任曉坤，田學文

(中車青島四方車輛研究所有限公司 電子事業(yè)部，山東 青島 266031)

既有動車組列車網(wǎng)絡控制系統(tǒng)中央控制單元冗余機制中，多功能車輛總線(MVB)的管理主權(Bus administration，BA)多采用固定方式，MVB總線管理權鎖定在固定設備，發(fā)生冗余切換時需重新初始化MVB板卡，冗余切換時間長，對車輛控制和子設備通信會產(chǎn)生一定影響，進而影響車輛運行。冗余檢測方法采用MVB總線檢測方式，但檢測方法單一，在極端情況下如MVB總線數(shù)據(jù)受到干擾，易發(fā)生雙主或無主的風險，造成MVB總線數(shù)據(jù)異常影響車輛運行。為此，本文提出了列車網(wǎng)絡控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機制，MVB總線的BA主權采用冗余工作方法，即發(fā)生冗余切換時不需要重新初始化MVB板卡，能夠?qū)崿F(xiàn)快速切換而不影響車輛運行。冗余檢測方法采用MVB總線和硬線雙通道檢測為主，當MVB總線數(shù)據(jù)受到干擾時能夠避免MVB總線雙主情況的發(fā)生，同時實現(xiàn)冗余中央控制單元(CCU)交替做主，能夠及時發(fā)現(xiàn)故障問題，避免車輛帶故障運行。安全冗余保障策略中，CCU實時監(jiān)控程序進程、線程以及板卡狀態(tài)，發(fā)生異常時觸發(fā)看門狗復位，硬線輸出復位，可避免MVB總線無主的情況發(fā)生。

1 數(shù)據(jù)安全冗余機制

列車網(wǎng)絡控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機制包含4個基礎策略，分別為MVB總線BA主權冗余策略、MVB總線端口冗余策略、冗余安全輔助策略、冗余安全保障策略。

1.1 MVB總線BA主權冗余策略

主設備利用監(jiān)視相[1]進行主權的傳遞，在一個輪回周期的結(jié)束或故障產(chǎn)生時發(fā)生轉(zhuǎn)移主權[2]。2個CCU都正常時，輪回周期結(jié)束時，BA主設備移交BA主權，BA從設備接受BA主權，完成冗余切換工作；BA主設備異常時，從設備在設定的檢測時間內(nèi)檢測不到MVB總線主幀，則開啟BA主權，保障MVB總線數(shù)據(jù)的穩(wěn)定，BA主權冗余流程如圖1所示。BA主權冗余策略能夠預防設備帶故障工作，避免設備故障時起不到冗余作用。

圖1 BA主權冗余流程

1.2 MVB總線端口冗余策略

2個冗余的CCU中配置不同的冗余端口用于冗余信息傳輸，冗余通信端口按照固定方式配置：CCU1配置中A為源端口，B為宿端口；CCU2配置中B為源端口，A為宿端口。

CCU通過冗余通信端口、硬線信號獲取對方設備信息，輔助CCU所處網(wǎng)段信息進行冗余檢測判斷出主從設備。主CCU將TCMS所需源端口配置為源端口，從CCU將TCMS所需的源端口配置為宿端口，主CCU將源端口數(shù)據(jù)發(fā)送到MVB總線。MVB端口配置如圖2所示，硬線配置見圖3。

圖2 MVB端口配置

圖3 硬線配置

MVB總線端口冗余策略通過3種模式進行判斷，分別為初始模式、正常模式和特殊模式。

1.2.1 初始模式

CCU啟動完成后進入初始模式，初始模式?jīng)Q出弱主弱從。

(1) CCU1初始模式。CCU2通信正常且為弱主，CCU1為弱從；CCU2通信正常，CCU1上次為主，CCU1為弱從；其他情況CCU1為弱主。

(2) CCU2初始模式。CCU1通信故障，CCU2為弱主；CCU1通信正常，CCU2上次為從，CCU2為弱主；其他情況，CCU2為弱從。

1.2.2 正常模式

初始模式完成后進入正常模式，開始主從檢測決出主從。

(1) 正常模式CCU1冗余檢測策略。CCU2通信正常時，CCU1弱主，CCU2弱從，CCU1變主；CCU1弱從，CCU2弱主，CCU1變從；CCU1弱從，CCU2弱從，CCU1變主。CCU2通信故障時，DI板卡正常工況下，檢測到CCU2的硬線主信號為0，CCU1變主；DI板卡正常工況下，檢測到CCU2的硬線主信號為1，并且持續(xù)時間達到設定的檢測時間，CCU1變從；當DI板卡異常，CCU1變主。

(2) 正常模式CCU2冗余檢測策略。CCU1通信正常時，CCU1弱主，CCU2弱主，CCU2變從；CCU1弱主，CCU2弱從，CCU2變從；CCU1弱從，CCU2弱主，CCU2變主；CCU1弱從，CCU2弱從，并且持續(xù)時間達到設定的檢測時間，CCU2變主。CCU1通信故障時，DI板卡正常工況下，檢測到CCU1的硬線主信號為0，CCU2變主；DI板卡正常工況下，檢測到CCU1的硬線主信號為1，并且持續(xù)時間達到設定的檢測時間，CCU2變從；當DI板卡異常，CCU2變主。

1.2.3 特殊模式

列車網(wǎng)絡控制中還有一些特殊情況需要CCU進行冗余切換，包括整備冗余、網(wǎng)段檢測冗余、TCN網(wǎng)關要求CCU冗余切換。

(1) 整備冗余。在列車發(fā)車之前需要進行整備測試，CCU收到預設的整備冗余信號，由正常模式進入整備冗余模式并進行冗余切換，驗證CCU冗余功能正常。

主CCU1的弱主信號變?yōu)镃CU1整備模式信號，CCU1變從；主CCU2的弱主信號變?yōu)镃CU2整備模式信號，CCU2變從；延時預設時間，CCU1/CCU2的整備模式信號變?yōu)槿鯊男盘枺谎訒r預設時間，CCU1/CCU2恢復正常模式，輸出整備冗余切換結(jié)果。

(2) 網(wǎng)段檢測冗余。冗余CCU通信故障時，主CCU檢測到網(wǎng)段信號由大網(wǎng)段變?yōu)樾【W(wǎng)段時，CCU退主變?yōu)閺?，CCU網(wǎng)段檢測示意圖見圖4。

圖4 CCU網(wǎng)段檢測示意圖

(3) TCN網(wǎng)關要求冗余切換。CCU收到網(wǎng)關要求切換信號，主CCU變從，延時預設時間，CCU恢復正常模式。

1.3 冗余安全輔助策略

CCU實時檢測CCU通信故障、輸入輸出(DIDO)板卡狀態(tài)、DI信息、CCU所在網(wǎng)段信息，實時存儲CCU主從狀態(tài)。CCU通信故障時，同步復位數(shù)據(jù)，保障數(shù)據(jù)的準確性。

(1) CCU通信故障檢測。CCU生命信號每個周期加1，生命信號范圍為1～255，當生命信號為0或者生命信號多個周期不跳變，則判斷為MVB通信故障。

(2) 輸入輸出板卡狀態(tài)檢測、DI信息檢測。CCU實時采集DI信息，并通過輸入輸出板卡的生命信號判斷板卡狀態(tài)。

(3) 主從狀態(tài)存儲。CCU實時存儲CCU的主從信息，CCU初上電讀取CCU主從存儲信息。

(4) 實時檢測網(wǎng)段信息。冗余CCU通信故障時，判斷2/3/4車子系統(tǒng)設備是否在線，如無子系統(tǒng)設備在線，則判斷CCU在小網(wǎng)段；如有子系統(tǒng)設備在線，則判斷CCU在大網(wǎng)段。

(5) 通信故障及數(shù)據(jù)復位處理。CCU檢測MVB端口的刷新時間，如超過設定時間，CCU判斷為通信故障，同時將端口數(shù)據(jù)恢復默認值，通信故障與數(shù)據(jù)復位同步，保障數(shù)據(jù)準確性。

1.4 冗余安全保障策略

1.4.1 軟件安全保障方法

CCU程序?qū)崟r監(jiān)控進程狀態(tài)、線程狀態(tài)及板卡狀態(tài)，如狀態(tài)異常則觸發(fā)看門狗復位重啟設備。

1.4.2 硬件安全保障方法

(1) 看門狗復位。CPU按照程序周期定時喂狗，如CPU程序異常則停止喂狗，到達看門狗觸發(fā)的閾值時間后，看門狗復位CPU，同時復位MVB板卡，CCU退出源端口控制權，避免設備異常情況下MVB板卡仍發(fā)送源端口數(shù)據(jù)，即避免CCU雙主的情況發(fā)生。

(2) 輸出(DO)板卡輸出復位。CCU的CPU板卡實時發(fā)送生命信號給DO板卡，DO板卡檢測到CPU生命信號異常則將DO輸出信號清零。主CCU異常時，該機制將DO主信號清零，從CCU檢測到主CCU的MVB通信異常且DO主信號為零，從CCU切換為主CCU，避免MVB總線無主的情況發(fā)生。

2 數(shù)據(jù)安全冗余機制效果

列車網(wǎng)絡控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機制能夠?qū)崿F(xiàn)CCU快速、穩(wěn)定、安全切換，提高了冗余切換的抗干擾度、程序運行的穩(wěn)定性、MVB總線數(shù)據(jù)的安全性。

(1) MVB總線BA主權冗余策略效果。正常模式遵循設定的輪回周期冗余工作，異常時在設定的檢測時間內(nèi)完成主權轉(zhuǎn)移；發(fā)生冗余切換時不需要重新初始化MVB板卡，能夠?qū)崿F(xiàn)快速切換。2個CCU交替獲取BA主權，能夠避免CCU帶故障工作。

(2) MVB總線端口冗余策略效果。采用MVB總線、硬線雙通道檢測為主，大小網(wǎng)段判斷為輔的檢測方法，MVB總線數(shù)據(jù)受干擾時能夠避免雙主情況發(fā)生。3種檢測方法綜合判斷冗余切換條件，提高了冗余切換的穩(wěn)定性。

(3) 安全冗余輔助策略效果。通信故障與數(shù)據(jù)復位同步進行，保障了數(shù)據(jù)的準確性。

(4) 安全冗余保障策略效果。軟件實時監(jiān)控進程、線程、板卡狀態(tài)，發(fā)生異常時則觸發(fā)看門狗復位。看門狗復位實現(xiàn)CPU、MVB同時復位，硬線輸出復位的安全冗余保障機制，避免故障時出現(xiàn)MVB總線無主的情況。

3 結(jié)束語

列車網(wǎng)絡控制系統(tǒng)中央控制單元數(shù)據(jù)安全冗余機制可用于列車網(wǎng)絡控制系統(tǒng)中央控制單元的冗余協(xié)同控制，采用MVB總線、硬線雙通道檢測為主，網(wǎng)段檢測為輔的檢測方法，具備安全冗余輔助策略和保障策略，可實現(xiàn)中央控制單元的快速、穩(wěn)定、安全地冗余切換。中央控制單元數(shù)據(jù)安全冗余機制提高了列車網(wǎng)絡控制系統(tǒng)的通信抗干擾度，能夠避免雙主或無主情況發(fā)生，保障了動車組的網(wǎng)絡數(shù)據(jù)安全及列車運行的安全。