一種簡化軌道交通列車運行控制系統的方法

2023-09-14 15:43:10

一種簡化軌道交通列車運行控制系統的方法
【專利摘要】本發明公開了屬於軌道交通控制【技術領域】的一種簡化軌道交通列車運行控制系統的方法。該方法具體為：1）改進通用安全計算機平臺設計方法；2）簡化軌道交通列車運行控制系統的車載應用或地面應用。設計的通用安全計算機平臺基於硬體/軟體差異性設計原則、分級診斷原則實現，軟體方面基於雙重確定性原則支持同時實現多個應用控制邏輯的功能。該方法設計的通用安全計算機平臺邏輯處理層能夠同時支持多個傳統軌道交通運控邏輯處理功能，減少了傳統軌道交通列車運行控制系統設備數量，提高了運控系統可靠性；該方法設計的通用安全計算機平臺可移植到不同要求的軌道交通列車運控系統，減少了開發和安全評估工作量，降低了開發和安全評估成本。
【專利說明】一種簡化軌道交通列車運行控制系統的方法
【技術領域】
[0001]本發明屬於軌道交通控制【技術領域】，特別設計一種簡化軌道交通列車運行控制系統的方法。
【背景技術】
[0002]軌道交通系統主要包括鐵路和城市軌道交通(以下簡稱城軌)。近年來，新的軌道交通列車運行控制系統，如應用於鐵路的中國列車運行控制系統(Chinese Train ControlSystem, CTCS)以及應用於城軌的基於通信的列車運行控制系統(Communication BasedTrain Control System, CBTC)應運而生,為鐵路高速化和城軌高密度化、低間隔化提供了堅實的技術基礎和安全基礎。
[0003]通過分析目前的CTCS和CBTC系統結構，不難發現這些系統都是沿用傳統信號設備設計的思路，對於不同運行控制功能採用不同的子系統，基於疊加式原則實現整個系統。
[0004]例如:CTCS_2級地面系統包括計算機聯鎖CB1、列車運行控制中心TCC以及受控於其的軌道電路、軌旁電子單元LEU (含有源應答器)等，如圖1所示；CTCS-2級車載系統包括車載安全計算機VC (含測速測距功能)、應答器信息接收模塊BTM、軌道電路信息接收單元TCR、人機操作界面DMI等，如圖2所示。
[0005]CTCS-3級地面系統包括無線閉塞中心RBC以及與之連接的GSM-R地面設備、臨時限速伺服器TSRS、計算機聯鎖CB1、列車運行控制中心TCC以及受控於其的軌道電路、軌旁電子單元LEU (含有源應答器)等，如圖3所示；CTCS-3級車載系統包括C3車載ATP主機、C2車載ATP主機、測速智能元SDU、應答器信息接收模塊BTM、軌道電路信息接收單元TCR、人機操作界面DM1、GSM-R車載設備等，如圖4所示，圖4中3車載ATP主機、C2車載ATP主機、測速智能元SDU、應答器信息接收模塊BTM有2套，以雙套冷備方式運用。
[0006]典型的CBTC地面系統包括區域控制器ZC、數據存儲單元DSU、計算機聯鎖CBI以及受控於其的計軸設備、軌旁電子單元LEU (含有源應答器)等，如圖5所示；典型的CBTC車載系統包括車載ATP控制器VOBC (含測速測距功能)、車載ATO控制器、應答器信息接收模塊BTM、人機操作界面DM1、無線車載設備MR等，如圖6所示。
[0007]按照上述方式實現軌道交通列車運行控制系統最大的好處是各子系統之間界限分明，能夠盡最大可能不修改或最小修改原有子系統，減少因此所帶來的研發、測試、確認、驗證和安全評估等的工作量，降低出現錯誤的可能。
[0008]但是按照上述方式實現軌道交通列車運行控制系統的缺點也是顯而易見的。首先，這樣做會造成列車運行控制系統含有很多子系統，結構複雜，設備數量多，而根據可靠性的基本原理，系統結構越複雜，設備數量越多，其系統MTBF越低。即使整個系統符合相關安全標準，達到相應的安全完整性等級(SIL)要求，由於系統MTBF低，會比較頻繁地出現故障而導致系統恢復時間變長，不僅降低系統運行效率，而且還容易誘發其它重大事故，近年來軌道交通重大事故很多都是設備故障期間出現的就充分證明了這一點。
[0009]其次，由於存在許多子系統，子系統之間的相互協調(通過通信)會佔用各子系統大量的軟體資源，同時又因存在電磁幹擾，子系統之間的可靠、安全數據通信還需要佔用額外的軟體、硬體資源。
[0010]最後，設備越多，所帶來的空間佔用、能耗大、散熱等問題越難於處理，尤其是車載設備這些問題更為突出。
[0011]因此，非常有必要研究簡化軌道交通列車運行控制系統結構減少設備數量的方法。
[0012]近年來計算機軟硬體技術飛速發展。CPU越來越朝著多核化、低功耗化、支持虛擬化等方向發展，其綜合處理能力越來越強，以前需要多個CPU處理的功能現在由單個CPU完成已經成為現實。同時內存、磁碟、網絡等技術的飛速發展，也使得計算機的處理速度和處理能力也愈來愈強，這些使得本發明得以實施。

【發明內容】

[0013]針對上述現有技術存在的缺點，本發明提出一種簡化軌道交通列車運行控制系統的方法，其特徵在於，該方法是基於通用安全計算機平臺設計簡化軌道交通列車運行控制系統，具體步驟為:1)改進通用安全計算機平臺設計方法；2)簡化軌道交通列車運行控制系統的車載應用或地面應用。
[0014]所述步驟I)中該通用安全計算機平臺基於硬體/軟體差異性設計原則、分級診斷原則實現，軟體基於雙重確定性原則，支持同時實現多個應用控制邏輯功能。
[0015]所述通用安全計算機平臺使用2乘2取2結構，主要包括邏輯處理層、外部設備管理層、容錯和安全管理層三個部分。
[0016]所述邏輯處理層由2組共4個邏輯處理單元LPU構成，每2個LPU構成I組2取2結構的一系，一系的2個LPU符合硬體/軟體差異性設計原則，兩系構成2乘2取2結構；該邏輯處理層提供符合2乘2取2機制的高安全、高可靠和高性能運算處理能力，以支持多個傳統軌道交通列車運行控制邏輯功能的實現。
[0017]所述外部設備管理層由2組共4個外部設備管理單元PMU構成，每2個PMU構成I組2取2結構的一系，一系的2個PMU的選擇符合硬體/軟體差異性設計原則，兩系構成熱備2取2冗餘結構或並行2取2冗餘結構，優選並行2取2冗餘結構；
[0018]該外部設備管理層提供:(1)通用數字量、模擬量、脈衝量的輸入或通用數字量、模擬量的輸出能力；(2)針對軌道電路、LEU、BTM、TCR應用的、基於DSP或FPGA實現的智能輸入或智能輸出能力；(3)軌道交通列車運行控制系統使用的各種外部通信，包括:使用RS-232、RS-485、RS-422接口的異步串行通信；現場總線通信:CAN、Profibus ;列車通信網絡TCN標準MVB通信；乙太網通信；車地移動通信:GSM-R、無線區域網WLAN。
[0019]所述外部設備管理層並行2取2冗餘結構兩系中的任一系中，每種通用數字量、模擬量、脈衝量輸入信號以及DSP或FPGA智能輸入信號的每一路都是2路同時輸入，經過異構的2個PMU基於2取2邏輯處理後送給邏輯處理層的4個LPU。
[0020]所述外部設備管理層並行2取2冗餘結構兩系中的任一系中，每種通用數字量輸出信號的每一路都是2路同時輸出，2取2表決後再與另一系構成並行冗餘輸出，其反饋信號同時送給外部設備管理層並行冗餘兩系中的4個PMU以保證輸出安全；
[0021 ] 針對通用模擬量輸出信號以及DSP或FPGA智能輸出信號的普遍需求，所述外部設備管理層熱備2取2冗餘結構的兩系中的主系，採用I個PMU輸出模擬量以及DSP或FPGA的智能輸出信號，異構的另I個PMU對該輸出信號監督以保證輸出安全；外部設備管理層熱備2取2冗餘結構的兩系中的備系，異構的2個PMU均不輸出模擬量以及DSP或FPGA的智能輸出信號，只監督主系的輸出信號，一旦主系輸出信號異常則接替其輸出而變為主系。
[0022]針對外部通信冗餘方式的普遍需求，所述外部設備管理層並行2取2冗餘結構兩系中的任一系中，每種外部通信冗餘的一路輸入米用I個PMU輸入、另I個異構的PMU直接輸入或監聽輸入的方式，異構的2個PMU基於2取2邏輯處理後送給邏輯處理層的4個LPU，另外一系輸入該外部通信冗餘的另一路輸入；
[0023]每種外部通信冗餘的一路輸出採用I個PMU輸出，異構的另I個PMU對該外部通信輸出直接輸入或監聽輸入監督以保證輸出安全，另外一系輸出該外部通信冗餘的另一路輸出並對該外部通信輸出予以監督以保證輸出安全。
[0024]人機操作界面DMI通過冗餘外部乙太網或冗餘外部異步串行通信總線接入外部
設備管理層。
[0025]所述容錯和安全管理層由2個或多個容錯和安全管理單元FTSMU構成，優選2個FTSMU的方案，2個FTSMU的實現符合硬體/軟體差異性設計原則；容錯和安全管理層與邏輯處理層相互配合完成2乘2取2機制，與外部設備管理層相互配合完成熱備2取2冗餘機制或並行2取2冗餘機制。
[0026]所述邏輯處理層的4個邏輯處理單元LPU、外部設備管理層的4個外部設備管理單元PMU、容錯和安全管理層的2個或多個容錯和安全管理單元FTSMU之間通過冗餘的安全通信內網VCIN，基於EN50159規定的第I類封閉傳輸系統安全通信協議相互通信。
[0027]所述邏輯處理層的4個邏輯處理單元LPU、外部設備管理層的4個外部設備管理單元PMU、容錯和安全管理層的2個或多個容錯和安全管理單元FTSMU之上運行的軟體，支持同時實現多個應用控制邏輯。
[0028]所述硬體/軟體差異性設計原則為硬體上選擇不同處理器架構，軟體上選擇不同的作業系統、不同的編譯器或不同的程式語言。
[0029]所述分級診斷原則為:
[0030](I)所有輸入通道通過讀取特定數值的輸入量來進行診斷，輸入診斷由處理器發起；診斷周期固定，優選與處理器控制周期相同，在處理器控制周期內的特定時段內完成；
[0031](2)2取2結構的輸入通道在每個處理器控制周期內進行輸入量的2取2比較，數字輸入量不一致或模擬輸入量、脈衝輸入量偏差超出預定範圍，則該輸入量的2組輸入通道出現問題，不再認可該系的此輸入量；
[0032](3)所有輸出通道通過對特定數值的輸出量進行反饋來完成診斷，輸出診斷由特定信號應用發起，處理器控制，在特定的時段內完成；
[0033](4)輸出通道在每個處理器控制周期內進行輸出反饋，並與實際輸出值比較，數字輸出量一旦不一致或模擬輸出量、脈衝輸出量偏差超出預定範圍，則該輸出通道出現問題，其對應的2取2結構的該系的此輸出應導向安全；
[0034](5)處理器及與其相關的存儲器和其它外設的診斷，在2取2結構的2組差異性硬體與軟體配合和第三方FTSMU的監督下，異步完成相同的確定性工作並在處理器每個控制周期內的特定時段內各自獨立完成執行結果的相互比較，只有完全一致診斷結果才會判定正常；
[0035](6)通用安全計算機平臺初始上電時刻，處理器完成對其自身及與其相關的存儲器和各種輸入、輸出以及其它外設的掃描診斷。
[0036]所述雙重確定性原則分別指基於固定分配的循環執行策略和基於固定分配的內存保護策略；基於固定分配的循環執行策略以保證所支持的多個控制邏輯的執行時間確定性；基於固定分配的內存保護策略以保證所支持的多個控制邏輯的數據存儲空間確定性。
[0037]對於軌道交通列車運控地面系統，基於分布式處理原則，所述通用安全計算機平臺分為核心主機型配置和遠程外設型配置；
[0038]核心主機型配置包括邏輯處理層、部分外部設備管理層、容錯和安全管理層三個部分以及安全通信內網VCIN ;其中的部分外部設備管理層只支持冗餘外部乙太網通信功倉泛;
[0039]遠程外設型配置包括外部設備管理層、容錯和安全管理層兩個部分以及安全通信內網VCIN0
[0040]所述步驟2)確定是車載應用還是地面應用:
[0041]地面應用，劃分現有地面列控設備的應用邏輯處理功能、輸入輸出功能、人機操作界面DMI功能，然後合併多個地面列控應用邏輯處理功能於核心主機型配置通用安全計算機平臺，合併相同現場位置的不同地面列控輸入輸出功能於遠程外設型配置通用安全計算機平臺，根據現場情況設置多個遠程外設型配置通用安全計算機平臺，最後根據現場情況設置一個或多個人機操作界面DMI供地面列控使用；
[0042]車載應用，劃分現有車載列控設備的應用邏輯處理功能、輸入輸出功能、人機操作界面DMI功能，然後合併多個地面列控應用邏輯處理功能於通用安全計算機平臺的邏輯處理層，合併車載列控輸入輸出功能於通用安全計算機平臺外部設備管理層，根據現場情況設置司機人機操作界面DMI。
[0043]所述步驟2)中的軌道交通列車運行控制系統的車載應用或地面應用為CTCS-2級地面系統、CTCS-2級車載系統、CTCS-3級地面系統、CTCS-3級車載系統、CBTC地面系統、CBTC車載系統。
[0044]發明的有益效果:
[0045](I)通過充分利用目前計算機強大軟硬體處理能力，通用安全計算機平臺邏輯處理層能夠同時支持多個傳統軌道交通運控邏輯處理功能，改變了傳統運控制系統通過疊加不同功能子系統而實現的方式，減少了設備數量，提高了運控系統可靠性。
[0046](2)對於軌道交通列車運控地面系統，基於分布式處理原則，將其分為核心主機部分和遠程外設部分。遠程外設儘量靠近現場控制對象，它們之間的硬連線儘可能縮短，減少了布線成本，降低了各種電磁幹擾的引入，減少了故障點，提高了運用可靠性。
[0047](3)通用安全計算機平臺具備不同配置方式，可移植到不同要求的軌道交通列車運控系統，減少了開發和安全評估工作量，降低了開發和安全評估成本。
[0048](4)基於通用安全計算機平臺的軌道交通列車運控系統結構不僅適用於簡化目前的軌道交通列車運控系統，還可適用於下一代軌道交通列車運控系統的實現。
【專利附圖】

【附圖說明】[0049]圖1為典型CTCS-2級地面系統結構圖；
[0050]圖2為典型CTCS-2級車載系統結構圖；
[0051]圖3為典型CTCS-3級地面系統結構圖；
[0052]圖4為典型CTCS-3級車載系統結構圖；
[0053]圖5為典型的CBTC地面系統結構圖；
[0054]圖6為典型的CBTC車載系統結構圖；
[0055]圖7為本發明提出的簡化軌道交通列車運行控制系統的方法的流程圖；
[0056]圖8為2乘2取2結構的通用安全計算機平臺結構組成；
[0057]圖9為通用安全計算機平臺外部設備管理層輸入處理原理框圖；
[0058]圖10為通用安全計算機平臺外部設備管理層通用數字輸出處理原理框圖；
[0059]圖11為通用安全計算機平臺外部設備管理層通用模擬量輸出和智能輸出處理原理框圖；
[0060]圖12為通用安全計算機平臺外部設備管理層冗餘外部通信處理原理框圖；
[0061]圖13為通用安全計算機平臺軟體支持多個應用控制邏輯；
[0062]圖14為通用安全計算機平臺軟體雙重確定性原則的實現；
[0063]圖15為核心主機型配置下的通用安全計算機平臺；
[0064]圖16為遠程外設型配置下的通用安全計算機平臺；
[0065]圖17為基於通用安全計算機平臺簡化的CTCS-2級地面系統原理框圖；
[0066]圖18為基於通用安全計算機平臺簡化的CTCS-2級車載系統原理框圖；
[0067]圖19為基於通用安全計算機平臺簡化的CTCS-3級地面系統原理框圖；
[0068]圖20為基於通用安全計算機平臺簡化的CTCS-3級車載系統原理框圖；
[0069]圖21為基於通用安全計算機平臺簡化的CBTC地面系統原理框圖；圖22為基於通用安全計算機平臺簡化的CBTC車載系統原理框圖。
【具體實施方式】
[0070]下面結合附圖對該發明提出的方法作進一步的說明。
[0071]本發明基於通用安全計算機平臺設計簡化軌道交通列車運行控制系統，如圖7所示為本發明提出的簡化軌道交通列車運行控制系統的方法的流程圖。該方法是基於通用安全計算機平臺設計簡化軌道交通列車運行控制系統，首先改進通用安全計算機平臺設計方法；然後簡化軌道交通列車運行控制系統的車載應用或地面應用。
[0072]本發明改進了中國發明專利CN201010235370.5和CN201010241067.6給出的安全
計算機平臺設計方法。具體而言，本發明所使用的通用安全計算機平臺基於硬體/軟體差異性設計原則、分級診斷原則實現，其軟體基於雙重確定性原則，支持同時實現多個應用控制邏輯功能。
[0073]硬體/軟體差異性設計原則主要針對目前安全計算機平臺設計普遍採用的相同硬體架構和相同作業系統、編譯器或程式語言實現冗餘安全比較架構所帶來的共因失效導致危險問題，通過硬體上選擇不同處理器架構，同時選擇不同的作業系統、不同的編譯器或不同的程式語言來實現，能夠進一步降低共因失效。例如硬體上選擇不同的X86架構、PowerPC架構、ARM架構等，選擇不同品牌的作業系統及其開發環境。[0074]考慮目前軌道交通列車運行控制系統的實際應用情況和相關規定，推薦通用安全計算機平臺使用2乘2取2結構(注:在此2取2乘2與2乘2取2含義相同)。
[0075]2乘2取2結構的通用安全計算機平臺主要包括邏輯處理層、外部設備管理層、容錯和安全管理層三個部分，如圖8所示。
[0076]其中，邏輯處理層由2組共4個邏輯處理單元LPU構成，每2個LPU構成I組2取
2結構的一系，兩系構成2乘2取2結構。每一系的2個LPU的選擇應符合硬體/軟體差異性(異構)設計原則，例如I個基於X86架構，另I個基於PowerPC架構，同時選擇不同的作業系統、不同的編譯器或不同的程式語言。
[0077]邏輯處理層提供符合2乘2取2機制的高安全、高可靠和高性能運算處理能力，以支持多個軌道交通列車運行控制邏輯功能的實現。
[0078]外部設備管理層由2組共4個外部設備管理單元PMU構成，每2個PMU構成I組2取2結構的一系，兩系構成熱備(2乘)2取2冗餘結構或並行2取2冗餘結構，優選並行冗餘結構。每一系的2個PMU的選擇也應符合硬體/軟體差異性(異構)設計原則，例如I個基於X86架構，另I個基於PowerPC架構，同時選擇不同的作業系統、不同的編譯器或不同的編程語目。
[0079]外部設備管理層提供:
[0080](I)通用數字量、模擬量、脈衝量的輸入或通用數字量、模擬量的輸出能力；
[0081](2)針對軌道電路、LEU、BTM、TCR等特殊應用的、需要基於DSP或FPGA實現的智能輸入或智能輸出能力；
[0082](3)軌道交通列車運行控制系統使用的各種外部通信，包括:使用RS-232、RS-485、RS-422接口的異步串行通信；現場總線通信:CAN、Prof ibus ;列車通信網絡TCN標準MVB通信；乙太網通信；車地移動通信:GSM-R、無線區域網WLAN。
[0083]外部設備管理層並行冗餘兩系中的任一系中，每種通用數字量、模擬量、脈衝量輸入信號以及基於DSP或FPGA的智能輸入信號的每一路都是2路同時輸入，經過異構的2個PMU基於2取2邏輯處理後送給邏輯處理層的4個LPU，如圖9所示。
[0084]外部設備管理層並行冗餘兩系中的任一系中，每種通用數字量輸出信號的每一路都是2路同時輸出，2取2表決後再與另一系構成並行冗餘輸出，其反饋信號同時送給外部設備管理層並行冗餘兩系中的4個PMU以保證輸出安全，如圖10所示。
[0085]針對通用模擬量輸出信號以及基於DSP或FPGA的智能輸出信號的普遍需求，外部設備管理層熱備(2乘)的兩系中的主系，採用I個PMU輸出模擬量信號以及基於DSP或FPGA的智能輸出信號，異構的另I個PMU對該輸出信號監督以保證輸出安全。外部設備管理層熱備(2乘)的兩系中的備系，異構的2個PMU均不輸出模擬量信號以及基於DSP或FPGA的智能輸出信號而只監督主系的輸出信號，一旦主系該輸出信號異常則接替其輸出而變為主系，如圖11所示。
[0086]針對外部通信冗餘方式的普遍需求，外部設備管理層並行冗餘兩系中的任一系中，每種外部通信冗餘的一路輸入採用I個PMU輸入、另I個異構的PMU直接輸入或監聽輸入的方式，異構的2個PMU基於2取2邏輯處理後送給邏輯處理層的4個LPU，另外一系輸入該外部通信冗餘的另一路輸入。每種外部通信冗餘的一路輸出採用I個PMU輸出，異構的另I個PMU對該外部通信輸出直接輸入或監聽輸入監督以保證輸出安全，另外一系輸出該外部通信冗餘的另一路輸出並對該外部通信輸出予以監督以保證輸出安全，如圖12所示。
[0087]容錯和安全管理層由2個或多個容錯和安全管理單元FTSMU構成，優選2個FTSMU的方案，2個FTSMU的實現也應符合硬體/軟體差異性(異構)設計原則，例如I個基於ARM架構使用C語言實現，另I個基於可編程邏輯器件，例如FPGA，使用硬體描述語言，例如VHDL，實現。
[0088]容錯和安全管理層與邏輯處理層相互配合完成2乘2取2機制，與外部設備管理層相互配合完成熱備(2乘)2取2冗餘機制或並行2取2冗餘機制，其具體實現方法可參見中國發明專利 CN201010235370.5 和 CN201010241067.6。
[0089]人機操作界面DMI通過冗餘外部乙太網或冗餘外部異步串行通信總線接入外部
設備管理層。
[0090]上述邏輯處理層的4個邏輯處理單元LPU、外部設備管理層的4個外部設備管理單元PMU、容錯和安全管理層的2個或多個容錯和安全管理單元FTSMU之間通過冗餘的安全通信內網VCIN，基於EN50159規定的第I類封閉網絡安全通信協議相互通信。
[0091]分級診斷原則主要針對COTS硬體越來越廣泛地使用所導致的複雜處理器及與其相關的存儲器和其它外設充分診斷的現狀，解決「自己診斷自己」的邏輯難題，從而提高診斷覆蓋率。
[0092]分級診斷原則為:
[0093](I)所有輸入通道通過讀取特定數值的輸入量來進行診斷，輸入診斷由處理器發起；診斷周期固定，優選與處理器控制周期相同，在處理器控制周期內的特定時段內完成；
[0094](2)2取2結構的輸入通道在每個處理器控制周期內進行輸入量的2取2比較，數字輸入量不一致或模擬輸入量、脈衝輸入量偏差超出預定範圍，則該輸入量的2組輸入通道出現問題，不再認可該系的此輸入量；
[0095](3)所有輸出通道通過對特定數值的輸出量進行反饋來完成診斷，輸出診斷由特定信號應用發起，處理器控制，在特定的時段內完成；
[0096](4)輸出通道在每個處理器控制周期內進行輸出反饋，並與實際輸出值比較，數字輸出量一旦不一致或模擬輸出量、脈衝輸出量偏差超出預定範圍，則該輸出通道出現問題，其對應的2取2結構的該系的此輸出應導向安全；
[0097](5)處理器及與其相關的存儲器和其它外設的診斷，在2取2結構的2組差異性硬體與軟體配合和第三方FTSMU的監督下，異步完成相同的確定性工作並在處理器每個控制周期內的特定時段內各自獨立完成執行結果的相互比較，只有完全一致診斷結果才會判定正常；
[0098](6)通用安全計算機平臺初始上電時刻，處理器完成對其自身及與其相關的存儲器和各種輸入、輸出以及其它外設的掃描診斷。
[0099]上述邏輯處理單元LPU、外部設備管理單元PMU、基於ARM架構的容錯和安全管理單元FTSMU之上運行的軟體，均支持同時實現多個信號應用控制邏輯，如圖13所示。
[0100]軟體方面，支持同時實現多個信號應用控制邏輯所依賴的雙重確定性原則分別指基於固定分配的循環執行策略和基於固定分配的內存保護策略。基於固定分配的循環執行策略以保證所支持的多個控制邏輯的執行時間確定性，基於固定分配的內存保護策略以保證所支持的多個控制邏輯的數據存儲空間確定性，如圖14所示。這2個措施可以進一步提高軟體安全性。
[0101]對於軌道交通運控地面系統，基於分布式處理原則，上述的通用安全計算機平臺還可以精簡為核心主機型配置、遠程外設型配置2種方式。核心主機型配置時，包括邏輯處理層、部分外部設備管理層、容錯和安全管理層三個部分以及安全通信內網VCIN，如圖15所示。其中的部分外部設備管理層只支持冗餘外部乙太網通信功能。遠程外設型配置時，包括外部設備管理層、容錯和安全管理層兩個部分以及安全通信內網VCIN，如圖16所示。
[0102]基於通用安全計算機平臺簡化軌道交通列車運行控制系統的車載應用或地面應用:
[0103]地面應用，劃分現有地面列控設備的應用邏輯處理功能、輸入輸出功能、人機操作界面DMI功能，然後合併多個地面列控應用邏輯處理功能於核心主機型配置通用安全計算機平臺，合併相同現場位置的不同地面列控輸入輸出功能於遠程外設型配置通用安全計算機平臺，根據現場情況設置多個遠程外設型配置通用安全計算機平臺，最後根據現場情況設置一個或多個人機操作界面DMI供地面列控使用；
[0104]車載應用，劃分現有車載列控設備的應用邏輯處理功能、輸入輸出功能、人機操作界面DMI功能，然後合併多個地面列控應用邏輯處理功能於通用安全計算機平臺的邏輯處理層，合併車載列控輸入輸出功能於通用安全計算機平臺外部設備管理層，根據現場情況設置司機人機操作界面DMI。
[0105]針對鐵路、城軌等典型的軌道交通系統，基於通用安全計算機平臺簡化的列車運行控制系統具體實施方案如下:
[0106](I) CTCS-2級地面系統實施方案
[0107]基於分布式處理原則，將CTCS-2級地面系統分為核心主機部分和遠程外設部分。核心主機基於核心主機型配置的安全計算機平臺實現，放置於目前信號機械室內，支持目前計算機聯鎖CB1、列車運行控制中心TCC的核心控制邏輯以及與計算機聯鎖CBI相適應的人機操作界面DMI功能。而遠程外設基於遠程外設型配置的安全計算機平臺實現，儘量靠近現場控制對象，確保遠程外設和現場控制對象之間的硬連線儘可能縮短，減少布線成本，降低各種電磁幹擾的引入，減少故障點。遠程外設支持計算機聯鎖通用數字量輸入或輸出功能、軌道電路通用數字量輸入或輸出功能以及智能輸入或智能輸出功能、軌旁電子單元LEU通用數字量輸入或輸出功能以及智能輸入或智能輸出功能，如圖17所示。
[0108](2) CTCS-2級車載系統實施方案
[0109]基於通用安全計算機平臺實現CTCS-2級車載系統，其邏輯處理層支持目前車載ATP、測速測距、應答器信息處理、軌道電路信息處理功能。其外部設備管理層支持列車接口單元的通用數字量輸入和輸出功能、速度傳感器的通用脈衝量輸入功能、基於DSP的軌道電路信息智能輸入功能、基於DSP或FPGA的應答器信息智能輸入功能以及人機操作界面DMI通信功能，如圖18所示。
[0110](3) CTCS-3級地面系統實施方案
[0111]基於分布式處理原則，將CTCS-3級地面系統分為核心主機部分和遠程外設部分。核心主機基於核心主機型配置的安全計算機平臺實現，放置於目前信號機械室內，支持目前無線閉塞中心RBC、臨時限速伺服器TSRS、計算機聯鎖CB1、列車運行控制中心TCC的核心控制邏輯以及與臨時限速伺服器TSRS、計算機聯鎖CBI相適應的人機操作界面DMI功能。而遠程外設基於遠程外設型配置的安全計算機平臺實現，儘量靠近現場控制對象，確保遠程外設和現場控制對象之間的硬連線儘可能縮短，減少布線成本，降低各種電磁幹擾的引入，減少故障點。遠程外設支持計算機聯鎖通用數字量輸入或輸出功能、軌道電路通用數字量輸入或輸出功能以及智能輸入或智能輸出功能、軌旁電子單元LEU通用數字量輸入或輸出功能以及智能輸入或智能輸出功能，如圖19所示。
[0112](4) CTCS-3級車載系統實施方案
[0113]基於通用安全計算機平臺實現CTCS-3級車載系統，其邏輯處理層支持目前C3車載ATP、C2車載ATP、測速測距、應答器信息處理、軌道電路信息處理功能。其外部設備管理層支持列車接口單元的通用數字量輸入和輸出功能、速度傳感器的通用脈衝量輸入功能、基於DSP的軌道電路信息智能輸入功能、基於DSP或FPGA的應答器信息智能輸入功能以及人機操作界面DM1、GSM-R無線通信單元RTU、列車通信網絡MVB的通信功能，如圖20所示。
[0114](5) CBTC地面系統實施方案
[0115]基於分布式處理原則，將CBTC地面系統分為核心主機部分和遠程外設部分。核心主機基於核心主機型配置的安全計算機平臺實現，放置於目前信號機械室內，支持目前區域控制器ZC、數據存儲單元DSU、計算機聯鎖CBI的核心控制邏輯以及與數據存儲單元DSU、計算機聯鎖CBI相適應的人機操作界面DMI功能。而遠程外設基於遠程外設型配置的安全計算機平臺實現，儘量靠近現場控制對象，確保遠程外設和現場控制對象之間的硬連線儘可能縮短，減少布線成本，降低各種電磁幹擾的引入，減少故障點。遠程外設支持計算機聯鎖通用數字量輸入或輸出功能、計軸設備通用數字量輸入或輸出功能以及智能輸入或智能輸出功能，如圖21所示。
[0116](6) CBTC車載系統實施方案
[0117]基於通用安全計算機平臺實現CBTC車載系統，其邏輯處理層支持目前車載ATP、車載ΑΤ0、測速測距、應答器信息處理功能。其外部設備管理層支持列車接口單元的通用數字量輸入和輸出功能、速度傳感器的通用脈衝量輸入功能、基於DSP或FPGA的應答器信息智能輸入功能以及人機操作界面DM1、無線車載設備MR、列車通信網絡MVB的通信功能，如圖22所示。
[0118]以上所述，僅為本發明較佳的【具體實施方式】，但本發明的保護範圍並不局限於此，任何熟悉本【技術領域】的技術人員在本發明揭露的技術範圍內，可輕易想到的變化或替換，都應涵蓋在本發明的保護範圍之內。因此，本發明的保護範圍應該以權利要求的保護範圍為準。
【權利要求】
1.一種簡化軌道交通列車運行控制系統的方法，其特徵在於，該方法是基於通用安全計算機平臺設計簡化軌道交通列車運行控制系統，具體步驟為:1)改進通用安全計算機平臺設計方法；2)簡化軌道交通列車運行控制系統的車載應用或地面應用。
2.根據權利要求1所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述步驟1)中該通用安全計算機平臺基於硬體/軟體差異性設計原則、分級診斷原則實現，軟體基於雙重確定性原則，支持同時實現多個應用控制邏輯功能。
3.根據權利要求1或2所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述通用安全計算機平臺使用2乘2取2結構，主要包括邏輯處理層、外部設備管理層、容錯和安全管理層三個部分。
4.根據權利要求3所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述邏輯處理層由2組共4個邏輯處理單元LPU構成，每2個LPU構成I組2取2結構的一系，一系的2個LPU符合硬體/軟體差異性設計原則，兩系構成2乘2取2結構；該邏輯處理層提供符合2乘2取2機制的高安全、高可靠和高性能運算處理能力，以支持多個傳統軌道交通列車運行控制邏輯功能的實現。
5.根據權利要求3所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述外部設備管理層由2組共4個外部設備管理單元PMU構成，每2個PMU構成I組2取2結構的一系，一系的2個PMU的選擇符合硬體/軟體差異性設計原則，兩系構成熱備2取2冗餘結構或並行2取2冗餘結構，優選並行2取2冗餘結構； 該外部設備管理層提供:(1)通用數字量、模擬量、脈衝量的輸入或通用數字量、模擬量的輸出能力；(2)針對軌道電路、LEU、BTM、TCR應用的、基於DSP或FPGA實現的智能輸入或智能輸出能力；(3)軌道交通列車運行控制系統使用的各種外部通信，包括:使用RS-232、RS-485、RS-422接口的異步串行通信；現場總線通信:CAN、Profibus ;列車通信網絡TCN標準MVB通信；乙太網通信；車地移動通信:GSM-R、無線區域網WLAN。
6.根據權利要求5所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述外部設備管理層並行2取2冗餘結構兩系中的任一系中，每種通用數字量、模擬量、脈衝量輸入信號以及DSP或FPGA智能輸入信號的每一路都是2路同時輸入，經過異構的2個PMU基於2取2邏輯處理後送給邏輯處理層的4個LPU。
7.根據權利要求5所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述外部設備管理層並行2取2冗餘結構兩系中的任一系中，每種通用數字量輸出信號的每一路都是2路同時輸出，2取2表決後再與另一系構成並行冗餘輸出，其反饋信號同時送給外部設備管理層並行冗餘兩系中的4個PMU以保證輸出安全； 針對通用模擬量輸出信號以及DSP或FPGA智能輸出信號的普遍需求，所述外部設備管理層熱備2取2冗餘結構的兩系中的主系，採用I個PMU輸出模擬量以及DSP或FPGA的智能輸出信號，異構的另I個PMU對該輸出信號監督以保證輸出安全；外部設備管理層熱備2取2冗餘結構的兩系中的備系，異構的2個PMU均不輸出模擬量以及DSP或FPGA的智能輸出信號，只監督主系的輸出信號，一旦主系輸出信號異常則接替其輸出而變為主系。
8.根據權利要求5所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，針對外部通信冗餘方式的普遍需求，所述外部設備管理層並行2取2冗餘結構兩系中的任一系中，每種外部通信冗餘的一路輸入米用1個PMU輸入、另I個異構的PMU直接輸入或監聽輸入的方式，異構的2個PMU基於2取2邏輯處理後送給邏輯處理層的4個LPU，另外一系輸入該外部通信冗餘的另一路輸入； 每種外部通信冗餘的一路輸出採用I個PMU輸出，異構的另I個PMU對該外部通信輸出直接輸入或監聽輸入監督以保證輸出安全，另外一系輸出該外部通信冗餘的另一路輸出並對該外部通信輸出予以監督以保證輸出安全。 人機操作界面DMI通過冗餘外部乙太網或冗餘外部異步串行通信總線接入外部設備管理層。
9.根據權利要求3所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述容錯和安全管理層由2個或多個容錯和安全管理單元FTSMU構成，優選2個FTSMU的方案，2個FTSMU的實現符合硬體/軟體差異性設計原則；容錯和安全管理層與邏輯處理層相互配合完成2乘2取2機制，與外部設備管理層相互配合完成熱備2取2冗餘機制或並行2取2冗餘機制。
10.根據權利要求4~9所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述邏輯處理層的4個邏輯處理單元LPU、外部設備管理層的4個外部設備管理單元PMU、容錯和安全管理層的2個或多個容錯和安全管理單元FTSMU之間通過冗餘的安全通信內網VCIN，基於EN50159規定的第I類封閉傳輸系統安全通信協議相互通信。
11.根據權利要求4~9所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述邏輯處理層的4個邏輯處理單元LPU、外部設備管理層的4個外部設備管理單元PMU、容錯和安全管理層的2個或多個容錯和安全管理單元FTSMU之上運行的軟體，支持同時實現多個應用控制邏輯。
12.根據權利要求2所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述硬體/軟體差異性設計原則為硬體上選擇不同處理器架構，軟體上選擇不同的作業系統、不同的編譯器或不同的程式語言。
13.根據權利要求2所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述分級診斷原則為: (1)所有輸入通道通過讀取特定數值的輸入量來進行診斷，輸入診斷由處理器發起；診斷周期固定，優選與處理器控制周期相同，在處理器控制周期內的特定時段內完成； (2)2取2結構的輸入通道在每個處理器控制周期內進行輸入量的2取2比較，數字輸入量不一致或模擬輸入量、脈衝輸入量偏差超出預定範圍，則該輸入量的2組輸入通道出現問題，不再認可該系的此輸入量； (3)所有輸出通道通過對特定數值的輸出量進行反饋來完成診斷，輸出診斷由特定信號應用發起，處理器控制，在特定的時段內完成； (4)輸出通道在每個處理器控制周期內進行輸出反饋，並與實際輸出值比較，數字輸出量一旦不一致或模擬輸出量、脈衝輸出量偏差超出預定範圍，則該輸出通道出現問題，其對應的2取2結構的該系的此輸出應導向安全； (5)處理器及與其相關的存儲器和其它外設的診斷，在2取2結構的2組差異性硬體與軟體配合和第三方FTSMU的監督下，異步完成相同的確定性工作並在處理器每個控制周期內的特定時段內各自獨立完成執行結果的相互比較，只有完全一致診斷結果才會判定正常；(6)通用安全計算機平臺初始上電時刻，處理器完成對其自身及與其相關的存儲器和各種輸入、輸出以及其它外設的掃描診斷。
14.根據權利要求2所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述雙重確定性原則分別指基於固定分配的循環執行策略和基於固定分配的內存保護策略；基於固定分配的循環執行策略以保證所支持的多個控制邏輯的執行時間確定性；基於固定分配的內存保護策略以保證所支持的多個控制邏輯的數據存儲空間確定性。
15.根據權利要求2所述一種簡化軌道交通列車運行控制系統的方法，其特徵在於，對於軌道交通列車運控地面系統，基於分布式處理原則，所述通用安全計算機平臺分為核心主機型配置和遠程外設型配置； 核心主機型配置包括邏輯處理層、部分外部設備管理層、容錯和安全管理層三個部分以及安全通信內網VCIN ;其中的部分外部設備管理層只支持冗餘外部乙太網通信功能； 遠程外設型配置包括外部設備管理層、容錯和安全管理層兩個部分以及安全通信內網VCIN0
16.根據權利要求1所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述步驟2)確定是車載應用還是地面應用: 地面應用，劃分現有地面列控設備的應用邏輯處理功能、輸入輸出功能、人機操作界面DMI功能，然後合併多個地面列控應用邏輯處理功能於核心主機型配置通用安全計算機平臺，合併相同現場位置的不同地面列控輸入輸出功能於遠程外設型配置通用安全計算機平臺，根據現場情況設置多個遠程外設型配置通用安全計算機平臺，最後根據現場情況設置一個或多個人機操作界面DMI供地面列控使用； 車載應用，劃分現有車載列控設備的應用邏輯處理功能、輸入輸出功能、人機操作界面DMI功能，然後合併多個地面列控應用邏輯處理功能於通用安全計算機平臺的邏輯處理層，合併車載列控輸入輸出功能於通用安全計算機平臺外部設備管理層，根據現場情況設置司機人機操作界面DMI。
17.根據權利要求1或16所述的一種簡化軌道交通列車運行控制系統的方法，其特徵在於，所述步驟2)中的軌道交通列車運行控制系統的車載應用或地面應用為CTCS-2級地面系統、CTCS-2級車載系統、CTCS-3級地面系統、CTCS-3級車載系統、CBTC地面系統、CBTC車載系統。
【文檔編號】B61L27/00GK103612650SQ201310603679
【公開日】2014年3月5日 申請日期:2013年11月25日 優先權日:2013年11月25日
【發明者】馬連川, 曹源, 李開成 申請人:北京交通大學