1.本发明涉及机车冗余控制，尤其涉及一种多节点反馈的中央控制单元冗余方法。


背景技术：

2.中央控制单元是轨道交通车辆使用的网络系统主设备，其承担着整车端口轮询与控制功能实现的重要任务，在轨道交通车辆中，无论整车的网络控制系统采用何种总线通信形式，在整车的通讯网络中都存在着多个节点设备，此时就会存在两种故障，一个是节点设备自身故障，一个是连接故障。
3.让两个互为冗余的设备彼此判断对方的生命信号固然是个有效的冗余机制措施，但是它所能解决的问题也是局限的，在长期的运营使用过程中，存在下述几种情况：
4.1)当中央控制单元可以发出端口轮询的指令和整车的控制指令，但是无法收到所有子设备的生命信号，此时分为两种情况，一种为子设备掉线，一种中央控制单元的接收信息能力异常，此时行车具备重大安全隐患，但是由于无法收到整车的完整信息，中央控制单元还会沿用之前的控车指令，在普通车况下，又看不出异常，此处带来的安全隐患较为严重，但是子设备又能够收到中央控制单元的生命信号，此时不能够切为主设备；
5.2)中央控制单元能收到所有子设备生命信号，但是无法收到子设备的全部端口信号，此时也分为两种情况，一种为子设备自身发出的信号异常，一种为中央控制单元的接收信息能力异常，中央控制单元能收到正常的子设备的生命信号，不认为行车异常，此时的行车安全隐患较大；
6.3)当中央控制单元可以收到全部子设备的生命信号以及全部端口信号，但是无法发出全部端口信息，也包括全部的主帧轮询信息，那么就是导致，整车的所有端口只有部分能得到响应。
7.4)当中央控制单元发出全部的主帧轮询端口信息后，如果此时变压器到总线的连接侧出现问题，会导致中央控制单元仍然认为自己发出了全部的主帧信息，但是总线上却没有，此时中央控制单元无法自身判断自己发出信号的异常情况，也是现存方案中，冗余的一个弊端与解决的难点。


技术实现要素：

8.本发明提供一种多节点反馈的中央控制单元冗余方法，以克服技术问题。
9.为了实现上述目的，本发明的技术方案是：
10.步骤1、主中央控制单元、冗余中央控制单元分别执行一个生命周期后，第一生命信号、第二生命信号数值加1；所述第一生命信号为主中央控制单元发送给多个子设备的生命信号，所述第二生命信号为冗余中央控制单元发送给多个子设备的生命信号；
11.步骤2、主中央控制单元、冗余中央控制单元将子设备收到并反馈的第三生命信号分别与发出的第一生命信号、第二生命信号对比：
12.若第一生命信号与第二生命信号的差值，大于阈值，则判断主中央控制单元和冗
余控制单元出错，进行报警；
13.若第三生命信号与第一生命信号、第二生命信号的差值，大于阈值，则判断当前子设备通信异常，进行报警；
14.所述阈值为根据经验设定；
15.步骤3、主控制单元和冗余控制单元执行一个端口周期，主控制单元和冗余控制单元将子设备收到并返回的端口校验进行统计计数，并进行端口校验合格数量对比：
16.若冗余控制单元接受到的端口校验合格数量大于主控制单元接受到的端口校验合格数量，则判断主控制单元通信异常，冗余控制单元转变为主控制单元；
17.若主控制单元和冗余控制单元接收到的端口校验合格数量相等，则对比上一端口周期中主控制单元收到的端口校验合格数量，若数量减少，则判断子设备中出错，进行通信质量报警；继续进行步骤1-步骤3；
18.端口周期包括：主控制单元和冗余控制单元分别向子设备的每一个端口发送实时端口校验码，由子设备的每个端口分别将端口校验码，返回给主控制单元和冗余控制单元。
19.进一步地，根据权利要求1所述的一种多节点反馈的中央控制单元冗余方法，其特征在于，所述执行一个生命周期包括：主中央控制单元、冗余中央控制单元分别将第一生命信号、第二生命信号发送给多个子设备，每个子设备接收第一生命信号、第二生命信号后，将接收到的生命信号返回给主中央控制单元、冗余中央控制单元。
20.进一步地，第一生命信号、第二生命信号均为初始值为1的端口信号，所述第一生命信号、第二生命信号用于判断子设备与中央控制单元之间是否存在异常。
21.进一步地，当冗余中央控制单元切换自身状态为主中央控制单元设备后，主中央控制单元成为冗余中央控制单元，并与主中央控制单元完成生命信号的信息同步，用于防止子设备反馈机制算法异常引起的离线误判断。
22.进一步地，分别通过生命信号机制判断子设备的正常运行数量，结合通过端口校验合格数量判断通信质量，用于避免子设备在线单中央控制单元接受部分端口通信异常的问题，选择主中央控制单元、冗余中央控制单元的切换。
23.进一步地，子设备在线的数量不少于整车三分之二，受到主中央控制系统的监控，以保证总线中的远近端子设备都参与节点反馈。
24.本发明可解决自设备自身发出的信号异常、中央控制单元的接收信息能力异常等通信异常情况的中央控制单元冗余方法，可以有效的规避因中央控制单元引起的行车故障与安全事件，使车辆运行更加安全与稳定。
附图说明
25.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
26.图1为本发明流程图。
具体实施方式
27.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
28.实施例1
29.1、子设备生命信号方案
30.在现有的轨道车辆方案中，由于各系统都由不同的厂商提供，在设计时候为了方便，目前行业内一直使用单向的生命信号判断机制，即子系统和主中央控制单元之间独立判断对方的生命信号是否中断、卡滞等问题，由于设备间的互动性并不好，导致网络系统的优势不能充分发挥，本发明提出了互动方式的生命信号判断机制。
31.将整车的生命信号进行周期性分类，根据多功能列车总线(mvb)的要求，端口周期分为32ms、64ms、128ms、256ms、512ms等，将上述常用的设备端口轮询周期作为5种生命信号类型，主中央控制单元根据每种生命信号周期的特点，在每执行一个端口周期后，将生命信号数值累计加1，同时根据整车的特点，比如在32ms的周期内不同的子设备厂商使用的生命信号数据类型不同，有的厂商会使用32位、16位、8位的数据变量来表示生命信号，主中央控制单元应考虑到厂商的不同带来的数据类型问题，可根据多种数据类型分别计数。
32.主中央控制单元将周期性计数的生命信号值发送给相应周期与数据类型的厂商后，厂商根据收到的主中央控制单元发送的生命信号值作为自身生命信号的值反馈给主中央控制单元，此时厂商的子设备系统可根据主中央控制单元每个周期发送来的生命信号判断主中央控制单元的设备状态，如果生命信号中断、卡滞5个周期，即可判断为主中央控制单元的设备掉线，而主中央控制单元可根据子设备反馈回来的生命信号数值与发给子设备的生命信号数值进行比对，如果数值差额大于5，则认为通讯异常5个周期，可判断子设备掉线。
33.冗余的中央控制单元机箱需要与主设备中央控制单元机箱保持同步的生命信号时钟状态，在冗余中央控制单元机箱上电后，需要与主中央控制单元机箱进行不同周期、数据类型的生命信号校对工作，通过与主中央控制单元的信号同步，使用同样的机制与子设备进行生命信号判断，当冗余中央控制单元判断的子设备在线数量大于主中央控制单元，此时认为主中央控制单元的通信异常，无法正常接收全部子设备的信息，冗余中央控制单元切换自身状态为主中央控制单元设备，同时主中央控制单元重新启动设备，成为冗余设备，上电后，与主设备完成生命信号的信息同步。
34.2、整车端口信号方案
35.由于各厂商的技术水平不均衡，导致一些产商的设备会出现部分端口无法发送数据，在现有的各种网络通信方案中，普遍使用生命信号来代替子设备的通信能力，默认当设备出现端口通信问题，则该设备持有的所有端口都有通信问题，尽管此现象为绝大多数，但是在批量大的项目中，跟容易出现小概率的通信异常现象，根据现场的实际情况，同一设备的端口通信异常较少出现，但其为一个实际发生故障，此时会出现两种情况，一种为子设备端口异常，一种为中央控制单元的主帧发送异常，导致部分端口没有正常被轮询到，为了解决该问题的发生，本方案提出多节点反馈的端口信号中央控制单元冗余机制。
36.将整车n个子设备的网络节点所具有的全部通信端口进行梳理，将每个端口都留有一个字节用来做端口信息反馈，其值的范围0-255，与子设备的生命信号方案一致，需要考虑到端口的通信周期不同，根据端口的通信周期，进行分别计数，中央控制单元将计数发送给子设备的相应端口，子设备根据收到的中央控制单元端口验证信息进行实时反馈，中央控制根据收到的反馈信息判断端口的通信状态，当反馈值与发送值相差3个周期，则认为该端口通信异常。
37.冗余的中央控制单元在上电后需要和主中央控制单元进行一次信号同步，与主中央控制单元的端口校验信息进行同步，同时接收子设备反馈回来的端口校验值，当冗余中央控制单元判断自身收到的端口通信正常数量大于主中央控制单元，此时认为主中央控制单元无法正常发送主帧轮询所有设备端口，冗余中央控制单元切换自身状态为主中央控制单元设备，同时主中央控制单元重新启动设备，成为冗余设备，上电后，与主设备完成生命信号的信息同步。
38.实施例2
39.如图1所示，假使一个网络控制系统中有子设备1～5，每个子设备都具有两个通讯端口对应分别为0x1～10，两个中央控制单元(主中央控制单元和冗余中央控制单元)的信息交互端口为0x11、0x12，所有端口的轮询周期都为32ms。
40.根据本发明方案，主中央控制单元冗余的网络节点为1+5＝6个，对于主中央控制单元来说，其面对的网络节点为1+5＝6个，即子设备1～5网络节点和冗余中央控制单元网络节点，对于冗余中央控制单元来说，面对的网络节点为1+5＝6个，即子设备1～5网络节点和主中央控制单元网络节点。
41.所有端口轮询周期均为32ms，主中央控制单元根据在每执行一个端口周期32ms后，将生命信号数值累计加1，同时根据整车的特点，比如在32ms的周期内不同的子设备1使用32位的数据变量来表示生命信号，子设备2使用16位的数据变量来表示生命信号，主中央控制单元应根据不同的数据类型分别计数，即分别发送32位与16位的生命信号计数分别给子设备1和子设备2。
42.主中央控制单元将周期性计数的生命信号值发送给子设备1～5后，子设备根据收到的主中央控制单元发送的生命信号值作为自身生命信号的值反馈给主中央控制单元，比如主中央控制单元发送生命信号值10给子设备，此时子设备要把10作为自己本周期的生命信号值进行反馈，子设备系统可根据主中央控制单元每个周期发送来的生命信号判断主中央控制单元的设备状态，如果生命信号中断为0、或者卡滞数值10到达5个周期，即可判断为主中央控制单元的设备掉线，而主中央控制单元可根据子设备反馈回来的生命信号数值与发给子设备的生命信号数值进行比对，如果数值差额大于5，则认为通讯异常5个周期，可判断子设备掉线。
43.冗余的中央控制单元机箱需要与主设备中央控制单元机箱保持同步的生命信号时钟状态，在冗余中央控制单元机箱上电后，需要与主中央控制单元机箱进行不同周期、数据类型的生命信号校对工作，即上电后，主中央控制单元将32位和16位的生命信号发送给冗余中央控制单元，冗余中央控制单元收到信号后，将自己的生命信号计数重置，通过与主中央控制单元的信号同步，使用同样的机制与子设备进行生命信号判断，当冗余中央控制单元判断的子设备在线数量大于主中央控制单元，比如，冗余中央控制单元判断子设备在
线数为5个，而主中央控制单元判断子设备在线数量为4个，此时认为主中央控制单元的通信异常，无法正常接收全部子设备的信息，冗余中央控制单元切换自身状态为主中央控制单元设备，同时主中央控制单元重新启动设备，成为冗余设备，上电后，再与主设备完成生命信号的信息同步。
44.将整车5个子设备的网络节点所具有的全部10个通信端口进行梳理，将每个端口都留有一个字节用来做端口信息反馈，其值的范围0-255，与子设备的生命信号方案一致，假使例的通信端口周期一致均为32ms，根据端口的通信周期，进行计数，主中央控制单元将计数发送给子设备的相应端口，子设备根据收到的中央控制单元端口验证信息进行实时反馈，主中央控制单元根据收到的反馈信息判断端口的通信状态，比如，当前周期，主中央控制单元发送的校验值为233，在子设备收到后，将在10个端口均返回校验值233，当反馈值与发送值相差3个周期，则认为该端口通信异常。
45.冗余的中央控制单元在上电后需要和主中央控制单元进行一次信号同步，与主中央控制单元的端口校验信息进行同步，重置自己的端口校验值，同时接收子设备反馈回来的端口校验值，当冗余中央控制单元判断自身收到的端口通信正常数量大于主中央控制单元，此时认为主中央控制单元无法正常发送主帧轮询所有设备端口，冗余中央控制单元切换自身状态为主中央控制单元设备，同时主中央控制单元重新启动设备，成为冗余设备，上电后，与主设备完成生命信号的信息同步。
46.整体有益效果：
47.本发明可解决自设备自身发出的信号异常、中央控制单元的接收信息能力异常等通信异常情况的中央控制单元冗余方法，可以有效的规避因中央控制单元引起的行车故障与安全事件，使车辆运行更加安全与稳定。
48.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。