一种2oo2安全计算机平台的动态周期设计方法及系统

摘要

本发明涉及一种2oo2安全计算机平台的动态周期设计方法及系统，所述方法包括：S1，所述2oo2安全计算机平台的控制装置在发送微周期开始指令后，开始进行微周期时限的计时；S2，当在所述微周期时限内接收到微周期完成的信号后，结束所述微周期，并开始下一个微周期。该方法可实现安全平台设备周期自动调整、实时故障处理、周期循环自校验等特点，在保证周期循环的正确性的同时极大地提高了设备处理速度。

说明书

技术领域

本发明涉及列车控制技术领域，尤其是涉及一种2oo2安全计算机 平台的动态周期设计方法及系统。

背景技术

目前的轨道交通控制系统中一般主要包含车载控制器、区域控制 器、数据存储单元、联锁设备等等。这些基于安全计算机平台的设备， 组合在一起形成一个列车运行控制防护系统。然而这些设备都在自己 固定的运行周期工作，例如某车载设备的运行周期是200ms，某区域 控制器的运行周期是400ms。

在常见的2oo2安全计算机平台中，主要使用FPGA芯片或嵌入式 芯片作为核心控制器来划分系统运行周期，主要有以下几种方式：基 于时钟进行固定周期划分，每周期发送指令控制主机等运行；基于时 钟进行固定周期，每周期再进行微周期划分，每个或若干微周期发送 指令控制主机运行。

列车运行控制系统中各个设备被设定在一个固定的周期，这种周 期设计的原则一般是系统处理能力满足线路运营的列车数量最大要 求的。设备的周期在满足需求的前提下，一般会被设计的偏大，例如 全线运营最多运行n列车，设计区域控制器运行周期为m毫秒。但实 际运营时假设只运行了n/2列车，区域控制器运行周期仍然为m毫秒， 这样每个周期里可能m/3时间是在做处理运算，其他时间都是空闲和 等待。这是一种处理性能的浪费，也拖慢设备和系统的反应时间。

当设备以一个固定周期运行时，此设备的反应时间最小是一个固 定周期的时间。在正常运行的时候，各种指令都是按照正常的周期循 环执行。虽然正常执行也会存在数据延时，但是不影响整个系统的运 行。但是一旦出现故障时，这些固定周期的设备从故障点向中心设备 或相邻设备汇报故障时，就会有一个比较大的延时。

这个延时出现的根本是各个层面设备的反应时间累积。例如，当 一列列车某个设备故障造成紧急制动，车载设备需要立刻警示中心人 员处理或者告知前后车辆本车的紧急状态时，在车载设备的周期末端 将故障输出，此时可计算为一个处理周期延时。车与车之间没有直接 的通讯路径，一般是故障车辆将故障信息传送到区域控制器，经过区 域控制器一个运行周期的处理后，再将处理后的移动授权传给相邻车 辆，后车最少经过一个周期后才能输出最新的控制结果。这是一个较 长的信息传输处理路径，约包含3个设备的固有处理周期。这个路径 就是紧急情况的反应处理瓶颈，也是系统运行速度的瓶颈。

现有方法尽管实现了列车运行控制系统的安全事件响应，但仍有 一些问题没有解决，如设备运行过程中，未充分利用设备性能，周期 中含有空闲时间较多；系统的整体故障响应时间会因为固定周期的累 积而拉长；没有形成一种完整的周期循环校验机制等等。

发明内容

本发明提供一种设计适用于2oo2安全计算机平台的自适应动态 周期设计方法，该方法可实现安全平台设备周期自动调整、实时故障 处理、周期循环自校验等特点，在保证周期循环的正确性的同时极大 的提高设备处理速度。

根据上述目的，本发明提供了一种2oo2安全计算机平台的动态周 期设计方法，所述方法包括：

S1，所述2oo2安全计算机平台的控制装置在发送微周期开始指令 后，开始进行微周期时限的计时；

S2，当在所述微周期时限内接收到微周期完成信号后，结束所述 微周期，并开始下一个微周期。

其中，所述步骤S2还包括：

当所述控制装置收到所述微周期完成信号并判定所述微周期完 成结果不正确或在设定的时限内没有收到所述微周期完成信号时，所 述控制装置停止周期循环。

其中，所述控制装置将所述微周期开始指令发送到与其连接的主 机的处理单元，并且所述处理单元在接收到所述微周期开始指令后， 开始执行所述微周期。

其中，在所述步骤S1之前还包括：

所述控制装置与所述处理单元进行初始化，并且所述处理单元在 初始化完成后向所述控制装置发送初始化完成信号后，然后进行初始 等待时限的计时，若在初始等待时限内所述控制装置没有输出微周期 开始指令或所述处理单元没有收到所述微周期开始指令，则所述处理 单元判定控制系统故障，并导向安全输出状态，否则执行步骤S1。

其中，所述步骤S1之前还包括：

在所述控制装置向所述处理单元发送所述微周期开始指令之前， 对所述微周期开始指令进行校验，当校验到所述微周期开始指令正确 时，将所述微周期开始指令发送到所述处理单元，否则停止周期循环。

其中，在所述处理单元结束每个微周期后，开始等待时限的计时， 以等待接收所述控制装置发送的下一个微周期开始指令。

其中，所述控制装置为容错和安全管理单元。

根据本发明的另一个方面，提供一种用于2oo2安全计算机平台的 控制装置，所述控制装置包括：

指令发送单元，用于发送微周期开始指令；

计时单元，用于在发送微周期开始指令后进行计时，并判断是否 超过设定的微周期时限，若超过则结束运行；

信号接收单元，用于接收完成信号，并判断是否结束本次微周期， 进行下一个微周期。

其中，所述控制装置还包括：

校验单元，用于对所述指令发送单元发送的微周期开始指令进行 校验。

本发明的2oo2安全计算机平台的自适应动态周期设计方法及系 统，在设备运行过程中充分利用设备性能，动态地对各个周期进行调 整，在一个周期处理完毕又开始下一个周期的处理，使得各个设备的 响应时间缩短，进而系统的整体故障响应时间大大缩短；并通过处理 单元与FTSM周期循环进程交互，形成一种通过时限约束的周期循环 系统，从而可以实现安全平台设备周期自动调整、实时故障处理、周 期循环自校验等特点，显著提高了系统的运行处理能力，缩短故障反 应时间，提高系统安全性。为安全计算机平台甚至整套列车运行控制 系统的高速、高效、可靠运行等打下良好基础。

附图说明

通过参考附图会更加清楚的理解本发明的特征和优点，附图是示 意性的而不应理解为对本发明进行任何限制，在附图中：

图1示出了本发明的实施例的2oo2安全计算机平台中1系中两个 冗余的处理单元与FTSM的连接示意图。

图2示出了本发明的2oo2安全计算机平台的自适应动态周期设计 方法的周期循环示意图。

图3示出了本发明的微周期校验示意图。

图4示出了本发明的2oo2安全计算机平台的自适应动态周期设计 方法的具体实施例的周期循环示意图。

图5示出了本发明的一种用于2oo2安全计算机平台的控制装置的 结构框图。

具体实施方式

下面将结合附图对本发明的实施例进行详细描述。

在本实施例中，使用容错和安全管理单元(FTSM)作为安全计 算机平台的核心控制器，但是并不限于使用FTSM，其他具有同样功 能的控制器同样在本发明的限定范围之内。

图1示出了本发明的实施例的2oo2安全计算机平台中1系中两个 冗余的处理单元与FTSM的连接示意图。

参照图1，FTSM通过以太网(但不限于以太网通信方式)与需要被 控制的主机相连，并通过以太网向处理单元发送周期操作指令，也通 过以太网接收处理单元执行完成反馈。

其中，处理单元是基于商业整机的计算机(但不限于计算机，可 以是嵌入式模块等)；FTSM的核心控制器使用嵌入式处理器或者 FPGA等编程器件进行编程，能够完成基于时钟的周期划分、指令分 发、时限计数及周期循环校验工作。

图2示出了本发明的2oo2安全计算机平台的自适应动态周期设计 方法的周期循环示意图。

本发明的方法需要按照设计需求定义整个周期循环流程中，每个 周期长度最大时限，每个微周期最大时限，主机等待指令时限，以及 每个周期的指令定义。然后FTSM根据处理单元实时反馈的信号指令， 动态地调节每个微周期的结束时间。

具体地，FTSM控制着周期的循环主要进程，处理单元一面受控 于FTSM的周期循环主进程，一方面靠“等待时限”辅助约束主要进程。 各个进程间相互关联且互相约束可以保证出现计数超时情况下及时 将系统导向安全输出

参照图1和2，以安全计算机平台中1系中两个冗余的处理单元和 FTSM连接运行为例，其周期循环具体包括：

在设备上电后，各部分都需要经过一个上电及初始化过程，设定 FTSM周期循环进程为主进程，其启动速度快于处理单元启动速度， 这样保证不会遗漏处理单元发出的“主机同步信号”。处理单元初始化 成功并发出同步信号后，则开始自己的“初始等待时限”计时，FTSM 必须在时限内输出周期开始指令，否则处理单元本身判定系统故障导 向安全输出状态。

初始同步完成后，主进程开始进行周期循环，周期1开始。周期1 分成n个微周期，首先进行微周期1的计数，并同时发送“微周期1指令”。 处理单元接收到指令后开始执行，执行完成后返回“执行完成指令1”。 当主进程在时限内检测到两个处理单元的反馈时，需要确认处理单元 的处理结果是否正确，如果错误则停止周期循环并将系统导向安全输 出，如果正确则结束本微周期并自动开始微周期2的运行。在周期1 内按照这个循环过程完成n个微周期的循环，并开始周期2循环，以后 同理。

另外，在进行微周期时，当主进程在设定的时限内没有收到处理 单元发送的完成信号时，FTSM停止周期循环并将系统导向安全输出。

在每个微周期主机执行完毕后，需要有一个等待时限来等待 FTSM的下一个微周期开始指令。这样可以防止FTSM主进程错误导 致主机无法运行的故障，主机同时可以通过此时限判断是否进入安全 输出模式。一般的，这个等待时限基于内网的网络延时，等待时间量 级为毫秒级。

处理单元执行的时间主要取决于计算机性能和数据量，数据量一 致时性能高则执行快，性能低则执行慢；计算机性能一致时，数据量 小则处理快，数据量大则自动延长周期，但不会超过最大周期时限。 一旦超过微周期和周期的“时限计数”，FTSM则主动将处理单元进行 处理以保证安全输出。基于数据量与计算机性能差别，FTSM可以调 整周期长度做出适应性变化，同时保留了时限监控功能。

基于处理单元和FTSM之间的时限计数可以相互约束，保证系统 的故障后可以及时发现。但是，FTSM本身的周期循环主进程处于主 导地位，需要针对此进程的正确性做出校验及故障处理。

图3示出了本发明的微周期校验示意图。

参照图3，为了对周期循环进行校验，设计了专用的周期循环校 验模块，独立于周期循环主体之外。这个模块是一个状态机，它记录 着所有可能的周期状态，并根据需要存储多次主进程的周期输出操作 记录，并预判下次操作模式。当循环主体需要执行“周期开始指令”操 作时，首先与校验模块通信，校验模块确认此次操作模式与预判一致， 则发出有效使能，主进程开始发送本周起开始的指令。否则，终止设 备运行以保证系统导向安全输出状态。

状态机收到“处理单元的初始同步信号”判断系统开始运行后直 接进入微周期1状态，此时主进程也应预计微周期1的输出，首先将微 周期1开始指令输出到状态机，状态机判断正确则返回正常输出使能 并转移到下一个微周期的状态，等待下一次校验。

图4示出了本发明的2oo2安全计算机平台的自适应动态周期设计 方法的具体实施例的周期循环示意图。

参照图4，以一个区域控制器400ms一个周期为例，按照固定周期 计算，则微周期1是100ms，微周期2是200ms，微周期3是100ms，整 个周期运行完毕需要400ms。而按照动态周期设置后，微周期的时限 分别是100ms、200ms、100ms，但是因为数据量较小实际执行可能是 按照附图3中所示的各周期最长处理时间和： 20ms+5ms+50ms+5ms+10ms＝90ms，由此计算结果可知设备的处理时 间缩短明显。

假设固定周期系统中，后车得知前车紧急制动信号并做出本车的 反应需要“前车输出故障(200ms)”+“区域控制器处理(400ms)”+“后 车处理信息(200ms)”+“网络延时(20ms)”＝820ms。而均采用动态 周期后，假设设备反应时间缩短到原来的1/4，则全部用时缩短为 220ms，其中网络延时固定为20ms，那么系统的处理速度提高并且最 终导致故障反应时间缩短。

图5示出了本发明的一种用于2oo2安全计算机平台的控制装置的 结构框图。

根据本发明的另一个方面，提供一种用于2oo2安全计算机平台的 控制装置，所述控制装置包括：

指令发送单元10，用于发送微周期开始指令；

计时单元20，用于在发送微周期开始指令后进行计时，并判断是 否超过设定的微周期时限，若超过则结束运行；

信号接收单元30，用于接收完成信号，并判断是否结束本次微周 期，进行下一个微周期。

其中，所述控制装置还包括：

校验单元40，用于对所述指令发送单元发送的微周期开始指令进 行校验。

本发明的2oo2安全计算机平台的自适应动态周期设计方法，在设 备运行过程中充分利用设备性能，动态地对各个周期进行调整，在一 个周期处理完毕又开始下一个周期的处理，使得各个设备的响应时间 缩短，进而系统的整体故障响应时间大大缩短；并通过处理单元与 FTSM周期循环进程交互，形成一种通过时限约束的周期循环系统， 从而可以实现安全平台设备周期自动调整、实时故障处理、周期循环 自校验等特点，显著提高了系统的运行处理能力，缩短故障反应时间， 提高系统安全性。为安全计算机平台甚至整套列车运行控制系统的高 速、高效、可靠运行等打下良好基础。

同时，本发明提供了一种自身周期校验的方法，可以保证周期循 环的正确性。当周期循环发生错误时，控制器本身会发现错误并进行 纠正处理。

虽然结合附图描述了本发明的实施方式，但是本领域技术人员可 以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样 的修改和变型均落入由所附权利要求所限定的范围之内。