论文部分内容阅读
【摘 要】近年来,我国轨道交通行业飞速发展,轨道交通行业需求的不断增加以及新技术的提出,对网络控制系统的安全性提出了更高要求。本文设计的双主控冗余方案采用的是1oo2安全架构,同时,实现了基于以太网和RS485通信的双主控冗余切换方案,极大提高了网络控制系统的安全性、可靠性。
【关键词】主控;安全;冗余切换
引言
随着轨道交通列车控制与服务业务的多样化发展,列车通信网络对控制系统的可信性和可靠性等安全性要求不断提升。为满足需求,最直接有效的方法是对网络控制系统采用主控单元冗余技术。[1]传统的主控冗余方案一般是在单通信机制下实现1oo2的冗余架构,如基于MVB主备冗余的控制网络。这种方案只能依据主控单元是否正常工作来决定是否进行主权的切换,不能对主控单元的实际运行状态、外部获取数据及处理结果的可信度进行判断,且未提出主控单元对多通信机制(如MVB、以太网和RS485等多种通信机制并存)控制时的安全冗余方法。
本文设计一种基于以太网和RS485通信的双主控安全冗余架构,同时,两种通信机制相互监视对方主权和故障状态,实现双主控的热备冗余切换,避免了单点故障导致系统停机的问题。本设计在解决多通信机制主控冗余问题的基础上,进一步提升网络控制系统的安全性。
一、系统架构
DTECS-G600平台是中车株洲所推出的安全型列车控制与监视系统平台。该平台主要基于6U 机箱式结构,能全面承载轨道交通列车TCMS系统的安全功能应用需求。G600产品平台定位于高安全性的列车控制与监视系统(TCMS),其总体架构以中央处理单元为核心,车辆控制单元采用1oo2冗余架构,I/O信号处理单元采用2x2oo2安全计算机架构,兼顾安全与通用两个核心要素,整体功能安全等级达到SIL2。本文所设计的双主控安全冗余架构应用于G600平台中央处理单元中。
1.1.1oo2架构
正如IEC 61508-6中所述,1oo2系统由并联的两个通道组成。在正常工作期间,必须两个通道同时提出安全功能要求,系统安全功能才能得到执行。[2]任何一个通道都能够通过一种独立于另一个通道的方式获取另一个通道的状态。如图1所示。
二、双主控安全冗余架构
本文所设计的的多通信机制下1oo2D双主控安全冗余架构
安全冗余架构包含2块PU600控制板也就是2个主控单元A和B,两种通信介质,RS485总线和以太网还有挂接在RS485总线上和以太网上的PU620(IO网关板)、交换板(以太网设备)。
两块PU600控制板与机箱内IO网关板PU620挂接在同一条RS485总线上,主控单元通过RS485总线与IO网关板PU620交互IO数据;同时,两个主控单元通过以太网连接至机箱内交换板,进行双主控单元冗余交互和对外以太网通信。
在RS485总线上,主PU600控制板、热备PU600控制板与PU620(IO网关板)采用半双工的通信方式,主从应答式交互,即“请求->应答”式交互。在以太网子网中,PU600控制板与交换板以及其他以太网设备以组播形式进行交互。
通信周期为20ms,周期内依次向备PU600控制板和PU620(交换板)发送一个状态、控制和请求数据,后两者在本周期内依次立即回应一个状态和响应数据,实现子网各设备的有序通信;PU620(交换板)不会响应主PU600控制板发送的状态数据和备PU600控制板发送的所有数据,备PU600控制板监视主PU600控制板和PU620(交换板)发送的所有数据。
三、双主控冗余切换
G600安全平台采用双主控进行冗余,当任意一块主控故障时,另一块备用主能够接管机箱安全任务,提高系统的冗余性和可用性。两块主控板通过以太网单播进行交互,机箱作主的PU600板周期性的将安全相关数据计算结果发给机箱从PU600板(默认从Port A,当Port A故障时则改为Port B发送),同时机箱作为从的PU600板接收到数据后将与自身的计算结果进行比对,当一致时则从PU600板发送1个正常的应答报文;当比对的报文编号不一致时,则从PU600板发出1个重发请求报文;当编号一致但计算结果不一致时则从PU600板发送错误应答报文,这时主CPU将重新计算并发送。
双主控通过外部中断方式进行同步,在同步信号的作用下,双主控根据自身运行状态,完成身份的确认,主控板在机箱内定义三种身份,分别为机箱控制主,机箱控制备主,机箱控制主就緒三种状态。
四、总结与展望
G600平台按EN50129标准进行开发过程管控,建立了至上而下的可靠性分配与可靠性预计方法,在车载网络通信技术、平台诊断与维护技术等方面保持较高水准,在功能安全技术上更是取得突破,已经取得SIL2 DAkks证书,达到行业领先水平,经过安全认证的TCMS平台是拉开与竞争对手差距、避免同质化竞争的重要手段。
此平台是国内第1个按照SIL2级要求进行设计开发的安全TCMS平台,目前领先竞争对手2年以上,德国DB车采用的网络系统也是G600平台,这对我司进入海外市场有着非凡的意义,同样,基于G600平台的自动驾驶网络方案获得北京业主的认可,已经在北京大兴机场线项目装车上线,后续将有巨大示范效应。车辆自动驾驶趋势下,基于安全架构的网络控制系统功能越来越多,是业务扩展良机。
参考文献:
[1]CENELEC.EN50128,Railway application——communications,signalling and processing systems——software for railway control and protection system [S],2001.
[2]周夏芳.基于二乘二取二平台的通信设计[J].铁路通信信号工程技术,2014(11)59-61.
作者简介:
罗钦洋(1986-),男,江西萍乡,汉族,工程师,学士,研究方向:列车网络控制。
(作者单位:株洲中车时代电气股份有限公司)
【关键词】主控;安全;冗余切换
引言
随着轨道交通列车控制与服务业务的多样化发展,列车通信网络对控制系统的可信性和可靠性等安全性要求不断提升。为满足需求,最直接有效的方法是对网络控制系统采用主控单元冗余技术。[1]传统的主控冗余方案一般是在单通信机制下实现1oo2的冗余架构,如基于MVB主备冗余的控制网络。这种方案只能依据主控单元是否正常工作来决定是否进行主权的切换,不能对主控单元的实际运行状态、外部获取数据及处理结果的可信度进行判断,且未提出主控单元对多通信机制(如MVB、以太网和RS485等多种通信机制并存)控制时的安全冗余方法。
本文设计一种基于以太网和RS485通信的双主控安全冗余架构,同时,两种通信机制相互监视对方主权和故障状态,实现双主控的热备冗余切换,避免了单点故障导致系统停机的问题。本设计在解决多通信机制主控冗余问题的基础上,进一步提升网络控制系统的安全性。
一、系统架构
DTECS-G600平台是中车株洲所推出的安全型列车控制与监视系统平台。该平台主要基于6U 机箱式结构,能全面承载轨道交通列车TCMS系统的安全功能应用需求。G600产品平台定位于高安全性的列车控制与监视系统(TCMS),其总体架构以中央处理单元为核心,车辆控制单元采用1oo2冗余架构,I/O信号处理单元采用2x2oo2安全计算机架构,兼顾安全与通用两个核心要素,整体功能安全等级达到SIL2。本文所设计的双主控安全冗余架构应用于G600平台中央处理单元中。
1.1.1oo2架构
正如IEC 61508-6中所述,1oo2系统由并联的两个通道组成。在正常工作期间,必须两个通道同时提出安全功能要求,系统安全功能才能得到执行。[2]任何一个通道都能够通过一种独立于另一个通道的方式获取另一个通道的状态。如图1所示。
二、双主控安全冗余架构
本文所设计的的多通信机制下1oo2D双主控安全冗余架构
安全冗余架构包含2块PU600控制板也就是2个主控单元A和B,两种通信介质,RS485总线和以太网还有挂接在RS485总线上和以太网上的PU620(IO网关板)、交换板(以太网设备)。
两块PU600控制板与机箱内IO网关板PU620挂接在同一条RS485总线上,主控单元通过RS485总线与IO网关板PU620交互IO数据;同时,两个主控单元通过以太网连接至机箱内交换板,进行双主控单元冗余交互和对外以太网通信。
在RS485总线上,主PU600控制板、热备PU600控制板与PU620(IO网关板)采用半双工的通信方式,主从应答式交互,即“请求->应答”式交互。在以太网子网中,PU600控制板与交换板以及其他以太网设备以组播形式进行交互。
通信周期为20ms,周期内依次向备PU600控制板和PU620(交换板)发送一个状态、控制和请求数据,后两者在本周期内依次立即回应一个状态和响应数据,实现子网各设备的有序通信;PU620(交换板)不会响应主PU600控制板发送的状态数据和备PU600控制板发送的所有数据,备PU600控制板监视主PU600控制板和PU620(交换板)发送的所有数据。
三、双主控冗余切换
G600安全平台采用双主控进行冗余,当任意一块主控故障时,另一块备用主能够接管机箱安全任务,提高系统的冗余性和可用性。两块主控板通过以太网单播进行交互,机箱作主的PU600板周期性的将安全相关数据计算结果发给机箱从PU600板(默认从Port A,当Port A故障时则改为Port B发送),同时机箱作为从的PU600板接收到数据后将与自身的计算结果进行比对,当一致时则从PU600板发送1个正常的应答报文;当比对的报文编号不一致时,则从PU600板发出1个重发请求报文;当编号一致但计算结果不一致时则从PU600板发送错误应答报文,这时主CPU将重新计算并发送。
双主控通过外部中断方式进行同步,在同步信号的作用下,双主控根据自身运行状态,完成身份的确认,主控板在机箱内定义三种身份,分别为机箱控制主,机箱控制备主,机箱控制主就緒三种状态。
四、总结与展望
G600平台按EN50129标准进行开发过程管控,建立了至上而下的可靠性分配与可靠性预计方法,在车载网络通信技术、平台诊断与维护技术等方面保持较高水准,在功能安全技术上更是取得突破,已经取得SIL2 DAkks证书,达到行业领先水平,经过安全认证的TCMS平台是拉开与竞争对手差距、避免同质化竞争的重要手段。
此平台是国内第1个按照SIL2级要求进行设计开发的安全TCMS平台,目前领先竞争对手2年以上,德国DB车采用的网络系统也是G600平台,这对我司进入海外市场有着非凡的意义,同样,基于G600平台的自动驾驶网络方案获得北京业主的认可,已经在北京大兴机场线项目装车上线,后续将有巨大示范效应。车辆自动驾驶趋势下,基于安全架构的网络控制系统功能越来越多,是业务扩展良机。
参考文献:
[1]CENELEC.EN50128,Railway application——communications,signalling and processing systems——software for railway control and protection system [S],2001.
[2]周夏芳.基于二乘二取二平台的通信设计[J].铁路通信信号工程技术,2014(11)59-61.
作者简介:
罗钦洋(1986-),男,江西萍乡,汉族,工程师,学士,研究方向:列车网络控制。
(作者单位:株洲中车时代电气股份有限公司)