摘要 ：為解決 CTCS-3 級的安全計算機平臺內(nèi)部通信總線不安全的問題，設(shè)計一種能夠滿足 EN50159 中有關(guān)安全網(wǎng)絡(luò)需求的總線。該總線具備硬件二乘二取二，能夠?qū)��?yīng)用層數(shù)據(jù)分組打包，且對應(yīng)用層數(shù)據(jù)添加 C R C 編碼和校驗，并且能檢測點對點鏈路連接狀態(tài)的主 - 從之間全雙工的數(shù)據(jù)通信等多項通信功能和安全保障功能。能夠解決車載平臺內(nèi)部安全通信的問題，對安全計算機車載平臺的研究具有重要意義。

　　關(guān)鍵詞 ：安全總線 ;安全平臺 ;時序狀態(tài)機 ;SBP

　　1 概述

　　CTCS-3 級列車控制系統(tǒng)是一個故障 - 安全的高安全等級系統(tǒng)，車載系統(tǒng)通過無線 GSM-R 網(wǎng)絡(luò)，獲取行車許可等信息，按照地面控制系統(tǒng)的指令進行車輛運行控制。以國內(nèi)武廣高度鐵路線的 ATP 車載為例，ATP車載設(shè)備由以下單元 / 模塊組成。1)安全計算機(VC);2)軌道電路信息接收單元(TCR);3)應(yīng) 答 器 信 息 接 收 模 塊(B T M) 及 應(yīng) 答 器天線 ;4)無線通信模塊(RTU);5)人機界面(DMI);6)列車接口單元(TIU);7)測速測距傳感器。其中，安全計算機(VC)，作為核心處理設(shè)備，承擔了 ATP 車載設(shè)備的核心處理邏輯，是 ATP 車載設(shè)備最重要的部件。VC 主要包含如下幾個部分。

　　1)主控邏輯單元 ;2)測速測距單元 ;3)安全輸入輸出單元 ;4)通信接口單元 ;5)安全通信單元。

　　SBP 安全總線完成安全計算機平臺中的板間安全通信功能，完成主控板之間、主控板和功能板之間的數(shù)據(jù)交互，向上層提供經(jīng)過校驗和可靠性驗證的數(shù)據(jù)鏈路。SBP 安全總線采用點對點的主 - 從工作模式，使用 3 條信號線進行串行數(shù)據(jù)通信。SBP 安全總線需要識別并報告所有硬件取二錯誤，識別并檢測鏈路的連接狀態(tài)、硬件的錯誤狀態(tài)，能夠保證數(shù)據(jù)發(fā)送的完整性和可控性，檢測干擾的存在，進行上電自檢和運行周期檢測。

　　2 SBP總線結(jié)構(gòu)

　　SBP 通信模塊由 SBP 主端模塊(SBP Master)、SBP 從端模塊(SBP Slave)和連接模塊組成。為滿足安全完整性需求，系統(tǒng)架構(gòu)采用雙系同構(gòu)方式(M 系和 N 系)，兩系獨立運行，形成二乘二結(jié)構(gòu)，兩系運行在關(guān)鍵節(jié)點處進行取二操作，保證運行結(jié)果的正確性。在 SBP 傳輸協(xié)議中，明確區(qū)分取二錯誤和傳輸鏈路錯誤，兩種錯誤可以分別檢測并具備功能完整性檢測功能。

　　SBP 的 傳 輸 協(xié) 議 分 為 MAC 層 和 PHY 層， 其中 MAC 層完成傳輸狀態(tài)的控制和寄存器堆的更新，MAC 層 對 上 提 供 寄 存 器 訪 問 接 口， 寄 存 器 使 用Memory Mapped 映射 ;PHY 層完成物理信號的傳輸和物理硬取二的實現(xiàn)，物理層的傳輸使用 3 根硬件連線，1 根 SCK 時鐘線由主端驅(qū)動，1 根 MO數(shù)據(jù)線由主端驅(qū)動，1 根 SO 數(shù)據(jù)線由從端驅(qū)動。

　　3 SBP Master控制狀態(tài)機設(shè)計

　　MAC 模塊對內(nèi)控制鏈路的建立、數(shù)據(jù)傳輸?shù)拈_始和結(jié)束、數(shù)據(jù)傳輸正確性的校驗等機制。SBP 的通信過程由主端控制，4 個步驟完成一次傳輸，周而復始。每個物理幀(數(shù)據(jù)幀或控制幀)需得到另一端的反饋(ACK/NACK)才能結(jié)束，若傳輸超時，則重新發(fā)起傳輸。查詢 ：主端發(fā)起查詢幀，并等待從端應(yīng)答。狀態(tài) ：從端回復查詢幀，并報告自己的狀態(tài)，主端接收后應(yīng)答該幀。接收 ：若從端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過 ;若有，則從端發(fā)送數(shù)據(jù)幀，主端接收后應(yīng)答該幀。發(fā)送 ：若主端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過 ;若有，則主端發(fā)送數(shù)據(jù)幀，并等待從端應(yīng)答。其中，數(shù)據(jù)幀需要經(jīng)過 MAC 層的打包和添加幀頭、CRC 校驗等處理，經(jīng)過處理之后的數(shù)據(jù)幀格式。其中，每種數(shù)據(jù)幀格式對應(yīng)一個通信過程，即在查詢階段，主端發(fā)送的數(shù)據(jù)幀格式為主端查詢幀。

　　4 SBP Slave控制狀態(tài)機設(shè)計

　　MAC 模塊對內(nèi)控制鏈路的建立、數(shù)據(jù)傳輸?shù)拈_始和結(jié)束、數(shù)據(jù)傳輸正確性的校驗等機制。使能后，SBP Slave 的 MAC 模塊進入等到狀態(tài)，等待主端發(fā)送控制幀，根據(jù)控制幀的內(nèi)容進行動作。當成功接收到一個主端查詢幀或者數(shù)據(jù)幀后，根據(jù)接收幀內(nèi)容的不同，MAC 模塊轉(zhuǎn)入不同的工作流程。

　　1)查詢 ：應(yīng)答主端查詢幀。2)狀態(tài) ：從端回復查詢幀，并報告自己的狀態(tài)，等待主端應(yīng)答該幀。3)接收 ：若從端無數(shù)據(jù)待發(fā)，則該狀態(tài)跳過 ;若有，則從端發(fā)送數(shù)據(jù)幀并等待主端應(yīng)答。4)等待 ：若主端成功應(yīng)答或超時，則從端進入等待狀態(tài)。若接收幀為數(shù)據(jù)幀，則從端應(yīng)答該數(shù)據(jù)幀并回到等到狀態(tài)。其中，數(shù)據(jù)幀需要經(jīng)過 MAC 層的打包和添加幀頭、CRC 校驗等處理，經(jīng)過處理之后的數(shù)據(jù)幀格式。其中，每種數(shù)據(jù)幀格式對應(yīng)一個通信過程，即在查詢階段，主端發(fā)送的數(shù)據(jù)幀格式為主端查詢幀。

　　5 結(jié)束語

　　針對國內(nèi) CTCS-3 級列車控制系統(tǒng) ATP 車載設(shè)備的安全計算機平臺內(nèi)部通信總線，目前尚無安全的通信總線，本文通過對 EN50159 中有關(guān)封閉網(wǎng)絡(luò)的安全網(wǎng)絡(luò)需求的分析，研究設(shè)計一種采用硬件二乘二取二，能夠?qū)��?yīng)用層數(shù)據(jù)分組打包且對應(yīng)用層數(shù)據(jù)添加 CRC 編碼和校驗并且能檢測點對點鏈路連接狀態(tài)的主 - 從之間全雙工的數(shù)據(jù)通信等多項通信功能和安全保障功能的總線，有效解決車載平臺內(nèi)部安全通信問題。

　　參考文獻

　　[1] 高忠利 . C T C S3-300T 車載 A T P 設(shè)備測試系統(tǒng)方案探討 [J]. 鐵路通信信號工程技術(shù)，2020，17(12):25-29.Gao Zhongli. Discussion on Scheme for CTCS3-300T ATP On-Board Equipment Test System[J].Railway Signalling & Communication Engineering,2020, 17(12): 25-29.

　　[2] 吳訓威，盧仰堅 .Moore 機與 Mealy 機之間的轉(zhuǎn)換研究 [J]. 浙江大學學報 ( 理學版 )，2000，27(2):219-224.Wu Xunwei, Lu Yangjian. Research on Conversionsbetween Mealy Machine and Moore Machine[J].Journal of Zhejiang University (Sciences Edition),2000, 27(2): 219-224

　　.[3] 孟慶堯，葉峰，黃彬彬，等 . C T C S -3 級車載系統(tǒng)雙系無擾動切換的可行性研究 [ J ] . 鐵路通信信號工程技術(shù)，2015，12(6):1-4.Meng Qingyao, Ye Feng, Huang Binbin, et al.Feasibility of Non-Disturbance Switching betweenDual Redundant CTCS-3 Onboard Systems[J].Railway Signalling & Communication Engineering,2015, 12(6): 1-4

　　.[4] 黃彬彬，孟慶堯 . 適用于 CTCS-3 級的安全計算機平臺的無線安全通信架構(gòu)分析 [ J ] . 鐵路通信信號工程技術(shù)，2016，13(4):33-36.

　　作者：嚴  敢1，2，齊春晨1，2