一种牵引控制安全系统
文献发布时间:2024-04-18 19:59:31
技术领域
本发明涉及轨道交通机车、动车、城轨的技术领域,特别是涉及一种牵引控制安全系统。
背景技术
随着高铁的快速发展,人们在追求舒适性、高效性和经济性等方面的同时也越来越关注无人驾驶地铁的安全性。国内外业主对牵引控制系统具备安全等级要求也更加明确且需求不断提高,目前对高安全等级的牵引控制系统的市场需求极为迫切。
目前,针对不同安全等级项目需求,开发不同的平台满足安全需求,通用性差、维护工作量大。
传统牵引控制系统接口间硬件耦合,IO板间通过硬线连接,需要设计不同的背板满足应用需求,灵活性差,如系统需求变更,导致背板需要重新设计开发、试制,项目开发周期长。
因此,提供一种用于解决上述问题的牵引控制安全系统是本领域技术人员亟待解决的问题。
发明内容
本发明的目的在于提供一种牵引控制安全系统,该系统结构简单,安全、有效、可靠且操作简便,能有效提高灵活性与安全性。
基于以上目的,本发明提供的技术方案如下:
一种牵引控制安全系统,包括:
主控板卡、电源板卡、背板和可拓展的IO板卡;
所述电源板卡、所述主控板卡和所述IO板卡通过所述背板连接;
所述电源板卡分别为所述主控板卡和所述IO板卡供电;;
所述主控板卡,用于监控所述电源板卡的工作状态;
所述主控板卡,还用于自动分配所述IO板卡地址并读取所述IO板卡的配置参数,握手成功后向所述IO板卡下发指令;
所述主控板卡,还用于对所述IO板卡上传的数据进行解耦、表决与计算处理;
所述IO板卡,用于根据所述主控板卡所下发的指令,执行对应的功能;
所述背板,用于提供两套交叉独立的通信总线。
优选地,所述配置参数包括:IO板卡身份信息、硬件版本号、软件版本号和安全等级;
所述主控板卡,还用于判断所述IO板卡上传的数据是否存在异常,若存在,则将牵引控制安全系统导向安全态。
优选地,
所述主控板卡分别通过所述背板上的第一总线和第二总线与所述IO板卡连接;
所述第一总线,用于支持所述主控板卡与所述IO板卡点对点通信;
所述第二总线,用于支持所述主控板卡与所述IO板卡总线型通信。
优选地,所述主控板卡还用于,根据通信数据量大小和实时性,调用所述第一总线或所述第二总线实现数据交互。
优选地,
所述主控板卡与所述电源板卡通过所述背板上的IO硬线进行通信;
所述主控板卡,具体用于监控所述电源板卡向所述IO硬线的输出结果,或对所述电源板卡输出的多路电压进行过欠压、过流监测。
优选地,所述IO板卡包括第一处理器、第二处理器、第三处理器、第一功能模块和第二功能模块;
定义所述第一处理器、所述第三处理器、所述第一功能模块、所述第一总线和所述第二总线为A系架构;
定义所述第二处理器和所述第二功能模块为B系架构。
优选地,所述第一处理器、所述第二处理器和所述第三处理器为不同架构处理器进行异构;
所述第一处理器和所述第二处理器通过所述第二总线串行通信以及所述IO硬线并隔离进行数据交互;
所述第一处理器、所述第二处理器和所述第三处理器通过所述第一总线并行进行数据交互。
优选地,所述第二处理器和所述第三处理器之间、所述第二处理器和所述第一处理器之间设置有数字隔离器。
优选地,
所述第一处理器,用于发出自检指令,向所述第一功能模块输出激励,对第一功能模块采集的数据和所述自检指令进行表决,得到第一自检结果,并将所述第一自检结果上传至所述第三处理器。
优选地,
所述第二处理器,用于发出自检指令,向所述第二功能模块输出激励,对第二功能模块采集的数据和所述自检指令进行表决,得到第二自检结果,并将所述第二自检结果上传至所述第三处理器。
优选地,
所述第三处理器,用于根据预设的安全等级,对所述第一自检结果或所述第二自检结果采用对应的安全策略,并将对应的安全结果通过所述第一总线和所述第二总线发送至所述主控板卡。
优选地,所述IO板卡还包括:编码模块;
所述第三处理器与所述编码模块连接;
所述编码模块,用于对所述IO板卡的配置参数进行编码,以供所述第三处理器调用。
优选地,所述安全策略包括:SIL2和SIL4;
通过串并联方式构建所述SIL2级别的安全架构和所述SIL4级别的安全架构,以实现对应的安全策略。
优选地,所述SIL2级别的安全架构采用1oo1D架构,具体包括:处理器电路、AI自检电路和AI处理电路;
所述处理器电路分别与所述AI处理电路和所述AI自检电路连接;
所述AI自检电路,用于执行所述AI处理电路下发的自检指令并输出激励;
所述处理器电路对下发的自检指令与返回结果进行表决并上传。
优选地,所述SIL4级别的安全架构为所述A系架构的SIL2级别的安全架构和所述B系架构的SIL2级别的安全架构并联组成。
本发明所公开的牵引控制安全系统,设置有主控板卡、电源板卡、背板和可拓展的IO板卡;电源板卡、主控板卡和IO板卡通过背板进行连接,其中,背板用于提供两套交叉独立的通信总线;电源板卡分别为主控板卡和IO板卡供电;主控板卡,监控电源板卡的工作状态;在工作过程中,主控板卡自动分配IO板卡地址,同时读取IO板卡的配置参数,在握手成功后即完成与IO板卡匹配后,向IO板卡下发指令;IO板卡接收到主控板卡下发的指令,执行对应的功能,并向主控板卡上传执行对应的功能后产生的结果数据;主控板卡接收到IO板卡上传的数据后,对该数据进行解耦表决与计算;
相比于现有技术,本发明所公开的牵引控制系统可灵活的扩展N板位,配置不同类型的IO板及自动分配板卡地址,可满足牵引控制系统扩展需求;同时,还对应的设置了单独供电的电源板,可为IO板供电,,以适应多种IO板实现对应的功能。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种牵引控制安全系统的结构示意图;
图2为本发明实施例提供的一种牵引控制安全系统的具体结构示意图;
图3为本发明实施例提供的IO板卡的结构示意图;
图4为本发明实施例提供的SIL2级别的安全架构的结构示意图;
图5为本发明实施例提供的SIL4级别的安全架构的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例采用递进的方式撰写。
本发明实施例提供了一种牵引控制安全系统。主要解决现有技术中,传统的牵引控制安全系统灵活性和安全性差的技术问题。
如图1所示,一种牵引控制安全系统,包括:
主控板卡、电源板卡、背板和可拓展的IO板卡;
电源板卡、主控板卡和IO板卡通过背板连接;
电源板卡分别为主控板卡和IO板卡供电;
主控板卡,用于监控电源板卡的工作状态;
主控板卡,还用于自动分配IO板卡地址并读取IO板卡的配置参数,握手成功后向IO板卡下发指令;
主控板卡,还用于对IO板卡上传的数据进行解耦、表决与计算处理;
IO板卡,用于根据主控板卡所下发的指令,执行对应的功能;
背板,用于提供两套交叉独立的通信总线。
本发明所公开的牵引控制安全系统,设置有主控板卡、电源板卡、背板和可拓展的IO板卡;电源板卡、主控板卡和IO板卡通过背板进行连接,其中,背板用于提供两套交叉独立的通信总线;电源板卡分别为主控板卡和IO板卡供电;主控板卡,监控电源板卡的工作状态;在工作过程中,主控板卡自动分配IO板卡地址,同时读取IO板卡的配置参数,在握手成功后即完成与IO板卡匹配后,向IO板卡下发指令;IO板卡接收到主控板卡下发的指令,执行对应的功能,并向主控板卡上传执行对应的功能后产生的结果数据;主控板卡接收到IO板卡上传的数据后,对该数据进行解耦表决与计算。
实际运用过程中,对整体的牵引控制系统背板接口硬件解耦,使得IO板卡可以放置在主控板卡外的其他任意槽位,同时背板点位通用,根据需要可以对IO板卡扩展N个版位,灵活配置,满足牵引控制系统扩展需求。同时设置了专为IO板卡供电的电源板,进一步提升灵活性和安全性。
优选地,配置参数包括:IO板卡身份信息、硬件版本号、软件版本号和安全等级;
主控板卡,还用于判断IO板卡上传的数据是否存在异常,若存在,则将牵引控制安全系统导向安全态。
实际运用过程中,IO板卡在牵引控制系统中可任意扩展,在牵引控制系统上电后,主控板通过背板上的通信总线识别背板槽位上的板卡身份信息、硬件版本号、软件版本号、安全等级等配置参数,并自动为IO板卡分配板卡地址;主控板卡在IO板卡上传的数据进行解耦、表决与计算处理之前,还会判断该上传的数据是否存在异常,若存在异常,则将牵引控制安全系统导向安全态,进一步提升安全性。
优选地,
主控板卡分别通过背板上的第一总线和第二总线与IO板卡连接;
第一总线,用于支持主控板卡与IO板卡点对点通信;
第二总线,用于支持主控板卡与IO板卡总线型通信。
实际运用过程中,还设置有第一总线和第二总线,主控板卡通过第一总线与IO板卡点对点通信,主控板卡通过第二总线与IO板卡总线型通信。两套总线为交叉的独立通信部件,两套总线在IO板卡点位定义通用。
优选地,主控板卡还用于,根据通信数据量大小和实时性,调用第一总线或第二总线实现数据交互。
实际运用过程中,主控板卡根据数据量大小和实时性要求分配不同总线。对实时性要求高的数据调用第一总线进行点对点通信,如过压、过流保护,快速响应提高系统的安全性;对实时要求一般的数据调用第二总线进行总线型通信。
优选地,
主控板卡与电源板卡通过背板上的IO硬线进行通信;
主控板卡,具体用于监控电源板卡向IO硬线的输出结果,或对电源板卡输出的多路电压进行过欠压、过流监测。
实际运用过程中,主控板卡与电源板卡之间通过背板上的IO硬线进行通信,实时监测电源板工作状态,如电源板卡中出现任意异常,主控板发出控制指令牵引控制系统导向安全态。电源板状态实时监测有两种方式:1、电源板卡向IO硬线的输出结果;2、主控板卡内对电源板卡输出的多路电压进行过欠压、过流监视。
优选地,IO板卡包括第一处理器、第二处理器、第三处理器、第一功能模块和第二功能模块;
定义第一处理器、第三处理器、第一功能模块、第一总线和第二总线为A系架构;
定义第二处理器和第二功能模块为B系架构。
实际运用过程中,IO板卡具体设置有第一处理器、第二处理器、第三处理器、第一功能模块和第二功能模块,将第一处理器、第三处理器、第一功能模块、第一总线和第二总线定义为A系架构;将第二处理器和第二处理模块定义为B系架构。
如图2所示,在本实施例中,将IO板卡架构分为A/B两系,采用电源板卡中两个不同的电源板进行供电,且相互隔离。A系架构包括第一处理器、第三处理器、第一功能模块、第一总线和第二总线,B系架构包括第二处理器和第二功能模块。在本实施例中,IO板包括:模拟采集板(包括模拟输入板和模拟输出板)、数字输入板、数字输出板、脉冲板(包括脉冲输入板和脉冲输出板),其控制架构相同,不同的板卡配置不同的功能模块(即第一功能模块和第二功能模块)。功能模块具体包括模拟输入模块、模拟输出模块、DI输入模块、DO输出模块、脉冲输入模块、脉冲输出模块;;
需要说明的是,根据工作过程中的实际需求,可扩展IO板可以通过不同的数量组合以满足需求。
优选地,第一处理器、第二处理器和第三处理器为不同架构处理器进行异构;
第一处理器和第二处理器通过第二总线串行通信以及IO硬线并隔离进行数据交互;
第一处理器、第二处理器和第三处理器通过第一总线并行进行数据交互。
实际运用过程中,三个处理器采用不同的架构的处理器进行异构,减少共因失效,提高整个系统的可靠性;第一处理器和第二处理器通过第二总线串行,以及IO硬线并行隔离进行数据交互,隔离器件包括但不限于容隔、磁隔、光耦;第一处理器、第二处理器和第三处理器均通过第一总线并行进行数据交互。
优选地,第二处理器和第三处理器之间、第二处理器和第一处理器之间设置有数字隔离器。
实际运用过程中,在第一处理器和第二处理器之间设置有第一数字隔离器,在第二处理器和第三处理器之间设置有第二数字隔离器,基于成本的考虑两个数字隔离处理器可以采用同样类型。
优选地,
第一处理器,用于发出自检指令,向第一功能模块输出激励,对第一功能模块采集的数据和自检指令进行表决,得到第一自检结果,并将第一自检结果上传至第三处理器。
实际运用过程中,第一处理器负责A系架构的功能自检、数据采集以及数据上传等;功能自检包括上电自检和运行自检,第一处理器发出自检指令,向第一功能模块输出激励,对发出的自检指令和第一功能模块采集的数据进行表决,得到第一自检结果,并将第一自检结果上传至第三处理器。
优选地,
第二处理器,用于发出自检指令,向第二功能模块输出激励,对第二功能模块采集的数据和自检指令进行表决,得到第二自检结果,并将第二自检结果上传至第三处理器。
实际运用过程中,第二处理器负责B系架构的功能自检、数据采集以及数据上传等;功能自检包括上电自检和运行自检,第二处理器发出自检指令,向第二功能模块输出激励,对发出的自检指令和第二功能模块采集的数据进行表决,得到第二自检结果,并将第二自检结果上传至第三处理器
优选地,
第三处理器,用于根据预设的安全等级,对第一自检结果或第二自检结果采用对应的安全策略,并将对应的安全结果通过第一总线和第二总线发送至主控板卡。
实际运用过程中,第三处理器负责安全数据处理,根据实际需要预设的不同安全等级,对A/B系架构上传的数据(即第一自检结果或第二自检结果)采用对应的安全策略,并将对应的安全结果通过第一总线和第二总线发送至主控板卡。
优选地,IO板卡还包括:编码模块;
第三处理器与编码模块连接;
编码模块,用于对IO板卡的配置参数进行编码,以供第三处理器调用。
如图3所示,实际运用过程中,IO板卡还设置有编码模块,编码模块将IO板卡的配置参数进行编码,以便于第三处理器调用;第三处理器在上电时可以读取编码模块中的信息,即编码后的配置参数,包括板卡身份信息、硬件版本号、软件版本号和安全等级。
优选地,安全策略包括:SIL2和SIL4;
通过串并联方式构建SIL2级别的安全架构和SIL4级别的安全架构,以实现对应的安全策略。
如图4所示,优选地,SIL2级别的安全架构采用1oo1D架构,具体包括:处理器电路、AI自检电路和AI处理电路;
处理器电路分别与AI处理电路和AI自检电路连接;
AI自检电路,用于执行AI处理电路下发的自检指令并输出激励;
处理器电路对下发的自检指令与返回结果进行表决并上传。
如图5所示,优选地,SIL4级别的安全架构为A系架构的SIL2级别的安全架构和B系架构的SIL2级别的安全架构并联组成。
需要说明的是,SIL认证就是基于IEC 61508(GB/T 20438),IEC 61511(GB/T21109),IEC 61513,IEC 13849-1,IEC 62061,IEC 61800-5-2,ISO26262等标准,对安全设备的安全完整性等级(SIL)/性能等级(PL)/汽车安全完整性等级ASIL进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估,硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容;
SIL认证一共分为4个等级,SIL1、SIL2、SIL3、SIL4,,包括对产品和对系统两个层次。其中,以SIL4的要求最高。
需要说明的是,根据实际需要进行选择,可以替换AI处理电路和AI自检电路,以使得替换后的处理电路与自检电路与需要实现的功能相匹配。如若需要实现的是DI功能,则对应的处理电路和自检电路为DI处理电路和DI自检电路。
在本实施例中,SIL2的安全架构包括AI处理电路和AI自检电路,以及分别与AI处理电路和AI自检电路连接的处理器电路,AI处理电路接收到外部输入信号,进行处理后向AI自检电路下发自检指令,并向处理器电路输出激励;AI自检电路接收到自检指令后实现自检,并将自检结果通过AI处理电路返回处理器电路;处理器电机对AI处理电路下发的自检指令与自检返回结果进行表决并上传,重复上述循环;
在本实施例中,SIL4的安全架构,具体为:A系架构和B系架构通道达到SIL2,采用A、B系架构并联组合,A/B系架构上传的数据通过第三处理器上传至主控板卡进行表决运算,实现SIL4。
应当理解,本申请中如若使用了“系统”、“装置”、“单元”和/或“模块”,仅是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而,如果其他词语可实现相同的目的,则可通过其他表达来替换该词语。
如本申请和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其它的步骤或元素。由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
其中,在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请实施例的描述中,“多个”是指两个或多于两个。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。
以上对本发明所提供的一种牵引控制安全系统进行了详细介绍。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。