基于CAN-FD的全電子通信單元設計

孟雅婷，梁玉琦

（蘭州交通大學光電技術(shù)與智能控制教育部重點實驗室，蘭州 730070）

1 概述

隨著全電子計算機聯(lián)鎖單元的出現(xiàn)，傳統(tǒng)安全型繼電器聯(lián)鎖的使用逐漸減少[1]。全電子執(zhí)行單元在全電子計算機聯(lián)鎖系統(tǒng)中實現(xiàn)傳統(tǒng)6502電氣集中聯(lián)鎖系統(tǒng)中執(zhí)行組電路的功能，主要工作是對現(xiàn)場設備的控制和信息采集，其中提供的通信接口也可實現(xiàn)與計算機聯(lián)鎖系統(tǒng)和鄰站之間的通信。目前存在的電子通信單元大多數(shù)采用可實時控制的串行通信網(wǎng)絡控制器區(qū)域網(wǎng)總線(Controller Area Network，CAN)，它具有實時性高、開發(fā)周期短等特點。隨著現(xiàn)場對信號快速且穩(wěn)定傳輸?shù)囊笤絹碓礁撸勺兯俾实目刂破鲄^(qū)域網(wǎng)總線（Controller Area Network With Flexible Data-Rate，CAN-FD）進入大眾視野。它在繼承CAN總線優(yōu)點的同時，具備更高的傳輸速率和更長的報文有效數(shù)據(jù)。本文所設計的全電子通信單元對系統(tǒng)響應時間、總線負載和共因失效3方面進行了改善。

2 CAN-FD簡介

CAN在實際應用中的傳輸速率小于1 Mbit/s，在數(shù)據(jù)傳輸需求越來越高的今天，CAN的不足越來越明顯。Bosch在2011年發(fā)布CAN-FD，它不僅擁有CAN分布式實時監(jiān)控、雙線串行通訊協(xié)議、有效避免總線沖突和抗電磁干擾能力強等方面的優(yōu)勢，而且對網(wǎng)絡通信帶寬、傳輸速度和錯誤幀漏檢等方面做出改進。

2.1 CAN-FD的傳輸速率

CAN-FD和CAN的仲裁比特率相同，為最高1 Mbit/s，但數(shù)據(jù)比特率最高可達到8 Mbit/s，甚至更高。如圖1所示，仲裁階段和數(shù)據(jù)控制階段的波特率為1 Mbit/s，但中間的數(shù)據(jù)傳輸階段的波特率是可變的。

圖1 可變速率示意Fig.1 Variable rate diagram

2.2 CAN-FD的有效數(shù)據(jù)場

CAN報文的有效數(shù)據(jù)場字節(jié)數(shù)為8，CAN-FD在此基礎上進行擴充，最大可達到64個字節(jié)。當數(shù)據(jù)長度碼DLC小于或等于7時，CAN-FD與CAN數(shù)據(jù)場情況一致，當DLC大于或等于8時，有一個非線性增長[2]。CAN和CAN-FD數(shù)據(jù)場對比如圖2所示，對于無鑰匙進入及啟動系統(tǒng)（Passive Entry Passive Start，PEPS），模塊的身份認證只需要一條報文即可完成。

圖2 CAN和CAN-FD數(shù)據(jù)場對比Fig.2 Comparison between CAN and CAN-FD data fields

2.3 CAN-FD的CRC校驗場

傳統(tǒng)CAN保持通信同步的方式會造成循環(huán)冗余校驗碼的干擾，CAN-FD在此基礎上進行優(yōu)化，從之前的15位擴展到21位。CAN-FD的循環(huán)冗余校驗（Cyclic Redundancy Check， CRC）包括整個數(shù)據(jù)段和幀起始位的奇偶校驗保護位和填充位。對CRC的計算結(jié)果進行比較后，判斷是否可以正常接收。

2.4 CAN-FD的控制場

CAN-FD幀報文的控制場中增加了擴展數(shù)據(jù)長度位（Extended Data Length，EDL），比特率開關(guān)位（Bit Rate Switch，BRS）和錯誤狀態(tài)指示位（Error State Indicator，ESI）。EDL位實現(xiàn)CAN數(shù)據(jù)幀中保留位r的功能，即隱性為CAN-FD報文，顯性為CAN報文；BRS位實現(xiàn)位速率轉(zhuǎn)換，即隱性表示可變速率，顯性表示不轉(zhuǎn)換速率；ESI位可以快捷的知曉當前發(fā)送節(jié)點的狀態(tài)。

3 全電子執(zhí)行單元

基于二乘二取二的全電子計算機聯(lián)鎖系統(tǒng)已經(jīng)投入使用，其具有過流保護功能，實現(xiàn)了信號的控制、監(jiān)測、監(jiān)督一體化[3]，且運行穩(wěn)定、可靠。全電子執(zhí)行系統(tǒng)實現(xiàn)“二取二”邏輯控制和閉環(huán)檢測，通過雙路冗余CAN總線執(zhí)行單元控制現(xiàn)場設備，配合地面安全平臺滿足應用場景的需要。作為執(zhí)行機構(gòu)，電子執(zhí)行單元可以根據(jù)實際應用需求，配置不同的模塊以適應現(xiàn)場的情況[4]。各個執(zhí)行單元的硬件設計大多相似，均采用“二取二”結(jié)構(gòu)。執(zhí)行模塊主要由微控制器、通信電路、采集電路和其他輔助電路組成。

全電子計算機聯(lián)鎖系統(tǒng)在安全性、可靠性和實時性上的要求都十分高，其中安全性必須達到SIL4認證[5]。全電子執(zhí)行單元作為負責現(xiàn)場控制和采集的重要一環(huán)，它的安全性和可靠性對整個聯(lián)鎖系統(tǒng)的意義重大。SIL4低操作模式下的平均失效概率范圍為10-5～10-4，高操作模式或連續(xù)操作模式下的平均失效概率范圍為10-9～10-8。

4 二取二安全冗余

冗余結(jié)構(gòu)已經(jīng)在信息通信系統(tǒng)中廣泛應用。冗余就是在某些部件或功能上進行必要的重復配置，以達到安全性和可靠性的提升。冗余結(jié)構(gòu)已經(jīng)被視為鐵路行業(yè)權(quán)衡計算機聯(lián)鎖系統(tǒng)的重要標準。常見的冗余結(jié)構(gòu)有雙機熱備冗余、二取二冗余和二者結(jié)合的二乘二取二冗余[6]。

4.1 雙機熱備冗余

雙機熱備指兩臺微控制單元(Micro Controller Unit，MCU)相互備份，完成相同的工作。如圖3所示，MCU A和MCU B同時進行邏輯運算，但是只有一臺設備向外傳輸指令。當系統(tǒng)開始工作時，其中一臺MCU開始正常工作，另一臺處于待機狀態(tài)，一旦正常工作的MCU出現(xiàn)故障，另一臺開始運行，完成相同的工作，即故障檢查、邏輯運算和傳輸指令。雙機熱備冗余需要硬件和軟件配合才能實現(xiàn)兩系之間的自動切換，是技術(shù)層面上實現(xiàn)可靠性較難的一種冗余防止方式[7]。

圖3 雙機冗余結(jié)構(gòu)Fig.3 Dual redundancy structure

4.2 二取二冗余

“二取二”是十分典型的冗余結(jié)構(gòu)，常用來實現(xiàn)故障-安全機制。MCU A和MCU B分別進行邏輯運算，只有當兩部分運算結(jié)果相同時才能輸出指令，是一種安全性較強的結(jié)構(gòu)，如圖4所示。

圖4 二取二冗余結(jié)構(gòu)Fig.4 2 out of 2 redundancy structure

二取二冗余結(jié)構(gòu)與雙機熱備冗余結(jié)構(gòu)最大的區(qū)別是冗余目的。前者是為避免錯誤地執(zhí)行指令，優(yōu)先保證系統(tǒng)的安全性；后者的主、備兩系提高了系統(tǒng)的可靠性，避免正在運行的MCU出現(xiàn)故障時的宕機狀態(tài)。二取二邏輯主要通過與門和異或門實現(xiàn)，如圖5所示。

圖5 二取二冗余結(jié)構(gòu)邏輯示意Fig.5 2 out of 2 redundancy structure logic diagram

在每個冗余結(jié)構(gòu)的基本單位相同的前提下，設1個基本單位的失效率為λ，如圖6所示，雙機熱備冗余結(jié)構(gòu)的可靠度為y1=2e-λt-e-2λt，二取二冗余結(jié)構(gòu)的可靠度為y2=e-2λt；設基本單元的危險失效率是λD，如圖7所示，雙機熱備結(jié)構(gòu)的安全度為y1=e-2λDt，二取二冗余結(jié)構(gòu)的安全度為y2=2e-λDt-e-2λDt。從圖 6、7中可以看出，冗余結(jié)構(gòu)的安全性和可靠性是此增彼減的[8]。

圖6 兩種冗余結(jié)構(gòu)的可靠性對比Fig.6 Reliability comparison of two redundancy structures

圖7 兩種冗余結(jié)構(gòu)的安全性對比Fig.7 Safety comparison of two redundancy structures

5 全電子通信單元

本文設計的是全電子執(zhí)行單元中的通信電路部分，主要實現(xiàn)功能包括與聯(lián)鎖機的交互、“二取二”邏輯、MCU之間的通信和鄰站間的互通。

當正在工作的設備發(fā)生故障，雙機熱備冗余結(jié)構(gòu)需要一定的故障容錯時間和設備轉(zhuǎn)換時間，會造成系統(tǒng)響應時間加長，甚至輸出錯誤指令，可靠性有所提升的同時降低了安全性。當所有數(shù)據(jù)集中在同一條總線上時，負載翻倍，系統(tǒng)的穩(wěn)定性也有所降低。在保證系統(tǒng)的安全性且增強系統(tǒng)可靠性的前提下，本文設計的全電子通信單元采用“二取二”冗余結(jié)構(gòu)。傳統(tǒng)的總線大部分采用CAN總線，其傳輸速率越來越不能滿足現(xiàn)場的需求，而且容易產(chǎn)生“丟包”“漏包”的情況，傳輸速率更高和報文有效數(shù)據(jù)長度更長的CAN-FD越來越頻繁的應用到各個領域。

如圖8所示，在該結(jié)構(gòu)中，由兩路MCU實現(xiàn)“二取二”安全邏輯，第三路MCU分別于兩路MCU和鄰站通信接口電路相連接，實現(xiàn)“二取二”比較、與鄰站間的通信以及與聯(lián)鎖機的交互。兩路CAN-FD總線以冗余方式與聯(lián)鎖機通信，第三路CAN-FD起到監(jiān)測作用。

圖8 全電子通信單元結(jié)構(gòu)Fig.8 Full electronic communication unit structure

聯(lián)鎖機以冗余的方式與兩條CAN-FD連接，重復的配置可以起到提高安全性和可靠性的目的。為減少總線負載壓力，主體部分新增MCU C，用來接收MCU A和MCU B“二取二”結(jié)果進而進行比較。MCU A和MCU B分別進行邏輯運算，將結(jié)果發(fā)送到MCU C中，只有在MCU A和MCU B中的運算結(jié)果一致時，MCU C才能傳輸指令。為防止共因失效，MCU A和MCU B應該采取不同型號的芯片。

車站信號設備包括信號機、軌道電路、道岔和零散電路。信號機狀態(tài)由信號控制模塊監(jiān)督。根據(jù)相關(guān)設備的狀態(tài)來控制信號機的點亮和熄滅，并采集相關(guān)狀態(tài)信息進行傳輸。軌道電路的作用是檢測列車的運行位置和傳輸行車信息，具體可以明確列車位置、檢測出清及占用和顯示地面有關(guān)信息。道岔有“定位”“反位”和“四開”三種形態(tài)，與轉(zhuǎn)轍機密切相關(guān)。主要工作是控制轉(zhuǎn)轍機動作和采集轉(zhuǎn)轍機位置。零散模塊對零散電路進行控制，實現(xiàn)斷路器報警、電源監(jiān)督等功能。

6 總結(jié)

本文設計的全電子通信單元采用CAN-FD，提升了傳輸速率，改進的“二取二”冗余結(jié)構(gòu)在保證系統(tǒng)安全性的前提下，增強系統(tǒng)可靠性，減緩總線的負載壓力，實現(xiàn)控制監(jiān)測一體化，為鐵路信號設備的升級提供基礎。