嚴 敢，齊春晨

(1.北京全路通信信號研究設計院集團有限公司，北京 100070；2.北京市高速鐵路運行控制系統(tǒng)工程技術研究中心，北京 100070)

1 概述

CTCS-3級列車控制系統(tǒng)是一個故障-安全的高安全等級系統(tǒng)，車載系統(tǒng)通過無線GSM-R網(wǎng)絡，獲取行車許可等信息，按照地面控制系統(tǒng)的指令進行車輛運行控制。

以國內武廣高度鐵路線的ATP車載為例，ATP車載設備由以下單元/模塊組成。

1）安全計算機（VC）；

2）軌道電路信息接收單元（TCR）；

3）應答器信息接收模塊（BTM）及應答器天線；

4）無線通信模塊（RTU）；

5）人機界面（DMI）；

6）列車接口單元（TIU）；

7）測速測距傳感器。

其中，安全計算機（VC），作為核心處理設備，承擔了ATP車載設備的核心處理邏輯，是ATP車載設備最重要的部件。VC主要包含如下幾個部分。

1）主控邏輯單元；

2）測速測距單元；

3）安全輸入輸出單元；

4）通信接口單元；

5）安全通信單元。

車載ATP設備的結構示意如圖1所示。

圖1 CTCS-3級列車控制系統(tǒng)ATP車載設備結構示意Fig.1 Structure diagram of CTCS-3 ATP onboard equipment

SBP安全總線完成安全計算機平臺中的板間安全通信功能，完成主控板之間、主控板和功能板之間的數(shù)據(jù)交互，向上層提供經過校驗和可靠性驗證的數(shù)據(jù)鏈路。SBP安全總線采用點對點的主-從工作模式，使用3條信號線進行串行數(shù)據(jù)通信。

SBP安全總線需要識別并報告所有硬件取二錯誤，識別并檢測鏈路的連接狀態(tài)、硬件的錯誤狀態(tài)，能夠保證數(shù)據(jù)發(fā)送的完整性和可控性，檢測干擾的存在，進行上電自檢和運行周期檢測。

2 SBP總線結構

SBP通信模塊由SBP主端模塊（SBP Master）、SBP從端模塊（SBP Slave）和連接模塊組成。為滿足安全完整性需求，系統(tǒng)架構采用雙系同構方式（M系和N系），兩系獨立運行，形成二乘二結構，兩系運行在關鍵節(jié)點處進行取二操作，保證運行結果的正確性。其連接方式如圖2所示。

圖2 SBP總線主從的連接方式Fig.2 Connection diagram of master-slave SBP bus

在SBP傳輸協(xié)議中，明確區(qū)分取二錯誤和傳輸鏈路錯誤，兩種錯誤可以分別檢測并具備功能完整性檢測功能。

SBP的傳輸協(xié)議分為MAC層和PHY層，其中MAC層完成傳輸狀態(tài)的控制和寄存器堆的更新，MAC層對上提供寄存器訪問接口，寄存器使用Memory Mapped映射；PHY層完成物理信號的傳輸和物理硬取二的實現(xiàn)，物理層的傳輸使用3根硬件連線，1根SCK時鐘線由主端驅動，1根MO數(shù)據(jù)線由主端驅動，1根SO數(shù)據(jù)線由從端驅動。其體系結構如圖3所示。

圖3 SBP總線結構Fig.3 Structure of SBP bus

3 SBP Master控制狀態(tài)機設計

MAC模塊對內控制鏈路的建立、數(shù)據(jù)傳輸?shù)拈_始和結束、數(shù)據(jù)傳輸正確性的校驗等機制。

SBP的通信過程由主端控制，4個步驟完成一次傳輸，周而復始。每個物理幀（數(shù)據(jù)幀或控制幀）需得到另一端的反饋（ACK/NACK）才能結束，若傳輸超時，則重新發(fā)起傳輸。4個階段如圖4所示。

圖4 SBP Master通信過程Fig.4 SBP Master communication process

查詢：主端發(fā)起查詢幀，并等待從端應答。

狀態(tài)：從端回復查詢幀，并報告自己的狀態(tài)，主端接收后應答該幀。

接收：若從端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過；若有，則從端發(fā)送數(shù)據(jù)幀，主端接收后應答該幀。

發(fā)送：若主端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過；若有，則主端發(fā)送數(shù)據(jù)幀，并等待從端應答。

其中，數(shù)據(jù)幀需要經過MAC層的打包和添加幀頭、CRC校驗等處理，經過處理之后的數(shù)據(jù)幀格式如圖5所示。其中，每種數(shù)據(jù)幀格式對應一個通信過程，即在查詢階段，主端發(fā)送的數(shù)據(jù)幀格式為主端查詢幀。

圖5 SBP數(shù)據(jù)幀格式Fig.5 SBP data frame format

其具體的有限狀態(tài)機模型如圖6所示。

圖6 SBP Master有限狀態(tài)機Fig.6 SBP Master finite-state machine

4 SBP Slave控制狀態(tài)機設計

MAC模塊對內控制鏈路的建立、數(shù)據(jù)傳輸?shù)拈_始和結束、數(shù)據(jù)傳輸正確性的校驗等機制。

使能后，SBP Slave 的MAC模塊進入等到狀態(tài)，等待主端發(fā)送控制幀，根據(jù)控制幀的內容進行動作。

當成功接收到一個主端查詢幀或者數(shù)據(jù)幀后，根據(jù)接收幀內容的不同，MAC模塊轉入不同的工作流程。若接收到查詢幀，則其工作流程如圖7所示。

圖7 SBP Slave通信過程Fig.7 SBP Slave communication process

1）查詢：應答主端查詢幀。

2）狀態(tài)：從端回復查詢幀，并報告自己的狀態(tài)，等待主端應答該幀。

3）接收：若從端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過；若有，則從端發(fā)送數(shù)據(jù)幀并等待主端應答。

4）等待：若主端成功應答或超時，則從端進入等待狀態(tài)。

若接收幀為數(shù)據(jù)幀，則從端應答該數(shù)據(jù)幀并回到等到狀態(tài)。

其中，數(shù)據(jù)幀需要經過MAC層的打包和添加幀頭、CRC校驗等處理，經過處理之后的數(shù)據(jù)幀格式如圖8所示。其中，每種數(shù)據(jù)幀格式對應一個通信過程，即在查詢階段，主端發(fā)送的數(shù)據(jù)幀格式為主端查詢幀。

圖8 SBP Slave數(shù)據(jù)幀格式Fig.8 SBP Slave data frame format

其具體的有限狀態(tài)機模型如圖9所示。

圖9 SBP Slave有限狀態(tài)機Fig.9 SBP Slave finite-state machine

5 結束語

針對國內CTCS-3級列車控制系統(tǒng)ATP車載設備的安全計算機平臺內部通信總線，目前尚無安全的通信總線，本文通過對EN50159中有關封閉網(wǎng)絡的安全網(wǎng)絡需求的分析，研究設計一種采用硬件二乘二取二，能夠將應用層數(shù)據(jù)分組打包且對應用層數(shù)據(jù)添加CRC編碼和校驗并且能檢測點對點鏈路連接狀態(tài)的主-從之間全雙工的數(shù)據(jù)通信等多項通信功能和安全保障功能的總線，有效解決車載平臺內部安全通信問題。