全電子執行模塊軟硬件切換和N+1切換設計探討

陳亮 李奇 韋啟盟

摘要：文章總結了目前國內外鐵路信號系統中所采用的全電子執行模塊的使用情況，在大量應用單套設計的情況下，分析了冗余性設計的必要性和難點，從而提出了軟切換、硬切換以及N+1切換的不同設計思路，采用結構化和流程圖方法分別對3種切換方案進行了闡述，同時給出了設計過程中應考慮的關鍵要素以及需要規避的一些問題，隨后采用列表的方式對不同方案的特點、適用范圍進行了對比。最后通過歸納總結，得出了全電子執行模塊冗余切換設計不應單一地采用某一種方案，而是要針對不同類型軌旁設備所需要關注的重點方向和受影響情況以及容忍程度，采用最適合的切換方案的組合應用建議。

關鍵詞：全電子執行模塊??軟切換??硬切換??N+1切換

中圖分類號：U284.721????文獻標識碼：A

Discussion?on?the?Design?of?Hardware?and?Software?Switching?and?N+1?Switching?of?All-Electronic?Execution?Module

CHEN?Liang??LI?Qi??WEI?Qimeng

（Casco?Signal?Co.，Ltd.，?Shanghai，?200071?China）

Abstract：This?paper?summarizes?the?current?use?of?all-electronic?execution?modules?used?in?railway?signal?systems?at?home?and?abroad，?analyzes?the?necessity?and?difficulties?of?redundancy?design?in?the?case?of?the?heavy?use?of?single?set?designs，?and?then?puts?forward?different?design?ideas?of?software?switchover，?hardware?switchover?and?N+1?switchover.?These?three?switching?schemes?are?expounded?respectively?by?using?the?methods?of?structurization?and?flow?charts，?the?key?elements?that?should?be?considered?in?the?design?process?and?some?problems?that?need?to?be?avoided?are?also?given，?and?then?the?characteristics?and?scope?of?application?of?different?schemes?are?compared?by?the?tabular?mode.?Finally，?through?summary，?it?is?concluded?that?the?redundancy?switching?design?of?all-electronic?execution?modules?should?not?adopt?a?single?scheme，?but?should?adopt?the?combination?of?the?most?suitable?switching?schemes?according?to?the?key?direction，?affected?situation?and?tolerance?level?that?different?types?of?trackside?equipment?need?to?pay?attention?to.

Key?Words：All-electronic?executive?module；Software?switchover；Hardware?switchover；N+1?switchover

目前，高鐵和高密度城市軌道交通應用的步伐逐漸加快，截至2021年12月31日，我國內地已有51個城市開通了地鐵[1]，尤其是隨著無人駕駛（FAO）的應用推廣，傳統鐵路信號中大量采用的繼電器接口計算機聯鎖設備，由于其設計施工復雜、故障點多、無法適應智能化網絡化的要求，因此全電子執行模塊憑借高可靠性、高安全性、智能簡便的維護手段受到廣大鐵路信號用戶的青睞。全電子執行模塊大量采用無觸點的電子器件替代傳統的繼電器和電纜，同時擁有完善的自我檢測機制，能夠及時發現隱性故障，提早給出預警，防患于未然[2]。為了提高系統的可用性，目前各家設計的全電子模塊均為冗余設計，文章主要對全電子模塊的冗余切換設計機制進行探討。

1?國內外全電子模塊冗余設計情況

全電子執行模塊最初是從國外開始應用的，如西門子、ABB和京三，先后推出了采用全電子化接口的計算機聯鎖系統，體積小、安全可靠性高，深得用戶認可。我國城軌市場的信號系統，一開始基本上是采用國外的幾個主流信號廠家的信號系統總集成，如西門子、西屋、龐巴迪等，因此全電子執行模塊也就順理成章地應用在了國內這些線路上，但無一例外的是這些全電子執行模塊均是單套設計，沒有冗余功能。

我國從1996年開始研制全電子聯鎖技術，1999年被納入原鐵道部《鐵路科技發展計劃項目》。蘭州大成公司率先完成了全電子執行單元的研發，并于2005年5月20日通過了原鐵道部科學技術司組織的鑒定，2007年7月6日開通了我國第一個自主化全電子聯鎖車站-烏魯木齊西客技站，該站以及后續開通的一些地方鐵路車站同樣也是單套設計。

雖然全電子模塊的可靠性很高，但是單套設計的全電子執行單元，一旦有任何模塊故障，將直接影響運營，經過多年的現場應用經驗及理論的RAMS分析計算，單機系統的可用性指標僅為99.945%，甚至還沒有傳統的繼電器接口聯鎖指標高，這顯然是無法滿足我國高鐵和無人駕駛等高可靠性的要求，而冗余設計的全電子系統在可靠性、可用性、可維修性方面均明顯由于傳統計算機聯鎖，可用性指標更是達到了99.998%[3]。在《城市軌道交通CBTC信號系統規范》“第4部分：CI子系統5.2.5（P7）”中，明確提出了電子執行模塊硬件應冗余設計[4]。為了提高可用性，國內各信號廠商均設計了不同的冗余設計方案，這主要是有兩個思路，即并驅并采和主備切換[5]。并驅并采是指同一個信號設備同時連接至冗余的兩個電子執行模塊，這兩個模塊不區分主備，同時對該設備進行控制，同樣，狀態也是同時采集并上傳。然而，有一些設備是不能采用并驅并采的方案的，因此必須采用主備切換方式，即平常某一個模塊為主，另一個模塊熱備，一旦主模塊故障則通過熱備的電子模塊進行控制及狀態采集[6]。

2?軟切換和硬切換以及N+1方案設計

通過前文分析可知，國外和我國最初的全電子執行單元均為單套設計，沒有冗余，這里邊成本的考慮固然是一個方面，但是另一個重要因素是切換方案設計的復雜度，下文分別探討軟切換和硬切換冗余設計方案。

2.1?主備模塊軟切換設計

這里的軟切換是指不設置切換設備或者切換電路，完全采用軟件來決定哪個模塊為主用模塊。基本的切換關系如圖1所示，在系統中每個模塊均具備主控和備控兩種狀態，主控狀態的模塊能夠對軌旁設備進行控制，如驅動一個轉轍機進行定位或者反位動作，點亮綠燈或者紅燈等，備控模塊雖然也能夠接收到上層應用的命令，但是不實際對外輸出，僅在主控模塊故障時才會升級為主控，接替主控模塊的工作。同理，設備狀態的采集也是由主控模塊實現，備控模塊或者不對設備進行采集，或者采集了也不會上傳給上層系統。

軟切換的邏輯設計最主要的是依賴主備模塊之間的自主協商，在模塊上電后首先進行自檢，在此過程中對模塊內各個器件的工作狀態、內存、寄存器等進行全面的檢查，只有完全通過檢查才會進入下一步，如果發現有器件檢查不通過則進入故障處理模塊。完成自檢的模塊啟動與另一系的自主協商過程：通過主備之間的安全通信通道獲取另一系的工作狀態，若此時對系已經是主控狀態，則本系進入熱備工作狀態。若對系未知（即等待一定時間后仍無法獲取通信狀態）或者備系還處于初始化等未投入工作的狀態時，則主動與仲裁機構（此處為通信模塊）進行通信，仲裁設備經過與雙系模塊的交互確認后，指定該模塊是否可以進入主用狀態。在正常工作過程中，每個模塊仍將持續監測自身的健康狀態，一旦發現故障則主動退出主用模式，同時通知另一系升級為主系，或者由仲裁設備進行主備切換（當冗余的雙模塊之間失去通信時）。此模式下，雙模塊之間無需設置固定的優先級順序，在整個系統上電時，先工作的一系將首先成為主系，若此模塊無故障則維持在主控狀態，在主用模塊檢測到自身有故障無法正常工作時則交出控制權，熱備的一系則自動成為新的主系并維持為主控狀態，直到下一次故障發生再進行切換。基本切換邏輯關系如圖2所示。

這里有兩點需要特別注意，具體如下。

第一，在雙系失去通信的情況下，如何處理主備關系？筆者建議采用第三方的仲裁機制，比如由通信模塊進行仲裁，能夠獲得通信模塊“認可”的才能作為主控工作。

第二，雙系切換延時的處理。正常工作的模塊一旦故障了，從檢測到故障到采取切換措施，另一系再升級為主控模塊，這期間必然存在一個切換時間。筆者建議由通信模塊對切換的延時進行處理，切換期間通信模塊綜合主備模塊的狀態將這個切換延時“消化”掉，達到對外部（即上層應用）無感切換的目的，但是這里邊有個無法避免的問題，即對外設的控制會存在短暫的中斷現象，外設對該中斷的容忍程度將決定對切換延時時效性的關鍵要求。

2.2?主備模塊硬切換設計

硬切換是指通過硬件電路或者專門的切換設備來進行主備模塊的切換，既包含帶反饋的有主備硬件切換設計，也包含無主備并驅并采時的強制性硬件切換設計。基本的切換關系如圖3所示。圖中左側為主控模塊，右側有兩種設計：一種是作為備控使用，另一種是同樣為主控模塊，即并用模式。無論是主控—備控模式，還是主備并用模式，由于硬件切換裝置已經將其與外設斷開，因此右側的電子模塊將無法對外設進行控制，同樣也無法獲取到其狀態，直至切換裝置動作后才能具備實際的控制和采集功能。

硬件切換的設計與前面軟件切換的主要區別在于物理上主備模塊是沒有直接的電氣連接的，通過了類似單刀雙擲的“閘刀”切換電路來選擇將主用模塊的信息應用于所控制設備，甚至可以不區分主備模塊，而完全交給硬件電路來控制哪個模塊有效。當然，也可以設置成“單刀三擲”的切換模式，即設置一個兩方都不控制的“空”狀態，其控制邏輯如圖4所示。這里以帶反饋的主備并用疊加硬件切換的方案來說明硬切換的設計思路：在模塊上電以后，與前述軟切換的設計一致，也首先進入模塊的自檢狀態，如果自檢通過則直接進入“準主用”模式，同時將此狀態發送給“主用狀態處理模塊”，作為硬件切換電路工作的一個前提條件。同樣的，另一系的模塊自檢通過后也進入“準主用”模式，最終哪一個模塊能夠實際對外獲得控制權，則由“主用狀態處理模塊”來決定，得到主用反饋的一系則成為“主用”狀態。與前述軟切換類似，先投入工作的一系將會獲得實際控制權，即成為真正的“主用”模式，而另一系則持續工作在“準主用”狀態，直到原主用模塊退出或者“主用狀態處理模塊”實施了直接切換。特別說明的是，此處的“準主用”和“主用”的區別僅是是否獲得了主用反饋信息，實際上，準主用也同樣是在跟隨驅動命令進行驅動控制，同樣在采集外部設備工作狀態，即實際上是雙系并用的工作模式。此設計中雙系模塊之間額外增加了傳輸通道，用以交互模塊的工作狀態，一方面作為對“主用狀態處理模塊”反饋的補充，另一方面也處理一些異常情況下的特定邏輯，比如在本模塊進入故障狀態時，允許另一系進行一些“降級”的功能設計。

硬件切換我們同樣需要注意以下幾點。

首先，要注意切換的控制條件的設計。切換電路有手動切換、自動切換等不同方式，全電子執行模塊數量眾多，對切換的及時性要求高，一般均設計為自動切換方式，切換條件要充分考慮模塊的自身狀態、外部因素的影響、人為因素等各種切換要件。

其次，對于大電流的設備，比如轉轍機等，應充分考慮切換時可能發生的大電流切斷拉弧、接點使用壽命等因素，選擇合理的器件和采用有效的規避措施。

2.3?N+1切換設計

前面提到的軟切換和硬切換的例子都是在主備模塊1+1方式下的切換設計，N+1切換是一種主用為N，+1為備用的工作模式，這里在鐵路信號中最典型的應用是電碼化的N+1冗余設計。在鐵科信[2020]211號發布的《列控聯鎖一體化設備暫行技術條件》[7]中，在K.6.5.2中已經明確了電子執行模塊應支持N+1的設計功能。

在電碼化N+1設計中，切換的要點是切換反應時間和用哪個模塊去控制“+1發碼器”。下邊我們仍按軟切換和硬切換兩個思路來設計方案。

2.3.1?軟切換方法

該切換設計中采用獨立的“+1電碼化模塊”去控制“+1發碼器”，使得電碼化模塊與發碼器數量一一對應，切換方案如圖5所示。

該設計方案中，系統采集所有發碼器的工作狀態（FBJ），在發現某一個發碼器故障后，將+1發碼器切換至故障發碼器所對應的區段上去，采用+1發碼器替代故障的發碼器對軌道區段發碼（即圖中“切換控制2”的邏輯電路）。同時，系統應及時將故障發碼器的編碼信息發送到+1發碼器的編碼端子上提供正確的低頻信號（圖中“切換控制1”軟件邏輯）。

該方案中最為關鍵的是“切換控制1”和“切換控制2”這兩個控制邏輯的一致性以及實時性，在電碼化電路中，一旦邏輯不一致，可能造成錯誤的輸出，如果花費很多時間去校核一致性又要影響切換的速度，造成列車落碼，因此只能用于時效性要求不是很高的地方。

2.3.2?硬切換方法

該切換設計中不單獨設置“+1電碼化模塊”，針對每一個電碼化模塊均有兩路輸出：主輸出與備用輸出，采用發碼器的工作狀態繼電器（FBJ）去控制備用輸出，切換方案如圖6所示。

該設計方案中，切換是由純硬件電路（FBJ電路）實現的，FBJ采集后僅作為報警使用，不參與切換邏輯。在FBJ電路中，使用不同的繼電器接點區分編碼和軌傳的應用，在某一FBJ落下時，自動切換至“+1發碼器”上持續工作。由于只有一個切換控制部位，且是唯一的硬件切換，減少了切換環節，既避免了前述兩處切換邏輯的錯誤匹配問題，也提高了切換效率，不足的地方是切換電路較軟切換要復雜一些。

3?不同切換方案的對比和需要解決的潛在問題

4?結語

通過前面的總結和分析，目前全電子模塊的冗余切換設計有很多不同的設計思路，其中各自有不同的特點，在全電子模塊設計開發中，應根據所控制和采集的設備的特點來選擇合適的切換方案，如對于反應速度要求很高，直接影響司機信號辨認的信號機模塊宜采用主備硬件切換方案，對于電流大、反應速度要求不高的轉轍機模塊宜選用主備軟件切換方案，對于實時性要求很高且避免錯誤發碼的電碼化模塊，宜采用N+1硬件切換。

參考文獻

[1] 韓寶明，李亞為，魯放，等.2021年世界城市軌道交通運營同濟與分析綜述[J].都市快軌交通，2022，35（1）：5-11.

[2] 陳亮.通用全電子轉轍機控制單元設計探討[J].科技創新導報，2020，17（14）：1-3.

[3] 何濤.軌道交通全電子化聯鎖系統安全技術研究與系統分析[D].蘭州：蘭州交通大學，2014.

[4] 鄧紅元，邱錫宏，宿秀元，等.城市軌道交通CBTC信號系統規范：第4部分CI子系統：T/CAMET?04018.4[S].北京：中國城市軌道交通協會，2021.

[5] 黎晨光.城市軌道交通全電子計算機聯鎖系統的應用研究[D].北京：中國鐵道科學研究院，2022.

[6] 魏臻，徐偉，李帥，等.一種全電子聯鎖系統執行單元的熱備方法及熱備聯鎖系統：中國，202111576329.9[P].2021-12-21.

[7] 盧佩玲，梁志國，賈春肖，等.新型列控系統列控聯鎖一體化設備暫行技術條件：TJ/DW235[S].北京：中國國家鐵路集團有限公司，2020.