机车牵引控制单元的安全架构的制作方法

本发明涉及机车牵引控制单元，具体为机车牵引控制单元的安全架构。

背景技术：

铁路作为国家的重要基础设施、大众化的交通工具，在综合交通运输体系中处于骨干地位。牵引控制单元（tractioncontrolunit,简称tcu）作为铁路牵引系统的控制装置，其系统的可靠性、安全性的重要作用不言而喻。

在机车实际运行过程中tcu故障率高、故障后无法快速定位故障点、有些故障未能检测出。

技术实现要素：

本发明解决现有的牵引控制单元的故障率高、故障后无法快速定位故障点的问题，提供一种机车牵引控制单元的安全架构，旨在提高牵引控制单元的可靠性和安全性。

本发明是采用如下技术方案实现的：机车牵引控制单元的安全架构，包括诊断管理单元、控制单元、通信单元、信号输入输出单元和供电单元；

控制单元由主控单元和从控单元构成，控制单元采用“主控单元+从控单元”的控制策略，主控单元将获取的所有信息进行处理，向从控单元发出控制指令，从控单元执行主控单元的指令信息，同时将检测到的故障信息上报主控单元；

控制单元、通信单元、信号输入输出单元和供电单元均有冗余设计，系统结构设计为串并联方式，提高了系统的硬件可靠性；

可靠性由“硬件诊断+软件诊断”来保证，诊断管理单元检测其他单元状态，在程序中进行诊断和采取保护措施，具体表现为诊断管理单元对其他各单元内的板卡状态进行监控，若发现任一板卡发生故障，诊断管理板通过软件运算，诊断出故障点，最终确诊为无法修复故障，则会切断故障板卡，启动备用板卡来保证tcu的正常运行；

控制单元实时检测通信单元、信号输入输出单元和供电单元状态，软件设置多项保护措施，在安全性方面形成双层保证；

从外部通信方面来说，tcu与tcms（列车控制和管理系统traincontrolandmanagementsystem的英文简写）之间通信为封闭式传输，使用mvb总线，而mvb总线满足安全通信的要求；

从内部通信方面来说，tcu内部通信也为封闭式传输，使用cpci总线和can总线，这两种总线均满足安全通信要求。

本发明提高了牵引控制单元的可靠性和安全性，降低了牵引控制单元失效的风险，进而降低由tcu引起的机破风险。本发明适用于系统拓扑为一整一逆或两整两逆的电力机车。

附图说明

图1为本发明机车牵引控制单元的安全架构的内部结构图；

图2为本发明机车牵引控制单元的安全架构的系统架构图；

图3为本发明机车牵引控制单元的安全架构的诊断管理控制图。

具体实施方式

机车牵引控制单元的安全架构，包括诊断管理单元、控制单元、通信单元、信号输入输出单元和供电单元；若按板卡数量可分为22块板卡，各板卡的功能结合附图2进行阐述：

1）诊断管理单元

诊断管理单元有一块板卡。该板卡作用是用来采集其它单元各个板卡的硬件状态，诊断板卡故障，管理各个板卡，做出对牵引控制单元来说最好的决策，提高tcu的可靠性；

2）控制单元

控制单元有六块板卡，主控板1和主控板2构成主控单元，四象限控制板1、四象限控制板2、逆变控制板1和逆变控制板2构成从控单元；

①主控板根据获得数据生成处理命令，分别发送给四象限控制板和逆变控制板；

②四象限控制板根据获得数据实现四象限整流控制算法运算，实现机车牵引时交流变直流，制动时直流变交流功能。同时，还能实现对中间直流母线电压抑制控制功能；

③逆变控制板根据获得数据实现牵引逆变器控制算法运算，控制逆变器输出电压和频率，实现对电机牵引/电制动功能。同时，还能实现防空转防滑控制功能。

3）通信单元

通信单元有二块板卡，即通信板和背板。

①通信板不仅能够实现tcu与外部系统通信功能，还肩负着内部各个板卡之间的通信功能。

②背板上有硬线，通信1、通信2、电源1和电源2通道，该板卡实现了各个板卡间的硬件连接通路，同时也用于实现固定各个板卡位置，起到防止发生松动的作用。

4）信号输入输出单元

信号输入输出单元有七块板卡，分别为信号采集处理板1、信号采集处理板2、信号采集处理板3、信号采集处理板4、数字量输入输出板、脉冲输入输出板1和脉冲输入输出板2；

①信号采集处理板用来采集外部模拟量信号，将采集信号进行处理转换发送到对应的控制板；

②数字量输入输出板用于采集外部数字量信号，将采集信号进行处理转换发送到设置的控制板，同时将接收到的数字量信号指令通过外部接口发送出去；

③脉冲输入输出板用于采集外部脉冲反馈信号，将采集的信号处理转换发送到对应的控制板上，同时将接收到的脉冲信号转换处理后通过外部接口发送出去。

5）供电单元

供电单元有六块板卡，按供电方向分为内部供电和外部供电两类，具体如下：

内部供电包含系统电源板1和系统电源板2，主要是为tcu内部各个板卡正常工作供电；

外部供电包含驱动电源板、传感器电源板、模块电源板1和模块电源板2。

①驱动电源板用来给牵引变流器模块上的脉冲驱动板供电；

②传感器电源板用来给外部系统各类传感器工作供电；

③模块电源板1和模块电源板2用来给牵引变流器上四象限整流器和牵引逆变器模块正常工作供电。

牵引控制单元的可靠性保障：

1）结构方面

体现在tcu的冗余设计上；

①系统电源板1和系统电源板2为电源方面的tcu冗余设计；当系统电源板1失效，使用系统电源板2；

②主控板1和主控板2为控制方面的tcu冗余设计；主控板1、信号采集处理板1、信号采集处理板2和脉冲输入输出板1形成子系统1，主控板2、信号采集处理板3、信号采集处理板4和脉冲输入输出板2形成子系统2；子系统1的主控板1、信号采集处理板1、信号采集处理板2和脉冲输入输出板1中任一板失效，使用子系统2；

③信号采集处理板1和信号采集处理板2为子系统1在信号采集方面的tcu冗余设计；信号采集处理板3和信号采集处理板4为子系统2在信号采集方面的tcu冗余设计；

④脉冲输入输出板1和脉冲输入输出板2为信号输出方面的tcu冗余设计；

⑤通信板上设置两条独立的通道为通信方面的tcu冗余设计；当通信板中通道1失效，使用通道2；

2）诊断管理方面

牵引控制单元的故障诊断采用硬件+软件相配合的方式进行；

①硬件管理

a.诊断管理板监控各单元所有板卡的硬件状态。

b.系统上电后，系统默认系统电源板1供电，系统默认子系统1工作。

c.若诊断管理板诊断并确认系统电源板1板卡故障，则控制系统电源板1断开，切换到系统电源板2闭合；

d.若诊断管理板诊断并确认子系统1中的任一板卡硬件故障，则将子系统1断开，切换到子系统2工作。

②软件管理

以系统电源板1和子系统1正常工作进行说明；

a.四象限控制板发生故障

主控板1监测到四象限控制板1、四象限控制板2中的任何一个发生故障，则隔离故障的那个板卡，另一个四象限控制板继续正常工作；同时，逆变控制板1、逆变控制板2控制牵引变流器输出功率减小，主控板1上报状态给tcms。

b.逆变控制板发生故障

主控板1监测到逆变控制板1、逆变控制板2中的任何一个发生故障，则隔离故障的那个板卡，另一个逆变控制板继续正常工作；

c.通信板发生故障

系统上电，默认使用通信板中的通信通道1。

若通信通道1发生故障，主控板1监测到故障信息，则将通信通道1断开，切换到通信通道2。

3）控制方面

该结构控制采用“主控+从控”方式进行，具体表现如下：

①子系统中主控板仅有1块。根据获取信息，运行逻辑控制程序，发出控制指令，同时向tcms发送状态信息；

②从控板有4块。四象限控制板2块，逆变控制板2块，四象限控制板和逆变控制板用来执行主控板的控制指令。

正常情况下，四个控制板同时工作。

a.若四象限控制板中任一发生故障，封锁脉冲后，主控板接收到其故障信息，则向逆变控制板之一发送封锁脉冲指令，保证系统正常运行；

b.四象限控制板均正常，若逆变控制板中任一发生故障，封锁脉冲后，主控板接收到其故障信息，根据故障等级，进行相应指令动作。

假设子系统1各个板卡均正常，tcu的控制工作过程如下：

1）系统电源板1为tcu上其他板卡供电，系统电源板1状态上报主控板1和诊断管理板；

2）信号采集处理板1信号分别输入给四象限控制板1和逆变控制板1，信号采集处理板1状态上报主控板1和诊断管理板；

3）信号采集处理板2信号分别输入给四象限控制板2和逆变控制板2，信号采集处理板2状态上报主控板1和诊断管理板；

4）数字量输入输出板信号输入给主控板1，输出给外部接口，数字量输入输出板状态上报主控板1和诊断管理板；

5）主控板1信号输出给数字量输入输出板、四象限控制板1、四象限控制板2、逆变控制板1和逆变控制板2，主控板1状态上报诊断管理板；

6）四象限控制板1信号输出给脉冲输入输出板1，四象限控制板1状态上报主控板1和诊断管理板；

7）四象限控制板2信号输出给脉冲输入输出板1，四象限控制板2状态上报主控板1和诊断管理板；

8）逆变控制板1信号输出给脉冲输入输出板1，逆变控制板1状态上报主控板1和诊断管理板；

9）逆变控制板2信号输出给脉冲输入输出板1，逆变控制板2状态上报主控板1和诊断管理板；

10）脉冲输入输出板1信号输入给四象限控制板1、四象限控制板2、逆变控制板1和逆变控制板2，信号输出给外部接口板卡，状态上报主控板1和诊断管理板；

通信板用于传递各个板卡间信号，板卡状态上报主控板1和诊断管理板。

进一步提高牵引控制单元的安全性从两个方面来阐述：

1）在板卡设计方面

tcu中的每个板卡上均设计了板卡级的温度检测，控制单元实时检测板卡温度，若发生异常，则立即停止工作进行降温；tcu板卡上选用自带过热保护机制的芯片，也能提高tcu的安全性；

2）在控制方面

控制是tcu的重要任务，安全性很大一部分靠控制单元来实现。本结构采取三方面保护措施：

①诊断管理单元可以检测其他单元状态，在程序中进行诊断，若确定其故障，根据故障级别，采取相应措施，如切换备用板卡/子系统工作；

②控制单元中四象限控制板和逆变控制板实时采集数据，采用防御性编程，若采集数据发生异常，则封锁脉冲，故障信息上报主控板；

③控制单元中主控板实时检测从控板、通信板、信号输入输出板和电源板状态，根据故障信息，综合判断故障等级，采取相应的保护措施。

3）在通信方面

en50159标准划分传输系统类型所依据的准则共有三条，分别为：

准则1：要求接入通信系统的所有设备和传输系统本身全部已知且固定；

准则2：传输系统特征（如传输介质、最坏情况下的环境等）在全生命周期已知且固定；

准则3：非授权接入的风险足够低，且可接受。

依据以上三条准则，传输系统可以分为两类：

第1类封闭传输系统：满足准则1、准则2和准则3。

第2类开放传输系统：不满足准则1和准则2，但满足准则3或三条准则均不满足。

由此判断，tcu不论对内对外均属于封闭式传输系统，满足上述三条准则。

对于封闭式系统，需要采取“序列号（sequencenumber）、时间戳（timestamp）、超时判断（time-out）、源id与目的id（sourceanddestinationidentifiers）、应答反馈（feed-backmessage）、校验码（safetycode）”等方法措施来预防安全通信中存在的7种消息错误威胁。

①对外通信：tcu与tcms之间的通信属于封闭式传输，使用的mvb总线满足mvb与wtb协议满足序列号、时间戳、超时判断、具有源id与目的id、且采用主帧（呼叫）+从帧（应答）的方式通信满足应答反馈、另外mvb的每64位过程数据有对应8位的crc校验码，wtb共有16位fcs校验码，确保mvb安全通信。

②对内通信：tcu内部采用can2.0b和cpci总线。

根据can2.0b协议标准，可知can协议满足序列号、时间戳、超时判断、根据can数据帧格式可知can协议满足源id与目的id、满足应答响应ack、具有15位的crc校验码，确保can满足安全通信要求。

cpci是在pci协议基础上进行改进，不仅在协议的功能层进行超时保护、主从应答、crc校验等，而且在协议的硬件引脚进行各种安全保护，其安全可靠性非常高。

由此可知，tcu内部通信满足安全通信要求。

起点商标作为专业知识产权交易平台，可以帮助大家解决很多问题，如果大家想要了解更多知产交易信息请点击 【在线咨询】或添加微信 【19522093243】与客服一对一沟通，为大家解决相关问题。

此文章来源于网络,如有侵权,请联系删除