秦協(xié)安

摘要 高速動車組是適應當下快節(jié)奏出行需求的一種交通工具，對控制系統(tǒng)的安全性、可靠性有著非常高的要求。車載網(wǎng)絡系統(tǒng)作為列車控制的“大腦”，其控制架構和控制策略尤其關鍵。當前，列車的安全保障主要偏重于監(jiān)視，控制依賴于車輛和人工的參與，安全防護的功能標準也不統(tǒng)一。著眼于安全導向，文章針對CRH2系列動車組提出一種基于安全計算機架構的控制策略及優(yōu)化方法，通過測試與裝車運營，驗證了該方案的全面有效性，顯著提升了車輛控制的安全性和可靠性。

關鍵詞 車載網(wǎng)絡系統(tǒng)；安全計算機架構；控制策略；優(yōu)化方法

中圖分類號 U284.48 文獻標識碼 A 文章編號 2096-8949（2023）11-0001-04

0 引言

“和諧號”高速動車組是目前客運列車的主力車型，其中CRH2系列動車組在高速列車占有量中排名第一（約30%）[1]。該型動車組已通過大批量長期穩(wěn)定的商業(yè)運營，有效驗證了其安全性和可靠性，車載網(wǎng)絡系統(tǒng)作為核心控制部件為動車組提供了最關鍵的安全保障。

車載網(wǎng)絡系統(tǒng)主要負責收集列車主控端各司控操作和信號控制系統(tǒng)的指令，進行數(shù)據(jù)整理和邏輯制作后將控制信息通過車載網(wǎng)絡總線下發(fā)至整車和各系統(tǒng)執(zhí)行。目前列車的牽引制動、受電弓升降、司機警惕、過分相、遠程控制等關鍵控車操作都依賴于車載網(wǎng)絡系統(tǒng)的控制和傳輸，因此研究一種安全、可靠的車載網(wǎng)絡控制方法對列車穩(wěn)定運營有著極其重要的意義。該文重點從車載網(wǎng)絡系統(tǒng)的安全計算機架構、軟硬件安全可靠性設計方面進行研究與應用，完善控制方法，提升列車控制精度和功能的全面性[2]。

1 網(wǎng)絡系統(tǒng)結構

CRH2系列動車組網(wǎng)絡系統(tǒng)[3]是一種分布式控制系統(tǒng)，主要由中央控制裝置和終端控制裝置組成，其中央控制裝置分布在頭尾車司機室，終端控制裝置分布在各車廂。所有中央控制裝置和終端控制裝置由光纖連接，組成列車級的ARCNET[4]雙重環(huán)網(wǎng)總線。其中控制指令主要由主控車中央控制裝置采集和制作，再由光纖環(huán)網(wǎng)總線傳遞至各車執(zhí)行，系統(tǒng)控制數(shù)據(jù)傳輸結構如圖1所示。

該傳輸機制是一種基于安全計算機架構的多機并行容錯評判策略，控制信息由互為冗余的安全計算機部件1和2采集并邏輯制作后進行輸出，與安全計算機相連的光節(jié)點插件通過光纖環(huán)網(wǎng)雙向并行發(fā)送至整車所有網(wǎng)絡系統(tǒng)設備，再由分布在各節(jié)點位置的網(wǎng)絡設備將信息傳遞至車輛及其子系統(tǒng)。雙向并行發(fā)送數(shù)據(jù)可減少1/2的全網(wǎng)貫穿時間，使用動態(tài)對撞消融技術，使并行發(fā)送的控制信息在某節(jié)點匯合時結束發(fā)送，認為此傳輸周期結束，返回中斷指令。此方法還可在通信鏈路故障時，使動態(tài)消融點自動適配故障點，無需數(shù)據(jù)重發(fā)與線路冗余切換，實現(xiàn)了動態(tài)容錯信道下數(shù)據(jù)傳輸?shù)膶崟r性與可靠性。

2 控制裝置架構

該文設計的網(wǎng)絡系統(tǒng)控制信息采集、邏輯制作和輸出采用的是二乘二取二的安全計算機架構，具體組成如圖2所示。

硬件只支持24 V信號的采集，所以外圍輸入需先經(jīng)過繼電器完成100 V到24 V的轉化后才能被安全計算機部件采集。采用雙機熱備冗余，每個安全計算機結構中都含有雙CPU，即由“主CPU”和“從CPU”兩個CPU組成，僅主CPU的輸出連接到外圍輸出接口?！爸鰿PU”和“從CPU”兩者運行程序完全一致，分別根據(jù)指令輸入數(shù)據(jù)進行邏輯運算，按規(guī)定周期時間進行輸入至輸出的轉化，形成輸出結果后送出，同時接收來自對方的輸出數(shù)據(jù)，與自身數(shù)據(jù)進行比較，當兩者數(shù)據(jù)一致，方可輸出正確的控制信息；當數(shù)據(jù)不一致時輸出異常，封鎖異常安全計算機輸出并通過切換實現(xiàn)輸出通道變更。此種設備級和通道級的冗余結構可大幅提升網(wǎng)絡系統(tǒng)控制功能的安全性和可靠性。

3 控制策略與優(yōu)化設計

控制信息的制作和傳輸對精度與時延性有著非常嚴格的要求。針對列車各子系統(tǒng)執(zhí)行情況和網(wǎng)絡系統(tǒng)各部件的傳輸周期，結合安全計算機輸入輸出各邏輯的合理性確認，制定了如下控制策略：

（1）指令輸入數(shù)據(jù)以2.5 ms為周期進行一次采樣，當連續(xù)采樣2次數(shù)據(jù)相同時才采信，即相當于從輸入上增加了2.5 ms濾波以抗干擾。

（2）數(shù)據(jù)采集后進行信號的判斷與制作，并以10 ms為周期進行邏輯輸出。

（3）每個安全計算機均進行主從CPU輸出數(shù)據(jù)的一致性判定，當不一致的結果持續(xù)時長達到規(guī)定時間后（該方案為2 s），將輸出異常，并對外切斷該安全計算機的輸出，實現(xiàn)故障單點主動隔離，由設備的另一個安全計算機接替工作，不影響其他計算機和通道的控制功能。

3.1 故障鎖定分析

通過列車實際情況的測試，發(fā)現(xiàn)正常情況下各控制信息的輸入脈沖寬度基本均在50 ms以上。但基于安全導向，軟件設計需考慮車輛各異常干擾的極端工況（實際在車輛運行過程中確實發(fā)生過由于外界異常輸入導致安全計算機鎖定的情況，造成無法控車的重大安監(jiān)故障），需針對導致雙CPU比較不一致的情況做全方位考量，特此將以下各種異常干擾作容錯分析，避免不一致時間達到2 s時啟動安全保護，鎖定計算機，停止對外輸出的情況，提升車輛控制安全性和可靠性。

（1）當外界干擾出現(xiàn)單脈沖波形時，可能造成CPU1和CPU2輸出10 ms不一致，但無法持續(xù)200個周期（2 s），所以不會觸發(fā)2 s不一致保護。

（2）當外界出現(xiàn)非規(guī)律性連續(xù)2.5～10 ms脈寬的波形干擾時，只要在2 s內(nèi)200次干擾中有一次不滿足2.5～

10 ms或干擾的周期間隔不是10 ms，均不會觸發(fā)2 s不一致保護。

（3）當外界出現(xiàn)有規(guī)律性連續(xù)2.5～10 ms脈寬的波形干擾時，有可能CPU1和CPU2采樣值一直不一致，當每10 ms比較時，用該CPU當前值與其他CPU上一次值（比較時刻其他CPU的新值還未產(chǎn)生并輸入到自CPU）比較，也可以造成CPU1和CPU2輸出10 ms不一致，持續(xù)2 s就會觸發(fā)不一致保護，如圖3所示。

（4）當外界干擾出現(xiàn)10 ms周期及以上脈寬的波形時，由于兩個CPU的任務周期為10 ms，因此均能正常采集到輸入信號，不會出現(xiàn)不一致的情況。

（5）當外界干擾出現(xiàn)2.5 ms為周期的波形時，由于繼電器的特性無法跟隨響應，僅能響應≥5 ms為周期的波形。繼電器特性如圖4所示。

圖4 繼電器動作特性

根據(jù)大量的試驗測算，由于繼電器的閉合和恢復時間均＞2 ms，即閉合+恢復＞4 ms，通過給定不同周期的外部輸入，過繼電器后最小的周期在5 ms左右，不會產(chǎn)生2.5 ms周期的情況。即當外部輸入周期在5 ms以上時，過繼電器前和過繼電器后的波形情況一致，但當外部輸入周期小于5 ms后，過繼電器后的波形將不會與外部輸入周期保持一致。試驗結果如表1所示。

序號1對應情況過繼電器后的示波器監(jiān)測結果周期如圖5所示、脈寬如圖6所示（備注說明：24 V光耦信號采集，當電壓從工作電壓被拉低時認為是高電平輸入）。

所以當外界干擾輸入短脈沖周期為最小采樣周期2.5 ms時，過繼電器后的不一致比較情況如圖3所示，若為規(guī)律性的脈沖輸入，持續(xù)2 s就會觸發(fā)不一致保護。

綜上所述，各種異常干擾情況帶來的結果分別如下：

（1）外界出現(xiàn)偶發(fā)性單脈沖干擾或非規(guī)律性連續(xù)脈沖干擾或10 ms脈寬及以上的波形時，制定的軟件控制策略均可以規(guī)避安全計算機鎖定。

（2）外界出現(xiàn)規(guī)律性連續(xù)周期≥5 ms，10 ms＞脈寬≥2.5 ms的波形，繼電器可以響應此周期，當不一致持續(xù)2 s，將導致安全計算機鎖定。

（3）外界出現(xiàn)規(guī)律性連續(xù)周期＜5 ms，脈寬＞0 ms的波形，繼電器無法響應此周期，經(jīng)過繼電器后周期會放大，此情況和第2點現(xiàn)象類似，當不一致持續(xù)2 s，可以導致安全計算機鎖定。

3.2 控制方法優(yōu)化

當外界出現(xiàn)規(guī)律性連續(xù)脈沖干擾時，造成CPU1和CPU2連續(xù)2 s不同且數(shù)值固定的情況，細分成2.5 ms采樣（每兩個周期采樣一致才會信任）：

（1）10 ms結果為0的可能有如下7種情況：0000，

0001，0010，0100，1000，1001，1100。

（2）10 ms結果為1的可能有如下7種情況：0011，

0110，0111，1011，1101，1110，1111。

（3）10 ms輸出結果保持比較不一致的可能有如下2種情況：01、10。

因此規(guī)律性連續(xù)脈沖干擾的產(chǎn)生的不一致可能有 7×7×2=98種情況。此情況相當于每2.5 ms的采樣均無變化，才會在兩次采樣后信任為0或1。所以在原2 s不一致診斷策略基礎上，再增加連續(xù)2 s中2.5 ms的所有采樣不變化，將大幅縮小鎖定可能。

總結：當增加2 s內(nèi)，800次采樣一致作為鎖定條件，能將鎖定周期限制至2.5 ms以下，同時由于繼電器的動作特性，即使外界有小于2.5 ms周期輸入繼電器也無法實現(xiàn)周期小于4 ms的動作頻率，所以任意規(guī)律脈沖干擾在外界輸入，均無法在CPU側產(chǎn)生2.5 ms以下的周期輸入信號，排除外界輸入導致安全計算機鎖定。

3.3 運用效果驗證

為驗證控制策略的全面可靠性，對安全計算機各輸入點位均進行了不同周期和脈寬干擾的測試，使用示波器監(jiān)測外界輸入干擾波形，同步利用協(xié)議分析儀監(jiān)測數(shù)據(jù)鏈路層的控制信息輸出數(shù)據(jù)是否正常。以下為部分實驗情況的對比說明（外部輸入干擾模擬如圖7所示，控制方法優(yōu)化前如圖8所示，優(yōu)化后如圖9所示）。

試驗結果表明，外界各種周期和脈寬規(guī)律性連續(xù)干擾的波形不會導致安全計算機觸發(fā)鎖定，驗證了該優(yōu)化方案的有效性，確?？刂品椒ǖ耐暾院涂煽啃裕M一步保障了行車安全。

4 結語

該文通過分析CRH2系列動車組車載網(wǎng)絡系統(tǒng)結構，設計了一種基于安全計算機架構的軟硬件控制方案。雙機熱備冗余雙CPU安全監(jiān)測的架構保證了控制功能的安全性和可靠性基礎，軟件控制策略結合各異常工況綜合考慮的優(yōu)化控制方法，有效識別了控制盲區(qū)，提升了控制功能的全面性，也為后續(xù)車輛控制提供了很好的示范。目前該軟硬件控制方案已廣泛應用于1 100余列CRH2系列動車組，充分保障了動車組的穩(wěn)定運營。

參考文獻

[1]劉昭翼. 車載網(wǎng)絡控制系統(tǒng)數(shù)據(jù)流優(yōu)化方法研究與實現(xiàn)[J]. 現(xiàn)代信息科技， 2022（9）： 121-125.

[2]王奇. 軌道交通安全相關系統(tǒng)安全完整性的探討[J]. 機車電傳動， 2015（2）： 1-3+9.

[3]霍芳， 劉群欣， 張森. CRH2型高速列車網(wǎng)絡控制系統(tǒng)的創(chuàng)新研究與實現(xiàn)[J]. 機車電傳動， 2014（4）： 21-23+52.

[4]聶曉波， 王立德， 申萍， 等. ARCNET網(wǎng)絡系統(tǒng)實時性能分析與研究[J]. 鐵道學報， 2011（1）： 58-62.