一种中央控制盘装置及其控制方法与流程

1.本发明涉及电气系统领域，具体涉及轨道交通(包括地铁、轻轨、城际铁路、高铁等)的站台门电气系统，尤其是其中的中央控制盘。


背景技术：

2.站台门是连接轨道交通系统中站台与车辆及轨道之间的通道。站台门电气系统是用于控制站台门开关以及对应管理和维护的系统。
3.附图1中的电气系统100为现有技术中典型的站台门电气系统。其经由以太网eth与外部的信号系统、综合监控系统、低压配电系统等其它系统相连。
4.现有技术的站台门电气系统100通常采用分布式控制结构，主要由通常位于设备房内的供电电源装置、中央控制盘(pec)，以及位于站台的多个门控器(dcu)、就地控制盘(pel)/紧急控制盘(ecp)等部分组成，各部分之间以有线或无线方式通信地连接。
5.站台门电气系统的核心是位于设备房内的中央控制盘pec，主要功能包括：站台门控制优先级管理、基于信号系统的自动控制、站台级控制、紧急控制、安防设备状态监控与激活控制、状态检测与输出、故障诊断及预警、系统对时管理、事件记录等。
6.从图1可见，中央控制盘有多个接口与站台门电气系统外部的其它系统进行对接，也通过多个接口与站台门电气系统内部的其它部分之间进行对接，并通过内部的控制逻辑实现上述功能。
7.以下结合图2描述现有技术中常规的中央控制盘pec 200的各组成模块及其功能：
8.■
防雷滤波模块221和电源模块222：防雷滤波模块221将来自外部电源的电力进行防雷滤波后再经电源模块222转换，为内部其他模块供电；
9.■
上行数字量输入模块231，采集上行设备的数字电平信号；
10.■
上行数字量输出模块241，提供直流电压以驱动上行设备；
11.■
下行数字量输入模块232，采集下行设备的数字电平信号；
12.■
下行数字量输出模块241，提供直流电压以驱动下行设备；
13.■
通信模块250，用于通信数据的接收和发送；
14.■
主控模块210，根据采集的数字量信息(数字电平信号)及接收到的通信信息，经内部逻辑控制和计算，输出数字量命令(驱动设备的直流电压)，或者发送通信信息。
15.中央控制盘的输出的数字量命令直接关联站台门的打开和关闭。在运营期间，站台门的打开或关闭必须与车门进行联动，精准同步。一旦对站台门的控制出现错误或偏差，就可能导致对乘客潜在的伤害。比如当列车尚未进站停稳之前，站台门的提前打开将可能导致乘客跌落轨道或者与进站列车发生碰撞，又如列车门已经打开但站台门却没有同步打开，乘客跨出列车门却无法进入站台，可能对乘客造成绊倒或碰撞等伤害。在无人驾驶的场景下，如果单个车门或单个站台门出现故障，还需要对站台上具体的某一个站台门进行单独控制，以便实现对位隔离的功能。
16.因此，中央控制盘属于功能安全相关的关键性装置，根据相关国际标准以及轨道
交通行业对于装置失效导致危害的严重程度等依据，中央控制盘的安全完整性等级应要求为不低于sil3级。其所对应的容许危害率thr应不高于10
‑7/h。
17.然而，现有的站台门电气系统存在如下3个问题：
18.1、中央控制盘的核心功能不满足安全性的要求。
19.现有的中央控制盘将站台门控制等核心功能按照非安全功能来处理。无论是技术方案，还是系统开发与控制流程，都不满足安全性的要求。当装置出现故障时，还需由人工介入处理，不仅无法保障工作人员的安全，也对轨道交通的运行效率带来影响，对人工响应时间也有很高的要求。
20.2、软件设计与开发不满足安全性标准的要求。
21.现有的中央控制盘核心控制软件无论是在开发流程还是技术措施方面，都是采用与通用软件相似的方式开展的，对于系统性失效的防护缺乏统筹考虑。
22.3、封闭式传输系统中的通信可能会遇到如下多种形式的安全威胁：数据帧重复、数据帧丢失、数据帧插入、数据帧次序混乱、数据帧错误、数据帧延时等。
23.专利cn103661491a《站台屏蔽门智能控制系统及方法》通过增加图像采集模块，利用图像特征提取和匹配的方法，实时判断列车车门和站台屏蔽门之间是否存在异物，以及列车进出站的状态，做出智能化的判断和决策，以保证屏蔽门系统安全性、可靠性，并能够有效提高系统可用性，进一步保障了列车安全节能运行及乘客的安全。该系统和方法可一定程度上避免站台门夹人等事故的发生，然而单纯图像提取和处理并不能从整体上提升开关站台门的精准度和与列车车门开关的匹配度。
24.因此，亟须一种满足sil4级安全性要求的站台门系统及其中央控制盘。


技术实现要素：

25.提供本发明内容以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征；也不旨在用于确定或限制所要求保护的主题的范围。
26.在本发明的中央控制盘中，将与安全相关的数字量信号和非与安全相关的数字量信号分开，用不同模块来进行处理。并且进一步采用2乘2取2的安全
‑
冗余架构，i系(主系)、ii系(备系)两套互为冗余同时工作，以进一步提高系统可靠性。
27.本发明的一种用于站台门电气系统的中央控制盘装置包括：采集非安全相关的数字量信号的通用数字量输入模块、通用数字量输出模块、采集与安全相关的数字量信号的安全数字量输入模块、安全主控模块、安全数字量输出模块，以及通信模块。安全主控模块其中接收来自安全数字量输入模块的与安全相关的数字量信号，经处理后进行站台门控制的逻辑计算，也接收来自通用数字量输入模块的非安全相关的数字量信号，经处理后生成指令发送给通用数字量输出模块。安全数字量输出模块接收来自安全主控模块的逻辑计算的结果，发送安全数字量输出信号以控制站台门动作。其中，安全数字量输入模块、安全主控模块、安全数字量输出模块可被集成为单个模块。
28.本发明的中央控制盘有主系和备系两套，互为热备份，同时工作。进一步增强可靠性。主系和备系同时采集与安全相关的数字量信号，分别进行站台门控制的逻辑计算、输出主系的计算结果而不输出备系的计算结果。
29.本发明的一种控制站台门电气系统的方法，包括：采集与安全相关的数字量信号，经处理后进行站台门控制的逻辑计算，基于逻辑计算的结果，生成安全数字量输出信号以控制站台门动作；以及采集非安全相关的数字量信号，经由内部逻辑控制和计算输出通用数字量输出信号。
30.其中，安全相关的数字量信号包括：与外部信号系统接口的开门命令、关门命令；与外部门机系统接口的安全回路信号；以及与外部安防系统接口的安全回路信号。安全数字量输出信号包括：输出到第一侧门机系统的开门使能信号、开关门命令信号；输出到第二侧门机系统的开门使能信号、开关门命令信号；输出到外部信号系统的第一侧和第二侧门关闭且锁闭信号；输出到第一侧安防设备和第二侧安防设备的安防启动信号。
31.本发明还涉及包括上述中央控制盘装置的站台门电气系统。
32.本发明通过将安全相关的各主要功能对应于独立的功能模块，即由安全数字量采集、安全逻辑处理、安全数字量输出和安全通信各子功能来实现。并采用主系和备系的安全
‑
冗余架构，使得系统安全完整性等级达到最高的sil4级，系统安全性指标容错危害率thr达到10
‑9/h级别。从而保障了对站台门开门、关门等控制的安全性，使得相应的针对在站台上上下列车的人员的隐患和风险降低到可以接受的程度。
33.通过阅读下面的详细描述并参考相关联的附图，这些及其他特点和优点将变得显而易见。应该理解，前面的概括说明和下面的详细描述只是说明性的，不会对所要求保护的各方面形成限制。
附图说明
34.以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。
35.图1是现有技术中典型的站台门电气系统各组成模块的示意图；
36.图2是图1的现有技术中典型的站台门电气系统的中央控制盘pec各组成模块的示意图；
37.图3是根据本发明的站台门电气系统的中央控制盘的各组成模块的示意图；
38.图4是根据本发明的站台门电气系统的中央控制盘的安全架构示意图；
39.图5是根据本发明的安全数字量输入信号接口原理示意图；
40.图6是根据本发明的安全数字量输出信号接口原理示意图。
41.附图显示了根据本技术的实施例的系统、方法可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。
具体实施方式
42.以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。通过阅读下文具体实施方式的详细描述，本发明的各种优点和益处对于本领域普通技术人员将变得清楚明了。然而应当理解，可以以各种形式实现本发明而不应被这里阐述的各实施方式所限制。提供以下实施方式是为了能够更透彻地理解本发明。除非另有说明，本技术使用的技术术语或者科学术语应当为本技术所属领域技术人员所理解的通常意义。
43.本发明将安全数字量的输入/输出和通用数字量的输入/输出由分开的模块来实
现，由安全数字量输入模块、安全数字量输出模块、安全主控模块和通信模块，来构建满足sil4级的安全性要求的系统安全冗余架构。
44.图3示出了本发明的站台门电气系统的中央控制盘pec300，其包括：安全主控模块310、防雷滤波模块321、电源模块322、安全数字量输入模块331、安全数字量输出模块332、通用数字量输入模块341、通用数字量输出模块342、以及通信模块350。各模块之间经由数据总线进行通信，并与外部系统和站台门电气系统中的其它模块进行通信。
45.安全数字量输入模块331(sdi)从外部采集与安全相关的数字量信号，供安全主控模块310处理。其中，与安全相关的数字量信号包括：
46.■
与信号系统(联锁)接口的开门命令、关门命令；
47.■
与门机系统接口的安全回路信号；
48.■
与安防系统接口的安全回路信号。
49.安全主控模块310(smg)将采集到的数据、外部通信数据进行校验、整理后，提供给应用软件实现站台门控制的逻辑计算，并将指令发送给安全数字量输出模块332(sdoc)，形成包含执行命令的信号，驱动继电器输出控制站台门动作。其中，安全数字量输出模块输出的信号包括：
50.■
输出到第一侧门机系统的开门使能信号、开关门命令信号；
51.■
输出到第二侧门机系统的开门使能信号、开关门命令信号；
52.■
输出到信号系统的第一侧和第二侧门关闭且锁闭信号；
53.■
输出到第一侧安防设备和第二侧安防设备的安防启动信号。
54.具有单一cpu的通用数字量输入模块341(gdio)直接采集其它非安全相关的数字量信号。经安全主控模块310处理后，将命令发送给通用数字量输出模块342以执行。
55.本领域技术人员可以理解，亦可采用采集、处理、输出功能集成为单个模块的方式构成系统方案，实现系统功能。
56.图4是根据本发明的站台门电气系统的中央控制盘的安全架构示意图。为进一步增加可靠性，本发明的系统使用2乘2取2的安全
‑
冗余架构，i系(亦称主系)、ii系(亦称备系)互为冗余，同时工作。具体而言，每个模块均包含两个处理器，用于2取2。两个模块之间的关系是2乘，用于冗余设计。
57.两系安全数字量输入模块sdi互为热备份，模块状态都正常的情况下，采用任意一系(默认为i系)采集到的数据供应用软件使用。安全数字量输入信号接口原理如图5所示。两系sdi模块输出dc24v信号接入外部触点信号的前端，外部两组触点分别接入i系sdi模块和ii系sdi模块。通过输出激励信号并同时采集返回的常开信号和常闭信号，每系模块只有当输入的一组信号为一高一低互斥的电平才能判定为有效输入。不仅实现了两系冗余采集，而且通过接口冗余的方式能对外部断线和混线隐患进行识别从而对外部导致危险失效的断线和混线进行防护，确保了接口的可靠性。
58.两系主控模块smg同时接收输入数据，分别计算输出结果，主系主控模块将输出结果由通信接口发送至两系的安全数字量输出模块(sdoc)和通信模块，备系主控模块不输出。
59.两系安全数字量输出模块sdoc接收主控模块smg的命令，sdoc模块内部cpu对命令信息进行交换、2取2比较，形成执行命令，驱动继电器输出控制站台门动作。安全数字量输
出信号接口原理如图6所示。每系sdoc模块输出触点信号在pec机柜内部并联后，触点a接外部直流电源，触点b输出到外部设备，直流电源的地信号也同步连接到外设。在该方式下，可保持相同的连接方式，采用不同的电压等级分别与不同的外设连接。连接信号系统的电压需要根据电缆长度在dc24v
‑
dc60v之间调整；连接门机系统和安防设备的电压一般固定为dc24v。
60.以上每一步均有数据有效性检查，检查失败则进行相应的故障处理，进入安全状态。
61.此外，系统软件架构设计中，将通信模块定义为非安全相关，通信安全主要通过安全通信协议来保证。
62.为解决与安全相关的数字量信号在通信过程中发生数据帧重复、数据帧丢失、数据帧插入、数据帧次序混乱、数据帧错误、数据帧延时等问题，无论是系统内部模块的通信，还是系统与外设的通信，在通信协议中，都采用了多种措施，包括源id、目标id、序列号、时间戳、crc校验方式等，针对数据帧重复、数据帧丢失、数据帧插入、数据帧次序混乱、数据帧错误、数据帧延时等安全威胁进行了有效的防护。本发明的中央控制盘系统中安全相关的通信包括：
63.a)信号系统与中央控制盘的以太网通信，用于传输隔离信息，以便针对某个或某几个站台门进行单独的控制；以太网通信采用单独通过sil4级安全认证的rssp
‑
i协议，对于各类通信隐患进行了系统的、全面的防护；
64.b)中央控制盘与门机系统的can通信，用于接收门机系统的状态并发送控制信号到门机系统。can通信协议针对每一项通信隐患在协议中构建措施进行防范，通过采用序列号、超时管理、源标识符、crc校验等方式实现对通信隐患的防护，具体对应关系如下表所示。
65.序号威胁序列号源标识符crc校验1重复x
ꢀꢀ
2丢失x
ꢀꢀ
3插入xx 4错序x
ꢀꢀ
5错码
ꢀꢀ
x6超时x
ꢀꢀ
66.外部系统每160ms发送48帧数据can到中央控制盘系统，can通信中的crc32编码和硬件crc16编码可以对输入过程的emi错码进行有效防护。量化计算如下：
67.p
ut
＝2
‑
16
＝1.52588
×
10
‑
05
；
68.p
us
＝2
‑
32
＝2.32831
×
10
‑
10
；
69.fw＝225；
70.r
h2
＝p
ut
×
p
us
×
fw＝7.99362
×
10
‑
13
/h。
71.其中，p
ut
为传输编码残留的失效概率，p
us
为安全编码残留的失效概率，fw为报文出错(损坏)的频率，r
h2
为emi错码危险失效率。
72.因此，外部系统与中央控制盘系统的两系can通信中，总的emi错码危险失效率r
h2_总
为：
73.r
h2_总
＝r
h2
×
2＝7.99362
×
10
‑
13
/h
×
2＝1.59872
×
10
‑
12
/h。
74.为进一步提升通信安全性，本领域技术人员可用理解，可采用其他接口形式的通信方式实现信号系统与中央控制盘的通信，以及中央控制盘与门机系统的通信，并同步单独设计安全通信协议。
75.本发明的中央控制盘的安全相关软件均按照en 50128标准中sil4级的要求执行，主要的措施包括：
76.a)软件开发过程符合en 50128标准中规定的软件生命周期模型(v模型)以及各个阶段所需活动的要求；
77.b)安全型软件设计语言采用带编码规则的c语言子集；
78.c)软件开发所使用的编译、测试工具应成熟并且被广泛使用；
79.d)软件在遇到电磁干扰而导致程序运行失控后应能避免对系统安全性能的影响；软件遇到不可恢复的硬件故障后应进入安全状态并保持；
80.e)软件具有独立性，与硬件接口通过独立的接口软件模块完成；
81.f)开展软件的验证与确认活动；
82.g)软件在各阶段采用的技术与措施符合en 50128的要求。
83.在安全流程的基础上，应用软件采用多种安全相关的防御性编程设计，主要包括：
84.1、变量取值范围检查。对变量在使用前根据原始定义判断其取值范围是否在有效范围内。
85.2、数值的似真性检查。主要是对各输入数据根据对应的物理特性进行有效的边界判断，可剔除异常的数据信息；
86.3、函数参数检查。在函数调用前，对输入参数根据构造范围、类型、数值范围进行有效性检查。
87.通过采取以上措施，控制软件安全完整性等级达到最高的sil4级。不仅提高了软件质量，更能有效防止系统性失效。
88.本发明通过将与安全相关的数字量信号和非与安全相关的数字量信号分开，将安全相关的各主要功能对应于独立的功能模块，即由满足sil4级安全性要求的安全数字量采集、安全逻辑处理、安全数字量输出和安全通信各子功能模块来实现，基于故障
‑
安全原则构建了sil4级的系统和装置，主控软件依据en 50128标准中最高安全性等级的sil4级进行开发和管理。使得系统安全完整性等级达到最高的sil4级。系统安全性指标thr达到10
‑9/h级别。从而保障了对站台门开门、关门等控制的安全性，使得相应的针对在站台上上下列车的人员的隐患和风险降低到可以接受的程度。
89.本发明进一步采用主系和备系的安全
‑
冗余架构，通过接口冗余的方式能对外部数字量输入信号的断线和混线隐患进行识别防护并导向安全状态，在外部安全数字量信号的采集中，通过输出激励信号并同时采集返回的常开信号和常闭信号，并且只有在输入的一组信号为互斥时才有效。确保了接口的安全性。
90.以上各实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述各实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的范围，其
均应涵盖在本技术的权利要求和说明书的范围当中。