基于FlexRay总线的分布式车载安全计算机系统设计

孙俊勇，罗显光，许晋荣，曾 军，石建强

（1. 大功率交流传动电力机车系统集成国家重点实验室，株洲 412000；2. 中车株洲电力机车有限公司 产品研发中心，株洲 412000；3. 兰州交通大学 自动控制研究所，兰州 730070）

随着无线通信、计算机等技术的快速发展，轨道交通车辆的智能化、自主化水平也越来越高，对传统安全计算机的功能和性能提出了更高的要求[1-2]。目前，车载安全计算机主要采用6 U单机箱设计（U是由美国电子工业协会规定的一种表示服务器外部尺寸的单位，规定的长度范围为360～725 mm，宽度约为483.6 mm，高度约为44.45 mm）。采用6 U机箱设计的重要原因是：（1）可以在一块独立板上实现两块主控板和一块表决板的布板设计，完成二取二表决计算；（2）采用两块相同的独立板，即可实现二乘二取二架构[3]。

对于有轨电车和新型的虚拟轨道胶轮列车，安装空间非常紧凑[4-5]，6 U机箱机械尺寸较大，不便于车载设备的灵活配置和功能扩展。针对上述问题，本文设计了一种基于FlexRay总线的分布式车载安全计算机系统。系统由两套3 U独立机箱组成，单套机箱内部采用FlexRay总线组成二取二安全计算机，两套机箱组成二乘二取二的安全计算机系统，该系统不仅具有高性能、高安全性特点，并且安装配置灵活，可以为车载安全计算机的设计提供参考。

1 架构设计

1.1 总线选择

通常，安全计算机选择RS485、控制器局域网络（CAN，Controller Area Network）、以太网和Flex-Ray等作为通信总线[6-9]，随着安全计算机需要处理的数据越来越多，原有的RS485、CAN等无法满足传输速率的要求，以太网和FlexRay总线已成为安全计算机的主要选择。以太网的优点是通信速率高，通用性强，但是无法保证实时性，需要移植实时安全协议，并且只能点对点通信，依赖于交换机连接各个通信节点；FlexRay总线具有CAN总线的实时性，同时，具有较高的传输速率和容错能力，已应用于计算机联锁系统中。

FlexRay总线高容错能力、高实时性的特点可满足车载计算机的安全要求；双通道、高达20 Mbit/s的速率可满足车载计算机的数据通信需求；FlexRay总线布置方便，传输参数配置灵活，降低了单套安全计算机内部及两套安全计算机之间通信的设计难度，因此，本文采用FlexRay总线作为车载安全计算机的系统总线。

1.2 系统架构

为了实现高性能、小型化的目标，本文设计的基于FlexRay总线的分布式车载安全计算机系统架构，如图1所示。该系统由两套相同的3 U机箱和主/备切换模块组成。

图1 分布式车载安全计算机系统架构

每套机箱中，两块主控板和一块表决板组成二取二架构，还设有两块冗余电源板，I/O板和通信板。I/O板的数量根据车载使用的输入/输出点位配置；通信板根据需要配置，可以是多功能车辆总线（MVB，Multifunction Vehicle Bus）通信板、也可以是以太网通信板、CAN通信板等。

主/备切换模块采用1 U机箱设计，两套安全计算机分别通过传输高/低电平信号的缆线连接到主/备切换模块，实现两套二取二安全计算机主/备切换，保证只有一套设备为主用设备；两套安全计算机的表决板之间通过FlexRay总线连接，实现数据的通信和同步，保证主/备切换后数据的一致性。

上述分布式车载安全计算机系统具有如下特点。

（1）安全计算机A和安全计算机B均采用3 U小型化机箱，两套设备可以分布式放置在车辆不同的位置，也可采用集中式放置在相同的位置，安装配置灵活。当采用分布式放置时，可增加独立的1 U主/备切换模块实现连接；当采用集中式放置时，切换模块可以集成到安全计算机A或安全计算机B中。

（2）主/备切换模块可以作为独立设备，主要实现安全计算机A和安全计算机B的主/备切换，保证在任意时刻只有一个是主设备。

（3）安全计算机A和安全计算机B通过FlexRay双通道通信总线实现双机之间的数据同步。

分布式的安全计算机系统配置灵活，应用场景多，两套安全计算机组合构成二乘二取二架构，满足较高的安全完整性等级（例如SIL（Safety Integrity Level）4级）要求；单独的一套二取二安全计算机可以作为通用的控制平台，满足较低的安全等级（例如SIL2级）需求。

2 硬件设计

由于两套二取二安全计算机设计相同，因此，本文主要介绍单套二取二安全计算机主控板和表决板的设计。

2.1 主控板设计

单套安全计算机内的两块主控板设计相同，以一块主控板的设计为例，其硬件结构如图2所示。

图2 主控板硬件结构

主控板通过双通道FlexRay-A和FlexRay-B实现与表决板的数据交互。为了便于功能扩展、数据管理和协议处理，主控板采用现场可编程门阵列（FPGA，Field Programmable Gate Array）模块实现CPU与FlexRay的 连 接；CPU采 用 NXP i.MX6Dual高性能芯片，主频高达1.2 GHz，具有强大的计算能力，可以满足当前车辆智能化控制的需求；两块主控板之间通过I/O接口发送动态信号；通过串行通信接口实现数据同步。

2.2 表决板设计

为了保证两块主控板结构的一致性和安装调试的便利性，单独设计了表决板。表决板用于对两块主控板输入数据的管理和输出数据的表决，同时，与另一套安全计算机进行数据通信，实现两套安全计算机的数据同步，是安全计算机的核心，其硬件结构如图3所示。

图3 表决板硬件结构

表决板通过双通道FlexRay-A/B与主控板进行数据通信；通过双通道FlexRay-C/D与通信板（包括以太网通信板、MVB通信板和CAN通信板等）进行数据交互；通过单通道FlexRay-E与另一套安全计算机表决板通信，实现两套安全计算机之间的数据同步。上述设计中，单套安全计算机内部采用双通道设计，保证可靠性和安全性；两套安全计算机之间采用单通道设计，通过冗余架构提升系统可用性。

动态电路主要用于接收两块主控板的动态信号，并驱动电路发送电平信号到主/备切换模块，实现主/备切换，通过硬件电路保证同一时刻只有一个设备为主用设备；主/备切换状态采集电路采集主/备切换模块的状态，用于主/备切换处理。

表决板中，FPGA通过FlexRay-C/D实现对通信板数据的组包、解包、一分二和二取一处理；通过FlexRay-A/B实现主控板数据的硬件表决；FPGA将两块主控板数据发送给表决板的CPU，该CPU通过软件实现两块主控板数据的软件表决。FPGA和CPU共同完成二取二表决，避免共因失效，保证系统的安全性。

3 软件功能设计

安全计算机软件采用C语言编程，运行在主控板上，其主要功能包括单套安全计算机的同步和表决，以及两套安全计算机的同步和主/备切换。本文主要介绍其软件功能。

3.1 单套安全计算机数据同步

3.1.1 数据同步原理

单套安全计算机中两块主控板通过FlexRay总线与表决板通信，同时，配置的通信板（MVB、以太网、CAN等）也通过FlexRay总线与表决板通信。单套安全计算机的数据同步原理如下：

（1）安全计算机通过配置的通信板采集外部数据（网络数据、I/O数据等）；

（2）通信板通过FlexRay-C/D将数据发送给表决板；

（3）表决板将接收的通信板数据进行一分二处理，并将相同的数据分别通过FlexRay-A和FlexRay-B发送到两块主控板；

（4）两块主控板之间通过串行通信接口实现数据同步；

（5）主控板I和主控板II将计算处理后的数据通过FlexRay-A和FlexRay-B发送到表决板；表决板通过CPU和FPGA对数据进行二取二表决处理（比较两个主控板发送到表决板的数据是否一致），若数据一致则将输出结果发送到通信板，进而通信板发送数据到外部系统。

3.1.2 数据同步设计

单套安全计算机的主控板I、主控板II和表决板组成核心的二取二架构，两块主控板分别对表决板发送的外部数据进行逻辑运算，并将运算结果分别发送到表决板进行表决判断，由表决板确定数据是否输出。为了保证两块主控板运算的结果具有表决的意义，需要保证两块主控板之间的数据保持同步，并对无法实现同步的情况进行安全导向处理。

主控板I和主控板II采用串行通信接口周期性地互发同步数据帧，同步数据帧主要包括数据包序列号、外部输入数据、输出的逻辑运算结果和FlexRay状态等，并增加循环冗余校验（CRC，Cyclical Redundancy Check）码。

当主控板接收另一主控板同步数据帧时，对CRC码进行安全校验，只有校验通过的数据才有效，否则将丢弃。如果一主控板在连续若干个周期内（周期可配置，一般为3个周期）均未收到另外一主控板的有效数据，则判断与另一主控板的数据不同步，则将本套安全计算机进行降级处理，例如将其从主用状态降级为故障状态。

此外，如果两块主控板之间的同步时间超过系统设定的运算周期，则每块主控板进行累计计时，如果连续若干个周期内（可配置）的同步时间都超过设定的运算周期，则对本套安全计算机进行降级处理。

3.2 两套安全计算机的切换和数据同步

单套安全计算机的二取二设计主要是保证系统运行的安全性；两套相同的安全计算机通过切换模块连接，以热备冗余的方式组成二乘二取二架构，主要用来提升安全计算机的可用性。

为了保证安全计算机的备用设备升级为主用设备时数据的连续性，两套安全计算机之间需要保持数据的一致性；同时，需要保证在同一时刻只有一套安全计算机处于主用状态对外输出。本章主要介绍两套安全计算机的切换和数据同步设计。

3.2.1 两套安全计算机切换逻辑

如图1所示，安全计算机A和安全计算机B通过缆线连接主/备切换模块，其切换逻辑如下：

（1）单套安全计算机的主控板通过背板电路发送动态信号到表决板，表决板根据接收到的主控板动态信号，向主/备切换模块持续发送电平信号；

（2）主/备切换模块根据获得的安全计算机A和安全计算机B发送的电平信号的先后顺序，判断主/备状态，并利用继电器电路将切换状态锁定；

（3）安全计算机A和安全计算机B的表决板分别通过缆线回采主/备切换模块的电平信号，获得自身的状态信息，回采到高电平信号则为主用，回采到低电平信号则为备用；

（4）当主用设备检测到故障，则停止发送电平信号，主/备切换模块进行安全计算机A和安全计算机B的切换并锁定；同时表决板在软件逻辑上实现主/备状态的切换；

（5）原备用设备回采到高电平信号，则备用设备升级为主用设备。

3.2.2 两套安全计算机数据同步

如图1所示，安全计算机A和安全计算机B通过缆线连接切换模块实现主/备设备的切换，两套安全计算机的表决板通过FlexRay-E总线进行数据同步，保证两套安全计算机切换时数据的一致性。安全计算机A与安全计算机B的数据同步设计如下：

（1）当安全计算机A和安全计算机B分别处于主用和备用的工作状态时，安全计算机A和安全计算机B之间周期性地互相发送心跳帧，包括运算结果校验码、运行周期编号和工作模式；

（2）当备用设备根据心跳帧发现与主用状态不一致时，则备用设备通过FlexRay-E总线向主用设备发送同步请求帧；

（3）主用设备接收到同步请求帧后，也通过FlexRay-E总线发送同步数据到备用设备；

（4）备用设备表决板接收主用设备发送的同步数据，并检测本套设备两块主控板的状态，若两块主控板状态相同，则将自身的数据同步为接收的主用设备状态，保证主/备设备的无间断切换。

4 结束语

本文针对车辆智能化发展对车载安全计算机提出的高性能、小型化的需求，提出了一种基于FlexRay总线的分布式车载安全计算机系统设计方案。系统中的两套安全计算机均采用3 U小型化机箱设计，设计了单套安全计算机内的数据同步方法和两套安全计算机间的数据同步方法，以及主/备设备的切换方法。

该分布式小型化的车载安全计算机系统可以采用一体式的安装方式，也可以根据需要，将两套安全计算机分散安装在车辆的不同机柜中，方便灵活，尤其适合有轨电车、新型的虚拟轨道胶轮列车等安装空间较为紧张的车辆。目前，基于该论文的设计方法已经完成了两套3 U机箱的样机试制和系统搭建，下一步将进行二乘二取二的软件功能验证工作。