全电子计算机联锁系统是一种新型的铁路信号车站联锁控制系统，它采用电子技术和计算机技术，取代传统的继电联锁系统，减少设备在机械室的占用空间，具有更高的安全性、可靠性和灵活性，是未来铁路地面信号控制系统的发展方向^[1]。其中，全电子目标控制器在全电子计算机联锁系统中对轨旁设备进行控制和状态采集，能够实时监测轨旁设备的状态，并根据全电子计算机联锁系统的指令对轨旁设备进行控制，如道岔转换、信号机显示、轨道状态采集等^[2]。同时，全电子目标控制器还能够与全电子计算机联锁系统逻辑部（简称：逻辑部）进行通信，将轨旁设备的状态信息反馈给逻辑部，以便逻辑部进行决策和控制。全电子目标控制器与逻辑部之间安全、可靠、准确和实时的通信，是保证全电子计算机联锁系统安全可靠运行的关键。

为满足《TJ/DW235-2022新型列控系统列控联锁一体化设备暂行技术条件》^[3]对全电子目标控制器的通信单元在功能、安全性、冗余性等方面的要求，本文提出全电子目标控制器通信单元（简称：通信单元）设计方案，实现与逻辑部的安全、可靠通信，提高全电子目标控制器通信的安全性与可靠性。

1   全电子计算机联锁系统架构

全电子计算机联锁系统架构如图1所示^[4]。

图  1  全电子计算机联锁系统架构

下载: 全尺寸图片 幻灯片

1.1   人机交互层

由两台冗余的操作表示机和一台电务维修机组成，通过冗余的以太网通信网络与逻辑层交互数据，操作表示机实现操作人员的按钮命令操作，信号设备状态显示等功能；电务维修机记录系统的工作状态、显示信号设备状态、全电子执行单元上传的监测数据等功能^[5]。

1.2   逻辑层

由I系逻辑部和II系逻辑部组成，具备二乘二取二冗余比较结构，通过冗余以太网通信网络与人机交互层、执行层交互数据，实现联锁应用逻辑的运算、安全比较、安全输出等功能^[6]。

1.3   执行层

由全电子目标控制器组成，实现对轨旁信号设备的控制。全电子目标控制器由通信单元和全电子执行单元组成。全电子执行单元和通信单元分别由冗余的I系和II系组成。

全电子目标控制器通过通信单元与逻辑部通信。各目标控制器之间无直接物理接口，逻辑部与通信单元通过冗余以太网进行通信数据的交互，逻辑部向各个全电子执行单元下发配置数据、控制命令；各个全电子执行单元向逻辑部上传状态信息。通信单元采用双系冗余架构，通信单元两系通过100Base-Tx以太网分别连接到控制A网交换机、控制B网交换机，每系通信单元均能同时与I系逻辑部和II系逻辑部进行连接，形成冗余的控制网。利用控制器局域网总线（CAN，Controller Area Network）实时性高、传输速率快、支持多节点通信、差分信号传输能够抑制外部干扰等优点，通信单元与全电子执行单元间采用冗余的CAN总线拓扑结构连接。

2   通信单元设计

2.1   通信单元硬件结构

通信单元采用双处理器构成二取二架构，由冗余的I系和II构成，单系通信单元结构如图2所示。

图  2  单系通信单元结构

下载: 全尺寸图片 幻灯片

2.1.1   处理器

采用TMS570LS3137作为处理器（CPU），单个通信单元板卡设置两个CPU，构成二取二架构。

2.1.2   FlexRay总线

通信单元单个CPU集成两通道FlexRay总线，具有传输速率高、灵活、安全等优点，满足两CPU间与I系和II系间通信的要求。

2.1.3   CAN总线

通信单元通过两路CAN总线与全电子执行单元通信。通过对特定寄存器的配置实现对CAN通信的各种参数设置，如波特率、过滤器设置等。处理器有3路CAN接口，支持CAN2.0（A和B）协议标准，满足全电子目标控制器内部通信要求。

2.1.4   以太网

通信单元对外采用以太网通信，处理器集成MAC控制器，符合IEEE 802.3标准，通过对数据进行封装与解封装、地址识别、错误检测等任务，与外界物理层芯片结合，实现以太网访问控制。

2.1.5   电源单元

通信单元由DC 24 V供电，经过电源模块转换为直流5 V、3.3 V、1.2 V，为CPU、FlexRay总线接口电路、CAN总线接口电路、以太网接口电路等器件供电。

2.2   通信单元通信网络拓扑结构

2.2.1   系间通信网络拓扑结构

通信单元双系通信网络拓扑结构如图3所示，通信单元双系间、系内双CPU间通信均采用FlexRay总线，每一系通信单元由双CPU组成二取二架构，并与另一系通信单元构成二乘二取二结构。

图  3  全电子目标控制器通信单元双系间通信结构

下载: 全尺寸图片 幻灯片

2.2.2   外部通信网络拓扑结构

通信单元对外通信网络拓扑结构如图4所示，每一系通信单元通过以太网对外连接。通信单元CPU1接收逻辑部Ⅰ/Ⅱ系下发的配置数据、命令数据，并将接收的数据通过CPU间的通信通道传给CPU2；CPU1和CPU2分别接收全电子目标控制器各全电子执行单元的状态数据，经CPU1和CPU2双CPU比较一致后，组包发送给逻辑部；CPU2将全电子执行单元的报警信息、监测信息发送电务维修机。

图  4  通信单元外部通信网络拓扑结构

下载: 全尺寸图片 幻灯片

2.2.3   通信单元与全电子执行单元通信网络拓扑结构

如图5所示，通信单元与全电子执行单元采用冗余CAN总线通信网络连接，通信单元与全电子执行单元的CPU都连接到两条冗余的CAN总线，两系全电子执行单元接收并处理冗余网络的相同数据。全电子执行单元Ⅰ系处理结果发送到Ⅰ−CAN1总线、Ⅱ−CAN2总线，全电子执行单元Ⅱ系处理结果发送到Ⅱ−CAN1总线、Ⅰ−CAN2总线，通信单元Ⅰ系接收Ⅰ−CAN1、Ⅰ−CAN2总线上数据，通信单元Ⅱ系接收Ⅱ−CAN1、Ⅱ−CAN2总线上数据。全电子执行单元每周期接收从通信单元发送的CAN总线的下行数据，并以接收到下行数据为触发条件向通信单元发送CAN总线上行数据；双系通信单元将接收的CAN总线数据中的状态数据作二乘二取二处理。该通信方式能够保证每一通信单元能接收到全电子执行单元I系和II系的数据，单个CAN总线中断，不影响通信单元和全电子执行单元的通信，最大程度减少每条总线上节点数量，提高内部通信可靠性。

图  5  通信单元与全电子执行单元通信网络拓扑

下载: 全尺寸图片 幻灯片

3   通信单元软件功能设计

通信单元软件功能架构如图6所示。

图  6  全电子目标控制器通信单元软件功能架构

下载: 全尺寸图片 幻灯片

3.1   初始化

负责硬件寄存器初始化、软件变量初始化（包括故障配置表初始化）、通信单元双CPU间与通信单元系间软件和数据版本一致性校验、逻辑部下发配置数据读取、建立应用模块主任务等。

3.2   CAN数据发送

通信单元按照固定周期方式向CAN总线发送下行数据。数据发送前通信单元进行双CPU交互，包括时间戳、发送数据。通信单元将配置信息、控制命令、CRC校验码等信息填入数据段，将下行帧标识、包序号、数据帧类型填入帧头，完成发送数据组包，由通信单元CPU1发送到CAN总线上。

3.3   CAN数据接收

通信单元在发送完下行数据后，延迟固定时间接收CAN1、CAN2总线数据，若没有收到数据或数据接收不完整，进行故障记录、报警。两条CAN总线分别对应全电子执行单元I系和II系，通信单元根据CAN总线数据帧标识符识别全电子执行单元I系/II系、全电子执行单元的CPU1、全电子执行单元的CPU2、状态数据、监测数据信息，根据识别的标识进行数据解包。在数据解包中校验帧标识符，对不符合通信协议的数据帧进行故障记录。

3.4   控制网以太网接收数据处理

通信单元从控制网以太网接收逻辑部下发的数据，按照通信协议对数据包进行校验和解包，双CPU分别校验和解包，并对解析的数据取二比较；比较一致后生成向全电子执行单元输出的命令数据和配置数据。

3.5   控制网以太网发送数据处理

通信单元将全电子执行单元I系、II系的状态数据作为输入数据，进行二取二比较生成输出数据；I系和II系通信单元将各自的全电子执行模块I系状态数据比较结果和II系状态数据比较结果进行系间同步，生成冗余的状态数据，向逻辑部发送；发送完毕后，将数据清零，以执行下一处理周期任务。

3.6   维护网以太网数据处理

通信单元将全电子执行单元I系、II系的报警信息、监测信息按照通信协议生成维护数据，并向维护网发送；发送完毕后，将数据清零，以执行下一处理周期任务。

3.7   异常处理及故障记录

通信单元检测到影响安全功能的故障，则将向全电子执行单元和逻辑部发送的数据置为安全侧数据。在每个处理周期内，通信单元检测出的故障均会形成报警信息，并将报警信息发送到维护网。

4   关键技术

4.1   通信协议设计

控制网数据的实时性与完整性对全电子计算机联锁系统的安全至关重要，通信单元与逻辑部传输层采用用户数据报协议（UDP，User Datagram Protocol），保证控制网数据实时性；采用RSSP−Ⅰ协议防护封闭式传输系统的数据帧重复、丢失、插入、乱序、错误、延迟等风险，通信安全防护措施如表1^[7]所示。根据EN50159-I标准，逻辑部与全电子目标控制器的通信连接设备数量固定，属于封闭式传输系统，可以忽略非法访问的风险。通信单元将发送数据按照RSSP−Ⅰ协议进行组包，添加安全校验段，同时根据数据包生成CRC码，添加到包尾，通过传输层发送实时安全数据（RSD）；接收方在收到RSD后校验CRC、安全数据包头、序列号、双重校验码，校验通过后将数据解包，获取应用数据。

表  1  通信安全防护措施

风险防护	序列号与时间戳	时间戳	超时防护	源标识	反馈报文	双重校验
重复	√
丢失	√
插入	√			√	√
乱序	√
错误						√
延迟	√	√	√

下载: 导出CSV 

| 显示表格

逻辑部命令数据以固定周期向通信单元发送数据，包含命令数据和配置数据，且每周期发送的数据长度固定。通信单元接收逻辑部双系数据，将逻辑部主系数据处理后向全电子执行单元发送，通过接收备系数据维持与备系的通信连接。通信单元以固定周期方式向逻辑部发送数据，包含模块类型和全电子执行单元输出的状态数据，长度固定。

通信单元与全电子执行单元内部通信采用CAN总线扩展帧格式，扩展帧格式由帧起始标志、仲裁段、控制段、数据段、CRC、ACK和帧结束标志组成，如图7所示^[8]。CAN总线各节点发送的数据通过29 bit标识符ID来区分数据帧类型，在数据段填充要发送的数据，一帧数据段最大长度为8 byte，通信单元数据帧标识如表2所示，全电子执行模块据帧标识如表3所示。

图  7  扩展帧格式

下载: 全尺寸图片 幻灯片

表  2  通信单元数据帧标识

帧标识（29 bit）
下行帧标识1（ID28-ID21）
下行帧标识2（ID20-ID13）
包序号（ID12-ID5）
数据帧类型（ID4-ID0）	RTR（0）	0	0

下载: 导出CSV 

| 显示表格

表  3  全电子执行单元数据帧标识

帧标识（29 bit）
信息流向 （ID28-ID27）	CPUID （ID26）	从节点单元号（ID25-ID21）
预留（ID20-ID15）				板卡类型 （ID14-ID13）
源节点标识（ID12-ID8）			帧序号（ID7-ID5）
数据帧类型（ID4-ID0）			RTR（0）		0	0

下载: 导出CSV 

| 显示表格

通信单元数据帧标识格式解析如下。

（1）下行帧标识1（ID28-ID21）：固定标志，用于接收方校验。

（2）下行帧标识2（ID20-ID13）：固定标志，用于接收方校验。

（3）包序号（ID12-ID5）：从0开始计数，每次发送加1，最大为255。

（4）数据帧类型（ID4-ID0）：在下行数据帧中，帧类型为1。

（5）RTR：发送数据帧，固定为0。

全电子执行单元数据帧标识格式解析如下。

（1）信息流向（ID28-ID27）：标识数据信息传输方向。

（2）CPUID（ID26）：CPU序号，0表示CPU1，1表示CPU2。

（3）从节点单元号（ID25-ID21）：发送节点所在的单元号。

（4）板卡类型（ID14-ID13）：全电子执行模块板卡类型。

（5）源节点标识（ID12-ID8）：发送节点编号，不同节点根据源节点标识分时发送数据。

（6）帧序号（ID7-ID5）：一包数据中数据帧的序号。

（7）数据帧类型（ID4-ID0）：依据发送数据类型为状态信息、监测信息，置不同标志。

（8）RTR：发送数据帧，固定为0。

内部通信数据段除了要传输的状态信息、监测信息外，还包含包序号、时间戳、CRC校验码。发送方数据包序号递增，接收方校验数据包序号的连续性；发送方将帧标识、数据段纳入CRC校验范围，接收方对收到的数据做CRC数据完整性、包序号连续性、时间戳校验和检查，防止内部通信存在的数据帧重复、丢失、插入、乱序、错误、延迟等风险。

CAN总线虽然具有仲裁机制，能够根据标识符对消息优先级划分，但在多节点多次数据发送场景下，多个节点同时竞争总线使用权，导致消息延迟和消息丢失等问题。通过合理设置消息发送顺序，可避免消息冲突发生。以通信单元作为主节点，通信单元向全电子执行单元发送下行数据，CAN总线上全电子执行单元节点以收到下行数据帧为时间起点，根据节点标识符分时发送上行数据，有效避免总线上消息冲突情况发生^[9]。

4.2   安全处理措施

通信单元运行过程中执行周期性自检，自检内容包括CPU的数据存储区、程序存储区、电源、时钟、寄存器等，校验数据完整性、合法性，对通信异常进行防护。根据故障严重程度将故障级别划分为严重故障和一般故障。对于无法正常运行的严重故障，通信单元会将安全至关数据处理为安全侧并宕机；对于通信异常、数据校验失败等不影响运行的一般故障，通信单元将安全至关数据处理为安全侧并正常运行。安全至关的安全侧包括：向全电子执行单元信号机模块输出点亮禁止信号灯命令；向道岔模块输出不动作转辙机命令；道岔状态为四开；继电编码型电码化模块不输出编码条件等。

5   方案验证

通过设置通信单元与逻辑部通信故障，验证通信可靠性：

（1）通信单元Ⅰ系为主系，Ⅰ系发生通信故障，此时通信单元切系，Ⅰ系故障灯常亮，通信单元Ⅱ系上传正确状态信息，逻辑部接收状态信息连续；

（2）通信单元Ⅰ系为主系，Ⅱ系发生通信故障，此时通信单元不切系，Ⅱ系故障灯常亮，通信单元Ⅰ系上传正确状态信息，逻辑部接收状态信息连续；

对于通信单元Ⅱ系为主系情况与Ⅰ系为主系情况相同，对外通信故障测试如表4所示。

表  4  对外通信故障测试

	Ⅰ系主系	Ⅱ系主系
Ⅰ系故障	切系，状态连续	不切系，状态连续
Ⅱ系故障	不切系，状态连续	切系，状态连续

下载: 导出CSV 

| 显示表格

通过设置通信单元与全电子执行单元通信故障，验证通信可靠性：

当全电子执行模块Ⅰ系CAN1故障，通信单元Ⅰ系CAN1接收数据故障，CAN2接收正常，通信单元Ⅰ系对外输出正常，通信单元Ⅱ系接收正常，对外输出正常。不同全电子执行单元故障情况下对应通信单元情况如表5所示。

表  5  内部通信故障测试

		通信单元Ⅰ系			通信单元Ⅱ系
		CAN1	CAN2	输出	CAN1	CAN2	输出
全电子执行 单元Ⅰ系	CAN1故障	故障	正常	正常	正常	正常	正常
	CAN2故障	正常	正常	正常	正常	故障	正常
全电子执行 单元Ⅱ系	CAN1故障	正常	正常	正常	故障	正常	正常
	CAN2故障	正常	故障	正常	正常	正常	正常

下载: 导出CSV 

| 显示表格

通信单元对外通信周期由逻辑部下发配置确定，经过长期运行验证，通信单元与逻辑部通信数据完整，通信单元与全电子执行单元内部通信周期固定，通信数据完整，通信质量稳定。

6   结束语

本文以全电子计算机联锁系统架构为切入点，介绍了全电子目标控制器通信单元的功能，详细阐述了通信单元的软硬件设计，通信网络拓扑，以及通信协议设计和安全处理措施，充分利用以太网、CAN总线、Flexray总线的特点，构建了一种全电子目标控制器通信单元方案，并验证了方案的可行性，实现了全电子计算机联锁系统逻辑部与全电子目标控制器通信的安全性、可靠性和实时性需求。下一步可进一步提升通信单元软件功能，实现不同全电子目标控制器间直接互联，满足全电子目标控制器在可以不依赖逻辑部下发命令的应用场景下，从直连的目标控制器获取命令数据，更快响应外部设备驱动的控制要求。