CBTC区域控制系统应用软件容错调度方法

摘要

本发明公开了一种CBTC区域控制系统应用软件容错调度方法，包括：将CBTC区域控制系统应用软件按功能模块划分为若干不同的进程；判断同时执行同一个进程的两个不同版本的CBTC区域控制系统应用软件的执行结果是否一致，若一致，所述两个版本软件各自执行下一个进程，否则进行故障-安全处理，若所有进程的两个执行结果都一致，则输出最终的执行结果，所述功能模块包括：移动授权计算功能模块、列车管理功能模块、列车排序功能模块、更新轨道占用状态功能模块、列车安全位置计算功能模块和通信状态监督功能模块。本发明更好地从软件机制上保障安全，提高了系统的安全性，同时提高了区域控制软件的运行效率。

说明书

技术领域

本发明涉及通信列车安全控制技术领域，特别涉及一种CBTC区域控制系统应用软件容错调度方法。

背景技术

区域控制系统是CBTC系统的重要组成部分，主要负责根据通信列车所汇报的位置信息以及联锁所排列的进路和轨旁设备提供的轨道占用/空闲信息，为其控制范围内的通信列车计算生成移动授权，保证其控制区域内通信列车的安全运行，具备在各种列车控制等级和驾驶模式下进行列车管理的能力，其可靠性和可用性关系到整个CBTC系统的顺利运营以及运行效率。

保证区域控制系统高安全性的关键技术之一就是保证区域控制系统应用软件的安全运行。目前，CBTC系统对区域控制设备的实时性要求是200ms，保证区域控制系统应用软件安全的基本措施有两方面：一是提高执行效率；二是能够在最短的时间内检测出软件的失效，避免故障传播。当前CBTC系统中，设备提供商普遍采用的区域控制应用软件处理策略是把所有功能软件打包成一个软件进程，嵌入到硬件平台的调度程序中，这种方式存在很多缺点，不利于系统高效、安全地运行。现有处理方案中，系统硬件平台只处理和检测区域控制系统整个应用软件最终的输出结果，对应用软件的中间运行过程并不进行校验。按目前硬件平台的处理水平，调度过程中应用软件执行需要150ms左右，已经接近实时性要求的边缘，一旦硬件平台受到干扰，很可能造成运算周期不满足，导致故障。然而，区域控制系统包含很多不同的功能模块，有些模块之间相互独立，对于系统运行安全所起的作用和重要性也不尽相同。针对区域控制系统的这些特点，现有处理策略存在如下问题：

1、数据处理只是针对软件最终的输出结果，无法充分检测和校验列车控制的中间逻辑过程；

2、算法单一，不利于提高应用软件在硬件平台中的运行效率，很难满足实时性要求；

3、一旦软件中单一功能函数出现漏洞，来不及检测会直接影响系统的输出，有安全隐患。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何检测CBTC区域控制系统软件的中间结果，提高系统软件运行效率，同时增强系统的安全性和实时性。

(二)技术方案

一种CBTC区域控制系统应用软件容错调度方法，包括以下步骤：

S1：将CBTC区域控制系统应用软件按功能模块划分为若干不同的进程；

S2：判断同时执行同一个进程的两个不同版本的CBTC区域控制系统应用软件的执行结果是否一致，若一致，则表明该进程处理正确，所述两个版本的应用软件继续各自执行下一个进程，否则进行故障-安全处理，若所有进程的两个执行结果都一致，则输出最终的执行结果。

其中，所述步骤S1中功能模块包括：

移动授权计算功能模块、列车管理功能模块、列车排序功能模块、更新轨道占用状态功能模块、列车安全位置计算功能模块和通信状态监督功能模块；

其中，所述S1之前还包括步骤：

创建并初始化所述功能模块相关资源，所述资源包括：

列车管理数据结构：用于存储列车信息，包括列车位置、运行方向；

移动授权数据结构：用于存储为列车计算的移动授权信息；

通信链路管理表：用于监控CBTC中区域控制系统与其它子系统间的通信状态；

轨道信息与列车关联表：用于存储线路与列车的关联信息。

其中，所述步骤S1和步骤S2之间还包括：

按每个功能模块的安全等级为每个该功能模块对应的进程设置优先级，移动授权计算功能模块和通信状态监督功能模块的进程为高优先级进程，列车管理功能模块、列车排序功能模块和列车安全位置计算功能模块的进程为中优先级进程，更新轨道占用状态功能模块的进程为低优先级进程。

其中，所述步骤S2中按进程的优先级由高到低顺序执行进程，具体包括：

执行高优先级进程：

执行通信状态监督进程，对输出结果进行比较，如果同步比较不一致，系统将终止执行所有进程而导向安全处理，并清空通信链路管理表；

执行移动授权计算进程，对输出结果进行比较，如果同步比较不一致，则将向列车发送上一周期缓存的移动授权，如果连续比较不一致周期数超过设定的门限值，系统将终止执行所有进程而导向安全处理，并清空移动授权数据结构中相应的列车移动授权信息；

执行中优先级进程：

执行计算列车安全位置进程，对输出结果进行比较，如果同步比较不一致，则对列车位置进行包络处理；

执行列车排序进程，对输出结果进行比较，如果同步比较不一致，则清空列车排序进程使用的轨道信息与列车关联表中的列车信息；

执行列车管理进程，对输出结果进行比较，如果同步比较不一致，则对该列车进行故障处理，并将轨道信息与列车关联表中列车状态置为默认故障态；

执行低优先级进程：

执行更新轨道占用状态进程，对输出结果进行比较，如果同步比较不一致，对输出结果进行校验处理。

(三)有益效果

本发明将区域控制系统所实现的功能进行了灵活科学的划分，将容错比较应用于软件运行的中间过程，容错调度机制更加合理，更加有利于系统运行安全，具有如下有益效果：

1、本发明的技术方案对划分的六个功能模块进程都进行双版本校验监督，发现错误会在第一时间进行处理，不会让故障传播到其它模块，能够更好地从软件机制上保障安全，提高了系统的安全性；

2、对各进程合理的调度，提高了区域控制软件的运行效率。

附图说明

图1是本发明的CBTC区域控制系统应用软件容错调度方法中对系统软件功能模块划分图；

图2是本发明的CBTC区域控制系统应用软件容错调度方法流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

如图1所示，本发明对CBTC区域控制系统应用软件按功能划分为下列六个功能模块，各功能模块间存在不同的数据流交互，根据不同数据流的内容为各个功能模块设定一个安全等级，作为对不同功能模块进行调用的依据。

移动授权计算功能模块，区域控制系统根据联锁设备提供的线路设备状态信息、区段状态信息、道岔状态信息等确定相应列车的运行方向和列车的运行权限。

列车管理功能模块，当列车在区域控制器的管辖范围内运行时，根据列车所处的不同运行状态，区域控制器需要完成相应的处理，以保证列车的安全高效运行。

列车排序功能模块，主要完成在线路上运行的列车的区分，通过列车汇报的信息以及联锁汇报的线路情况，综合确定列车的前后关系。

更新轨道占用状态功能模块，区域控制系统结合计轴区段的占用/空闲信息以及列车位置信息确定在CBTC级别下的线路占用/空闲情况，实现对线路上运行的通信列车的定位。

计算列车安全位置功能模块，列车的非安全位置是列车最可能的实际位置，区域控制系统根据列车汇报的非安全位置信息，结合列车的当前速度、测距误差及通信延时等因素，为通信列车添加一定的安全包络，以确定列车的安全位置，并在之后的处理中使用该安全位置。

通信状态监督功能模块，区域控制系统应该时刻监督与之通信的安全相关系统，并不断确认与之交互子系统的通信状态是否良好，当检查发现存在于地面子系统的通信故障，将通知影响范围内的装备列车实施紧急制动，确保列车运行安全。

如图2所示，为本发明一个优选实施例的流程图。

首先，按上述CBTC区域控制系统应用软件的功能模块，创建并初始化相关资源，相关资源包括：

列车管理数据结构：用于存储列车信息，包括列车位置、运行方向。

移动授权数据结构：用于存储为列车计算的移动授权信息。

通信链路管理表：用于监控CBTC中区域控制系统与其它子系统间的通信状态。

轨道信息与列车关联表：用于存储线路与列车的关联信息。

为每个功能模块的创建一个进程，并按每个功能模块的安全等级设置对应进程的优先级。移动授权计算功能模块和通信状态监督功能模块的进程为高优先级进程，列车管理功能模块、列车排序功能模块和列车安全位置计算功能模块的进程为中优先级进程，更新轨道占用状态功能模块的进程为低优先级进程。

读取上述进程，采用两个不同版本的上述应用软件按优先级由高到低的顺序执行上述各进程，执行时，每一个进程在两个应用软件中同时执行，并输出执行结果，对各个执行结果进行双版本同步比较，即比较两个不同版本应用软件对同一进程执行的结果的一致性，具体执行及比较过程如下：

执行高优先级进程：

执行通信状态监督进程，对输出结果进行双版本同步比较，如果同步比较不一致，系统将终止执行所有进程而导向安全处理，并清空通信链路管理表。

执行移动授权计算进程，对输出结果进行双版本同步比较，如果同步比较不一致，则将向列车发送上一周期缓存的移动授权，如果连续比较不一致周期数超过设定的门限值，系统将终止执行所有进程而导向安全处理，并清空移动授权数据结构中相应的列车移动授权信息。

执行中优先级进程：

执行计算列车安全位置进程，对输出结果进行双版本同步比较，如果同步比较不一致，则对列车位置进行包络处理。

执行列车排序进程，对输出结果进行双版本同步比较，如果同步比较不一致，则清空列车排序进程使用的轨道信息与列车关联表中的列车信息。

执行列车管理进程，对输出结果进行双版本同步比较，如果同步比较不一致，则对该列车进行故障处理，并将轨道信息与列车关联表中列车状态置为默认故障态。

对低优先级进程处理：

执行更新轨道占用状态进程，对输出结果进行双版本同步比较，如果同步比较不一致，对该信息进行校验处理。

对执行上述某个进程的结果进行双版本同步比较一致时，检查是否对上述所有进程处理完毕，若未处理完毕，返回读取进程步骤，若处理完毕且上述各个进程执行结果的双版本同步比较都一致，则输出最终执行结果，其中包含各个进程综合处理后的输出信息。

本方案与现有方案基于同样的硬件平台，进行了24小时效率对比实验，基于现有技术方案的区域控制系统应用软件平均运行周期为148ms；利用本发明的应用软件容错调度方法，区域控制系统应用软件平均运行周期为56ms。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。