严 敢,齐春晨
(1.北京全路通信信号研究设计院集团有限公司,北京 100070;2.北京市高速铁路运行控制系统工程技术研究中心,北京 100070)
CTCS-3级列车控制系统是一个故障-安全的高安全等级系统,车载系统通过无线GSM-R网络,获取行车许可等信息,按照地面控制系统的指令进行车辆运行控制。
以国内武广高度铁路线的ATP车载为例,ATP车载设备由以下单元/模块组成。
1)安全计算机(VC);
2)轨道电路信息接收单元(TCR);
3)应答器信息接收模块(BTM)及应答器天线;
4)无线通信模块(RTU);
5)人机界面(DMI);
6)列车接口单元(TIU);
7)测速测距传感器。
其中,安全计算机(VC),作为核心处理设备,承担了ATP车载设备的核心处理逻辑,是ATP车载设备最重要的部件。VC主要包含如下几个部分。
1)主控逻辑单元;
2)测速测距单元;
3)安全输入输出单元;
4)通信接口单元;
5)安全通信单元。
车载ATP设备的结构示意如图1所示。
图1 CTCS-3级列车控制系统ATP车载设备结构示意Fig.1 Structure diagram of CTCS-3 ATP onboard equipment
SBP安全总线完成安全计算机平台中的板间安全通信功能,完成主控板之间、主控板和功能板之间的数据交互,向上层提供经过校验和可靠性验证的数据链路。SBP安全总线采用点对点的主-从工作模式,使用3条信号线进行串行数据通信。
SBP安全总线需要识别并报告所有硬件取二错误,识别并检测链路的连接状态、硬件的错误状态,能够保证数据发送的完整性和可控性,检测干扰的存在,进行上电自检和运行周期检测。
SBP通信模块由SBP主端模块(SBP Master)、SBP从端模块(SBP Slave)和连接模块组成。为满足安全完整性需求,系统架构采用双系同构方式(M系和N系),两系独立运行,形成二乘二结构,两系运行在关键节点处进行取二操作,保证运行结果的正确性。其连接方式如图2所示。
图2 SBP总线主从的连接方式Fig.2 Connection diagram of master-slave SBP bus
在SBP传输协议中,明确区分取二错误和传输链路错误,两种错误可以分别检测并具备功能完整性检测功能。
SBP的传输协议分为MAC层和PHY层,其中MAC层完成传输状态的控制和寄存器堆的更新,MAC层对上提供寄存器访问接口,寄存器使用Memory Mapped映射;PHY层完成物理信号的传输和物理硬取二的实现,物理层的传输使用3根硬件连线,1根SCK时钟线由主端驱动,1根MO数据线由主端驱动,1根SO数据线由从端驱动。其体系结构如图3所示。
图3 SBP总线结构Fig.3 Structure of SBP bus
MAC模块对内控制链路的建立、数据传输的开始和结束、数据传输正确性的校验等机制。
SBP的通信过程由主端控制,4个步骤完成一次传输,周而复始。每个物理帧(数据帧或控制帧)需得到另一端的反馈(ACK/NACK)才能结束,若传输超时,则重新发起传输。4个阶段如图4所示。
图4 SBP Master通信过程Fig.4 SBP Master communication process
查询:主端发起查询帧,并等待从端应答。
状态:从端回复查询帧,并报告自己的状态,主端接收后应答该帧。
接收:若从端无数据待发,则该状态跳过;若有,则从端发送数据帧,主端接收后应答该帧。
发送:若主端无数据待发,则该状态跳过;若有,则主端发送数据帧,并等待从端应答。
其中,数据帧需要经过MAC层的打包和添加帧头、CRC校验等处理,经过处理之后的数据帧格式如图5所示。其中,每种数据帧格式对应一个通信过程,即在查询阶段,主端发送的数据帧格式为主端查询帧。
图5 SBP数据帧格式Fig.5 SBP data frame format
其具体的有限状态机模型如图6所示。
图6 SBP Master有限状态机Fig.6 SBP Master finite-state machine
MAC模块对内控制链路的建立、数据传输的开始和结束、数据传输正确性的校验等机制。
使能后,SBP Slave 的MAC模块进入等到状态,等待主端发送控制帧,根据控制帧的内容进行动作。
当成功接收到一个主端查询帧或者数据帧后,根据接收帧内容的不同,MAC模块转入不同的工作流程。若接收到查询帧,则其工作流程如图7所示。
图7 SBP Slave通信过程Fig.7 SBP Slave communication process
1)查询:应答主端查询帧。
2)状态:从端回复查询帧,并报告自己的状态,等待主端应答该帧。
3)接收:若从端无数据待发,则该状态跳过;若有,则从端发送数据帧并等待主端应答。
4)等待:若主端成功应答或超时,则从端进入等待状态。
若接收帧为数据帧,则从端应答该数据帧并回到等到状态。
其中,数据帧需要经过MAC层的打包和添加帧头、CRC校验等处理,经过处理之后的数据帧格式如图8所示。其中,每种数据帧格式对应一个通信过程,即在查询阶段,主端发送的数据帧格式为主端查询帧。
图8 SBP Slave数据帧格式Fig.8 SBP Slave data frame format
其具体的有限状态机模型如图9所示。
图9 SBP Slave有限状态机Fig.9 SBP Slave finite-state machine
针对国内CTCS-3级列车控制系统ATP车载设备的安全计算机平台内部通信总线,目前尚无安全的通信总线,本文通过对EN50159中有关封闭网络的安全网络需求的分析,研究设计一种采用硬件二乘二取二,能够将应用层数据分组打包且对应用层数据添加CRC编码和校验并且能检测点对点链路连接状态的主-从之间全双工的数据通信等多项通信功能和安全保障功能的总线,有效解决车载平台内部安全通信问题。