2015年2月 铁道通信信号 February 2015 第51卷第2期 RAILWAY SIGNALLING 8乙COMMUNICATION V01.51 No.2 双机热备系统的主备切换研究 王江江 李志强 赵亮 摘要:双机热备是铁路信号设备提高可靠性最常见的方法之一。经过研究,提出一种新的热备 切换决策方法,采用同步机制和故障比较机制,使A、B机均可快速得到确定的主备切换目标, 可保证双机热备系统一次切换成功,从而减少不必要的切换次数。 关键词:双机热备;故障比较;切换 Abstract:Dual machine hot—standby technology is one of the frequently used for enhancing the reliability of railway signa1 equipment.This paper proposes a new strategy of hot—standby switc— hing by using synchronization and malfunction comparison to enable the machine A and B to de— termine the switching target,which can ensure only once successful switch and avoid unnecessary switch. Key words:Hot dual redundant system;Malfunction comparison;Switch DOI:10.13879/j.issnl000—7458.2015—02.14485 通过对已有双机热备系统的研究,在传统主备 3.会出现不必要的主备切换和双机因争抢导 切换决策方法的基础上,提出了有效的解决方案, 致的故障。比如有些系统设置了A机优先于B机 形成了更准确、高效的主备切换决策方法。该方法 成为主机,那么在A机发生间歇式故障时,会出 已在青藏铁路格拉线CTC系统中得以应用,取得 现A机故障后切换B机为主机,A机故障暂时排 了良好的效果,并在2008年获得专利局授权。 除以后,又切换回A机。由于间歇性故障而导致 1 既有双机热备切换技术的现状 主备机反复切换,从而导致系统不可用。 4.对故障没有分级机制,只有故障状态和正 双机热备是铁路信号系统中用来提高设备可靠 常状态,不能根据故障等级的差异进行主备切换的 性的常见办法。使用一台机器做主机,另外一台做 决策。 备份。当主机故障时,备机自动成为主机继续运 行。这种简单互斥机制虽对设备可靠性和可维护性 2对既有双机热备切换技术缺点的分析 都有明显的提升,但也表现出以下缺点。 在既有的主备切换中,无论是否向第三方仲裁 1.切换决定对单机是正确的,但从双机整体 模块申请成为主机,都是本机先做出主备切换的决 角度看,切换目标不一致,双机均想成为主机,可 策,然后通知伴机,通过互斥方法对决策结果再进 能导致反复切换或竞争。 行修正。在这个过程中,是先决策后协商。因此决 2.主机不知道备机的状态,主机使用时,备 策结果存在一种不确定性,即本次切换可能由于伴 机的故障状态没有送给主机,备机也不参与整个系 机的原因而不能成功。主备切换并不是一台机器可 统的运算,因不能及时发现备机故障,等到主机也 以决定的,需要双机采取一致性行动。如果A机 出现故障时,备机无法热备。 和B机的主备切换意图有冲突,那么双机热备的 主备切换都会出现反复和不确定性。即使暂时切换 王江江:卡斯柯信号有限公司 工程师100045 北京 成功,也会出现不必要的反复。为此,提出了一种 李志强:无锡地铁运营分公司工程师214171 江苏无锡 赵亮:卡斯柯信号有限公司 工程师 100045北京 先协商,后决策,确保双机采取一致眭行动的主备 收稿日期:2014一i0—28 切换办法。 1 1...—— 铁道通信信号2015年第51卷第2期 3新的双机热备决策方法 该方法先由A、B机分别检测自身的故障,然 后A、B机之间进行同步,使2台机器均做到既了 解自己的工作状态,也了解伴机的工作状态,双机 记录的伴机状态字与对方的本机工作状态字相同), 则表示完成一次工作状态字的同步,此时比较本机 和伴机工作状态字的大小,来决定本机是当主机还 是备机。如果本机的工作状态字大于伴机的工作状 态字,本机做主机,否则本机做备机。 4.如果长时间无法收到伴机送来的工作状态 字,则认为伴机已经关机或死机,本机做主机。 热备结构图如图i所示。2台机器分别根据故障比 较来自行决策是成为主机还是成为备机。具体步骤 如下。 4既有方法和新方法的状态切换对比图 萎譬目 蓑厨萎譬国 图1双机热备结构 新方法和旧方法的状态对比图如 图2和图3所示,主要区别在于黑体 文字部分,新方法可保证2台机器的 主备切换目标一致,从而保 1.A、B机根据自身的检测机制判断自身的故 障情况,然后加上本机的当前主备标记和A、B机 切换成功。 发现对方机器为主机 或发现本机故障 标记,作为双机热备工作状态字。 双机热备工作状态字定义: Bit0:状态字的最低位,AB机位,如果是A 机则为l,否则为0,表示A机具有变成主机的优 先权。 Bit1:主备机位,主机为1,备机为0,表示 主机具有继续保持主机的优先权。 Bit2:低级故障位,如果没有故障,则为1, 否则为0,表示没有故障的机器具有成为主机的优 先权。 图2既有双机热备切换状态 Bit3:高级故障位,如果没有故障,则为1, 否则为0,表示没有故障的机器具有成为主机的优 先权。故障级别低的机器具有成为主机的优先权。 收到伴机优先的工作状态字 双机切换目标一致 Bit4:更高级别的故障。 Bit5:再高级别的故障。 BitN:最高级别的故障。 Bit2到BitN又称为故障状态字。 2.双机工作状态字的同步。使用多条串口和 网线同时负责双机的通信,保证通信有足够的冗 余。不管是A机还是B机,每次通信均需要记录, 并向伴机发送2个工作状态字:一个是本机当前工 图3新方法的双机热备切换状态 5新方案可行的扩展方法 1.在某些安全系统中,为了保证只有一个主 机,可以采用继电器做第三方仲裁机构,同步后, 如本机状态字大于伴机状态字时,不是直接切换为 作状态字,一个是本机上次从伴机收到的伴机工作 状态字。 3.如果从伴机收到的2个工作状态字与本机 记录的2个工作状态字一致,(本机当前工作状态 字与对方送来的对方伴机工作状态字相同,且本机 1 2 主机,而是向第三方仲裁模块申请成为主机。同 (下转第54页) 铁道通信信号2015年第5l卷第2期 长期形成的不良习惯,结合风险管理要求,按照管 业检查力度。 理岗位、作业岗位分别制定了《安全风险卡控表》, 3.监督考核,让习惯符合标准。利用视频监 在人身安全、施工安全、故障处理、防洪安全、联 控系统,对现场设备的运用状态和人员的作业行为 锁安全、设备质量、机械室消防等风险点,一一对 实时监控。利用微机监测分析和现场抽查,排查有 应相关的卡控措施,通过落实作业标准改变不良 无违规上道作业。对发生违章违纪人员,进行处理 习惯。 和通报。2014年以来,段、车间分级分类通报处 3推进检查常态化。夯实安全基础 理一、二、三级违章违纪183次,有效遏制了“两 违”的发生。审核下发上道作业命令3328个,没 1.建立多层次、全覆盖的安全、专业监督检 有发生违规行为。职工作业“两违”件数比上年减 查体系和对标检查评估制度。实行电务段职能部门 少12 。 日常动态抽查、月度互检、季度优胜车间检查、半 年安全评估检查,车间月度全面检查,工区月度质 4结束语 量检查和班前、班中自我现场监督的体系。加强车 2014年,洛阳电务段1700名干部职工坚持 间安全员、班组安全员的管理、培训和指导,车间 “依靠标准保安全”的思路,大力加强管理标准化、 健全安全监督制度,对相关岗位人员量化检查工作 作业规范化、检查常态化建设,充分调动广大干部 标准。 职工遵章守纪、防控风险、干好工作的积极性和主 2.加强安全、专业监督检查。按照业务职能 动性。经过广大干部职工的共同努力,实现了“夺 分工,把规章制度、技术标准、作业标准执行和重 取安全年”的预期目标,连续5年蝉联路局“安全 点工作(含生产任务)落实、安全关键风险管理等 生产标杆单位”,并荣获铁路总公司安全标准化段 内容作为重点项目,对严重问题及时预警,并追踪 荣誉称号。 复查整改情况,重点加强施工、“两违”、电缆等专 (责任编辑:温志红) (上接第12页) 备状态。该方法充分利用了所有的故障信息,使所 样,如本机状态字小于伴机状态字时,也不直接切 有设备的故障、主备状态、AB机排序均被每一个 换为备机,而是向第三方仲裁模块申请成为备机。 双机热备决策模块所获知。采用了分布式计算的概 2.为了实现人工强制切换,可以采集强制切 念,在热备决策过程中,杜绝了与伴机的反复信息 换开关,并将该采集位作为最高故障位。如此,则 交互,实现了给出任务,分布运算,从上到下一次 当强制切换开关指向A机时,A机的状态字必然 性完成热备决策。该方法强调了结果的惟一性,通 大于B机,从而成为主机。 过AB机排序,消除了决策结果的随机性;同时强 3.本机不仅检测自身的故障,同时检测伴机 调了可扩展性,使用分级别的故障状态字,适配不 的故障,并将该故障纳入故障状态字的计算,然后 同的故障检测机制和未来的多机热备扩展,为未来 进行比较,即可实现对故障的冗余检测。避免本机 的多机热备和冗余故障检测预留了扩展的空间。所 故障导致本机故障检测模块出问题,而导致的故障 以该方法具有主机了解所有相关机器故障,单机的 判断失误。 间歇性故障不会导致主备反复切换,可根据故障级 4.可将多个采用本策略的双机热备决策机进 别进行切换决策,便于扩展等优点。 行级连。从而实现多机热备。 参考文献 Eli王秀娟.调度集中系统中双机热备机制的实现[D].北 6结论及展望 京交通大学学报:自然科学版,2009(2). [2]杨晓芬.实时数据库系统双机热备机制设计与实 新的双机热备方法逻辑简单,只需一次同步、 现_J].计算机工程与应用,2012(29). 一次比对,就可以迅速地让2台机器搞清自己的主 [3]王飞,曹桂均.双机热备系统心跳失效的防护方案EJ]. 铁路计算机应用,2013(3). (责任编辑:温志红) 54一
