列车网络控制系统中央控制单元的数据安全冗余方法与流程

本发明涉及列车控制技术领域，尤其涉及列车网络控制系统中央控制单元的数据安全冗余方法。

背景技术：

列车网络控制系统通常应用于包括机车、地铁、轻轨、动车组等列车中，是列车的7大子系统之一，是列车的核心子系统。列车的中央控制单元(centralcontrolunit，ccu)是列车网络控制系统的大脑，列车各种信息都通过ccu的宿端口汇集到ccu中，ccu经过判断运算后通过源端口发送控制命令控制其他子系统的执行机构执行相关的动作，以保证列车按照相关需求运行。ccu与其他传感器及执行机构之间通过多功能车辆总线(multifunctionvehiclebus，mvb)网络进行通信。

现有技术中大多一个mvb网段只有一个ccu，全列车的牵引、制动、运行方向、高压系统、车门、空调、广播等都由该ccu完成，对ccu的可靠性要求非常高，如果此ccu出现故障，例如ccu的电源模块故障，则ccu无法对列车进行控制，司机无法实现对列车的控制，可能造成列车击破等事故。

即便一个mvb网段设置多个中央控制单元，既有的中央控制单元冗余方法也需要在冗余切换时重新初始化，冗余切换时间长，严重影响子设备通信和车辆运行。尤其在一些极端情况下，如mvb总线数据受到干扰时，容易出现双主、双从的状况，造成mvb总线数据冲突，影响车辆运行。

技术实现要素：

本发明的目的是针对现有技术的缺陷，提供的列车网络控制系统中央控制单元的数据安全冗余方法，能够实现中央控制单元的快速、稳定、安全地冗余切换，提高列车网络控制系统的通信抗干扰度，保障动车组的网络安全。

为实现上述目的，本发明提供了列车网络控制系统中央控制单元的数据安全冗余方法，所述数据安全冗余方法用于列车网络控制系统中央控制单元中包括互为备机的第一中央控制单元ccu和第二ccu的作业协同控制，所述数据安全冗余方法包括：

所述第一ccu和第二ccu的每个本机分别根据上电信号获取各自的备机的通信状态、本机在上电前的最后存储的工作状态信息，并根据所述通信状态和工作状态信息确定本机的状态数据；所述工作状态信息包括所述本机用作主控制单元的状态信息和所述本机用作从控制单元的状态信息；

所述第一ccu和第二ccu的每个本机分别从各自的备机获得备机的状态数据，并获取所述本机的硬线信号采集板卡的板卡状态和所述备机的硬线信号；根据所述各自的备机的通信状态、本机的状态数据、备机的状态数据、本机的硬线信号采集板卡板卡状态、备机的硬线信号，确定所述第一ccu为主控制单元或从控制单元，同时所述第二ccu为从控制单元或主控制单元。

优选的，所述每个本机分别根据上电信号获取各自的备机的通信状态、本机在上电前的最后存储的工作状态信息，并根据所述通信状态和工作状态信息确定本机的状态数据具体包括：

所述本机监听备机的生命信号，确定所述备机的通信状态；

当所述备机的通信状态为正常时，所述本机获取本机在上电前的最后存储的工作状态信息；

当所述本机最后存储的工作状态信息为用作主控制单元的状态信息时，确定本机的状态数据为弱从状态；

当所述本机最后存储的工作状态信息为用作从控制单元的状态信息时，确定本机的状态数据为弱主状态；

当所述备机的通信状态的状态为异常时，确定本机的状态数据为弱主状态。

进一步优选的，所述本机监听备机的生命信号，确定所述备机的通信状态具体包括：

当在第一预设时间周期监听到生命信号为0或者生命信号连续6个第二预设时间周期不变时，所述本机判定所述备机的通信状态为异常；否则为正常；所述第二预设时间周期小于所述第一时间周期。

优选的，所述第一ccu和第二ccu的每个本机分别从各自的备机获得备机的状态数据，并获取所述本机的硬线信号采集板卡的板卡状态和所述备机的硬线信号；根据所述各自的备机的通信状态、本机的状态数据、备机的状态数据、本机的硬线信号采集板卡的板卡状态、备机的硬线信号，确定所述第一ccu为主控制单元或从控制单元，同时所述第二ccu为主控制单元或从控制单元具体包括：

当所述备机的通信状态为正常时，所述本机获取备机的状态数据、本机的状态数据；

其中，当所述备机的状态数据为弱主状态，本机的状态数据为弱主状态时，确定所述本机为从控制单元，同时所述备机为主控制单元；当所述备机的状态数据为弱主状态，本机的状态数据为弱从状态时，确定所述本机为从控制单元，同时所述备机为主控制单元；当所述备机的状态数据为弱从状态，本机的状态数据为弱主状态时，确定所述本机为主控制单元，同时所述备机为从控制单元；当所述备机的状态数据为弱从状态，本机的状态数据为弱从状态时，确定所述本机为主控制单元，同时所述备机为从控制单元；

当所述备机的通信状态为异常时，所述本机获取所述本机的硬线信号采集板卡的板卡状态和所述备机的硬线信号；

其中，当所述板卡状态为正常，硬线信号为1并且硬线信号为1的持续时间达到第一预设时长时，确定所述本机为从控制单元，同时所述备机为主控制单元；否则确定所述本机为主控制单元，同时所述备机为从控制单元。

优选的，所述数据安全冗余方法还包括：

作为主控制单元的所述本机通过配置的宿端口接收列车信息，根据所述列车信息生成控制指令，并将所述控制指令通过配置的源端口发送给列车的各子系统；作为从控制单元的所述备机通过配置的宿端口接收所述列车信息。

优选的，所述数据安全冗余方法还包括：

所述第一ccu和/或所述第二ccu中状态数据为弱主状态的本机，根据预设的整备冗余信号，确定为从控制单元；所述整备冗余信号包括持续时长；

当所述持续时长达到第二预设时长时，所述本机确定状态数据为弱从状态；

当所述持续时长达到第三预设时长时，所述第一ccu和所述第二ccu再次执行所述数据安全冗余方法；所述第二预设时长小于所述第三预设时长。

优选的，当作为从控制单元的所述备机的通信状态为异常时，所述数据安全冗余方法还包括：

作为主控制单元的所述本机监听列车的子系统的生命信号，确定是否有子系统处于在线状态；

当无子系统处于在线状态时，所述本机判断所述本机在第一网段，并根据所述判断结果确定所述本机为从控制单元；否则所述本机确定所述本机为主控制单元。

优选的，所述根据所述各自的备机的通信状态、本机的状态数据、备机的状态数据、本机的硬线信号采集板卡的板卡状态、备机的硬线信号，确定所述第一ccu为主控制单元或从控制单元，同时所述第二ccu为从控制单元或主控制单元之后，当所述本机和备机的通信状态均为正常时，所述数据安全冗余方法还包括：

作为主控制单元的所述本机根据第三预设时间周期向作为从控制单元的所述备机发送切换指令；所述备机根据所述切换指令确定所述备机为主控制单元，并且生成响应信号，反馈给所述本机；所述本机根据所述响应信号确定所述本机为从控制单元；所述第一预设时间周期小于所述第三预设时间周期。

进一步优选的，当作为主控制单元的备机的通信状态为异常时，所述数据安全冗余方法还包括：

作为从控制单元的所述本机判断是否在第四预设时长内监测到所述备机的工作状态信息为用作主控制单元的状态信息；

当在第四预设时长内监测到所述备机的工作状态信息为用作主控制单元的状态信息时，所述备机确定为主控制单元；否则所述备机确定为从控制单元。

本发明实施例提供的列车网络控制系统中央控制单元的数据安全冗余方法，用于列车网络控制系统中央控制单元中包括互为备机的第一中央控制单元ccu和第二ccu的作业协同控制，采用mvb总线和硬线双通道检测，避免中央控制单元双主或无主情况发生，实现中央控制单元的快速、稳定、安全地冗余切换，提高列车网络控制系统的通信抗干扰度，保障动车组的网络安全。

附图说明

图1为本发明实施例提供的数据安全冗余方法的流程图；

图2为本发明实施例提供的初始化的流程图；

图3为本发明实施例提供的冗余检测的流程图；

图4为本发明实施例提供的端口配置的示意图；

图5为本发明实施例提供的网段的示意图。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

本发明提供的列车网络控制系统中央控制单元的数据安全冗余方法，用于列车网络控制系统中央控制单元中包括互为备机的第一中央控制单元ccu和第二ccu的作业协同控制，采用mvb总线和硬线双通道检测，避免中央控制单元双主或无主情况发生，实现中央控制单元的快速、稳定、安全地冗余切换，提高列车网络控制系统的通信抗干扰度，保障动车组的网络安全。

图1为本发明实施例提供的数据安全冗余方法的流程图，示出了本发明实施例中互为备机的第一ccu和第二ccu的冗余工作流程。图2为本发明实施例提供的初始化的流程图，示出了互为备机的第一ccu和第二ccu确定各自状态数据的流程。图3为本发明实施例提供的冗余检测的流程图，示出了互为备机的第一ccu和第二ccu确定各自初始工作状态信息的流程。图4为本发明实施例提供的端口配置的示意图。图5为本发明实施例提供的网段的示意图。以下结合图1-5对本发明技术方案进行详述。

在本发明实施例中，互为备机的第一ccu和第二ccu在确定主从控制单元之前，各自需要先进行初始化，如下步骤110。初始化可以理解为，互为备机的第一ccu和第二ccu为避免出现双主或无主的情况，结合本机上电前最后的存储的工作状态信息和各自的备机的通信状态，确定一个用于预判断各自初始的工作状态信息的状态数据。其中，工作状态信息包括主控制单元和从控制单元，作为主控制单元的ccu就是当前时间向列车的各子系统发送控制指令的ccu。

步骤110，第一ccu和第二ccu的每个本机分别根据上电信号获取各自的备机的通信状态、本机在上电前的最后存储的工作状态信息，并根据通信状态和工作状态信息确定本机的状态数据；

如图2所示，每个本机初始化过程中具体判断各自状态数据的步骤如下111-116。

步骤111，本机监听备机的生命信号，确定备机的通信状态；

步骤112，判断备机的通信状态是否为正常；

具体的，当在第一预设时间周期监听到生命信号为0或者生命信号连续6个第二预设时间周期不变时，本机判定备机的通信状态为异常，执行步骤116；否则为正常，执行步骤113；其中，第二预设时间周期小于第一预设时间周期。

步骤113，本机获取本机在上电前的最后存储的工作状态信息；

步骤114，判断本机在上电前的最后存储的工作状态信息是否为用作主控制单元的状态信息；

当本机最后的工作状态信息为用作主控制单元的状态信息时，执行步骤115；当本机最后的工作状态信息为用作从控制单元的状态信息时，执行步骤116。

步骤115，确定本机的状态数据为弱从状态。

步骤116，确定本机的状态数据为弱主状态。

以上为本机和备机同时上电的情况，在实际情况下，还会存在本机和备机不同时上电的情况。在不同时上电时，先上电的本机根据上电信号确定状态数据为弱主状态，后上电的备机根据上电信号获取本机的通信状态、本机的弱主状态，确定备机的状态数据。当本机的通信状态为正常时，备机确定备机的状态数据为弱从状态，否则为弱主状态。

在主机和备机均初始化完成后，主机和备机进行冗余检测，以确定互为备机的第一ccu和第二ccu中一个为主控制单元，另一个为从控制单元，如下步骤120-130。

步骤120，第一ccu和第二ccu的每个本机分别从各自的备机获得备机的状态数据，并获取本机的硬线信号采集板卡的板卡状态和备机的硬线信号；

具体的，板卡状态是根据本机的硬线信号采集板卡的生命信号判断；当硬线信号采集板卡的生命信号为0或者连续6个第二预设时间周期不变，确定板卡状态为异常；否则板卡状态为正常。

每个本机在监测到备机的通信状态为异常时，通过备机的硬线信号判断备机的工作状态信息。当本机的硬线信号采集板卡检测到备机的硬线信号为1时，表明此时备机的工作状态信息为用作主控制单元的状态信息；当本机检测到备机的硬线信号为0时，表明此时备机为用作从控制单元的状态信息。备机作为主控制单元和从控制单元时，电压不同，硬线信号可以理解为用以表示备机的不同电压的信号。

步骤130，根据各自的备机的通信状态、本机的状态数据、备机的状态数据、本机的硬线信号采集板卡的板卡状态、备机的硬线信号，确定第一ccu为主控制单元或从控制单元，同时第二ccu为从控制单元或主控制单元；

如图3所示，每个本机冗余检测中具体确定工作状态信息为主控制单元或从控制单元的步骤如下131-142。

步骤131，判断备机的通信状态是否为正常；

当备机的通信状态为正常时，执行步骤132；当备机的通信状态为异常时，执行步骤137。

步骤132，本机获取备机的状态数据、本机的状态数据；

步骤133，当备机的状态数据为弱主状态，本机的状态数据为弱主状态时，确定本机为从控制单元，同时备机为主控制单元；

步骤134，当备机的状态数据为弱主状态，本机的状态数据为弱从状态时，确定本机为从控制单元，同时备机为主控制单元；

步骤135，当备机的状态数据为弱从状态，本机的状态数据为弱主状态时，确定本机为主控制单元，同时备机为从控制单元；

步骤136，当备机的状态数据为弱从状态，本机的状态数据为弱从状态时，确定本机为主控制单元，同时备机为从控制单元；步骤133-136中选择任一执行。

步骤137，本机获取本机的硬线信号采集板卡的板卡状态和备机的硬线信号；

步骤138，判断板卡状态是否为正常；

当板卡状态为正常时，执行步骤139；当板卡状态为异常时，执行步骤142。

步骤139，判断备机的硬线信号是否为1；

当硬线信号为1时，执行步骤140，判断硬线信号为1的持续时间是否达到第一预设时长；当硬线信号为0时，执行步骤142；

当持续时间达到第一预设时长时，执行步骤141；当持续时间未达到第一预设时长时，执行步骤142；

步骤141，确定本机为从控制单元，同时备机为主控制单元；

步骤142，确定本机为主控制单元，同时备机为从控制单元。

也就是说，当板卡状态为正常，硬线信号为1并且硬线信号为1的持续时间达到第一预设时长时，确定本机为从控制单元，同时备机为主控制单元；否则确定本机为主控制单元，同时备机为从控制单元。

确定主控制单元和从控制单元后，当主机和备机的通信状态均为正常时，本机和备机交替工作。本机和备机根据第三预设时间周期轮流作为主控制单元，相应的，另一个ccu作为从控制单元。两个ccu交替工作能够及时发现故障，并且最大限度避免故障对车辆运行的影响。

具体的，作为主控制单元的本机根据第三预设时间周期向作为从控制单元的备机发送切换指令。备机根据切换指令确定备机为主控制单元，并且生成响应信号，反馈给本机。本机根据响应信号确定本机为从控制单元。第一预设时间周期小于第三预设时间周期

当作为主控制单元的备机的通信状态为异常时，作为从控制单元的本机判断是否在第四预设时长内监测到备机的工作状态信息为用作主控制单元的状态信息。当在第四预设时长内监测到备机的工作状态信息为用作主控制单元的状态信息时，备机确定为主控制单元。否则备机确定为从控制单元。其中，第四预设时长小于第三预设时间周期。

进一步的，如图4所示，第一ccu和第二ccu在冗余工作时，配置端口也跟随工作状态信息的变化动态变化。作为主控制单元的本机通过配置的宿端口接收列车信息，根据列车信息生成控制指令，并将控制指令通过配置的源端口发送给列车的各子系统。作为从控制单元的备机通过配置的宿端口接收列车信息。保证作为主控制单元的ccu作为当时向列车的各子系统发送控制指令的ccu。

在列车发车之前，为监测第一ccu和第二ccu是否都正常，列车需进行整备测试第一ccu和/或第二ccu中状态数据为弱主状态的本机，根据预设的整备冗余信号，确定为从控制单元。整备冗余信号包括持续时长。当持续时长达到第二预设时长时，本机确定状态数据为弱从状态。当持续时长达到第三预设时长时，第一ccu和第二ccu再次执行数据安全冗余方法，并且输出第一ccu和第二ccu的工作状态信息，用户根据输出结果判断两个ccu的状态是否异常，以便及时检修。其中，第二预设时长小于第三预设时长。

在优选的方案中，如图5所示，本发明除了根据mvb总线和硬线检测备机之外，还采用所在网段辅助确定主控制单元和从控制单元。当作为从控制单元的备机的通信状态为异常时，作为主控制单元的本机监听列车的子系统的生命信号，确定是否有子系统处于在线状态。当无子系统处于在线状态时，本机判断本机在第一网段，并根据判断结果确定本机为从控制单元。否则本机确定本机为主控制单元。这里的第一网段为小网段，可以理解为只控制该ccu所在车厢内的部分子系统的网段。第二网段为大网段，可以理解为既控制该ccu所在车厢内的子系统，又控制与该ccu相连的其他车厢内的子系统的网段。通过ccu所在网段的判断，可以最大程度上地，使得作为主控制单元的ccu在第二网段，保障车辆正常运行。

为了保证硬件设备的安全，本发明还设置了用于mvb板卡和处理器复位的复位装置。该复位装置可以人工开启，也可以在程序异常时自动开启。有效避免两个ccu为双主控制单元或双从控制单元。

本发明的列车网络控制系统中央控制单元的数据安全冗余方法，用于列车网络控制系统中央控制单元中包括互为备机的第一中央控制单元ccu和第二ccu的作业协同控制，采用mvb总线和硬线双通道检测，避免中央控制单元双主或无主情况发生，实现中央控制单元的快速、稳定、安全地冗余切换，提高列车网络控制系统的通信抗干扰度，保障动车组的网络安全。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

起点商标作为专业知识产权交易平台，可以帮助大家解决很多问题，如果大家想要了解更多知产交易信息请点击 【在线咨询】或添加微信 【19522093243】与客服一对一沟通，为大家解决相关问题。

此文章来源于网络,如有侵权,请联系删除