙系熱備為故障狀態(tài)，所述本系邏輯單元與對(duì)系邏輯單元均執(zhí)行宕機(jī)；

2) 對(duì)系邏輯單元不為主系，則本系邏輯單元為主系。

當(dāng)本系邏輯單元或?qū)ο颠壿媶卧鳛橹飨担野l(fā)生故障時(shí)，則主系執(zhí)行宕機(jī)并切除輸出與通信，同時(shí)，備系檢測(cè)主系是否輸出主系狀態(tài)信號(hào)，若檢測(cè)不到主系狀態(tài)信號(hào)，備系升級(jí)為主系，控制輸出與通信，并輸出主系狀態(tài)信號(hào)。

5 結(jié)束語(yǔ)

本研究的雙系熱備僅通過(guò)本系邏輯單元與對(duì)系邏輯單元的邏輯判斷實(shí)現(xiàn)雙系熱備的切換方法，提高了雙系熱備切換的可靠性，進(jìn)一步，本系邏輯單元與備系邏輯單元均能夠生成主系狀態(tài)信號(hào)，作為主系的邏輯單元輸出主系狀態(tài)信號(hào)，備系或宕機(jī)的邏輯單元?jiǎng)t不輸出主系狀態(tài)信號(hào)，從而當(dāng)雙系熱備之間的通信狀態(tài)出現(xiàn)異常時(shí)，通過(guò)檢測(cè)主系狀態(tài)信號(hào)進(jìn)一步確定本系邏輯單元與備系邏輯單元的主備系關(guān)系，使得雙系熱備的切換方法更具有邏輯性，提高了雙系熱備切換的安全性。