任晓坤，田学文

(中车青岛四方车辆研究所有限公司 电子事业部，山东 青岛 266031)

既有动车组列车网络控制系统中央控制单元冗余机制中，多功能车辆总线(MVB)的管理主权(Bus administration，BA)多采用固定方式，MVB总线管理权锁定在固定设备，发生冗余切换时需重新初始化MVB板卡，冗余切换时间长，对车辆控制和子设备通信会产生一定影响，进而影响车辆运行。冗余检测方法采用MVB总线检测方式，但检测方法单一，在极端情况下如MVB总线数据受到干扰，易发生双主或无主的风险，造成MVB总线数据异常影响车辆运行。为此，本文提出了列车网络控制系统中央控制单元数据安全冗余机制，MVB总线的BA主权采用冗余工作方法，即发生冗余切换时不需要重新初始化MVB板卡，能够实现快速切换而不影响车辆运行。冗余检测方法采用MVB总线和硬线双通道检测为主，当MVB总线数据受到干扰时能够避免MVB总线双主情况的发生，同时实现冗余中央控制单元(CCU)交替做主，能够及时发现故障问题，避免车辆带故障运行。安全冗余保障策略中，CCU实时监控程序进程、线程以及板卡状态，发生异常时触发看门狗复位，硬线输出复位，可避免MVB总线无主的情况发生。

1 数据安全冗余机制

列车网络控制系统中央控制单元数据安全冗余机制包含4个基础策略，分别为MVB总线BA主权冗余策略、MVB总线端口冗余策略、冗余安全辅助策略、冗余安全保障策略。

1.1 MVB总线BA主权冗余策略

主设备利用监视相[1]进行主权的传递，在一个轮回周期的结束或故障产生时发生转移主权[2]。2个CCU都正常时，轮回周期结束时，BA主设备移交BA主权，BA从设备接受BA主权，完成冗余切换工作；BA主设备异常时，从设备在设定的检测时间内检测不到MVB总线主帧，则开启BA主权，保障MVB总线数据的稳定，BA主权冗余流程如图1所示。BA主权冗余策略能够预防设备带故障工作，避免设备故障时起不到冗余作用。

图1 BA主权冗余流程

1.2 MVB总线端口冗余策略

2个冗余的CCU中配置不同的冗余端口用于冗余信息传输，冗余通信端口按照固定方式配置：CCU1配置中A为源端口，B为宿端口；CCU2配置中B为源端口，A为宿端口。

CCU通过冗余通信端口、硬线信号获取对方设备信息，辅助CCU所处网段信息进行冗余检测判断出主从设备。主CCU将TCMS所需源端口配置为源端口，从CCU将TCMS所需的源端口配置为宿端口，主CCU将源端口数据发送到MVB总线。MVB端口配置如图2所示，硬线配置见图3。

图2 MVB端口配置

图3 硬线配置

MVB总线端口冗余策略通过3种模式进行判断，分别为初始模式、正常模式和特殊模式。

1.2.1 初始模式

CCU启动完成后进入初始模式，初始模式决出弱主弱从。

(1) CCU1初始模式。CCU2通信正常且为弱主，CCU1为弱从；CCU2通信正常，CCU1上次为主，CCU1为弱从；其他情况CCU1为弱主。

(2) CCU2初始模式。CCU1通信故障，CCU2为弱主；CCU1通信正常，CCU2上次为从，CCU2为弱主；其他情况，CCU2为弱从。

1.2.2 正常模式

初始模式完成后进入正常模式，开始主从检测决出主从。

(1) 正常模式CCU1冗余检测策略。CCU2通信正常时，CCU1弱主，CCU2弱从，CCU1变主；CCU1弱从，CCU2弱主，CCU1变从；CCU1弱从，CCU2弱从，CCU1变主。CCU2通信故障时，DI板卡正常工况下，检测到CCU2的硬线主信号为0，CCU1变主；DI板卡正常工况下，检测到CCU2的硬线主信号为1，并且持续时间达到设定的检测时间，CCU1变从；当DI板卡异常，CCU1变主。

(2) 正常模式CCU2冗余检测策略。CCU1通信正常时，CCU1弱主，CCU2弱主，CCU2变从；CCU1弱主，CCU2弱从，CCU2变从；CCU1弱从，CCU2弱主，CCU2变主；CCU1弱从，CCU2弱从，并且持续时间达到设定的检测时间，CCU2变主。CCU1通信故障时，DI板卡正常工况下，检测到CCU1的硬线主信号为0，CCU2变主；DI板卡正常工况下，检测到CCU1的硬线主信号为1，并且持续时间达到设定的检测时间，CCU2变从；当DI板卡异常，CCU2变主。

1.2.3 特殊模式

列车网络控制中还有一些特殊情况需要CCU进行冗余切换，包括整备冗余、网段检测冗余、TCN网关要求CCU冗余切换。

(1) 整备冗余。在列车发车之前需要进行整备测试，CCU收到预设的整备冗余信号，由正常模式进入整备冗余模式并进行冗余切换，验证CCU冗余功能正常。

主CCU1的弱主信号变为CCU1整备模式信号，CCU1变从；主CCU2的弱主信号变为CCU2整备模式信号，CCU2变从；延时预设时间，CCU1/CCU2的整备模式信号变为弱从信号；延时预设时间，CCU1/CCU2恢复正常模式，输出整备冗余切换结果。

(2) 网段检测冗余。冗余CCU通信故障时，主CCU检测到网段信号由大网段变为小网段时，CCU退主变为从，CCU网段检测示意图见图4。

图4 CCU网段检测示意图

(3) TCN网关要求冗余切换。CCU收到网关要求切换信号，主CCU变从，延时预设时间，CCU恢复正常模式。

1.3 冗余安全辅助策略

CCU实时检测CCU通信故障、输入输出(DIDO)板卡状态、DI信息、CCU所在网段信息，实时存储CCU主从状态。CCU通信故障时，同步复位数据，保障数据的准确性。

(1) CCU通信故障检测。CCU生命信号每个周期加1，生命信号范围为1～255，当生命信号为0或者生命信号多个周期不跳变，则判断为MVB通信故障。

(2) 输入输出板卡状态检测、DI信息检测。CCU实时采集DI信息，并通过输入输出板卡的生命信号判断板卡状态。

(3) 主从状态存储。CCU实时存储CCU的主从信息，CCU初上电读取CCU主从存储信息。

(4) 实时检测网段信息。冗余CCU通信故障时，判断2/3/4车子系统设备是否在线，如无子系统设备在线，则判断CCU在小网段；如有子系统设备在线，则判断CCU在大网段。

(5) 通信故障及数据复位处理。CCU检测MVB端口的刷新时间，如超过设定时间，CCU判断为通信故障，同时将端口数据恢复默认值，通信故障与数据复位同步，保障数据准确性。

1.4 冗余安全保障策略

1.4.1 软件安全保障方法

CCU程序实时监控进程状态、线程状态及板卡状态，如状态异常则触发看门狗复位重启设备。

1.4.2 硬件安全保障方法

(1) 看门狗复位。CPU按照程序周期定时喂狗，如CPU程序异常则停止喂狗，到达看门狗触发的阈值时间后，看门狗复位CPU，同时复位MVB板卡，CCU退出源端口控制权，避免设备异常情况下MVB板卡仍发送源端口数据，即避免CCU双主的情况发生。

(2) 输出(DO)板卡输出复位。CCU的CPU板卡实时发送生命信号给DO板卡，DO板卡检测到CPU生命信号异常则将DO输出信号清零。主CCU异常时，该机制将DO主信号清零，从CCU检测到主CCU的MVB通信异常且DO主信号为零，从CCU切换为主CCU，避免MVB总线无主的情况发生。

2 数据安全冗余机制效果

列车网络控制系统中央控制单元数据安全冗余机制能够实现CCU快速、稳定、安全切换，提高了冗余切换的抗干扰度、程序运行的稳定性、MVB总线数据的安全性。

(1) MVB总线BA主权冗余策略效果。正常模式遵循设定的轮回周期冗余工作，异常时在设定的检测时间内完成主权转移；发生冗余切换时不需要重新初始化MVB板卡，能够实现快速切换。2个CCU交替获取BA主权，能够避免CCU带故障工作。

(2) MVB总线端口冗余策略效果。采用MVB总线、硬线双通道检测为主，大小网段判断为辅的检测方法，MVB总线数据受干扰时能够避免双主情况发生。3种检测方法综合判断冗余切换条件，提高了冗余切换的稳定性。

(3) 安全冗余辅助策略效果。通信故障与数据复位同步进行，保障了数据的准确性。

(4) 安全冗余保障策略效果。软件实时监控进程、线程、板卡状态，发生异常时则触发看门狗复位。看门狗复位实现CPU、MVB同时复位，硬线输出复位的安全冗余保障机制，避免故障时出现MVB总线无主的情况。

3 结束语

列车网络控制系统中央控制单元数据安全冗余机制可用于列车网络控制系统中央控制单元的冗余协同控制，采用MVB总线、硬线双通道检测为主，网段检测为辅的检测方法，具备安全冗余辅助策略和保障策略，可实现中央控制单元的快速、稳定、安全地冗余切换。中央控制单元数据安全冗余机制提高了列车网络控制系统的通信抗干扰度，能够避免双主或无主情况发生，保障了动车组的网络数据安全及列车运行的安全。