一种具有冗余结构的地面铁路信号云平台

技术领域

本发明属于铁路信号控制技术领域，具体涉及一种具有冗余结构的地面铁路信号云平台。

背景技术

铁路行车安全始终是铁路运输的第一要素，而铁路信号控制系统则是保障行车安全的关键设备，是典型的安全苛求系统。其中，铁路信号安全计算机平台作为铁路信号系统中最为基础和重要的组成部分，是不同应用系统的硬件平台和软件底层设备。安全平台的结构从最初的单套系统升级为双机热备系统，再到当前被广泛使用的2乘2取2冗余结构，其在性能和成本之间已达到了相对的平衡；同时基于“故障-安全”原则的软件设计和功能测试方面技术的提升，也使得目前的铁路信号安全计算机平台相对稳定。云计算技术作为一种新兴的网络技术，是多种网络技术混合发展的结果，是能够降低IT复杂性的新方法，它将按需提供的自助管理虚拟基础架构汇集成高效集中的集群，再以服务的形式为用户提供计算。然而，现有的铁路信号控制系统存在系统成本较高、可扩展性较低等问题。

发明内容

有鉴于此，本发明提供了一种具有冗余结构的地面铁路信号云平台，基于云平台实现了地面铁路信号系统的冗余结构。

本发明提供的一种具有冗余结构的地面铁路信号云平台，包括：多个数据中心、核心交换机、通信交换机及比较单元，其中，多个数据中心中仅包含一个处于主控态的主控数据中心，其余的数据中心均为处于备用态的备用数据中心，多个数据中心的结构及功能均相同，主控数据中心与备用数据中心的工作方式为热备冗余方式；主控数据中心接收外部系统数据作为逻辑运算输入数据，对逻辑运算输入数据进行逻辑运算生成输出数据，同时，主控数据中心将接收到的外部系统数据复制后发送至备用数据中心作为其逻辑运算输入数据，并向备用数据中心发送状态同步相关变量，备用数据中心同步对逻辑运算输入数据进行逻辑运算；

所述核心交换机用于数据中心之间的应用数据交互及状态管理同步；

所述通信交换机用于数据中心内的车站计算机联锁应用程序CBI-APP与比较单元之间的信息交互；

比较单元，具有SIL4安全等级，用于对同一站内互为冗余的数据中心内的CBI-APP发送的数据包进行比较和校核，并接收来自安全网和操作网的数据包，并转发至各CBI-APP。

进一步地，所述安全网的数据是指来自于其他安全设备的数据。

进一步地，所述其他安全设备为联锁应用设备，安全网数据为与该联锁应用设备相邻的邻站联锁、列控中心及无线闭塞中心的数据。

进一步地，所述操作网的数据是指将轨旁执行单元作为通信对象时其所发送的数据。

进一步地，所述数据中心由异构的第一服务器和第二服务器组成，其中，第一服务器采用VMware资源管理软件运行并管理多个VMware虚拟机，第二服务器采用KVM资源管理软件运行并管理多个KVM虚拟机，多个VMware虚拟机及KVM虚拟机中均有部分安装Windows系统、部分安装Linux系统；每个VMware虚拟机及KVM虚拟机中均运行CBI-APP及ZooKeeper。

进一步地，所述地面铁路信号云平台的数据流为：备用数据中心中的CBI-APP加电运行后，首先向主控数据中心内的CBI-APP发送握手信号进行数据同步，随后接收来自比较单元的上行数据；备用数据中心与主控数据中心互传接收到的上行数据，并对数据进行比较，再对上行数据进行安全计算，并互传计算结果后对计算结果进行校验；计算结果校验一致则由主控数据中心将计算结果输出，否则丢弃计算结果。

进一步地，所述地面铁路信号云平台的工作状态切换过程为：ZooKeeper为数据中心提供分布式集群协调服务，ZooKeeper在初始化过程中为每台服务器分配全局唯一的节点ID，并令具有最小及次最小节点ID的数据中心作为主控数据中心内的两个服务器；Zookeeper为比较单元发送的数据请求添加全局唯一且递增的数据ID，并将其转发至其他备用数据中心，同时更新备用数据中心的状态；主控数据中心负责维护集群状态，若通过心跳检测机制发现某备用数据中心中的服务器已宕机，则删除其节点ID，同时注销该备用数据中心的另一服务器节点ID；若主控数据中心宕机，则主控数据中心中的服务器节点ID均会被删除，ZooKeeper选择更新后的最小及次最小节点ID作为新的主控数据中心内的两个服务器。

进一步地，所述比较单元包括人机对话层、逻辑运算层、执行表示层及电源子系统，其中，人机对话层由维护子系统构成，逻辑运算层由逻辑处理子系统构成，执行表示层由执行子系统构成，电源子系统为采用铁路信号电源系统进行供电；维护子系统通过冗余以太网与逻辑处理子系统通信获取维护信息，通过单路以太网与执行子系统通信获取开关量、模拟量及系统状态；逻辑处理子系统通过冗余以太网与执行子系统通信，通过通信接口与其他系统交互；

维护子系统由工控机组成为系统维护、检修提供人机交互界面，以显示各数据中心的报警信息、通信信息及本系统的系统状态；逻辑处理子系统由具有安全冗余结构的专用计算机组成，负责逻辑运算及对外安全通信；执行子系统由目标控制器及应答器控制器组成，用于与现场设备接口，实现对现场设备及继电器的控制及状态采集。

有益效果：

本发明基于云平台架构采用通用计算机软硬件资源实现了车站计算机联锁系统、地面列控中心等典型地面信号设备所依赖的安全计算机平台，替代了现有的专门设计的高成本专用安全计算机平台，且不再需要沿铁路线铺设典型地面信号设备，因此有效降低了系统建设成本及人工维护成本、提高了系统的计算性能，此外，云平台的冗余容错结构保证了系统的安全性与可靠性，提升了系统的可用性及可扩展性。

附图说明

图1为本发明提供的一种具有冗余结构的地面铁路信号云平台的结构图。

图2为本发明提供的一种具有冗余结构的地面铁路信号云平台内的数据流示意图。

图3为本发明提供的一种具有冗余结构的地面铁路信号云平台的系统状态切换过程示意图。

图4为本发明提供的一种具有冗余结构的地面铁路信号云平台中比较单元的结构图。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

本发明提供的一种具有冗余结构的地面铁路信号云平台，结构如图1所示，包括：多个数据中心、核心交换机、通信交换机及比较单元，其中，多个数据中心中仅包含一个处于主控态的主控数据中心，其余的数据中心均为处于备用态的备用数据中心，多个数据中心的结构及功能均相同，主控数据中心与备用数据中心的工作方式为热备冗余；主控数据中心接收外部系统数据作为逻辑运算输入数据，对逻辑运算输入数据进行逻辑运算生成输出数据，同时，主控数据中心也将接收到的外部系统数据复制后发送至备用数据中心作为其逻辑运算输入数据，并向备用数据中心发送状态同步相关变量，备用数据中心同步对逻辑运算输入数据进行逻辑运算。

其中，设置主控数据中心与备用数据中心，能够满足车站计算机联锁系统(CBI)、列车控制系统(TCC)、无线闭塞控制系统(RBC)等多个铁路信号地面控制系统对安全计算机的功能要求，采用二乘二取二(双-双余度)相似计算机的设计。

核心交换机用于数据中心之间的应用数据交互及状态管理同步。

通信交换机用于数据中心内的计算机应用程序与比较单元之间的信息交互。数据中心内的计算机应用程序为所使用的车站计算机联锁系统应用程序，简称：CBI-APP。

比较单元，具有SIL4安全等级，用于对同一站内互为冗余的数据中心内的CBI-APP发送的数据包进行比较和校核，并接收来自安全网和操作网的数据包，并转发至各CBI-APP。其中，安全网的数据是指来自于其他安全设备的数据，例如系统当前运行为联锁应用设备，那么接受的安全网数据就是与其相邻的邻站联锁、列控中心等的数据；操作网的数据是指轨旁执行单元作为通信对象所发来的数据。

轨旁执行单元为铁路现场设备，用于执行来自于比较单元的数据，包括信号机、道岔、轨道电路等。

本发明中的数据中心由异构的第一服务器和第二服务器组成，其中，第一服务器采用VMware资源管理软件运行并管理多个VMware虚拟机，第二服务器采用KVM资源管理软件运行并管理多个KVM虚拟机，多个VMware虚拟机及KVM虚拟机中均有部分安装Windows系统、部分安装Linux系统。每个VMware虚拟机及KVM虚拟机中均运行CBI-APP及ZooKeeper，其中，CBI-APP为车站计算机联锁应用程序，ZooKeeper为分布式协调服务用于为系统提供命令服务及分布式协调和集群管理。采用上述异构的软件运行环境能够减少软件因共因失效导致的错误信息。

铁路信号安全计算机平台为典型的安全苛求系统，广泛使用2乘2取2冗余结构来保证系统的可靠性。为了进一步提高云联锁平台的可靠性，本发明构建了如图1所示的具有冗余结构的地面铁路信号云平台。

本发明提供的一种具有冗余结构的地面铁路信号云平台中的数据流如图2所示，具体来说，处于备用态的数据中心中CBI-APP在加电运行后，首先向处于主控态的数据中心内的CBI-APP发送握手信号进行数据同步；随后接收来自比较单元的上行数据；备用数据中心与主控数据中心互传接收到的上行数据，并对数据进行比较，以确保上行数据输入来源的一致性；再对上行数据进行安全计算，并互传计算结果后对计算结果进行校验；计算结果校验一致则由主控数据中心将计算结果输出，否则丢弃计算结果。采用上述过程确保数据的冗余性，同一台服务器上可运行多个车站的CBI应用软件。

本发明提供的一种具有冗余结构的地面铁路信号云平台中工作状态切换过程，如图3所示，具体来说，ZooKeeper为数据中心提供了具有严格顺序访问控制能力的分布式集群协调服务，由于数据中心安装了ZooKeeper服务，可构成Zookeeper集群，集群中每个服务器都会单独在内存中维护自身状态，并且各服务器间都通过核心交换机保持通信，只要集群中有半数的服务器能够正常工作，那么整个集群就可以正常提供服务。设备在上电后，ZooKeeper在初始化过程中为每台服务器分配全局唯一的节点ID作为此服务器在集群中的标识，默认全局的最小及次最小节点ID为主控数据中心内的两个服务器。对于来自比较单元的数据请求，主控数据中心的Zookeeper都会全局唯一且递增的数据ID，这个数据ID反映了所有事务请求的先后顺序，并转发至其他备用数据中心，更新备用数据中心的状态；同时主控数据中心负责维护集群状态，如果某个备用数据中心中的服务器宕机了，则通过心跳检测机制发现并删除其节点ID，同时该备用数据中心的另一服务器节点ID也会被注销，直至维修人员进行人工修复之后，系统恢复心跳才能重新注册服务器节点ID。特别地，如果主控数据中心宕机，则主控数据中心中的服务器节点ID均会被删除，此后ZooKeeper选择更新后的最小及次最小节点ID作为新的主控数据中心内的两个服务器。

其中，比较单元仅与主控数据中心进行数据交互，主控数据中心的具体信息对比较单元来说是黑盒状态，即比较单元并不清楚哪台服务器是主控数据中心，比较单元只将来自于安全网或者操作网的数据向固定的IP发送，数据到达Zookeeper层之后，再由Zookeeper层转发至主控数据中心，Zookeeper层为了标识数据包为其增加序列号的数据ID。

比较单元，其结构如图4所示，根据功能划分为人机对话层、逻辑运算层、执行表示层及电源子系统。其中，人机对话层由维护子系统，即MT子系统，构成；逻辑运算层由逻辑处理子系统，即LP子系统，构成；执行表示层由执行子系统构成。比较单元接入铁路信号电源系统进行供电。

MT子系统，由工控机(含相关显示器、鼠标等配件)组成，为系统维护、检修提供人机交互界面，以显示各数据中心的报警信息、通信信息及本系统状态信息等，并具有上述信息历史状态的存储及查询功能。MT子系统通过冗余以太网与LP子系统进行通信以获取维护信息，通过单路以太网与执行子系统通信以获取开关量、模拟量、相关状态等信息。

LP子系统是比较单元的核心子系统，由具有安全冗余结构的专用计算机组成，负责系统的逻辑运算及对外安全通信。LP子系统通过冗余以太网与MT子系统通信；通过通信接口与其他系统交换信息，如：通过冗余以太网接口与执行子系统相连，交互现场设备控制命令及获取现场设备状态；通过冗余以太网、CAN等接口与其它高安全相关的信号系统进行安全通信，交互控制信息。其中，信号系统如以太网接口的临时限速服务器(TSRS)、无线闭塞中心(RBC)、列控联锁一体化系统(TIS)、列控中心(TCC)、邻站联锁(NCBI)等系统，以及CAN接口的轨道通信盘等。

执行子系统由目标控制器(OC)及应答器控制器(BOC)等部分组成，用于与现场设备接口，实现对现场设备及继电器的控制及状态采集。本发明中OC为除控制应答器模块之外的控制器，主要为用于控制道岔、信号、轨道、场联、半自闭、电码化等的电子执行模块。BOC是专门控制应答器模块的控制器，是目标控制器中的一种。组成执行子系统的各部可以根据需要灵活配置。执行子系统通过冗余以太网或双路CAN总线与LP子系统进行通信(根据需要也可以两种通信方式同时使用)，交互控制命令及状态采集信息。执行子系统包含OC设备时，还通过单路以太网与MT子系统进行通信，向MT子系统发送现场设备的状态等采集信息。

电源子系统，采用对A、B两系分别供电的方案：由信号电源系统引入两路220V交流电，经过空气开关、电源防雷单元后向各个子系统供出220V AC电源。其中，A、B两系是指构成LP子系统的完全冗余的双系，也就是二乘二取二的结构。

在系统运行过程中，比较单元与数据中心交互时，每次向固定的IP发送数据包，数据进入ZooKeeper层之后，由Zookeeper将数据传入主控数据中心，主控数据中心向备用数据中心发送信息更新状态。当比较单元接收到的两份数据存在差异时，比较单元识别并上报故障，维修人通过对CBI-APP进行检查，或人工修复，以保证系统的持续稳定运行。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。