[0001] 本发明涉及轨道交通站台门控制领域，特别是站台门控制系统双环网安全通信开关门控制装置及方法。

[0002] 随着城市轨道交通的快速发展，站台门控制系统在保障乘客安全和提高运营效率方面扮演着至关重要的角色。传统的站台门控制系统主要依赖硬线开关门方式，这种方法虽然在短期内提供了一定的稳定性，但在面对多车型、多编组列车的复杂运营环境时，其灵活性和适应性显得不足。硬线系统难以快速适应车型变化，且在维护和扩展方面存在局限，这限制了站台门控制系统的进一步发展。

[0003] 为了应对这一挑战，站台门控制系统的现代化需求日益增长，多编组列车成为常态。这要求站台门控制系统能够灵活地适应不同车型的开关门需求，同时保证系统的安全性和可靠性。因此，开发一种能够通过通信实现点对点开关门控制的技术变得尤为重要。这种技术需要解决通信控制的安全性、可靠性问题，以及通信延迟和响应同步性问题，同时还要满足通信接口的实时性和带宽要求，以适应日益增长的运营需求和提高系统的整体性能。

[0004] 阻碍站台门控制系统实现通信开关门的最大的一个难点就是需要解决安全性的问题。安全完整性等级(SIL：Safety Integrity Level)是衡量系统安全性的重要指标。在站台门控制系统中功能安全设计是至关重要的，在现有技术中，以往的站台门控制系统开关门功能完整性只能达到SIL2等级。SIL2等级在一些复杂和对安全要求极高的轨道交通应用场景下，无法满足系统对于安全性和可靠性的严格要求，市场对站台门控制系统SIL4等级开关门功能需求越来越高。例如，在高密度列车运行的线路上，或者在全自动无人驾驶的轨道交通系统中，站台门控制系统需要将安全完整性等级进一步提升来确保列车运行过程中站台门控制系统能够准确执行开关门控制以及乘客的安全。

[0005] 综上所述，要使得通信开关门控制技术能够应用在站台门控制系统上，技术方案就得具备高安全性，并且尽可能保留具备硬线控制本身具备的高可靠性。

[0043] 以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

[0044] 需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

[0045] 实施例一：

[0046] 如图1至图8所示，站台门控制系统双环网安全通信开关门控制装置，所述开关门控制装置包括站台门控制器PEDC和多个门控单元DCU，所述开关门控制装置以站台门控制器PEDC作为EtherCAT主站，以门控单元DCU作为EtherCAT从站形成EtherCAT网络通过FSOE安全通信协议对站台门控制器PEDC和多个门控单元DCU之间进行通信；所述站台门控制器PEDC包括PEDC A系和PEDC B系，所述门控单元DCU包括第一处理器和第二处理器，所述PEDC A系与多个门控单元DCU的第一控制器形成第一通信拓扑结构，所述PEDC B系与多个门控单元DCU的第二控制器形成第二通信拓扑结构，所述第一通信拓扑结构与第二通信拓扑结构彼此独立。

[0047] 所述第一通信拓扑结构与第二通信拓扑结构均为环形拓扑结构。

[0048] 所述站台门控制器PEDC和门控单元DCU均采用二取二架构设计。

[0049] 二取二架构设计就是指：具备两个独立的判断机制，且只有当这两个判断机制均得出有效结论时，整体才被认定为有效。

[0050] 通过EtherCAT网络和FSOE安全通信协议，实现站台门控制器PEDC和多个门控单元DCU之间的安全通信，通过两个独立的通信拓扑结构，实现了冗余EtherCAT网络，网络通信通道相互隔离，提高通信可靠性。

[0051] 备注：DCU,Door Control Unit,门控单元DCU；PEDC,Platform Edge Door Controller,站台门控制器PEDC。

[0052] 开关门控制方法是基于EtherCAT网络实现的，在EtherCAT网络上部署了FSOE安全通信协议，开关门控制数据通过安全通信协议进行传输。

[0053] 在网络组网方案中，PEDC承担了EtherCAT主站的角色，DCU承担了EtherCAT从站的角色，还将主站FSOE部署在了PEDC上，从站FSOE部署在了DCU上，而且PEDC跟DCU均采用了二取二架构设计，从而适配了FSOE安全通信协议自身所需的部署架构。为了提高网络传输部署应用的可靠性，网络采用了EtherCAT的线缆冗余以及热插拔技术，还创新性地提出了“冗余主站+冗余从站”实现了双环网，充分提高了网络传输通道的可靠性。

[0054] PEDC A系的信号逐个传送到多个门控单元DCU的第一控制器后返回PEDC A系；

[0055] PEDC B系的信号逐个传送到多个门控单元DCU的第二控制器后返回PEDC B系。

[0056] 冗余通信：PEDC网络主站A、B两系可同时与单个DCU建立EtherCAT通信，网络通信通道相互隔离。单个DCU具备与A、B系主站同时进行通信数据收发的功能。

[0057] 安全通信：FSoE安全通信定义了ESoE主机和FSoE从机之间唯一的主/从关系。在FSoE安全通信连接中，每个设备只在从连接设备接收到新消息后才返回自己的新消息。每个FSOE周期中，FSoE主机和FSoE从机之间的完整传输模式由两个设备上的一个单独的看门狗定时器监视。

[0058] 应用部署中，DCU默认只维护一路有效FSOE安全通信数据，当该路EtherCAT通信断开时则由另外一路EtherCAT通信接管维护FSOE安全通信，并将通信故障状态上报。

[0059] 所述环形拓扑结构采用线缆冗余方式组网。

[0060] 线缆冗余：单路EtherCAT网络通信采用线缆冗余方式组网，当其中一个DCU故障掉线无法通信时，不影响整侧站台其余DCU通信。

[0061] 如图2中，MAC1上发送的帧由网络的左侧部分处理，MAC2上发送的帧由网络的右侧部分处理；EtherCAT主站会接收两帧并合并结果，同时应用程序收到关于“线路故障”的通知。图中，从站N‑2发生故障。

[0062] 站台门控制系统双环网安全通信开关门控制方法，所述开关门控制方法通过第一通信拓扑结构实现PEDC A系与第一控制器之间的通信，所述开关门控制方法通过第二通信拓扑结构实现PEDC B系与第二控制器之间的通信。

[0063] 所述开关门控制方法对来自PEDC A系的数据流的处理方法包括以下步骤：

[0064] S11：PEDC A系将开关门控制命令发送至PEDC A系的FSOE主站，PEDC A系的FSOE主站将开关门控制命令转换为主站安全协议数据单元(即图3中的主站安全PDU)并将主站安全协议数据单元经PEDC A系的EtherCAT主站发送至门控单元DCU第一处理器的EtherCAT从站；

[0065] S12：第一处理器的EtherCAT从站将接收到的主站安全协议数据单元发送到门控单元DCU的FSOE从站；

[0066] S13：门控单元DCU的FSOE从站对接收到的主站安全协议数据单元进行处理后将得到的响应开关门控制命令发送至开关门执行接口，并响应从站安全协议数据单元至第一处理器的EtherCAT从站；

[0067] S14：第一处理器的EtherCAT从站将响应的从站安全协议数据单元经PEDC A系的EtherCAT主站发送至PEDC A系的FSOE主站；

[0068] 所述开关门控制方法对来自PEDC A系的数据流的处理方法包括以下步骤：

[0069] S21：PEDC B系将开关门控制命令发送至PEDC B系的FSOE主站，PEDC B系的FSOE主站将开关门控制命令转换为主站安全协议数据单元并将主站安全协议数据单元经PEDC B系的EtherCAT主站发送至门控单元DCU第二处理器的EtherCAT从站；

[0070] S22：第二处理器的EtherCAT从站将接收到的主站安全协议数据单元发送到门控单元DCU的FSOE从站；

[0071] S23：门控单元DCU的FSOE从站对接收到的主站安全协议数据单元进行处理后将得到的响应开关门控制命令发送至开关门执行接口，并响应从站安全协议数据单元至第二处理器的EtherCAT从站；

[0072] S24：第二处理器的EtherCAT从站将响应的从站安全协议数据单元经PEDC B系的EtherCAT主站发送至PEDC B系的FSOE主站。

[0073] PEDC A系和PEDC B系的开关门控制命令均通过开关门命令接口接收到。

[0074] 在站台门控制系统中使用双环网络安全通信开关门控制的控制数据流如图3所示，描述了从PEDC接收到开关门指令给到DCU接收到并执行开关门的控制流。

[0075] 所述PEDC A系和PEDC B系的开关门命令采集、FSOE主站安全通信以及门控单元DCU的FSOE从站安全通信均采用2取2的设计，如图4，确保了PEDC与DCU之间通信开关门命令下发的安全性。

[0076] 因此PEDC A系和PEDC B系的处理器电连接进行双核同步，门控单元DCU的第一控制器和第二控制器电连接进行双核同步。

[0077] 所述门控单元DCU的第一控制器和第二控制器分别采用两路独立且相互隔离的以太网接口进行第一通信拓扑结构与第二通信拓扑结构的构建。

[0078] 所述第一控制器的以太网接口为第一输入接口和第一输出接口，所述第二控制器的以太网接口外第二输入接口和第二输出接口。

[0079] 所述PEDC A系的以太网输出端与第一级门控单元DCU的第一输入接口电连接，所述PEDC A系的以太网输入端与末级门控单元DCU的第一输出接口电连接，所述门控单元DCU的第一输出接口逐个与下一级门控单元DCU的第一输入接口电连接；所述PEDC B系的以太网输出端与第一级门控单元DCU的第二输入接口电连接，所述PEDC B系的以太网输入端与末级门控单元DCU的第二输出接口电连接，所述门控单元DCU的第二输出接口逐个与下一级门控单元DCU的第二输入接口电连接。

[0080] 可靠性设计：PEDC与DCU一共设计了两路冗余的安全通信环网，得益于DCU安全从站设计了两路独立且相互隔离的以太网接口，可以实现当某一系PEDC完全离线的情况下，DCU内部从站FSOE接口会自动切换至另外一路，从而能够维持开关门控制指令的正常下发。从网络接口可靠性的角度来看，只要PEDC两系四个网口中还有一个维持正常，或者单个DCU四个网口中还有一个维持正常，安全通信开关门功能都继续维持，充分体现该网络通信开关门控制方案的高可靠性。

[0081] 所述开关门控制方法对第一通信拓扑结构与第二通信拓扑结构的故障处理方法为：

[0082] 如果第一通信拓扑结构与第二通信拓扑结构中一者发生故障另一者正常工作时，门控单元DCU接收二者中正常工作的一者的主站安全协议数据单元，由FSOE从站对主站安全协议数据单元处理得到响应开关门控制命令并响应从站安全协议数据单元，将从站安全协议数据单元经第一通信拓扑结构与第二通信拓扑结构中正常工作的一者传递。

[0083] 同步性设计：由于PEDC与DCU之间的安全通信机制需要点对点维护，为了解决与多台DCU维护通信时PEDC软件内部的处理延时造成出现DCU开关门命令接收延迟的情况，PEDC在EtherCAT数据传输接口设计了一个数据同步机制，如图6所示，实现了开关门命令下发的同步性。同时，EtherCAT网络100Mbps的网络传输带宽，也使得通信传输的实时性得到保障。

[0084] 所述开关门控制方法对站台门控制器PEDC和多个门控单元DCU的通信同步方法包括以下步骤：

[0085] 1)站台门控制器PEDC接收从站安全协议数据单元；

[0086] 2)向FSOE主站发送开关门控制命令；

[0087] 3)由FSOE主站将开关门控制命令处理为主站安全协议数据单元；

[0088] 4)如未完成对所有门控单元DCU的从站安全协议数据单元的遍历处理，则返回步骤3)；

[0089] 5)同步更新与门控单元DCU接口的主站安全协议数据单元；

[0090] 6)站台门控制器PEDC的FSOE主站发送主站安全协议数据单元。

[0091] 本实施例描述了一种基于站台门控制系统双环网安全通信开关门控制技术的实现多个编组安全通信开关门的案例。

[0092] PEDC部署案例介绍

[0093] 所述站台门控制器PEDC的主控芯片为AMD‑Xilinx XCZU2CG，所述主控芯片集成有TM TM两个Cortex ‑A53处理器核心、两个Cortex ‑R5实时处理单元以及16nm FinFET+可编程逻辑，形成异构处理系统。采用了2取2的架构和双核锁步LockStep设计，这种架构通过双重冗余来确保系统的稳定运行，通过2取2来确保系统的安全性。在A53的Linux环境中运行Ethercat主站，Fsoe主站以及开关门命令采集处理模块部署在了R5跟软核之间，实现了2取
2的异构处理。

[0094] 图7的PEDC安全通信开关门软件架构图中：

[0095] APP1：为系统通讯模块，负责与其它专业(信号系统、综合监控系统通讯等)。

[0096] APP2：为系统监控模块，负责监控站台门系统运行状态。

[0097] APP3：为系统的控制模块，负责站台门开关门控制。

[0098] 组件1：为计算机网络的网络层组件。

[0099] 组件2：为计算机网络的应用层组件。

[0100] 通信接口1、通信接口2：两者一样，为硬线。

[0101] 通讯接口3：为系统的网络通讯接口，包括EtherCAT网口。

[0102] PEDC将系统的开关门采集控制模块以及FSOE主站，部署在处理器R5，处理器Microblaze，实现二取二的一种控制，在A53的Linux环境中运行Ethercat主站用于传输安全通信数据。

[0103] DCU部署案例介绍

[0104] 所述门控单元DCU的第一处理器和第二处理器均为两颗集成了Ethercat从站ESC内核的瑞萨RX72M处理器；使得从站具备两路完全独立的以太网接口，单路网络采用一进一出的设计。两个核心部署了Fsoe从站以及开关门控制执行模块实现2取2的处理，为了实现从站网络冗余切断在两个核心都部署了独立的Ethercat从站，以及用于备系冗余导切传输安全通信数据所用的串行同步数据接口。

[0105] 本实施例具备以下优势：

[0106] 1.通信控制方案的灵活性：突破了传统硬线控制的局限，这种安全通信开关门技术方案使得站台门能够完全适应不同车型和编组的列车，以及虚拟编组的部署应用等，为站台门控制系统提供了前所未有的灵活性，这对于应对轨道交通中多样化的运营需求至关重要。

[0107] 2.通信控制方案的可靠性：在DCU内部基于双核架构采用隔离的双网络从站接口方案设计，为主系PEDC与备系PEDC创造了独立的两路环网架构，充分提高了通信开关门方案可靠性。

[0108] 3.通信控制方案的安全性：该方案的PEDC与DCU均采用2取2架构，这种架构设计下，使得开关门命令传输过程能够克服各类单点故障带来的危害，大大提高了站台门控制系统开关门命令传输的安全性，使得方案能够广泛适用各类复杂以及安全需求大的应用场景。

[0109] 总之该双环网安全通信控制技术部署在具备2取2架构的PEDC和DCU上，FSOE安全通信也采用2取机制进行安全数据的校验解析，确保了数据传输的安全性和准确性，消除了单点故障带来的危害风险，显著提高了开关门功能的安全性。

[0110] 基于EtherCAT网络部署的“冗余主站+冗余从站”的双环网结构，系统能够在任一主站发生故障或网络接口发生故障时自动切换至备用通信传输路径，维持开关门控制指令的正常下发。这种冗余设计不仅减少了单点故障的风险，而且提高了系统的容错能力，确保了在各种异常情况下站台门控制系统的稳定运行，充分体现了控制方案的高可靠性。

[0111] 技术方案通过通信自动适应实现对应多个编组开关门控制，提供了对不同车型和编组的灵活适应能力。这种灵活性主要得益于安全通信方案的实现，使得系统能够快速响应不同列车的开关门需求。此外，系统的自动化水平提高，减少了人为干预的风险，提升了站台的整体安全管理水平，同时也适应了多种编组车型混合运行的需求，增强了系统的适用性和灵活性。

[0112] 利用EtherCAT网络的100Mbps传输带宽，确保了通信传输的高实时性，满足了站台门控制系统对于大数据量和快速响应的需求。这种高实时性的网络传输能力，保证了开关门命令的快速下发和执行，减少了通信延迟，提高了系统的响应速度。同时，较大的数据带宽也为系统提供了更多的数据处理接口，提升了系统的整体性能。

[0113] 网络传输的长距离优势，使其能够适应更多电气部署环境复杂的场景。同时，技术方案不仅适用于地铁站台门，还能够广泛应用于高铁站台门等轨道交通领域。这种普遍适用性使得技术方案具有广泛的市场应用前景。无论是新项目建设还是老项目改造，技术方案都能够提供有效的解决方案，满足不同轨道交通场景的需求。这种广泛的适用性，使得技术方案能够在多种环境下发挥作用，为轨道交通站台门控制系统提供了一种全新的安全通信控制方案。

[0114] 在站台门控制系统中提出一种部署在PEDC(Platform Edge Door Controller)与DCU(Door Control Unit)之间安全通信控制方案，用于适配不同编组车辆场景情况下，站台门控制系统能够通过通信自动适应实现对应多个编组开关门控制，也能确保通信开关门控制的同步性。同时，能够解决通信方案自身的安全性以及可靠性问题。这种方案能够普遍应用到轨道交通领域，包括不限于地铁站台门以及高铁站台门等场景。

[0115] 以上所述实施例仅表达了本发明的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。