基于三取二冗余容錯架構的數字邏輯單元設計

尹智勇,都業林,張 哲,趙春燕,黃 濤

(1.中車大連機車車輛有限公司,遼寧 大連 116022;2.廣州運達智能科技有限公司,廣東 廣州 510330)

0 引言

國內軌道車輛控制系統主要通過硬線電路和網絡通信實現車輛邏輯控制、狀態監視和故障診斷功能[1]。經多年實際應用驗證,該系統框架雖然比較可靠,但是電路中使用了大量的繼電器。繼電器本身受其機械觸點動作次數及性能的限制,部分動作頻繁的器件容易發生故障,進而影響車輛的正常運行[2]。為進一步保障車輛安全、可靠和高效運行,必須對車輛控制系統進行選型和開發,并設計可靠性、安全性、可用性、維護性均較強且故障時導向安全的嵌入式車載計算機系統。

目前,已有學者對嵌入式車載計算機系統進行了研究。數字邏輯單元(digital logic unit,DLU)是專為軌道車輛邏輯控制而設計的1套嵌入式車載計算機系統。DLU采用計算機及網絡技術,通過光耦和場效應管等無觸點電路替代車輛傳統的中間繼電器、時間繼電器等有觸點控制電路。DLU主要由輸入/輸出(input/output,I/O)控制單元、主控制器和網絡控制器構成。DLU采集司機控制器、按鍵開關組、微動開關、接觸器輔助觸點等開關量信號,經邏輯運算后完成指定的時序控制,以實現車輛邏輯控制、故障診斷及綜合保護等功能[3-5]。DLU可簡化車輛電路、提升車輛智能化水平和可靠性指標,是現階段軌道交通車輛控制技術革新的結果。文獻[6]介紹了冗余可編程控制器的總體架構和硬件設計,通過軟件編程實現雙控制器的冗余切換,提升了控制系統的可靠性和高效性。文獻[7]分析了基于現場可編程門陣列(field programmable gate array,FPGA)的高速冗余I/O總線,采用FPGA與多芯核結構芯片相結合的嵌入式平臺,保證了系統的實時性、可靠性和穩定性。文獻[8]～文獻[10]介紹了雙冗余I/O模塊的切換方法。I/O模塊由2組相同且完全獨立的控制系統構成,彼此互為熱備。某個系統發生局部故障時,該系統降級至單系工作,安全性僅能達到安全完整性等級2級。文獻[11]介紹了二乘二取二架構控制單元的基本結構和控制算法,優化了系統的冗余架構,提升了關鍵模塊的冗余切換方式。二乘二取二架構單系發生局部故障時,系統降級至雙冗余機制繼續工作,安全性可達到安全完整性等級4級。但該架構的I/O通道較少,必須增加主機數量來滿足I/O通道數量需求。這會造成控制單元資源利用率低下。

本文在對多種冗余設計方案進行分析和研究的基礎上,針對列車復雜運行環境以及現有車載計算機系統的運用情況,提出了更高可靠性、高可用性和高安全性的三取二冗余容錯技術,并設計了相應的模塊化硬件和獨立冗余容錯的軟件框架。該設計使各模塊形成良好的互補關系,可以剔除系統中的異常數據,從而最大限度保障系統資源可用性、提高DLU的可用性和安全性。

1 DLU架構設計

DLU是集高速數字信號處理、開關驅動、網絡通信以及分布式控制技術于一體的邏輯控制裝置。裝置采取三取二的控制策略,具有A、B、C這3套軟件、硬件相同的輸入采集、邏輯處理和輸出驅動模塊。各模塊獨立工作,互不干擾。當某個模塊異?；蚬收蠒r,裝置以“多數計算機通道的運行是正確的”為基礎,根據“少數服從多數”的糾錯原理,剔除系統中的異常數據,以保證DLU的正常運行。

當某組的某個功能模塊發生故障時,故障功能模塊自動隔離,使單點故障不會影響裝置的正常運行。故障包括供電故障、生命信號丟失、輸入故障、輸出故障等。這切實降低了車輛運行故障和風險,提高了運營保障能力。三取二冗余容錯架構設計如圖1所示。

圖1 三取二冗余容錯架構設計圖

2 DLU關鍵硬件設計

DLU的硬件采用模塊化設計,主要包含4種功能板卡,分別為電源板、通信板、主控板、I/O板。不同功能板卡根據具體工況和失效模式選擇合適的備份切換方式。

各功能板卡間通過背板2路獨立且冗余的控制局域網總線(controller area network,CAN)進行數據交互。

DLU硬件框架如圖2所示。

圖2 DLU硬件框架圖

2.1 電源板硬件設計

電源板內置獨立的電源電路。外部電源經浪涌防護電路和電磁濾波電路有效去除供電端的共模干擾后分為2路。其中:1路通過電源模塊變換為5 V,并聯輸出從而為各功能板卡供電;1路直接連接到背板,為輸出通道提供工作電源。所選用的金升陽75 W電源模塊,輸入電壓范圍為43～160 V,輸出調壓后為5 V。輸入與輸出進行了電氣隔離,同時具有輸入欠壓保護、輸出過壓保護、輸出短路保護、過載保護、過溫保護、電磁隔離、自檢測等功能。

2.2 通信板硬件設計

通信板主要包括多功能車輛總線(multifunction vehicle bus,MVB)板和以太網總線(Ethernet,ETH)板。通信板不參與控制,只負責通信數據的傳輸、監聽和反饋。MVB板內置2路MVB通信介質電路,同時配備1個FPGA芯片用于邏輯運算。ETH板內置1個ETH控制器,用于實現與外部設備的以太網通信功能。

2.3 主控板硬件設計

主控板是DLU運行的核心,內置芯片電路、串口電路、通信電路及供電轉換電路。主芯片采用高性能芯片來實現多任務實時計算與各種安全冗余功能。處理器的整數計算能力為210×100萬條指令/s。 主芯片外擴1個系統隨機存取存儲器(random access memory,RAM),采用并行接口的靜態存儲器芯片,用于動態高速數據的分配。主芯片同時還外擴2個閃存芯片,采用串行外設接口,用于故障數據及過程數據的記錄和存儲。主控板內置CAN控制器,通過2路冗余的CAN通信電路與所有功能板卡進行數據交互。維護接口采用2路串口功能電路,分別用于固件升級和應用程序更新調試,以及日志下載和數據維護。主控板內置硬件看門狗電路,當板卡運行出現異常時可復位重啟系統,執行故障導向安全原則。

2.4 I/O板硬件設計

I/O板內置輸入電路、微處理器電路和輸出電路。輸入電路采用光耦隔離的方式實時采集110 V輸入信號。輸出電路采用金屬氧化物半導體場效應晶體管(metal oxide semiconductor field effect transistor,MOSFET)的方式實時輸出110 V信號,以驅動外部負載。輸入電路將外部電源電平作穩壓、濾波、隔離處理后,轉化為A、B、C這3組板卡微處理器使用的邏輯電平,由I/O板對3組輸入采集值進行三取二表決。表決結果通過內部CAN通信電路傳遞至主控板,再由主控板進行邏輯運算,并對運算結果進行三取二表決。表決結果用于驅動MOSFET輸出110 V信號。每張I/O板內置2個MOSFET。輸出電路由不同組板卡的2個MOSFET以先串聯再并聯的方式構成1個輸出通道。輸入電路有效低電平為0～30 V、有效高電平為77～137.5 V;輸出電路有效低電平為0～10 V、有效高電平為77～137.5 V。

輸入通道內置自診斷電路,通過反向隔離器與輸入電路連接,采用高頻脈沖激勵的方式實時動態檢測輸入通道的狀態,為冗余切換提供決策依據。輸出通道同樣內置自診斷電路,通過反向隔離器與電平轉換電路連接,將輸出電平轉化為邏輯電平,并通過內部CAN通信電路傳遞至主控板,以動態檢測輸出通道的狀態,從而實現MOSFET的故障診斷功能,以及輸出通道的過流、短路保護功能。

3 DLU軟件設計

DLU軟件架構采用分層、模塊化設計。DLU的底層為硬件驅動描述與操作接口層,采用STM32F4xx標準外設驅動庫來實現功能?；趦炏燃壍膿屨际蕉嗳蝿諏崟r操作系統作為任務調度與任務間同步的載體,包含了實時內核、任務管理、時鐘管理、任務間通信同步(信號量、消息隊列)和內存管理等功能。該系統可以使各任務獨立工作、互不干涉,以實現準時、精準執行。這可以使實時應用程序的設計和應用更加容易,并且大幅簡化應用程序的設計過程[12]。用戶端應用軟件開發環境采用符合IEC 61131標準的FlexiSafe編程系統。軟件功能要求符合IEC 61508的安全完整性等級3級。這實現了控制邏輯的二次開發及圖形化編程,并且具備邏輯處理、故障定位及切換、日志記錄和數據離線分析等功能。DLU數據診斷軟件基于SQLite對上位機調試軟件信號作出響應,以實現故障下載和記錄上傳,并能夠以圖表方式分析和查看故障數據。

DLU軟件框架如圖3所示。

圖3 DLU軟件框架圖

在圖3的基礎上,DLU內部構建CAN通信模塊以及各應用模塊。CAN通信采用特別的策略對數據幀進行處理,包括數據位填充、數據塊編碼、循環冗余檢驗等,以提高數據傳輸的準確性。采用非破壞性仲裁機制篩選當前發送節點,可以在提高總線使用效率的同時確?？煽啃浴?/p>

CAN通信框架如圖4所示。

圖4 CAN通信框架圖

3.1 通信板軟件設計

通信板負責DLU內外部的數據信息共享與交流。MVB板采用主幀+從幀的數據傳輸包通信方式,根據預先設置的端口協議控制端口數據的傳輸,并在板卡接收到數據后作出響應。ETH板采用傳輸控制協議(transmission control protocol,TCP)/網際協議(Internet protocol,IP)通信方式,將邏輯程序燒錄至運行系統,以讀取、下載日志記錄。

3.2 主控板軟件設計

主控板主要負責系統的核心業務,是數據的匯總處理與分發中心,擁有系統的最高控制權限,以實現邏輯的實時運算、板卡管理、故障診斷、安全隔離、通信調度、日志記錄以及調試維護等功能。

每塊主控板通過內網CAN獲取I/O板A、B、C組所有的數字量輸入信號。eCLR內核根據輸入信號進行邏輯運算,生成輸出指令數據,并將數據通過內網CAN發送至目標I/O板卡。主控板具有配置功能及網絡管理功能,對各功能板卡的軟件版本進行一致性管理。主控板具有故障診斷功能,通過上電自診斷,可檢測判斷板類型、外擴RAM、閃存是否正常。I/O板通過內網CAN將工作狀態數據上傳至主控板。主控板將數據存儲至板載閃存。主控板為安全板卡。當板類型識別錯誤或外擴RAM自檢失敗時,主控板會鎖死,不再發送任何數據。

3.3 I/O板軟件設計

I/O板卡負責輸入信號采集處理和輸出信號驅動處理,可實時采集12路輸入信號狀態和驅動6路輸出信號。3個輸入通道同步、獨立采集同一輸入信號,通過具備滯回特性的滑動濾波器算法有效濾除列車抖動等產生的毫秒級干擾信號。同組的3個冗余輸入模塊根據輸入通道自檢狀態和采集數據,對輸入采集值進行軟件三取二運算,以獲得有效的輸入信號[13]。輸入環節采用3-2-1-0的降級處理方式,即單組或2組輸入故障不會影響DLU的邏輯控制運行。如3組輸入均故障,則DLU會進入安全導向模式,控制MOSFET全部關斷,不再外發輸出指令。

輸入表決策略如表1所示。

表1 輸入表決策略

輸出環節采用3-2-0的降級處理方式,即:單組輸出故障不會影響DLU的邏輯控制運行;2組或3組輸出故障時,DLU會進入安全導向。輸出表決策略采用硬件三取二表決電路。輸出模塊A控制MOSFET A1和A2。輸出模塊B控制MOSFET B1和B2。輸出模塊C控制MOSFET C1和C2。通過背板繞接:A1和B2串聯形成輸出支路1;B1和C2串聯形成輸出支路2;C1和A2串聯形成輸出支路3。輸出支路1～輸出支路3并接。輸出等效表達式為:

O=a×c′+b×a′+c×b′

(1)

式中:a為晶體管A1的數字開關量;b為晶體管B1的數字開關量;c為晶體管C1的數字開關量;a′為晶體管A2的數字開關量;b′為晶體管B2的數字開關量;c′為晶體管C2的數字開關量。

當存在2張板的MOSFET閉合時,輸出通道導通,如A上C下形成通路。若某個MOSFET發生故障時,相應支路輸出能力喪失,由另外2 條支路決定該通道的輸出狀態。例如,當MOSFET B1發生故障時,B1、A2組成的支路喪失輸出能力。該通道的輸出等效表達式變為:

O′=a×c′+c×b′

(2)

I/O板具備故障自診斷能力,通過上電自檢和周期比對,能夠診斷板類型、CAN網絡、輸入通道和輸出通道故障等狀態。I/O板為安全板卡。當I/O板卡識別自身掉線時,則會封鎖輸出,即所有的輸出控制都為低電平。

4 不同架構失效模式對比分析

本文基于雙冗余、二乘二取二和三取二架構DLU,從電源電路、運算電路、輸入電路和輸出電路等方面進行失效模式對比分析。

4.1 可用性

相較于二乘二取二和雙冗余架構,三取二架構的每個環節均增加了系統容錯能力,以最大化避免外部電磁環境、電壓波動異常等導致的系統失效,從而保障了車輛控制的穩定性和運營的安全性。

在電源、輸入、輸出環節,三取二架構比二乘二取二、雙冗余架構多出一重冗余,即使在輸入、輸出2點故障情況下,三取二架構仍能保證系統輸出的穩定性。其可用性更高。輸出在3點故障情況下,三取二架構存在50%的可用性。

在邏輯運算環節,二乘二取二架構比三取二、雙冗余架構多出半重冗余,即在邏輯運算2點故障情況下,二乘二取二架構存在50%的可用性。

3種架構失效模式對比如表2所示。

表2 3種架構失效模式對比

4.2 安全性

三取二和二乘二取二架構在輸入、邏輯運算、輸出環節均采用相應表決結構。只有不少于2個信號一致時,相關結果才有效。這保證了邏輯控制的高可靠性和高安全性。在安全方面,三取二架構設計可達到安全完整性等級4級,保證了系統在極端環境下的安全導向運行高于雙冗余架構DLU。

5 結論

本文首先以冗余容錯技術的DLU作為研究對象,對系統架構、工作原理、硬件設計、軟件算法及故障診斷進行研究。然后,本文通過檢測外部的輸入電平,在網絡通信安全措施下,根據三取二的表決策略及邏輯單元內部電路的原理對電源模塊、信號采集模塊、信號輸出模塊和處理器模塊進行了調整與改進,并構建了系統的功能邏輯。最后,本文通過可用性和安全性這2個方面的綜合對比分析,驗證了DLU在正常運行下基本功能的實現和在失效模式下對系統運行保護的冗余切換功能,確?；谌《哂嗳蒎e設計的DLU在功能上的完整性和可靠性。隨著控制系統融合冗余架構技術的發展,三取二冗余容錯架構DLU已逐步得到推廣應用。尤其是在全自動無人駕駛車輛上,高可靠性、高可用性、高安全性架構DLU的應用成為必然趨勢。通過DLU在軌道交通車輛控制系統中的應用,為傳統控制技術升級探明了新方向,將推動構建更安全、更高效、更節能、更經濟的融合控制系統,進而打造一流的軌道交通車輛控制系統平臺。