基于二乘二取二冗余—安全控制的地鐵LCU設(shè)計(jì)

樂建銳

(深圳通業(yè)科技股份有限公司，廣東深圳 518110)

1 概述

繼電器廣泛存在于軌道交通的控制系統(tǒng)中，其數(shù)量龐大，單列車最多可達(dá)300 個(gè)以上[1]，在軌道交通中發(fā)揮著重要作用。受制于其電氣特性，繼電器在高溫濕熱的地鐵運(yùn)行環(huán)境下故障頻發(fā)。據(jù)統(tǒng)計(jì)，地鐵車輛控制故障60%以上是由繼電器失效所致[2]，給地鐵運(yùn)行和維護(hù)帶來了非常大的隱患。

為解決繼電器存在的諸多不足并逐次取代繼電器在控制系統(tǒng)中的重要地位，邏輯控制單元(Logic Control Unit,LCU)圍繞著改善控制系統(tǒng)的可用性，可維護(hù)性，安全性和可靠性而漸次取得了諸多革命性的進(jìn)展，其發(fā)展可依據(jù)時(shí)間線大致劃分成3 代。

2000 年，第一代LCU 采用無觸點(diǎn)技術(shù)替換了繼電器，革命性的技術(shù)創(chuàng)新，徹底解決了機(jī)械觸點(diǎn)的故障問題。2013 年，第二代LCU 實(shí)現(xiàn)故障記錄功能，能夠還原機(jī)車故障問題的全過程，用于進(jìn)行全車和LCU 自身的故障診斷。2015 年，第三代LCU 采用了熱備冗余技術(shù)[3]，從設(shè)計(jì)上大幅降低了LCU 自身故障可能造成的機(jī)破、停車待救援的隱患。

隨著地鐵采用全自動(dòng)無人駕駛的發(fā)展潮流，對(duì)LCU 自身的安全性和可靠性提出了更高的挑戰(zhàn)和要求，下一代新型的LCU 控制系統(tǒng)的研發(fā)變得尤為迫切和重要。

2 二乘二取二冗余—安全地鐵LCU架構(gòu)簡介

目前應(yīng)用的LCU 都是按照安全完整性等級(jí)2 級(jí) (Safety Integrity Level 2, SIL2)設(shè)計(jì)[4]，實(shí)踐驗(yàn)證了基于無縫切換的雙機(jī)熱備冗余系統(tǒng)的LCU 可靠性非常高[5]。而研究表明，二取二安全架構(gòu)的LCU 在安全原理性上要比雙機(jī)熱備冗余更高。因此，下一代的LCU 集成無縫切換的雙機(jī)熱備冗余和二取二的雙機(jī)冗余表決兩種方案，最大程度的利用冗余技術(shù)實(shí)現(xiàn)高可靠性、高安全性的組合。

在可靠性上，采用的是兩系熱備、且完全一致可互換的冗余架構(gòu)，在主用系出現(xiàn)任意功能模塊單點(diǎn)故障，即觸發(fā)主備切換控制；備用系出現(xiàn)單點(diǎn)故障，則鎖定、隔離故障單元不允許進(jìn)行主備切換。在安全性上，采用單板二取二的任務(wù)級(jí)同步的容錯(cuò)、安全管理，并將雙功能模塊的關(guān)鍵過程數(shù)據(jù)進(jìn)行周期性表決。表決成功，則允許輸出，表決失敗，則導(dǎo)向雙系主備切換，如圖1 所示。

圖1 二乘二取二原理示意圖Fig.1 2×2oo2 principle diagram

LCU 的主要核心功能單元組成可以分為車輛邏輯IO 輸入信號(hào)采集、列車邏輯控制運(yùn)算、車輛邏輯IO 輸出驅(qū)動(dòng)3 部分。每部分單元硬件CPU和軟件功能獨(dú)立，各單元的雙路冗余的2-out-of-2（2oo2）表決、雙系熱備切換功能在本單元CPU 內(nèi)單獨(dú)配置，如圖2 所示。

圖2 二乘二取二LCU功能單元組成示意圖Fig.2 2×2oo2 LCU function components diagram

3 基于二乘二取二的LCU系統(tǒng)總體方案設(shè)計(jì)

在具體應(yīng)用上，本次“二乘二取二”設(shè)計(jì)兼容原雙機(jī)熱備冗余技術(shù)方案，對(duì)于普通繼電器，繼續(xù)使用雙機(jī)熱備冗余技術(shù)的DIO（Digital IO）板，而對(duì)于關(guān)鍵繼電器，則升級(jí)為二乘二取二的VIO（Vote Digital IO）板。司機(jī)室和客室的兩種機(jī)箱配置如圖3 所示。

1）電源板

電源板110 V 轉(zhuǎn)5 V 的隔離轉(zhuǎn)換采用雙DC-DC 模塊，并聯(lián)輸出，并實(shí)現(xiàn)兩冗余模塊供電。兩塊電源板單獨(dú)配置輸入空開，并分別給A、B 兩組負(fù)載單獨(dú)供電。只要4 個(gè)模塊電源有1 個(gè)正常工作，都能支持其中1 組完整的LCU 正常工作。

圖3 二乘二取二兼容雙機(jī)熱備冗余配置方案Fig.3 Configuration scheme for 2×2oo2 compatible with double hot-standby redundancy

2）主控板

基于相鄰雙槽位熱備冗余的兩塊主控單板上共有4 個(gè)處理器。每個(gè)處理器都能同時(shí)計(jì)算和處理應(yīng)用邏輯，4 個(gè)處理結(jié)果都能通過機(jī)箱內(nèi)的分布的兩路CAN 網(wǎng)絡(luò)發(fā)送到所有的IO 板上。

每塊主控板上的兩個(gè)處理器，能夠?qū)μ囟ǖ年P(guān)鍵數(shù)據(jù)進(jìn)行相互比對(duì)，如果不一致，則判定本板的信息處理同步失效，將導(dǎo)致控制異常，因此需要置本板故障，切換到冗余單一元工作。兩個(gè)處理器的計(jì)算結(jié)果比對(duì)一致，輸出才有效，以此實(shí)現(xiàn)“2oo2”的效果。

特定情況下，故障板可以從另外一塊工作正常的單板恢復(fù)同步數(shù)據(jù)，恢復(fù)正常的備機(jī)工作。

3）IO 板

每塊IO 板集成兩個(gè)CPU 處理器，每塊板的每路IO 通道使用兩路硬件輸入輸出電路構(gòu)成，實(shí)現(xiàn)2oo2 的高安全性，周期性的比對(duì)輸入、輸出數(shù)據(jù)并進(jìn)行容錯(cuò)表決。兩塊相鄰槽位的IO 板組成雙板熱備份，實(shí)現(xiàn)高可用性。IO 板原理如圖4 所示。

圖4 IO板冗余設(shè)計(jì)方案（單路通道）Fig.4 IO board redundancy design scheme (single channel)

4 基于二乘二取二的LCU系統(tǒng)具體運(yùn)行策略

基于雙機(jī)熱備冗余方案進(jìn)行升級(jí)的二乘二取二方案，在冗余備份及安全策略上有進(jìn)一步升級(jí)的措施[6-7]。在輸入信號(hào)采集表決及故障診斷表決、網(wǎng)絡(luò)通訊信息安全性策略、輸出指令表決、輸出通道故障診斷安全性策略上都比雙機(jī)熱備冗余有明顯的升級(jí)。

4.1 輸入信號(hào)采集表決及故障診斷表決策略

4 路輸入電路組成的輸入通道，每個(gè)CPU 各采集1 路。CPU 之間需要通過網(wǎng)絡(luò)進(jìn)行同步和比對(duì)4路電路的狀態(tài)值，根據(jù)異常情況實(shí)施不同的表決策略和措施。輸入信號(hào)采集表決及故障診斷表決策略如表1 所示。

輸入自檢的方法與原單通道的IO 板一致，在需要時(shí)對(duì)IO 電路輸入特定的瞬時(shí)信號(hào)。如有正確響應(yīng)的則表示之間正確。如響應(yīng)不正確，則表示電路功能不正常。

表1 輸入信號(hào)的表決策略Tab.1 Voting strategy of input signals

4.2 主控板及CAN網(wǎng)絡(luò)表決策略

IO 板通過兩路CAN 網(wǎng)絡(luò)通訊接收主控板計(jì)算的輸出指令，接收到指令需經(jīng)過表決才確認(rèn)有效，實(shí)現(xiàn)主控計(jì)算和網(wǎng)絡(luò)冗余表決的二乘二取二方案。具體表決策略如表2 所示。

表2 主控板及CAN網(wǎng)絡(luò)表決策略Tab.2 Voting strategy of main control board and CAN network

4.3 輸出通道的表決策略

在網(wǎng)絡(luò)傳輸?shù)腃PU 數(shù)據(jù)確認(rèn)一致以后，輸出的表決取決于得到正確的主控板CPU 計(jì)算數(shù)據(jù)。具體的輸出通道表決決策如表3 所示。

輸出電路的安全性主要由兩個(gè)IO 輸出電路串聯(lián)組成1 路輸出通道的方案來實(shí)現(xiàn)，每個(gè)輸出通道各由單獨(dú)的CPU 控制。只有當(dāng)兩路CPU 都接收到相同的輸出指令，并同步打開輸出通道的開關(guān)，輸出才會(huì)有效，實(shí)現(xiàn)IO 輸出電路的“二取二”方案。

表3 輸出通道的表決策略Tab.3 Voting strategy of output channels

5 深圳地鐵9號(hào)延長線應(yīng)用情況

深圳地鐵9 號(hào)延長線列車采用“A1+B1+C1+ C2+B2+A2”6 節(jié)編組配置，兩端司機(jī)室各部署兩臺(tái)6U 的LCU，6 個(gè) 客 室 車 廂各 部署1 臺(tái)3U 的LCU，共10 臺(tái)LCU，如圖5 所示。通過CAN 總線通信進(jìn)行數(shù)據(jù)交互，并通過6U 的LCU 配置的MVB 接口上報(bào)狀態(tài)信息。

深圳9 號(hào)線首期29 列列車采用的是雙機(jī)熱備冗余方案[8]，而延長線升級(jí)為二乘二取二的方案，并同步應(yīng)用到深圳2、5、8 號(hào)線增購、廈門2 號(hào)線[9]、北京5 號(hào)線改造等多個(gè)項(xiàng)目,都實(shí)現(xiàn)了安全無運(yùn)營故障運(yùn)行。兩種方案在深圳9 號(hào)線同一條線路上運(yùn)行的一致性表現(xiàn)良好。

6 結(jié)束語

隨著自動(dòng)化、智能化程度的不斷提高，全自動(dòng)無人駕駛將更多的代替司乘人員管理車輛，車輛本身對(duì)控制的安全也在逐漸提高[10]。相較于繼電器，LCU 憑借其無觸點(diǎn)控制和可編程的特性而具備更優(yōu)越的成為軌道控制單元的競爭優(yōu)勢。但要進(jìn)一步擺脫LCU 網(wǎng)絡(luò)的弱分布特性所帶來的可靠性和安全性隱患，進(jìn)而完全替代繼電器，LCU 必須進(jìn)一步加強(qiáng)自身的可靠性和安全性。相對(duì)于前期的雙冗余熱備份技術(shù)，基于二乘二取二的LCU 可大大提高列車運(yùn)行的可靠性和安全性。深圳地鐵9 號(hào)線延長線上運(yùn)行成功，對(duì)于后續(xù)新一代的LCU 控制系統(tǒng)的設(shè)計(jì)和推廣具有重要的參考和推動(dòng)作用。

圖5 深圳地鐵9號(hào)線延長線LCU整車網(wǎng)絡(luò)拓?fù)銯ig.5 LCU network topology for Shenzhen Metro Line 9 Ext