孟雅婷,梁玉琦
(兰州交通大学光电技术与智能控制教育部重点实验室,兰州 730070)
随着全电子计算机联锁单元的出现,传统安全型继电器联锁的使用逐渐减少[1]。全电子执行单元在全电子计算机联锁系统中实现传统6502电气集中联锁系统中执行组电路的功能,主要工作是对现场设备的控制和信息采集,其中提供的通信接口也可实现与计算机联锁系统和邻站之间的通信。目前存在的电子通信单元大多数采用可实时控制的串行通信网络控制器区域网总线(Controller Area Network,CAN),它具有实时性高、开发周期短等特点。随着现场对信号快速且稳定传输的要求越来越高,可变速率的控制器区域网总线(Controller Area Network With Flexible Data-Rate,CAN-FD)进入大众视野。它在继承CAN总线优点的同时,具备更高的传输速率和更长的报文有效数据。本文所设计的全电子通信单元对系统响应时间、总线负载和共因失效3方面进行了改善。
CAN在实际应用中的传输速率小于1 Mbit/s,在数据传输需求越来越高的今天,CAN的不足越来越明显。Bosch在2011年发布CAN-FD,它不仅拥有CAN分布式实时监控、双线串行通讯协议、有效避免总线冲突和抗电磁干扰能力强等方面的优势,而且对网络通信带宽、传输速度和错误帧漏检等方面做出改进。
CAN-FD和CAN的仲裁比特率相同,为最高1 Mbit/s,但数据比特率最高可达到8 Mbit/s,甚至更高。如图1所示,仲裁阶段和数据控制阶段的波特率为1 Mbit/s,但中间的数据传输阶段的波特率是可变的。
图1 可变速率示意Fig.1 Variable rate diagram
CAN报文的有效数据场字节数为8,CAN-FD在此基础上进行扩充,最大可达到64个字节。当数据长度码DLC小于或等于7时,CAN-FD与CAN数据场情况一致,当DLC大于或等于8时,有一个非线性增长[2]。CAN和CAN-FD数据场对比如图2所示,对于无钥匙进入及启动系统(Passive Entry Passive Start,PEPS),模块的身份认证只需要一条报文即可完成。
图2 CAN和CAN-FD数据场对比Fig.2 Comparison between CAN and CAN-FD data fields
传统CAN保持通信同步的方式会造成循环冗余校验码的干扰,CAN-FD在此基础上进行优化,从之前的15位扩展到21位。CAN-FD的循环冗余校验(Cyclic Redundancy Check, CRC)包括整个数据段和帧起始位的奇偶校验保护位和填充位。对CRC的计算结果进行比较后,判断是否可以正常接收。
CAN-FD帧报文的控制场中增加了扩展数据长度位(Extended Data Length,EDL),比特率开关位(Bit Rate Switch,BRS)和错误状态指示位(Error State Indicator,ESI)。EDL位实现CAN数据帧中保留位r的功能,即隐性为CAN-FD报文,显性为CAN报文;BRS位实现位速率转换,即隐性表示可变速率,显性表示不转换速率;ESI位可以快捷的知晓当前发送节点的状态。
基于二乘二取二的全电子计算机联锁系统已经投入使用,其具有过流保护功能,实现了信号的控制、监测、监督一体化[3],且运行稳定、可靠。全电子执行系统实现“二取二”逻辑控制和闭环检测,通过双路冗余CAN总线执行单元控制现场设备,配合地面安全平台满足应用场景的需要。作为执行机构,电子执行单元可以根据实际应用需求,配置不同的模块以适应现场的情况[4]。各个执行单元的硬件设计大多相似,均采用“二取二”结构。执行模块主要由微控制器、通信电路、采集电路和其他辅助电路组成。
全电子计算机联锁系统在安全性、可靠性和实时性上的要求都十分高,其中安全性必须达到SIL4认证[5]。全电子执行单元作为负责现场控制和采集的重要一环,它的安全性和可靠性对整个联锁系统的意义重大。SIL4低操作模式下的平均失效概率范围为10-5~10-4,高操作模式或连续操作模式下的平均失效概率范围为10-9~10-8。
冗余结构已经在信息通信系统中广泛应用。冗余就是在某些部件或功能上进行必要的重复配置,以达到安全性和可靠性的提升。冗余结构已经被视为铁路行业权衡计算机联锁系统的重要标准。常见的冗余结构有双机热备冗余、二取二冗余和二者结合的二乘二取二冗余[6]。
双机热备指两台微控制单元(Micro Controller Unit,MCU)相互备份,完成相同的工作。如图3所示,MCU A和MCU B同时进行逻辑运算,但是只有一台设备向外传输指令。当系统开始工作时,其中一台MCU开始正常工作,另一台处于待机状态,一旦正常工作的MCU出现故障,另一台开始运行,完成相同的工作,即故障检查、逻辑运算和传输指令。双机热备冗余需要硬件和软件配合才能实现两系之间的自动切换,是技术层面上实现可靠性较难的一种冗余防止方式[7]。
图3 双机冗余结构Fig.3 Dual redundancy structure
“二取二”是十分典型的冗余结构,常用来实现故障-安全机制。MCU A和MCU B分别进行逻辑运算,只有当两部分运算结果相同时才能输出指令,是一种安全性较强的结构,如图4所示。
图4 二取二冗余结构Fig.4 2 out of 2 redundancy structure
二取二冗余结构与双机热备冗余结构最大的区别是冗余目的。前者是为避免错误地执行指令,优先保证系统的安全性;后者的主、备两系提高了系统的可靠性,避免正在运行的MCU出现故障时的宕机状态。二取二逻辑主要通过与门和异或门实现,如图5所示。
图5 二取二冗余结构逻辑示意Fig.5 2 out of 2 redundancy structure logic diagram
在每个冗余结构的基本单位相同的前提下,设1个基本单位的失效率为λ,如图6所示,双机热备冗余结构的可靠度为y1=2e-λt-e-2λt,二取二冗余结构的可靠度为y2=e-2λt;设基本单元的危险失效率是λD,如图7所示,双机热备结构的安全度为y1=e-2λDt,二取二冗余结构的安全度为y2=2e-λDt-e-2λDt。从图 6、7中可以看出,冗余结构的安全性和可靠性是此增彼减的[8]。
图6 两种冗余结构的可靠性对比Fig.6 Reliability comparison of two redundancy structures
图7 两种冗余结构的安全性对比Fig.7 Safety comparison of two redundancy structures
本文设计的是全电子执行单元中的通信电路部分,主要实现功能包括与联锁机的交互、“二取二”逻辑、MCU之间的通信和邻站间的互通。
当正在工作的设备发生故障,双机热备冗余结构需要一定的故障容错时间和设备转换时间,会造成系统响应时间加长,甚至输出错误指令,可靠性有所提升的同时降低了安全性。当所有数据集中在同一条总线上时,负载翻倍,系统的稳定性也有所降低。在保证系统的安全性且增强系统可靠性的前提下,本文设计的全电子通信单元采用“二取二”冗余结构。传统的总线大部分采用CAN总线,其传输速率越来越不能满足现场的需求,而且容易产生“丢包”“漏包”的情况,传输速率更高和报文有效数据长度更长的CAN-FD越来越频繁的应用到各个领域。
如图8所示,在该结构中,由两路MCU实现“二取二”安全逻辑,第三路MCU分别于两路MCU和邻站通信接口电路相连接,实现“二取二”比较、与邻站间的通信以及与联锁机的交互。两路CAN-FD总线以冗余方式与联锁机通信,第三路CAN-FD起到监测作用。
图8 全电子通信单元结构Fig.8 Full electronic communication unit structure
联锁机以冗余的方式与两条CAN-FD连接,重复的配置可以起到提高安全性和可靠性的目的。为减少总线负载压力,主体部分新增MCU C,用来接收MCU A和MCU B“二取二”结果进而进行比较。MCU A和MCU B分别进行逻辑运算,将结果发送到MCU C中,只有在MCU A和MCU B中的运算结果一致时,MCU C才能传输指令。为防止共因失效,MCU A和MCU B应该采取不同型号的芯片。
车站信号设备包括信号机、轨道电路、道岔和零散电路。信号机状态由信号控制模块监督。根据相关设备的状态来控制信号机的点亮和熄灭,并采集相关状态信息进行传输。轨道电路的作用是检测列车的运行位置和传输行车信息,具体可以明确列车位置、检测出清及占用和显示地面有关信息。道岔有“定位”“反位”和“四开”三种形态,与转辙机密切相关。主要工作是控制转辙机动作和采集转辙机位置。零散模块对零散电路进行控制,实现断路器报警、电源监督等功能。
本文设计的全电子通信单元采用CAN-FD,提升了传输速率,改进的“二取二”冗余结构在保证系统安全性的前提下,增强系统可靠性,减缓总线的负载压力,实现控制监测一体化,为铁路信号设备的升级提供基础。