一种分布式车载安全计算机系统

摘要

本发明公开了一种分布式车载安全计算机系统，包括结构和功能完全相同的二取二结构的两套安全计算机，两套安全计算机之间通过主备切换板相连，且两套安全计算机之间通过通信总线实现数据同步；主备切换板用于根据两套安全计算机的工作数据和设定的逻辑，控制两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，或者控制两套安全计算机中的两套均工作在备系状态；工作在主系状态是指安全计算机用于对外接收和输出数据，工作在备系状态是指安全计算机仅用于对外接收数据而不用于对外输出数据。本发明具备小型化、高性能、高安全、安装配置灵活的优点。

说明书

技术领域

本发明特别涉及一种分布式车载安全计算机系统。

背景技术

随着无线通信、计算机等技术的快速发展，轨道交通车辆的智能化、自主化水平也越来越高，对传统安全计算机的功能和性能提出了更高的要求。

在传统信号领域，主要由地面设备进行计算，车辆作为执行单元实现自动运行控制，因此对车载安全计算机的性能要求不高。此外，传统的车载安全计算机一般采用6U及以上的单机箱设计，机械尺寸较大，不便于车载设备的灵活配置和功能扩展。

因此，需要一种小型化、高性能、高安全、安装配置灵活的车载安全计算机系统，以满足车辆日益增加的智能化需求。

发明内容

本发明的目的在于，针对上述现有技术中车载安全计算机系统体积大性能低的不足，提供一种分布式车载安全计算机系统，具备小型化、高性能、高安全、安装配置灵活的优点。

为解决上述技术问题，本发明所采用的技术方案是：

一种分布式车载安全计算机系统，其特点是包括结构和功能完全相同的二取二结构的两套安全计算机，两套安全计算机之间通过主备切换板相连，且两套安全计算机之间通过通信总线实现数据同步；其中，主备切换板用于根据两套安全计算机的工作数据和设定的逻辑，控制两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，或者控制两套安全计算机中的两套均工作在备系状态；其中，工作在主系状态是指安全计算机用于对外接收和输出数据，工作在备系状态是指安全计算机仅用于对外接收数据而不用于对外输出数据。

作为一种优选方式，两套安全计算机之间的数据同步规则包括：

两套安全计算机之间互相发送心跳帧，若处于备系状态的安全计算机判断自身的数据状态不同于处于主系状态的安全计算机的数据状态，则处于备系状态的安全计算机发送同步请求帧至处于主系状态的安全计算机，处于主系状态的安全计算机接收到同步请求帧后即发送同步数据至处于备系状态的安全计算机。

作为一种优选方式，每一套安全计算机均包括两块主控板、一块表决板、至少一块IO板和若干通信板；

针对单套安全计算机，两主控板相连以用于实现单机内的数据同步，主控板、IO板、通信板均与表决板相连，表决板与主备切换板相连；两套安全计算机的表决板之间通过通信总线相连。

作为一种优选方式，对于工作在主系状态的安全计算机，两主控板在进行同步数据比较之后并判断两主控板的同步数据一致的情况下，两主控板的同步数据通过表决板输出至工作在备系状态的安全计算机。

作为一种优选方式，对于工作在备系状态的安全计算机，判断两主控板接收到的数据一致的情况下，两主控板才进行数据同步。

作为一种优选方式，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑包括：主备切换板在接收到两套安全计算机在上电后发送的电平信号后，根据获得的两套安全计算机发送的电平信号的先后顺序，锁定先发送电平信号的安全计算机的工作状态为主系状态，锁定后发送电平信号的安全计算机的工作状态为备系状态；两套安全计算机通过从主备切换板回采的信号确定自身的工作状态。

作为一种优选方式，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑包括：当处于主系状态的安全计算机出现故障并停止向主备切换板发送电平信号时，主备切换板将原本处于主系状态的安全计算机的工作状态锁定为备系状态，并将原本处于备系状态的安全计算机的工作状态锁定为主系状态；两套安全计算机通过从主备切换板回采的信号确定自身的工作状态。

作为一种优选方式，安全计算机：用于在接收到主备切换板发送的高电平信号时，工作在主系状态；用于在接收到主备切换板发送的低电平信号时，工作在备系状态；

主备切换板控制安全计算机工作在主系状态或备系状态的逻辑还包括：

若原本处于备系状态的安全计算机回采到主备切换板发送的高电平信号，且两套安全计算机之间的数据同步，则原本处于备系状态的安全计算机切换至主系状态，原本处于主系状态的安全计算机切换至备系状态；若原本处于备系状态的安全计算机回采到主备切换板发送的高电平信号，但两套安全计算机之间的数据不同步，则两套安全计算机均进入备系状态；若两套安全计算机均出现故障，则两套安全计算机均进入备系状态。

作为一种优选方式，主备切换板控制安全计算机工作在主系状态或备系状态的逻辑还包括：

针对单套安全计算机，若两个主控板在连续N个周期内的同步时长均超过设定的运算周期，则在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统；

针对单套安全计算机，若一主控板在连续N个周期内均未收到另一主控板的有效数据，则在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统。

作为一种优选方式，针对单套安全计算机，还设有硬件看门狗，在喂狗失败时，则在本套安全计算机处于主系状态时降级为备系状态，并释放动态电路且将另一套安全计算机升级为主系状态；在本套安全计算机处于备系状态时重启系统。

与现有技术相比，本发明具有以下有益效果：

1、本发明车载安全计算机系统由两套分布的二取二安全计算机组成，两套安全计算机可以采用集中式机柜安装的方式，也可以采用分布式的安装方式，可以根据不同的车辆情况灵活安装，具备小型化、安装配置灵活的优点。

2、本发明两套安全计算机之间通过独立的主备切换板进行主备切换，保证在任意时刻只有一套安全计算机处于主系状态，并能根据两套安全计算机的工作数据切换主系状态和备系状态，性能和安全性高。

附图说明

图1为本发明的组合架构图。

图2为本发明的结构框图。

图3为单套二取二结构的安全计算机的架构图。

图4为两套安全计算机的主备选择流程图。

图5为两套安全计算机的主备切换流程图。

图6为单套安全计算机的数据流图。

具体实施方式

如图1至图3所示，本发明的分布式车载安全计算机系统包括结构和功能完全相同的二取二结构的两套安全计算机A和B，两套安全计算机之间通过主备切换板相连，且两套安全计算机之间通过通信总线实现数据同步。

主备切换板用于根据两套安全计算机的工作数据和设定的逻辑，控制两套安全计算机中的一套工作在主系状态而另一套工作在备系状态，或者控制两套安全计算机中的两套均工作在备系状态；其中，工作在主系状态是指安全计算机用于对外接收和输出数据，工作在备系状态是指安全计算机仅用于对外接收数据而不用于对外输出数据。

每一套安全计算机均包括两块主控板、两块110V或24V的电源板(根据具体的安装载体选择不同的电压等级，比如地铁列车选择110VDC，有轨电车选择24VDC，无轨电车选择24VDC。实际安装需要两路独立供电)、一块表决板、至少一块IO板和若干通信板(包括MVB通信板、CAN+485通信板、以太网通信板，可以根据具体情况选择MVB通信板、CAN+485通信板、以太网通信板，同时根据实际的数字量输入输出需求配置合适数量的IO模块，具有很强的灵活性)；

针对单套安全计算机，两主控板相连以用于实现单机内的数据同步，主控板、IO板、通信板均与表决板相连，表决板与主备切换板相连；两套安全计算机的表决板之间通过通信总线相连，即表决板与主备切换板之间采用硬线连接、两套安全计算机的表决板采用通信总线的连接方式。

两套安全计算机A和B均采用独立的3U标准机箱。主备切换板为单独1U设备，或者可以采用插入式板卡形式将主备切换板集成到安全计算机A或安全计算机B中。

安全计算机A、安全计算机B、切换模块作为车载设备进行设计，可以根据项目采用一体式上下层机柜、左右并列安装的方式，也可以根据需要安装在不同车辆或不同机柜中，方便灵活，尤其适合有轨、无轨列车等安装空间较为紧张的车辆。

本发明的分布式车载安全计算机系统不仅适用于城市轨道交通车辆，例如地铁、有轨电车、无轨电车等车辆的SIL4级高安全设备要求，同时也适用车辆上其他具有安全功能需求的系统。

具体地，本发明包括以下几个部分：

(1)分布式车载安全计算机系统的架构设计

本发明的分布式车载安全计算机系统由两套分布的二取二安全计算机组成，每套独立的安全计算机称为一系，由两块主控板组成二取二结构，并包含两个冗余的电源板、一个表决板、若干IO板(根据IO点位需求配置板卡数量)和通信板(包括MVB通信板、CAN+485通信板、以太网通信板)组成。两套分布的安全计算机之间有系间同步通道和主备切换模块相互联系。

本发明的分布式车载安全计算机系统结构如图1～图3所示，其具有如下特点：

a.安全计算机A和安全计算机B分别为独立3U小型化机箱，两个设备可以分布放置或者集中式放置，安装灵活。

b.主备切换板可以作为独立设备，主要实现安全计算机A和安全计算机B的主从切换，保证在任意时刻两套安全计算机只有一个是主设备。

c.安全计算机A和安全计算机B之间通过通信总线实现双机之间的数据同步。

d.分布式的安全计算机系统配置灵活，应用场景多，两套安全计算机组合构成二乘二取二架构，满足高安全等级的要求(例如SIL4级)；单独的一套二取二安全计算机可以作为通用的控制平台满足车辆较低安全等级的需求(例如SIL2级)。

(2)两套安全计算机系统的同步切换

两套安全计算机之间通过通信总线进行数据同步，并且根据同步的状态进行主系状态和备系状态的切换：

a.两套安全计算机之间的数据同步规则

①当安全计算机A和安全计算机B处于一个主系状态、一个备系状态的工作状态，安全计算机A和安全计算机B之间周期性互相发送心跳帧，例如校验数据。

②当备系根据心跳帧发现自身的数据状态与主系的数据状态不一致，则备系发送同步请求帧，然后主系接收到同步请求帧后发送同步数据到备系。

③主系向备系同步数据，首先经过主系的两个主控模块进行同步数据比较，当两主控板的数据一致的情况下，才向备系输出同步数据。

④备系对来自主系的状态同步信息，只有在备系的两个主控板接收到的状态一致的情况下，才进行状态同步，保证备系的状态始终与主系状态一致，实现主备无间断切换。

b.两套安全计算机的主备切换逻辑

安全计算机A和安全计算机B采用冗余热备运行，安全计算机A和安全计算机B分别通过硬线连接主备切换板，并由主备切换板的互锁电路保证同一时刻只有一个安全计算机处于主系状态，包括主备工作设备选择(见图4)和主备切换(见图5)：

①安全计算机A和B上电后都向主备切换板持续发送电平信号。

②主备切换板根据获得的安全计算机A、B发送电平信号的先后顺序判断主从，先发送电平信号的安全计算机的工作状态为主系状态，后发送电平信号的安全计算机的工作状态为备系状态；并将切换状态锁定。

③安全计算机A和B的表决板分别通过硬线回采主备切换板的电信号，获得自身的主从状态，回采到高电平信号则为主系，回采到低电平信号则为备系。

④当主系检测到故障，则停止发送电平信号，主备切换板进行A、B设备的切换并锁定；同时，主系安全计算机的表决板在软件逻辑上进行主用和备用之间的工作状态切换。

⑤原工作备系回采到高电平信号，且主备状态同步，则备系升级到主用状态，同时原本处于主系状态的安全计算机切换至备系状态；当备系检测到主备设备工作状态不同步，则两套安全计算机均进入备系状态；若两套安全计算机均出现故障，则两套安全计算机均进入备系状态。

(3)单套安全计算机的同步表决

单套安全计算机包含两个主控板、一个表决板、若干IO板和若干通信板，其中IO板的数量根据实际应用的需要进行配置，通信板可以根据需要配置MVB通信板、CAN+RS485通信板和以太网通信板。单套计算机各板卡的数据流图如图6所示。单套安全计算机的数据同步原理如下：

a.外部数据通过通信板输入。

b.通信板通过通信总线将数据发送给表决板。

c.表决板通过通信总线将相同的数据分别发送到两个主控板。

d.两个主控板之间通过UART串行通信或者背板总线的方式进行周期性数据同步：

针对单套安全计算机，若两个主控板同步时长超过设定的运算周期，则计算超时累计时长，当两个主控板在连续N个周期内的同步时长均超过设定的运算周期时，则在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统。

针对单套安全计算机，若一主控板在连续N个周期内均未收到另一主控板的有效数据，则判断对方同步数据交互不同步，在本套安全计算机处于主系状态时降级为备系状态；在本套安全计算机处于备系状态时重启系统。

e.两个主控板将计算处理后的数据发送到表决板，表决板采用FPGA对数据进行表决处理(比较两个主控板发送到表决板的数据是否一致)，若数据一致则将输出结果发送到通信板，进而通信板发送数据到外部系统。

(4)主控板故障诊断

本发明的车载安全计算机系统的主控板在软件、硬件两个层面实现自身故障的诊断：

a.在软件层面：在软件上对非法数据、通信异常、指针越界和任务超时等故障进行判断，一旦发生故障造成两个主控板数据不一致，则主动降级，无法降级时则重启。

b.在硬件层面：在硬件上设有硬件看门狗，如果喂狗失败，则主动降级为备系状态，另一套安全计算机升级为主系状态；在主动降级的同时，释放动态电路，保证主备正常切换，其中单套安全计算机任意一个主控板释放动态电路则该套安全计算机因失去动态电路而降级。若喂狗失败，且本套安全计算机处于备系状态，则重启系统。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是局限性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护范围之内。