劉 澳， 崔 雷， 許豐磊， 崔曉軍

(中國中車青島四方車輛研究所有限公司， 山東青島 266031)

列車采用全自動無人駕駛模式(DTO)[1]運營，當發(fā)生緊急情況時，列車自動控制系統(ATC)[2]觸發(fā)緊急制動，制動保障監(jiān)控裝置控制牽引系統、盤形制動系統和磁軌制動器施加制動，并實時監(jiān)控列車的運行速度和制動距離，達到安全停車的目的。

1 列車基本配置

列車采用4輛編組，均為動車。每輛車配備2個轉向架，每個轉向架包含2根軸。其中，3根軸為常用制動軸，1根軸為緊急制動軸。每輛車均配備牽引系統、盤型制動系統和磁軌制動器，實現列車的牽引與制動。整列車配備1臺制動保障監(jiān)控裝置。列車的基本配置如圖1所示。

圖1 列車基本配置示意圖

2 功能需求

2.1 電源需求

制動保障監(jiān)控裝置供電電源為DC 48 V(DC 36 V-DC 60 V)，最大功率消耗為48 W。

2.2 功能需求

列車緊急制動分為兩級：I級緊急制動和II級緊急制動。其中，I級緊急制動的實施方式包括電制動和50%的磁軌制動；II級緊急制動的實施方式包括盤型制動和100%的磁軌制動。I級緊急制動是一種可控的、非安全的制動模式。II級緊急制動是一種開環(huán)的安全制動模式，由于其獨立于列車載荷，因此可能會造成車輪擦傷或乘客不適。

制動保障監(jiān)控裝置負責管理列車的兩級緊急制動，達到以下3個目的：

(1)保證列車在規(guī)定的制動距離內停車；

(2)防止車輪擦傷；

(3)控制列車沖動和減速度以增加乘客舒適性。

當ATC觸發(fā)緊急制動時，制動保障監(jiān)控裝置首先施加I級緊急制動，并以“故障-安全”原則[3]監(jiān)控其施加過程。如果I級緊急制動不能保證安全停車距離，則導向II級緊急制動。

3 系統設計

制動保障監(jiān)控裝置作為列車緊急制動的管理設備，必須保證發(fā)生緊急情況時，列車可以安全停車，從而避免人員傷亡。因此，制動保障監(jiān)控裝置必須是具有高安全性和可靠性的控制系統。為此，系統設計為二取二安全計算機，采用了數據同步架構和硬件表決機制[4]，確保系統滿足設計需求。

制動保障監(jiān)控裝置的設計主要包括以下3部分：

(1)電氣接口

(2)硬件

(3)軟件

3.1 電氣接口設計

制動保障監(jiān)控裝置是一個安全臨界電子子系統，通過列車線與下列系統或部件連接：

(1)輔助供電單元

(2)車載控制器

(3)牽引系統

(4)盤形制動系統

(5)磁軌制動器

(6)車輛監(jiān)測系統

(7)轉速計

制動保障監(jiān)控裝置的電氣接口如圖2所示:

圖2 制動保障監(jiān)控裝置電氣接口圖

制動保障監(jiān)控裝置采集2個轉速計的4路速度信號，用來計算列車速度和制動距離。這2個轉速計分別安裝在2個緊急制動軸上，以避免同時發(fā)生故障。緊急制動軸在常用制動和I級緊急制動時不起制動作用。

當緊急制動被觸發(fā)時，緊急制動指令(EBC)列車線失電，制動保障監(jiān)控裝置立即施加I級緊急制動。此時以下列車線：

—供給子系統的緊急制動指令(EBCS)

—供給子系統的停放制動指令(PBCS)

—供給子系統的牽引使能指令(PECS)

—供給子系統的加速指令(ACCS)

—供給子系統的減速指令(DECS)

—供給子系統的推力量級指令(THMS)

—供給子系統的磁軌制動指令(TBCS)

分別與這些列車線的來源斷開：

—緊急制動指令(EBC)

—停放制動指令(PBC)

—牽引使能指令(PEC)

—加速指令(ACC)

—減速指令(DEC)

—推力量級指令(THM)

—緊急制動指令(EBC)

改由制動保障監(jiān)控裝置控制。

施加I級緊急制動時，制動保障監(jiān)控裝置采用閉環(huán)控制算法調整牽引系統的電制動(THMS)，EBC列車線控制施加50%的磁軌制動，并以“故障-安全”原則監(jiān)控列車實際的減速度。其優(yōu)勢在于：根據列車載荷調整電制動，使列車維持一個規(guī)定的減速度，從而在保證安全停車的基礎上防止車輪擦傷。如果無法達到預設的減速度，制動保障監(jiān)控裝置釋放對供給子系統的列車線的控制，將上述斷開的列車線分別連通，從而施加II級緊急制動。此時，EBC和TBCS列車線控制施加100%的磁軌制動和盤形制動。II級緊急制動的制動力獨立于列車載荷，因此列車實際的減速度取決于列車載荷。當EBC列車線重新得電后，制動保障監(jiān)控裝置收回供給子系統的列車線的控制權。

同時，制動保障監(jiān)控裝置輸出自身的工作狀態(tài)至車輛監(jiān)控系統。BRS信號表示制動保障監(jiān)控裝置進入“釋放”狀態(tài)，BPS信號表示制動保障監(jiān)控裝置進入“停止”狀態(tài)。

3.2 硬件設計

制動保障監(jiān)控裝置的硬件結構框圖如圖3所示，主要包括下列部分：

(1)對外接口模塊

(2)電源模塊

(3)CPU模塊

(4)安全輸出模塊

(5)繼電器模塊

(6)背板模塊

圖3 制動保障監(jiān)控裝置硬件結構框圖

3.2.1對外接口模塊

對外接口模塊負責連接設備內部和外部信號，包含一個列車線接口和一個維護接口。

(1)列車線接口

列車線接口是制動保障監(jiān)控裝置與車載部件進行信號交互的物理接口。其中，輸入信號包括DC 48 V、EBC、PBC、PEC、ACC、DEC、THM和2個轉速計的4路速度信號；輸出信號包括EBCS、PBCS、PECS、ACCS、DECS、THMS、TBS、BRS和BPS。其中，THM和THMS為PWM信號。

(2)維護接口

維護接口是制動保障監(jiān)控裝置與維護PC進行通信的物理接口。制動保障監(jiān)控裝置基于以太網通信進行系統狀態(tài)監(jiān)控和數據下載。

3.2.2電源模塊

制動保障監(jiān)控裝置包含2個電源模塊，互為熱備。電源模塊負責將車載電源(DC +48 V)轉換成設備內部需要的電壓制式(DC +24 V和DC +3.3 V)。

電源模塊的原理框圖如圖4所示。電源模塊包含了復位電路，通過按壓電源模塊面板上的復位按鈕可以快速重啟設備電源。為保證電源模塊能在惡劣環(huán)境下可靠地工作，設計了電磁兼容保護電路、過欠壓保護電路、溫度保護電路、電壓轉換電路、輸出隔離電路和濾波穩(wěn)壓電路。

2個電源模塊得電后，啟動較快的一個自動成為主功率輸出模塊，另一個作為備用按最低功率運行。如果主功率輸出模塊發(fā)生了短路、斷路或其他故障，隔離輸出電路可以快速切斷輸出電路，減小反向電流沖擊，備用電源模塊自動切換為全功率輸出，保證設備正常工作。

3.2.3CPU模塊

制動保障監(jiān)控裝置包含2個完全相同的CPU模塊，組成校驗冗余配置。CPU模塊作為設備的核心處理模塊，主要完成數據的采集、同步表決以及控制信號輸出的功能。

CPU模塊的原理框圖如圖5所示，主要由如下單元組成：

(1)ARM9處理器單元

CPU模塊需要運行嵌入式系統[5]，本設計采用ARM9處理器。

(2)FLASH單元

存放嵌入式系統內核代碼、應用程序代碼和配置數據。

(3)光耦單元

采集列車線信號，包括原始列車線(EBC、PBC和PEC)、繼電器模塊輸出的列車線(EBCS、PBCS、PECS和TBCS)；

(4)FPGA單元

采集2個轉速計的4路速度信號，計算軸速；

(5)雙口RAM單元

2個CPU模塊通過雙口RAM單元對采集的數據和聯鎖運算后的數據分別進行數據交換實現同步表決功能。

圖4 電源模塊原理框圖

圖5 CPU模塊原理框圖

(6)PWM單元

根據運算結果輸出PWM信號。

(7)CAN通信單元

CAN通信單元使用了CAN總線技術[6]。CPU模塊將聯鎖運算后的數據進行軟件的同步表決后，通過CAN通信單元發(fā)送給安全輸出模塊。安全輸出模塊將兩路驅動輸出的反饋和二取二的硬件表決結果通過CAN通信單元發(fā)送給CPU模塊。

3.2.4安全輸出模塊

安全輸出模塊負責將2個CPU模塊的聯鎖運算輸出進行二取二的硬件表決，并將表決結果反饋給CPU模塊。

采用動態(tài)電路能夠實現故障導向安全，因此動態(tài)技術在安全計算機的輸入輸出設計中得到了廣泛的應用[7-8]。安全輸出模塊的設計采用了動態(tài)電路，原理框圖如圖6所示，ARM9處理器單元分別通過CAN1和CAN2通信單元接收2個CPU模塊的驅動命令，根據驅動命令決定是否輸出動態(tài)脈沖信號給動態(tài)驅動電路1和2，同時利用反饋檢測單元1和2回采動態(tài)驅動電路1和2的輸出的驅動電壓。動態(tài)驅動電路1的輸出做為動態(tài)驅動電路2輸出的使能信號，只有當兩路動態(tài)驅動電路輸入端均有動態(tài)脈沖信號時，動態(tài)驅動電路2才有驅動電壓輸出。如果2個CPU模塊輸出了不同的驅動命令，或者任一動態(tài)驅動電路出現故障時，都將導致動態(tài)驅動電路2無驅動電壓輸出，實現了故障導向安全功能。

圖6 安全輸出模塊原理框圖

3.2.5繼電器模塊

繼電器模塊采用安全繼電器[9]實現供給子系統的列車線指令的輸出，每個列車線指令的每一支線都通過安全繼電器單獨切換，即雙切。

圖7所示為一個典型的列車線控制電路。當列車正常運行時，EBC列車線得電。此時，驅動電壓為低電平，EBRP和EBRN繼電器失電，常閉觸點使EBCP(緊急制動指令正)和EBCN(緊急制動指令負)列車線分別連接到EBCSP(子系統緊急制動指令正)和EBCSN(子系統緊急制動指令負)列車線。當發(fā)生緊急制動時，EBC列車線失電。此時，驅動電壓為高電平，EBRP和EBRN繼電器得電，常閉觸點使EBCP和EBCN列車線分別與EBCSP和EBCSN 列車線斷開，常開觸點使車載電源分別連接到EBCSP和EBCSN列車線。EBCSP和EBCSN列車線通過背板連接到CPU模塊，提供了輸出指令的檢查路徑。

圖7 列車線控制電路

3.2.6背板模塊

背板模塊負責連接內部模塊之間的供電信號、內部網絡和相應的源/目標之間的I/O信號。

3.3 軟件設計

3.3.1開發(fā)環(huán)境

制動保障監(jiān)控裝置的軟件開發(fā)基于嵌入式實時操作系統VxWorks[10]。VxWorks具備資源管理和分區(qū)功能，從而允許不同安全級別的多個獨立應用程序可運行在處于保護狀態(tài)下的同一目標平臺上。VxWorks的核心組件是 Core OS，Core OS 組件利用目標架構的特性，能夠加強對獨立分區(qū)內運行的應用程序之間的安全隔離。這些分區(qū)安裝了基于 VxWorks 的應用程序編程接口(API)，為應用程序提供多層級的調度和線程管理。

3.3.2工作流程

制動保障監(jiān)控裝置上電后進行自檢，如果一切正常，則進入“控制”狀態(tài)；轉速計故障造成本身的兩路速度信號差異將使制動保障監(jiān)控裝置進入“特殊釋放”狀態(tài)。在任何狀態(tài)下檢測到無效數據、錯誤命令、硬件故障或交叉比較失敗故障，則進入“停止”狀態(tài)，需要對其進行人工復位。制動保障監(jiān)控裝置進入“特殊釋放”狀態(tài)后，當檢測到零速時,進入“掛起”狀態(tài)，直到列車速度達到20 km/h。此時制動保障監(jiān)控裝置對比兩個轉速計的速度，若一致則進入正常的“自檢”狀態(tài)，否則進入“停止” 狀態(tài)。

進入“特殊釋放”狀態(tài)或“正常釋放”狀態(tài)時，制動保障監(jiān)控裝置執(zhí)行的動作是相同的：列車緊急制動時進入II級緊急制動。區(qū)別在于制動保障監(jiān)控裝置從“特殊釋放”狀態(tài)恢復前，需進入速度一致性檢測的“自檢”狀態(tài)。

制動保障監(jiān)控裝置的工作流程見圖9。

圖8 軟件開發(fā)環(huán)境

圖9 制動保障監(jiān)控裝置工作流程圖

3.3.3冗余校驗工作模式

制動保障監(jiān)控裝置在數據同步模式下的二取二表決機制由2個CPU模塊執(zhí)行。在數據同步模式下，表決的確定性邊界創(chuàng)建在2個CPU模塊的數據交換接口處。系統會將所有通過確定性邊界的數據交換都進行比較，以確認2個CPU模塊運行正常。

2個CPU模塊配置為冗余校驗工作模式，運行相同的代碼。每個CPU模塊監(jiān)視另一個CPU模塊的所有輸出信號并與自己的輸出信號進行比較。同時，2個CPU模塊之間交叉對比周期性的狀態(tài)信息(自檢信息及速度/減速度信息)。一旦發(fā)現差異，制動保障監(jiān)控裝置將進入 “停止”狀態(tài)，釋放供給子系統的列車線的控制。

圖10 校驗冗余工作模式

3.3.4緊急制動控制算法

緊急制動控制算法由圖11所示的管理和監(jiān)督過程組成?！氨O(jiān)督者”使用一條速度和距離的復合曲線確保列車在允許的范圍內停車。I級緊急制動時，“管理者”通過調整電制動力以達到監(jiān)督曲線的要求?！氨O(jiān)督者”發(fā)現“管理者”違反了監(jiān)督曲線將施加II級緊急制動。管理曲線必須比監(jiān)督曲線更嚴格，以便于實現精確的速度控制，并避免不必要的II級緊急制動。

圖11 管理和監(jiān)督曲線

4 結束語

介紹了制動保障裝置的硬件和軟件設計，在試驗室搭建了仿真測試環(huán)境，對樣機的穩(wěn)定性和安全性進行驗證，結果表明該設計能夠穩(wěn)定、實時、可靠的完成相應功能。下一步將根據試驗結果，對關鍵技術及實現細節(jié)進行優(yōu)化和改進，提高產品的安全性和可靠性。