陈显锋 王忠卫

(北京全路通信信号研究设计院有限公司，北京 100073)

1 概述

在调度集中系统中，自律机是车站控制的核心设备，必须保证该设备的可靠、稳定运行。因此，在现有的调度集中系统中，自律机一般采用双机热备方式工作。自律机执行车站进路选排、进路触发等控制功能，在双机方式下，必须保证同一时刻只有一台自律机的输出指令作用到被控对象，实现控制指令对于被控对象的唯一性。

现有的双机热备系统，一般采用纯软件倒机方式或者软硬件结合的倒机方式实现主备机间的切换。

纯软件方式的倒机是通过双机热备软件间的信息交互，根据双机的工作状态确定每套自律机的主备状态。正常工作时，双机热备软件将数据、必要的中间状态和运算结果从主机实时发布到备机上，使主备机的工作状态保持一致；当主机出现故障，双机热备软件重新判定并设置双机的主备状态，实现主备机间的切换。

软硬件结合的倒机方式是在主备机间设置倒切硬件设备，主备机通过线缆与倒切硬件设备连接，主备机及倒切硬件设备间进行信息交互，由双机软件判定主备状态，并通过倒切硬件设备完成倒机操作，实现主备机切换功能。

2 软硬件结合的倒机方式

纯软件方式的倒机过程依赖于双机间的通信，当主备机间的通信出现故障时，有可能使双机均以主机方式进行工作，导致被控对象同时受双机控制，给控制结果带来隐患；或者使双机均以备机方式进行工作，导致被控对象失去控制。

软硬件结合的倒机方式，一般有手动和自动两种工作模式。自动模式的倒机，系统根据自律机的当前状态自动生成倒机指令，驱动倒机装置完成倒机过程；手动模式的倒机，系统根据人工指令驱动倒机装置完成倒机过程。当前软硬件结合的倒机方式，在手动模式下的倒机过程，没有考虑要置为主机自律机的当前工作状态，有可能会把不具备条件的自律机切换为主机，为系统的正常运行带来隐患，而对于调度集中系统中的自律机，将有可能造成严重的行车事故。

本文中所提出的基于倒机装置的软硬件结合倒机方式，具有手动/自动两种工作模式。在自动模式下，自律机双机软件根据自律机的当前状态自动生成倒机指令，驱动倒机装置完成倒机过程；在手动模式下，自律机双机软件根据人工倒切指令，并结合自律机双机当前工作状态，产生倒机指令。也就是说在手动模式下，人工倒切指令只是进行自律机倒机的一个因素，系统是否执行倒机过程，还需要根据双机软件对于当前双机状态的逻辑判断结果来最终确定，这样可以有效防止不具备条件的自律机被置为主机，因此是一种针对调度集中系统中自律机高可靠性、高稳定性工作特点的倒机方法。

3 系统实现

3.1 双机热备的系统结构

本系统针对调度集中系统中自律机设备的高可靠性、高稳定性要求，采用自律机双机热备方式工作，在自律机主备机（A/B机）间设置倒机装置，通过倒机装置和双机软件实现主备机间的切换。结构如图1所示。

3.2 倒机装置

倒机装置是主备自律机间进行倒切的执行设备，倒机装置通过分别与自律机A/B机内CPU卡上的I/O口连接，实时监测A、B两套设备的工作状态，包括自律机CPU等系统状态及应用系统状态，为设备工作状态判断及倒机逻辑关系的实现提供支持。

倒机装置提供手动和自动两种工作模式，倒机装置通过继电器逻辑关系，控制A/B机输出信号的条件电源工作状态，保证任一时刻系统只有一台自律机作为主机执行控制过程。倒机装置手动/自动工作模式的切换通过手动/自动开关来实现。自律机双机热备倒机逻辑结构如图2所示。

3.3 双机软件的倒机逻辑

3.3.1 监测状态

自律机双机软件监控系统的网络状态、自律机进程状态、联锁连接状态、列控连接状态和采集板状态，并根据调度集中系统自律机的工作特点，对状态判断的优先级进行排序，按优先级从高到低排序如下。

1) 自律机进程状态和网络状态；2) 联锁连接状态；3) 列控连接状态；4) 采集板状态。

3.3.2 倒机原则

双机软件综合A/B机状态，设定倒机期望状态作为手动/自动倒机的必要条件，期望状态定义如表1所示。

表1 倒机期望状态表

倒机期望状态的判断遵循以下原则：

1) 按照优先级顺序判断，优先级高的条件先判断。

2) 如果同优先级条件的状态有一个判断为“需要倒机”或者“不能倒机”，则比其优先级低的条件不再进行倒机的判断。

3) 如果同优先级条件的状态都判断为“与倒机判断无关”，则开始判断其次级优先级的条件。

4) 同等优先级的条件如果有一个状态判断为“需要倒机”，并且其他同等优先级条件都为“需要倒机”或者“与倒机判断无关”，则启动自动倒机过程；其他状态不启动自动倒机过程。

3.3.3 对联锁连接状态的特殊处理

当自律机双节点与联锁的连接状态都不正常时，在5 s内自动倒机逻辑判断中，此条件判断为不能倒机，以等待联锁倒机。在5 s延时结束后或者联锁与自律机连接状态恢复后，此条件恢复正常的判断逻辑。

3.4 倒机过程

倒机装置在手动工作模式下，需要进行倒机操作时，人工倒机指令、A/B机主备状态、A/B机当前工作状态等信息同时被A/B机回采，A/B机中的双机软件根据回采的信息，进行逻辑判断，并输出指令到倒机装置中的双机驱动模块，双机驱动模块根据A/B机的输出指令判断是否进行倒机操作，如果需要进行倒机操作，则驱动倒机电路完成倒机工作，并回送当前状态至A/B机的双机软件中。

倒机装置在自动工作模式下，倒机装置根据当前A/B机的主备状态、工作状态等信息，在自律机主机出现故障时，重新确定双机的主备状态，完成主备机的切换过程。

4 结束语

采用基于倒切装置的双机热备切换方式，能够确保切换的时效性、设备工作状态的连续性和作用于被控对象控制指令的唯一性，倒机过程的执行综合考虑了倒机装置的状态及自律机双机软件的逻辑判断结果等因素，可以有效防止不具备条件的自律机被置为主机，保证调度集中系统车站控制的可靠性和稳定性。

[1] 郑文宇.TDCS车站分机双机热备系统的软件切换实现[J].铁道标准设计，2011（5）：122-124.

[2] 覃庆努.基于双机联合故障检测的双机热备系统可靠性和安全性研究[J].系统工程与电子技术，2011，33（12）：2777-2781.

[3] 闫剑平.两种方式双机热备结构的可靠性和安全性分析[J].铁道学报，2000，22（3）：124-127.

[4] 刘晓洁.基于Linux的双机热备系统的实现技术[J].计算机应用研究，2007，24（4）：255-257.