雙機熱備結構的ato設備的故障檢測和切換方法

2023-09-11 02:28:05

雙機熱備結構的ato設備的故障檢測和切換方法
【專利摘要】本發明公開了全自動駕駛系統設計【技術領域】中的一種雙機熱備結構的ATO設備的故障檢測和切換方法。系統包括主機、備機、主機微處理器、備機微處理器、管理單元、輸入單元和輸出單元；主機微處理器置於主機中，並分別通過數據輸入通道和主機數據輸出通道與輸入單元和輸出單元相連；備機微處理器置於備機中，並分別通過數據輸入通道和備機數據輸出通道與輸入單元和輸出單元相連；管理單元分別與主機和備機相連；管理單元在檢測到主機故障信號時，屏蔽主機數據輸出通道；在檢測到備機故障信號時，屏蔽備機數據輸出通道。本發明實現了雙機熱備結構的ATO設備對自身硬體故障和軟體運行錯誤的診斷，並且切換過程無錯誤數據輸出。
【專利說明】雙機熱備結構的ATO設備的故障檢測和切換方法

【技術領域】
[0001]本發明屬於全自動駕駛系統設計【技術領域】，尤其涉及一種雙機熱備結構的ATO設備的故障檢測和切換方法。

【背景技術】
[0002]由於AT0(Automatic Train Operat1n,全自動列車駕駛)設備主要用於代替司機駕駛列車運行，ATO設備的故障將會對列車運行造成較大影響。因此在面向全自動駕駛(Fully Automatic Operat1n,FA0)系統的開發和研究中，為了保證ATO設備的高可靠性，首要任務是對ATO設備進行冗餘設計，例如採用雙機熱備冗餘結構。
[0003]在現有的雙機熱備技術方案中，很多系統在主備機單元之間設置心跳線，依靠軟體實現對主機和備機工作狀態的故障檢測和故障切換。這種方式需要大量的軟體設計來檢測主機、備機的工作狀態，而且部分雙機熱備技術方案缺少第三方監督。當心跳線出現錯誤時，可能導致備機誤升「主」機，產生雙主機狀態，影響信息傳輸和控制。
[0004]本發明設計了一種基於數據通道有效性的雙機熱備結構ATO故障檢測和故障切換方法。利用數據輸出通道的有效性作為主、備機切換的依據。採用該設計的優點在於準確定位故障位置，防止切換異常導致錯誤數據輸出。該設計包括主機、備機、管理單元。此外還包括輸入單元和輸出單元作為ATO和外界其它設備通信的傳輸。


【發明內容】

[0005]本發明的目的在於，提供一種雙機熱備結構的ATO設備的故障檢測和切換方法，用於解決現有的ATO設備在故障檢測和故障切換時存在的問題。
[0006]為了實現上述目的，本發明提出的技術方案是，一種雙機熱備結構的ATO設備的故障檢測系統，包括主機和備機，其特徵是所述系統還包括:主機微處理器、備機微處理器、管理單元、輸入單元和輸出單元；
[0007]所述主機微處理器置於主機中，並分別通過數據輸入通道和主機數據輸出通道與輸入單元和輸出單元相連；
[0008]所述備機微處理器置於備機中，並分別通過數據輸入通道和備機數據輸出通道與輸入單元和輸出單元相連；
[0009]所述管理單元分別與主機和備機相連；
[0010]所述輸入單元用於通過數據輸入通道向主機和備機發送數據；
[0011]所述主機微處理器用於檢測自身是否出現故障，在自身出現故障時，通過主機向管理單元發送主機故障信號；
[0012]所述備機微處理器用於檢測自身是否出現故障，在自身出現故障時，通過備機向管理單元發送備機故障信號；
[0013]所述管理單元用於在檢測到主機故障信號時，屏蔽主機數據輸出通道；在檢測到備機故障信號時，屏蔽備機數據輸出通道；
[0014]所述輸出單元用於檢測主機數據輸出通道和備機數據輸出通道的工作狀態，當輸出單元僅檢測到備機數據輸出通道的工作狀態時，則將備機升級為主機；當輸出單元僅檢測到主機數據輸出通道的工作狀態時，則所述系統處於單主機模式；當檢測不到主機數據輸出通道和備機數據輸出通道的工作狀態時，則控制ATO設備宕機。
[0015]所述輸出單元用於同時檢測到主機數據輸出通道和備機數據輸出通道的工作狀態時，對主機數據輸出通道和備機數據輸出通道輸出的數據進行比較，如果主機數據輸出通道和備機數據輸出通道輸出的數據一致，則輸出主機數據輸出通道的數據；否則，控制ATO設備巖機。
[0016]所述管理單元通過數據輸入通道與輸入單元相連，用於檢測數據輸入通道的輸入數據，如果管理單元檢測到數據輸入通道的輸入數據異常，則屏蔽主機數據輸出通道和備機數據輸出通道。
[0017]所述管理單元通過主機數據輸出通道與輸出單元相連，用於檢測主機數據輸出通道的輸出數據。
[0018]所述管理單元通過備機數據輸出通道與輸出單元相連，用於檢測備機數據輸出通道的輸出數據。
[0019]一種雙機熱備結構的ATO設備的故障檢測方法，其特徵是所述方法包括:
[0020]步驟1:主機微處理器和備機微處理器周期性地自檢；
[0021]步驟2:當主機微處理器檢測自身出現故障時，通過主機向管理單元發送主機故障信號;
[0022]當備機微處理器檢測自身出現故障時，通過備機向管理單元發送備機故障信號；
[0023]步驟3:如果管理單元檢測到主機故障信號，則屏蔽主機數據輸出通道；
[0024]如果管理單元檢測到備機故障信號，則屏蔽備機數據輸出通道；
[0025]步驟4:當輸出單元僅檢測到備機數據輸出通道的工作狀態時，則將備機升級為主機；當輸出單元僅檢測到主機數據輸出通道的工作狀態時，則所述系統處於單主機模式；當檢測不到主機數據輸出通道和備機數據輸出通道的工作狀態時，則控制ATO設備宕機。
[0026]所述步驟4還包括，輸出單元同時檢測到主機數據輸出通道和備機數據輸出通道的工作狀態時，對主機數據輸出通道和備機數據輸出通道輸出的數據進行比較，如果主機數據輸出通道和備機數據輸出通道輸出的數據一致，則輸出主機數據輸出通道的數據；否貝U，控制ATO設備宕機。
[0027]所述步驟3包括，如果管理單元檢測到數據輸入通道的輸入數據異常，則屏蔽主機數據輸出通道和備機數據輸出通道。
[0028]本發明實現了雙機熱備結構的ATO設備對自身硬體故障和軟體運行錯誤的診斷，並且切換過程無錯誤數據輸出。

【專利附圖】

【附圖說明】
[0029]圖1是雙機熱備結構的ATO設備的故障檢測系統結構圖；
[0030]圖2是主機微處理器自檢異常時處理圖；
[0031]圖3是備機微處理器自檢異常時處理圖；
[0032]圖4是RM48微處理器自檢比較結構圖。

【具體實施方式】
[0033]下面結合附圖，對優選實施例作詳細說明。應該強調的是，下述說明僅僅是示例性的，而不是為了限制本發明的範圍及其應用。
[0034]如圖1所示，本發明提供的雙機熱備結構的ATO設備的故障檢測系統包括主機和備機，還包括:主機微處理器、備機微處理器、管理單元、輸入單元和輸出單元。
[0035]主機微處理器置於主機中，並分別通過數據輸入通道和主機數據輸出通道與輸入單元和輸出單元相連。備機微處理器置於備機中，並分別通過數據輸入通道和備機數據輸出通道與輸入單元和輸出單元相連。管理單元分別與主機和備機相連。
[0036]輸入單元用於通過數據輸入通道向主機和備機發送數據。
[0037]如圖2所示，主機微處理器用於檢測自身是否出現故障，在自身出現故障時，通過主機向管理單元發送主機故障信號。管理單元在檢測到主機故障信號時，屏蔽主機數據輸出通道。
[0038]如圖3所示，備機微處理器用於檢測自身是否出現故障，在自身出現故障時，通過備機向管理單元發送備機故障信號。管理單元在檢測到備機故障信號時，屏蔽備機數據輸出通道。
[0039]輸出單元用於檢測主機數據輸出通道和備機數據輸出通道的工作狀態，當輸出單元僅檢測到備機數據輸出通道的工作狀態時，則將備機升級為主機；當輸出單元僅檢測到主機數據輸出通道的工作狀態時，則所述系統處於單主機模式；當檢測不到主機數據輸出通道和備機數據輸出通道的工作狀態時，則控制ATO設備宕機。
[0040]輸出單元進一步還用於同時檢測到主機數據輸出通道和備機數據輸出通道的工作狀態時，對主機數據輸出通道和備機數據輸出通道輸出的數據進行比較，如果主機數據輸出通道和備機數據輸出通道輸出的數據一致，則輸出主機數據輸出通道的數據；否則，控制ATO設備宕機。
[0041]管理單元進一步通過數據輸入通道與輸入單元相連，用於檢測數據輸入通道的輸入數據，如果管理單元檢測到數據輸入通道的輸入數據異常，則屏蔽主機數據輸出通道和備機數據輸出通道。
[0042]進一步，管理單元通過主機數據輸出通道與輸出單元相連，用於檢測主機數據輸出通道的輸出數據。
[0043]進一步，管理單元通過備機數據輸出通道與輸出單元相連，用於檢測備機數據輸出通道的輸出數據。
[0044]以下以RM48微處理器為例，對本發明進行進一步說明。
[0045]德州儀器的RM48微處理器與許多嚴重依賴軟體來獲得安全能力的微控制器不同，它可利用自身硬體結構實現安全特性，提供最高水平的在線診斷功能，以監測晶片內部故障，最大限度地提升性能並降低軟體開銷。
[0046]RM48微處理器是一款基於鎖步雙ARM Cortex_R4F核的32位RISC微處理器。兩個內核一個用於主控，另一個用於監測，並且為了避免相互影響，兩個內核的數據採用不同的延遲方式。如圖4所示，CPUl用於執行程序，CPU2隻負責鎖步監控，兩個CPU執行相同的指令。但對於同一條指令，CPUl永遠優先於CPU2兩個時鐘周期，二者的運算結果進行比較。如果比較不一致，貝1J認為微處理器出現故障，產生錯誤信號模塊(error singal module,ESM)故障信號。
[0047]本發明基於RM48微處理器設計了雙機熱備結構ΑΤ0，如圖1的結構圖所示。本發明採用CAN總線通信作為ATO內部的數據通道，並根據CAN總線消息ID判斷CAN總線的通信狀態。主機和備機同時通過CANl總線(數據輸入通道)接收數據，CAN2總線作為主機的數據輸出通道，CAN3總線作為備機的數據輸出通道。
[0048](I)主機自檢出現ESM故障信號。
[0049]當主機的RM48微處理器通過自檢出現異常時，產生ESM故障信號，管理單元監測到該故障信號後，發送高電平信號關閉CAN2收發器，從而屏蔽了主機的數據輸出通道CAN2總線。與此同時，輸出單元檢測不到CAN2總線消息ID，則認為主機故障，立即切換到CAN3總線的數據(即備機)作為ATO的輸出，系統處於單備機模式。
[0050](2)備機自檢出現ESM故障信號
[0051]當備機的RM48微處理器通過自檢出現異常時，產生ESM故障信號，管理單元監測到該故障信號後，發送高電平信號關閉CAN3收發器，從而屏蔽了備機的數據輸出通道CAN3總線。與此同時，輸出單元檢測不到CAN3總線消息ID，則認為備機故障，系統處於單主機模式。
[0052]具體設計過程中，可以如圖1所示，主機和備機的ESM模塊引腳分別連接到管理單元的G10A[1]和G1A[O]引腳(這是一種1引腳連接)。正常情況下，ESM的引腳為高電平，微處理器自檢異常觸發ESM模塊時，ESM的引腳為低電平。而且，考慮到數據輸出通道受外界因素影響產生中斷，管理單元的G10A[1](或G10A[0])引腳同樣檢測到低電平，從而認為主機(或備機)故障。另外，將管理單元的N2HET[4]和N2HET[5]引腳分別連接到了CAN2和CAN3收發器的使能端。管理單元通過控制CAN2和CAN3收發器的使能端電平信號，實現對CAN2和CAN3收發器的控制。
[0053](3) RM48微處理器未檢測到的異常。
[0054]輸出單元同時接收CAN2總線和CAN3總線的數據，並對這兩路數據進行對比，因此系統必須滿足同步設計。內容比較一致，則選擇CAN2總線的數據作為ATO的輸出；比較不一致，則ATO宕機。在單機工作模式下，不進行比較。
[0055](4)CANl總線通信中斷
[0056]CANl總線作為主機和備機的數據輸入通道，正常情況下,主/備機通過CANl總線接收到數據後，進行運算處理，並將運算結果通過CAN2(或CAN3)總線發送到輸出單元。如果CANl總線通信中斷，主/備機檢測不到CANl總線消息ID，從而停止向CAN2總線和CAN3總線發送數據，輸出單元檢測不到CAN2總線和CAN3總線消息ID，ATO宕機，系統無輸出。
[0057]採用CAN總線通信方式進行具體設計時，管理單元監測CANl總線的消息ID，從而實現對數據輸入通道的監測。如果輸入數據通道異常，管理單元通過N2HET[4]和N2HET[5]引腳屏蔽CAN2和CAN3收發器，從而系統停止輸出。
[0058]需要說明的是，工作狀態是指數據輸入/輸出通道的狀態(正常or異常)，在實施例中，通過檢測CAN1/CAN2/CAN3總線的消息ID來判斷數據輸入/輸出通道的工作狀態。在CAN總線通信中,數據是存儲在消息(RM48晶片手冊中定義的是messagebox)中傳輸,並且用不同的ID號來區分不同的消息。
[0059](5)CAN2總線通信中斷
[0060]CAN2總線作為主機的數據輸出通道，如果CAN2總線受到外部環境幹擾破壞導致通信中斷，輸出單元檢測不到CAN2總線消息ID，則認為主機故障，立即切換到CAN3總線的數據(即備機)作為ATO的輸出，系統處於單備機模式。
[0061](6)CAN3總線通信中斷
[0062]CAN3總線作為備機的數據輸出通道，如果CAN3總線受到外部環境幹擾破壞導致通信中斷，輸出單元檢測不到CAN3總線消息ID，則認為備機故障，系統處於單主機模式。
[0063]與上述工作過程相應，本發明還提供了一種雙機熱備結構的ATO設備的故障檢測方法，該方法包括:
[0064]步驟1:主機微處理器和備機微處理器周期性地自檢。
[0065]步驟2:當主機微處理器檢測自身出現故障時，通過主機向管理單元發送主機故障信號。
[0066]當備機微處理器檢測自身出現故障時，通過備機向管理單元發送備機故障信號。
[0067]步驟3:如果管理單元檢測到主機故障信號，則屏蔽主機數據輸出通道。
[0068]如果管理單元檢測到備機故障信號，則屏蔽備機數據輸出通道。
[0069]步驟4:當輸出單元僅檢測到備機數據輸出通道的工作狀態時，則將備機升級為主機；當輸出單元僅檢測到主機數據輸出通道的工作狀態時，則所述系統處於單主機模式；當檢測不到主機數據輸出通道和備機數據輸出通道的工作狀態時，則控制ATO設備宕機。
[0070]進一步，步驟4還包括:輸出單元同時檢測到主機數據輸出通道和備機數據輸出通道的工作狀態時，對主機數據輸出通道和備機數據輸出通道輸出的數據進行比較，如果主機數據輸出通道和備機數據輸出通道輸出的數據一致，則輸出主機數據輸出通道的數據；否則，控制ATO設備宕機。
[0071]進一步，在步驟3中，還可以包括:如果管理單元檢測到數據輸入通道的輸入數據異常，則屏蔽主機數據輸出通道和備機數據輸出通道。
[0072]以上所述，僅為本發明較佳的【具體實施方式】，但本發明的保護範圍並不局限於此，任何熟悉本【技術領域】的技術人員在本發明揭露的技術範圍內，可輕易想到的變化或替換，都應涵蓋在本發明的保護範圍之內。因此，本發明的保護範圍應該以權利要求的保護範圍為準。
【權利要求】
1.一種雙機熱備結構的ATO設備的故障檢測系統，包括主機和備機，其特徵是所述系統還包括:主機微處理器、備機微處理器、管理單元、輸入單元和輸出單元； 所述主機微處理器置於主機中，並分別通過數據輸入通道和主機數據輸出通道與輸入單元和輸出單元相連； 所述備機微處理器置於備機中，並分別通過數據輸入通道和備機數據輸出通道與輸入單元和輸出單元相連； 所述管理單元分別與主機和備機相連； 所述輸入單元用於通過數據輸入通道向主機和備機發送數據； 所述主機微處理器用於檢測自身是否出現故障，在自身出現故障時，通過主機向管理單元發送主機故障信號； 所述備機微處理器用於檢測自身是否出現故障，在自身出現故障時，通過備機向管理單元發送備機故障信號； 所述管理單元用於在檢測到主機故障信號時，屏蔽主機數據輸出通道；在檢測到備機故障信號時，屏蔽備機數據輸出通道； 所述輸出單元用於檢測主機數據輸出通道和備機數據輸出通道的工作狀態，當輸出單元僅檢測到備機數據輸出通道的工作狀態時，則將備機升級為主機；當輸出單元僅檢測到主機數據輸出通道的工作狀態時，則所述系統處於單主機模式；當檢測不到主機數據輸出通道和備機數據輸出通道的工作狀態時，則控制ATO設備宕機。
2.根據權利要求1所述的系統，其特徵是所述輸出單元用於同時檢測到主機數據輸出通道和備機數據輸出通道的工作狀態時，對主機數據輸出通道和備機數據輸出通道輸出的數據進行比較，如果主機數據輸出通道和備機數據輸出通道輸出的數據一致，則輸出主機數據輸出通道的數據；否則，控制ATO設備宕機。
3.根據權利要求1或2所述的系統，其特徵是所述管理單元通過數據輸入通道與輸入單元相連，用於檢測數據輸入通道的輸入數據，如果管理單元檢測到數據輸入通道的輸入數據異常，則屏蔽主機數據輸出通道和備機數據輸出通道。
4.根據權利要求1或2所述的系統，其特徵是所述管理單元通過主機數據輸出通道與輸出單元相連，用於檢測主機數據輸出通道的輸出數據。
5.根據權利要求1或2所述的系統，其特徵是所述管理單元通過備機數據輸出通道與輸出單元相連，用於檢測備機數據輸出通道的輸出數據。
6.一種雙機熱備結構的ATO設備的故障檢測方法，其特徵是所述方法包括: 步驟1:主機微處理器和備機微處理器周期性地自檢； 步驟2:當主機微處理器檢測自身出現故障時，通過主機向管理單元發送主機故障信號; 當備機微處理器檢測自身出現故障時，通過備機向管理單元發送備機故障信號； 步驟3:如果管理單元檢測到主機故障信號，則屏蔽主機數據輸出通道； 如果管理單元檢測到備機故障信號，則屏蔽備機數據輸出通道； 步驟4:當輸出單元僅檢測到備機數據輸出通道的工作狀態時，則將備機升級為主機；當輸出單元僅檢測到主機數據輸出通道的工作狀態時，則所述系統處於單主機模式；當檢測不到主機數據輸出通道和備機數據輸出通道的工作狀態時，則控制ATO設備宕機。
7.根據權利要求6所述的方法，其特徵是所述步驟4還包括，輸出單元同時檢測到主機數據輸出通道和備機數據輸出通道的工作狀態時，對主機數據輸出通道和備機數據輸出通道輸出的數據進行比較，如果主機數據輸出通道和備機數據輸出通道輸出的數據一致，則輸出主機數據輸出通道的數據；否則，控制ATO設備宕機。
8.根據權利要求6或7所述的方法，其特徵是所述步驟3包括，如果管理單元檢測到數據輸入通道的輸入數據異常，則屏蔽主機數據輸出通道和備機數據輸出通道。
【文檔編號】G05B23/02GK104267713SQ201410438697
【公開日】2015年1月7日 申請日期:2014年9月1日 優先權日:2014年9月1日
【發明者】步兵, 馬龍, 唐濤, 郜春海 申請人:北京交通大學