基于以太網雙向環路的動車組列車人機界面多重冗余設計

許 杰 楊 川

(中車長春軌道客車股份有限公司國家軌道客車工程研究中心，130062，長春//第一作者，工程師)

HMI(人機界面)是軌道交通列車監控管理系統(TCMS)的重要組成部分，是司機和維修維護人員監視和控制列車運行狀態的重要平臺[1]。HMI 的可靠性直接影響著TCMS的可用性，對整個列車的安全行駛發揮著至關重要的作用。列車運行途中偶發黑屏等顯示器硬件設備故障以及通信故障等緊急問題，按照相關操作規程需停車進行處理，因此易形成臨停、列車晚點等重大安全責任。鑒于此，本文從硬件配置和軟件控制策略兩方面詳細介紹了動車組列車HMI冗余設計方法[2]，以提高列車運行的安全系數。HMI多重冗余設計將大大提高列車監控系統的整體穩定性和可靠性，增強其應急處理能力，從而更好地保障列車行車安全。

1 動車組列車HMI功能

動車組列車HMI可對連接到總線上的子系統狀態，以及列車的基本運行數據、狀態信息和故障診斷信息進行監視和存儲，是列車司機、乘務員和其他工作人員與列車交互的主要渠道，也是列車診斷系統的重要組成部分[3]。列車HMI主要具備列車狀態顯示、故障報警與提示、數據配置、列車運行控制、視頻信息顯示等功能，具體描述如下：

1) 列車狀態顯示：對各子系統工作狀態、故障信息和操作維修提示信息進行集中顯示。顯示內容包含但不限于牽引、制動、輔助、高壓、車門、空調等系統的狀態，以及連接至MVB(多功能車輛總線)的軟件版本信息。

2) 故障相關數據提示、記錄、操作策略: 故障報警信息包含故障代碼、故障描述、故障發生(恢復)時間、故障發生車輛位置、應急處理措施等，故障報警提示同時可有蜂鳴器提示音。

3) 數據設置： 在HMI上顯示各動車和拖車的重要運行數據、所有車輛的故障信息以及建議的故障處理對策。維修人員可在HMI上查看各車發生的歷史故障。

4) 控制命令：可通過HMI發布部分控制操作指令，根據HMI的不同工作模式可以發布不同的操作控制指令。

5) 視頻信息顯示：通過以太網數據，將需要進行顯示的視頻信息進行播放，如弓網監測信息、乘客報警信息等。

HMI在整個車輛上發揮的作用如圖1所示。

圖1 HMI與其它電氣系統的連接關系圖

2 顯示器硬件及通信環路冗余設計

2.1 觸摸屏與按鍵互為冗余設計

HMI由開關電源板、液晶顯示屏、觸摸屏、主板、通信板等組成，如圖2所示。

圖2 顯示屏的硬件組成結構圖

針對動車組列車顯示屏在修改參數和查看數據時操作復雜、電磁環境復雜、可靠性不高的問題，采用觸摸屏與按鍵互為冗余的顯示屏硬件設計方式[4]，觸摸屏和按鍵配合使用或獨立使用完成顯示屏各種操作的功能，提高了顯示屏在各種復雜使用環境下的可靠性和簡潔性。

顯示屏采用嵌入式實時操作系統來實現其各項具體功能。嵌入式實時操作系統的核心是CPU(中央處理器)和任務，觸摸屏和按鍵各使用一個獨立的線程來完成鍵值和觸摸位置的采集及后續處理工作。

在按鍵面膜上采用有形有感按鍵：①數字鍵有1、2、3、4、5、6、7、8、9、0等；②鼠標選擇鍵有C、←、→、↑、↓、E等；③功能鍵有電源鍵、語言切換鍵、幫助建、故障查詢鍵、故障提示鍵、亮度調節鍵、晝夜模式切換鍵、左右切換鍵等。

儀表的觸摸屏和按鍵既可以配合使用，亦可以獨立使用，完成顯示屏的各種操作，簡化了用戶的操作，降低了維護成本，能夠有效克服由于按鍵或觸摸屏任一方故障無法使用的問題，延長了使用壽命，提高了網絡控制和診斷系統的可靠性[5]。

2.2 以太網雙向環路冗余通信設計

列車顯示屏作為列車控制和診斷系統的顯示終端，需要與TCMS保持良好通信。為保證列車設備狀態和故障數據的及時更新，以及控制指令的及時和準確傳輸，本文采用傳輸速率高(100 Mbit/s)、軟硬件產品豐富的工業以太網作為通信傳輸介質。

基于實時以太網的列車網絡系統采用ETB(以太列車骨干網)和ECN(以太組網)兩層架構[6-8]。其中，ETB用于列車級網絡通信，ECN用于車輛級網絡通信。列車級采用總線結構，車輛級采用環網結構。該系統具備骨干網絡的傳輸速率(100 Mbit/s)、網絡單點故障恢復時間不大于50 ms、骨干設備實現毫秒級同步3大優點。列車以太網雙向環路冗余通信設計拓撲結構如圖3所示。

圖3 列車以太網雙向環路冗余通信設計

為提高顯示器的通信質量和可用性，避免通信故障的出現，在以太網骨干網絡拓撲結構中，主干路和與HMI相連的重要設備部件均采用冗余設計，具體方案如下：

1) 列車級ETBN(以太骨干網交換機)布置于兩端的頭車，其中同一端的ETBN間為相互冗余關系，ETBN間通過兩路獨立的以太網線相連，兩個頭車之間的ETBN通過以太網中繼器進行信號強度補償。

2) 骨干網絡和編組網絡均具有鏈路匯聚功能[9]。ETBN具有端口聚合和旁路功能，當其發生故障或不上電時，能保持以太網總線的連續性，不會影響線路兩端節點的通信，保證了線路的冗余。聚合線路標志為A、B，分別表示A線、B線。即在方向1上采用A1、B1標注線路信息，在方向2上采用A2、B2標注線路信息。A1線路與A2線路間以及B1線路與B2線路間為掉電導通。鏈路匯聚功能空間關系如圖4所示。

圖4 鏈路匯聚功能空間關系

3) CCU、RIOM(列車遠程輸入輸出模塊)等雙網口設備可以同時連接到這2臺ETBN交換機上，實現設備鏈路的冗余。頭車的CCU可實現互為熱備冗余，通過對全列車的子系統進行控制和診斷，保證HMI的數據來源的準確性[10]。

4) 車輛級ECN布置于1車至8車中，可對本編組內的以太網數據進行高速轉發。

5) 同一司機室內的TD_HMI(主控顯示屏，默認為HMI1)、TS_HMI(從控顯示屏，默認為HMI2)之間有直連的以太網回路，可進行數據同步和備份，TS_HMI可對TD_HMI的心跳信號進行時時監測。

3 基于以太網通信的HMI軟件冗余設計

3.1 界面軟件冗余設計原理

動車組HMI軟件控制策略采用主從式冗余設計。為了提高HMI的使用性，在每個頭車設置兩個HMI相互冗余，這兩個HMI在硬件和軟件配置上完全相同(相同的硬件設備、控制功能、數據端口配置表以及同一套應用層控制邏輯軟件)，且兩個顯示屏分別擔任不同的功能任務。兩個顯示屏采用左右式布局初始化上電時，通過讀取不同的配置文件，人為地將顯示器劃分為主、從顯示屏，其設置流程如圖5所示。

圖5 顯示器默認主從設置流程

TD_HMI是列車的控制臺，負責列車控制命令信號的發送，可進行制動試驗、聯掛解編、自檢測試、數據修改等操作，同時其具備所有與HMI相連的設備狀態的顯示功能，可對系統狀態數據進行融合，實現整車的綜合診斷。TS_HMI是列車的輔助顯示屏，僅具備監視功能，可輔助TD_HMI進行整車設備狀態的診斷和顯示，便于司機在不退出當前操作的情況下，查看列車各子系統狀態。主從顯示器設備功能如表1所示。

表1 主從顯示器設備功能列表

TD_HMI、TS_HMI的界面冗余設計，可實現TS_HMI發生故障時，列車操作和控制完全不受故障影響；TD_HMI發生故障時，TS_HMI輔助司機，顯示重要設備信息，完成緊急操作。兩個顯示屏的界面冗余設計使顯示屏不可用故障發生的可能性大大降低。

3.2 HMI主從冗余控制模塊設計

3.2.1 基本原理和功能

同一司機室內的兩個HMI互為冗余設備，上電啟動時，HMI1先以主設備模式工作，HMI2以從設備模式工作,兩個HMI間通過特定端口相互通信，檢測對方的狀態。當兩個HMI有主從切換的必要時，將進行主從切換。主從設備相互配合，TS_HMI是列車的輔助顯示屏，始終監測主屏TD_HMI的心跳信號，在TD_HMI正常運行的情況下，TS_HMI僅具備監視功能。而當TD_HMI發生故障時，通過HMI主從冗余控制模塊，實現TD_HMI的所有功能；當TD_HMI恢復時，TS_HMI會自動恢復到輔助顯示屏模式。此外，HMI主從冗余控制模塊還能夠對主從控制數據的交換端口進行定義和監視。

HMI冗余控制模塊主要包括：

1) 模塊配置：模塊版本，發送/接收端口配置,發送/接收控制信息。

2) 主從請求：設置主從請求,清除主從請求,抑制主從請求。

3) 主從切換：通信協議復位,分析主從切換請求模塊，監控主從切換模塊。

3.2.2 軟件冗余主從監視端口設計

為了通過以太網發送過程數據及處理TD_HMI、TS_HMI的主從選擇和主從切換請求，特對TD_HMI、TS_HMI設計了兩個相互獨立的主從通信端口(簡為“HMIDS端口”)。

HMIDS1端口傳輸從TD_HMI到TS_HMI之間的通信數據，HMIDS2端口傳輸從TS_HMI到TD_HMI之間的通信數據。HMIDS1和HMIDS2的參數設置相同，且通信端口有4個。端口數據的傳輸方向與這2個HMI的主從狀態無關，由HMI的設備位置決定。通過這2個HMIDS在HMI程序軟件中的端口類型固定配置來確定數據的傳輸方向。HMIDS端口配置及傳輸方向如圖6所示。

圖6 HMIDS端口配置及傳輸方向

在4個HMIDS端口中定義3個端口用于主從切換的信號,分別是D_REQ(主設備標志)、MASTER_STA(主從狀態)和TDHMIOK_STA(主顯示器正常狀態)。輔助傳輸的輸入輸出全局變量如表2所示 。

表2 輔助傳輸的輸入輸出全局變量表

以太網多端口監視的方法可有效限制和避免2個從HMI的出現。當1個或1個以上以太網通信端口在接收過程數據時，可以認為以太網通信網絡正常。僅當所有被監視的以太網端口均不接收數據時，才可以判定以太網通信網絡發生故障。此時可通過增加或減少以太網監視端口的數量,使以太網通信狀態監視僅在與一定數量的端口或者與一定的端口通信受阻時才做出響應。

3.2.3 參數設置

3.2.3.1 延時參數設置

由于相互監視的HMIDS端口數據通過以太網總線進行傳輸，因此HMI軟件設計中包括多個延時單元，部分延時單元的參數(*D_REQDALY、*D_2REQDALY、*D_RESCLEAR)由HMIDS端口的總線循環時間和為功能包選擇的主程序掃描時間決定，即這些參數可借助設計數值進行精確調整。一般按照32 ms的HMIDS端口循環時間和200 ms的主程序掃描時間來確定上述參數取值。具體的參數設置如表3所示。

表3 延時參數設置

3.2.3.2 預設的主從配置文件

將預先設定的顯示屏類型配置文件，以.txt的形式下載到目標機中。在HMI程序啟動初始化的過程中，通過讀取顯示屏類型的配置文件HMITYPE.txt，將顯示屏的物理位置currentHMI鎖定，具體參數見表4。該方法能夠有效地避免主從輪流切換現象，以保持顯示屏主從切換的穩定性，具體的讀取方法如圖7所示。

表4 預設顯示器位置參數定義

圖7 配置文件HMITYPE.txt讀取

3.2.4 軟件冗余控制流程開發

3.2.4.1 HMI1優先，主從配置流程

HMI上電，主程序初始化啟動，同一司機室內的兩個顯示屏HMI1和HMI2通過預先設定的配置文件，判斷自身所在位置，再分別配置HMIDS端口。

若HMI1設備狀態正常, HMI1將被默認為是主顯示屏設備。HMI1判斷自身為主設備并接收到HMI2為從設備的信號時，HMI1將正式成為主設備，即TD_HMI，HMI2成為從設備，即TS_HMI。 此時HMI1調用主節點監控端口協議表，HMI2調用從節點監控端口協議表，進行HMIDS端口信息配置。配置完成后開始發送接收過程數據，包括D_REQ(主設備標志)、MASTER_STA(主從狀態)和TDHMIOK_STA(主顯示器正常狀態)。程序正常運行時，HMI1主設備標志激活并執行主設備功能，HMI2將執行從設備的功能且HMI2的主設備標志將被抑制。

特殊的情況簡述如下：

1) 如果僅HMI2通信板卡出現故障，HMI1接收不到HMI2的從設備信號，在等待*D_REQDALY后確定自身為主設備，故障的HMI2自動成為從設備。

2) 如果HMI1通信板卡出現故障，HMI2未接收到HMI1正常信號TDHMIOK_STA，且HMI2通信板卡正常，則要求進行主從切換，激活自身主設備標志，在等待*D_REQDALY后確認自己為主設備，此時HMI1將自動降級為從設備。

3) 如果以太網通信環路網絡或CCU設備出現故障，則網絡系統不可用，傳輸的數據和命令將不被信任，兩個HMI將分別刪除主設備標志信號且均成為從設備，此時網絡進入降級模式。

HMI1優先，主從配置流程如圖8所示。

圖8 HMI1優先，主從配置流程

3.2.4.2 運行過程中2個HMI主從切換流程

當TD_HMI運行中遇到如檢測到自身板卡出現故障、HMI狀態不正?；蚴盏綇娭魄袚Q信號等情況時，則將抑制自己的主狀態標志，TS_HMI將激活主設備標志，重新進入主從配置流程(與HMI1優先時啟動主從配置流程相同)。如果以太網通信環路網絡或CCU設備出現故障，則兩個HMI的主設備標志位均將被抑制而進入降級模式，成為從設備。

運行過程中2個HMI主從切換流程如圖9所示。

圖9 運行過程中2個HMI主從切換流程

4 結語

本文針對動車組列車在運行過程中顯示屏出現的一些實際問題，采用冗余設計和故障導向安全設計理念，以及采用傳輸速率更高、可靠性更好的以太網雙向冗余通信，實現了基于以太網雙向環路通信的列車HMI多重冗余。充分的冗余設計能夠滿足設備故障冗余切換的要求，能夠有效保證動車組列車運行的可靠性和穩定性，可廣泛應用于軌道交通列車的顯示屏冗余設計。同時，軟件控制策略的開發可使HMI的冗余控制不單純依賴硬件設備，在很大程度上降低了成本，保障了人機交互系統的可靠性和可用性。采用以太網技術骨干通信環路設計，為動車組智能化、信息化的發展預留了空間，符合下一代網絡控制系統的技術發展趨勢。