乐建锐

(深圳通业科技股份有限公司，广东深圳 518110)

1 概述

继电器广泛存在于轨道交通的控制系统中，其数量庞大，单列车最多可达300 个以上[1]，在轨道交通中发挥着重要作用。受制于其电气特性，继电器在高温湿热的地铁运行环境下故障频发。据统计，地铁车辆控制故障60%以上是由继电器失效所致[2]，给地铁运行和维护带来了非常大的隐患。

为解决继电器存在的诸多不足并逐次取代继电器在控制系统中的重要地位，逻辑控制单元(Logic Control Unit,LCU)围绕着改善控制系统的可用性，可维护性，安全性和可靠性而渐次取得了诸多革命性的进展，其发展可依据时间线大致划分成3 代。

2000 年，第一代LCU 采用无触点技术替换了继电器，革命性的技术创新，彻底解决了机械触点的故障问题。2013 年，第二代LCU 实现故障记录功能，能够还原机车故障问题的全过程，用于进行全车和LCU 自身的故障诊断。2015 年，第三代LCU 采用了热备冗余技术[3]，从设计上大幅降低了LCU 自身故障可能造成的机破、停车待救援的隐患。

随着地铁采用全自动无人驾驶的发展潮流，对LCU 自身的安全性和可靠性提出了更高的挑战和要求，下一代新型的LCU 控制系统的研发变得尤为迫切和重要。

2 二乘二取二冗余—安全地铁LCU架构简介

目前应用的LCU 都是按照安全完整性等级2 级 (Safety Integrity Level 2, SIL2)设计[4]，实践验证了基于无缝切换的双机热备冗余系统的LCU 可靠性非常高[5]。而研究表明，二取二安全架构的LCU 在安全原理性上要比双机热备冗余更高。因此，下一代的LCU 集成无缝切换的双机热备冗余和二取二的双机冗余表决两种方案，最大程度的利用冗余技术实现高可靠性、高安全性的组合。

在可靠性上，采用的是两系热备、且完全一致可互换的冗余架构，在主用系出现任意功能模块单点故障，即触发主备切换控制；备用系出现单点故障，则锁定、隔离故障单元不允许进行主备切换。在安全性上，采用单板二取二的任务级同步的容错、安全管理，并将双功能模块的关键过程数据进行周期性表决。表决成功，则允许输出，表决失败，则导向双系主备切换，如图1 所示。

图1 二乘二取二原理示意图Fig.1 2×2oo2 principle diagram

LCU 的主要核心功能单元组成可以分为车辆逻辑IO 输入信号采集、列车逻辑控制运算、车辆逻辑IO 输出驱动3 部分。每部分单元硬件CPU和软件功能独立，各单元的双路冗余的2-out-of-2（2oo2）表决、双系热备切换功能在本单元CPU 内单独配置，如图2 所示。

图2 二乘二取二LCU功能单元组成示意图Fig.2 2×2oo2 LCU function components diagram

3 基于二乘二取二的LCU系统总体方案设计

在具体应用上，本次“二乘二取二”设计兼容原双机热备冗余技术方案，对于普通继电器，继续使用双机热备冗余技术的DIO（Digital IO）板，而对于关键继电器，则升级为二乘二取二的VIO（Vote Digital IO）板。司机室和客室的两种机箱配置如图3 所示。

1）电源板

电源板110 V 转5 V 的隔离转换采用双DC-DC 模块，并联输出，并实现两冗余模块供电。两块电源板单独配置输入空开，并分别给A、B 两组负载单独供电。只要4 个模块电源有1 个正常工作，都能支持其中1 组完整的LCU 正常工作。

图3 二乘二取二兼容双机热备冗余配置方案Fig.3 Configuration scheme for 2×2oo2 compatible with double hot-standby redundancy

2）主控板

基于相邻双槽位热备冗余的两块主控单板上共有4 个处理器。每个处理器都能同时计算和处理应用逻辑，4 个处理结果都能通过机箱内的分布的两路CAN 网络发送到所有的IO 板上。

每块主控板上的两个处理器，能够对特定的关键数据进行相互比对，如果不一致，则判定本板的信息处理同步失效，将导致控制异常，因此需要置本板故障，切换到冗余单一元工作。两个处理器的计算结果比对一致，输出才有效，以此实现“2oo2”的效果。

特定情况下，故障板可以从另外一块工作正常的单板恢复同步数据，恢复正常的备机工作。

3）IO 板

每块IO 板集成两个CPU 处理器，每块板的每路IO 通道使用两路硬件输入输出电路构成，实现2oo2 的高安全性，周期性的比对输入、输出数据并进行容错表决。两块相邻槽位的IO 板组成双板热备份，实现高可用性。IO 板原理如图4 所示。

图4 IO板冗余设计方案（单路通道）Fig.4 IO board redundancy design scheme (single channel)

4 基于二乘二取二的LCU系统具体运行策略

基于双机热备冗余方案进行升级的二乘二取二方案，在冗余备份及安全策略上有进一步升级的措施[6-7]。在输入信号采集表决及故障诊断表决、网络通讯信息安全性策略、输出指令表决、输出通道故障诊断安全性策略上都比双机热备冗余有明显的升级。

4.1 输入信号采集表决及故障诊断表决策略

4 路输入电路组成的输入通道，每个CPU 各采集1 路。CPU 之间需要通过网络进行同步和比对4路电路的状态值，根据异常情况实施不同的表决策略和措施。输入信号采集表决及故障诊断表决策略如表1 所示。

输入自检的方法与原单通道的IO 板一致，在需要时对IO 电路输入特定的瞬时信号。如有正确响应的则表示之间正确。如响应不正确，则表示电路功能不正常。

表1 输入信号的表决策略Tab.1 Voting strategy of input signals

4.2 主控板及CAN网络表决策略

IO 板通过两路CAN 网络通讯接收主控板计算的输出指令，接收到指令需经过表决才确认有效，实现主控计算和网络冗余表决的二乘二取二方案。具体表决策略如表2 所示。

表2 主控板及CAN网络表决策略Tab.2 Voting strategy of main control board and CAN network

4.3 输出通道的表决策略

在网络传输的CPU 数据确认一致以后，输出的表决取决于得到正确的主控板CPU 计算数据。具体的输出通道表决决策如表3 所示。

输出电路的安全性主要由两个IO 输出电路串联组成1 路输出通道的方案来实现，每个输出通道各由单独的CPU 控制。只有当两路CPU 都接收到相同的输出指令，并同步打开输出通道的开关，输出才会有效，实现IO 输出电路的“二取二”方案。

表3 输出通道的表决策略Tab.3 Voting strategy of output channels

5 深圳地铁9号延长线应用情况

深圳地铁9 号延长线列车采用“A1+B1+C1+ C2+B2+A2”6 节编组配置，两端司机室各部署两台6U 的LCU，6 个 客 室 车 厢各 部署1 台3U 的LCU，共10 台LCU，如图5 所示。通过CAN 总线通信进行数据交互，并通过6U 的LCU 配置的MVB 接口上报状态信息。

深圳9 号线首期29 列列车采用的是双机热备冗余方案[8]，而延长线升级为二乘二取二的方案，并同步应用到深圳2、5、8 号线增购、厦门2 号线[9]、北京5 号线改造等多个项目,都实现了安全无运营故障运行。两种方案在深圳9 号线同一条线路上运行的一致性表现良好。

6 结束语

随着自动化、智能化程度的不断提高，全自动无人驾驶将更多的代替司乘人员管理车辆，车辆本身对控制的安全也在逐渐提高[10]。相较于继电器，LCU 凭借其无触点控制和可编程的特性而具备更优越的成为轨道控制单元的竞争优势。但要进一步摆脱LCU 网络的弱分布特性所带来的可靠性和安全性隐患，进而完全替代继电器，LCU 必须进一步加强自身的可靠性和安全性。相对于前期的双冗余热备份技术，基于二乘二取二的LCU 可大大提高列车运行的可靠性和安全性。深圳地铁9 号线延长线上运行成功，对于后续新一代的LCU 控制系统的设计和推广具有重要的参考和推动作用。

图5 深圳地铁9号线延长线LCU整车网络拓扑Fig.5 LCU network topology for Shenzhen Metro Line 9 Ext