铁路监控记录装置的改进

铁路监控记录装置的改进

0基于lkj2004型监控记录装置的残余协调技术铁路运输安全一直是人们关注的问题。自1995年以来,铁道部在全路所有的内燃、电力机车上都安装了自主研制的JK-2H和LKJ-93型列车运行监控记录装置,在保障铁路运输安全方面发挥了重要的作用。与国外装置相比,我国的监控装置具有设备简单、功能复杂、投资少、记录和分析能力强等优点,但在多机冗余配置方面较弱。为此铁道部组织多方技术力量于2000年研制了LKJ2000型监控记录装置。LKJ2000型监控记录装置与上一代相比,在可靠性、可扩充性、易用性等各方面都有了很大的提高。尤其是可靠性,除在芯片选型、信号隔离、信号屏蔽、抗干扰、抗辐射等方面采取措施以外,还采用了双机冗余技术。该设备于2000年设计完成,经过近2年的装车运行表明,基本达到了预定的设计目标,并已局部批量装车运用。双机冗余包含硬件双机冗余设计和软件双机冗余设计2个方面,二者相辅相成。硬件的双机冗余设计是在一个主机箱中插有2组完全相同的模块,每组都是一个完整的系统。2组系统同时工作,但只有1组进行控制,另一组只是处于热备状态。当实施控制的一组出现故障时,它会自动切换到热备机上。这种模块故障后整套切换的冗余技术一般称为系统级冗余。当2组模块中各有一个子模块出现故障时,系统级冗余便无能为力。软件的双机冗余设计主要针对硬件冗余的各种不足及为实现更复杂的冗余而采取的措施。采用软件的冗余设计可以达到以下目的:(1)同一模块出现故障时则同一模块测试通过软件设计可以很容易地实现模块级的冗余。在2个子系统中只要不是相同模块出现故障,通过软件设计将所有正常的模块重组仍可组成一组完整的系统,从而提高可靠性。(2)提高安全性通过软件设计可以很容易地实现对同一参数出现多个不同的值时选取一个最为安全的值进行控制,以满足安全设备领域故障倒向安全的原则。(3)实现稳定切换通过软件设计,可以使多套系统协调动作,做到模块故障时无抖动切换。本文主要介绍软件冗余设计在LKJ2000型监控装置中是如何实现的。1基本总结1.1a机的地面信息处理模块图1描述了LKJ2000监控装置主机箱的模块结构及系统中各模块之间的通信连接。如图1所示,主机箱中插有2组相同的模块,左边的一组共用同一组电源,称为A机或A子系统,右边的一组共用另一组电源,称为B机或B子系统。A、B机电源相互隔离。各模块软件可通过检测母板送来的M/S信号确定本模块是属于A机还是B机。A机的M/S为低电平,B机的M/S为高电平。主机箱中任一带CPU的模块相对本子系统或另一子系统中其他带CPU的模块来说是完全等同的,都是通过双CAN总线(CAN-A和CAN-B)进行串行通信,因此它们属模块级冗余。假设A机的地面信息处理模块出现了故障,A机的其他模块和B机的地面信息处理模块仍可组成一个完好的系统。这类模块包括监控记录模块、地面信息处理模块、通信模块和备用模块。此外,A、B机的监控记录模块之间还有第3条串行通信通道——同步口。主机箱中所有不带CPU的模块只能由本子系统的监控记录模块通过VME并行总线进行访问。只有当本子系统的监控记录模块正常工作时才能实现冗余,因此这些模块属系统级冗余。它们是数字量输入输出模块、数字量输入模块和模拟量输入输出模块。如果把这些模块看作是监控记录模块的扩展的话,也可以说是模块级冗余。这类冗余方式的平均故障间隔时间是纯系统级冗余方式的2倍。1.2双机模块介绍在同一主机箱中,同类模块都有2个,一个属于A机,一个属于B机。双机是指2个同类模块同时处于正常工作状态,相互之间能正常通信,知道对方的存在。当2个模块中只有一个在工作时,则称为单机。因此单机和双机只针对某种模块而言。1.3监控记录模块在双子系统中,所有带CPU的模块都通过CAN通信总线向外广播自己的信息。同类模块向CAN通信总线广播的信息种类是一样的,但具体数值却不一定相同。比如A机和B机的监控记录模块都对本子系统的色灯信号、列车速度等进行采样,A机采得的速度和B机采得的速度就不可能完全一样,即使相差0.1km/h,通过四舍五入可能就变成相差1km/h;同时它们也会产生各自的控制命令,二者也不一定完全一致。为了保证CAN总线上和运行记录中同类数据的唯一合法性,规定只以其中一个模块的数据为合法代表,总线上其他的模块都以这个模块的数据作为依据。这个模块自然而然就成了主机,同类中的另一个模块则成了备机。主机和备机的识别可以不在同类模块内部进行,其他模块可以根据自己的标准选择谁是主机谁是备机,但这仅仅针对那些区分原则十分简单的模块。监控装置的核心模块为监控记录模块,它实现几乎所有的控制功能和记录功能,并产生大量的重要信息,是整个监控系统信息链的源头。因此我们通常所说的主机、备机、单机、双机均只针对该模块而言。2监控记录模块的冗余2.1主备机和备机的比例对保护安全性能的影响为了使整个系统简洁高效、动作协调,规定监控记录模块的主备识别由模块内部完成。主、备机确定后分别以主机和备机的身份对外通信,这样对所有其他模块而言,有同样的主机和同样的备机。主机和备机并不是固定的,而是通过一定的原则确定。A机的模块和B机的模块都有可能成为主机。在双机系统中,正常情况下只有一个模块为主机,另一个模块为备机。多主或无主状态均视为主备不定的非常状态,只允许短时间内或瞬间存在,比如模块上电复位时。主机模块具有最终的决策权。它决定采样信号的取值、输出命令的产生、列车位移的计算、监控模式的控制等。当自身硬件无法行使控制权时,它可通知备机行使控制权。备机模块除了接收主机的指令行使有限的控制权外,不能自作主张行使授权以外的控制权;它自身仍然产生内部命令,但只是作为主备机是否同步的判断依据,不会产生实际的动作。备机向外发布的信息只是本机的原始信息,而主机向外发布的信息则是从主备机的同类信息中根据约定的冗余设计规则挑选出来的。主备机不定的模块可以行使有限的控制权,以避免主备机确认之前系统处于失控状态。所谓有限的控制权指模块行使直接影响安全性能的控制权,比如紧急制动输出;但不行使与安全因素关系不大的控制权,比如双针表的驱动。2.2主备机的确认2.2.1主备识别信息的发送由于监控记录模块涉及到记录的连续性,在2个模块都正常的情况下,原来为主机的模块在下次开机运行时应当继续成为主机。为此,每个模块都记录有一个标记,以说明本机最后一刻作为主机的时间,简称时间戳。只有主机才能时刻刷新这个时间戳。并且不管是主机还是备机,正常工作时都定期向对方发送本机的主备状态、A/B机标志、时间戳等主备识别信息。模块在上电或复位时首先工作在主备不定的状态,等待与对方通信确认。任一模块收到对方的主备识别信息时立即与本机的相应信息进行比较,以确定自身的主备状态。双方通过比较时间戳来确定谁是主机谁是备机,时间较近的模块自动转为主机,而时间较早的模块自动转为备机。2.2.2主备状态的确定当通过比较时间戳无法确定(比如时间完全一样或新板时间均无效)主备状态时,按A机优先原则,A机成为主机。这种状态一般只会发生在A、B机都是第一次运行时。2.2.3主备状态的影响当主备不定的模块与主备确定的同类模块(一般是主机)通信后,主备不定的模块立即转为与对方相反的主备状态。根据这个原则,当双机系统备机因故复位时,不会对主备状态产生任何影响;主机因故复位时,原备机因收不到对方的任何信息,会自动转为主机,原主机恢复运行后首先工作在主备不定的状态,收到对方为主机的信息后,自动转为备机。因此,在故障换板时,要求先用机箱内未更换的监控记录模块开机运行一段时间,之后再插入新的监控记录模块,以确保原监控记录模块能取得主机权,记录数据不会丢失。2.3设置输出通道的单独设定为了最佳地实现优势互补,在系统中尽可能采用转让故障通道控制权的方法而不是普通意义上的主备机切换时转让所有通道控制权的方法。也就是说,某一通道有故障时,只将该通道的控制权让出,原主机仍为主机,原备机仍为备机,主备机并不切换。这样做,可以使软件设计简洁,省去了对通道进行故障优先级排序来确定主备机的麻烦,还能减少由于频繁切换,过渡过程中出现难以预料的失控状态。当主备机相同通道同时出现故障时,视故障部位按故障倒向安全的原则进行降级处理或作系统故障处理。为此,任何输出通道都可单独设定为是由主机或是由备机进行控制,任何输入信号也可单独设定为是采自主机还是采自备机。但最终决策权在于主机。当主机因故难以胜任主机工作时,还是要进行主备机的切换。比如,主机的地面数据ROM故障,而备机的地面数据ROM完好时等等。主备机切换的过程为:(1)原主机向原备机提出切换申请;(2)原备机复制主机的关键数据(比如记录)后答应接受申请;(3)原主机转为备机,原备机转为主机。2.4系统长期在一定的区域内发生严重干扰当某一模块无法与另一同类模块进行通信,时间超过规定值时,认为这个模块处于单机状态。当装置中只安装了单套子系统,或另一子系统的同类模块不能正常工作或电源模块故障时,都会出现这种现象,造成长时间的单机状态。当某个模块瞬间复位或通信线路偶尔受到严重干扰时也可能出现2个模块间无法通信,从而造成短时间的单机状态。单机模块同时也是主机模块,因此,除非这个模块发生了须按系统故障处理的严重故障,否则它应刷新时间戳并实施所有的控制权。2.5热启动的情况在冷启动的情况下,装置需要对相关硬件进行自检,并对硬件和软件进行初始化,复位时间较长,大约在2～3s。考虑到自检时间的离散性,A、B机电源达到稳定的时间不完全一致等因素,我们规定任一模块在复位后为了等待与另一同类模块建立联系,时间至少5s。如果5s后仍无法与另一模块建立联系,则自动转为单机状态。在热启动的情况下,装置只需对硬件和软件进行初始化,复位时间在1～1.5s。为了使未复位的一方顺利地接管控制权,必须使其在对方初始化结束之前便转为主机。我们规定在正常工作时,如果某个模块与另一同类模块无法通信,该模块在0.8s后立即自动转为单机同时也是主机状态。因此,主备识别信息帧的发送周期必须小于0.8s。为了避免偶尔的瞬间干扰引起CAN通信失败,该信息帧丢失导致不期望的主备机切换,我们规定主备信息帧的发送周期为0.1s。这样在0.8s的时间内,有足够的理由确定对方是否发生复位或通信故障。这种做法不会对安全造成隐患。假设系统为单机系统,运行过程中由于某种原因造成系统复位,在转为单机前的5s内,装置行使与安全因素有关的有限控制权。假设系统为双机系统,运行过程中如果备机复位,不会对控制产生任何影响;如果主机复位,控制权在0.8s内很快转移到备机,假设当时列车的运行时速为v,则0.8s内列车走行0.22v(m),小于其0.5v的安全距离。2.6故障输出测试当系统出现双机严重故障,无法行使安全监控功能时,装置将控制权交给机车乘务员。如果监控记录模块出现严重故障,软件无法运行,硬件会自动保证产生子系统故障输出;如果软件能够运行且模块出现下列情况之一,监控记录软件会自动陷入死循环状态,并停止发送故障电路驱动脉冲,硬件产生子系统故障输出:(1)本模块程序ROM自检失败,连续超过2次时;(2)本模块内的CAN-A和CAN-B同时故障时;(3)本模块内的RAM区故障时;(4)双机系统中,2个数字量输入输出模块紧急制动回路同时故障时。当2套子系统同时产生系统故障输出时,时间继电器将被驱动,3min后产生紧急制动,若不关机,列车无法正常运行。3min的定时起点以后一个系统故障开始输出时为准。3复配系统通信软件一般在2路can的通信过程中,对于2路can商LKJ2000型监控装置中所有模块的冗余基本上都是通过CAN总线实现的,因此所有带CPU的模块在硬件上都设计了2路CAN总线。CAN总线本身也是双套冗余。在软件设计时,为了充分利用硬件资源,2路CAN的通信软件在初始化、故障检测、正常通信过程中都是完全独立的,互不干扰。这样,即使其中一路CAN总线由于某种原因无法进行通信,也不会影响另一路CAN的正常工作。在通信过程中,2路CAN总线同时发送或接收信息,这样可保证系统中即使一个模块CAN-A故障、一个模块CAN-B故障也能与监控记录模块保持畅通的通信。为了使所有重要的信息能可靠地送达目的地,而又不至于导致CAN通信线路太忙,信息堵塞,对不同的信息根据其重要程度和刷新频率采用不同的通信策略。比如刷新频率快的信息采用循环广播的方式,刷新频率较慢的采用应答通信方式等。4剩余支出的具体执行4.1采样信号的冗余双机工作时,同一信号主备机的采样值不可能完全一样。由于缺乏三取二的硬件基础,我们采用由主机决定谁的采样值有效的机制。4.1.1采样数据的可信程度双机工作时,主备机各自采集本子系统的信号数据,进行常规的滤波处理,同时对相应的通道进行自检,用自检信息标志采样数据的可信程度。备机在运行过程中,不断地将每个通道的采样数据和相应的自检信息通过CAN总线传送给主机,主机根据这些信息依照表1的方法进行裁决。主机随时将确认以后的数据作为控制、记录的依据通过CAN总线向外广播。其他模块只接收主机广播的采样数据并作为控制依据。4.1.2采样值的确定对于难以进行自检的采样信号,根据故障倒向安全的原则,以保证列车安全运行为前提,选择最坏的、安全系数较高的采样值作为确认信号。比如速度,以主备机中数值较大的速度为准,这样,如果数值较低的速度为真值,最多是牺牲效率但保证安全;如果数值较高的速度为真值,则控制符合实际。4.2输出信号的冗余在双机工作时,主备机发出的命令也不可能完全一致。不管怎样,始终以主机发出的命令作为最终命令。4.2.1主备机输出加强故障的处理当输出设备允许主备机同时进行控制时,按表2进行控制。可见,一旦主机发出输出控制命令,如果主、备机输出自检正常,则同时控制输出直至命令结束,以提高输出节点的可靠性,加速输出过程;如果主备机输出自检都不正常,则对安全关系重大的故障进行降级处理。比如,主备机的紧急制动回路同时故障时,装置将产生系统故障输出,通知乘务员注意;否则仍从主机输出。4.2.2输出设备无法正常对于那些只能由主机或备机单机驱动的设备,比如双针速度表,当主备机同时驱动时,电流迭加,显示失真,这时可根据是否可以自检来确定控制方式。当输出设备可以自检时,备机时刻将输出设备的自检信息通过CAN总线通知主机,主机则根据自检信息按表3确定由谁控制输出。可见,只有主机自检不正常而备机自检正常时,才由备机控制输出。当主备机的同一输出设备均不正常时,装置会根据故障部位的重要程度作出不同的决策。当输出设备无法进行自检时,装置通过乘务员按键干预来确定谁是命令的执行者。乘务员每干预一次,输出控制也在主备机间切换一次。4.3模式一致性的保证LKJ2000型监控装置仍然是基于地面线路数据的车载模式,即将地面数据按事先约定的格式存放在装置内。列车运行时,实时计算列车的位移,推算列车的实际位置;然后根据当时的机车信号进行相应的控制。如果主备机各自计算的列车位置不一致,就会导致二者在控制模式上的差异。主备进行切换时模式突变,容易造成设备误动作。由于空转的存在,列车的速度和位移均不能只根据轮对的转动速度简单地进行计算,需要增加一些防空转措施,这会造成主备机的距离计算不一致;另外,监控装置通过绝缘节信号来修正距离误差,当主备机接收的绝缘节信号时机不一致时,会把本来一致的距离校正得不一致。为此,装置规定无论机车轮对是否发生空转,备机的列车位移和列车位置均由主机通过双CAN网络传送过来。由于干扰的存在,CAN总线通信失败造成数据丢失是不可避免的。软件设计时,约定主机传送的并不是列车的位移,而是相对最初时刻所有位移的累加值。这样,备机收到后通过前后累加值相减即可得到自上次接收成功以来列车的实际位移。同样,备机也不自主进行过绝缘节校正,而是由主机校正后将校正误差通知备机进行修正。列车的位置涉及到车载地面数据,2000型的地面数据十分庞大,欲通过CAN总线将地面数据从主机复制到备机是不现实的。因此软件采取以下措施:当主备机的地面数据不一致时,监控装置发出警告信息,并自动做降级处理;当主备机地面数据完全一致时,主机在运行过程中时刻将列车所在位置的车站号、支线号、侧线号和地面数据指针通知备机,备机根据这些信息读取前方至少4架信号机的线路信息,实现主备机列车位置的同步。控制模式并不完全依赖于列车的位置,还与监控状态、机车信号的变化、乘务员的解锁、列车停车时机等诸多因素有关;另外,在同一时刻,装置内部可能有多条控制模式并存,最多时可以达到20多条,因此主备机控制模式不一致是难以避免的;但是这种差异不允许太大,至少应做到主备切换时难以察觉。无论如何,软件始终按照限速最低的模式进行控制,装置显示和记录的也是这条模式的限速。主备机可通过比较这个限速值来简单地确认二者的模式是否一致:如果