列車網絡控制系統中央控制單元數據安全冗余機制

任曉坤，田學文

(中車青島四方車輛研究所有限公司 電子事業部，山東 青島 266031)

既有動車組列車網絡控制系統中央控制單元冗余機制中，多功能車輛總線(MVB)的管理主權(Bus administration，BA)多采用固定方式，MVB總線管理權鎖定在固定設備，發生冗余切換時需重新初始化MVB板卡，冗余切換時間長，對車輛控制和子設備通信會產生一定影響，進而影響車輛運行。冗余檢測方法采用MVB總線檢測方式，但檢測方法單一，在極端情況下如MVB總線數據受到干擾，易發生雙主或無主的風險，造成MVB總線數據異常影響車輛運行。為此，本文提出了列車網絡控制系統中央控制單元數據安全冗余機制，MVB總線的BA主權采用冗余工作方法，即發生冗余切換時不需要重新初始化MVB板卡，能夠實現快速切換而不影響車輛運行。冗余檢測方法采用MVB總線和硬線雙通道檢測為主，當MVB總線數據受到干擾時能夠避免MVB總線雙主情況的發生，同時實現冗余中央控制單元(CCU)交替做主，能夠及時發現故障問題，避免車輛帶故障運行。安全冗余保障策略中，CCU實時監控程序進程、線程以及板卡狀態，發生異常時觸發看門狗復位，硬線輸出復位，可避免MVB總線無主的情況發生。

1 數據安全冗余機制

列車網絡控制系統中央控制單元數據安全冗余機制包含4個基礎策略，分別為MVB總線BA主權冗余策略、MVB總線端口冗余策略、冗余安全輔助策略、冗余安全保障策略。

1.1 MVB總線BA主權冗余策略

主設備利用監視相[1]進行主權的傳遞，在一個輪回周期的結束或故障產生時發生轉移主權[2]。2個CCU都正常時，輪回周期結束時，BA主設備移交BA主權，BA從設備接受BA主權，完成冗余切換工作；BA主設備異常時，從設備在設定的檢測時間內檢測不到MVB總線主幀，則開啟BA主權，保障MVB總線數據的穩定，BA主權冗余流程如圖1所示。BA主權冗余策略能夠預防設備帶故障工作，避免設備故障時起不到冗余作用。

圖1 BA主權冗余流程

1.2 MVB總線端口冗余策略

2個冗余的CCU中配置不同的冗余端口用于冗余信息傳輸，冗余通信端口按照固定方式配置：CCU1配置中A為源端口，B為宿端口；CCU2配置中B為源端口，A為宿端口。

CCU通過冗余通信端口、硬線信號獲取對方設備信息，輔助CCU所處網段信息進行冗余檢測判斷出主從設備。主CCU將TCMS所需源端口配置為源端口，從CCU將TCMS所需的源端口配置為宿端口，主CCU將源端口數據發送到MVB總線。MVB端口配置如圖2所示，硬線配置見圖3。

圖2 MVB端口配置

圖3 硬線配置

MVB總線端口冗余策略通過3種模式進行判斷，分別為初始模式、正常模式和特殊模式。

1.2.1 初始模式

CCU啟動完成后進入初始模式，初始模式決出弱主弱從。

(1) CCU1初始模式。CCU2通信正常且為弱主，CCU1為弱從；CCU2通信正常，CCU1上次為主，CCU1為弱從；其他情況CCU1為弱主。

(2) CCU2初始模式。CCU1通信故障，CCU2為弱主；CCU1通信正常，CCU2上次為從，CCU2為弱主；其他情況，CCU2為弱從。

1.2.2 正常模式

初始模式完成后進入正常模式，開始主從檢測決出主從。

(1) 正常模式CCU1冗余檢測策略。CCU2通信正常時，CCU1弱主，CCU2弱從，CCU1變主；CCU1弱從，CCU2弱主，CCU1變從；CCU1弱從，CCU2弱從，CCU1變主。CCU2通信故障時，DI板卡正常工況下，檢測到CCU2的硬線主信號為0，CCU1變主；DI板卡正常工況下，檢測到CCU2的硬線主信號為1，并且持續時間達到設定的檢測時間，CCU1變從；當DI板卡異常，CCU1變主。

(2) 正常模式CCU2冗余檢測策略。CCU1通信正常時，CCU1弱主，CCU2弱主，CCU2變從；CCU1弱主，CCU2弱從，CCU2變從；CCU1弱從，CCU2弱主，CCU2變主；CCU1弱從，CCU2弱從，并且持續時間達到設定的檢測時間，CCU2變主。CCU1通信故障時，DI板卡正常工況下，檢測到CCU1的硬線主信號為0，CCU2變主；DI板卡正常工況下，檢測到CCU1的硬線主信號為1，并且持續時間達到設定的檢測時間，CCU2變從；當DI板卡異常，CCU2變主。

1.2.3 特殊模式

列車網絡控制中還有一些特殊情況需要CCU進行冗余切換，包括整備冗余、網段檢測冗余、TCN網關要求CCU冗余切換。

(1) 整備冗余。在列車發車之前需要進行整備測試，CCU收到預設的整備冗余信號，由正常模式進入整備冗余模式并進行冗余切換，驗證CCU冗余功能正常。

主CCU1的弱主信號變為CCU1整備模式信號，CCU1變從；主CCU2的弱主信號變為CCU2整備模式信號，CCU2變從；延時預設時間，CCU1/CCU2的整備模式信號變為弱從信號；延時預設時間，CCU1/CCU2恢復正常模式，輸出整備冗余切換結果。

(2) 網段檢測冗余。冗余CCU通信故障時，主CCU檢測到網段信號由大網段變為小網段時，CCU退主變為從，CCU網段檢測示意圖見圖4。

圖4 CCU網段檢測示意圖

(3) TCN網關要求冗余切換。CCU收到網關要求切換信號，主CCU變從，延時預設時間，CCU恢復正常模式。

1.3 冗余安全輔助策略

CCU實時檢測CCU通信故障、輸入輸出(DIDO)板卡狀態、DI信息、CCU所在網段信息，實時存儲CCU主從狀態。CCU通信故障時，同步復位數據，保障數據的準確性。

(1) CCU通信故障檢測。CCU生命信號每個周期加1，生命信號范圍為1～255，當生命信號為0或者生命信號多個周期不跳變，則判斷為MVB通信故障。

(2) 輸入輸出板卡狀態檢測、DI信息檢測。CCU實時采集DI信息，并通過輸入輸出板卡的生命信號判斷板卡狀態。

(3) 主從狀態存儲。CCU實時存儲CCU的主從信息，CCU初上電讀取CCU主從存儲信息。

(4) 實時檢測網段信息。冗余CCU通信故障時，判斷2/3/4車子系統設備是否在線，如無子系統設備在線，則判斷CCU在小網段；如有子系統設備在線，則判斷CCU在大網段。

(5) 通信故障及數據復位處理。CCU檢測MVB端口的刷新時間，如超過設定時間，CCU判斷為通信故障，同時將端口數據恢復默認值，通信故障與數據復位同步，保障數據準確性。

1.4 冗余安全保障策略

1.4.1 軟件安全保障方法

CCU程序實時監控進程狀態、線程狀態及板卡狀態，如狀態異常則觸發看門狗復位重啟設備。

1.4.2 硬件安全保障方法

(1) 看門狗復位。CPU按照程序周期定時喂狗，如CPU程序異常則停止喂狗，到達看門狗觸發的閾值時間后，看門狗復位CPU，同時復位MVB板卡，CCU退出源端口控制權，避免設備異常情況下MVB板卡仍發送源端口數據，即避免CCU雙主的情況發生。

(2) 輸出(DO)板卡輸出復位。CCU的CPU板卡實時發送生命信號給DO板卡，DO板卡檢測到CPU生命信號異常則將DO輸出信號清零。主CCU異常時，該機制將DO主信號清零，從CCU檢測到主CCU的MVB通信異常且DO主信號為零，從CCU切換為主CCU，避免MVB總線無主的情況發生。

2 數據安全冗余機制效果

列車網絡控制系統中央控制單元數據安全冗余機制能夠實現CCU快速、穩定、安全切換，提高了冗余切換的抗干擾度、程序運行的穩定性、MVB總線數據的安全性。

(1) MVB總線BA主權冗余策略效果。正常模式遵循設定的輪回周期冗余工作，異常時在設定的檢測時間內完成主權轉移；發生冗余切換時不需要重新初始化MVB板卡，能夠實現快速切換。2個CCU交替獲取BA主權，能夠避免CCU帶故障工作。

(2) MVB總線端口冗余策略效果。采用MVB總線、硬線雙通道檢測為主，大小網段判斷為輔的檢測方法，MVB總線數據受干擾時能夠避免雙主情況發生。3種檢測方法綜合判斷冗余切換條件，提高了冗余切換的穩定性。

(3) 安全冗余輔助策略效果。通信故障與數據復位同步進行，保障了數據的準確性。

(4) 安全冗余保障策略效果。軟件實時監控進程、線程、板卡狀態，發生異常時則觸發看門狗復位。看門狗復位實現CPU、MVB同時復位，硬線輸出復位的安全冗余保障機制，避免故障時出現MVB總線無主的情況。

3 結束語

列車網絡控制系統中央控制單元數據安全冗余機制可用于列車網絡控制系統中央控制單元的冗余協同控制，采用MVB總線、硬線雙通道檢測為主，網段檢測為輔的檢測方法，具備安全冗余輔助策略和保障策略，可實現中央控制單元的快速、穩定、安全地冗余切換。中央控制單元數據安全冗余機制提高了列車網絡控制系統的通信抗干擾度，能夠避免雙主或無主情況發生，保障了動車組的網絡數據安全及列車運行的安全。