（通信与信息系统专业论文）列车控制车载子系统双机容错模拟研究.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 随着计算机技术和电子技术的迅猛发展以及高可靠理论的日趋成熟。 信息技术在铁路信号控制系统中得到了越来越广泛的应用。由于铁路信号 控制系统在安全、可靠的铁路运输系统中扮演着非常关键的角色，因而确 保铁路控制系统的安全性、可靠性成为至关重要的问题。 计算机容错系统是由若干台计算机根据一定的容错规则，通过硬件资 源的冗余和运行的容错软件构建而成此种系统当出现一定的运行故障时， 系统仍然能够正确运行并输出预想结果。铁路系统对计算机可靠性的要求 越来越高，因此深入研究容错系统及容错软件显得非常重要。 本论文在以c b t c ( 基于通信的列车控制系统) 为背景，以车载控制子 系统为载体，模拟实现了一个双机容错系统地实验模型论文首先介绍了 c b l 的基本原理和系统框图以及分析和比较了多种冗余结构模型，对冗余 模型的关键技术进行了探讨。结合w i n d o w s 的基于消息机制的w i n s o c k f o 模型着重讨论和完成了双机热备系统的冗余心跳模型、心跳故障检测、主 各切换、双机信息同步等关键模块。最后对所完成的软件子系统进行了功 能测试及用仿真软件m a t l a b 对影响双机容错系统的关键参数进行了仿真。， 关键字：列车运行控制；可靠性；双机容错；心跳模型；切换 西南交通大学硕士研究生学位论文第页 a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e ra n de l e c t r o m ct e c h n o l o g ya n dh i g h r e l i a b l et h e o r yg r a d u a l l yb em a t u r e i n f o r m a t i o nt e c h n o l o g yh a sg o tm o r ea n d m o r eb r o a da p p l i c a t i o ni nr a i l w a ys i g n a lc o n t r o ls y s t e m s i n c er a i l w a ys i g n a l c o n t r o ls y s t e mb ea c t i n ga se x t r a o r d i n a r yk e yr o l ei ns a f e , r e l i a b l e r a i l w a y t r a n s p o r ts y s t e m , e n s u r et h a tt h er a i l w a ys i g n a lc o n t r o ls y s t e ms a f e t y , r e l i a b i l i t y b e c o m e st h ea l l - i m p o r t a n tp r o b l e ma sar e s u l t t h ec o m p 蝴f a u l t - t o l e r a n ts y s t e mi sar e d u n d a n ts y s t 锄c o m p o s e do f m u l t i c o m p u t e r sb yr e d u n d a n t 口懿的i 臌a n df a u l t - t o l e r a n ts o f t w a r en m d i n go ni t a c c o r d i n gt h e d e f i n i t ef a u l t - t o l e r a n t p r i n c i p l e w h e nr a n - t i m e e r r o rc o m e s f o r t h , t h ef a u l t - t o l e r a n ts y s t e mw i l lc o n t i n u ee x e c u t i n gt h ep r o c e d u r ea n dg i v i n g o u tp r o p e rr e s u l t s i nt h et r a i ns y s t e mt h er e l i a b i l i t yo fc o m p u t e rs y s t e mw a s p i e dm o ma t t e n t i c l ，l s od e v e l o p i n gt h e r e s e a r c ho fc o m p u t e rf a u l t - t o l e r a n t s y s t e ma n df a u r - t o l 盱a n tt e c h n o l o g yi sv e r yi m p o r t a n t t h i st h e s i si m p l e m e n td u a lf a u rt o l e r a n c ee x p e r i m e n tm o d e lt a k i n gc b t c ( c o m m u n i c a t i o nb a s e dt r a i nc o n t r 0 1 ) a sb a c k g r o u n da n dw i t ht h et r a i nc o n t r o l s u b s y s t e ma sav ：a t l - r i e r a tf i r s tt h i sp a p e ri n t r o d u c eb a s i cp r i n c i p l ea n ds y s t e m f t a m eo ft h ec b t c f o rt h em o r e , d i s c u s st h ek e yt e c h n o l o g yo ft h ev a r i o u s r e d u n d a n t m o d e l a d d i t i o n a l l y , i m p l e m e n t t h e r e d u n d a n c y o fh e a r t b e a t m o d u l e ，f a u l tc h e c km o d u l e , h o s t - s t a n d b ys w i t c hm o d u l ea n dt h eo t h e rm o d u l e o ft h ed u a ls t a n d b ys y s t e mb yt h em o d e lo fm e s s a g e - b a s e dm e c h a n i s mf o r w i n s o c ki o f i n a l l y , h a v ec a r r i e do u tt h ef u n c t i o nt e s t i n go ft h es o f t w a r e s u b s y s t e ma n ds i m u l a t e dt h ek e yp a r a m e t e rw h i c ha 伍e c t i n gt h ed u a lf a u r t o l e r a n c es y s t e mu s i n gs i m u l a t e ds o f t w a r em a t l a b k z y w o r d s ：w a i nc o n t r o l ；r e l i a b i l i t y ；d u a lf a u l tt o l e r a n c e ；h e a r t b e a tm o d e l ；s w i t 曲； 西南交通大学硕士研究生学位论文第1 页 1 i 技术背景 第一章绪论 计算机系统的安全性和可靠性是保证在轨道交通信号领域成功应用 计算机技术的关键。缺乏可靠性与安全性的计算机系统投入运行将会给列 车运行造成无法估量的损失，甚至会带来巨大的灾难。 随着铁路运输速度的提高，保证行车的安全性和可靠性非常必要列 车控制系统作为铁路大系统中的一个重要分支，在当今的列车控制系统中 普遍采用了安全计算机进行控制，列车运行控制系统计算机的可靠性和安 全性是业内非常重视的关键问题。 一直以来，人们对提高列车控制系统的可靠性问题进行了一系列的探 索和尝试。通过采用模块化的设计和分散自律的结构以减少危险，从而提 高系统的可靠性和安全性；通过对控制系统分级分布以减轻主控制机的负 担，进一步保证系统的安全、可靠和连续运行；一种有效的办法就对系统 进行冗余配置，即构成计算机容错系统，以解决系统的可靠性问题。 早期的容错系统大多是应用于国家的重要部门，是造价昂贵的专用系 统。随着计算机的普及应用，人类的生产、生活已经越来越多地与计算机、 网络、数据库联系在一起。人们对计算机的依赖程度越高，计算机的可靠 性就越重要，由此加大了对容错计算机的需求同时也推动了容错技术的 发展。 目前计算机系统容错技术在软硬件方面都有很大的发展，已形成了一 个独立的专业分支系统一容错系统。很多厂家也已有相应的产品，例如获 得9 6 美国c o m d e x 最佳应用程序奖的o c t o p u s 技术公司研制开发的 o c t o p u sf o rw i n d o w sn t 软件，是双机容错热备份系统的重要技术成果之 一 因此，计算机的容错、热备份技术的研发已逐渐被人们所重视，越来 越多的容错技术被应用到各个领域的计算机系统中 1 2 国内外研究现状 1 国外发展概况 在计算机容错技术领域，国外的研究工作开展较早可以说在第一代 西南交通大学硕士研究生学位论文第2 页 计算机( 1 9 4 6 年一1 9 5 7 年) 期间，人们就己将容错技术应用到计算机中 由于当时构成计算机的元件主要是电子管、继电器及延迟线存储器。这些 元件的失效率相当高，并且易受瞬时故障的影响，故系统的平均无故障时 间极短，为此需采用故障检测与恢复技术以提高系统的使用时间。例如， i b m 6 5 0 。l t n i v a c , w h i r l w i n di 等计算机采用了奇偶校验以检查数据传 送的结果是否正确。还有，1 9 4 9 年设计的e d v a c 计算机采用了双份运算 部件，每次运行后两个部件的结果进行比较，用以检测故障。这个时期己 出现了早期的容错系统。1 9 5 2 年冯诺依曼( j o h nv o nl s e e m a n n ) 在加利福尼 亚技术学院作了关于容错技术研究的五个报告，他所提出的精辟的论断成 了以后容错技术研究的基础。1 9 5 8 年他发表了题为概率逻辑及用不可 靠的元件设计可靠的结构的论文，文中提出了多数表决的概念，并分析 了这种结构对系统产生错误结果的概率可能产生的影响。这预示着容错计 算方面的理论工作的开始 到了7 0 年代，随着计算机的更新换代，容错技术进入蓬勃发展的时 期。该时期容错技术的应用和研究范围迅速从宇航领域扩大到交通管制、 工厂自动化、电话开关、战略防卫的控制和数据处理等领域。主要成果有 电话开关系统e s s 系列处理机、软件实现容错的s i f t 计算机、容错多处 理机f 1 m p 等等。 到年代，随着超大规模集成电路v l s i 和计算机的迅速发展和广 泛应用，容错技术的研究也随着计算机的普及而深入到整个工业界，许多 公司生产的容错系统己商品化并进入市场。 2 国内发展概况 我国研究容错系统起步较晚。从技术角度来讲，在年代我国派出 了一批学者出国，他们在美国和日本从事容错系统的研究，回国后纷纷成 为这一领域的学术带头人二十多年来，他们的优异工作得到了该领域的 广泛关注。现在我国在容错研究领域的某些方面已经居于国际前沿1 9 8 7 年1 月我国计算机学会也成立了自己的容错计算专业委员会，召开了多次 全国性的容错计算学术会议这充分说明了我国对容错计算技术的关注程 度。 在应用方面，我国容错系统的应用领域非常广泛，m m 、s t r a t u s 、天 腾、d e c 等公司的容错产品大量传入我国，在银行、证券、航天及核技 术领域得到了普遍的应用 西南交通大学硕士研究生学位论文第3 页 在产品研发上，虽然我国还没有形成通用的计算机容错产品，但各行 各业在各自的领域中自行开发了一些高可用系统，如用于铁路运输系统的 铁路微机联锁系统更令人高兴的是，我国的曙光机和我们自行开发研制 的交换机系统中提供了容错性能。并且在软件测试方面也引起了人们的重 视，铁道、航空和航天等部门纷纷成立了自己的软件测试中心，由此可见 人们已经充分意识到容错的重要性。 1 3 本论文主妻研究内容 本论文研究的主要内容是以及于通信的列车控制系统( c b t c ) 为背景。 以车载控制子系统为载体，对双机容错系统中的心跳检测技术、双机切换 动作以及双机同步等一系列技术要点展现出来在此基础上模拟实现了一 个相对比较完整的双机容错系统并对双机容错系统可靠性的进行了 m a t l a b 仿真 论文主要研究了如下几方面的内容： 1 ) 讨论了当前比较流行的容错结构的工作原理及对其进行了可靠 度的计算和比较。 ( 2 ) 介绍了轨道交通领域典型的c b t c 系统原理和系统框图，并从 中抽取出了本文着重要研究的车载子系统双机容错系统 ( 3 ) 以车载子系统为载体完成了双机容错系统的搭建和在其上软件 的实现及测试。在软件的实现中又重点讨论了冗余的心跳线结构的设计、 动态心跳周期的实现、平滑切换的设计和实现。在完成几大技术难点的基 础上基本上模拟实现了一个比较完整的双机容错系统模型。而在该系统中 由软件来判定是否进行切换，这样切换的时间大大减少，提高了切换时的 数据传输质量，保证了数据传输的可靠性和安全性。 ( 4 ) 限于实验的时间和资金条件，所以对系统建模分析采用软件进 行模拟仿真，并通过结果对系统的可靠性进行分析，最后通过仿真语言 m a t l a b 对系统的模型进行分析，根据给定的参数因子计算出系统的可 靠度。 西南交通大学硕士研究生学位论文第4 页 第二章列控系统与冗余结构模型 2 1 基于通信的列控系统( c b t c ) 的总体结构 1 1c b t c 系统概述 基于通信的列车控制( c o m u n i c a t i o n s - - b a s e dt r a i nc o n t r o l ，c b t c ) 系统独立于轨道电路，采用高精度的列车定位和连续、高速、双向的数据 通信，通过车载和地面安全设备实现对列车的控制。c b t c 已在全世界范 围内发展，它不仅在国铁得到推广应用，而且在城市轨道交通系统，包括 地下铁道或快捷运输线路也给以青睐。 基于通信的列车控制利用先进的通信、计算机技术突破了固定闭塞 的局限，实现了移动闭塞在技术和成本上较传统的信号系统有明显的优 势。该技术无需在轨道上进行固定长度、固定位置的闭塞分区，而是把每 一列车加上前后的一定安全距离作为一个移动的分区，列车制动的起点和 终点都是动态的。列车的安全间距是按后续列车在当前速度下所需的制动 距离加上安全余量计算得出列车的最小运行间隔在9 0 s 以内，个别条件 下可实现小于6 0s 的间隔时间。与传统的固定闭塞、准移动闭塞技术相 比移动闭塞技术实现了车载设备与轨旁设备不问断的信号双向传输，使列 车定位更精确、控制更灵活，可以安全有效地缩短列车间隔，提高列车运 行的安全性与可靠性降低列车的运营和维护成本 c b t c 技术发源于欧洲连续式列车控制系统，经过多年的发展，取得了 长足的进步。包括阿尔卡特、西门子、阿尔斯通等多家列车控制系统设备 提供商均开发出了自己的c b t c 系统，并在温哥华、伦敦、巴黎、香港、 武汉等多个城市的轨道交通线路上运行。我国于2 0 0 4 年投入运营的武汉 轻轨是国内第一条采用c b t c 方案的城市轨道交通线路然而对于仍在运 营的轨道交通系统，如何在不影响服务的条件下应用先进的信号系统，是 运营商在考虑对信号系统进行升级时必须而对考虑的问题 2 c b t c 系统的原理 c b t c 系统引人了通信子系统，建立车地之间连续、双向、高速的通信， 列车的命令和状态可以在车辆和地面设备之间可靠交换，使系统的主体 c b t c 地面设备和受控对象列车紧密的连接在一起所以，“车地通信”是 c 8 t c 系统的基础，c b t c 系统的另外一个基础则是“列车定位”只有确定 西南交通大学硕士研究生学位论文第5 页 了列车的准确位置，才能计算出列车问的相对距离，保证列车的安全间隔。 也只有确定了列车的准确位置，才能保证根据线路条件，对列车进行限速 或者与地面设备发生联锁。所以说车地通信是c b t c 系统中的一条“明线”， 列车定位则是c b t c 系统的“暗线”，车地通信和列车定位共同构成c b t c 系统的两大支柱 3 典型的c 明汜系统 i e e ec b t c 标准列举了典型的c b t c 系统的功能框图，如图2 - 1 所示。 图2 - 1 典型的c b t c 系统功能框图 整个系统包括“c 眦地面设备”和“c b t c 车载设备”，地面和车载设 备通过。数据通信网络”连接起来，构成系统的核心功能框图中还单独 列出了“联锁”功能模块，该功能模块与c b t c 地面设备连接考虑到不 同的线路长度可能需要多套的c b t c 地面设备，所以在典型框图中还列出 了“相邻的c b t c 地面设备”模块最后，在c b t c 设备的基础上，增加 a t s 模块，用于实现系统的 t s 功能以上列举的是c b t c 系统的典型结 构，实际的系统可能由于不同的设备提供商、不同的工程需要而有所差异 但是，所有c b t c 系统均采用数据通信网络，连接c b t c 地面和车载设备， 实现a t p 功能，控制列车安全运行 西南交通大学硕士研究生学位论文第6 页 2 2 冗余系统模型概述 提高计算机系统的可靠性与安全性一般有两种途径：一种是采用谨慎 的设计和质量控制方法尽量减小故障出现的概率，即“避错法”( f a u l t a v o i d a n c e ) 另一种是以冗余资源为代价来换取可靠性与安全性当计算 机出现故障时，并不影响计算机输出结果的正确性，即“容错法”( f a u l t t o l e r a n c e ) 。在实际应用中提高可靠性与安全性的根本方法是采用容错技 术 在国内，随着计算机控制技术的迅速发展和应用的日益深入，对计算 机控制系统可靠性的要求也越来越高，人们不仅仅满足于系统在控制功能 上的完备性，而且把可靠性和安全性作为衡量系统性能的不可缺少的重要 指标。八十年代，容错技术在计算机控制系统中的应用研究得到普遍关注 根据系统结构及复杂程度，学者们在硬件及软件设计上采用各种容错技 术，以提高系统的可靠性。许多具有容错功能的计算机控制系统已投入使 用 容错( f a u l t t o l e r a n c e ) 原是计算机系统设计技术的一个概念，它是 指系统虽然遭受到内部环节的局部故障或失效，但仍可继续正常运行的一 种特征我们虽无法保证构成系统的各个环节的绝对可靠，但若把容错的 概念引入到控制系统，从而构成容错控制系统，使系统中的各个故障因素 对控制系统性能的影响被显著得削弱，那就意味着间接地提高了控制系统 的可靠性和安全性。尤其是当构成控制系统的各个部件的可靠度验前未知 时，容错更是在系统设计阶段保证系统可靠性和安全性的主要途径。因此， 所谓容错控制系统，就是具有冗余能力的控制系统，即在某些部件发生故 障的情况下，系统仍能按原定性能指标或性能指标略有降低( 但可以接 受) ，而安全地完成任务。容错系统的基本设计方法有两种：硬件冗余法和 软件冗余法( 也称解析冗余法) 硬件冗余分为动态冗余和静态冗余两种： 软件冗余分为解析冗余、功能冗余、参数冗余、时间冗余和信息冗余等几 种。所谓硬件冗余就是追加多余的装置( 或电路，元件) ，使得其中即便有 一部分出现故障时从整体看并没有发生故障：软件冗余是利用系统中不同 部件在功能上的冗余性，通过估计，以实现故障容错：所谓静态冗余就是 指系统在开始工作时全部的冗余装置都参与运行的冗余结构：而动态冗余 则是只有当系统运行中的装置发生故障时，由等待中的正常备用装置将其 切换的冗余结构。在计算机控制系统领域里，采用二模动态冗余、三模静 西南交通大学硕士研究生学位论文第7 页 态冗余和软件冗余的方法较为常见本章就从以上几方面来阐述并分析计 算机的容锗控制系统的结构、原理及存在的问题 容错技术是依靠计算机资源的冗余来实现的。通过合理使用硬件冗 余、时间冗信息冗余、软件冗余，达到提高计算机系统可靠性的目标可 以说冗余是容错技术的核心 ( 1 ) 硬件冗余：在常规设计的硬件之外，再附加备份硬件。硬件冗 余包括：静态冗余( 堆积冗余) ，动态冗余( 待命储各冗余) 和将两种冗余结合 运用构成的混合冗余硬件冗余可以在元器件级、部件级、模块级、整机 级上实现 ( 2 ) 时间冗余：重复地执行指令或段程序而附加额外的时间 ( 3 ) 信息冗余：增加信息的多余度，使其具有一定纠错和检错能力 ( 4 ) 软件冗余：用于测试、检错的外加程序，用于计算机系统的自 动重组、降级运行的外加程序等。 由于在本文搭建的列车控制车载子系统实验模型中用到了硬件冗余， 下面就着重讨论各种常见的冗余模型及对其可靠度和安全性指标进行计 算并模拟分析 2 3 双模冗余热备系统 1 双模冗余系统的基本结构 动态冗余的基本思想是：系统不仅能保证故障的屏蔽，而且还要进行 故障定位并自动切换故障子系统或改变系统的结构，不让故障部分的积累 造成系统的误动作：动态冗余以高覆盖率，快速响应的故障检测与诊断技 术为基础，它不仅使系统的可靠性大大提高，而且极大地缩短了故障部分 的修复时间，使系统的可用性也大大提高，所以动态冗余是容错计算技术 中最主要和常用的技术，也是最复杂的技术实际应用中以双模动态冗余 控制系统最为典范。 双模动态冗余系统就是由两套具有相同内外在特征的装置通过一个 输出切换装置去控制同一对象的控制系统两套装置为一主机和一备机， 平时只有主机工作有效，即主机来对被控制对象进行监控，备机处于等待 状态，当主机出现故障时，系统自动切换至备机，即由备机接替主机来对 被控制对象的监控 其基本逻辑结构如图2 2 所示： 西南交通大学硕士研究生学位论文第8 页 图2 - 2 双模动态冗余系统逻辑结构框图 图2 - 2a ，b 是两台完整的计算机，每台计算机都含有一块c p u 、内 存和接口电路，甚至还包含一些外部设备。两台中的一台作为基本工作模 块、另一台作为备用模块对各种输入信息，通过两机各自的输入通道输 入a 机和b 机，但是只指定主控机a 机可以经过自己的输出通道向外部输 出，另一台b 机则作为备用机，只对主机和链路状态进行检测，对外部不 提供输出。一旦检测出主控机为永久性故障时，可以自动切换，将备用机 改为主控机，并向外输出，对整个实时过程进行控制。故障机修复后，可 以切入并自动进入双模热备工作方式。 双机工作时，主控机电源掉电，能够强制备用机为主控机。掉电主控 机恢复后则成为热备从机。双机工作时也可用人工方法( 即倒机按钮) 进行 切换，它的级别优于自动切换，便于故障机离线维护双机工作时，它们 之间通过通信接口交换工作状态信息，互相协调工作并进行时钟同步双 机热备系统，在日前仍然有着相当大的应用背景因为拥有多台计算机的用 户很多，他们期望利用现有的资源，在最小程度破坏任何计算机的情况下 实现一个容错系统，这是一个比较经济的方案 假定双模动态冗余系统中的模块可靠度均为r - e - 。，并设定判决器 的可靠度为1 的情况下，双模动态冗余系统的简单可靠度模型为： 足善g ) ( 1 一只) f r 4 ( 2 一1 ) 对于双模动态冗余n = 2 ，则有： 足- r 2 + 2 r ( 1 一r ) - 2 r r 2 - 2 e 一一e 础 ( 2 2 ) 其系统的故障平均间隔时间l i t b f ( m e a nt i m eb e t w e e nf a i l u r e s ) 为： 西南交通大学硕士研究生学位论文第9 页 脚f 足( f 渺- i 2 一西1 - 西3 ( 2 3 ) 单模系统的m t b f i ，显然双模动态冗余系统的可靠性要高很多，若 能及时修复故障模块其可靠性会进一步提高。单模系统和双模动态冗余 系统的可靠性曲线比较如图2 3 所示： 图2 - 3 单模系统和双模冗余系统的可靠度曲线 2 双模冗余热备系统的结构的几点说明： ( 1 ) 双机热各= 主机+ 备机 双机热备指在同一时刻只有一台机器在工作。其中还可以分两种情 况，一种是如果主机不能正常工作，备机接管服务，但一旦主机恢复正常 工作，系统将再做一次切换，由主机再次接管服务另一种情况是主备机 切换，备机接管工作，当主机恢复正常工作，系统将不再作切换，直至升 为主机的机器发生故障才进行切换动作 第一种情况一般用于两台不同配置的机器，主机配置好点，备机只是 西南交通大学硕士研究生学位论文第l o 页 用来应付一下临时上作的，第二种情况一般两台机器有相当的性能 ( 2 ) 双机互备= 主机( 备机) + 备机( 主机) 部分应用运行于主机，部分应用运行于备机两个相对独立的应用在 两台机器上同时运行但彼此均为备机，当某一台服务器出现故障时，另 一台服务器可以在短时间内将服务器的任务接管过来，从而保证了应用的 连续性，但对服务器的性能要求比较高，配置相对要好 ( 3 ) 双机双t = 主机+ 主机 两台主机同时运行应用。两台服务器均为活动，同时运行相同的应用， 保证整体的性能，也实现了负载均衡和互为备份 总之，无论上面哪种双机热备份系统，他们有如下的特点： 透明容错：双机热备份技术当主机出现故障或者其他系统错误时， 由处于闲置状态的备份系统接管应用和任务。 故障隔离；双机热备份系统主服务器出现故障时，对系统的影响 会很大。但是通过备份系统可以继续提供服务，提供服务的好坏， 主要处决于系统切换的时间如果切换时问很短的话，基本上对 系统提供的服务影响不大；但是如果切换的时间很长的话，那么 对系统的影响是很大的 在线维护：当主服务系统出现故障后，从服务系统继续工作，然 后可以维护主服务系统，维护好后，可以从相应的系统中切换过 来。 冗余控制：双机热备份系统中，采用了心跳线技术，通过心跳线 来保持主服务系统和从服务系统的同步，如果接收不到对方的通 信信号，就进行切换但是采用这种技术，如果心跳线出现了故 障，必须通过人工的方法才能解决，这样对系统提供的服务来说 影响是很大的 3 双模冗余热备系统相关实现技术 ( 1 ) 双模冗余热备系统的互联。双模热备系统大多采用外加的传输 系统实现两台计算机的互连，以便双机交换信息，实现双机的同步和自 动切换。外加的传输系统可以是通信接口电路，也可以是局部网络通 信接口可以采用串行方式也可以采用并行方式由于并行传输效率高， 大多采用并行方式。而构建局部网络由于传输速率高，结构也比较简单， 且便于与外部网络相连接，是一种很好的互连方式在实际应用中采用 构建局部网络的方式进行双模冗余热各系统的互联 西南交通大学硕士研究生学位论文第n 页 ( 2 ) 双模冗余热各系统的故障检测。双模冗余热备系统无论如何构 成，都必须首先解决模块的故障检测问题检测方法有：比较法、诊断法、 比较自诊断法，外部仲裁法、监督定时器法在实际的应用，可以根据 实际情况选择一种或几种，注意要达到较高的故障覆盖率 ( 3 ) 双模冗余热备系统的同步同步也是双模冗余热备系统的基本 问题之一。双模冗余热备系统大多采用比较法( 硬件软件皆可) 进行故障 检测。此时，要求两个模块在相同的时间间隔内运行相同的程序，运行的 结果也要同时( 或几乎同时) 到达比较器，才能准确实现比较过程，也就是 说两个模块的运行需要同步同步的另一种含义，是让备份模块及时了解 工作模块的运行状况，一旦发生故障，就可立即接替工作模块投入系统运 行，使系统的正常工作不受影响。同步应根据应用系统的要求而定当要 求两个模块在时间上严格同步时，可以使用容错的公共时钟源实现比较 操作一般在每个时钟的末尾进行在s i m i s 铁路控制所采用的微机系统中 也采用了这种同步方法，它在每个时钟周期内对总线上的信号进行比较 除了上面的同步方法外，还可以用任务级的同步方法这种同步方法 的原理概括如下：两台计算机运行完全相同的程序，将该程序划分为 1 ，2 ，m 个任务，任务级的同步是以一个任务的一次运行作为同步的基 础。每个任务的结束处都设置一条比较输出指令，以便对中间结果和最后 结果进行一致性判断 由于两台计算机运行速率不能完全相同，因此，同一任务在两台计算 机上执行会产生很大差异，特别是该任务需要较长的运行时间时，这种差 异会更加严重，若计算机a 先结束第i 个任务，将结果输出给比较器，同 时向计算机b 发送同步信息，然后设置一最大等待时间即允许的同步误 差，等待接收计算机b 发来的同步信息。该同步过程返回有一以下3 种情 况：本任务先完成，等待接收到另一台计算机发来的同步信号再返回 本任务后完成，在该任务完成后立即返回。本任务在给定的时间内仍末 收到另一台计算机的同步信号，等待时间耗尽并得到一个超时错的异常 码 在和两种情况下，如比较一致，则可继续执行i + 1 个任务。 ( 4 ) 双模冗余热备系统的双机切换。开机时，切换是依赖软件控制， 使a 机为主控机、b 机为备用机它们分别运行应用程序，并进行时钟同步 主机定时向备机传送主机发出的。信号控制命令”，各机将此信息与 备机的。信号控制命令”进行比较，如一致，则双机保持在热备同步状态 西南交通大学硕士研究生学位论文第心页 如不一致且备机“信号控制命令”多于主机，表明主机由于某种故障而停 止输出“信号控制命令”，这时由备机发动切换，备机升为主机，继续向 现场设备发送控制命令，原主机转入脱机状态。若主机“信号控制命令” 多于备机的命令，则备机自行脱机，等待查明原因。 双机间的通信是由备机向主机进行呼叫并接收应答，若通信中断，有 两种情况，一是主机死机不应答：二是通信本身中断，备机接收不到主机 的信息，此时备机判主机出现故障，备机发动切换升为主机工作，原主机 转入脱机状态 主机通过自检测程序发现严重故障，通知各机进行切换。原主机转为 脱机状态时，必须在维修人员修复故障，确认无故障后，按压联机按钮， 原主机作为备机转入联机状态，恢复主、备机通信待双方的控制命令输出 完全一致时，备机与主机联机同步工作，备机转入热备状态。对备机脱机 状态的恢复上述过程相同 系统除自动倒机外，还可人工切换，且人工切换优先系统的人工切 换必须在车站值班人员和电务维修人员共同确认没有办理任何进路的情 况下进行，并应记录切换原因。切换后，系统处于全场锁闭状态，通过人 工解锁按钮，逐段解锁后才能实现正常控制 2 4 三模静态冗余系统 静态冗余是通过表决和比较屏蔽系统中的故障，常用的是三模冗余。 静态冗余需采用多套功能相同的部件、模块、设备对系统承担的数据 采集、变换、计算等任务同时进行并做相同处理，对每套设备输出的结果 进行比较，若多套设备输出的结果完全相同，则认为系统无故障，结果正 确，即将此结果( 可能是中闯或最终结果) 送到下一功能段去执行若比较 的结果不同则以多数设备输出的结果为准，同时判定少数设备有故障，并 向操作者发出某设备有故障的指示，待系统允许停下时对这些设备进行更 换或检修。这种容错或称冗余技术，在某些设备出现故障时，它们的错误 结果被多数设备的正确结果所否定而被暂时屏蔽，从而保证了输出结果的 正确性，而且不需要在程序运行进程中去中断系统对硬件进行诊断，也不 需要用软件去对硬件设备进行切换，因而可以称为静态冗余。 这种冗余的优点是实现起来在技术上比较容易，系统运行速度比较 快，响应时问较短。但其缺点是需加大硬件数量，因而也就增加了系统的 西南交通大学硕士研究生学位论文第”页 投资。随着计算机所需大规模集成电路功能的提高和价格的大幅度下降， 静态冗余技术己越来越多地被人们所认识和采用。 三模冗余系统的原理结构框图如图2 - 4 所示： 图2 4 三模冗余系统的结构框图 图中m 1 ，m 2 , m 3 是三个相同的模块，可以是3 台相同的计算机，也可以 是3 个相同的部件。3 个模块同时执行相同的操作，其输出送到表决器”v ” 的输入端，然后把v 的输出作为系统的输出 三模冗余的基本原理是：首先以承认。多数模块的输出是正确的”为 基本出发点，实行“少数服从多数”的纠错原理，用三取二的多数判决作 为系统的正确输出。在一般的使用中，只注意到正确的输出而不关心各个 模块谁对谁错在正常情况下，3 个模块同时给出3 个相同的输出，表决 器输出一个结果作为3 个模块正确输出。如果任一模块出错，其输出不同 与其他两个模块，表决器仍然输出正确结果若两个模块同时错成相同的 状态，表决器的输出被误认为是正确的；若两个模块同时错成不同的状态， 则此系统无法工作。这些情况的出现虽然是可能的，但概率非常低。因此， 三模表决系统就提高系统的可靠性来说还是非常有意义的。 系统的同步处理 对三模冗余控制系统而言，系统同步方式有以下3 种：硬件同步，软 件同步，软硬结合的同步方式。硬件同步要有专门的同步电路，如同步时 钟等，以协调各机器做到时钟级同步主要实现方式有独立时钟、公共时 钟和相互反馈式时钟等几种方式。软件同步主要通过软件对同步的标志进 行测试、比较和计算来实现的通过不同的同步算法，可得到不同的软件 同步方案。因此较硬件同步方法要灵活很多，系统的总开销也比硬件方式 低，但软件同步的实现也消耗了部分c p u 的资源使同步的精度和效率较 西南交通大学硕士研究生学位论文第1 4 页 硬件方式要低。 系统的可靠度分析 三模冗余系统是最常用的一种容错设计技术，3 个机器同时执行一 样的操作，以多数相同的输出作为该表决系统的正确输出，通常称为三取 二，这是基于。少数服从多数”的纠错原理。三模冗余不仅有较高的可靠 性，而且有很高的安全性，像计算机这种非故障一安全的设备，设备故障 ( 包括软、硬件故障) 可能有错误输出，而三取二冗余结构只要不出现两个 性质完全相同的错误，就能保证系统是正确输出的。因为出现两种同样性 质错误的概率一般是非常小的只要三台机器中的任两个输出一致时，则 认为这两台机器工作正常即无故障，那么表决器的输出就是这两台机器输 出的“与”函数。设表决器的输入变量为区、晟、晟表决器的输出为： p ( 卢，岛，岛) 一a 如4 - 尻岛4 - 岛矗 ( 2 4 ) 若三台机器的可靠度为：墨，恐、玛且焉- 是玛- e 4 设表决器的可靠度为：b - i ，则系统的可靠度为： 马。- 三台机器均正常工作的可靠度+ 任意两台机器正常工作的可靠度 - r 3 + 3 r 2 ( 1 - r ) - 3 e - 抽一扫“ ( 2 5 ) 系统无故障前的平均寿命为： m t b f - f ( f 弦- 云一云- 吉( 2 - 6 ) 如果考虑整个( 0 ，) 区间，t m r 系统可靠度反而低于单模系统a 如图所示， 在时间区间( o 等) 内( 其中a 为失效率) ，t m r 系统可靠度明显高于单 模系统可靠度 西南交通大学硕士研究生学位论文第1 5 页 图2 - 5 单模系统和三模静态冗余系统的可靠度曲线 2 5 二乘二取二冗余系统 随着计算机技术、信息技术和通信技术的迅速发展以及对冗余容错技 术的深入研究，高可靠性和高安全性的铁路控制系统得到了广泛的应用。 目前，我国铁路控制系统，出于对高可靠性和安全性的考虑，大都采用冗 余结构，其中主要包括双机热备、二中取二、二取二乘二等几种方法。 目前国内的二乘( 二取二) 计算机系统的基本架构大致相同。 二乘二取二的结构框图如图2 6 所示 西南交通大学硕士研究生学位论文第1 6 页 图2 - 6 二乘二取二结构框图 系统的可靠度分析： 二乘二取二的冗余系统采用2 套4 个c p u 组成二乘二取二容错结构。 2 套计算机系统各有2 个c p u ，每套计算机系统的两个c p u 共用一个时 钟源，并且所有结构和配置都完全相同，安装的软件也相同。每套系统都 配有1 个比较输出单元。当2 个c p u 正常工作时，输出也应该相同。只 有这时比较输出单元才有输出。而两套系统之间可以采取双系热备或二重 比较。当系统处于以下几种状态时，系统还能保持正常输出状态1 ：4 个c p u 都正常时；状态2 ：3 个c p u 正常时，不论哪组的哪片c p u 出了 故障，则出故障c p u 的那套系统不能输出，另一套系统两片c p u 正常工 作，经过比较单元和切换单元仍然保有正确的输出；状态3 ：当一套系统 的c p u 全部故障时，另一套系统的两片c p u 经比较后同样保持正常的输 出。设每片c p u 的可靠度为r ，假设两个比较输出单元以及切换单元的 可靠度均为1 经过上面的分析可知系统的可靠度为： e - 尺4 + 4 r 3 ( 1 一r ) + 2 r 2 ( 1 一r ) 2 系统无故障前的平均寿命为： m t b f rr 出 j 0 将r 代入式中经积分得到： m t b f - ( 刍一+ 石1 + 石1 = 石3 ( 2 - 7 ) ( z - 8 ) ( 2 - 9 ) 西南交通大学硕士研究生学位论文第f 7 页 同理在区间( 0 ) 二乘二取二的平均寿命比单模系统的平均寿命还低，但 是如图考虑区【o ，史立塑塑丝掣) c a 为失效率，= 乘二取二系 统可靠度明显高于单模系统的可靠度。 图2 - ? 单模系统和= 乘二取二系统的可靠度曲线 西南交通大学硕士研究生学位论文第1 8 页 第三章列车控制子系统的设计和实现 3 1 系统平台搭建 3 1 1 硬件框架 根据前面对于冗余结构的分析和讨论结合本论文所要完成的内容，选 定双模冗余中的双机热备作为系统的仿真模型。由于受模拟实验条件所 限，该仿真模型很难满足车载子系统的实时性要求，故在本文中实时性指 标将不作具体讨论，同时车载子系统中车地需要交互的信息颇多，在该模 拟实验中，主要考虑的是车地通信中的前车的速度信息，对其它信息只作 简单的设定以作模拟该模型的框图如图3 - 1 所示： 图3 - 1 模拟实验硬件框图 双机熟备硬件平台的配置如下： 服务器两台，客户机两台 以太网卡6 块 以太直连网线一根 r s 2 3 2 串口线一根 在该结构框图中，客户机和服务器之间模拟实现列车控制的车地通信， 主要是传递前车速度及其他的一些地面信息。服务器根据接收到的前车速 蓖南交通大学硕士研究生学位论文第1 9 页 度及本车的速度计算常用制动模式曲线 在传统的双机热备份系统中，无论系统运行的是那种方式，两台服务 器都是共享个磁盘阵列，然后通过心跳线连接主服务系统和从服务系统， 并通过心跳线来实现主服务系统和从服务系统的相互监控。按照其工作方 式的不同可以分为双机同时运行和主从式运行。在双机同时运行的情况 下，前台的客户机分为两部分，一部分连接到主机a 上，部分连接到主 机b 上。它们互备份，也就是连接到主机a 的客户机在主机b 上备份， 也就是连接到主机b 的客户机在主机a 上备份。一旦某台主机出现了故 障，另外一台就自动接管业务，支持正常业务运行。在主从工作方式下， 前台客户机都连接到主机a 上，从机b 作为主机a 的备份机，正常的业 务由主机a 支持，如果主机a 出现了故障，那么从机b 就接替主机a 的 业务，继续支持正常的业务进行，等到主机a 恢复正常业务后，就接替 从机b 继续工作。 也就是说在传统的双机热备份系统中，主服务系统和从服务系统同时 运行，并且共享一个磁盘阵列，它们对磁盘阵列都具有控制权传统的双 机热备份系统中，两台服务器可以运行在相同的操作系统或者不同的操作 系统下，并且可由人工或者自动实现切换，具有硬件容错功能，在一定程 度上提高了系统的可靠性，但是系统不能避免出现相同软件错误而导致系 统瘫痪的可能性，另外由于采用了单一心跳线，当心跳线出现故障而系统 都能正常工作时，对系统管理员是一个很大的考验 与传统的双机热备份系统相比，本论文采用的双机热备系统有如下特 点：采用了冗余的心跳结构模型，避免了单一心跳线出现故障而系统正常 工作的情况导致的主从的误切换 3 1 2 软件环境 本软件子系统在w i n d o w s 系统下微软提供的强大的编程工具v c 6 0 中开发的。本系统的代码都用c 或者c + + 语言书写，这两种语言紧贴 w m d o w s 操作系统，能最大限度的发挥操作系统的特性和功能。在其间对 网络代码调试及其进程间的通信花费了不少精力 3 2 软件子系统的模拟实验 3 2 i 网络编程介绍 在w m d o w s 系统下进行网络编程要对各协议栈所出的层次及整个 西南交通大学硕士研究生学位论文第加页 t c p i p 协议规范有个全貌的了解尤其对各协议的相互合作要做到比较 熟悉当然t c p i p 规范是个相当大的范畴，对于一个网络程序员来说， 要特别了解网络的分层模型、进程间的通信和同步，t c p f l p 的分层协议 结构、套接字的编程，t c p 和u d p 的编程特点与方法。无论是r i n g 程序 还是故障上传、日志记录都需要用到下列知识点。 1 网络编程简单介绍 网络编程都是基于t c p 协议和u d p 协议的网络应用，在w i n d o w s 环境下进行的网络编程大多都是基于s o c k e t 的编程。s o c k e t 的编程模式是 客户服务器模式，在这种模式中，服务器端首先调用s o c k e t 函数创建一 种类型的s o c k e t 套接字，然后通过b i n d 函数把这个s o c k e t 绑定到客户端 已知的某个断口上，接着服务器端调用l i s t e n 函数设置侦听队列的长度， 为接收客户端的请求做准备，然后服务器端调用a c c e p t 函