刘纪龙，吴冬华，苗 欣，李 琳，江守亮，李言民，王 滨，宋庆详

(中车青岛四方机车车辆股份有限公司，山东 青岛 266000)

0 引言

近年来我国高速铁路事业突飞猛进，高速铁路凭借速度快等特点成为人们不可或缺的代步工具，车载设备安全可靠运行成为关注的重点[1]。随着现代电机技术、现代电力电子技术、数字技术、微电子技术以及计算机技术等支撑技术的快速发展，车载控制设备数字化、智能化、网络化、高性能成为发展方向[2]。

安全对于轨道交通行业是个绕不开的话题，因为一旦发生事故通常都不是小事情，会造成人员伤亡、经济损失以及社会负面新闻等严重不良后果[3]。铁路通信信号系统是保障铁路运输安全的基础之一。随着科学技术的快速发展，现代铁路通信信号传输技术也向网络化、智能化和数字化方向发展，实现了铁路运输系统的统一调度指挥，保障列车的安全运行，提高了列车运行效率和质量[4]。现代通信技术和计算机联锁中的容错、冗余技术在铁路通信信号传输系统中的应用有助于实现铁路系统调度通信的一体化[5]。

为使控制及诊断系统的安全可靠运行，新型车载控制及诊断系统部件采用可编程逻辑控制器设计，选用成熟可靠的产品，通过冗余架构设计，使其达到高可靠性。其整体采用组合化及模块化设计，使设备具有较高的可维修性及扩展性。并且可以通过编程调整控制逻辑，利用控制器的诊断系统快速排除故障。

1 系统工作原理及架构

1.1 系统工作原理

车载控制及诊断系统部件是高速磁浮窄车体车载控制及诊断系统中的重要部件，其功能是将来自车载安全计算机的与安全相关的控制指令发送给车辆子系统，并将子系统发送的状态监视信号反馈给车载安全计算机。

车载控制及诊断系统部件作为车载控制系统的底层控制设备，安装在车下，用于车载控制系统的底层数据采集及控制指令下发，指令和状态监视信号主要有：悬浮、导向、涡流制动、车载电网、车门的相关指令及相应状态监视信号、乘客紧急报警信号、火灾报警信号。

车载控制系统拓扑图如图1所示，两端车的任一车载安全计算机发出的指令信号到达各车的车载控制及诊断系统部件后，经过内部接线端子分配，将信号同时发送到本车的两个车载控制器。车载控制器内的冗余PLC间采用总线通讯，主副PLC同步将接收到的指令信号进行放大、增强处理后发送给相应的车载设备。当其中一个车载控制器故障时，车载设备仍能接收到正常的控制指令。

图1 指令信号数据流向

1.2 系统冗余架构

车载控制及诊断系统部件所传输的控制指令及状态信号是高速磁浮窄列车控制及诊断系统的重要信号，该设备的安全可靠性对于全车的安全可靠运行至关重要。本设计采用冗余架构的安全PLC实现逻辑判断程序及信号传输的稳定可靠[6]。

列车控制系统为达到高可靠性，广泛采用双机热备结构的信号设备.双机热备结构的安全性由每个通道(单机)的自诊断与故障安全输入、输出保证[7]。每个通道的单一处理器模块诊断该通道是否发生错误，逻辑上存在自己诊断自己的安全“盲点”.为了解决这个问题,可以在传统双机热备结构的每个通道中设置双处理器模块,双处理器模块互为冗余备份,或者相互监督,或者构成监督与被监督关系,在此称这样的系统为四模冗余(QMR,quadruplemodular redundant)系统[8]。QMR系统由两个通道组成,两个通道互为热备关系.每个通道包括双处理器模块和输入/输出(I/O)模块。处理器模块包括中央处理器、存储器和外围控制逻辑等[9]。I/O模块完成数字量、模拟量、脉冲量输入输出功能，还完成各种外部通信功能。一般来说，每个通道使用同一组电源,两个通道分别使用两组电源。QMR系统中每个通道的双处理器模块互为冗余备份关系时,可以与双输入/单输出模块配合[10]。

如图2所示，每个处理器模块都设置输入模块,每个通道包含冗余双处理器模块与双输入/单输出模块[11]。每个通道中双处理器模块执行相同的控制程序,输入相同,两个处理器模块的比较数据送入数据,如果比较数据相同,则该通道的输出模块正常输出；如果比较数据不同,则安全关闭该通道的输出模块,系统输出由另一个通道的输出决定.该结构实际上工作于2乘2取2方式[12]。

图2 四重冗余结构图

此结构中,冗余双处理器模块能够工作在时钟级或任务级同步方式.钟级同步时,两个处理器使用同一时钟，构成紧耦合结构。通过对地址、数据总线上信息进行数据比

较实现2取2[13]。任务级同步时,两个处理器运行不绝对同步,构成耦合冗余结构。由于存在同步容差,对共模错误抑制能力高。但系统的容错和安全管理功能由软件完成,需要将应用程序分成若干任务,分别在每个任务之后通过通道内同步总线交换同步信息,同时进行状态数据和输出数据比较来实现2取2[14]。

如图3所示，新型车载控制及诊断系统部件由两套冗余架构的可编程逻辑控制器组成，形成双重冗余的架构。底层的指令及状态分别由四路相互独立的通道传递，车载安全计算机通过冗余通讯链路与新型车载控制及诊断系统部件的主可编程逻辑控制器通讯。

图3 车载控制及诊断系统部件架构图

2 车载控制及诊断系统部件设计

车载控制及诊断系统部件由车载控制器、车载控制分配板及机箱组成，每个车厢安装一套车载控制及诊断系统部件，采用定制机箱结构，安装在车体夹层的抽屉式设备安装箱内。

2.1 车载控制器硬件组成

车载控制器由两套冗余架构的车载控制器组成，每套车载控制器由两组配置相同的可编程逻辑控制器组成。车载控制器选择德国皮尔兹PSS 4000系列铁路版本PLC，该系列PLC采用故障-安全型设计，广泛应用于铁路领域[15]。

每组可编程逻辑控制器包括：主控模块、供电模块、数字量输入模块、数字量输出模块以及相关附件组成，如图4所示。

图4 车载控制及诊断系统部件组成架构图

主控模块是车载控制器的CPU，用于控制程序运行，在冗余系统中程序运行在主控制器模块中，当主控制器模块故障时会自动切换到副控制器模块。

供电模块为车载控制及诊断系统部件数字量输入模块供电。数字量输入模块用于数字量信号采集。数字量输出模块用于数字量指令信号输出，自带继电器。

2.2 信号分配板设计

信号分配卡用于连接航空插头和PLC模块，装有滤波器和直流电压转换器，使用高密度的J30J连接器与各设备连接，其功能包括：直流供电滤波、直流电压转换、供电分配、控制及状态信号分配。

由于箱体尺寸限制，机箱内没有充足的空间安装电气线路接线端子，因此设计了两个尺寸为300 mm×150 mm的PCB板进行信号分配。

车载控制器1和车载控制器2各使用一块信号分配卡，由于两组控制器的功能及配置完全相同，因此信号分配卡完全相同。两组控制器采用相互独立的电源供电，任意一路电源断电不会导致设备整体瘫痪。

以悬浮指令为例，如图5所示，通道1悬浮指令进入车载控制器1，通道2悬浮指令进入车载控制器2，来自前后车的悬浮指令接入主副PLC的DI1通道。按照故障安全原则，车载控制器1的两个DI采集通道都要接收到前车或后车悬浮信号，PLC即向车载设备发出悬浮指令，任何一路DI采集通道没有接收到悬浮信号，PLC都不会向车载设备发出悬浮指令，车载控制器2控制原理相同。

图5 接收悬浮指令原理图

如图6所示，PLC控制数字量输出信号向车载设备发出悬浮指令：车载控制器1和车载控制器2同时通过通道1和通道2发出悬浮指令，主副PLC的数字量输出通道为串联关系，要同时发出悬浮指令时悬浮控制器才能接收到信号。接收悬浮指令的车载装置包括：左侧磁铁控制器、右侧磁铁控制器、车载电网控制器、右侧2-1门控器、右侧1-1门控器、左侧1-2门控器和左侧2-2门控器。

图6 发出悬浮指令原理图

2.3 控制软件设计

2.3.1 程序设计

PLC控制系统采用PAS4000软件开发平台，PAS4000覆盖两个领域。现在可以在同一个用户界面上找到安全和自动化功能。自动化和安全功能块简化自动化程序的创建。

控制程序在4个PLC主机模块中并行运行，控制程序包含如下程序块：主程序块、网络通讯程序块、时钟同步判断程序块、输入信号比较程序块、输出信号比较程序块、主/副PLC控制程序块。

如图7所示，PLC间隔20 ms会调用一次主程序块，主程序块先调用主/副PLC控制程序块，控制程序块通过调用调用时钟同步判断功能块、输入信号比较功能块、输出信号比较功能块，并为其赋值对应输入通道的数据，得出各控制指令及状态信号逻辑判断结果，将结果输出给对应的输出通道。最后调用网络通讯程序块用网络通讯将状态数据发送给车载安全计算机。

图7 程序执行顺序图

主程序块：用于调用各子功能块，使子功能块能够正常运行。

网络通讯程序块：与车载安全计算机和相邻控制器通讯。

主/副PLC控制程序块：调用子程序块进行逻辑判断，并通过数字量输出信号输出判断结果。

时钟同步判断程序块：判断主副PLC时钟是否同步，如果不同步则禁止数字量输出模块对外发出信号。

输入信号比较程序块：时钟同步的前提下对数字量输入模块采集的信号进行比较，如果相同则输出比较结果。

输出信号比较程序块：时钟同步的前提下对主副PLC输入信号比较，如果相同则输出比较结果。

2.3.2 冗余信号判断比较

根据控制需求信号分为控制指令及状态信号，控制指令包括：悬浮指令、制动指令、允许上电/断电指令、释放受流器指令、释放左侧车门指令、释放右侧指令。

状态信号包括：悬浮已启动状态、导向已启动状态、制动检测通过、服务站无强制停车、车载电网无故障、车载电网无强制停车、车载电网功能检测通过、火灾报警、车门已关闭、乘客报警、悬浮状态、导向状态。

如图8所示，通过时钟同步信号使主副可编程序控制器可以协同运行，时钟同步状态判断贯穿输入信号比较、逻辑控制程序、输出信号比较的全过程，该设计使得主副PLC在信号处理时达到完全同步。

图8 车载控制及诊断系统部件软件冗余原理图

当主副PLC接收到冗余信号输入时，输入信号比较功能块会对主副PLC输入信号进行比较，主副PLC输入信号相同且时钟同步的情况下调用逻辑控制程序。逻辑控制程序对输入信号进行逻辑控制，主副PLC时钟同步的情况下控制数字量输出信号输出。输出信号比较功能块对主副PLC输出信号进行比较，主副PLC输出信号相同且时钟同步的情况下输出信号。

逻辑可靠性设计如下：主副PLC通讯正常，时钟同步正常时数字量输出信号才能发出信号。主副PLC数字量输入信号全部接收高电平时，数字量输出信号才能发出高电平信号，否则保持低电平输出。主副PLC的数字量输出信号要同步输出高电平信号，不能单台PLC输出高电平信号。

2.3.3 故障诊断

为了将PLC设备的停机时间降到最低。皮尔兹PLC软件自带的故障诊断系统提供所有必要信息，以快速修复故障、防止故障以及分析机器状态。

在运行期间，PLC将系统消息和过程消息输入诊断列表，每个设备都有自己的设备诊断列表。诊断服务器将项目中所有设备的设备诊断列表合并，形成项目诊断列表[16]。诊断列表仅包含当前消息。一旦错误得到修复，该消息就从诊断列表中删除。诊断信息出现的顺序是由诊断信息的优先级决定的[17]。可以很容易找到最重要的信息。在系统诊断中，对第一个故障和随后故障做了区分。仅报告第一个故障。这避免了诊断列表中出现不必要的消息[18]。除了描述已发生的事件并指明其位置，诊断信息还包含建议的解决方法。这些信息可以告诉操作员采取什么措施、哪个区域受到影响以及由谁负责纠正问题。

2.4 外部通讯

PLC侧接口只支持Modbus TCP通讯协议，而整车通讯只有实时以太网协议(TRDP)或CAN总线[19]。因此配置协议转换器将Modbus TCP通讯协议转换为TRDP协议，实现PLC与车载诊断系统的数据交互。两套车载控制器，每套配备一台通讯协议转换器，实现冗余的通讯，实时与车载诊断系统进行数据交互，保证系统可靠性[20]。

DUAGON公司型号为D507的第三方网关，带有两个硬件以太网接口。网关集成在安装在DIN导轨上的不锈钢外壳中。该设备直接由车辆电池供电。

3 试验验证及分析

新型车载装置控制及诊断系统部件分设备结构测试和控制及状态反馈验证试验。

设备结构测试是对设备结构进行低温工作/贮存、交变湿热(12 h+12 h循环)、冲击和振动、仿真分析等，以验证结构设计的可靠性。

控制及状态反馈验证试验是在正常及故障情况下测试控制及反馈的状态信号是否正确，以验证系统运行的可靠性。

3.1 设备结构测试

设计验证阶段通过模拟仿真进行箱体模态分析、随机振动分析和热传导仿真推演。后期将通过开展环境适应性试验，以评价车载控制及诊断系统部件适应自然和诱导环境的能力；开展验证工作，用以检验新研制的车载控制及诊断系统部件具备稳定可靠的工作效能并具备原有设备的功能指标。根据任务需求方要求，车载控制及诊断系统部件主要试验内容包括：低温工作/贮存、高温工作/贮存、交变湿热(12 h+12 h循环)、盐雾、外壳防护等级、静电放电抗扰度、射频电磁场辐射抗扰度、电快速瞬变脉冲群抗扰度、浪涌(冲击)抗扰度、射频场感应的传导骚扰抗扰度、工频磁场抗扰度、冲击和振动。

3.1.1 模态分析

由图9可见，结合前6阶频率和振型分析，可以看出前6阶振动主要是机箱盖板的振型，机箱内部PLC模块的固有频率高于100 Hz以上，具有良好的刚度。

图9 整机前6阶振型

3.1.2 随机振动分析

根据GB/T 21563—2018《轨道交通机车车辆设备冲击和振动试验》1类B级设备在垂直Y方向施加随机振动激励，振动曲线如图10所示，频率范围5～150 Hz，ASD量级1.857 g2/Hz。

图10 机箱变形图

从机箱内外部的变形图可以看出，在外部随机振动激励作用下，设备整体的最大变形1.81e～8 mm，变形量很小，主要集中在机箱箱体盖板及两侧板；模块最大的变形约为2.1e～9 mm。

从图11可以看出，在外部随机振动激励作用下，设备最大应力8.9e～5 MPz，应力很小，主要集中在机箱结构上；模块应力可以忽略。

图11 机箱应变分布图

根据上述分析，在该随机振动激励下，设备具有良好的刚度及强度。

3.1.3 热传导仿真推演

条件设置：控制单元内大功率设备主要为4组PLC，控制单元内设备最大总功耗418 W，正常工况下使用功耗为300 W。

外部温度为25 ℃情况下，通过合理结构设计以及内外部风扇布局，最终设备温升不超过30 ℃，如图12所示。

图12 箱体内部温度分布云图一

通过对箱体模态分析、随机振动分析和热传导仿真推演，箱体结构设计能够达到相关国家标准的要求。

3.2 控制及状态反馈验证试验

3.2.1 试验设置

为保障控制及状态信号稳定可靠，车载控制及诊断系统部件采用冗余架构设计，根据该架构设计了验证试验。

1)设备运行正常情况下信号可靠性试验:

通过航空插头将车载控制及诊断系统部件与车载控制及诊断系统相连，车载控制及诊断系统向车载控制及诊断系统部件发出控制指令，根据电气设计图、逻辑关系图及软件控制程序检查各控制器(电网控制器、悬浮控制器、导向控制器和制动控制器)动作是否正确，紧急信号是否正确响应，被控对象应能正确响应控制指令。同时数字量输出信号及TRDP通讯向外输出的状态信号应为正确状态。

2)设备故障情况下信号可靠性试验:

(1)将任意一组数字量输入信号接头拔掉，模拟任意一组数字量输入信号线路断开的情况下，车载控制及诊断系统向车载控制及诊断系统部件发出控制指令，检查各控制器(电网控制器、悬浮控制器、导向控制器和制动控制器)动作是否正确，紧急信号是否正确响应，被控对象应能正确响应控制指令。同时数字量输出信号及TRDP通讯向外输出的状态信号应为正确状态。

(2)将任意一组数字量输出信号接头拔掉，模拟任意一组数字量输出信号线路断开的情况下，车载控制及诊断系统向车载控制及诊断系统部件发出控制指令，检查各控制器(电网控制器、悬浮控制器、导向控制器和制动控制器)动作是否正确，紧急信号是否正确响应，被控对象应能正确响应控制指令。同时数字量输出信号及TRDP通讯向外输出的状态信号应为正确状态。

(3)将任意一组控制器供电接头拔掉的情况下，模拟任意一组PLC故障或断电的情况下，车载控制及诊断系统向车载控制及诊断系统部件发出控制指令，检查各控制器(电网控制器、悬浮控制器、导向控制器和制动控制器)动作是否正确，紧急信号是否正确响应，被控对象应能正确响应控制指令。同时数字量输出信号及TRDP通讯向外输出的状态信号应为正确状态。

3)试验通过标准:

4组试验中，车载安全计算机发出指令，经车载控制及诊断系统部件下发给底层设备，观察底层设备动作与指令一致。车载安全计算机观察车载控制及诊断系统部件反馈的底层设备状态与指令一致。

服务站无强制停车、车载电网无故障、车载电网无强制停车、车载电网功能检测通过、火灾报警和乘客报警均为状态信号，通过人为改变状态信号，在车载安全计算机观察状态信号要与改变的状态信号一致。

4组试验中所有信号全部检测通过才可视为试验通过。

3.2.2 试验结果分析

如表1所示，通过4组试验，得出设备在正常及故障情况下，各控制器(电网控制器、悬浮控制器、导向控制器和制动控制器)动作正确，紧急信号正确响应，被控对象能正确响应控制指令，状态信号反馈正确。同时数字量输出信号及TRDP通讯向外输出的状态信号为正确状态。

表1 系统试验测试表

车载控制及诊断系统部件通过冗余架构，在各种工况下能够安全可靠的实现控制指令下发及状态传输的功能。

4 结束语

磁悬浮列车是高速运行的交通工具，其车载设备必须具有高安全可靠性。车载控制及诊断系统部件采用可编程逻辑控制器设计，选用成熟可靠的产品，通过冗余架构设计，使得车载控制及诊断系统部件达到高可靠性。其整体采用组合化及模块化设计，使设备具有较高的可维修性及扩展性。并且可以通过编程调整控制逻辑，利用控制器的诊断系统快速排除故障。车载控制及诊断系统部件通过车载试验及试验结果分析，验证了设备满足设计要求，能够在磁悬浮列车上稳定可靠运行。