一種新型車載控制及診斷系統部件設計

劉紀龍，吳冬華，苗 欣，李 琳，江守亮，李言民，王 濱，宋慶詳

(中車青島四方機車車輛股份有限公司，山東 青島 266000)

0 引言

近年來我國高速鐵路事業突飛猛進，高速鐵路憑借速度快等特點成為人們不可或缺的代步工具，車載設備安全可靠運行成為關注的重點[1]。隨著現代電機技術、現代電力電子技術、數字技術、微電子技術以及計算機技術等支撐技術的快速發展，車載控制設備數字化、智能化、網絡化、高性能成為發展方向[2]。

安全對于軌道交通行業是個繞不開的話題，因為一旦發生事故通常都不是小事情，會造成人員傷亡、經濟損失以及社會負面新聞等嚴重不良后果[3]。鐵路通信信號系統是保障鐵路運輸安全的基礎之一。隨著科學技術的快速發展，現代鐵路通信信號傳輸技術也向網絡化、智能化和數字化方向發展，實現了鐵路運輸系統的統一調度指揮，保障列車的安全運行，提高了列車運行效率和質量[4]。現代通信技術和計算機聯鎖中的容錯、冗余技術在鐵路通信信號傳輸系統中的應用有助于實現鐵路系統調度通信的一體化[5]。

為使控制及診斷系統的安全可靠運行，新型車載控制及診斷系統部件采用可編程邏輯控制器設計，選用成熟可靠的產品，通過冗余架構設計，使其達到高可靠性。其整體采用組合化及模塊化設計，使設備具有較高的可維修性及擴展性。并且可以通過編程調整控制邏輯，利用控制器的診斷系統快速排除故障。

1 系統工作原理及架構

1.1 系統工作原理

車載控制及診斷系統部件是高速磁浮窄車體車載控制及診斷系統中的重要部件，其功能是將來自車載安全計算機的與安全相關的控制指令發送給車輛子系統，并將子系統發送的狀態監視信號反饋給車載安全計算機。

車載控制及診斷系統部件作為車載控制系統的底層控制設備，安裝在車下，用于車載控制系統的底層數據采集及控制指令下發，指令和狀態監視信號主要有：懸浮、導向、渦流制動、車載電網、車門的相關指令及相應狀態監視信號、乘客緊急報警信號、火災報警信號。

車載控制系統拓撲圖如圖1所示，兩端車的任一車載安全計算機發出的指令信號到達各車的車載控制及診斷系統部件后，經過內部接線端子分配，將信號同時發送到本車的兩個車載控制器。車載控制器內的冗余PLC間采用總線通訊，主副PLC同步將接收到的指令信號進行放大、增強處理后發送給相應的車載設備。當其中一個車載控制器故障時，車載設備仍能接收到正常的控制指令。

圖1 指令信號數據流向

1.2 系統冗余架構

車載控制及診斷系統部件所傳輸的控制指令及狀態信號是高速磁浮窄列車控制及診斷系統的重要信號，該設備的安全可靠性對于全車的安全可靠運行至關重要。本設計采用冗余架構的安全PLC實現邏輯判斷程序及信號傳輸的穩定可靠[6]。

列車控制系統為達到高可靠性，廣泛采用雙機熱備結構的信號設備.雙機熱備結構的安全性由每個通道(單機)的自診斷與故障安全輸入、輸出保證[7]。每個通道的單一處理器模塊診斷該通道是否發生錯誤，邏輯上存在自己診斷自己的安全“盲點”.為了解決這個問題,可以在傳統雙機熱備結構的每個通道中設置雙處理器模塊,雙處理器模塊互為冗余備份,或者相互監督,或者構成監督與被監督關系,在此稱這樣的系統為四模冗余(QMR,quadruplemodular redundant)系統[8]。QMR系統由兩個通道組成,兩個通道互為熱備關系.每個通道包括雙處理器模塊和輸入/輸出(I/O)模塊。處理器模塊包括中央處理器、存儲器和外圍控制邏輯等[9]。I/O模塊完成數字量、模擬量、脈沖量輸入輸出功能，還完成各種外部通信功能。一般來說，每個通道使用同一組電源,兩個通道分別使用兩組電源。QMR系統中每個通道的雙處理器模塊互為冗余備份關系時,可以與雙輸入/單輸出模塊配合[10]。

如圖2所示，每個處理器模塊都設置輸入模塊,每個通道包含冗余雙處理器模塊與雙輸入/單輸出模塊[11]。每個通道中雙處理器模塊執行相同的控制程序,輸入相同,兩個處理器模塊的比較數據送入數據,如果比較數據相同,則該通道的輸出模塊正常輸出；如果比較數據不同,則安全關閉該通道的輸出模塊,系統輸出由另一個通道的輸出決定.該結構實際上工作于2乘2取2方式[12]。

圖2 四重冗余結構圖

此結構中,冗余雙處理器模塊能夠工作在時鐘級或任務級同步方式.鐘級同步時,兩個處理器使用同一時鐘，構成緊耦合結構。通過對地址、數據總線上信息進行數據比

較實現2取2[13]。任務級同步時,兩個處理器運行不絕對同步,構成耦合冗余結構。由于存在同步容差,對共模錯誤抑制能力高。但系統的容錯和安全管理功能由軟件完成,需要將應用程序分成若干任務,分別在每個任務之后通過通道內同步總線交換同步信息,同時進行狀態數據和輸出數據比較來實現2取2[14]。

如圖3所示，新型車載控制及診斷系統部件由兩套冗余架構的可編程邏輯控制器組成，形成雙重冗余的架構。底層的指令及狀態分別由四路相互獨立的通道傳遞，車載安全計算機通過冗余通訊鏈路與新型車載控制及診斷系統部件的主可編程邏輯控制器通訊。

圖3 車載控制及診斷系統部件架構圖

2 車載控制及診斷系統部件設計

車載控制及診斷系統部件由車載控制器、車載控制分配板及機箱組成，每個車廂安裝一套車載控制及診斷系統部件，采用定制機箱結構，安裝在車體夾層的抽屜式設備安裝箱內。

2.1 車載控制器硬件組成

車載控制器由兩套冗余架構的車載控制器組成，每套車載控制器由兩組配置相同的可編程邏輯控制器組成。車載控制器選擇德國皮爾茲PSS 4000系列鐵路版本PLC，該系列PLC采用故障-安全型設計，廣泛應用于鐵路領域[15]。

每組可編程邏輯控制器包括：主控模塊、供電模塊、數字量輸入模塊、數字量輸出模塊以及相關附件組成，如圖4所示。

圖4 車載控制及診斷系統部件組成架構圖

主控模塊是車載控制器的CPU，用于控制程序運行，在冗余系統中程序運行在主控制器模塊中，當主控制器模塊故障時會自動切換到副控制器模塊。

供電模塊為車載控制及診斷系統部件數字量輸入模塊供電。數字量輸入模塊用于數字量信號采集。數字量輸出模塊用于數字量指令信號輸出，自帶繼電器。

2.2 信號分配板設計

信號分配卡用于連接航空插頭和PLC模塊，裝有濾波器和直流電壓轉換器，使用高密度的J30J連接器與各設備連接，其功能包括：直流供電濾波、直流電壓轉換、供電分配、控制及狀態信號分配。

由于箱體尺寸限制，機箱內沒有充足的空間安裝電氣線路接線端子，因此設計了兩個尺寸為300 mm×150 mm的PCB板進行信號分配。

車載控制器1和車載控制器2各使用一塊信號分配卡，由于兩組控制器的功能及配置完全相同，因此信號分配卡完全相同。兩組控制器采用相互獨立的電源供電，任意一路電源斷電不會導致設備整體癱瘓。

以懸浮指令為例，如圖5所示，通道1懸浮指令進入車載控制器1，通道2懸浮指令進入車載控制器2，來自前后車的懸浮指令接入主副PLC的DI1通道。按照故障安全原則，車載控制器1的兩個DI采集通道都要接收到前車或后車懸浮信號，PLC即向車載設備發出懸浮指令，任何一路DI采集通道沒有接收到懸浮信號，PLC都不會向車載設備發出懸浮指令，車載控制器2控制原理相同。

圖5 接收懸浮指令原理圖

如圖6所示，PLC控制數字量輸出信號向車載設備發出懸浮指令：車載控制器1和車載控制器2同時通過通道1和通道2發出懸浮指令，主副PLC的數字量輸出通道為串聯關系，要同時發出懸浮指令時懸浮控制器才能接收到信號。接收懸浮指令的車載裝置包括：左側磁鐵控制器、右側磁鐵控制器、車載電網控制器、右側2-1門控器、右側1-1門控器、左側1-2門控器和左側2-2門控器。

圖6 發出懸浮指令原理圖

2.3 控制軟件設計

2.3.1 程序設計

PLC控制系統采用PAS4000軟件開發平臺，PAS4000覆蓋兩個領域。現在可以在同一個用戶界面上找到安全和自動化功能。自動化和安全功能塊簡化自動化程序的創建。

控制程序在4個PLC主機模塊中并行運行，控制程序包含如下程序塊：主程序塊、網絡通訊程序塊、時鐘同步判斷程序塊、輸入信號比較程序塊、輸出信號比較程序塊、主/副PLC控制程序塊。

如圖7所示，PLC間隔20 ms會調用一次主程序塊，主程序塊先調用主/副PLC控制程序塊，控制程序塊通過調用調用時鐘同步判斷功能塊、輸入信號比較功能塊、輸出信號比較功能塊，并為其賦值對應輸入通道的數據，得出各控制指令及狀態信號邏輯判斷結果，將結果輸出給對應的輸出通道。最后調用網絡通訊程序塊用網絡通訊將狀態數據發送給車載安全計算機。

圖7 程序執行順序圖

主程序塊：用于調用各子功能塊，使子功能塊能夠正常運行。

網絡通訊程序塊：與車載安全計算機和相鄰控制器通訊。

主/副PLC控制程序塊：調用子程序塊進行邏輯判斷，并通過數字量輸出信號輸出判斷結果。

時鐘同步判斷程序塊：判斷主副PLC時鐘是否同步，如果不同步則禁止數字量輸出模塊對外發出信號。

輸入信號比較程序塊：時鐘同步的前提下對數字量輸入模塊采集的信號進行比較，如果相同則輸出比較結果。

輸出信號比較程序塊：時鐘同步的前提下對主副PLC輸入信號比較，如果相同則輸出比較結果。

2.3.2 冗余信號判斷比較

根據控制需求信號分為控制指令及狀態信號，控制指令包括：懸浮指令、制動指令、允許上電/斷電指令、釋放受流器指令、釋放左側車門指令、釋放右側指令。

狀態信號包括：懸浮已啟動狀態、導向已啟動狀態、制動檢測通過、服務站無強制停車、車載電網無故障、車載電網無強制停車、車載電網功能檢測通過、火災報警、車門已關閉、乘客報警、懸浮狀態、導向狀態。

如圖8所示，通過時鐘同步信號使主副可編程序控制器可以協同運行，時鐘同步狀態判斷貫穿輸入信號比較、邏輯控制程序、輸出信號比較的全過程，該設計使得主副PLC在信號處理時達到完全同步。

圖8 車載控制及診斷系統部件軟件冗余原理圖

當主副PLC接收到冗余信號輸入時，輸入信號比較功能塊會對主副PLC輸入信號進行比較，主副PLC輸入信號相同且時鐘同步的情況下調用邏輯控制程序。邏輯控制程序對輸入信號進行邏輯控制，主副PLC時鐘同步的情況下控制數字量輸出信號輸出。輸出信號比較功能塊對主副PLC輸出信號進行比較，主副PLC輸出信號相同且時鐘同步的情況下輸出信號。

邏輯可靠性設計如下：主副PLC通訊正常，時鐘同步正常時數字量輸出信號才能發出信號。主副PLC數字量輸入信號全部接收高電平時，數字量輸出信號才能發出高電平信號，否則保持低電平輸出。主副PLC的數字量輸出信號要同步輸出高電平信號，不能單臺PLC輸出高電平信號。

2.3.3 故障診斷

為了將PLC設備的停機時間降到最低。皮爾茲PLC軟件自帶的故障診斷系統提供所有必要信息，以快速修復故障、防止故障以及分析機器狀態。

在運行期間，PLC將系統消息和過程消息輸入診斷列表，每個設備都有自己的設備診斷列表。診斷服務器將項目中所有設備的設備診斷列表合并，形成項目診斷列表[16]。診斷列表僅包含當前消息。一旦錯誤得到修復，該消息就從診斷列表中刪除。診斷信息出現的順序是由診斷信息的優先級決定的[17]。可以很容易找到最重要的信息。在系統診斷中，對第一個故障和隨后故障做了區分。僅報告第一個故障。這避免了診斷列表中出現不必要的消息[18]。除了描述已發生的事件并指明其位置，診斷信息還包含建議的解決方法。這些信息可以告訴操作員采取什么措施、哪個區域受到影響以及由誰負責糾正問題。

2.4 外部通訊

PLC側接口只支持Modbus TCP通訊協議，而整車通訊只有實時以太網協議(TRDP)或CAN總線[19]。因此配置協議轉換器將Modbus TCP通訊協議轉換為TRDP協議，實現PLC與車載診斷系統的數據交互。兩套車載控制器，每套配備一臺通訊協議轉換器，實現冗余的通訊，實時與車載診斷系統進行數據交互，保證系統可靠性[20]。

DUAGON公司型號為D507的第三方網關，帶有兩個硬件以太網接口。網關集成在安裝在DIN導軌上的不銹鋼外殼中。該設備直接由車輛電池供電。

3 試驗驗證及分析

新型車載裝置控制及診斷系統部件分設備結構測試和控制及狀態反饋驗證試驗。

設備結構測試是對設備結構進行低溫工作/貯存、交變濕熱(12 h+12 h循環)、沖擊和振動、仿真分析等，以驗證結構設計的可靠性。

控制及狀態反饋驗證試驗是在正常及故障情況下測試控制及反饋的狀態信號是否正確，以驗證系統運行的可靠性。

3.1 設備結構測試

設計驗證階段通過模擬仿真進行箱體模態分析、隨機振動分析和熱傳導仿真推演。后期將通過開展環境適應性試驗，以評價車載控制及診斷系統部件適應自然和誘導環境的能力；開展驗證工作，用以檢驗新研制的車載控制及診斷系統部件具備穩定可靠的工作效能并具備原有設備的功能指標。根據任務需求方要求，車載控制及診斷系統部件主要試驗內容包括：低溫工作/貯存、高溫工作/貯存、交變濕熱(12 h+12 h循環)、鹽霧、外殼防護等級、靜電放電抗擾度、射頻電磁場輻射抗擾度、電快速瞬變脈沖群抗擾度、浪涌(沖擊)抗擾度、射頻場感應的傳導騷擾抗擾度、工頻磁場抗擾度、沖擊和振動。

3.1.1 模態分析

由圖9可見，結合前6階頻率和振型分析，可以看出前6階振動主要是機箱蓋板的振型，機箱內部PLC模塊的固有頻率高于100 Hz以上，具有良好的剛度。

圖9 整機前6階振型

3.1.2 隨機振動分析

根據GB/T 21563—2018《軌道交通機車車輛設備沖擊和振動試驗》1類B級設備在垂直Y方向施加隨機振動激勵，振動曲線如圖10所示，頻率范圍5～150 Hz，ASD量級1.857 g2/Hz。

圖10 機箱變形圖

從機箱內外部的變形圖可以看出，在外部隨機振動激勵作用下，設備整體的最大變形1.81e～8 mm，變形量很小，主要集中在機箱箱體蓋板及兩側板；模塊最大的變形約為2.1e～9 mm。

從圖11可以看出，在外部隨機振動激勵作用下，設備最大應力8.9e～5 MPz，應力很小，主要集中在機箱結構上；模塊應力可以忽略。

圖11 機箱應變分布圖

根據上述分析，在該隨機振動激勵下，設備具有良好的剛度及強度。

3.1.3 熱傳導仿真推演

條件設置：控制單元內大功率設備主要為4組PLC，控制單元內設備最大總功耗418 W，正常工況下使用功耗為300 W。

外部溫度為25 ℃情況下，通過合理結構設計以及內外部風扇布局，最終設備溫升不超過30 ℃，如圖12所示。

圖12 箱體內部溫度分布云圖一

通過對箱體模態分析、隨機振動分析和熱傳導仿真推演，箱體結構設計能夠達到相關國家標準的要求。

3.2 控制及狀態反饋驗證試驗

3.2.1 試驗設置

為保障控制及狀態信號穩定可靠，車載控制及診斷系統部件采用冗余架構設計，根據該架構設計了驗證試驗。

1)設備運行正常情況下信號可靠性試驗:

通過航空插頭將車載控制及診斷系統部件與車載控制及診斷系統相連，車載控制及診斷系統向車載控制及診斷系統部件發出控制指令，根據電氣設計圖、邏輯關系圖及軟件控制程序檢查各控制器(電網控制器、懸浮控制器、導向控制器和制動控制器)動作是否正確，緊急信號是否正確響應，被控對象應能正確響應控制指令。同時數字量輸出信號及TRDP通訊向外輸出的狀態信號應為正確狀態。

2)設備故障情況下信號可靠性試驗:

(1)將任意一組數字量輸入信號接頭拔掉，模擬任意一組數字量輸入信號線路斷開的情況下，車載控制及診斷系統向車載控制及診斷系統部件發出控制指令，檢查各控制器(電網控制器、懸浮控制器、導向控制器和制動控制器)動作是否正確，緊急信號是否正確響應，被控對象應能正確響應控制指令。同時數字量輸出信號及TRDP通訊向外輸出的狀態信號應為正確狀態。

(2)將任意一組數字量輸出信號接頭拔掉，模擬任意一組數字量輸出信號線路斷開的情況下，車載控制及診斷系統向車載控制及診斷系統部件發出控制指令，檢查各控制器(電網控制器、懸浮控制器、導向控制器和制動控制器)動作是否正確，緊急信號是否正確響應，被控對象應能正確響應控制指令。同時數字量輸出信號及TRDP通訊向外輸出的狀態信號應為正確狀態。

(3)將任意一組控制器供電接頭拔掉的情況下，模擬任意一組PLC故障或斷電的情況下，車載控制及診斷系統向車載控制及診斷系統部件發出控制指令，檢查各控制器(電網控制器、懸浮控制器、導向控制器和制動控制器)動作是否正確，緊急信號是否正確響應，被控對象應能正確響應控制指令。同時數字量輸出信號及TRDP通訊向外輸出的狀態信號應為正確狀態。

3)試驗通過標準:

4組試驗中，車載安全計算機發出指令，經車載控制及診斷系統部件下發給底層設備，觀察底層設備動作與指令一致。車載安全計算機觀察車載控制及診斷系統部件反饋的底層設備狀態與指令一致。

服務站無強制停車、車載電網無故障、車載電網無強制停車、車載電網功能檢測通過、火災報警和乘客報警均為狀態信號，通過人為改變狀態信號，在車載安全計算機觀察狀態信號要與改變的狀態信號一致。

4組試驗中所有信號全部檢測通過才可視為試驗通過。

3.2.2 試驗結果分析

如表1所示，通過4組試驗，得出設備在正常及故障情況下，各控制器(電網控制器、懸浮控制器、導向控制器和制動控制器)動作正確，緊急信號正確響應，被控對象能正確響應控制指令，狀態信號反饋正確。同時數字量輸出信號及TRDP通訊向外輸出的狀態信號為正確狀態。

表1 系統試驗測試表

車載控制及診斷系統部件通過冗余架構，在各種工況下能夠安全可靠的實現控制指令下發及狀態傳輸的功能。

4 結束語

磁懸浮列車是高速運行的交通工具，其車載設備必須具有高安全可靠性。車載控制及診斷系統部件采用可編程邏輯控制器設計，選用成熟可靠的產品，通過冗余架構設計，使得車載控制及診斷系統部件達到高可靠性。其整體采用組合化及模塊化設計，使設備具有較高的可維修性及擴展性。并且可以通過編程調整控制邏輯，利用控制器的診斷系統快速排除故障。車載控制及診斷系統部件通過車載試驗及試驗結果分析，驗證了設備滿足設計要求，能夠在磁懸浮列車上穩定可靠運行。