许 杰 杨 川
(中车长春轨道客车股份有限公司国家轨道客车工程研究中心,130062,长春//第一作者,工程师)
HMI(人机界面)是轨道交通列车监控管理系统(TCMS)的重要组成部分,是司机和维修维护人员监视和控制列车运行状态的重要平台[1]。HMI 的可靠性直接影响着TCMS的可用性,对整个列车的安全行驶发挥着至关重要的作用。列车运行途中偶发黑屏等显示器硬件设备故障以及通信故障等紧急问题,按照相关操作规程需停车进行处理,因此易形成临停、列车晚点等重大安全责任。鉴于此,本文从硬件配置和软件控制策略两方面详细介绍了动车组列车HMI冗余设计方法[2],以提高列车运行的安全系数。HMI多重冗余设计将大大提高列车监控系统的整体稳定性和可靠性,增强其应急处理能力,从而更好地保障列车行车安全。
动车组列车HMI可对连接到总线上的子系统状态,以及列车的基本运行数据、状态信息和故障诊断信息进行监视和存储,是列车司机、乘务员和其他工作人员与列车交互的主要渠道,也是列车诊断系统的重要组成部分[3]。列车HMI主要具备列车状态显示、故障报警与提示、数据配置、列车运行控制、视频信息显示等功能,具体描述如下:
1) 列车状态显示:对各子系统工作状态、故障信息和操作维修提示信息进行集中显示。显示内容包含但不限于牵引、制动、辅助、高压、车门、空调等系统的状态,以及连接至MVB(多功能车辆总线)的软件版本信息。
2) 故障相关数据提示、记录、操作策略: 故障报警信息包含故障代码、故障描述、故障发生(恢复)时间、故障发生车辆位置、应急处理措施等,故障报警提示同时可有蜂鸣器提示音。
3) 数据设置: 在HMI上显示各动车和拖车的重要运行数据、所有车辆的故障信息以及建议的故障处理对策。维修人员可在HMI上查看各车发生的历史故障。
4) 控制命令:可通过HMI发布部分控制操作指令,根据HMI的不同工作模式可以发布不同的操作控制指令。
5) 视频信息显示:通过以太网数据,将需要进行显示的视频信息进行播放,如弓网监测信息、乘客报警信息等。
HMI在整个车辆上发挥的作用如图1所示。
图1 HMI与其它电气系统的连接关系图
HMI由开关电源板、液晶显示屏、触摸屏、主板、通信板等组成,如图2所示。
图2 显示屏的硬件组成结构图
针对动车组列车显示屏在修改参数和查看数据时操作复杂、电磁环境复杂、可靠性不高的问题,采用触摸屏与按键互为冗余的显示屏硬件设计方式[4],触摸屏和按键配合使用或独立使用完成显示屏各种操作的功能,提高了显示屏在各种复杂使用环境下的可靠性和简洁性。
显示屏采用嵌入式实时操作系统来实现其各项具体功能。嵌入式实时操作系统的核心是CPU(中央处理器)和任务,触摸屏和按键各使用一个独立的线程来完成键值和触摸位置的采集及后续处理工作。
在按键面膜上采用有形有感按键:①数字键有1、2、3、4、5、6、7、8、9、0等;②鼠标选择键有C、←、→、↑、↓、E等;③功能键有电源键、语言切换键、帮助建、故障查询键、故障提示键、亮度调节键、昼夜模式切换键、左右切换键等。
仪表的触摸屏和按键既可以配合使用,亦可以独立使用,完成显示屏的各种操作,简化了用户的操作,降低了维护成本,能够有效克服由于按键或触摸屏任一方故障无法使用的问题,延长了使用寿命,提高了网络控制和诊断系统的可靠性[5]。
列车显示屏作为列车控制和诊断系统的显示终端,需要与TCMS保持良好通信。为保证列车设备状态和故障数据的及时更新,以及控制指令的及时和准确传输,本文采用传输速率高(100 Mbit/s)、软硬件产品丰富的工业以太网作为通信传输介质。
基于实时以太网的列车网络系统采用ETB(以太列车骨干网)和ECN(以太组网)两层架构[6-8]。其中,ETB用于列车级网络通信,ECN用于车辆级网络通信。列车级采用总线结构,车辆级采用环网结构。该系统具备骨干网络的传输速率(100 Mbit/s)、网络单点故障恢复时间不大于50 ms、骨干设备实现毫秒级同步3大优点。列车以太网双向环路冗余通信设计拓扑结构如图3所示。
图3 列车以太网双向环路冗余通信设计
为提高显示器的通信质量和可用性,避免通信故障的出现,在以太网骨干网络拓扑结构中,主干路和与HMI相连的重要设备部件均采用冗余设计,具体方案如下:
1) 列车级ETBN(以太骨干网交换机)布置于两端的头车,其中同一端的ETBN间为相互冗余关系,ETBN间通过两路独立的以太网线相连,两个头车之间的ETBN通过以太网中继器进行信号强度补偿。
2) 骨干网络和编组网络均具有链路汇聚功能[9]。ETBN具有端口聚合和旁路功能,当其发生故障或不上电时,能保持以太网总线的连续性,不会影响线路两端节点的通信,保证了线路的冗余。聚合线路标志为A、B,分别表示A线、B线。即在方向1上采用A1、B1标注线路信息,在方向2上采用A2、B2标注线路信息。A1线路与A2线路间以及B1线路与B2线路间为掉电导通。链路汇聚功能空间关系如图4所示。
图4 链路汇聚功能空间关系
3) CCU、RIOM(列车远程输入输出模块)等双网口设备可以同时连接到这2台ETBN交换机上,实现设备链路的冗余。头车的CCU可实现互为热备冗余,通过对全列车的子系统进行控制和诊断,保证HMI的数据来源的准确性[10]。
4) 车辆级ECN布置于1车至8车中,可对本编组内的以太网数据进行高速转发。
5) 同一司机室内的TD_HMI(主控显示屏,默认为HMI1)、TS_HMI(从控显示屏,默认为HMI2)之间有直连的以太网回路,可进行数据同步和备份,TS_HMI可对TD_HMI的心跳信号进行时时监测。
动车组HMI软件控制策略采用主从式冗余设计。为了提高HMI的使用性,在每个头车设置两个HMI相互冗余,这两个HMI在硬件和软件配置上完全相同(相同的硬件设备、控制功能、数据端口配置表以及同一套应用层控制逻辑软件),且两个显示屏分别担任不同的功能任务。两个显示屏采用左右式布局初始化上电时,通过读取不同的配置文件,人为地将显示器划分为主、从显示屏,其设置流程如图5所示。
图5 显示器默认主从设置流程
TD_HMI是列车的控制台,负责列车控制命令信号的发送,可进行制动试验、联挂解编、自检测试、数据修改等操作,同时其具备所有与HMI相连的设备状态的显示功能,可对系统状态数据进行融合,实现整车的综合诊断。TS_HMI是列车的辅助显示屏,仅具备监视功能,可辅助TD_HMI进行整车设备状态的诊断和显示,便于司机在不退出当前操作的情况下,查看列车各子系统状态。主从显示器设备功能如表1所示。
表1 主从显示器设备功能列表
TD_HMI、TS_HMI的界面冗余设计,可实现TS_HMI发生故障时,列车操作和控制完全不受故障影响;TD_HMI发生故障时,TS_HMI辅助司机,显示重要设备信息,完成紧急操作。两个显示屏的界面冗余设计使显示屏不可用故障发生的可能性大大降低。
3.2.1 基本原理和功能
同一司机室内的两个HMI互为冗余设备,上电启动时,HMI1先以主设备模式工作,HMI2以从设备模式工作,两个HMI间通过特定端口相互通信,检测对方的状态。当两个HMI有主从切换的必要时,将进行主从切换。主从设备相互配合,TS_HMI是列车的辅助显示屏,始终监测主屏TD_HMI的心跳信号,在TD_HMI正常运行的情况下,TS_HMI仅具备监视功能。而当TD_HMI发生故障时,通过HMI主从冗余控制模块,实现TD_HMI的所有功能;当TD_HMI恢复时,TS_HMI会自动恢复到辅助显示屏模式。此外,HMI主从冗余控制模块还能够对主从控制数据的交换端口进行定义和监视。
HMI冗余控制模块主要包括:
1) 模块配置:模块版本,发送/接收端口配置,发送/接收控制信息。
2) 主从请求:设置主从请求,清除主从请求,抑制主从请求。
3) 主从切换:通信协议复位,分析主从切换请求模块,监控主从切换模块。
3.2.2 软件冗余主从监视端口设计
为了通过以太网发送过程数据及处理TD_HMI、TS_HMI的主从选择和主从切换请求,特对TD_HMI、TS_HMI设计了两个相互独立的主从通信端口(简为“HMIDS端口”)。
HMIDS1端口传输从TD_HMI到TS_HMI之间的通信数据,HMIDS2端口传输从TS_HMI到TD_HMI之间的通信数据。HMIDS1和HMIDS2的参数设置相同,且通信端口有4个。端口数据的传输方向与这2个HMI的主从状态无关,由HMI的设备位置决定。通过这2个HMIDS在HMI程序软件中的端口类型固定配置来确定数据的传输方向。HMIDS端口配置及传输方向如图6所示。
图6 HMIDS端口配置及传输方向
在4个HMIDS端口中定义3个端口用于主从切换的信号,分别是D_REQ(主设备标志)、MASTER_STA(主从状态)和TDHMIOK_STA(主显示器正常状态)。辅助传输的输入输出全局变量如表2所示 。
表2 辅助传输的输入输出全局变量表
以太网多端口监视的方法可有效限制和避免2个从HMI的出现。当1个或1个以上以太网通信端口在接收过程数据时,可以认为以太网通信网络正常。仅当所有被监视的以太网端口均不接收数据时,才可以判定以太网通信网络发生故障。此时可通过增加或减少以太网监视端口的数量,使以太网通信状态监视仅在与一定数量的端口或者与一定的端口通信受阻时才做出响应。
3.2.3 参数设置
3.2.3.1 延时参数设置
由于相互监视的HMIDS端口数据通过以太网总线进行传输,因此HMI软件设计中包括多个延时单元,部分延时单元的参数(*D_REQDALY、*D_2REQDALY、*D_RESCLEAR)由HMIDS端口的总线循环时间和为功能包选择的主程序扫描时间决定,即这些参数可借助设计数值进行精确调整。一般按照32 ms的HMIDS端口循环时间和200 ms的主程序扫描时间来确定上述参数取值。具体的参数设置如表3所示。
表3 延时参数设置
3.2.3.2 预设的主从配置文件
将预先设定的显示屏类型配置文件,以.txt的形式下载到目标机中。在HMI程序启动初始化的过程中,通过读取显示屏类型的配置文件HMITYPE.txt,将显示屏的物理位置currentHMI锁定,具体参数见表4。该方法能够有效地避免主从轮流切换现象,以保持显示屏主从切换的稳定性,具体的读取方法如图7所示。
表4 预设显示器位置参数定义
图7 配置文件HMITYPE.txt读取
3.2.4 软件冗余控制流程开发
3.2.4.1 HMI1优先,主从配置流程
HMI上电,主程序初始化启动,同一司机室内的两个显示屏HMI1和HMI2通过预先设定的配置文件,判断自身所在位置,再分别配置HMIDS端口。
若HMI1设备状态正常, HMI1将被默认为是主显示屏设备。HMI1判断自身为主设备并接收到HMI2为从设备的信号时,HMI1将正式成为主设备,即TD_HMI,HMI2成为从设备,即TS_HMI。 此时HMI1调用主节点监控端口协议表,HMI2调用从节点监控端口协议表,进行HMIDS端口信息配置。配置完成后开始发送接收过程数据,包括D_REQ(主设备标志)、MASTER_STA(主从状态)和TDHMIOK_STA(主显示器正常状态)。程序正常运行时,HMI1主设备标志激活并执行主设备功能,HMI2将执行从设备的功能且HMI2的主设备标志将被抑制。
特殊的情况简述如下:
1) 如果仅HMI2通信板卡出现故障,HMI1接收不到HMI2的从设备信号,在等待*D_REQDALY后确定自身为主设备,故障的HMI2自动成为从设备。
2) 如果HMI1通信板卡出现故障,HMI2未接收到HMI1正常信号TDHMIOK_STA,且HMI2通信板卡正常,则要求进行主从切换,激活自身主设备标志,在等待*D_REQDALY后确认自己为主设备,此时HMI1将自动降级为从设备。
3) 如果以太网通信环路网络或CCU设备出现故障,则网络系统不可用,传输的数据和命令将不被信任,两个HMI将分别删除主设备标志信号且均成为从设备,此时网络进入降级模式。
HMI1优先,主从配置流程如图8所示。
图8 HMI1优先,主从配置流程
3.2.4.2 运行过程中2个HMI主从切换流程
当TD_HMI运行中遇到如检测到自身板卡出现故障、HMI状态不正常或收到强制切换信号等情况时,则将抑制自己的主状态标志,TS_HMI将激活主设备标志,重新进入主从配置流程(与HMI1优先时启动主从配置流程相同)。如果以太网通信环路网络或CCU设备出现故障,则两个HMI的主设备标志位均将被抑制而进入降级模式,成为从设备。
运行过程中2个HMI主从切换流程如图9所示。
图9 运行过程中2个HMI主从切换流程
本文针对动车组列车在运行过程中显示屏出现的一些实际问题,采用冗余设计和故障导向安全设计理念,以及采用传输速率更高、可靠性更好的以太网双向冗余通信,实现了基于以太网双向环路通信的列车HMI多重冗余。充分的冗余设计能够满足设备故障冗余切换的要求,能够有效保证动车组列车运行的可靠性和稳定性,可广泛应用于轨道交通列车的显示屏冗余设计。同时,软件控制策略的开发可使HMI的冗余控制不单纯依赖硬件设备,在很大程度上降低了成本,保障了人机交互系统的可靠性和可用性。采用以太网技术骨干通信环路设计,为动车组智能化、信息化的发展预留了空间,符合下一代网络控制系统的技术发展趋势。