一种基于安全通信协议的热备冗余监测装置
湖南中车时代通信信号有限公司北京分公司 , 北京 100071
【摘要】在轨道交通信号系统中,对安全等级要求高的设备一般采用2乘2取2安全平台,系统由主机和备机两系构成,每系由2取2结构构成。正常状态下,主机和备机同步运行,实时交互同步数据,从而保持输出一致,当主机发生故障时自动切换到备系。但是,主机和备机之间无法有效防护通信过程中出现的威胁,无法保证同步数据的有效性、实时性,并且对于系统运行中可能出现的双主问题,没有进行可靠的防护,可能造成危险侧的输出。系统运行中备机由于某种原因导致无法热备的情况下,无法快速定位到导致故障的具体位置。现有的自动切换方式,也不便于设备的日常维护升级。
【Abstract】In the rail transit signal system, the equipment with high safety requirements generally adopts a 2-by-2 to take 2 safety platform. The system is composed of the main engine and the standby engine, and each system is composed of a 2-by-2 structure. Under normal conditions, the host and the standby machine operate synchronously and interact with each other in real time to synchronize data so as to maintain consistent output. When the host machine fails, it will automatically switch to the standby system. However, there is no effective protection between the host and standby computer against threats in the communication process, and the validity and real-time performance of synchronous data cannot be guaranteed. Moreover, there is no reliable protection against the possible dual-master problems in the system operation, which may result in the output of the dangerous side. In the case that the standby machine cannot be hot standby for some reason during the system operation, it cannot locate the specific location of the fault quickly. The existing automatic switching mode does not facilitate the daily maintenance and upgrading of the equipment.
【关键词】安全;通信协议;监测装置
【Keywords】security; communication protocol; monitoring device
【中图分类号】TN918 【文献标志码】A
1 技术方案详细描述
1.1 网络架构
本发明提供了一种基于安全通信协议的热备冗余监测装置,该装置基于2乘2取2安全平台,由切换模块和同步模块两部分组成。
切换模块通过旋转开关改变继电器的励磁状态,从而改变主机插件上主机运行信号的逻辑值,达到主机插件的切换目的。
若A机为主系,则驱动A工作继电器吸起(该继电器前接点闭合),此时B工作继电器落下(后接点闭合)。若B机为主机,则驱动B工作继电器吸起(该继电器前接点闭合),此时A工作继电器落下(后接点闭合)。为预防“双主”现象的发生,要求A工作继电器和B工作继电器不能同时吸起,通过将A继电器前接点与B继电器后接点进行串联的方式,在硬件上保证同一时刻只有一个继电器吸起,主机若检测到相应继电器未吸起,则宕机,这样就预防了双主现象的发生。
切机模块同时获取双机的主备状态,进行状态显示及主备切换控制。
同步模块中主机将应用层封装的同步数据交给安全通信层进行二次封装,在通过网络层发送给备机,备机网络层收到主机发送的数据后,交给安全通信层进行校验,检验通过后,将同步数据交给备机应用层进行处理,备机将主机的运算结果与自身的运算结果进行比较,若连续5个周期保持一致则转为热备状态,若连续5各周期比较不一致,则转为脱机状态,同一将具体不一致的内存位置输出到日志,并通过切换模块给出报警。
1.2 状态定义
主用:若当前系处于主用状态,且可正常运行;
同步:若当前系处于备用状态,且发出同步请求;
热备:若当前系处于备用状态,收到主系的同步数据,且连续五个周期通过计算校核;
脱机:若当前系处于备用状态,收到主系的同步数据,且连续五个周期未通过计算校核;
1.3 同步状态图
图1 状态跳转
1.3.1 脱机同步
若当前设备为备系,且为脱机状态,备系发送同步请求后,收到主系回复的同步响应,则由脱机同步。
1.3.2 同步热备
若当前设备为备系,且为同步状态,备系连续收到主系的同步数据,并更新主系接收的外设数据以及设备逻辑状态,输出结果连续5个周期保持一致则由同步热备。
1.3.3 同步主用
自动状态下,联锁主系宕机,则备系由同步->主用,并且联锁主系初始化;
人工强制倒机状态下,备系切换为主系,则备系由同步->主用,并且联锁主系初始化。
1.3.4 同步脱机
若当前设备为备系,且为同步状态,备系收到主系的同步数据,若备系计算的数据结果连续2秒同主系不能保持一致,则由同步脱机。
1.3.5 热备脱机
若当前设备为备系,且为热备状态,备系收到主系的同步数据,若备系计算的数据结果连续5个周期同主系不能保持一致,则由热备脱机。
1.3.6 热备主用
自动状态下,联锁主系宕机,则备系由热备->主用;
人工强制倒机状态下,备系切换为主系,备系状态由热备->主用。
1.3.7 主用脱机
人工强制倒机状态下,主系切换为备系,主系状态由主用->脱机,重新申请同步。
1.4 同步流程
1.5 报文交互
1.6 备系
脱机状态下,备系发送同步请求,同时激活同步请求计时器,在12个周期内未收到同步响应,重复发送同步请求;如果在5个周期内收到同步响应,则关闭该计时器;
同步状态下,更新主系发送的同步数据(主系接收的外设数据+设备逻辑状态),进而计算输出结果;
热备状态下,周期接收主系发送的同步数据,备系根据主系接收的外设数据计算输出结果,并与主系发送的输出结果进行比较;
备系在任何状态下,都周期向主系发送备系数据;
1.7 主系
主系在接收到同步请求的情况下,向备系发送同步响应。
主系周期向备系发送主系接收的外设数据和逻辑运算结果。
2 该装置的创新点及有益效果
①双机之间采用安全传输协议进行通信,能够对通信过程中出的威胁提供保护,保证数据的有效性、实时性;
②主机和备机实时同步运算,主系每周期向备系发送自身的运算输出结果,备系每周期比较自身和主系的运算结果是否一致,不一致则记录导致故障的内存位置并报警,从而快速定位到故障的具体位置。
③本装置中若I系为主系,则会驱动A主用继电器,若II系为主机,则会驱动B主用继电器;若主系检测到相应的继电器未吸起,则宕机;而且通过将A继电器前接点与B继电器后接点串联的方式,保证同一时刻只有一个继电器吸起,从而防止双主现象的发生;
④本装置同时具备手动和自动切换两种方式,大大增加了对设备操作的灵活性,极大便利了日常维护升级。
【参考文献】
【1】孙来平.CBTC热备冗余系统软件安全切换技术的研究与实现[J].城市轨道交通研究,2018(S1):13-16.
| 标准模板:Q/ZS5820.12-2013/OT-TP-20-12/1.0α | 共212页 第0页 | 中车株洲电力机车研究所有限公司 |
