適用于CTCS-3級安全計算機平臺的SBP安全總線設(shè)計

嚴(yán) 敢，齊春晨

(1.北京全路通信信號研究設(shè)計院集團(tuán)有限公司，北京 100070；2.北京市高速鐵路運行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

1 概述

CTCS-3級列車控制系統(tǒng)是一個故障-安全的高安全等級系統(tǒng)，車載系統(tǒng)通過無線GSM-R網(wǎng)絡(luò)，獲取行車許可等信息，按照地面控制系統(tǒng)的指令進(jìn)行車輛運行控制。

以國內(nèi)武廣高度鐵路線的ATP車載為例，ATP車載設(shè)備由以下單元/模塊組成。

1）安全計算機（VC）；

2）軌道電路信息接收單元（TCR）；

3）應(yīng)答器信息接收模塊（BTM）及應(yīng)答器天線；

4）無線通信模塊（RTU）；

5）人機界面（DMI）；

6）列車接口單元（TIU）；

7）測速測距傳感器。

其中，安全計算機（VC），作為核心處理設(shè)備，承擔(dān)了ATP車載設(shè)備的核心處理邏輯，是ATP車載設(shè)備最重要的部件。VC主要包含如下幾個部分。

1）主控邏輯單元；

2）測速測距單元；

3）安全輸入輸出單元；

4）通信接口單元；

5）安全通信單元。

車載ATP設(shè)備的結(jié)構(gòu)示意如圖1所示。

圖1 CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備結(jié)構(gòu)示意Fig.1 Structure diagram of CTCS-3 ATP onboard equipment

SBP安全總線完成安全計算機平臺中的板間安全通信功能，完成主控板之間、主控板和功能板之間的數(shù)據(jù)交互，向上層提供經(jīng)過校驗和可靠性驗證的數(shù)據(jù)鏈路。SBP安全總線采用點對點的主-從工作模式，使用3條信號線進(jìn)行串行數(shù)據(jù)通信。

SBP安全總線需要識別并報告所有硬件取二錯誤，識別并檢測鏈路的連接狀態(tài)、硬件的錯誤狀態(tài)，能夠保證數(shù)據(jù)發(fā)送的完整性和可控性，檢測干擾的存在，進(jìn)行上電自檢和運行周期檢測。

2 SBP總線結(jié)構(gòu)

SBP通信模塊由SBP主端模塊（SBP Master）、SBP從端模塊（SBP Slave）和連接模塊組成。為滿足安全完整性需求，系統(tǒng)架構(gòu)采用雙系同構(gòu)方式（M系和N系），兩系獨立運行，形成二乘二結(jié)構(gòu)，兩系運行在關(guān)鍵節(jié)點處進(jìn)行取二操作，保證運行結(jié)果的正確性。其連接方式如圖2所示。

圖2 SBP總線主從的連接方式Fig.2 Connection diagram of master-slave SBP bus

在SBP傳輸協(xié)議中，明確區(qū)分取二錯誤和傳輸鏈路錯誤，兩種錯誤可以分別檢測并具備功能完整性檢測功能。

SBP的傳輸協(xié)議分為MAC層和PHY層，其中MAC層完成傳輸狀態(tài)的控制和寄存器堆的更新，MAC層對上提供寄存器訪問接口，寄存器使用Memory Mapped映射；PHY層完成物理信號的傳輸和物理硬取二的實現(xiàn)，物理層的傳輸使用3根硬件連線，1根SCK時鐘線由主端驅(qū)動，1根MO數(shù)據(jù)線由主端驅(qū)動，1根SO數(shù)據(jù)線由從端驅(qū)動。其體系結(jié)構(gòu)如圖3所示。

圖3 SBP總線結(jié)構(gòu)Fig.3 Structure of SBP bus

3 SBP Master控制狀態(tài)機設(shè)計

MAC模塊對內(nèi)控制鏈路的建立、數(shù)據(jù)傳輸?shù)拈_始和結(jié)束、數(shù)據(jù)傳輸正確性的校驗等機制。

SBP的通信過程由主端控制，4個步驟完成一次傳輸，周而復(fù)始。每個物理幀（數(shù)據(jù)幀或控制幀）需得到另一端的反饋（ACK/NACK）才能結(jié)束，若傳輸超時，則重新發(fā)起傳輸。4個階段如圖4所示。

圖4 SBP Master通信過程Fig.4 SBP Master communication process

查詢：主端發(fā)起查詢幀，并等待從端應(yīng)答。

狀態(tài)：從端回復(fù)查詢幀，并報告自己的狀態(tài)，主端接收后應(yīng)答該幀。

接收：若從端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過；若有，則從端發(fā)送數(shù)據(jù)幀，主端接收后應(yīng)答該幀。

發(fā)送：若主端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過；若有，則主端發(fā)送數(shù)據(jù)幀，并等待從端應(yīng)答。

其中，數(shù)據(jù)幀需要經(jīng)過MAC層的打包和添加幀頭、CRC校驗等處理，經(jīng)過處理之后的數(shù)據(jù)幀格式如圖5所示。其中，每種數(shù)據(jù)幀格式對應(yīng)一個通信過程，即在查詢階段，主端發(fā)送的數(shù)據(jù)幀格式為主端查詢幀。

圖5 SBP數(shù)據(jù)幀格式Fig.5 SBP data frame format

其具體的有限狀態(tài)機模型如圖6所示。

圖6 SBP Master有限狀態(tài)機Fig.6 SBP Master finite-state machine

4 SBP Slave控制狀態(tài)機設(shè)計

MAC模塊對內(nèi)控制鏈路的建立、數(shù)據(jù)傳輸?shù)拈_始和結(jié)束、數(shù)據(jù)傳輸正確性的校驗等機制。

使能后，SBP Slave 的MAC模塊進(jìn)入等到狀態(tài)，等待主端發(fā)送控制幀，根據(jù)控制幀的內(nèi)容進(jìn)行動作。

當(dāng)成功接收到一個主端查詢幀或者數(shù)據(jù)幀后，根據(jù)接收幀內(nèi)容的不同，MAC模塊轉(zhuǎn)入不同的工作流程。若接收到查詢幀，則其工作流程如圖7所示。

圖7 SBP Slave通信過程Fig.7 SBP Slave communication process

1）查詢：應(yīng)答主端查詢幀。

2）狀態(tài)：從端回復(fù)查詢幀，并報告自己的狀態(tài)，等待主端應(yīng)答該幀。

3）接收：若從端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過；若有，則從端發(fā)送數(shù)據(jù)幀并等待主端應(yīng)答。

4）等待：若主端成功應(yīng)答或超時，則從端進(jìn)入等待狀態(tài)。

若接收幀為數(shù)據(jù)幀，則從端應(yīng)答該數(shù)據(jù)幀并回到等到狀態(tài)。

其中，數(shù)據(jù)幀需要經(jīng)過MAC層的打包和添加幀頭、CRC校驗等處理，經(jīng)過處理之后的數(shù)據(jù)幀格式如圖8所示。其中，每種數(shù)據(jù)幀格式對應(yīng)一個通信過程，即在查詢階段，主端發(fā)送的數(shù)據(jù)幀格式為主端查詢幀。

圖8 SBP Slave數(shù)據(jù)幀格式Fig.8 SBP Slave data frame format

其具體的有限狀態(tài)機模型如圖9所示。

圖9 SBP Slave有限狀態(tài)機Fig.9 SBP Slave finite-state machine

5 結(jié)束語

針對國內(nèi)CTCS-3級列車控制系統(tǒng)ATP車載設(shè)備的安全計算機平臺內(nèi)部通信總線，目前尚無安全的通信總線，本文通過對EN50159中有關(guān)封閉網(wǎng)絡(luò)的安全網(wǎng)絡(luò)需求的分析，研究設(shè)計一種采用硬件二乘二取二，能夠?qū)?yīng)用層數(shù)據(jù)分組打包且對應(yīng)用層數(shù)據(jù)添加CRC編碼和校驗并且能檢測點對點鏈路連接狀態(tài)的主-從之間全雙工的數(shù)據(jù)通信等多項通信功能和安全保障功能的總線，有效解決車載平臺內(nèi)部安全通信問題。