“复兴号”动车组网络控制系统冗余设计

王华伟, 刘金柱, 刘国梁

(中车长春轨道客车股份有限公司 电气研发部, 长春 130062)

0 引 言

“复兴号”动车组为我国自主研发、 具有完全自主知识产权的高速动车组。网络控制系统作为列车控制的神经中枢, 如何在冗余性设计上保证整个系统的安全性及可靠性尤为重要[1-2]。笔者在中车长春轨道客车股份有限公司生产的8辆编组“复兴号”动车组(以下简称“复兴号”动车组)设计过程中在硬件和软件上提出了冗余性措施, 以期对高速动车组网络系统冗余设计提供一定借鉴。

1 考虑因素

网络控制系统与整车电路原理、 功能、 各子系统具有深度融合的特点, 甚至整车在某些功能设计过程中会由于使用不同的网络系统或配置而采用不同的方案。在网络控制系统冗余性设计时, 需至少考虑如下几方面因素。

1.1 用户对冗余性的要求

通常市场项目的技术招标文件中对网络控制系统的部件需遵循的标准及冗余性有具体要求, 如“复兴号”动车组招标技术条件中明确要求在1车和8车各设置两个互为冗余的中央控制单元。

1.2 相关标准对冗余性的要求

网络控制系统在设计过程中应充分遵循相关标准[3-5], 目前一些标准体系已相当成熟, 如标准GB28029或IEC61375中对列车通信网络, 明确规定MVB(Multifunction Vehicle Bus)和WTB(Wire Train Bus)总线需冗余配置。

1.3 整车电路原理

整车电路原理对网络控制系统的冗余性设计也具有一定影响, 如网络控制系统部件的供电电源为DC110V, 由列车蓄电池供电。蓄电池供电分3路, 一路BD(蓄电池直接供电)给关键负载如制动系统供电, 另外两路BN1(蓄电池正常供电1)和BN2(蓄电池正常供电2)分别给不同低压用电设备供电。网络控制系统冗余设备在设计时分别接入BN1和BN2, 真正实现冗余设备供电的冗余； 另外, 对一些变化较快的信号, 需考虑软件及硬件的双重冗余保护策略, 如高压电压或电流的保护, 虽然在软件中设置了保护值进行相应保护, 但考虑到硬件具有更快的响应速度, 通过硬件检测并在主断路器或受电弓控制回路中增加影响保护触点, 在采集信号超出设定值后, 进行断主断或降弓保护动作。诸如此类的设计需要在方案设计阶段在安全、 可靠性及经济上进行综合考虑。

1.4 功能性要求

网络控制系统需根据各个子系统确认所需实现的功能, 制定与各子系统的通信协议, 在满足总线通信负载率要求的前提下, 可与某些子系统适当增加冗余端口, 以保证重要信号的通信； 根据各系统和整车电气需求, 统计网络控制系统的硬线输入输出信号, 并根据功能对安全性及可靠性的不同需求确定需要进行冗余设计的输入输出信号, 最终统计出所需的输入输出设备的配置。一般原则是安全相关的器件及设备应配置冗余采集点, 输入输出模块应预留至少10%的接口[6-9]。

1.5 冗余部件安装空间

网络控制系统部件一般安装在车辆电气柜内或司机台(显示屏), 在方案设计初期就需考虑哪些部件需冗余, 根据车辆给网络系统预留的安装空间, 提出网络硬件部件尺寸的要求。部件的冗余需考虑整车轻量化设计、 装配及布线的便利性及维修、 维护和操作便利性等因素。

2 网络控制系统冗余设计

图1所示为网络控制系统的拓扑结构示意图。8辆编组“复兴号”动车组网络控制系统遵循GB28029或IEC61375标准进行设计, 列车网络控制系统的列车总线采用WTB总线和ETB(Enterprise Task Bus)总线, WTB总线用于不同牵引单元之间的数据传输, ETB总线用于传输故障诊断、 事件记录、 显示信息、 软件上载和故障数据下载等[10-13]。车辆总线采用MVB总线, 用于本牵引单元内部的数据传输。

图1 “复兴号”动车组网络控制系统拓扑结构图Fig.1 Topology structure diagram of renaissance EMU network control system

综合考虑网络控制系统设计的各种因素, “复兴号”动车组在硬件和软件上进行了冗余设计。

2.1 硬件冗余设计

2.1.1 通信线路冗余

WTB物理层上采用两根冗余的双绞线(A线和B线), 一条定义为信任线, 另一条定义为监视线, 如果信任线(假定为A线)出现故障, 网关上的冗余控制单元将切换B线为信任线, 对网关之间通信没有影响； 总线MVB具有冗余结构, 有线路A、 线路B两路通道, 如果冗余通道中的一条发生故障, 网络MVB通信不受影响。

工业以太网列车总线采用总线型拓扑结构, 两路以太网列车总线实现冗余传输。如果其中一条电缆发生故障, 以太网通信仍能保持正常； 在布线方面, 冗余的WTB总线通过布置在车端两侧的两个连接器跨接到下个车厢； 在MVB网段内部过车端连接器之前配置了分线盒, 将4芯的MVB总线分为两路, 也分别通过布置在车端两侧的两个连接器跨接到下个车厢, 防止使用单个车端连接器导致在连接器发生故障时MVB通信完全中断。

2.1.2 输入输出信号冗余设计

图2 IOM冗余设计示意图Fig.2 The schematic of IOM redundancy design

如图2所示为在一节车厢中两个冗余的输入输出模块(IOM)的冗余设计示意图。两个IOM模块的电源由供电支路BN1和BN2提供, 实现供电冗余。为实现对监控设备的可靠监视和控制, 网络控制系统一般对关键器件或设备的状态进行冗余采集, 如图2中IOM1和IOM2的DI板卡对同一个监控对象采集, 可能是监控对象内部的开关, 也可以是中间继电器不同的辅助触点； 对关键设备的数字量输出(DO)需进行冗余设计,图2所示为两个IOM对同一个监控对象进行并联输出的例子, 至于冗余DO信号需要并联还是串联输出需根据不同的电路和功能具体分析。

2.2 设备冗余

“复兴号”动车组网络控制系统对多个设备进行了冗余设计。

2.2.1 中央控制单元及网关冗余

“复兴号”动车组中央控制单元(CCU: Communication Control Unit)和网关集成在一个机箱里, 且每个机箱分路供电。每个牵引单元车有两台互为冗余的CCU, 一台为主CCU, 另一台为从CCU。若主CCU发生故障, 从CCU接替其工作； 如果主CCU机箱中的网关故障, 则CCU进行主从切换。无论是单个CCU故障还是单个网关故障, 均不影响车辆正常运行。

2.2.2 IOM冗余

各节车IOM模块均进行了冗余配置, 若任意车厢的单个IOM模块发生故障或断电, 列车功能不受影响。

2.2.3 高压控制单元冗余

“复兴号”动车组在3车和6车配置了高压控制单元, 用于对网测电压电流监测、 主变压器电压电流监测、 主变压器状态、 泵及风机的控制。该设备也进行了冗余配置, 单个部件故障不会影响整车功能。

2.2.4 中继器冗余

一个中继器模块中包含两个冗余的中继器单元, 每个中继器单元都有独立电源以及针对每条线路的独立收发器。当一个模块发生故障时, 另一个模块仍然可对MVB总线信号进行中继传输。

2.2.5 显示屏冗余

动车组两端司机台上分别配置两个互为冗余的显示屏, 正常情况下, 左显示屏为牵引界面, 右显示屏为制动界面。若一个显示屏发生故障, 另一个显示屏可完全替代故障显示屏。

2.3 软件冗余设计

2.3.1 硬线与通信信号的冗余设计

动车组各子系统接收列车信息的来源有多种： 从自身系统的传感器、 继电器等采集到的信息； 从车辆电路采集到的硬线信号； 从MVB接收到的信息。其中某些从车辆电路采集的硬线信号也可以由网络控制系统采集后通过MVB信号的形式发送给子系统[14]。

使用硬线信号还是MVB信号与该信号所参与实现的功能有密切联系。如制动指令的获取, 考虑到其涉及到安全功能, “复兴号”动车组规定制动系统辨识制动级位时, 只采集来自手柄的列车硬线信号, 而网络控制系统同时也把采集到手柄级位以MVB信号发送给制动系统, 制动系统仅使用该信号进行与硬线信号一致性的故障判断[15-16]。

在用于判断总风管压力低的功能中, 网络控制系统同时采集制动系统的MVB信号及压力开关硬线信号, 考虑到制动系统发送的MVB信号精度更高, 而压力开关检测误差较大, 且判断总风管压力低的功能涉及到的安全级别较低, 网络控制系统优先使用MVB信号。

综上, “复兴号”动车组对硬线信号和MVB信号的选择遵循原则是： 涉及到安全功能, 硬线信号优先; 而对非安全功能, 则可以根据具体功能进行分析后确定优先使用那种类型的信号。

2.3.2 输入输出信号软件冗余设计

CCU对IOM或高压控制单元采集的数字量输入(DI)、 模拟量输入(AI)及DO信号的处理涉及如下几个方面。

2.3.2.1 信号的默认值选择

CCU对IOM采集信号的默认值需进行设置, 特别需要考虑所选择的默认值在CCU初上电或与IOM完全失去通信时能否引起输出为不确定值或错误值。至于那些DI或DO信号的默认值为1, 那些为0, 需要针对不同功能具体分析确定。

2.3.2.2 冗余信号逻辑运算

对两个冗余的DI信号, 在CCU的逻辑中是使用逻辑“与”还是“或”的关系, 还是两个信号进行优先级的判断后再取值, 往往需要从可靠性及可用性两方面考虑。如对钥匙占用功能的判断, IOM采集了钥匙继电器的两路信号, 如果从保证车辆的可用性方面设计, 软件里应该对两个冗余信号取“或”, 只要有一个DI信号为占用状态, 则判断为有钥匙占用； 而如果从保证车辆的可靠性方面设计, 软件里应该对两个冗余信号取“与”, 即必须两个DI信号同时为占用状态时, 才判断为有钥匙占用。最终方案选择了可用性方案, 原因为司机室占用判断功能安全相关级别低, 列车的牵引和制动状态还需考虑方向、 牵引制动指令等条件[17]。

从上面可以看出, 每个冗余信号在软件上的处理都要从可用性及可靠性两个方面综合判断, 只有每个信号考虑最佳的处理方式, 整车的性能才能得到提升。

2.3.2.3 冗余IOM的故障判断

IOM故障的判断也对冗余设计有着重要作用。一旦某节车的两个IOM中发生故障, CCU应能及时判断出故障, 不采集该故障IOM的信号。IOM的故障一般是供电异常和IOM板卡故障。针对IOM通信异常的判断, 网络控制系统采取硬件底层的宿端口监视及生命信号监视两种手段, 当CCU在一定时间内检测到宿端口监视报告通信故障或生命信号不更新, 则判断该IOM异常, 软件中只采集正常工作的IOM信号。

2.3.3 不同信号来源的冗余设计

网络控制系统从各子系统汇总整车的状态数据, 往往涉及到如何综合处理从不同子系统收集的信息问题。

以整车速度的计算为例： 列车制动系统、 牵引系统和全球定位系统(GPS: Global Positiony System)均采集列车速度, 而整车速度利用这3类速度进行计算。考虑制动系统速度信号最稳定, GPS信号最精确但不稳定, 而牵引系统速度信号相对误差较大, 确定了整车速度计算方案： 优先选择最稳定的制动系统速度信号, 制动信号无效时选择牵引系统的速度信号, 并利用绝对速度最精确的GPS信号进行校正补偿[18-20]。

对有多个信号来源的功能, 首先需辨别那个是最精确的信号, 那个是最稳定的信号, 那个是备用的信号。在软件设计时综合考虑上述因素, 选取最优的算法。

3 结 语

网络控制系统单个部件的可靠性和稳定性的提升是各硬件生产厂家一直在努力追求的目标, 但硬件的故障率不可能降低为零, 从而网络控制系统冗余性设计就显得尤为重要。良好的冗余性设计能在动车组安全的前提下最大限度的保证列车的运营。“复兴号”动车组已经批量运营在京沪高铁, 网络控制系统在偶发单个部件的故障时不影响运营, 充分验证了冗余设计的良好效果。