基于CAN-FD的全電子通信單元設(shè)計(jì)

孟雅婷，梁玉琦

（蘭州交通大學(xué)光電技術(shù)與智能控制教育部重點(diǎn)實(shí)驗(yàn)室，蘭州 730070）

1 概述

隨著全電子計(jì)算機(jī)聯(lián)鎖單元的出現(xiàn)，傳統(tǒng)安全型繼電器聯(lián)鎖的使用逐漸減少[1]。全電子執(zhí)行單元在全電子計(jì)算機(jī)聯(lián)鎖系統(tǒng)中實(shí)現(xiàn)傳統(tǒng)6502電氣集中聯(lián)鎖系統(tǒng)中執(zhí)行組電路的功能，主要工作是對(duì)現(xiàn)場(chǎng)設(shè)備的控制和信息采集，其中提供的通信接口也可實(shí)現(xiàn)與計(jì)算機(jī)聯(lián)鎖系統(tǒng)和鄰站之間的通信。目前存在的電子通信單元大多數(shù)采用可實(shí)時(shí)控制的串行通信網(wǎng)絡(luò)控制器區(qū)域網(wǎng)總線(xiàn)(Controller Area Network，CAN)，它具有實(shí)時(shí)性高、開(kāi)發(fā)周期短等特點(diǎn)。隨著現(xiàn)場(chǎng)對(duì)信號(hào)快速且穩(wěn)定傳輸?shù)囊笤絹?lái)越高，可變速率的控制器區(qū)域網(wǎng)總線(xiàn)（Controller Area Network With Flexible Data-Rate，CAN-FD）進(jìn)入大眾視野。它在繼承CAN總線(xiàn)優(yōu)點(diǎn)的同時(shí)，具備更高的傳輸速率和更長(zhǎng)的報(bào)文有效數(shù)據(jù)。本文所設(shè)計(jì)的全電子通信單元對(duì)系統(tǒng)響應(yīng)時(shí)間、總線(xiàn)負(fù)載和共因失效3方面進(jìn)行了改善。

2 CAN-FD簡(jiǎn)介

CAN在實(shí)際應(yīng)用中的傳輸速率小于1 Mbit/s，在數(shù)據(jù)傳輸需求越來(lái)越高的今天，CAN的不足越來(lái)越明顯。Bosch在2011年發(fā)布CAN-FD，它不僅擁有CAN分布式實(shí)時(shí)監(jiān)控、雙線(xiàn)串行通訊協(xié)議、有效避免總線(xiàn)沖突和抗電磁干擾能力強(qiáng)等方面的優(yōu)勢(shì)，而且對(duì)網(wǎng)絡(luò)通信帶寬、傳輸速度和錯(cuò)誤幀漏檢等方面做出改進(jìn)。

2.1 CAN-FD的傳輸速率

CAN-FD和CAN的仲裁比特率相同，為最高1 Mbit/s，但數(shù)據(jù)比特率最高可達(dá)到8 Mbit/s，甚至更高。如圖1所示，仲裁階段和數(shù)據(jù)控制階段的波特率為1 Mbit/s，但中間的數(shù)據(jù)傳輸階段的波特率是可變的。

圖1 可變速率示意Fig.1 Variable rate diagram

2.2 CAN-FD的有效數(shù)據(jù)場(chǎng)

CAN報(bào)文的有效數(shù)據(jù)場(chǎng)字節(jié)數(shù)為8，CAN-FD在此基礎(chǔ)上進(jìn)行擴(kuò)充，最大可達(dá)到64個(gè)字節(jié)。當(dāng)數(shù)據(jù)長(zhǎng)度碼DLC小于或等于7時(shí)，CAN-FD與CAN數(shù)據(jù)場(chǎng)情況一致，當(dāng)DLC大于或等于8時(shí)，有一個(gè)非線(xiàn)性增長(zhǎng)[2]。CAN和CAN-FD數(shù)據(jù)場(chǎng)對(duì)比如圖2所示，對(duì)于無(wú)鑰匙進(jìn)入及啟動(dòng)系統(tǒng)（Passive Entry Passive Start，PEPS），模塊的身份認(rèn)證只需要一條報(bào)文即可完成。

圖2 CAN和CAN-FD數(shù)據(jù)場(chǎng)對(duì)比Fig.2 Comparison between CAN and CAN-FD data fields

2.3 CAN-FD的CRC校驗(yàn)場(chǎng)

傳統(tǒng)CAN保持通信同步的方式會(huì)造成循環(huán)冗余校驗(yàn)碼的干擾，CAN-FD在此基礎(chǔ)上進(jìn)行優(yōu)化，從之前的15位擴(kuò)展到21位。CAN-FD的循環(huán)冗余校驗(yàn)（Cyclic Redundancy Check， CRC）包括整個(gè)數(shù)據(jù)段和幀起始位的奇偶校驗(yàn)保護(hù)位和填充位。對(duì)CRC的計(jì)算結(jié)果進(jìn)行比較后，判斷是否可以正常接收。

2.4 CAN-FD的控制場(chǎng)

CAN-FD幀報(bào)文的控制場(chǎng)中增加了擴(kuò)展數(shù)據(jù)長(zhǎng)度位（Extended Data Length，EDL），比特率開(kāi)關(guān)位（Bit Rate Switch，BRS）和錯(cuò)誤狀態(tài)指示位（Error State Indicator，ESI）。EDL位實(shí)現(xiàn)CAN數(shù)據(jù)幀中保留位r的功能，即隱性為CAN-FD報(bào)文，顯性為CAN報(bào)文；BRS位實(shí)現(xiàn)位速率轉(zhuǎn)換，即隱性表示可變速率，顯性表示不轉(zhuǎn)換速率；ESI位可以快捷的知曉當(dāng)前發(fā)送節(jié)點(diǎn)的狀態(tài)。

3 全電子執(zhí)行單元

基于二乘二取二的全電子計(jì)算機(jī)聯(lián)鎖系統(tǒng)已經(jīng)投入使用，其具有過(guò)流保護(hù)功能，實(shí)現(xiàn)了信號(hào)的控制、監(jiān)測(cè)、監(jiān)督一體化[3]，且運(yùn)行穩(wěn)定、可靠。全電子執(zhí)行系統(tǒng)實(shí)現(xiàn)“二取二”邏輯控制和閉環(huán)檢測(cè)，通過(guò)雙路冗余CAN總線(xiàn)執(zhí)行單元控制現(xiàn)場(chǎng)設(shè)備，配合地面安全平臺(tái)滿(mǎn)足應(yīng)用場(chǎng)景的需要。作為執(zhí)行機(jī)構(gòu)，電子執(zhí)行單元可以根據(jù)實(shí)際應(yīng)用需求，配置不同的模塊以適應(yīng)現(xiàn)場(chǎng)的情況[4]。各個(gè)執(zhí)行單元的硬件設(shè)計(jì)大多相似，均采用“二取二”結(jié)構(gòu)。執(zhí)行模塊主要由微控制器、通信電路、采集電路和其他輔助電路組成。

全電子計(jì)算機(jī)聯(lián)鎖系統(tǒng)在安全性、可靠性和實(shí)時(shí)性上的要求都十分高，其中安全性必須達(dá)到SIL4認(rèn)證[5]。全電子執(zhí)行單元作為負(fù)責(zé)現(xiàn)場(chǎng)控制和采集的重要一環(huán)，它的安全性和可靠性對(duì)整個(gè)聯(lián)鎖系統(tǒng)的意義重大。SIL4低操作模式下的平均失效概率范圍為10-5～10-4，高操作模式或連續(xù)操作模式下的平均失效概率范圍為10-9～10-8。

4 二取二安全冗余

冗余結(jié)構(gòu)已經(jīng)在信息通信系統(tǒng)中廣泛應(yīng)用。冗余就是在某些部件或功能上進(jìn)行必要的重復(fù)配置，以達(dá)到安全性和可靠性的提升。冗余結(jié)構(gòu)已經(jīng)被視為鐵路行業(yè)權(quán)衡計(jì)算機(jī)聯(lián)鎖系統(tǒng)的重要標(biāo)準(zhǔn)。常見(jiàn)的冗余結(jié)構(gòu)有雙機(jī)熱備冗余、二取二冗余和二者結(jié)合的二乘二取二冗余[6]。

4.1 雙機(jī)熱備冗余

雙機(jī)熱備指兩臺(tái)微控制單元(Micro Controller Unit，MCU)相互備份，完成相同的工作。如圖3所示，MCU A和MCU B同時(shí)進(jìn)行邏輯運(yùn)算，但是只有一臺(tái)設(shè)備向外傳輸指令。當(dāng)系統(tǒng)開(kāi)始工作時(shí)，其中一臺(tái)MCU開(kāi)始正常工作，另一臺(tái)處于待機(jī)狀態(tài)，一旦正常工作的MCU出現(xiàn)故障，另一臺(tái)開(kāi)始運(yùn)行，完成相同的工作，即故障檢查、邏輯運(yùn)算和傳輸指令。雙機(jī)熱備冗余需要硬件和軟件配合才能實(shí)現(xiàn)兩系之間的自動(dòng)切換，是技術(shù)層面上實(shí)現(xiàn)可靠性較難的一種冗余防止方式[7]。

圖3 雙機(jī)冗余結(jié)構(gòu)Fig.3 Dual redundancy structure

4.2 二取二冗余

“二取二”是十分典型的冗余結(jié)構(gòu)，常用來(lái)實(shí)現(xiàn)故障-安全機(jī)制。MCU A和MCU B分別進(jìn)行邏輯運(yùn)算，只有當(dāng)兩部分運(yùn)算結(jié)果相同時(shí)才能輸出指令，是一種安全性較強(qiáng)的結(jié)構(gòu)，如圖4所示。

圖4 二取二冗余結(jié)構(gòu)Fig.4 2 out of 2 redundancy structure

二取二冗余結(jié)構(gòu)與雙機(jī)熱備冗余結(jié)構(gòu)最大的區(qū)別是冗余目的。前者是為避免錯(cuò)誤地執(zhí)行指令，優(yōu)先保證系統(tǒng)的安全性；后者的主、備兩系提高了系統(tǒng)的可靠性，避免正在運(yùn)行的MCU出現(xiàn)故障時(shí)的宕機(jī)狀態(tài)。二取二邏輯主要通過(guò)與門(mén)和異或門(mén)實(shí)現(xiàn)，如圖5所示。

圖5 二取二冗余結(jié)構(gòu)邏輯示意Fig.5 2 out of 2 redundancy structure logic diagram

在每個(gè)冗余結(jié)構(gòu)的基本單位相同的前提下，設(shè)1個(gè)基本單位的失效率為λ，如圖6所示，雙機(jī)熱備冗余結(jié)構(gòu)的可靠度為y1=2e-λt-e-2λt，二取二冗余結(jié)構(gòu)的可靠度為y2=e-2λt；設(shè)基本單元的危險(xiǎn)失效率是λD，如圖7所示，雙機(jī)熱備結(jié)構(gòu)的安全度為y1=e-2λDt，二取二冗余結(jié)構(gòu)的安全度為y2=2e-λDt-e-2λDt。從圖 6、7中可以看出，冗余結(jié)構(gòu)的安全性和可靠性是此增彼減的[8]。

圖6 兩種冗余結(jié)構(gòu)的可靠性對(duì)比Fig.6 Reliability comparison of two redundancy structures

圖7 兩種冗余結(jié)構(gòu)的安全性對(duì)比Fig.7 Safety comparison of two redundancy structures

5 全電子通信單元

本文設(shè)計(jì)的是全電子執(zhí)行單元中的通信電路部分，主要實(shí)現(xiàn)功能包括與聯(lián)鎖機(jī)的交互、“二取二”邏輯、MCU之間的通信和鄰站間的互通。

當(dāng)正在工作的設(shè)備發(fā)生故障，雙機(jī)熱備冗余結(jié)構(gòu)需要一定的故障容錯(cuò)時(shí)間和設(shè)備轉(zhuǎn)換時(shí)間，會(huì)造成系統(tǒng)響應(yīng)時(shí)間加長(zhǎng)，甚至輸出錯(cuò)誤指令，可靠性有所提升的同時(shí)降低了安全性。當(dāng)所有數(shù)據(jù)集中在同一條總線(xiàn)上時(shí)，負(fù)載翻倍，系統(tǒng)的穩(wěn)定性也有所降低。在保證系統(tǒng)的安全性且增強(qiáng)系統(tǒng)可靠性的前提下，本文設(shè)計(jì)的全電子通信單元采用“二取二”冗余結(jié)構(gòu)。傳統(tǒng)的總線(xiàn)大部分采用CAN總線(xiàn)，其傳輸速率越來(lái)越不能滿(mǎn)足現(xiàn)場(chǎng)的需求，而且容易產(chǎn)生“丟包”“漏包”的情況，傳輸速率更高和報(bào)文有效數(shù)據(jù)長(zhǎng)度更長(zhǎng)的CAN-FD越來(lái)越頻繁的應(yīng)用到各個(gè)領(lǐng)域。

如圖8所示，在該結(jié)構(gòu)中，由兩路MCU實(shí)現(xiàn)“二取二”安全邏輯，第三路MCU分別于兩路MCU和鄰站通信接口電路相連接，實(shí)現(xiàn)“二取二”比較、與鄰站間的通信以及與聯(lián)鎖機(jī)的交互。兩路CAN-FD總線(xiàn)以冗余方式與聯(lián)鎖機(jī)通信，第三路CAN-FD起到監(jiān)測(cè)作用。

圖8 全電子通信單元結(jié)構(gòu)Fig.8 Full electronic communication unit structure

聯(lián)鎖機(jī)以冗余的方式與兩條CAN-FD連接，重復(fù)的配置可以起到提高安全性和可靠性的目的。為減少總線(xiàn)負(fù)載壓力，主體部分新增MCU C，用來(lái)接收MCU A和MCU B“二取二”結(jié)果進(jìn)而進(jìn)行比較。MCU A和MCU B分別進(jìn)行邏輯運(yùn)算，將結(jié)果發(fā)送到MCU C中，只有在MCU A和MCU B中的運(yùn)算結(jié)果一致時(shí)，MCU C才能傳輸指令。為防止共因失效，MCU A和MCU B應(yīng)該采取不同型號(hào)的芯片。

車(chē)站信號(hào)設(shè)備包括信號(hào)機(jī)、軌道電路、道岔和零散電路。信號(hào)機(jī)狀態(tài)由信號(hào)控制模塊監(jiān)督。根據(jù)相關(guān)設(shè)備的狀態(tài)來(lái)控制信號(hào)機(jī)的點(diǎn)亮和熄滅，并采集相關(guān)狀態(tài)信息進(jìn)行傳輸。軌道電路的作用是檢測(cè)列車(chē)的運(yùn)行位置和傳輸行車(chē)信息，具體可以明確列車(chē)位置、檢測(cè)出清及占用和顯示地面有關(guān)信息。道岔有“定位”“反位”和“四開(kāi)”三種形態(tài)，與轉(zhuǎn)轍機(jī)密切相關(guān)。主要工作是控制轉(zhuǎn)轍機(jī)動(dòng)作和采集轉(zhuǎn)轍機(jī)位置。零散模塊對(duì)零散電路進(jìn)行控制，實(shí)現(xiàn)斷路器報(bào)警、電源監(jiān)督等功能。

6 總結(jié)

本文設(shè)計(jì)的全電子通信單元采用CAN-FD，提升了傳輸速率，改進(jìn)的“二取二”冗余結(jié)構(gòu)在保證系統(tǒng)安全性的前提下，增強(qiáng)系統(tǒng)可靠性，減緩總線(xiàn)的負(fù)載壓力，實(shí)現(xiàn)控制監(jiān)測(cè)一體化，為鐵路信號(hào)設(shè)備的升級(jí)提供基礎(chǔ)。