鐵路監(jiān)控記錄裝置的改進(jìn)

鐵路監(jiān)控記錄裝置的改進(jìn)

0基于lkj2004型監(jiān)控記錄裝置的殘余協(xié)調(diào)技術(shù)鐵路運(yùn)輸安全一直是人們關(guān)注的問題。自1995年以來,鐵道部在全路所有的內(nèi)燃、電力機(jī)車上都安裝了自主研制的JK-2H和LKJ-93型列車運(yùn)行監(jiān)控記錄裝置,在保障鐵路運(yùn)輸安全方面發(fā)揮了重要的作用。與國外裝置相比,我國的監(jiān)控裝置具有設(shè)備簡(jiǎn)單、功能復(fù)雜、投資少、記錄和分析能力強(qiáng)等優(yōu)點(diǎn),但在多機(jī)冗余配置方面較弱。為此鐵道部組織多方技術(shù)力量于2000年研制了LKJ2000型監(jiān)控記錄裝置。LKJ2000型監(jiān)控記錄裝置與上一代相比,在可靠性、可擴(kuò)充性、易用性等各方面都有了很大的提高。尤其是可靠性,除在芯片選型、信號(hào)隔離、信號(hào)屏蔽、抗干擾、抗輻射等方面采取措施以外,還采用了雙機(jī)冗余技術(shù)。該設(shè)備于2000年設(shè)計(jì)完成,經(jīng)過近2年的裝車運(yùn)行表明,基本達(dá)到了預(yù)定的設(shè)計(jì)目標(biāo),并已局部批量裝車運(yùn)用。雙機(jī)冗余包含硬件雙機(jī)冗余設(shè)計(jì)和軟件雙機(jī)冗余設(shè)計(jì)2個(gè)方面,二者相輔相成。硬件的雙機(jī)冗余設(shè)計(jì)是在一個(gè)主機(jī)箱中插有2組完全相同的模塊,每組都是一個(gè)完整的系統(tǒng)。2組系統(tǒng)同時(shí)工作,但只有1組進(jìn)行控制,另一組只是處于熱備狀態(tài)。當(dāng)實(shí)施控制的一組出現(xiàn)故障時(shí),它會(huì)自動(dòng)切換到熱備機(jī)上。這種模塊故障后整套切換的冗余技術(shù)一般稱為系統(tǒng)級(jí)冗余。當(dāng)2組模塊中各有一個(gè)子模塊出現(xiàn)故障時(shí),系統(tǒng)級(jí)冗余便無能為力。軟件的雙機(jī)冗余設(shè)計(jì)主要針對(duì)硬件冗余的各種不足及為實(shí)現(xiàn)更復(fù)雜的冗余而采取的措施。采用軟件的冗余設(shè)計(jì)可以達(dá)到以下目的:(1)同一模塊出現(xiàn)故障時(shí)則同一模塊測(cè)試通過軟件設(shè)計(jì)可以很容易地實(shí)現(xiàn)模塊級(jí)的冗余。在2個(gè)子系統(tǒng)中只要不是相同模塊出現(xiàn)故障,通過軟件設(shè)計(jì)將所有正常的模塊重組仍可組成一組完整的系統(tǒng),從而提高可靠性。(2)提高安全性通過軟件設(shè)計(jì)可以很容易地實(shí)現(xiàn)對(duì)同一參數(shù)出現(xiàn)多個(gè)不同的值時(shí)選取一個(gè)最為安全的值進(jìn)行控制,以滿足安全設(shè)備領(lǐng)域故障倒向安全的原則。(3)實(shí)現(xiàn)穩(wěn)定切換通過軟件設(shè)計(jì),可以使多套系統(tǒng)協(xié)調(diào)動(dòng)作,做到模塊故障時(shí)無抖動(dòng)切換。本文主要介紹軟件冗余設(shè)計(jì)在LKJ2000型監(jiān)控裝置中是如何實(shí)現(xiàn)的。1基本總結(jié)1.1a機(jī)的地面信息處理模塊圖1描述了LKJ2000監(jiān)控裝置主機(jī)箱的模塊結(jié)構(gòu)及系統(tǒng)中各模塊之間的通信連接。如圖1所示,主機(jī)箱中插有2組相同的模塊,左邊的一組共用同一組電源,稱為A機(jī)或A子系統(tǒng),右邊的一組共用另一組電源,稱為B機(jī)或B子系統(tǒng)。A、B機(jī)電源相互隔離。各模塊軟件可通過檢測(cè)母板送來的M/S信號(hào)確定本模塊是屬于A機(jī)還是B機(jī)。A機(jī)的M/S為低電平,B機(jī)的M/S為高電平。主機(jī)箱中任一帶CPU的模塊相對(duì)本子系統(tǒng)或另一子系統(tǒng)中其他帶CPU的模塊來說是完全等同的,都是通過雙CAN總線(CAN-A和CAN-B)進(jìn)行串行通信,因此它們屬模塊級(jí)冗余。假設(shè)A機(jī)的地面信息處理模塊出現(xiàn)了故障,A機(jī)的其他模塊和B機(jī)的地面信息處理模塊仍可組成一個(gè)完好的系統(tǒng)。這類模塊包括監(jiān)控記錄模塊、地面信息處理模塊、通信模塊和備用模塊。此外,A、B機(jī)的監(jiān)控記錄模塊之間還有第3條串行通信通道——同步口。主機(jī)箱中所有不帶CPU的模塊只能由本子系統(tǒng)的監(jiān)控記錄模塊通過VME并行總線進(jìn)行訪問。只有當(dāng)本子系統(tǒng)的監(jiān)控記錄模塊正常工作時(shí)才能實(shí)現(xiàn)冗余,因此這些模塊屬系統(tǒng)級(jí)冗余。它們是數(shù)字量輸入輸出模塊、數(shù)字量輸入模塊和模擬量輸入輸出模塊。如果把這些模塊看作是監(jiān)控記錄模塊的擴(kuò)展的話,也可以說是模塊級(jí)冗余。這類冗余方式的平均故障間隔時(shí)間是純系統(tǒng)級(jí)冗余方式的2倍。1.2雙機(jī)模塊介紹在同一主機(jī)箱中,同類模塊都有2個(gè),一個(gè)屬于A機(jī),一個(gè)屬于B機(jī)。雙機(jī)是指2個(gè)同類模塊同時(shí)處于正常工作狀態(tài),相互之間能正常通信,知道對(duì)方的存在。當(dāng)2個(gè)模塊中只有一個(gè)在工作時(shí),則稱為單機(jī)。因此單機(jī)和雙機(jī)只針對(duì)某種模塊而言。1.3監(jiān)控記錄模塊在雙子系統(tǒng)中,所有帶CPU的模塊都通過CAN通信總線向外廣播自己的信息。同類模塊向CAN通信總線廣播的信息種類是一樣的,但具體數(shù)值卻不一定相同。比如A機(jī)和B機(jī)的監(jiān)控記錄模塊都對(duì)本子系統(tǒng)的色燈信號(hào)、列車速度等進(jìn)行采樣,A機(jī)采得的速度和B機(jī)采得的速度就不可能完全一樣,即使相差0.1km/h,通過四舍五入可能就變成相差1km/h;同時(shí)它們也會(huì)產(chǎn)生各自的控制命令,二者也不一定完全一致。為了保證CAN總線上和運(yùn)行記錄中同類數(shù)據(jù)的唯一合法性,規(guī)定只以其中一個(gè)模塊的數(shù)據(jù)為合法代表,總線上其他的模塊都以這個(gè)模塊的數(shù)據(jù)作為依據(jù)。這個(gè)模塊自然而然就成了主機(jī),同類中的另一個(gè)模塊則成了備機(jī)。主機(jī)和備機(jī)的識(shí)別可以不在同類模塊內(nèi)部進(jìn)行,其他模塊可以根據(jù)自己的標(biāo)準(zhǔn)選擇誰是主機(jī)誰是備機(jī),但這僅僅針對(duì)那些區(qū)分原則十分簡(jiǎn)單的模塊。監(jiān)控裝置的核心模塊為監(jiān)控記錄模塊,它實(shí)現(xiàn)幾乎所有的控制功能和記錄功能,并產(chǎn)生大量的重要信息,是整個(gè)監(jiān)控系統(tǒng)信息鏈的源頭。因此我們通常所說的主機(jī)、備機(jī)、單機(jī)、雙機(jī)均只針對(duì)該模塊而言。2監(jiān)控記錄模塊的冗余2.1主備機(jī)和備機(jī)的比例對(duì)保護(hù)安全性能的影響為了使整個(gè)系統(tǒng)簡(jiǎn)潔高效、動(dòng)作協(xié)調(diào),規(guī)定監(jiān)控記錄模塊的主備識(shí)別由模塊內(nèi)部完成。主、備機(jī)確定后分別以主機(jī)和備機(jī)的身份對(duì)外通信,這樣對(duì)所有其他模塊而言,有同樣的主機(jī)和同樣的備機(jī)。主機(jī)和備機(jī)并不是固定的,而是通過一定的原則確定。A機(jī)的模塊和B機(jī)的模塊都有可能成為主機(jī)。在雙機(jī)系統(tǒng)中,正常情況下只有一個(gè)模塊為主機(jī),另一個(gè)模塊為備機(jī)。多主或無主狀態(tài)均視為主備不定的非常狀態(tài),只允許短時(shí)間內(nèi)或瞬間存在,比如模塊上電復(fù)位時(shí)。主機(jī)模塊具有最終的決策權(quán)。它決定采樣信號(hào)的取值、輸出命令的產(chǎn)生、列車位移的計(jì)算、監(jiān)控模式的控制等。當(dāng)自身硬件無法行使控制權(quán)時(shí),它可通知備機(jī)行使控制權(quán)。備機(jī)模塊除了接收主機(jī)的指令行使有限的控制權(quán)外,不能自作主張行使授權(quán)以外的控制權(quán);它自身仍然產(chǎn)生內(nèi)部命令,但只是作為主備機(jī)是否同步的判斷依據(jù),不會(huì)產(chǎn)生實(shí)際的動(dòng)作。備機(jī)向外發(fā)布的信息只是本機(jī)的原始信息,而主機(jī)向外發(fā)布的信息則是從主備機(jī)的同類信息中根據(jù)約定的冗余設(shè)計(jì)規(guī)則挑選出來的。主備機(jī)不定的模塊可以行使有限的控制權(quán),以避免主備機(jī)確認(rèn)之前系統(tǒng)處于失控狀態(tài)。所謂有限的控制權(quán)指模塊行使直接影響安全性能的控制權(quán),比如緊急制動(dòng)輸出;但不行使與安全因素關(guān)系不大的控制權(quán),比如雙針表的驅(qū)動(dòng)。2.2主備機(jī)的確認(rèn)2.2.1主備識(shí)別信息的發(fā)送由于監(jiān)控記錄模塊涉及到記錄的連續(xù)性,在2個(gè)模塊都正常的情況下,原來為主機(jī)的模塊在下次開機(jī)運(yùn)行時(shí)應(yīng)當(dāng)繼續(xù)成為主機(jī)。為此,每個(gè)模塊都記錄有一個(gè)標(biāo)記,以說明本機(jī)最后一刻作為主機(jī)的時(shí)間,簡(jiǎn)稱時(shí)間戳。只有主機(jī)才能時(shí)刻刷新這個(gè)時(shí)間戳。并且不管是主機(jī)還是備機(jī),正常工作時(shí)都定期向?qū)Ψ桨l(fā)送本機(jī)的主備狀態(tài)、A/B機(jī)標(biāo)志、時(shí)間戳等主備識(shí)別信息。模塊在上電或復(fù)位時(shí)首先工作在主備不定的狀態(tài),等待與對(duì)方通信確認(rèn)。任一模塊收到對(duì)方的主備識(shí)別信息時(shí)立即與本機(jī)的相應(yīng)信息進(jìn)行比較,以確定自身的主備狀態(tài)。雙方通過比較時(shí)間戳來確定誰是主機(jī)誰是備機(jī),時(shí)間較近的模塊自動(dòng)轉(zhuǎn)為主機(jī),而時(shí)間較早的模塊自動(dòng)轉(zhuǎn)為備機(jī)。2.2.2主備狀態(tài)的確定當(dāng)通過比較時(shí)間戳無法確定(比如時(shí)間完全一樣或新板時(shí)間均無效)主備狀態(tài)時(shí),按A機(jī)優(yōu)先原則,A機(jī)成為主機(jī)。這種狀態(tài)一般只會(huì)發(fā)生在A、B機(jī)都是第一次運(yùn)行時(shí)。2.2.3主備狀態(tài)的影響當(dāng)主備不定的模塊與主備確定的同類模塊(一般是主機(jī))通信后,主備不定的模塊立即轉(zhuǎn)為與對(duì)方相反的主備狀態(tài)。根據(jù)這個(gè)原則,當(dāng)雙機(jī)系統(tǒng)備機(jī)因故復(fù)位時(shí),不會(huì)對(duì)主備狀態(tài)產(chǎn)生任何影響;主機(jī)因故復(fù)位時(shí),原備機(jī)因收不到對(duì)方的任何信息,會(huì)自動(dòng)轉(zhuǎn)為主機(jī),原主機(jī)恢復(fù)運(yùn)行后首先工作在主備不定的狀態(tài),收到對(duì)方為主機(jī)的信息后,自動(dòng)轉(zhuǎn)為備機(jī)。因此,在故障換板時(shí),要求先用機(jī)箱內(nèi)未更換的監(jiān)控記錄模塊開機(jī)運(yùn)行一段時(shí)間,之后再插入新的監(jiān)控記錄模塊,以確保原監(jiān)控記錄模塊能取得主機(jī)權(quán),記錄數(shù)據(jù)不會(huì)丟失。2.3設(shè)置輸出通道的單獨(dú)設(shè)定為了最佳地實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ),在系統(tǒng)中盡可能采用轉(zhuǎn)讓故障通道控制權(quán)的方法而不是普通意義上的主備機(jī)切換時(shí)轉(zhuǎn)讓所有通道控制權(quán)的方法。也就是說,某一通道有故障時(shí),只將該通道的控制權(quán)讓出,原主機(jī)仍為主機(jī),原備機(jī)仍為備機(jī),主備機(jī)并不切換。這樣做,可以使軟件設(shè)計(jì)簡(jiǎn)潔,省去了對(duì)通道進(jìn)行故障優(yōu)先級(jí)排序來確定主備機(jī)的麻煩,還能減少由于頻繁切換,過渡過程中出現(xiàn)難以預(yù)料的失控狀態(tài)。當(dāng)主備機(jī)相同通道同時(shí)出現(xiàn)故障時(shí),視故障部位按故障倒向安全的原則進(jìn)行降級(jí)處理或作系統(tǒng)故障處理。為此,任何輸出通道都可單獨(dú)設(shè)定為是由主機(jī)或是由備機(jī)進(jìn)行控制,任何輸入信號(hào)也可單獨(dú)設(shè)定為是采自主機(jī)還是采自備機(jī)。但最終決策權(quán)在于主機(jī)。當(dāng)主機(jī)因故難以勝任主機(jī)工作時(shí),還是要進(jìn)行主備機(jī)的切換。比如,主機(jī)的地面數(shù)據(jù)ROM故障,而備機(jī)的地面數(shù)據(jù)ROM完好時(shí)等等。主備機(jī)切換的過程為:(1)原主機(jī)向原備機(jī)提出切換申請(qǐng);(2)原備機(jī)復(fù)制主機(jī)的關(guān)鍵數(shù)據(jù)(比如記錄)后答應(yīng)接受申請(qǐng);(3)原主機(jī)轉(zhuǎn)為備機(jī),原備機(jī)轉(zhuǎn)為主機(jī)。2.4系統(tǒng)長(zhǎng)期在一定的區(qū)域內(nèi)發(fā)生嚴(yán)重干擾當(dāng)某一模塊無法與另一同類模塊進(jìn)行通信,時(shí)間超過規(guī)定值時(shí),認(rèn)為這個(gè)模塊處于單機(jī)狀態(tài)。當(dāng)裝置中只安裝了單套子系統(tǒng),或另一子系統(tǒng)的同類模塊不能正常工作或電源模塊故障時(shí),都會(huì)出現(xiàn)這種現(xiàn)象,造成長(zhǎng)時(shí)間的單機(jī)狀態(tài)。當(dāng)某個(gè)模塊瞬間復(fù)位或通信線路偶爾受到嚴(yán)重干擾時(shí)也可能出現(xiàn)2個(gè)模塊間無法通信,從而造成短時(shí)間的單機(jī)狀態(tài)。單機(jī)模塊同時(shí)也是主機(jī)模塊,因此,除非這個(gè)模塊發(fā)生了須按系統(tǒng)故障處理的嚴(yán)重故障,否則它應(yīng)刷新時(shí)間戳并實(shí)施所有的控制權(quán)。2.5熱啟動(dòng)的情況在冷啟動(dòng)的情況下,裝置需要對(duì)相關(guān)硬件進(jìn)行自檢,并對(duì)硬件和軟件進(jìn)行初始化,復(fù)位時(shí)間較長(zhǎng),大約在2～3s。考慮到自檢時(shí)間的離散性,A、B機(jī)電源達(dá)到穩(wěn)定的時(shí)間不完全一致等因素,我們規(guī)定任一模塊在復(fù)位后為了等待與另一同類模塊建立聯(lián)系,時(shí)間至少5s。如果5s后仍無法與另一模塊建立聯(lián)系,則自動(dòng)轉(zhuǎn)為單機(jī)狀態(tài)。在熱啟動(dòng)的情況下,裝置只需對(duì)硬件和軟件進(jìn)行初始化,復(fù)位時(shí)間在1～1.5s。為了使未復(fù)位的一方順利地接管控制權(quán),必須使其在對(duì)方初始化結(jié)束之前便轉(zhuǎn)為主機(jī)。我們規(guī)定在正常工作時(shí),如果某個(gè)模塊與另一同類模塊無法通信,該模塊在0.8s后立即自動(dòng)轉(zhuǎn)為單機(jī)同時(shí)也是主機(jī)狀態(tài)。因此,主備識(shí)別信息幀的發(fā)送周期必須小于0.8s。為了避免偶爾的瞬間干擾引起CAN通信失敗,該信息幀丟失導(dǎo)致不期望的主備機(jī)切換,我們規(guī)定主備信息幀的發(fā)送周期為0.1s。這樣在0.8s的時(shí)間內(nèi),有足夠的理由確定對(duì)方是否發(fā)生復(fù)位或通信故障。這種做法不會(huì)對(duì)安全造成隱患。假設(shè)系統(tǒng)為單機(jī)系統(tǒng),運(yùn)行過程中由于某種原因造成系統(tǒng)復(fù)位,在轉(zhuǎn)為單機(jī)前的5s內(nèi),裝置行使與安全因素有關(guān)的有限控制權(quán)。假設(shè)系統(tǒng)為雙機(jī)系統(tǒng),運(yùn)行過程中如果備機(jī)復(fù)位,不會(huì)對(duì)控制產(chǎn)生任何影響;如果主機(jī)復(fù)位,控制權(quán)在0.8s內(nèi)很快轉(zhuǎn)移到備機(jī),假設(shè)當(dāng)時(shí)列車的運(yùn)行時(shí)速為v,則0.8s內(nèi)列車走行0.22v(m),小于其0.5v的安全距離。2.6故障輸出測(cè)試當(dāng)系統(tǒng)出現(xiàn)雙機(jī)嚴(yán)重故障,無法行使安全監(jiān)控功能時(shí),裝置將控制權(quán)交給機(jī)車乘務(wù)員。如果監(jiān)控記錄模塊出現(xiàn)嚴(yán)重故障,軟件無法運(yùn)行,硬件會(huì)自動(dòng)保證產(chǎn)生子系統(tǒng)故障輸出;如果軟件能夠運(yùn)行且模塊出現(xiàn)下列情況之一,監(jiān)控記錄軟件會(huì)自動(dòng)陷入死循環(huán)狀態(tài),并停止發(fā)送故障電路驅(qū)動(dòng)脈沖,硬件產(chǎn)生子系統(tǒng)故障輸出:(1)本模塊程序ROM自檢失敗,連續(xù)超過2次時(shí);(2)本模塊內(nèi)的CAN-A和CAN-B同時(shí)故障時(shí);(3)本模塊內(nèi)的RAM區(qū)故障時(shí);(4)雙機(jī)系統(tǒng)中,2個(gè)數(shù)字量輸入輸出模塊緊急制動(dòng)回路同時(shí)故障時(shí)。當(dāng)2套子系統(tǒng)同時(shí)產(chǎn)生系統(tǒng)故障輸出時(shí),時(shí)間繼電器將被驅(qū)動(dòng),3min后產(chǎn)生緊急制動(dòng),若不關(guān)機(jī),列車無法正常運(yùn)行。3min的定時(shí)起點(diǎn)以后一個(gè)系統(tǒng)故障開始輸出時(shí)為準(zhǔn)。3復(fù)配系統(tǒng)通信軟件一般在2路can的通信過程中,對(duì)于2路can商LKJ2000型監(jiān)控裝置中所有模塊的冗余基本上都是通過CAN總線實(shí)現(xiàn)的,因此所有帶CPU的模塊在硬件上都設(shè)計(jì)了2路CAN總線。CAN總線本身也是雙套冗余。在軟件設(shè)計(jì)時(shí),為了充分利用硬件資源,2路CAN的通信軟件在初始化、故障檢測(cè)、正常通信過程中都是完全獨(dú)立的,互不干擾。這樣,即使其中一路CAN總線由于某種原因無法進(jìn)行通信,也不會(huì)影響另一路CAN的正常工作。在通信過程中,2路CAN總線同時(shí)發(fā)送或接收信息,這樣可保證系統(tǒng)中即使一個(gè)模塊CAN-A故障、一個(gè)模塊CAN-B故障也能與監(jiān)控記錄模塊保持暢通的通信。為了使所有重要的信息能可靠地送達(dá)目的地,而又不至于導(dǎo)致CAN通信線路太忙,信息堵塞,對(duì)不同的信息根據(jù)其重要程度和刷新頻率采用不同的通信策略。比如刷新頻率快的信息采用循環(huán)廣播的方式,刷新頻率較慢的采用應(yīng)答通信方式等。4剩余支出的具體執(zhí)行4.1采樣信號(hào)的冗余雙機(jī)工作時(shí),同一信號(hào)主備機(jī)的采樣值不可能完全一樣。由于缺乏三取二的硬件基礎(chǔ),我們采用由主機(jī)決定誰的采樣值有效的機(jī)制。4.1.1采樣數(shù)據(jù)的可信程度雙機(jī)工作時(shí),主備機(jī)各自采集本子系統(tǒng)的信號(hào)數(shù)據(jù),進(jìn)行常規(guī)的濾波處理,同時(shí)對(duì)相應(yīng)的通道進(jìn)行自檢,用自檢信息標(biāo)志采樣數(shù)據(jù)的可信程度。備機(jī)在運(yùn)行過程中,不斷地將每個(gè)通道的采樣數(shù)據(jù)和相應(yīng)的自檢信息通過CAN總線傳送給主機(jī),主機(jī)根據(jù)這些信息依照表1的方法進(jìn)行裁決。主機(jī)隨時(shí)將確認(rèn)以后的數(shù)據(jù)作為控制、記錄的依據(jù)通過CAN總線向外廣播。其他模塊只接收主機(jī)廣播的采樣數(shù)據(jù)并作為控制依據(jù)。4.1.2采樣值的確定對(duì)于難以進(jìn)行自檢的采樣信號(hào),根據(jù)故障倒向安全的原則,以保證列車安全運(yùn)行為前提,選擇最壞的、安全系數(shù)較高的采樣值作為確認(rèn)信號(hào)。比如速度,以主備機(jī)中數(shù)值較大的速度為準(zhǔn),這樣,如果數(shù)值較低的速度為真值,最多是犧牲效率但保證安全;如果數(shù)值較高的速度為真值,則控制符合實(shí)際。4.2輸出信號(hào)的冗余在雙機(jī)工作時(shí),主備機(jī)發(fā)出的命令也不可能完全一致。不管怎樣,始終以主機(jī)發(fā)出的命令作為最終命令。4.2.1主備機(jī)輸出加強(qiáng)故障的處理當(dāng)輸出設(shè)備允許主備機(jī)同時(shí)進(jìn)行控制時(shí),按表2進(jìn)行控制?？梢?一旦主機(jī)發(fā)出輸出控制命令,如果主、備機(jī)輸出自檢正常,則同時(shí)控制輸出直至命令結(jié)束,以提高輸出節(jié)點(diǎn)的可靠性,加速輸出過程;如果主備機(jī)輸出自檢都不正常,則對(duì)安全關(guān)系重大的故障進(jìn)行降級(jí)處理。比如,主備機(jī)的緊急制動(dòng)回路同時(shí)故障時(shí),裝置將產(chǎn)生系統(tǒng)故障輸出,通知乘務(wù)員注意;否則仍從主機(jī)輸出。4.2.2輸出設(shè)備無法正常對(duì)于那些只能由主機(jī)或備機(jī)單機(jī)驅(qū)動(dòng)的設(shè)備,比如雙針?biāo)俣缺?當(dāng)主備機(jī)同時(shí)驅(qū)動(dòng)時(shí),電流迭加,顯示失真,這時(shí)可根據(jù)是否可以自檢來確定控制方式。當(dāng)輸出設(shè)備可以自檢時(shí),備機(jī)時(shí)刻將輸出設(shè)備的自檢信息通過CAN總線通知主機(jī),主機(jī)則根據(jù)自檢信息按表3確定由誰控制輸出。可見,只有主機(jī)自檢不正常而備機(jī)自檢正常時(shí),才由備機(jī)控制輸出。當(dāng)主備機(jī)的同一輸出設(shè)備均不正常時(shí),裝置會(huì)根據(jù)故障部位的重要程度作出不同的決策。當(dāng)輸出設(shè)備無法進(jìn)行自檢時(shí),裝置通過乘務(wù)員按鍵干預(yù)來確定誰是命令的執(zhí)行者。乘務(wù)員每干預(yù)一次,輸出控制也在主備機(jī)間切換一次。4.3模式一致性的保證LKJ2000型監(jiān)控裝置仍然是基于地面線路數(shù)據(jù)的車載模式,即將地面數(shù)據(jù)按事先約定的格式存放在裝置內(nèi)。列車運(yùn)行時(shí),實(shí)時(shí)計(jì)算列車的位移,推算列車的實(shí)際位置;然后根據(jù)當(dāng)時(shí)的機(jī)車信號(hào)進(jìn)行相應(yīng)的控制。如果主備機(jī)各自計(jì)算的列車位置不一致,就會(huì)導(dǎo)致二者在控制模式上的差異。主備進(jìn)行切換時(shí)模式突變,容易造成設(shè)備誤動(dòng)作。由于空轉(zhuǎn)的存在,列車的速度和位移均不能只根據(jù)輪對(duì)的轉(zhuǎn)動(dòng)速度簡(jiǎn)單地進(jìn)行計(jì)算,需要增加一些防空轉(zhuǎn)措施,這會(huì)造成主備機(jī)的距離計(jì)算不一致;另外,監(jiān)控裝置通過絕緣節(jié)信號(hào)來修正距離誤差,當(dāng)主備機(jī)接收的絕緣節(jié)信號(hào)時(shí)機(jī)不一致時(shí),會(huì)把本來一致的距離校正得不一致。為此,裝置規(guī)定無論機(jī)車輪對(duì)是否發(fā)生空轉(zhuǎn),備機(jī)的列車位移和列車位置均由主機(jī)通過雙CAN網(wǎng)絡(luò)傳送過來。由于干擾的存在,CAN總線通信失敗造成數(shù)據(jù)丟失是不可避免的。軟件設(shè)計(jì)時(shí),約定主機(jī)傳送的并不是列車的位移,而是相對(duì)最初時(shí)刻所有位移的累加值。這樣,備機(jī)收到后通過前后累加值相減即可得到自上次接收成功以來列車的實(shí)際位移。同樣,備機(jī)也不自主進(jìn)行過絕緣節(jié)校正,而是由主機(jī)校正后將校正誤差通知備機(jī)進(jìn)行修正。列車的位置涉及到車載地面數(shù)據(jù),2000型的地面數(shù)據(jù)十分龐大,欲通過CAN總線將地面數(shù)據(jù)從主機(jī)復(fù)制到備機(jī)是不現(xiàn)實(shí)的。因此軟件采取以下措施:當(dāng)主備機(jī)的地面數(shù)據(jù)不一致時(shí),監(jiān)控裝置發(fā)出警告信息,并自動(dòng)做降級(jí)處理;當(dāng)主備機(jī)地面數(shù)據(jù)完全一致時(shí),主機(jī)在運(yùn)行過程中時(shí)刻將列車所在位置的車站號(hào)、支線號(hào)、側(cè)線號(hào)和地面數(shù)據(jù)指針通知備機(jī),備機(jī)根據(jù)這些信息讀取前方至少4架信號(hào)機(jī)的線路信息,實(shí)現(xiàn)主備機(jī)列車位置的同步?？刂颇Ｊ讲⒉煌耆蕾囉诹熊嚨奈恢?還與監(jiān)控狀態(tài)、機(jī)車信號(hào)的變化、乘務(wù)員的解鎖、列車停車時(shí)機(jī)等諸多因素有關(guān);另外,在同一時(shí)刻,裝置內(nèi)部可能有多條控制模式并存,最多時(shí)可以達(dá)到20多條,因此主備機(jī)控制模式不一致是難以避免的;但是這種差異不允許太大,至少應(yīng)做到主備切換時(shí)難以察覺。無論如何,軟件始終按照限速最低的模式進(jìn)行控制,裝置顯示和記錄的也是這條模式的限速。主備機(jī)可通過比較這個(gè)限速值來簡(jiǎn)單地確認(rèn)二者的模式是否一致:如果